Skip to main navigation Skip to main content Skip to page footer
d3-Werk – Datenschutz, ISO 27001 & Cloud Security d3-Werk – Datenschutz, ISO 27001 & Cloud Security

DSGVO, Datenschutz und Cloud Computing: Wer ist verantwortlich und was sollte beachtet werden?

1) Rollen & Verantwortlichkeiten klarziehen
 

Datenschutz-Grundverordnung (DSGVO / GDPR): EU-Verordnung 2016/679 zum Schutz personenbezogener Daten. Sie legt fest, wer wofür verantwortlich ist und welche technischen und organisatorischen Maßnahmen erforderlich sind.
 

Verantwortlicher (Controller): Das KMU, sobald es über Zwecke und Mittel der Verarbeitung entscheidet – auch wenn Daten in der Cloud liegen. Auftragsverarbeiter (Processor): Der Cloud-Anbieter, der im Auftrag und nach Weisung verarbeitet (Art. 28 DSGVO). Gemeinsam Verantwortliche (Joint Controllers): Zwei (oder mehr) Parteien, die Zwecke/Mittel gemeinsam festlegen; dann braucht es eine transparente Rollenabgrenzung. Diese Begriffe und Abgrenzungen sind in den EDPB-Leitlinien 07/2020 ausführlich erläutert. (EDPB = European Data Protection Board, Europäischer Datenschutzausschuss)

Kernaussage: Das Auslagern in die Cloud verlagert Aufgaben, aber nicht die datenschutzrechtliche Verantwortung. Das KMU bleibt rechenschaftspflichtig („Accountability“ nach Art. 5 Abs. 2, Art. 24 DSGVO).

2) Das „Shared-Responsibility-Modell“ in der Cloud

Shared Responsibility (geteilte Verantwortung) ist ein Sicherheits- und Betriebsmodell (kein Rechtsbegriff):

  • Cloud-Anbieter schützt die Plattform (Rechenzentren, Hardware, Virtualisierung, Kern-Services) und erfüllt Mindestanforderungen aus Art. 28 DSGVO: Vertraulichkeit, Subunternehmer-Regeln (Subprozessoren), Unterstützung bei Betroffenenrechten, Informationspflichten bei Vorfällen – geregelt im Auftragsverarbeitungsvertrag (AVV / DPA = Data Processing Agreement).
  • KMU konfiguriert die Nutzung: Identitäten & Zugriffe, Verschlüsselung, Protokollierung, Datenklassifizierung, Löschfristen, Rechtsgrundlagen, Informationspflichten, Prozesse für Datenschutzvorfälle (Art. 32–34 DSGVO).

3) Verträge mit dem Cloud-Anbieter: Was in den AVV/DPA gehört (Art. 28 DSGVO)

AVV/DPA (Auftragsverarbeitungsvertrag / Data Processing Agreement) konkretisiert u. a.:

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung, Datenarten und Betroffenengruppen.
  • Weisungsbindung, Vertraulichkeit, technische und organisatorische Maßnahmen (TOM) inkl. Verschlüsselung, Resilienz, Wiederherstellbarkeit und regelmäßige Wirksamkeitsprüfung (Art. 32).
  • Subprozessoren (Unterauftragsverarbeiter): transparente Liste, Informations- und Widerspruchsrechte, Durchgriffspflichten.
  • Unterstützung bei Betroffenenrechten, Meldungen bei Datenschutzverletzungen (Art. 33/34), Datenschutz-Folgenabschätzung (DPIA), Rückgabe/Löschung nach Vertragsende.

4) Internationaler Datentransfer: DPF, SCCs, TIA & ergänzende Maßnahmen

EU-US Data Privacy Framework (DPF): Seit 10. Juli 2023 besteht eine Angemessenheitsentscheidung der EU-Kommission. Am 3. September 2025 hat das Gericht der EU (General Court) eine Klage gegen das DPF abgewiesen. Ergebnis: Datentransfers an DPF-zertifizierte US-Unternehmen sind weiterhin zulässig. (Hinweis: Gegen Urteile des Gerichts kann zum EuGH noch Rechtsmittel eingelegt werden.)

