Cloud-Compliance: Wie Unternehmen rechtliche Hürden überwinden

Von DSGVO bis AI Act – während die meisten deutschen Unternehmen Cloud-Dienste nutzen, wächst ein Dickicht aus Gesetzen, das die rechtssichere Nutzung erschwert. Die Einhaltung regulatorischer Vorgaben entscheidet inzwischen über die Anbieterauswahl und beschäftigt in vielen Firmen direkt die Geschäftsführung.

Die Cloud-Nutzung gehört in deutschen Unternehmen längst zum Alltag. Eine Studie von PwC und ISACA belegt, dass 90 Prozent der Firmen Cloud-Dienste einsetzen. Vorteile wie Flexibilität und Skalierbarkeit überzeugen trotz anfänglicher Bedenken. Die erste Euphorie weicht jedoch einer nüchternen Betrachtung.

Mit dieser Ernüchterung hat sich der Fokus vom „Ob“ zum „Wie“ verschoben. Ein Bitkom-Leitfaden für die Versicherungsbranche zeigt: Statt technischer Migration rückt die strategische Governance in den Mittelpunkt – eine Führungsaufgabe, die über Wettbewerbsfähigkeit und digitale Souveränität entscheidet.

Cloud-Governance: Compliance-Anforderungen verändern IT-Strategien

Die Cloud-Governance-Studie von PwC und ISACA zeigt einen klaren Wandel: Unternehmen priorisieren rechtliche Absicherung und digitale Souveränität statt technischer Features.

  • Compliance entscheidet: Die Einhaltung gesetzlicher Vorgaben ist das wichtigste Kriterium bei der Cloud-Anbieterauswahl.
  • Sicherheit dominiert: Datenschutz und Speicherort übertreffen Kostenaspekte in der Entscheidungsfindung.
  • Kontrolle wahren: Unternehmen bestehen auf selbstverwaltete Verschlüsselungsschlüssel für kritische Daten.
  • Regulierung belastet: Regionale Datenschutzgesetze erschweren die internationale Cloud-Nutzung erheblich.
  • Aufwand wächst: Cloud-Einführungen steigern den Ressourcenbedarf für Sicherheit, Audits und Rechtsberatung.

Diese Entwicklung demonstriert, wie stark regulatorische Anforderungen Cloud-Strategien prägen. Unternehmen müssen ein komplexes Geflecht aus EU-Rechtsakten bewältigen, das stetig wächst. Die neuen Rechtsakte schaffen ein Labyrinth widersprüchlicher Pflichten – ein Dilemma, das wir nun näher betrachten.

EU-Gesetze: Inkonsistente Regelwerke behindern Planbarkeit

Zur DSGVO gesellen sich neue EU-Rechtsakte wie Data Act, AI Act, DORA und die NIS-2-Richtlinie, die ein dichtes Netz aus Pflichten weben. Ein Bitkom-Papier kritisiert Überschneidungen und uneinheitliche Definitionen, die die Rechtssicherheit untergraben. Selbst „Unberührt-Regelungen“ versagen mangels klarer Abgrenzungen.

Diese Inkonsistenzen führen zu konkreten Zielkonflikten im Arbeitsalltag. Die im Data Act verankerten Datenzugriffsrechte stehen potenziell in Konflikt mit den Betroffenenrechten der DSGVO auf Löschung und Berichtigung. Der AI Act schafft ein weiteres Dilemma: Seine Forderung nach Datenvielfalt zur Vermeidung von Diskriminierung steht im direkten Widerspruch zum Datensparsamkeitsgebot der DSGVO. KI-Entwickler stecken in einer Zwickmühle – nutzen sie sensible Daten zur Bias-Vermeidung, riskieren sie erhebliche Haftungsansprüche. Unternehmen benötigen deshalb integrierte Compliance-Strategien, die verschiedene Risikobewertungen zusammenführen und widersprüchliche Anforderungen harmonisieren.

Datentransfer: Transatlantische Datenströme bleiben rechtlich angreifbar

Der transatlantische Datentransfer bleibt für Cloud-Nutzer ein juristisches Minenfeld. Seit der EuGH 2020 mit dem Schrems-II-Urteil den Privacy Shield kippte, hängt der transatlantische Datentransfer rechtlich in der Luft. Der US CLOUD Act hebelt dabei europäische Datenschutzstandards aus: US-Anbieter müssen Behörden wie FBI oder NSA Zugriff auf Kundendaten gewähren – egal ob diese in Frankfurt, Dublin oder Seattle liegen. Das stellt für europäische Unternehmen ein Riesenproblem dar, das Compliance-Verantwortliche vor kaum lösbare Aufgaben stellt. Ein Bitkom-Leitfaden bestätigt die Problematik, dass europäische Datenschutzstandards faktisch ausgehebelt werden.

