Cloud-Vertrag: Datensicherheit und Compliance

Die Cloud bietet Flexibilität und Skalierbarkeit, aber auch Risiken. Ein gut verhandelter Cloud-Vertrag ist Ihre wichtigste Absicherung.

Shared Responsibility Model

In der Cloud gilt das Prinzip der geteilten Verantwortung:

• Cloud-Anbieter: Verantwortlich für die Sicherheit der Cloud (Infrastruktur)


• Cloud-Nutzer: Verantwortlich für die Sicherheit in der Cloud (Daten, Konfiguration, Zugriffsmanagement)

Sicherheitsanforderungen im Vertrag

Verschlüsselung

• Datenverschlüsselung at rest und in transit
• Schlüsselmanagement: Wer kontrolliert die Schlüssel?
• Bring Your Own Key (BYOK) oder vom Anbieter verwaltet?

Zugriffsmanagement

• Multi-Faktor-Authentifizierung
• Rollenbasierte Zugriffskontrolle
• Logging und Auditierung aller Zugriffe

Backup und Disaster Recovery

• Recovery Point Objective (RPO): Wie viel Datenverlust ist akzeptabel?
• Recovery Time Objective (RTO): Wie schnell muss der Dienst wieder verfügbar sein?
• Geo-Redundanz: Daten in mehreren Rechenzentren?

Zertifizierungen

Achten Sie auf anerkannte Zertifizierungen:

• ISO 27001 (Informationssicherheit)
• SOC 2 Type II (Sicherheit, Verfügbarkeit, Vertraulichkeit)
• C5 (BSI Cloud Computing Compliance Criteria Catalogue)

Compliance-Anforderungen

Datenresidenz

Für bestimmte Branchen (Finanzen, Gesundheit, öffentlicher Sektor) gibt es Anforderungen, wo Daten gespeichert werden dürfen:

• EU-only oder Deutschland-only
• Keine Datenverarbeitung in bestimmten Ländern

Branchenspezifische Regulierung

• Finanzbranche: MaRisk, BAIT, DORA
• Gesundheit: § 203 StGB, Patientendatenrichtlinien
• Öffentlicher Sektor: EVB-IT, BSI-Grundschutz

Vertrag prüfen lassen

Lassen Sie Ihren SaaS-Vertrag oder Cloud-Vertrag auf Sicherheits- und Compliance-Klauseln prüfen. Jetzt hochladen.