Standardvertragsklauseln (SCCs): Neue modulare SCCs seit 4. Juni 2021 für Datentransfers in Drittländer (Entscheidung 2021/914). Zusätzlich gibt es SCCs für Controller-Processor-Beziehungen (Erfüllung von Art. 28 Abs. 3/4 DSGVO). Wichtig: korrekte Modulauswahl und Anpassung an das Szenario.

Transfer Impact Assessment (TIA): Risikoanalyse für Drittländer, wie sie der EDPB nach Schrems II empfiehlt. Prüft u. a. Zugriffsmöglichkeiten von Behörden und Wirksamkeit von Schutzmaßnahmen. EDPB-Empfehlungen 01/2020 geben eine Schritt-für-Schritt-Vorgehensweise; oft sind ergänzende technische Maßnahmen ratsam (z. B. robuste Verschlüsselung mit eigener Schlüsselhoheit).

Praxis-Regel:

  1. DPF-Zertifizierung des Anbieters prüfen (Scope!).
  2. Falls kein DPF: SCCs + TIA einsetzen und zusätzliche Maßnahmen (z. B. Ende-zu-Ende-Verschlüsselung) umsetzen.
  3. Dokumentation im Verzeichnis der Verarbeitungstätigkeiten (VVT) und in der Transparenzinformation (Privacy Notice) aktualisieren.

5) Technische & organisatorische Maßnahmen (TOM): Sicherheitsbaseline für KMU

Identitäts- und Zugriffsmanagement

  • IAM (Identity and Access Management), RBAC (Role-Based Access Control), MFA (Multi-Faktor-Authentifizierung) überall.
  • Least Privilege und zeitlich begrenzte Adminrechte („Just-in-Time“), Break-Glass-Konten mit Protokollpflicht.
  • SSO (Single Sign-On) mit unternehmensweiten Richtlinien, Conditional Access (z. B. Gerätekonformität, Standort, Risiko).

Kryptografie & Schlüsselmanagement

  • Verschlüsselung im Transit (TLS) und ruhend; wo möglich E2EE (Ende-zu-Ende-Verschlüsselung).
  • KMS (Key Management Service) mit Kundenschlüsseln; ideal: HSM (Hardware Security Module)-gestützte Schlüssel.
  • Schlüsseltrennung zwischen Anbieter- und Kundendomäne, klare Schlüssel-Rotations- und Zugriffsprozesse.

Überwachung & Nachvollziehbarkeit

  • Zentrale, unveränderliche Logs; SIEM (Security Information and Event Management) für Korrelation, Alarme und Nachweise.
  • DLP (Data Loss Prevention)-Regeln für sensible Felder/Dateien; CASB (Cloud Access Security Broker) gegen Shadow-IT.

Härtung & Qualitätssicherung

  • Sicherheits-Baselines (z. B. CIS-Benchmarks), IaC-Scans (Infrastructure as Code), automatische Konfigurations-Drift-Erkennung.
  • Regelmäßige Penetrationstests und Vulnerability-Management mit risikobasierter Priorisierung.

Resilienz & Notfallmanagement

  • Backup-/Restore-Strategie mit „3-2-1-Regel“, getesteten RTO/RPO (Recovery Time/Point Objective).
  • Incident-Response-Runbooks, 24/7-Meldeweg, 72-Stunden-Prozess für Behördenmeldungen (Art. 33/34 DSGVO). (Eur-Lex)

6) Dokumentations- und Prozesspflichten (DSB-Brille)

  • Rechtsgrundlage je Verarbeitung (Art. 6 DSGVO) und VVT (Verzeichnis von Verarbeitungstätigkeiten) nach Art. 30.
  • Privacy by Design/Default (Art. 25): Datenschutz-Einstellungen standardmäßig datensparsam und sicher.
  • Sicherheit der Verarbeitung (Art. 32): angemessene TOM inkl. Verschlüsselung, Resilienz, Testen und Evaluieren.
  • DPIA (Data Protection Impact Assessment / Datenschutz-Folgenabschätzung) nach Art. 35 bei hohem Risiko.
  • Breach-Prozesse (Art. 33/34): Meldung an Aufsichtsbehörde binnen 72 Stunden, ggf. Information Betroffener.

