TOM Cloud Computing: Datenschutz-Maßnahmen für Cloud-Dienste

Cloud-Dienste sind aus dem modernen Geschäftsleben nicht mehr wegzudenken. Doch wer personenbezogene Daten in der Cloud verarbeitet, trägt nach Art. 32 DSGVO die volle Verantwortung für deren Sicherheit — auch wenn der Cloud-Anbieter die Infrastruktur betreibt. Dieser Praxis-Guide zeigt welche technischen und organisatorischen Maßnahmen beim Einsatz von Cloud-Diensten benötigt werden.

Zur vollständigen Übersicht aller TOM nach Art. 32 DSGVO: Technische und organisatorische Maßnahmen — Übersicht.

Rechtliche Grundlagen: Art. 32 und Art. 28 DSGVO

Beim Cloud Computing greifen zwei zentrale DSGVO-Artikel:

Art. 32 DSGVO — Sicherheit der Verarbeitung: Gemäß Art. 32 Abs. 1 DSGVO müssen Verantwortliche „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen“ treffen. Diese Pflicht gilt auch bei Auslagerung in die Cloud — der Verantwortliche bleibt für die Sicherheit der Daten verantwortlich.

Art. 28 DSGVO — Auftragsverarbeitung: Jeder Cloud-Anbieter, der in deinem Auftrag personenbezogene Daten verarbeitet, ist ein Auftragsverarbeiter. Gemäß Art. 28 Abs. 1 DSGVO darfst du nur Cloud-Anbieter einsetzen, die „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt“. Ein schriftlicher AVV für Cloud-Anbieter ist Pflicht.

Der Bundesgerichtshof hat in mehreren Entscheidungen die Verantwortlichkeit des Auftraggebers für die Maßnahmen des Auftragsverarbeiters unterstrichen. Das OLG Stuttgart hat in einem Urteil (Az. 4 U 486/19) klargestellt, dass die Weitergabe personenbezogener Daten an einen Cloud-Anbieter ohne geprüfte TOM und AVV ein Verstoß gegen Art. 28 i.V.m. Art. 32 DSGVO darstellt.

TOM-Checkliste für Cloud Computing

Vor der Einführung eines Cloud-Dienstes müssen folgende TOM geprüft und dokumentiert werden:

Technische Maßnahmen

1. Verschlüsselung in der Übertragung: TLS 1.2 oder 1.3 für alle API-Aufrufe und Datenübertragungen. Der Cloud-Anbieter muss HTTPS erzwingen.
2. Verschlüsselung gespeicherter Daten (Encryption at Rest): Personenbezogene Daten müssen verschlüsselt auf dem Speichermedium liegen. Fragen Sie den Anbieter nach AES-256-Verschlüsselung.
3. Mandantentrennung: Eure Daten müssen logisch von den Daten anderer Kunden getrennt sein. Prüfe die technische Umsetzung (Datenbank-Schemas, Container-Isolation).
4. Backup und Recovery: Regelmäßige Datensicherungen, definierte Recovery-Zeit (RTO) und Recovery-Punkt-Ziel (RPO). Backup-Daten ebenfalls verschlüsselt.
5. Zugriffskontrolle: Granulare Berechtigungen (IAM) für alle Cloud-Ressourcen. Keine geteilten Admin-Konten. MFA für privilegierte Zugriffe.
6. Monitoring und Logging: Alle Zugriffe auf personenbezogene Daten werden protokolliert. Alerting bei ungewöhnlichen Aktivitäten.

Organisatorische Maßnahmen

1. Anbieter-Selektion: ISO 27001-Zertifizierung oder gleichwertige Nachweise prüfen. Prüfen ob Daten in der EU verarbeitet werden (DSGVO-Konformität).
2. AVV abschließen: Schriftlicher Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DSGVO mit vollständigem Inhalt. AVV für Cloud-Anbieter ist Pflicht.
3. Drittlandtransfers prüfen: Bei US-Anbietern oder globalen Clouds: Sind Standardvertragsklauseln (SCC) vereinbart? Schrems-II-Entscheidung beachten.
4. Subunternehmer-Management: Cloud-Anbieter setzen häufig Sub-Auftragsverarbeiter ein. Du musst diese kennen und widersprechen können (Art. 28 Abs. 2 DSGVO).
5. Exit-Strategie: Was passiert mit deinen Daten bei Vertragsende? Recht auf Datenlöschung und Herausgabe muss vertraglich gesichert sein.

Besondere Herausforderungen im Cloud-Umfeld

Das Cloud-Computing-Umfeld bringt spezifische TOM-Herausforderungen mit sich, die über Standard-TOM hinausgehen:

Serverstandort: Datentransfers außerhalb der EU/des EWR unterliegen den Anforderungen der Art. 44-49 DSGVO. Bevorzuge Anbieter mit ausschließlich europäischen Rechenzentren oder solche mit verifizierten SCCs.

