Datenschutz-Anforderungen mit der Cloud erfüllen

In diesem Artikel lesen Sie,

• auf welche Zertifikate für den Datenschutz Cloud Anwender achten müssen,
• welche Zertifizierungsstrategie die Open Telekom Cloud verfolgt und
• welche Zusatzvereinbarungen für Berufsgeheimnisträger und Sozialdatenverarbeitung wichtig sind.

Eine der grundlegendsten und häufigsten Compliance-Fragen im Zusammenhang mit der Cloud ist: „Lassen sich personenbezogene Daten in der Cloud verarbeiten?“ oder „Wie steht es um den Datenschutz in der Cloud?“.

In Europa ist seit 2018 die EU-DSGVO (Datenschutzgrundverordnung) maßgeblich für den Datenschutz. In deren Folge entwickelte die SCOPE Europe in Zusammenarbeit mit Cloud-Unternehmen und EU-Behörden einen Verhaltenskodex, den EU Data Protection Code of Conduct for Cloud Service Providers, kurz „EU Cloud Code of Conduct“ (EU Cloud COC). Dieser soll die einheitliche Durchsetzung der europäischen Datenschutzstandards im Cloud-Computing-Umfeld gemäß der DSGVO sicherstellen.

Die EU Cloud COC regelt also die Rechte und Pflichten beim Umgang mit personenbezogenen Daten in der Cloud, insbesondere bezieht er sich auf die Artikel 28 und 40. Artikel 28 schützt personenbezogene Daten beim Outsourcing (also beim Cloud-Einsatz) und definiert klare Regeln für Cloud Service Provider beim Umgang mit diesen Daten. Artikel 40 ermöglicht es Branchen (in diesem Fall den Cloud-Providern), durch Verhaltensregeln zur Einhaltung der DSGVO beizutragen.

Der EU Cloud COC war lange Zeit einer der maßgeblichen Reports, der belegt, dass Cloud Provider die Datenschutzanforderungen der DSGVO erfüllen. Die regelmäßige Prüfung durch unabhängige Stellen macht ihn zu einem verbindlichen Qualitätsversprechen. Im Laufe der Zeit gesellten sich andere Zertifikate und Testate verschiedener Organisationen hinzu, die ebenfalls Aussagen zur Datenschutzkonformität von Clouds machen. Hier sind u.a. die ISO/IEC 27018 und die ISO/IEC 27701 zu nennen. Aus Kundensicht hat sich aktuell das 27701-Zertifikat aktuell als das maßgebliche herauskristallisiert. Diese akkreditierte Zertifizierung stellt sicher, dass der jeweilige Cloud-Provider ein Privacy Information Management System (PIMS) unterhält und kontinuierlich verbessert.

Kürzlich (im Juli 2025) zertifizierte SCOPE Europe erneut die Open Telekom Cloud nach EU Cloud COC. „Das belegt erneut, dass die Open Telekom Cloud die Anforderungen der EU-DSGVO vollumfänglich erfüllt“, erläutert Daniel Fussy, Zertifizierungs­experte der Open Telekom Cloud. Zudem ist die Open Telekom Cloud nach den Anforderungen der ISO 27701 zertifiziert.

Für spezielle Anwendungsfälle und Berufsgruppen, die höhere Datenschutzanforderungen haben als die DSGVO, bietet die Open Telekom Cloud Verpflichtungen nach § 203 StGB und § 35 SGB I. Diese erlauben den Einsatz der Cloud zur Verarbeitung von Sozialdaten oder für Berufsgeheimnisträger.

Die EU Cloud COC war lange Zeit das Maß der Dinge in puncto Datenschutz. „Aber die meisten unserer Kunden fragen derzeit nach der ISO 27701 zur Bestätigung unserer Datenschutz-Compliance“, so Fussy. Aus diesem Grund wird die Open Telekom Cloud den geprüften EU-Cloud-COC-Verhaltenskodex zum Jahresende 2025 auslaufen lassen. „Der Verhaltenskodex hat uns und unseren Kunden in den letzten Jahren gute Dienste geleistet“. Durch die geänderte Rechtslage aber ist er nun nicht mehr nachgefragt. Absehbar ist, dass in den nächsten zwei bis drei Jahren die ISO 27701 der Standard wird.

Aber auch das bleibt möglicherweise nicht so. Aktuell geht am „Datenschutz-Himmel“ ein neuer Stern auf: AUDITOR , ehemals GDPR CC. Mit AUDITOR kommt ein erster Nachweis nach Artikel 42 EU DSGVO, der auch Rechtverbindlichkeit mit sich bringt. Er wird zwar noch nicht am Markt nachgefragt, erhöht aber für Cloud-Nutzer abermals das Verbindlichkeitsniveau hinsichtlich der Erfüllung europäischer Datenschutzvorgaben. „Als Open-Telekom-Cloud-Team planen wir, uns AUDITOR näher anzuschauen und ggfs. den Zertifizierungsprozess dafür zu starten“, blickt Fussy in die Zukunft.