Die Inhalte auf Katja-Schoenefeld.de werden ständig aktualisiert und geprüft. Trotz aller Sorgfalt können sich allerdings Angaben oder rechtliche Sachverhalte zwischenzeitlich geändert haben. Für die Richtigkeit, Vollständigkeit und Aktualität der auf diesen Seiten veröffentlichten Informationen kann daher keine Haftung oder Garantie übernommen werden. Darüber hinaus stellen unsere Artikel keine Rechtsberatung dar und ersetzen diese auch nicht.

Ist Cloud Computing DSGVO-konform?

Ist Cloud Computing DSGVO-konform?

Huhu :)


Heute habe ich eine kleine Prämiere für euch auf Katja-Schoenefeld.de: Den ersten Gastartikel. Wie der Titel schon verrät geht es darin um das DSGVO-konforme Arbeiten mit personenbezogenen Daten in der Cloud. Viel Spaß beim Schmökern - und wie immer gilt: Fragen, Anregungen oder Gedanken zum Thema? Ab damit in die Kommentare! :)





Am 25. Mai 2018 trat die Datenschutzgrundverordnung (DSGVO) in Kraft und nimmt mitunter sowohl Cloud-Anbieter als auch Cloud-Nutzer stärker in die Pflicht als bisher. Einer der Gründe, warum Nutzer Sorgen um den Datenschutz in der Cloud haben, ist, dass sie nicht genau wissen, wo die Daten liegen. Da Cloud-Nutzer als Auftragsverarbeiter die Daten ihrer Kunden verarbeiten, tragen Sie auch Verantwortung für die Sicherheit der Daten. Im Falle einer Datenschutzverletzung drohen somit Haftungsansprüche der Betroffenen für den Auftragsverarbeiter.


Im Artikel 5, Absatz 1 der DSGVO werden zunächst die Grundsätze für die Verarbeitung personenbezogener Daten geregelt. Außerdem finden sich weitere Regelungen unter anderem in den Artikeln 25 und 32. Was bedeutet das genau für Cloud-Nutzer? Wann gilt ein Cloud-Dienst als DSGVO-konform?

Wann ist die Verarbeitung von personenbezogenen Daten in der Cloud zulässig?

Gemäß Artikel 5, Absatz 1 der DSGVO ist die Verarbeitung von personenbezogenen Daten in der Cloud nur dann zulässig, wenn die Betroffenen dieser explizit zugestimmt haben oder wenn eine andere Rechtsgrundlage besteht. Für die Person, deren Daten verarbeitet werden, muss die Datenverarbeitung auf eine nachvollziehbare Weise stattfinden, d. h., dass eine angemessene Sicherheit der Daten gewährleistet werden muss (Artikel 5, Absatz 1 f & Artikel 32 der DSGVO). Der Cloud-Anbieter muss seine Nutzer vor unrechtmäßiger Verarbeitung, Verlust oder Schädigung schützen und darüber hinaus jede Art von Verletzung der Würde der Betroffenen oder Einschränkung ihrer Freiheiten verhindern.Der Gesetzgeber verlangt im Artikel 32 zudem, dass das Sicherheitsniveau ständig verbessert werden und stets am „Stand der Technik“ orientiert sein muss. Durch entsprechende Technikgestaltung und Voreinstellungen sollte der Datenschutz gewährleistet sein (Artikel 25).


Artikel 5, 28, 30 und 35 der DSGVO sehen vor, dass Cloud-Nutzer und Cloud-Anbieter die Pflicht teilen, alle Anforderungen einzuhalten und dies bereits im Vorhinein nachweisen zu können. Der Cloud-Nutzer muss demnach die Verarbeitung in der Cloud in sein Verzeichnis der Verarbeitungsaktivitäten aufnehmen und unter Umständen eine Risikoanalyse vornehmen.


Da der Nutzer beim Cloud Computing dem Anbieter den Auftrag erteilt, die Daten zu verarbeiten, muss er seiner Verantwortung gegenüber den Betroffenen gerecht werden. Durch eine Vereinbarung zur Auftragsverarbeitung mit dem Anbieter muss er sich absichern, dass der Cloud-Anbieter die Einhaltung aller Anforderungen nachweisen kann. Mit einem genehmigten Zertifizierungsverfahren gemäß Artikel 42 kann der Cloud-Anbieter die Erfüllung der Anforderungen nachweisen.

Welche Maßnahmen sollten Cloud-Nutzer wegen der DSGVO ergreifen?

Da beim Cloud Computing unter Umständen Daten von Dritten gespeichert und verarbeitet werden, müssen Unternehmen und Solopreneure die Nutzung dieser Daten an die DSGVO anpassen. Folgende Maßnahmen sollten Sie diesbezüglich ergreifen:

  • Die genauen Umstände mit dem Cloud-Anbieter klären und ein schriftliches Regelwerk festlegen. Dabei soll unter anderem geklärt werden, wie Daten gespeichert und verarbeitet werden.
  • Dafür sorgen, dass die Dokumentations- und Informationspflichten nach innen und außen lückenlos erfolgen.
  • Einen fachkundigen Datenschutzbeauftragten ernennen.
  • Die Datenschutzerklärung an die neuen Regelungen der DSGVO anpassen.
  • Cyber-Security-Maßnahmen wie Virenscanner, Firewalls und VPN-Netzwerke verwenden, um Sicherheitslücken zu vermeiden.
  • Daten verschlüsseln, noch bevor diese in die Cloud hochgeladen werden.
  • Den Überblick über den Speicherstandort durch umfangreiches Monitoring behalten. Mit intelligentem Key-Management die volle Kontrolle über Daten in der Cloud behalten.

    Über den Autor

    Alexander Kretschmar studierte Rechtswissenschaften an der Humboldt-Universität zu Berlin mit Abschluss der juristischen Zwischenprüfung. Danach schloss sich ein Bachelorstudium im Bereich des Journalismus an. Seither kombiniert er seine beiden Interessensgebiete „Recht“ und „Berichterstattung“ und ist als freier Rechtsjournalist für verschiedene Verbände in Berlin tätig. Schwerpunkt seiner Beiträge bilden vor allem datenschutzrechtliche Fragestellungen sowie Digitalthemen.


    Datenschutz.org | info (at) datenschutz (dot) org | 030 / 208 981 217 (keine Beratung)

    Kommentare