Cloud Datenschutz: DSGVO-konforme Nutzung von Cloud-Diensten

Cloud-Speicher sind aus dem modernen Unternehmensalltag nicht mehr wegzudenken. Die dezentrale Speicherung erlaubt eine einfache und robuste Datensicherung sowie eine simple Verfügbarmachung von Daten innerhalb der Belegschaft.

Das Thema Datenschutz wird dabei jedoch häufig vernachlässigt. Dabei müssen sich Unternehmen neben technischen auch rechtlichen Herausforderungen stellen, insbesondere im Hinblick auf die Einhaltung der Datenschutzgrundverordnung (DSGVO).

Verstöße gegen diese können zu hohen Bußgeldern sowie zum Vertrauensverlust bei Kunden und Partnern führen.

Dieser Artikel erläutert, welche Anforderungen an eine DSGVO-konforme Cloud-Nutzung gestellt werden, welche Risiken bestehen und wie Unternehmen mit der richtigen Anbieterwahl, vertraglichen Absicherung und Sicherheitsmaßnahmen ihre Cloud-Daten effektiv schützen können.

Das Wichtigste in Kürze

• Wählen Sie Cloud-Anbieter mit Sitz in Deutschland oder der EU, um Drittlandübermittlungen zu minimieren und datenschutzrechtliche Risiken zu reduzieren.
• Schließen Sie mit Ihrem Cloud-Anbieter in jedem Fall einen Auftragsverarbeitungsvertrag (AVV) ab.
• Setzen Sie wichtige technische und organisatorische Maßnahmen (TOM) wie die Nutzung von Ende-zu-Ende-Verschlüsselung für sensible Daten, Multi-Faktor-Authentifizierung und das Management von Benutzerrollen und Zugriffsrechten um.
• Bei US-Anbietern wie Microsoft oder Google prüfen Sie, ob das EU-US Data Privacy Framework greift oder zusätzliche Maßnahmen und Standardvertragsklauseln erforderlich sind.
• Geschäftsführer können bei Datenschutzverstößen persönlich haften, insbesondere bei Organisationsverschulden oder mangelhafter Aufsicht. Auch IT-Verantwortliche können in Einzelfällen haftbar gemacht werden, wenn ihnen ein persönliches Fehlverhalten nachgewiesen wird.

Cloud-Computing und Datenschutz – Wichtige Grundlagen

Cloud Computing bezeichnet die Bereitstellung von Speicher, Rechenleistung und Anwendungen über das Internet. Statt eigene Server zu betreiben, greifen Unternehmen auf die IT-Infrastruktur großer Anbieter wie Microsoft Azure, Amazon Web Services (AWS), Google Cloud Platform oder die Telekom Open Telekom Cloud zu. Die Vorteile liegen auf der Hand: Skalierbarkeit, Kostentransparenz und Zugriff von überall.

Dabei werden Daten nicht mehr im eigenen Rechenzentrum gespeichert, sondern dezentral in verteilten Rechenzentren. Für Nutzer ist dabei oft nicht unmittelbar erkennbar, wo ihre Dateien physisch liegen.

Personenbezogene Daten, die in der Cloud gespeichert werden, unterliegen dabei den strengen Auflagen der DSGVO unabhängig davon, welchen Dienst Sie nutzen.

Beispiele von personenbezogenen Daten in der Cloud:

• Kundendaten aus CRM-Systemen
• Mitarbeiterdaten für Lohnabrechnung und HR
• E-Mail-Kommunikation und Support-Tickets
• Logdaten mit IP-Adressen

Arten von Cloud-Diensten (IaaS, PaaS, SaaS)

Die Cloud-Nutzung lässt sich in drei klassische Service-Modelle unterteilen:

Infrastructure as a Service (IaaS): Sie mieten virtuelle Server, Speicherplatz und Netzwerkressourcen. Beispiele sind AWS EC2, Hetzner Cloud oder IONOS Cloud. Sie verwalten Betriebssystem, Patches und Anwendungen selbst.

Platform as a Service (PaaS): Der Anbieter stellt eine Entwicklungsplattform bereit. Beispiele sind Heroku oder Google App Engine. Sie kümmern sich nur noch um Ihre Anwendung, nicht um die darunterliegende Infrastruktur.