Zwar hat die EU-Kommission mit dem EU-US Data Privacy Framework einen Nachfolger für den Privacy Shield geschaffen, doch Datenschützer sehen weiterhin erhebliche Mängel. Für Firmen ergeben sich daraus strategische Konsequenzen: Die Wahl des Anbieters, des Speicherorts und des Gerichtsstands entscheidet über die digitale Souveränität. Technische Schutzmaßnahmen gewinnen entscheidende Bedeutung – insbesondere eine durchgehende Datenverschlüsselung mit unternehmenseigener Schlüsselhoheit sichert die Kontrolle über sensible Informationen. Der Kriterienkatalog C5 des BSI adressiert diese Problematik direkt durch seine „Umfeldparameter“, die vollständige Transparenz über den Umgang mit behördlichen Zugriffsanfragen fordern.

Europakarte als digitale Leiterplatte mit leuchtenden Sicherheits-Icons und Netzwerkverbindungen, die die EU-weite Cloud-Regulierung symbolisieren.
Europas digitales Regelwerk: Ein engmaschiges Netz aus Vorschriften und Datenschutzbestimmungen definiert die Rahmenbedingungen für Cloud-Services. (Bild: Google Gemini/stk)

Branchenregulierung: Spezifische Anforderungen erhöhen Komplexität

Neben den allgemeinen EU-Vorschriften existieren strenge branchenspezifische Compliance-Anforderungen, die besondere Aufmerksamkeit erfordern. Im Finanzsektor gibt DORA detaillierte Vorgaben zur Cybersicherheit und zum Risikomanagement für IKT-Systeme vor. Er verpflichtet Finanzunternehmen, ihre digitale Resilienz nachweislich zu stärken und Risiken in digitalen Lieferketten gezielt zu steuern. Weil sich die Cybersicherheitsanforderungen von DORA und AI Act überschneiden, führt kein Weg an einer harmonisierten Umsetzungsstrategie vorbei.

Für das Versicherungswesen definieren die „Versicherungsaufsichtsrechtlichen Anforderungen an die IT“ (VAIT) strenge Regeln für Cloud-Auslagerungen. Versicherer müssen umfassende Risikobewertungen durchführen und belastbare Exit-Strategien entwickeln. Im Gesundheitswesen sorgt die Medizinprodukteverordnung im Zusammenspiel mit dem AI Act für erhebliche Komplexität. Die Folge: KI-gestützte Software-Produkte werden hier häufig pauschal als Hochrisikosysteme klassifiziert, was zu unverhältnismäßigen regulatorischen Belastungen führt. Diese Beispiele verdeutlichen: Unternehmen benötigen maßgeschneiderte, branchenspezifische Compliance-Strategien, die die besonderen Anforderungen ihres Sektors gezielt adressieren.

Technische Maßnahmen: Moderne Kryptografie sichert Datenhoheit

Wer die Compliance-Anforderungen erfüllen will, braucht handfeste technische und organisatorische Maßnahmen statt schöner Worte auf Papier. In regulierten Branchen führt dabei kein Weg an robuster Verschlüsselung vorbei – entscheidend ist dabei, wer die Kontrolle behält: 

  • Bring Your Own Key (BYOK): Unternehmen generieren ihre Kryptoschlüssel selbst, reichen sie aber zur Verschlüsselung an den Cloud-Anbieter weiter. Dieser Ansatz erfüllt die Vorgaben des IDW RS FAIT 5 zur IT-gestützten Buchführung – ein typischer Kompromiss zwischen Datenkontrolle und Cloud-Funktionalität.
  • Bring Your Own Encryption (BYOE): Einen Schritt weiter geht BYOE. Hier bringt das Unternehmen nicht nur die Schlüssel mit, sondern auch eigene kryptografische Algorithmen. Dem Cloud-Anbieter wird so die Möglichkeit genommen, einen Masterschlüssel zu generieren oder Hintertüren zu implementieren.
  • Hold Your Own Key (HYOK): Die maximale Kontrolle bietet HYOK. Dabei erfolgt die Datenverschlüsselung bereits vor der Übertragung in die Cloud. Dieser Ansatz bietet zwar die höchste Sicherheit, schränkt aber die Nutzung innovativer Cloud-Dienste ein. Er eignet sich vor allem für hochsensible Archivdaten.

