Zertifizierter DSB | >7 Erfahrung | 424+ Kunden
039183223971
info@globeriadatenschutz.de
Kostenlosen Termin
Zertifizierter DSB | >7 Erfahrung | 424+ Kunden
039183223971
info@globeriadatenschutz.de
Kostenlosen Termin
Cloud-Dienste unter der DSGVO

Was gilt für Cloud-Dienste unter der DSGVO?

Die Nutzung von Cloud-Diensten hat in den letzten Jahren stark zugenommen, da Unternehmen von der Flexibilität, Skalierbarkeit und Kosteneffizienz profitieren möchten. Doch mit der Verlagerung von Daten in die Cloud kommen auch rechtliche Herausforderungen, insbesondere im Hinblick auf den Datenschutz. In der Europäischen Union regelt die Datenschutz-Grundverordnung (DSGVO) die Verarbeitung personenbezogener Daten und stellt strenge Anforderungen an Unternehmen, die Cloud-Dienste nutzen. In diesem Blogbeitrag erklären wir, was Unternehmen bei der Nutzung von Cloud-Diensten unter der DSGVO beachten müssen, und geben praktische Tipps, um datenschutzkonform zu handeln. Am Ende stellen wir Ihnen die Dienstleistungen von Globeria Datenschutz vor, die Sie bei der Einhaltung der DSGVO unterstützen können.

Was ist die DSGVO und warum ist sie für Cloud-Dienste relevant?

Die DSGVO (Verordnung (EU) 2016/679) ist seit dem 25. Mai 2018 in Kraft und gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, wo sich das Unternehmen befindet (Art. 3 DSGVO). Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie Namen, E-Mail-Adressen oder IP-Adressen (Art. 4 Nr. 1 DSGVO).

Cloud-Dienste, wie z. B. Speicherlösungen, Software-as-a-Service (SaaS) oder Infrastruktur-as-a-Service (IaaS), beinhalten oft die Verarbeitung personenbezogener Daten. Da diese Daten häufig auf Servern außerhalb des Unternehmens gespeichert werden, müssen Unternehmen sicherstellen, dass die Verarbeitung den Anforderungen der DSGVO entspricht. Verstöße können zu hohen Geldstrafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes führen (Art. 83 Abs. 5 DSGVO).

Wichtige Anforderungen der DSGVO für Cloud-Dienste

Um datenschutzkonform zu handeln, müssen Unternehmen bei der Nutzung von Cloud-Diensten folgende Aspekte beachten:

1. Auswahl eines geeigneten Cloud-Anbieters

Nach Art. 28 DSGVO dürfen Unternehmen nur Cloud-Anbieter beauftragen, die ausreichende Garantien für den Datenschutz bieten. Dies bedeutet, dass der Anbieter technische und organisatorische Maßnahmen (TOMs) umsetzen muss, um die Sicherheit der Daten zu gewährleisten (Art. 32 DSGVO). Unternehmen sollten prüfen, ob der Anbieter:

  • Zertifizierungen wie ISO 27001 oder SOC 2 vorweisen kann.
  • Transparenz über den Standort der Server bietet (idealerweise innerhalb der EU).
  • Regelmäßige Sicherheitsprüfungen durchführt.

Tipp: Fragen Sie nach einem Datenschutz- oder Sicherheitsbericht des Anbieters, um die Einhaltung der DSGVO zu überprüfen.

2. Abschluss eines Auftragsverarbeitungsvertrags (AVV)

Wenn ein Cloud-Anbieter personenbezogene Daten im Auftrag eines Unternehmens verarbeitet, handelt es sich um eine Auftragsverarbeitung gemäß Art. 28 DSGVO. In diesem Fall ist ein Auftragsverarbeitungsvertrag (AVV) zwingend erforderlich. Der AVV muss unter anderem folgende Punkte regeln:

  • Art und Zweck der Datenverarbeitung.
  • Dauer der Verarbeitung.
  • Verpflichtung des Anbieters, die Daten nur nach Weisung des Unternehmens zu verarbeiten.
  • Maßnahmen zur Sicherung der Daten (z. B. Verschlüsselung).
  • Regelungen für Subunternehmer (Sub-Auftragsverarbeiter).

Ohne einen AVV riskieren Unternehmen nicht nur Verstöße gegen die DSGVO, sondern auch, dass sie für etwaige Datenschutzverstöße des Anbieters haftbar gemacht werden.