Software as a Service (SaaS): Fertige Anwendungen werden über den Browser genutzt. Beispiele sind Microsoft 365, Salesforce, Dropbox oder Online-Office-Lösungen wie Google Workspace.

Wichtig: Die technische Verantwortung verteilt sich je nach Modell unterschiedlich zwischen Anbieter und Kunde. Die datenschutzrechtliche Verantwortung nach Art. 4 Nr. 7 DSGVO bleibt jedoch immer beim Unternehmen.

Diese Unterschiede werden bei der Auswahl und den technischen und organisatorischen Maßnahmen (TOM) relevant.

Datenschutzrechtliche Grundlagen für die Cloud (DSGVO & BDSG)

Die DSGVO gilt seit dem 25. Mai 2018 in der gesamten EU und wird in Deutschland durch das Bundesdatenschutzgesetz (BDSG) ergänzt. Beide Regelwerke bilden den rechtlichen Rahmen für den Datenschutz bei Cloud Computing.

Relevante DSGVO-Artikel für Cloud Datenschutz:

• Art. 5: Grundsätze der Verarbeitung – Zweckbindung, Datenminimierung, Integrität
• Art. 6: Rechtsgrundlagen – Legitimation jeder Datenverarbeitung
• Art. 28: Auftragsverarbeitung – AVV-Pflicht mit Cloud-Anbieter
• Art. 32: Sicherheit der Verarbeitung – Technische und organisatorische Maßnahmen
• Art. 44 ff.: Drittlandsübermittlung – Regeln für Datentransfer außerhalb EU

Cloud-Anbieter sind regelmäßig Auftragsverarbeiter (Processor). Das Unternehmen, das den Dienst nutzt, bleibt Verantwortlicher (Controller) mit allen Pflichten und Haftungsrisiken.

Personenbezogene und besondere Kategorien von Daten

Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen:

• Name
• E-Mail-Adresse
• Telefonnummer
• IP-Adressen und Standortdaten
• Kundennummern und Nutzer-IDs
• Fotos und biometrische Daten

Besondere Kategorien nach Art. 9 DSGVO unterliegen einem erhöhten Schutzniveau:

• Gesundheitsdaten (z. B. Patientenakten in Praxissoftware)
• Religionszugehörigkeit
• Gewerkschaftszugehörigkeit
• Genetische und biometrische Daten
• Daten zur sexuellen Orientierung

Unterschied Anonymisierung vs. Pseudonymisierung: Anonymisierte Daten fallen nicht mehr unter die DSGVO, da kein Personenbezug herstellbar ist, sofern eine Re-Identifizierung auch mit zusätzlichen Informationen praktisch ausgeschlossen ist. Pseudonymisierte Daten (z. B. mit verschlüsselter ID statt Name) bleiben personenbezogen und unterliegen weiterhin dem Datenschutz. Achtung: Die Abgrenzung kann im Einzelfall komplex sein.

DSGVO-Anforderungen bei der Nutzung von Cloud-Anbietern

Wer Cloud-Dienste nutzt, muss die Grundprinzipien der DSGVO einhalten. Diese Anforderungen gelten unabhängig davon, ob Sie Microsoft 365, AWS oder einen kleinen spezialisierten Anbieter nutzen.

Die DSGVO-Grundprinzipien (Art. 5):

1. Rechtmäßigkeit, Fairness, Transparenz: Verarbeitung nur auf legaler Basis, offen kommuniziert
2. Zweckbindung: Daten nur für festgelegte, legitime Zwecke nutzen
3. Datenminimierung: Nur erforderliche Daten erheben
4. Richtigkeit: Daten aktuell und korrekt halten
5. Speicherbegrenzung: Löschung, wenn nicht mehr benötigt
6. Integrität und Vertraulichkeit: Schutz vor unbefugtem Zugriff
7. Rechenschaftspflicht: Nachweisbarkeit der Einhaltung

Die Informationspflichten nach Art. 13/14 DSGVO verlangen zudem unter Umständen, dass Betroffene über die Cloud-Nutzung informiert werden.

Auftragsverarbeitung und AV-Vertrag

Bei der Nutzung von Cloud-Dienstleistern liegt in den meisten Fällen eine Auftragsverarbeitung vor. Das bedeutet: Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist zwingend erforderlich.