Shared Responsibility Model: Cloud-Anbieter arbeiten nach dem „Shared Responsibility“-Modell. Die Sicherheit der Infrastruktur liegt beim Anbieter, die Sicherheit der Daten und Konfigurationen liegt bei Ihnen. Dieses Modell muss im AVV klar geregelt sein.

Ähnliche TOM-Anforderungen gelten für das Homeoffice. Mehr dazu: TOM im Homeoffice.

PLANIT // PRIMA unterstützt Sie bei der Cloud-TOM-Dokumentation und der Erstellung konformer AVV. Jetzt mehr über PLANIT PRIMA erfahren.

Häufige Fragen

Darf ich personenbezogene Daten in der Cloud speichern?

Ja, unter bestimmten Voraussetzungen. Du benötigst einen AVV nach Art. 28 DSGVO mit dem Cloud-Anbieter. Du musst die TOM des Anbieters prüfen und sicherstellen, dass bei Drittlandtransfers geeignete Garantien (SCC, Angemessenheitsbeschluss) vorliegen. Die Verantwortung für die Datensicherheit verbleibt bei dir als Verantwortlichem.

Brauche ich einen AVV mit jedem Cloud-Anbieter?

Ja. Jeder Cloud-Anbieter, der in deinem Auftrag personenbezogene Daten verarbeitet, ist Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO. Der AVV ist gemäß Art. 28 Abs. 3 DSGVO schriftlich oder elektronisch abzuschließen. Fehlt der AVV, liegt ein Verstoß gegen Art. 28 DSGVO vor und du kannst keine Daten rechtskonform übertragen.

Was gilt bei US-amerikanischen Cloud-Diensten wie Microsoft Azure oder AWS?

Für US-Cloud-Dienste sind Standardvertragsklauseln (SCC) der EU-Kommission erforderlich. Seit dem EU-US Data Privacy Framework (2023) können US-Anbieter, die dem Framework beigetreten sind, personenbezogene Daten EU-konform verarbeiten. Prüfe, ob dein Anbieter zertifiziert ist. Eine zusätzliche Verschlüsselung mit selbst verwalteten Schlüsseln erhöht die Sicherheit.

Was sind die TOM-Mindestanforderungen für Cloud-Nutzung?

Mindestens: TLS-Verschlüsselung für alle Übertragungen, Verschlüsselung gespeicherter Daten, Mandantentrennung, granulare Zugriffskontrolle mit MFA, Logging aller Datenzugriffe, regelmäßige Backups und ein schriftlicher AVV. Je nach Sensitivität der Daten können weitergehende Maßnahmen erforderlich sein.

Weitere technische und organisatorische Maßnahmen für Cloud-Dienste

Neben den grundlegenden TOM für Cloud-Dienste gibt es weitere Maßnahmen, die Unternehmen bei der Nutzung von Cloud-Infrastruktur implementieren sollten:

• Datensparsamkeit: Nur wirklich benötigte Daten in die Cloud übertragen — Art. 5 Abs. 1 lit. c DSGVO (Grundsatz der Datensparsamkeit)
• Incident-Response-Plan: Klare Prozesse für den Fall einer Datenschutzverletzung in der Cloud, inklusive Meldepflicht nach Art. 33 DSGVO (72-Stunden-Frist)
• Datenlöschkonzept: Vereinbarte und überprüfbare Löschung von Daten nach Vertragsende mit dem Cloud-Anbieter
• Redundanz und Ausfallsicherheit: Backup-Konzepte und Business-Continuity-Pläne als Teil der technischen Schutzmaßnahmen nach Art. 32 Abs. 1 lit. c DSGVO

Praxis-Tipp: Cloud-Dienste und die Aufsichtsbehörden

Die deutschen Datenschutzaufsichtsbehörden haben Cloud-Dienste in ihren Fokus gerückt. Die Konferenz der unabhängigen Datenschutzbehörden (DSK) hat in ihrer Orientierungshilfe Cloud Computing konkrete Anforderungen an die technischen und organisatorischen Maßnahmen formuliert. Insbesondere die Nutzung von US-Cloud-Diensten nach dem Schrems-II-Urteil des EuGH (C-311/18) erfordert eine sorgfältige Prüfung zusätzlicher Schutzmaßnahmen.

Mit PLANIT // PRIMA kannst du deine TOM für Cloud-Dienste systematisch dokumentieren, regelmäßig überprüfen und bei Bedarf anpassen. Das spart Zeit und sorgt für eine lückenlose Compliance-Dokumentation.

Weiterführende Quellen

• DSGVO Gesetzestext (dsgvo-gesetz.de)
• Bundesbeauftragter für den Datenschutz (BfDI)
• Datenschutzkonferenz (DSK)