Strategie, Automatisierung & Security

Was ist DSGVO / Datenschutz in der Cloud?

Die DSGVO (Datenschutz-Grundverordnung) regelt EU-weit, wie personenbezogene Daten rechtmäßig verarbeitet werden dürfen. Datenschutz in der Cloud bedeutet, diese Vorgaben auch dann einzuhalten, wenn Daten bei einem Cloud-Anbieter wie Microsoft Azure verarbeitet werden – etwa durch Auftragsverarbeitung, Verschlüsselung, Zugriffskontrolle und die Wahl geeigneter Speicherorte.

Auch bekannt als: DSGVO · GDPR · Datenschutz · Auftragsverarbeitung · DSGVO-Konformität

01

Einordnung: Wofür wird das genutzt?

Die DSGVO gibt Grundsätze vor: Daten dürfen nur zweckgebunden, datenminimierend und auf einer Rechtsgrundlage verarbeitet werden, und Betroffene haben Rechte wie Auskunft oder Löschung. In der Cloud kommt hinzu, dass die Verantwortung geteilt ist – das Unternehmen bleibt Verantwortlicher, der Cloud-Anbieter wird zum Auftragsverarbeiter, geregelt über einen Auftragsverarbeitungsvertrag (AVV).

Praktisch heißt Datenschutz in der Cloud, technische und organisatorische Maßnahmen so zu gestalten, dass die DSGVO-Prinzipien eingehalten werden: Wahl einer EU-Region für die Datenhaltung, Verschlüsselung in Ruhe und bei der Übertragung, strenge Zugriffskontrolle und nachvollziehbare Protokollierung. Sicherheit und Datenschutz greifen hier eng ineinander.

02

Beispiel aus der Praxis

Eine SaaS-Plattform für die Versicherungsbranche verarbeitet personenbezogene Daten und muss von Beginn an DSGVO-konform sein. Die Infrastruktur wird in einer EU-Region von Azure betrieben, Geheimnisse liegen in einem verwalteten Tresor, Zugriffe erfordern Multifaktor-Authentifizierung und der Datenverkehr ist verschlüsselt. So ist die Verarbeitung nicht nur sicher, sondern auch datenschutzrechtlich belastbar dokumentiert.

03

Vorteile & typische Anwendungsfälle

Datenschutzkonforme Cloud-Architektur schafft Rechtssicherheit und Vertrauen – gerade in regulierten Branchen.

  • Rechtssichere Verarbeitung personenbezogener Daten mit dokumentierter Grundlage
  • Datenhaltung in EU-Regionen zur Reduktion von Drittlandrisiken
  • Verschlüsselung und strenge Zugriffskontrolle als technische Schutzmaßnahmen
  • Nachvollziehbarkeit für Audits und Betroffenenrechte durch Protokollierung
04

Abgrenzung zu verwandten Begriffen

Datenschutz ist nicht dasselbe wie IT-Sicherheit: Die DSGVO ist ein rechtlicher Rahmen für personenbezogene Daten, IT-Sicherheit liefert die technischen Mittel, um ihn umzusetzen. Datenschutz in der Cloud baut daher auf Maßnahmen wie IAM, MFA, Networking & Security und sicherem Geheimnis-Management auf, ergänzt sie aber um rechtliche und organisatorische Pflichten wie den AVV.

05

Bezug zu smiit

smiit setzt Datenschutz technisch um, statt ihn nur zu versprechen. Für die Claimity AG wurde eine DSGVO-konforme Azure-Infrastruktur als Infrastructure as Code aufgebaut – mit EU-Datenhaltung, Azure Key Vault für Geheimnisse, Keycloak für Identität und MFA sowie Absicherung über Azure Front Door und ein Virtual Network. So ist Datenschutz reproduzierbar in der Architektur verankert und nicht von manueller Sorgfalt abhängig.

Häufige Fehler & Missverständnisse

  • Die DSGVO wird oft als reine Cookie-Banner-Pflicht wahrgenommen — sie regelt jedoch die gesamte Verarbeitung personenbezogener Daten, von der Erhebung bis zur Löschung.
  • Viele meinen, die Nutzung einer Cloud außerhalb der EU sei automatisch unzulässig; entscheidend sind aber geeignete Garantien wie Standardvertragsklauseln und ein angemessenes Schutzniveau.
  • Es wird angenommen, Datenschutz sei allein Sache der IT-Abteilung; tatsächlich betrifft er Prozesse, Verträge und Verantwortlichkeiten im gesamten Unternehmen.

Häufige Fragen

Ist die Nutzung von Microsoft Azure überhaupt DSGVO-konform möglich?

Ja, bei richtiger Gestaltung. Entscheidend sind die Wahl einer EU-Region, ein Auftragsverarbeitungsvertrag, Verschlüsselung und kontrollierte Zugriffe. Die Verantwortung für die korrekte Konfiguration bleibt beim Unternehmen.

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Ein AVV regelt die Pflichten zwischen Verantwortlichem und Auftragsverarbeiter, etwa dem Cloud-Anbieter. Er ist eine zentrale Voraussetzung, um personenbezogene Daten rechtmäßig in der Cloud verarbeiten zu lassen.

Wie hängen Datenschutz und IT-Sicherheit zusammen?

Datenschutz definiert die rechtlichen Anforderungen, IT-Sicherheit liefert die technischen Mittel zur Umsetzung. Ohne angemessene Sicherheitsmaßnahmen wie Verschlüsselung und Zugriffskontrolle ist DSGVO-Konformität praktisch nicht erreichbar.

Reicht es, einfach eine EU-Region für die Datenhaltung zu wählen?

Die Wahl einer EU-Region ist ein wichtiger Baustein, aber für sich genommen nicht ausreichend. Hinzu kommen ein Auftragsverarbeitungsvertrag, technische Maßnahmen wie Verschlüsselung und Zugriffskontrolle sowie organisatorische Pflichten. Auch Support- oder Administrationszugriffe aus Drittländern müssen dabei berücksichtigt werden.

Welche Pflichten bleiben beim Unternehmen, wenn es einen Cloud-Anbieter nutzt?

Das Unternehmen bleibt als Verantwortlicher für die Rechtmäßigkeit der Verarbeitung zuständig – etwa für Rechtsgrundlage, Zweckbindung, Betroffenenrechte und die korrekte Konfiguration. Der Anbieter handelt als Auftragsverarbeiter im Rahmen des AVV, nimmt dem Unternehmen die Verantwortung aber nicht ab.

Passende LeistungDigitale StrategiePassende Case StudyIn 6 Wochen zur produktiven SaaS-Plattform für digitale SchadenprozesseClaimity AG

Verwandte Begriffe

Prozessoptimierung & -automatisierungPower AutomateAI Builder (Dokumentenextraktion / OCR)Stammdatenmanagement (MDM)DevOpsCI/CDIaC (Infrastructure as Code)IT-SicherheitIAM / KeycloakMultifaktor-Authentifizierung (MFA / 2FA)Networking & Security (VNet, Zero Trust)

Quellen & weiterführende Links

Sie möchten dieses Thema in Ihrem Unternehmen umsetzen?

Aktualisiert am · Zurück zum Glossar

Kontaktieren Sie uns