Daten mit gutem Gewissen in einer Public Cloud speichern und verarbeiten? Auch wenn es sich um sensible Informationen oder personenbezogene Daten handelt? Europäische Hyperscaler bieten dafür eine rechtssichere und datenschutzkonforme Lösung.
Haben Sie einen sicheren Weg in die Cloud gewählt? Besonders Mittelständlern fehlt häufig der notwendige juristische Rückhalt.
Rund 65 Prozent der weltweiten Marktanteile für Cloud-Services liegen bei Amazon, Microsoft und Google. Auch deutsche Unternehmen setzen verstärkt auf US-Hyperscaler. Immer mehr Daten wandern über den Atlantik. Handelt es sich um personenbezogene Daten kann das problematisch sein: Selbst wenn die Daten auf den Servern verschlüsselt vorliegen, bewegen sich Unternehmen damit auf dünnem Eis. Da das Privacy Shield im Juli 2020 vom EuGH gekippt wurde, gibt es momentan keine rechtsverbindliche Grundlage hinsichtlich der Datenübermittlung in die USA, wie das Centrum für Europäische Politik ermittelte. Auslöser für das EuGH-Urteil war die wiederholte Klage des Österreichers Max Schrems gegen Facebook – bekannt als Rechtssache Schrems II.
Public Cloud: Prüfsiegel für Datenschutz und Sicherheit
Auf folgende Zertifizierungen bzw. Testate sollten Unternehmen bei der Auswahl ihres Public-Cloud-Providers achten:
Trusted Cloud: Das Bundesministerium für Wirtschaft und Energie zeichnet geeignete Cloud-Anbieter als sogenannte Trusted Cloud aus. Das Gütesiegel steht für vertrauenswürdige Cloud-Services.
Tisax: Sicherheitszertifizierung der Automobilindustrie
BSI C5: Der C5-Kriterienkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist bei großen Cloud-Providern ein Standard. Er listet Kriterien auf, die Cloud-Anbieter erfüllen sollten, um sichere Datenverarbeitung gemäß DSGVO zu ermöglichen.
Privacy & Security Assessment (PSA): Von der Dekra zertifiziertes Datenschutzmanagement der Telekom
CSA Star: Die CSA-STAR-Zertifizierung ist eine unabhängige Bewertung der Sicherheit eines Cloud-Service-Providers.
Diverse ISO-Zertifizierungen für Rechenzentren wie der Sicherheitsstandard ISO 27001.
Mittelstand hat es besonders schwer
Das EuGH-Urteil unterstreicht einmal mehr, dass Unternehmen, die Public-Cloud-Services bereits nutzen oder es planen, die rechtliche Situation nicht aus den Augen verlieren dürfen. Der Umgang mit personenbezogenen Daten und die Einhaltung der Datenschutzgrundverordnung (DSGVO) sollte stets auf ihrer Agenda stehen. Dabei prüfen neben den Datenschutzbeauftragten insbesondere in größeren Unternehmen die Rechtsabteilungen – und damit zumeist Volljuristen –, mit welcher Cloud-Lösung sich sensible und personenbezogene Informationen rechtssicher verarbeiten lassen.
Anders hingegen sieht es bei Mittelständlern aus: Sie besitzen häufig keine eigenen Rechtsabteilungen. Zwar sind diese i.d.R laut DSGVO dazu verpflichtet einen Datenschutzbeauftragten zu stellen, dieser deckt das benötigte Know-How aber nicht immer ab. Jurisitsche Expertise in puncto Datenschutz müsste somit teuer eingekauft werden. Die Folge: Gerade mittelständischen Entscheidern fällt es schwer herauszufinden, wie sich die Vorteile der Public Cloud – sprich flexibel skalierbare Services – datenschutzkonform und rechtssicher nutzen lassen.
Volle Datensouveränität behalten
Möchten Unternehmen grundsätzlich vermeiden, dass personenbezogene Daten in Drittländer gelangen, lohnt sich die Nutzung europäischer Public-Cloud-Lösungen. Diese sind naturgemäß Schrems-II-konform und bleiben unbeeinflusst von der künftigen Nachfolgeregelung des Privacy Shield. Unternehmen müssen daher weder Zeit noch Geld aufwenden, um sich mit den rechtlichen Fallstricken zu beschäftigen, die eine Datenverarbeitung in Staaten außerhalb der EU mit sich bringen würde.
Ein Pluspunkt auch für die europäische Cloud-Umgebung GAIA-X, die dank sicherer und vertrauenswürdiger Infrastruktur volle Datensouveränität ermöglicht. GAIA-X definiert die Regeln und Standards, nach denen Daten ausgetauscht und verarbeitet werden können – auf der Grundlage europäischen Rechts. Auf diese Weise lässt sich sicherstellen, dass die Besitzer von Daten die Hoheit über diese behalten und jederzeit entscheiden können, wer darauf zugreifen darf – und wer nicht.