Mindestinhalte eines AVV:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten
• Kategorien betroffener Personen (Kunden, Mitarbeitende)
• Pflichten des Auftragsverarbeiters
• Regelungen zu Löschung und Rückgabe
• Unterstützung bei Betroffenenrechten
• Technisch-organisatorische Maßnahmen (TOM)
• Liste der Unterauftragsverarbeiter

Große Anbieter wie Microsoft, Google oder Amazon stellen vorformulierte AV-Verträge bereit. Diese müssen aktiv abgeschlossen oder in den Kontoeinstellungen bestätigt werden, ein bloßes Nutzen des Dienstes reicht nicht.

Ohne AVV ist der Einsatz rechtswidrig. Aufsichtsbehörden haben bereits Bußgelder für die unzulässige Nutzung von Cloud- und Tracking-Diensten verhängt.

Datenübermittlung in Drittländer (USA, UK, etc.)

Der Transfer von Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in die USA, ist nur dann erlaubt, wenn die strengen Anforderungen der Artikel 44 ff. der DSGVO eingehalten werden.

Dabei gibt es verschiedene rechtliche Grundlagen, die eine solche Übermittlung legitimieren können.

Ein sogenannter Angemessenheitsbeschluss der Europäischen Kommission bescheinigt, dass ein Drittland ein vergleichbares Datenschutzniveau wie die EU bietet, sodass personenbezogene Daten aus der EU dorthin übermittelt werden dürfen. Beispiele für Länder, für die aktuell ein Angemessenheitsbeschluss gilt, sind unter anderem:

• Schweiz
• Kanada (für kommerzielle Organisationen)
• Japan
• Neuseeland
• Israel
• Argentinien
• Südkorea
• Großbritannien (nach dem Brexit)
• Uruguay

Diese Liste kann sich ändern, daher ist es wichtig, regelmäßig die offiziellen Informationen der EU-Kommission zu prüfen.

Seit Juli 2023 können Unternehmen zudem auf das EU-US Data Privacy Framework (DPF) zurückgreifen, das eine rechtssichere Übermittlung von personenbezogenen Daten in die USA ermöglicht. Voraussetzung ist, dass der jeweilige US-Anbieter aktiv nach dem EU-US Data Privacy Framework zertifiziert ist.

Dies vereinfacht insbesondere die Nutzung von großen amerikanischen Anbietern wie Google, Dropbox oder Amazon (AWS) erheblich. Allerdings besteht die Möglichkeit, dass der Angemessenheitsbeschluss für das DPF mittelfristig wieder entzogen werden könnte.

Liegt kein Angemessenheitsbeschluss vor, können Standardvertragsklauseln (SCC) genutzt werden, die einen DSGVO-konformen Datenschutz zusichern. Problematisch für Unternehmen ist jedoch, dass sie in der Verantwortung sind, sicherzustellen, dass dieses tatsächlich eingehalten wird. In der Praxis ist die Umsetzung der zusätzlichen Schutzmaßnahmen häufig komplex und mit erheblichem Prüfaufwand verbunden. Ein Restrisiko bleibt bestehen, insbesondere bei Zugriffsmöglichkeiten ausländischer Behörden.

Der beste Weg, um dieses Risiko zu reduzieren, ist die Nutzung von EU-, oder besser: in Deutschland basierten Anbietern wie IONOS, der Telekom oder Hetzner.

Neben diesen häufig genutzten rechtlichen Grundlagen gibt es noch einen Sonderfall für die konzerninterne Datenübermittlungen über die EU-Grenzen hinweg, wenn sogenannte Binding Corporate Rules (BCR) genutzt werden.

Datensicherheit in der Cloud: Technische und organisatorische Maßnahmen

Art. 32 DSGVO verpflichtet Unternehmen und Cloud-Anbieter, ein „angemessenes Schutzniveau” sicherzustellen. Was angemessen ist, hängt ab von:

• Risiko für die Rechte der Betroffenen
• Stand der Technik
• Implementierungskosten
• Art und Umfang der Daten

Im Folgenden fassen wir die wichtigsten technischen und organisatorischen Maßnahmen für die DSGVO-konforme Nutzung von Cloud-Anbietern in Kürze zusammen.

