Cloud-Nutzung unterliegt denselben regulatorischen Anforderungen wie On-Premise-Betrieb — teilweise mit zusätzlichen Spezifika. DSGVO, NIS2, DORA und branchenspezifische Normen definieren was Unternehmen in der Cloud beachten müssen.
Was bedeutet DSGVO in der Cloud
DSGVO-Anforderungen für Cloud: Datenverarbeitung nur in EU/EWR oder mit geeigneten Garantien (Standardvertragsklauseln, Angemessenheitsbeschluss). Auftragsverarbeitungsvertrag (AVV) mit Cloud-Anbieter Pflicht. Keine Übermittlung in USA ohne Rechtsbasis (Schrems II beachten). Datenlöschung nach Ende der Verarbeitung sicherstellen.
Was ist das BSI C5-Testat
BSI Cloud Computing Compliance Criteria Catalogue (C5): deutscher Standard für Cloud-Sicherheit. Prüft Cloud-Anbieter auf 17 Themenbereiche. Testat-Typen: Typ 1 (Eignung der Kontrollen), Typ 2 (Wirksamkeit über Zeitraum). Relevant für: Behörden, KRITIS, Unternehmen die BSI-konforme Cloud suchen. AWS, Azure, GCP haben C5-Testate.
Was fordert NIS2 bei Cloud-Nutzung
NIS2 Art. 21(d): Sicherheit der Lieferkette — Cloud-Anbieter sind Lieferanten. Anforderungen: Sicherheitsbewertung vor Auswahl, Vertragsklauseln mit Sicherheitsanforderungen, laufendes Monitoring. Art. 21(c): BCM — Cloud-Ausfälle in BCP berücksichtigen. NIS2-Unternehmen müssen Cloud-Nutzung in ihrem ISMS erfassen und bewerten.
Was fordert DORA bei Cloud-Nutzung
DORA (Finanzsektor): Cloud-Anbieter sind IKT-Drittdienstleister. Art. 28–44: umfassendes Third-Party-Risk-Management. Register kritischer Drittanbieter. Risikobasierte Vertragsanforderungen (Auditrechte, SLAs, Exit-Strategie). Konzentrationsrisiko (zu viele Systeme bei einem Anbieter). Meldepflicht bei Vorfällen mit Cloud-Bezug.
Was sind Cloud-Zertifizierungen und warum sind sie wichtig
Relevante Zertifizierungen: ISO 27001 (Basis), ISO 27017 (Cloud-spezifische Controls), ISO 27018 (personenbezogene Daten in Cloud), SOC 2 Type II (Betriebskontrollen über Zeit), C5 (BSI, Deutschland), FedRAMP (USA, für Behörden). Wichtig für: Lieferantenbewertung, Compliance-Nachweis, Vertrauensbildung. Zertifikat ist Nachweis — aber kein Freifahrtschein.
✓ Checkliste: Welche Compliance-Anforderungen gelten in der Cloud?
- Verantwortlichkeiten klar definiert
- Dokumentation vollständig und aktuell
- Risikoanalyse durchgeführt
- Maßnahmen priorisiert und umgesetzt
- Mitarbeiter geschult
- Regelmäßige Überprüfung geplant
- Management informiert und eingebunden
- Compliance-Anforderungen erfüllt
- Technische Maßnahmen implementiert
- Auditierbarkeit sichergestellt
Fazit
Das Thema Welche Compliance-Anforderungen gelten in der Cloud? ist für moderne Unternehmen unverzichtbar. Es schützt vor Risiken, erfüllt regulatorische Anforderungen und schafft Vertrauen bei Kunden und Partnern. APASEC unterstützt Sie dabei — von der ersten Analyse bis zur nachhaltigen Umsetzung.
APASEC unterstützt Sie bei der professionellen Umsetzung — praxisnah und auf Ihr Unternehmen zugeschnitten. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
DSGVO-Anforderungen für Cloud: Datenverarbeitung nur in EU/EWR oder mit geeigneten Garantien (Standardvertragsklauseln, Angemessenheitsbeschluss). Auftragsverarbeitungsvertrag (AVV) mit Cloud-Anbieter Pflicht. Keine Übermittlung in USA ohne Rechtsbasis (Schrems II beachten). Datenlöschung nach Ende der Verarbeitung sicherstellen.
BSI Cloud Computing Compliance Criteria Catalogue (C5): deutscher Standard für Cloud-Sicherheit. Prüft Cloud-Anbieter auf 17 Themenbereiche. Testat-Typen: Typ 1 (Eignung der Kontrollen), Typ 2 (Wirksamkeit über Zeitraum). Relevant für: Behörden, KRITIS, Unternehmen die BSI-konforme Cloud suchen. AWS, Azure, GCP haben C5-Testate.
NIS2 Art. 21(d): Sicherheit der Lieferkette — Cloud-Anbieter sind Lieferanten. Anforderungen: Sicherheitsbewertung vor Auswahl, Vertragsklauseln mit Sicherheitsanforderungen, laufendes Monitoring. Art. 21(c): BCM — Cloud-Ausfälle in BCP berücksichtigen. NIS2-Unternehmen müssen Cloud-Nutzung in ihrem ISMS erfassen und bewerten.
DORA (Finanzsektor): Cloud-Anbieter sind IKT-Drittdienstleister. Art. 28–44: umfassendes Third-Party-Risk-Management. Register kritischer Drittanbieter. Risikobasierte Vertragsanforderungen (Auditrechte, SLAs, Exit-Strategie). Konzentrationsrisiko (zu viele Systeme bei einem Anbieter). Meldepflicht bei Vorfällen mit Cloud-Bezug.
Relevante Zertifizierungen: ISO 27001 (Basis), ISO 27017 (Cloud-spezifische Controls), ISO 27018 (personenbezogene Daten in Cloud), SOC 2 Type II (Betriebskontrollen über Zeit), C5 (BSI, Deutschland), FedRAMP (USA, für Behörden). Wichtig für: Lieferantenbewertung, Compliance-Nachweis, Vertrauensbildung. Zertifikat ist Nachweis — aber kein Freifahrtschein.