Die im Herbst letzten Jahres von Wirtschaftsminister Peter Altmaier ausgelobte Europa-Cloud wurde zwar konträr diskutiert, hat es aber in jedem Fall geschafft, das Thema Cloud-Sicherheit in einen größeren Kontext zu setzen.
Die Europa-Cloud kann die Vielzahl der bestehenden Regelungen und Zertifikate für mehr Cloud-Sicherheit auf einen gemeinsamen Nenner bringen.
Das ist wichtig, denn Datensouveränität, -sicherheit und -verfügbarkeit sind nicht nur wichtige Grundvoraussetzung für den Erfolg einzelner Unternehmen, sie sind eine politische Angelegenheit. Momentan dominieren einige wenige Unternehmen trotz unzureichender Datenschutzbedingungen den internationalen Cloud-Markt und spielen nach ihren eigenen Regeln.
Dabei sind gerade deutsche Unternehmen auf Grund von Sicherheitsbedenken der Cloud gegenüber kritisch eingestellt. Sie beklagen eine mangelnde Kontrolle über die in der Cloud verarbeiteten Daten und ihnen ist unklar, wer wann wofür die Verantwortung hat. Sie stellen sich zurecht die Frage, welche Parteien Zugriff auf die Firmendaten haben bzw. erhalten können. Und all diese Zweifel existieren, obwohl die deutschen Datenschutzbedingungen und Sicherheitsvorschriften die wohl strengsten der Welt sind.
Die vielfältigen Fragen sind immerhin ein Zeichen dafür, dass sich die Unternehmen Gedanken darüber machen, ob ihre eigenen Daten und die der Kunden in der Cloud sicher aufgehoben sind. Der große Widerspruch entsteht dann, wenn trotz der ungewissen Rechtslage viele Unternehmen ihre Daten kritiklos amerikanischen Cloud-Dienstleistern wie Amazon, Google und Microsoft anvertrauen. Der Wettbewerbsdruck scheint die Bedenken am Ende doch immer öfter auszuschalten.
Cloud-Angebote hinterfragen
Trotz des wachsenden Drucks in Richtung digitaler Transformation und dem Bedarf an Cloud-Lösungen als Basis unternehmenseigener Innovation, gilt es, überlegt zu handeln. IT-Entscheider sollten sich die Zeit nehmen, aktuelle Risiken pragmatisch betrachten und grundsätzliche Fragen und Verantwortlichkeiten abklären, um die bestmögliche Lösung zu finden. Denn gerade US-amerikanische Datenschutzregelungen lassen im Vergleich zu europäischen Bestimmungen zu wünschen übrig. Es gibt zwar Vorschriften, diese sind jedoch meist branchenspezifisch definiert und beruhen größtenteils auf der Selbstverpflichtung der Unternehmen.
Ebenso problematisch sind die umfangreichen Befugnisse der US-Sicherheitsbehörden, die vergleichsweise problemlos die Herausgabe von Daten fordern dürfen. US-Cloud-Dienstleister dürfen sogar auch dann zur Herausgabe von Daten gezwungen werden, wenn sie auf Servern in Europa gespeichert sind. Das besagt zumindest der 2018 unterzeichnete Cloud Act (Clarifying Lawful Overseas Use of Data Act).
Wo und auf welcher Grundlage Unternehmen in der Pflicht sind
Das, was Unternehmen beim Cloud Computing und auch bei jeder anderen Data-Management-Maßnahme Bedenken macht, sind vor allem der Verlust von Daten, der unbefugte Zugriff, Daten-Leaks und Hardware-Ausfälle. Grundsätzlich teilen sich der Cloud-Provider und sein Kunde die Verantwortung für solche Vorkommnisse und sie sind gemeinsam für die Einhaltung von Gesetzesvorgaben und Standards verantwortlich.
Die bekanntesten und wichtigsten Standards sind der deutsche IT-Grundschutz und die Europäische Datenschutz-Grundverordnung (DSGVO). Die DSGVO betrifft durch die neuen Anforderungen, die im Zusammenhang mit Kundendaten entstehen, auch alle Cloud-Anbieter. Sie ist aber nicht speziell für die Anforderungen in diesem Bereich geschaffen worden und kann deshalb nur als Grundlage gelten. Cloud-Provider übernehmen dabei aber nicht volle Verantwortung für ihre Auftraggeber. Diese müssen im Zweifel selbst beweisen, dass sie notwendige Vorkehrungen getroffen und bei der Wahl des Providers entsprechend darauf geachtet haben.