Technische Maßnahmen: Verschlüsselung, Zugriffskontrolle, Protokollierung

Verschlüsselung:

• Data at Rest: Verschlüsselung gespeicherter Daten in Rechenzentren (serverseitige Verschlüsselung)
• Data in Transit: TLS 1.2/1.3 für alle HTTPS-Verbindungen
• Ende-zu-Ende-Verschlüsselung: Bei besonders sensiblen Dokumenten Tools wie Boxcryptor, Tresorit oder Nextcloud E2E-Optionen nutzen

Zugriffskontrolle:

• Starke Passwörter mit Passwortmanager
• Multi-Faktor-Authentifizierung (MFA) für alle Konten bei Microsoft, Google, AWS
• Authenticator-Apps oder FIDO2-Sicherheitsschlüssel statt SMS

Protokollierung und Monitoring:

• Regelmäßige Prüfung von Zugriffen, Logins und Freigaben
• Security Center in Microsoft 365 nutzen
• AWS CloudTrail für Audit-Logs aktivieren
• Auffällige Aktivitäten automatisch melden lassen

Organisatorische Maßnahmen: Prozesse, Rollen, Schulungen

Rollen und Berechtigungskonzepte:

• Prinzip der minimalen Rechte (Least Privilege)
• Getrennte Rollen für Admin, HR, Vertrieb, IT
• Keine geteilten Konten, jeder Nutzer hat eigenen Zugang

Richtlinien für sichere Cloud-Nutzung:

• Verbot privater Dropbox-Accounts für Kundendaten
• Pflicht zur Nutzung des Unternehmens-OneDrive
• Klare Regeln für mobiles Arbeiten und Remote Access

Schulungen (mindestens jährlich):

• Phishing-Erkennung
• Sichere Passwörter und Passwortmanager
• Umgang mit vertraulichen Dokumenten
• Meldewege bei Verdacht auf Sicherheitsvorfälle

Incident-Response-Prozesse:

• Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehörde melden (Art. 33 DSGVO)
• Interner Meldeprozess mit klaren Zuständigkeiten
• Dokumentation aller Vorfälle

Auswahl eines DSGVO-konformen Cloud-Anbieters

Die Anbieterauswahl ist ein zentraler Schritt zur DSGVO-Compliance. Entscheidend sind vor allem Standort, Sicherheitsniveau und Vertragsgestaltung.

Seit dem EuGH-Urteil Schrems II (Juli 2020) und der Einführung des EU-US Data Privacy Framework mussten viele Unternehmen ihre Cloud-Verträge überprüfen. Die Auswahl eines DSGVO-konformen Anbieters spart langfristig Zeit und vermeidet rechtliche Risiken.

Standort von Anbieter und Rechenzentren

Relevant sind sowohl der Unternehmenssitz als auch der physische Speicherort der Daten. Ein deutscher Anbieter mit Hosting in US-Rechenzentren bietet weniger Schutz als ein EU-Hosting.

Auswahlkriterien:

• Serverstandort in der EU/EWR
• Kein Durchgriff von Drittstaaten-Behörden
• Transparenz über Subunternehmer und deren Standorte
• Vertraglich garantierte Datenlokalisierung

Labels und Initiativen:

• Trusted Cloud des BMWK als Orientierungshilfe
• GAIA-X als europäisches Cloud-Projekt
• Made in Germany als Qualitätsmerkmal

Zertifikate und Sicherheitsnachweise

Zertifikate signalisieren IT-Sicherheit und erleichtern die Anbieterprüfung:

Zertifikate und ihre Aussagekraft:

• ISO/IEC 27001: Etabliert ein Informationssicherheits-Managementsystem.
• ISO/IEC 27018: Schützt personenbezogene Daten in der Cloud.
• BSI C5: Erfüllt cloud-spezifische Sicherheitsanforderungen des BSI.
• SOC 2: US-Standard für Sicherheit, Verfügbarkeit und Vertraulichkeit.
• Trusted Cloud Datenschutz Profil (TCDP): Deutscher Datenschutz-Standard für Clouds.
• Cloud Computing Zertifikat: Nachweis spezifischer Cloud-Kompetenzen.

Wichtig: ISO 27001 ist ein starkes Signal für IT-Sicherheit, aber kein automatischer Nachweis für vollständige DSGVO-Konformität. Ergänzend sollten TOM-Beschreibungen und Datenschutzbestimmungen geprüft werden.

Achten Sie darauf, dass Zertifikate regelmäßig erneuert werden.