3. Datenübermittlung in Drittländer

Viele Cloud-Anbieter, wie Amazon Web Services (AWS), Microsoft Azure oder Google Cloud, betreiben Server außerhalb der EU, z. B. in den USA. Die Übermittlung personenbezogener Daten in Drittländer ist nur unter bestimmten Voraussetzungen zulässig (Kapitel V DSGVO, insbesondere Art. 44–49). Seit dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) im Juli 2020 ist die Datenübermittlung in die USA besonders problematisch, da das Privacy Shield-Abkommen für ungültig erklärt wurde.

Unternehmen müssen sicherstellen, dass:

  • Ein angemessenes Datenschutzniveau im Drittland besteht (z. B. durch ein Angemessenheitsbeschluss der EU-Kommission, Art. 45 DSGVO).
  • Alternativ Standardvertragsklauseln (SCCs) mit zusätzlichen Schutzmaßnahmen abgeschlossen werden (Art. 46 DSGVO).
  • Eine Risikobewertung der Datenübermittlung durchgeführt wird.

Praxisbeispiel: Ein deutsches Unternehmen, das Google Cloud nutzt, muss prüfen, ob die Daten in der EU gespeichert werden oder ob SCCs mit ergänzenden Maßnahmen (z. B. zusätzliche Verschlüsselung) vorliegen.

4. Technische und organisatorische Maßnahmen (TOMs)

Die DSGVO verlangt, dass Unternehmen und ihre Cloud-Anbieter angemessene technische und organisatorische Maßnahmen treffen, um die Sicherheit der Daten zu gewährleisten (Art. 32 DSGVO). Dazu gehören:

  • Verschlüsselung von Daten während der Übertragung und Speicherung.
  • Zugriffskontrollen, um unbefugte Zugriffe zu verhindern.
  • Regelmäßige Backups, um Datenverluste zu vermeiden.
  • Schulungen für Mitarbeiter, um das Bewusstsein für Datenschutz zu stärken.

Unternehmen sollten die TOMs des Cloud-Anbieters prüfen und sicherstellen, dass sie den Risiken der Datenverarbeitung angemessen sind.

5. Rechte der Betroffenen

Die DSGVO gewährt betroffenen Personen (z. B. Kunden, Mitarbeitern) bestimmte Rechte, wie das Recht auf Auskunft, Berichtigung, Löschung oder Datenübertragbarkeit (Art. 15–20 DSGVO). Unternehmen müssen sicherstellen, dass sie diese Rechte auch bei der Nutzung von Cloud-Diensten erfüllen können. Dies erfordert:

  • Eine klare Zuordnung der Verantwortlichkeiten zwischen Unternehmen und Cloud-Anbieter im AVV.
  • Technische Möglichkeiten, Daten in der Cloud gezielt zu löschen oder zu exportieren.

Hinweis: Wenn ein Kunde die Löschung seiner Daten verlangt, muss das Unternehmen sicherstellen, dass diese auch aus den Backups des Cloud-Anbieters entfernt werden.

6. Dokumentation und Nachweispflicht

Die DSGVO verpflichtet Unternehmen, ihre Datenverarbeitungsprozesse zu dokumentieren und die Einhaltung der Vorschriften nachzuweisen (Art. 5 Abs. 2 DSGVO). Dies umfasst:

  • Ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO), in dem die Nutzung von Cloud-Diensten aufgeführt ist.
  • Eine Datenschutz-Folgenabschätzung (DSFA), wenn die Verarbeitung ein hohes Risiko für die Rechte der Betroffenen birgt, z. B. bei großen Datenmengen in der Cloud (Art. 35 DSGVO).

Die Dokumentation ist besonders wichtig, um im Falle einer Prüfung durch eine Datenschutzbehörde die Compliance nachzuweisen.

Häufige Fehler bei der Nutzung von Cloud-Diensten

Trotz der klaren Vorgaben der DSGVO machen Unternehmen oft Fehler, die zu Verstößen führen können. Zu den häufigsten gehören:

  1. Fehlender AVV: Unternehmen vergessen, einen Auftragsverarbeitungsvertrag mit dem Cloud-Anbieter abzuschließen.
  2. Unzureichende Prüfung des Anbieters: Die Auswahl eines Anbieters ohne Berücksichtigung der Datenschutzanforderungen.
  3. Datenübermittlung ohne Rechtsgrundlage: Daten werden in Drittländer übermittelt, ohne SCCs oder andere Schutzmaßnahmen.
  4. Mangelnde Transparenz: Kunden werden nicht über die Nutzung von Cloud-Diensten informiert, was gegen die Informationspflichten verstößt (Art. 13, 14 DSGVO).