Der IT-Grundschutz hat sich zu einer Basismethode für den ISO 27001-Zertifizierungsprozess entwickelt. Er formuliert grundlegende Anforderungen an die Daten- und Informationssicherheit, an Prozesse und Abläufe in einem Unternehmen. Die ISO 27018 wiederum ist spezieller auf die Cloud zugeschnitten und beschreibt vor allem Maßnahmen für den Schutz personenbezogener Daten in Cloud-Infrastrukturen. Im Gegensatz zur DSGVO ist der IT-Grundschutz nicht bindend und eine Nichtbefolgung hat keine direkten rechtlichen Konsequenzen.
Henik Hasenkamp, gridscale GmbH.
(Bild: gridscale)
Mit den Anforderungen an das Cloud Computing im Speziellen befasst sich der C5-Anforderungskatalog (Cloud Computing Compliance Controls Catalogue) des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Er legt fest, welche Anforderungen professionelle Cloud-Diensteanbieter mindestens erfüllen müssen. In 17 Themenbereichen werden Mindestanforderungen definiert, die professionelle Cloud Provider erfüllen sollten, darunter zahlreiche Datenschutz- und Datensicherheitsvorgaben. Der C5-Katalog eignet sich hervorragend als Checkliste bei der Wahl des passenden Providers.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Wie die Europa-Cloud die Lage verbessern kann
Europäische Datenschutzvorgaben sind streng und umfassend – die angestrebte Europa-Cloud hat diesen Ansprüchen selbstverständlich zu genügen. Sie soll Datensouveränität sicherstellen und zugleich durch standardisierte Schnittstellen höchst interoperabel sein. Was die Bundesregierung damit meint und wie sie sich die nötige Infrastruktur vorstellt, erklärt sie in dem Papier „Das Projekt GAIA-X“.
Zertifizierte Schutzgrade sollen beispielsweise die Datensouveränität sicherstellen, insbesondere dann, wenn die DSGVO greift. Angesichts der aktuell schwer zu durchschauenden internationalen Rechtslage könnte sie in jedem Fall eine Erleichterung für deutsche und europäische Unternehmen bedeuten und für mehr Klarheit sorgen. Ihre Pläne müssen sich allerdings zeitnah auch auf die Anwendungsebene beziehen, da sich nur dann digitale Geschäftsmodelle entwickeln können.
* Der Autor Henrik Hasenkamp ist CEO der gridscale GmbH.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/06/a4/06a42876449bba06fb5efa3ecb9e189a/0129144465v1.jpeg "Sage Copilot liefert Hinweise und Warnungen direkt in den Arbeitsabläufen der Anwender. (Bild: Sage)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/fd/34fdef54803731e87c26c895abe5f9f0/0128873273v1.jpeg "Wenngleich Quantencomputer aktuell noch sehr teuer sind und deren allgemeine Verfügbarkeit derzeit noch Zukunftsmusik ist, wappnet sich das BSI bereits jetzt gegen die Cyberangriffe von morgen. (ec0de - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/f9/7af9bb48ac1b02e6dd9f656a3764eafa/0129089298v1.jpeg "Warum klassische MES-Systeme an Grenzen stoßen und wie Cloud-native MOM-Plattformen für mehr Flexibilität und Effizienz sorgen, zeigt der Gastbeitrag. (Bild: © panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc4fe1cc8c3e949b56c9ecd2fcd2c66/0129143613v1.jpeg "IBM Sovereign Core soll Flexibilität, Konsistenz und Sicherheit für das Hosten und Verwalten traditioneller und KI-Anwendungen bieten. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/ac/67ac72eb8ec04/stackit-logo-rgb-regular-petrol-mz-big.png "stackit-logo-rgb-regular-petrol-mz-big (STACKIT)"){kind=logo}
:quality(80)/images.vogel.de/vogelonline/bdb/1662300/1662320/original.jpg "Eine Financial Big Data Cloud (FBDC) könnte der hiesigen Finanzwirtschaft neue und rechtskonforme Möglichkeiten bieten, Daten zu sammeln, zu teilen und zur Generierung neuer Geschäftsmodelle zu verwenden. (BMWI, Hessisches Wirtschaftsministerium, Deutsche Börse, Deutsche Bundesbank, TechQuartier)")
:quality(80)/p7i.vogel.de/wcms/46/c0/46c073903e7aa583549dcc3cb355af13/0124991875v1.jpeg "Europäische Cloud-Anbieter nutzen ihre strengen Datenschutzstandards als Verkaufsargument gegen US-Hyperscaler. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c7/fa/c7fa03bda0891deacacabe3dd297addd/0124639800v1.jpeg "Der Name Gaia leitet sich von einer der ersten aus dem Chaos entstandenen griechischen Gottheit Gaia ab, die in der Mythologie als personifizierte Erde für die Gebärerin, quasi „Mutter Natur“, steht. Sie ist das Sinnbild für Datensouveränität und digitale Zusammenarbeit. (Bild: Midjourney / Paula Breukel / KI-generiert)")