7) Beispiel aus der KMU-Praxis: „Unternehmen“ migriert CRM und Kollaboration in die Cloud

Ausgangslage: 85 Mitarbeitende, Vertrieb & Service, personenbezogene Kundendaten (B2C). Ziel: SaaS-CRM plus Kollaborations-Suite.

Vorgehensmodell:

  1. Dateninventar & Klassifizierung (personenbezogen, besonders sensibel, aufbewahrungspflichtig).
  2. Anbieter-Due-Diligence: Zertifizierungen, Rechenzentrumsstandorte, Subprozessoren, DPF-Zertifizierung oder SCC-Paket, Sicherheitsfunktionen (MFA, KMS, Logging, DLP), Audit-Nachweise.
  3. AVV/DPA verhandeln: TOM-Anhang, Subprozessor-Prozess, Audit-Modell, Löschung nach Vertragsende.
  4. Internationaler Transfer:
    • Wenn US-Bezug → DPF-Zertifikat prüfen und dokumentieren;
    • sonst SCC + TIA und ggf. ergänzende Maßnahmen (Kundenschlüssel, E2EE).
  5. Security-Baseline umsetzen: IAM/RBAC/MFA, KMS-Kundenschlüssel, DLP, lückenlose Audit-Logs, SSO, Gerätekonformität.
  6. DPIA-Entscheidung treffen (ja/nein, mit Begründung), Risiko-Register pflegen.
  7. Betriebsprozesse: Lösch- und Aufbewahrungsregeln im System abbilden; Breach-Runbook testen (72h-Timer).
  8. Go-Live-Freigabe durch IT-Sicherheit (CISO-Rolle) und DSB, anschließend Wirksamkeitskontrollen im Quartalstakt.

Rollenbeispiel (RACI-Kurzfassung):

  • Datenklassifizierung & LöschkonzeptR IT/DSB, A Geschäftsführung, C Fachbereiche, I Betriebsrat
  • AVV/DPA & SubprozessorenR DSB, A Geschäftsführung, C Legal, I IT-Security
  • TIA & Transferpfad (DPF/SCC)R DSB, A CISO, C Provider, I Geschäftsführung

8) Detaillierte AVV/DPA-Checkliste (Art. 28 DSGVO)

  1. Beschreibung der Verarbeitung: Gegenstand, Dauer, Zweck, Datenarten, Betroffenenkategorien.
  2. Weisungsrecht & Prozess: Wer darf was anweisen? Wie wird dokumentiert?
  3. TOM-Katalog (Art. 32): Verschlüsselung, Zugriffskontrollen, Protokollierung, Resilienz, Wiederherstellbarkeit, regelmäßige Wirksamkeitsprüfung.
  4. Subprozessoren: transparente Liste, Informations-/Widerspruchsrechte, vertragliche Durchgriffspflichten.
  5. Unterstützungspflichten: Betroffenenrechte, Meldungen (Art. 33/34), DPIA.
  6. Audit & Nachweise: praktikables Audit-Modell (Zertifikate, Berichte, Vor-Ort-Audit nach Risiko).
  7. Rückgabe/Löschung: technische und organisatorische Details, Fristen, Löschbestätigung.

9) Häufige Stolperfallen (und wie man sie vermeidet)

  • „Der Anbieter macht schon Datenschutz.“ Falsch: Ohne eigene Policies, Rollen, DPIA/TIA und Prozessdesign bleibt ein Compliance-Risiko – die Accountability liegt beim KMU.
  • US-Transfers ignorieren. Immer DPF-Status prüfen; falls nicht im Scope: SCC + TIA + ergänzende Maßnahmen.
  • Kein Löschkonzept. Papierkörbe sind keine DSGVO-konforme Löschung; Regeln aktiv in Workflows/Retention Policies umsetzen.
  • Shadow-IT. Ohne CASB/SaaS-Freigabeprozess schleichen Tools ein, die AVV, TOM, Löschung und Transparenz aushebeln.
  • Ungetestete Notfallpläne. Ohne Tabletop-Übungen ist die 72-Stunden-Meldepflicht kaum sicher einzuhalten.