Nutzungsbedingungen, AGB und Datenschutzbestimmungen

AGB und Datenschutzrichtlinien regeln, welche Daten zu welchen Zwecken verarbeitet werden. Prüfen Sie kritisch:

Prüffragen für AGB und Datenschutzbestimmungen:

• Werden Daten für eigene Zwecke des Anbieters genutzt (Analyse, Marketing)?
• Welche Löschfristen gelten?
• Wer sind die Unterauftragsverarbeiter?
• Welche Rechte hat der Anbieter an den Inhalten?
• Sind die Datenschutzstandards mit den eigenen Bestimmungen vereinbar?

Empfehlungen:

• AVV muss integraler Vertragsbestandteil sein
• Widersprüchliche AGB-Klauseln vermeiden
• Vor Vertragsabschluss Rechtsanwalt oder Datenschutzbeauftragte einbeziehen
• Bei großen SaaS-Projekten (CRM, ERP, HR) besondere Sorgfalt walten lassen

Beispiele für EU-basierte Cloud-Anbieter

Die folgenden Anbieter haben ihren Unternehmensstandort sowie ihre Serverstandorte in der EU und können daher bei der Wahl eines geeigneten Dienstes gesondert berücksichtigt werden. Die reine Anbieterwahl ist dabei jedoch keine Garantie für eine DSGVO-konforme Nutzung, wenn nicht auch die anderen Aspekte wie technische und organisatorische Maßnahmen (TOM) beachtet werden.

Beispiele für europäische Anbieter:

• IONOS Cloud
• Telekom MagentaCLOUD
• Nextcloud-Hosting in deutschen Rechenzentren
• Hetzner Cloud

Haftung und Betroffenenrechte bei Datenschutzverstößen

Trotz Auslagern in die Cloud bleibt das Unternehmen Verantwortlicher und haftet bei Datenschutzverstößen. Ein offener S3-Bucket oder falsch konfigurierte Freigaben können bereits zu Strafen durch Aufsichtsbehörden führen.

Die Haftungsverteilung zwischen Verantwortlichem und Auftragsverarbeiter ist in der DSGVO geregelt. Vertragliche Haftungsbeschränkungen gegenüber Betroffenen wirken nur eingeschränkt.

Neben Bußgeldern drohen:

• Schadensersatzansprüche von Betroffenen (Art. 82 DSGVO)
• Reputationsschäden
• Abmahnungen und Unterlassungsklagen

Datenschutzverstöße in der Cloud: Meldepflichten und Reaktion

Eine meldepflichtige Datenschutzverletzung nach Art. 4 Nr. 12 DSGVO liegt vor bei:

• Unbefugtem Zugriff auf personenbezogene Daten
• Verlust oder Diebstahl von Daten
• Unbeabsichtigte Offenlegung (z. B. durch Fehlkonfiguration)
• Gehackte Cloud-Konten

Die 72-Stunden-Frist: Ab Kenntnis der Verletzung müssen Sie die zuständige Aufsichtsbehörde informieren.

Vereinbarungen mit dem Cloud-Anbieter:

• Klare Regelung zur Meldung von Sicherheitsvorfällen im AVV
• Security Incident Notification
• Zugang zu Statusseiten und Ticket-Systemen

Checkliste bei Cloud-Datenpanne:

1. Vorfall eingrenzen und dokumentieren
2. Betroffene Zugänge sperren
3. Protokolle und Logs prüfen
4. Risiko für Betroffene bewerten
5. Meldung an Aufsichtsbehörde vorbereiten
6. Ggf. Betroffene informieren

Haftungsfragen gegenüber Kunden, Mitarbeitenden und Behörden

Kernaussagen zur Haftung:

• Unternehmen haften gegenüber Kunden und Mitarbeitenden bei Verstößen
• Schadensersatz umfasst auch immateriellen Schaden 
• Haftungsbeschränkungen wirken regelmäßig nur im Innenverhältnis zwischen Auftraggeber und Auftragsverarbeiter, nicht jedoch gegenüber betroffenen Personen oder Aufsichtsbehörden
• Gegenüber Betroffenen und Behörden bleiben Sie voll verantwortlich
• Vorstände und Geschäftsführer können persönlich haften

Risikominimierung:

• Technische Maßnahmen konsequent umsetzen
• Gründliche Anbieterprüfung dokumentieren
• Cyber-Versicherung prüfen
• Regelmäßige Audits durchführen

Fazit: So gelingt Cloud Datenschutz in der Praxis

DSGVO-konforme Cloud-Nutzung ist möglich und für viele Unternehmen durch Remote Work und Homeoffice unverzichtbar geworden. Durch eine sorgfältige Anbieterauswahl, sichere Verträge, die richtige Konfiguration, technische und organisatorische Maßnahmen (TOM) und eine laufende Überprüfung der bestehenden Prozesse können Unternehmen ihre Risiken managen und die Vorteile von Cloud-Computing bestmöglich nutzen.