Alles Argumente, die besonders für Branchen von Bedeutung sind, deren Geschäftsmodelle größtenteils auf sensiblen Daten basieren. Nach den Erfahrungen von T-Systems evaluieren derzeit vor allem Banken und Versicherungen, aber auch Institutionen aus dem Public-Bereich, wie sich Cloud-Ressourcen für ihre Zwecke nutzen lassen. Häufig dafür betrachtet werden europäische Angebote, wie beispielsweise die Open Telekom Cloud.
Wichtige Auswahlkriterien für die Public Cloud
Unabhängig von Branche und Betriebsgröße gilt: Um beim Datenschutz auf der sicheren Seite zu sein, sollten die Verantwortlichen bei der Auswahl ihrer Public-Cloud-Services einige Punkte beachten. Hier bieten Zertifizierungen eine gute Orientierung, da diese von Experten aus objektiver Perspektive ausgestellt werden. Außerdem ist es von Vorteil, wenn die Infrastruktur auf offenen Architekturen und Standards basiert, sodass sich ein Vendor Lock-in vermeiden lässt. Die Kunden sind weder in proprietären Ökosystemen von Cloud-Providern gefangen, noch müssen sie beim Wechsel zu einem anderen Anbieter große Hürden überwinden und mehrere Monate für die Migration Ihrer Cloud-Landschaft einplanen. Darüber hinaus entwickelt eine breite Community – bestehend aus IT-Anbietern, Kunden und Entwicklern – die Open-Source-Lösungen kontinuierlich weiter. Da quelloffene Software per se für jeden einsehbar ist, lässt sich nachvollziehen, wie sich der Code verändert. Wichtiges Anliegen aller Beteiligten: die Lösungen stets rechtssicher zu gestalten.
Ein weiterer Knackpunkt betrifft den Speicherort der Daten. So befinden sich bei der Open Telekom Cloud alle Kundendaten in hochsicheren Twin-Core-Rechenzentren in Deutschland oder den Niederlanden – und verbleiben damit im europäischen Rechtsraum. Das Twin-Core-Prinzip bedeutet, dass die Rechenzentren exakt gleich aufgebaut sind. Fällt ein Standort aus, sichert der andere den reibungslosen Betrieb. In diesem Zusammenhang sollten Unternehmen auf eine hochverfügbare Architektur Ihrer Cloud-Infrastruktur achten und sich bei Bedarf diesbezüglich beraten lassen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Um Ausfälle zu vermeiden spielt auch die Cyber- und physische Sicherheit eine große Rolle. Ist das Rechenzentrum ausreichend vor Naturgewalten wie Hochwasser oder Sturm geschützt? Ebenfalls wichtig sind eine kontinuierliche Stromversorgung sowie professioneller Brandschutz. Bei letzterem sorgen Brandfrüherkennung mit Ansaugrauchmeldern, ausgefeilte Raumkonzepte mit autarken Brandschutzzellen und moderne Löschanlagen für einen sicheren Betrieb und die ständige Verfügbarkeit der Daten.
Unternehmen, die ihr Digitalisierungsvorhaben zusätzlich nachhaltig gestalten möchten, können einen Blick auf den Energieverbrauch der Rechenzentren und die Nutzung erneuerbarer Energien werfen. So kann beiläufig auch die Umwelt profitieren.
Über den Autor: Andreas Falkner besitzt langjährige Erfahrung in der Leitung großer internationaler Telco- und IT-Projekte. Seit 2016 verantwortet er den Bereich Open Telekom Cloud in der T-Systems International GmbH (TSI). In der Zeit davor war er bei der TSI unter anderem als Vice President im Konzerngeschäftsfeld Energie tätig.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/images.vogel.de/vogelonline/bdb/1726600/1726647/original.jpg "Der EuGH hat das Datenabkommen „Privacy Shield“ zwischen der EU und den USA für ungültig erklärt. (gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/e1/9a/e19a302848490e0037cd3b7d96c5df3e/0124164258v1.jpeg "Wie die digitale Unabhägigkeit in Europa erreicht werden kann, erläutert Fin Glowick. (Bild: jamesteohart - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/b8/a4b8432c7740ba3d783f76bdb727eef4/0125462280v1.jpeg "Die Zeit ist reif, Hyperscaler-Clouds abzulösen. Ein Mangel an Alternativen herrscht definitiv nicht. Wir stellen die interessantesten „Rising Stars“ vor. (Bild: Machita - stock.adobe.com / KI-generiert)")