10) Kompakter 12-Punkte-Plan (Start heute)

  1. Dateninventar & Klassifizierung erstellen.
  2. Rechtsgrundlagen je Use Case prüfen; VVT aktualisieren.
  3. Anbieter-Due-Diligence (Zertifizierungen, Subprozessoren, Standorte, DPF/SCC, Security-Funktionen).
  4. AVV/DPA verhandeln und unterzeichnen.
  5. TIA durchführen; bei erhöhtem Risiko zusätzlich DPIA.
  6. Security-Baseline (IAM/RBAC/MFA, KMS, Logging, DLP, CASB) umsetzen.
  7. Privacy by Design/Default verankern (Art. 25 DSGVO).
  8. Awareness-Training und klare Rollen (Admin, DSB, CISO, Prozesseigner).
  9. Incident-Response & Breach-Prozess testen (Art. 33/34).
  10. Lösch- & Aufbewahrungsregeln technisch abbilden (Retention, Legal Hold).
  11. Go-Live-Freigabe nach Vier-Augen-Prinzip (DSB/CISO).
  12. Quartalsweise Wirksamkeitskontrolle und Audit-Belege sammeln.

Glossar der Abkürzungen (kurz & praxisnah)

  • DSGVO/GDPR – Datenschutz-Grundverordnung / General Data Protection Regulation.
  • KMU – Kleine und mittlere Unternehmen.
  • DSB – Datenschutzbeauftragter.
  • Controller / Verantwortlicher – Entscheidet über Zwecke und Mittel der Verarbeitung.
  • Processor / Auftragsverarbeiter – Verarbeitet Daten im Auftrag des Verantwortlichen.
  • Joint Controllers / gemeinsam Verantwortliche – Parteien mit gemeinsamer Zweck-/Mittelsetzung.
  • AVV/DPA – Auftragsverarbeitungsvertrag / Data Processing Agreement (Art. 28 DSGVO).
  • TOM – Technische und organisatorische Maßnahmen (Art. 32 DSGVO).
  • DPF – EU-US Data Privacy Framework (Angemessenheitsentscheidung).
  • SCCs – Standardvertragsklauseln (Decision 2021/914, modulare Varianten).
  • TIA – Transfer Impact Assessment (Risikoprüfung für Drittlandtransfers).
  • DPIA – Data Protection Impact Assessment / Datenschutz-Folgenabschätzung (Art. 35).
  • IAM – Identity and Access Management.
  • RBAC – Role-Based Access Control.
  • MFA – Multi-Faktor-Authentifizierung.
  • SSO – Single Sign-On.
  • TLS – Transport Layer Security (Verschlüsselung im Transit).
  • E2EE – Ende-zu-Ende-Verschlüsselung.
  • KMS – Key Management Service.
  • HSM – Hardware Security Module.
  • SIEM – Security Information and Event Management.
  • DLP – Data Loss Prevention.
  • CASB – Cloud Access Security Broker.
  • IaC – Infrastructure as Code.
  • CIS-Benchmark – Härtungsleitfaden des Center for Internet Security.
  • RTO/RPO – Recovery Time/Point Objective (Wiederherstellungsziele).

Wer ist verantwortlich? Das KMU als Verantwortlicher – immer. Der Cloud-Provider ist Auftragsverarbeiter (oder in Sonderfällen gemeinsam Verantwortlicher), bleibt aber nie „datenschutzrechtlicher Airbag“.

Was ist zu beachten? Solide Rechtsgrundlagen und Verträge (AVV/DPA), dokumentierte Transfers (DPF oder SCC + TIA), eine umsetzbare Security-Baseline mit Verschlüsselung, Identitätskontrollen und Logging sowie gelebte Prozesse für DPIA, Löschung und Vorfälle.

 

Zurück