Kommt es hingegen zu Datenschutzverstößen, liegt die Verantwortung beim Unternehmen. Es drohen Bußgelder und Haftungsansprüche von Betroffenen. Nehmen Sie daher das Thema Datenschutz in der Cloud unbedingt ernst.

Lassen Sie sich im Zweifel professionell beraten. Wir unterstützen Sie dabei, Cloud-Anbieter und andere Dienstleister DSGVO-konform in Ihre Unternehmensprozesse einzubinden, potenzielle Schwächen und Haftungsrisiken zu minimieren und den Datenschutz in Ihrem Unternehmen insgesamt auf ein solides Fundament zu stellen.

FAQ zu Cloud Datenschutz (häufige Fragen)

Darf ich US-Cloud-Dienste wie Microsoft 365 oder Google Workspace nach DSGVO nutzen?

Ja, die Nutzung ist grundsätzlich möglich, wenn bestimmte Voraussetzungen erfüllt werden. Unternehmen müssen einen DSGVO-konformen AV-Vertrag abschließen, die Datenübermittlung in die USA nach Art. 44 ff. DSGVO absichern (derzeit über das EU-US Data Privacy Framework) und technische sowie organisatorische Schutzmaßnahmen implementieren. Zudem sollten die Aufsichtsbehörden-Empfehlungen beachtet und dokumentiert werden.

Brauche ich für jede Cloud-Anwendung einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten?

Ja, sofern in der Cloud personenbezogene Daten verarbeitet werden, muss die jeweilige Verarbeitungstätigkeit nach Art. 30 DSGVO dokumentiert werden. In der Praxis wird häufig pro Geschäftsprozess (z. B. „E-Mail-Kommunikation mit Microsoft 365”, „Kundenverwaltung im CRM X”) ein Eintrag angelegt, in dem die Nutzung des jeweiligen Cloud-Dienstes einschließlich Anbieter, Speicherort und Rechtsgrundlage beschrieben ist.

Reicht es aus, wenn der Cloud-Anbieter in seiner Werbung mit „DSGVO-konform” wirbt?

Nein, ein bloßes Werbeversprechen genügt nicht. Unternehmen müssen selbst prüfen und dokumentieren, ob der Anbieter tatsächlich die Anforderungen erfüllt – etwa durch Einsicht in AV-Vertrag, TOM-Beschreibungen, Zertifikate (ISO 27001, BSI C5 etc.), Angaben zum Datenstandort sowie zum Umgang mit Unterauftragsverarbeitern. Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO liegt beim Unternehmen.

Sind private Cloud-Nutzungen (z. B. Familienfotos in der iCloud) von der DSGVO betroffen?

Die rein persönliche oder familiäre Nutzung (Haushaltsausnahme nach Erwägungsgrund 18 DSGVO) fällt in der Regel nicht unter die DSGVO. Sobald jedoch personenbezogene Daten außerhalb des rein privaten Bereichs verarbeitet werden, etwa Kundendaten eines Kleinunternehmens in einem privaten Cloud-Konto, greift die DSGVO vollständig und es gelten die gleichen Anforderungen wie für größere Unternehmen.

Muss ich Betroffene informieren, wenn ich ihre Daten in einer Cloud speichere?

Ja, nach Art. 13 und 14 DSGVO müssen Betroffene informiert werden, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden, welche Empfänger und Auftragsverarbeiter eingebunden sind und ob eine Übermittlung in Drittländer stattfindet. In der Praxis wird dies über eine Datenschutzerklärung (z. B. auf der Website) und ergänzende Hinweise in Verträgen oder Formularen umgesetzt, in denen der Einsatz bestimmter Cloud-Dienste (z. B. Newsletter-Tool, Terminbuchungsplattform, CRM) transparent gemacht wird.