Praktische Tipps für datenschutzkonforme Cloud-Nutzung

Um die Anforderungen der DSGVO zu erfüllen, sollten Unternehmen folgende Maßnahmen umsetzen:

  • Anbieter sorgfältig auswählen: Bevorzugen Sie Anbieter mit Servern in der EU und starken Datenschutzmaßnahmen.
  • Regelmäßige Audits: Überprüfen Sie die Datenschutzpraktiken des Anbieters regelmäßig, z. B. durch Audits oder Berichte.
  • Daten minimieren: Speichern Sie nur die Daten in der Cloud, die wirklich benötigt werden (Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO).
  • Mitarbeiter schulen: Sensibilisieren Sie Ihr Team für Datenschutz und die sichere Nutzung von Cloud-Diensten.
  • Externe Beratung in Anspruch nehmen: Ein professioneller Datenschutzberater kann Sie bei der Umsetzung der DSGVO unterstützen.

Fazit: Datenschutz in der Cloud ist machbar

Die Nutzung von Cloud-Diensten unter der DSGVO erfordert eine sorgfältige Planung und Umsetzung, ist aber mit den richtigen Maßnahmen gut umsetzbar. Unternehmen müssen sicherstellen, dass sie geeignete Cloud-Anbieter auswählen, AVVs abschließen, Datenübermittlungen rechtlich absichern und die Rechte der Betroffenen wahren. Durch die Einhaltung der DSGVO schützen Unternehmen nicht nur die Daten ihrer Kunden, sondern auch ihr eigenes Geschäft vor rechtlichen und finanziellen Risiken.

Über Globeria Datenschutz

Bei Globeria Datenschutz unterstützen wir Unternehmen dabei, die Anforderungen der DSGVO sicher und effizient umzusetzen – auch bei der Nutzung von Cloud-Diensten. Unsere Dienstleistungen umfassen:

  • Beratung zur DSGVO-Compliance: Wir helfen Ihnen, datenschutzkonforme Cloud-Lösungen zu finden und AVVs zu erstellen.
  • Datenschutz-Folgenabschätzungen: Wir führen DSFAs durch, um Risiken bei der Nutzung von Cloud-Diensten zu identifizieren und zu minimieren.
  • Schulungen: Unsere praxisnahen Schulungen machen Ihr Team fit für den sicheren Umgang mit personenbezogenen Daten.
  • Externe Datenschutzbeauftragte: Wir übernehmen die Rolle des externen Datenschutzbeauftragten, um Ihre Compliance langfristig zu sichern.

Kontaktieren Sie uns noch heute, um mehr über unsere Dienstleistungen zu erfahren: Globeria Datenschutz. Gemeinsam sorgen wir dafür, dass Ihre Cloud-Nutzung den höchsten Datenschutzstandards entspricht!

Verwandte Inhalte

DSGVO für KMU: Ein umfassender Leitfaden zur Compliance, Auditierung und Datenschutzberatung in Deutschland
Warum ist die DSGVO in Deutschland entscheidend für Ihr Unternehmen?
Die DSGVO verstehen: Ein Leitfaden für Einsteiger in die EU-Datenschutzrevolution
Regeln für den Versand von Cold-E-Mails im Geschäftsleben nach der Datenschutz-DSGVO
Stichworte
# Cloud-Dienste unter der DSGVO # Datenschutz-Audit # DSGVO-Audit # DSGVO-Compliance
Veröffentlicht in
Alle DSGVO Blogbeiträge Datenschutzbehörde DSGVO-Agentur Externer Datenschutzbeauftragter
Globeria Datenschutz zeichnet sich als einer der führenden Anbieter von DSGVO-Dienstleistungen in Deutschland aus und bietet umfassende Lösungen durch zertifizierte Datenschutzbeauftragte (DSB). Unser Leistungsspektrum umfasst sämtliche Anforderungen der DSGVO-Compliance und stellt sicher, dass Ihr Unternehmen alle gesetzlichen Vorgaben effizient erfüllt. Vertrauen Sie auf unsere Expertise für herausragenden Datenschutz und professionelles Datenschutzmanagement.

Wir betreuen Kunden in Berlin, Frankfurt, München, Magdeburg, Sachsen-Anhalt, Hamburg und bundesweit in ganz Deutschland, einschließlich der erweiterten DACH-Region.
039183223971
info@globeriadatenschutz.de
Arbeitszeiten: Montag-Freitag, 09:00-17:00
© 2025 Globeria Consulting GmbH. Alle Rechte vorbehalten.