Innovation braucht Datenschutz. So gelingt die sichere Cloud Auswahl.

Die Cloud ist für viele Unternehmen zum Standard geworden – ob für Fachanwendungen,  Kollaborationstools oder ganze Geschäftsprozesse. Doch mit jeder Auslagerung von Daten  in die Cloud steigen auch die Anforderungen an Sicherheit, Datenschutz und  Nachweisbarkeit. 

Nicht die Technik allein ist entscheidend, sondern wie bewusst sie ausgewählt, bewertet  und gesteuert wird. Wer hier strukturiert vorgeht, gewinnt gleich mehrfach: weniger  Haftungsrisiko, mehr Transparenz und eine solide Basis für digitale Innovation.

Was bedeutet „Cloud“ konkret? 

Unter Cloud versteht man IT-Ressourcen, die nicht mehr im eigenen Serverraum  betrieben, sondern bei einem Provider angemietet werden – meist über das Internet.  Typische Modelle sind: 

• On-Premise / Private Cloud im eigenen Rechenzentrum – maximale Kontrolle,  aber hoher Eigenaufwand. 
• Private Cloud beim Provider (Off-Premise) – Infrastruktur beim Dienstleister,  exklusiv für ein Unternehmen. 
• Public Cloud / SaaS – standardisierte Dienste aus dem Browser, Infrastruktur  vollständig beim Anbieter. 

Sobald dabei Personendaten verarbeitet werden, gelten automatisch die Anforderungen  aus DSG / DSGVO – unabhängig davon, wie modern oder „marktüblich“ die Lösung ist. 

Verantwortung bleibt bei der Geschäftsleitung 

Auch wenn Betrieb und Administration an einen IT-Dienstleister ausgelagert sind: Die  rechtliche Verantwortung bleibt beim Unternehmen bzw. der Geschäftsleitung. 

• Der Cloud-Provider verantwortet seine Plattform, nicht die Gesamtrisiken Ihres  Geschäftsmodells. 
• Nach DSG / DSG-VO bleibt der Verantwortliche im Unternehmen in der Pflicht. • Wenn man von Sicherheit in der Cloud spricht, geht man grundsätzlich von einem  sogenannten „Shared Responsibility“ Modell aus. Damit ist gemeint, dass der  Cloud Provider die Infrastruktur der Cloud selbst schützt, der Kunde aber für die  Sicherheit seiner Daten verantwortlich ist – also eine geteilte Verantwortung. Wie  viel bzw. was dabei vom Cloud Provider übernommen wird, hängt vom gewählten  Servicemodell (SaaS, PaaS, IaaS, etc) ab. 

Besonders bei Anbietern mit US-Ansässigkeit, z.B. Microsoft, Amazon etc., kommen  datenschutzrechtliche Zusatzrisiken hinzu (z.B. mögliche Zugriffe ausländischer 

Behörden). Diese müssen bewusst bewertet werden – sie lassen sich nicht einfach  „wegverhandeln“. 

Typische Schwachstellen in der Praxis 

In vielen Organisationen zeigen sich ähnliche Muster, etwa: 

• unklare oder unzureichende Verschlüsselung, 
• fehlende Risikobewertung der Daten (welche Daten sind kritisch, welche  weniger?), 
• keine oder verspätete Datenschutz-Folgenabschätzung (DSFA) bei risikoreichen  Verarbeitungen, 
• unvollständige oder fehlende Auftragsverarbeitungsverträge (AVV) mit Cloud Provider oder IT-Dienstleister, 
• inkonsistentes Berechtigungsmanagement, bei dem Zugriffe „nebenbei“ vergeben  werden. 

Die Folge: Unsicherheit in Audits, Diskussionen mit Kunden und erhöhte persönliche  Haftungsrisiken für Leitung und Verantwortungsträger. 

Strukturiertes Vorgehen für sichere Cloud-Entscheidungen 

Ein professioneller Cloud-Entscheid verbindet rechtliche, organisatorische, technische  und wirtschaftliche Aspekte. Bewährt hat sich ein Vorgehen in fünf Schritten: 

1. Klarheit über Daten und Risiken – Risikoanalyse 

Identifikation personenbezogener, sensitiver Daten (z.B. Gesundheits-, Kunden und Mitarbeiterdaten) und Analyse möglicher Auswirkungen bei Verlust,  Manipulation oder Nichtverfügbarkeit. 

2. Risikobewertung 

Bewertung von Gefährdungen wie unbefugtem Zugriff, Datenleck, Ausfall oder  Ausspähung – in der eigenen Organisation, bei der Datenübertragung und beim  Provider. 

3. Schutzziele und Anforderungen definieren 

Vertraulichkeit, Integrität, Verfügbarkeit, Datenminimierung und Nachweisbarkeit  werden in konkrete technische, organisatorische und vertragliche Anforderungen  übersetzt. 

4. Cloud-Anbieter prüfen und auswählen 

Abgleich der Leistungen mit den definierten Anforderungen: Sicherheitsniveau,  Verschlüsselung, Protokollierung, SLAs, Standorte, ggf. US-Bezug und ergänzende  Massnahmen wie Verschlüsselung oder Pseudonymisierung. 

5. Verzahnung mit Compliance und Alltag 

Durchführung einer DSFA (falls erforderlich), Abschluss belastbarer AV-Verträge,  klare Cloud-Richtlinien und Prozesse, sowie praxisnahe Schulungen für  Mitarbeitende.

Warum sich ein Cloud-Risiko-Check lohnt 

Ein strukturierter Cloud-Risiko-Check verschafft der Geschäftsleitung: 

• eine objektive Entscheidungsgrundlage für Auswahl oder Weiterführung einer  Cloud-Lösung, 
• Transparenz über Risiken, Verantwortlichkeiten und Pflichten, • und eine klare Roadmap, welche Massnahmen in welcher Reihenfolge umzusetzen  sind. 

So wird die Cloud nicht zur Schwachstelle, sondern zur stabilen Basis für Digitalisierung  und Innovation – mit kontrollierbaren Risiken und klaren Nachweisen gegenüber Kunden,  Partnern, Audits und Aufsichtsbehörden.