Der sichere Weg in die Cloud

Die Cloud ist mehr als Technologie – sie ist ein strategischer Hebel für Skalierung und Innovation. Doch mit der Auslagerung von Daten steigt die Verantwortung. Die Frage ist nicht ob, sondern wie Sie die Cloud nutzen, damit sie zum Wettbewerbsvorteil und nicht zum Compliance-Risiko wird.

Rechtliche Einordnung

Cloud-Nutzung ist fast immer Auftragsverarbeitung.

Das bedeutet: Der Anbieter verarbeitet nur nach Weisung, aber die Haftung bleibt bei Ihnen als Geschäftsführer.

Die Realität

Verantwortung lässt sich nicht „auslagern“.

Sie müssen nachweisen können, warum der gewählte Dienst datenschutzkonform ist – Marketingversprechen der Anbieter genügen hierfür nicht.

Die 3 Säulen der Cloud-Compliance

🔍

1. Auswahl

Prüfung der „hinreichenden Garantien“. Der Anbieter muss seine TOMs (technisch-organisatorische Maßnahmen) transparent nachweisen.

2. Vertrag (AVV)

Zwingend erforderlich: Ein Vertrag, der Weisungsrechte, Löschfristen und Unterauftragnehmer lückenlos regelt.

🛡

3. Kontrolle

Compliance ist kein einmaliges Ereignis. Laufende Überwachung von Änderungen und Releases ist Pflicht.

Standards schaffen Vertrauen

BSI C5 (Typ 2) ★

Der deutsche Goldstandard.

Ein C5-Testat (Typ 2) prüft nicht nur das Design der Sicherheit, sondern die Wirksamkeit über einen Zeitraum. Essenziell für regulierte Branchen.

EU Cloud Code of Conduct ★

Die europäische Lösung.

Übersetzt die DSGVO in konkrete Cloud-Kontrollen. Ein starkes Indiz für eine strukturierte Compliance und eine enorme Erleichterung bei der Anbieterauswahl.

Achtung: KI in der Cloud

KI und Cloud wachsen zusammen. Dies verschärft typische Risiken durch „Innovationsdruck“.

⚡ Zweckänderung

Assistenzfunktionen können schnell zu Analyse-Tools werden. Neue Zwecke erfordern neue Rechtsgrundlagen.

⚡ Daten für Training

Nutzt der Anbieter Ihre Daten, um sein KI-Modell zu trainieren? Dies muss vertraglich oft explizit ausgeschlossen werden.

⚡ Schatten-IT

Fachbereiche nutzen „schnelle KI-Tools“ ohne Freigabe? Ein massives Risiko für unkontrollierte Datenabflüsse.

Ihr Handlungsrahmen in 3 Phasen

1

Sorgfalt & Bewertung

  • Verantwortlichkeiten intern klären
  • Sicherheitsnachweise (z.B. BSI C5) anfordern
  • Drittlandtransfers bewerten
2

Vertrag & Setup

  • AVV vollständig abschließen
  • Audit-Rechte sicherstellen
  • Unterauftragnehmer transparent regeln
3

Governance & Betrieb

  • Regelmäßige Review-Routinen (jährlich)
  • Sichere Konfiguration & Access Management
  • Dokumentation aller Entscheidungen

Häufige Fragen (FAQ)

Reicht ein ISO 27001 Zertifikat des Anbieters aus?
Eine ISO 27001 Zertifizierung ist ein sehr guter Indikator für Informationssicherheit, deckt aber nicht alle spezifischen Datenschutzanforderungen der DSGVO ab. Sie sollte idealerweise durch spezifische Nachweise wie den BSI C5 oder den EU Cloud Code of Conduct ergänzt werden, um die datenschutzrechtliche Eignung vollumfänglich zu belegen.
Was bedeutet BSI C5 (Typ 2) genau?
Der C5-Katalog (Cloud Computing Compliance Criteria Catalogue) des BSI legt Mindestanforderungen an die Cloud-Sicherheit fest. Ein „Typ 2“-Testat ist besonders wertvoll, da hier ein Wirtschaftsprüfer nicht nur das Design der Sicherheitsmaßnahmen prüft, sondern deren tatsächliche Wirksamkeit über einen vergangenen Zeitraum (z. B. 6–12 Monate) bestätigt hat.
Was ist der Vorteil des EU Cloud Code of Conduct?
Der EU Cloud CoC ist ein offiziell genehmigter Verhaltenskodex nach Art. 40 DSGVO. Anbieter, die diesem Code beitreten, verpflichten sich zu strengen DSGVO-Standards, die von unabhängigen Stellen überwacht werden. Das erleichtert Ihnen den Nachweis der „hinreichenden Garantien“ bei der Anbieterauswahl erheblich.
Was passiert, wenn der Cloud-Anbieter in den USA sitzt?
Bei US-Anbietern findet ein Drittlandtransfer statt. Dank des „Data Privacy Framework“ ist dies für zertifizierte US-Unternehmen einfacher geworden. Dennoch müssen Sie prüfen, ob der Anbieter zertifiziert ist und eine Bewertung des Transferrisikos (Transfer Impact Assessment) durchführen, insbesondere wenn sensible Daten betroffen sind.
Wer haftet bei einer Datenpanne in der Cloud?
Im Außenverhältnis gegenüber Betroffenen und Aufsichtsbehörden haften primär Sie als Verantwortlicher (das Unternehmen). Sie können den Cloud-Anbieter (Auftragsverarbeiter) zwar intern in Regress nehmen, wenn dieser Fehler gemacht hat, die Bußgelder und der Reputationsschaden treffen jedoch zuerst Ihr Unternehmen.
Darf ich ChatGPT oder ähnliche KI-Tools im Unternehmen einfach nutzen?
Nein, nicht „einfach so“. Die Nutzung von KI-Diensten mit personenbezogenen Daten (z.B. Kundendaten, Mitarbeiterdaten) erfordert zwingend einen Auftragsverarbeitungsvertrag (Enterprise-Versionen) und eine klare Richtlinie für Mitarbeiter. Die kostenlosen Basis-Versionen nutzen Eingaben oft zum Training der KI, was datenschutzrechtlich höchst problematisch ist.