Für den Schutz von Daten während der Verarbeitung setzen immer mehr Cloud-Anbieter auf Trusted Execution Environments (TEEs) und Secure Enclaves. Diese auf Hardware basierenden Sicherheitsbereiche schotten Daten und Code auf Prozessorebene ab – selbst der Cloud-Betreiber kann nicht darauf zugreifen. Spezielle kryptografische Verfahren (Remote Attestation) prüfen kontinuierlich die Integrität dieser geschützten Bereiche.

Organisatorisch erfordert die komplexe Regulierungslandschaft ein zentrales Compliance-Framework. Dieses bündelt alle relevanten Gesetze und Vorschriften, definiert klare Verantwortlichkeiten und automatisiert durch Compliance-as-a-Code-Ansätze die Durchsetzung und Überwachung von Sicherheitsrichtlinien.

Zertifizierungen: BSI C5 schafft verlässliche Transparenzstandards

Der vom BSI aufgestellte Kriterienkatalog C5 hat sich als wichtiger deutscher Standard für Cloud-Sicherheit etabliert und schafft, was viele internationale Frameworks vermissen lassen: echte Transparenz statt bloßer Compliance-Versprechen. Der Cloud Computing Compliance Criteria Catalogue des Bundesamts für Sicherheit in der Informationstechnik dient als verbindliche Messlatte. Anders als selbsterklärte Compliance-Versprechen werden BSI-C5-Testate von unabhängigen Wirtschaftsprüfern nach strengen Kriterien vergeben, wie PwC erläutert. Diese stellen Testate nach zwei unterschiedlichen Typen aus:

  • Typ-1-Bericht: Prüft die angemessene Konzeption der Sicherheitskontrollen zum Stichtag – ideal für neue Cloud-Dienste ohne lange Betriebshistorie.
  • Typ-2-Bericht: Bewertet zusätzlich die operative Wirksamkeit über mindestens drei Monate und zeigt, dass Sicherheitsmaßnahmen im Alltag funktionieren. Erweist sich für etablierte Dienste als aussagekräftiger.

Der Katalog selbst ist in 17 praxisnahe Bereiche gegliedert und wird im Rahmen des C5 Community Drafts (C5:2025) an aktuelle Anforderungen und Entwicklungen angepasst. Sein entscheidender Vorteil liegt jedoch in den sogenannten Umfeldparametern: Cloud-Anbieter müssen hier zwingend transparente Angaben zu kritischen Themen machen, darunter Gerichtsstand, Ort der Datenspeicherung und Umgang mit Ermittlungsanfragen von Behörden. So sollen Anbieter laut dem C5:2025-Entwurf offenlegen, wie oft staatliche Stellen im vergangenen Jahr Zugriff auf Kundendaten verlangt haben – eine Information, die gerade bei US-Anbietern kritisch ist.

Auf europäischer Ebene treibt der Cybersecurity Act (CSA) die Harmonisierung voran. Das European Cybersecurity Certification Framework (ECCF) soll europaweit einheitliche und anerkannte Sicherheitsstandards schaffen. Schemata wie das EU Cybersecurity Scheme for Cloud Services (EUCS) zielen darauf ab, die Fragmentierung des Marktes zu überwinden, auch wenn die Bitkom hier noch Schwächen bei der Transparenz und der Umsetzung sieht. Für Unternehmen bieten solche Zertifikate eine wichtige Orientierung bei der Anbieterauswahl und reduzieren den eigenen Prüfaufwand. Im Idealfall begründet eine Zertifizierung eine Konformitätsvermutung (also die rechtlich anerkannte Annahme der Regelkonformität) für relevante gesetzliche Anforderungen, was den Compliance-Prozess erheblich vereinfacht.

Fazit: Strategische Kontrolle schafft Marktvorteile

Cloud-Compliance ist keine einmalige Initiative, sondern eine strategische Daueraufgabe, die direkt auf Führungsebene verankert sein muss. Die stetig wachsende Komplexität der regulatorischen Anforderungen erfordert einen ganzheitlichen Ansatz, der technische Schutzmaßnahmen, organisatorische Prozesse und eine klare strategische Governance nahtlos integriert.

Im regulatorischen Dickicht reicht bloße Regelkonformität nicht mehr aus. Während viele Unternehmen mit Ad-hoc-Lösungen reagieren, entwickeln vorausschauende Konzerne systematische Compliance-Strategien als Teil ihrer IT-Governance. Sie erkennen: Datensouveränität wird zum strategischen Asset und entscheidet, wer die Digitalisierung gestaltet und wer nur hinterherläuft.

Autor: Stefan Kuhn