Skip to main content
DSGVO · Schrems II · ISO 27001

BEKOM CLOUDCompliance in der Unternehmens-CloudDSGVO, Schrems II, Nachweisführung

BEKOM Cloud erfüllt DSGVO- und Schrems-II-Anforderungen mit dokumentierter Nachweisführung für mittelständische Unternehmen.

Vorgehensweise ansehen
DSGVO-konform
Dokumentierte Nachweise
Deutsche Rechenzentren
ISO 27001 zertifiziert
Compliance-Anforderungen in der CloudRechtsrahmen und StandardsNachweise und ZertifizierungenHäufige Fragen
Cloud-Compliance

Compliance-Anforderungen in der Cloud

Wenn mittelständische Unternehmen IT-Systeme in eine Cloud-Umgebung verlagern, bleiben regulatorische Pflichten bestehen – unabhängig davon, wo die Systeme betrieben werden. DSGVO, Schrems II und branchenspezifische Vorgaben erfordern dokumentierte Nachweise darüber, wie personenbezogene Daten verarbeitet, gespeichert und geschützt werden. BEKOM Cloud für den Mittelstand adressiert diese Anforderungen mit dokumentierter Nachweisführung für Audits und Prüfungen.

Regulatorischer Rahmen für Cloud-Nutzung

Unternehmen, die personenbezogene Daten verarbeiten, unterliegen der DSGVO – auch wenn die Verarbeitung bei einem Cloud-Anbieter stattfindet. Die Verantwortung für die Einhaltung bleibt beim Unternehmen als Verantwortlichem im Sinne der DSGVO. Der Cloud-Anbieter wird zum Auftragsverarbeiter.

Regulatorische Pflichten:

  • Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Cloud-Anbieter
  • Dokumentation der technischen und organisatorischen Maßnahmen (TOM) zum Datenschutz
  • Nachweis, dass die Datenverarbeitung den DSGVO-Grundsätzen entspricht
  • Bei Branchenvorgaben: zusätzliche Anforderungen an Datenstandort, Zugriffskontrolle und Protokollierung

Für die Geschäftsführung bedeutet das: Die Auswahl des Cloud-Anbieters ist eine Compliance-Entscheidung, nicht nur eine technische. Wer hier auf einen Anbieter mit dokumentierter Compliance-Infrastruktur setzt, vereinfacht die eigene Nachweisführung erheblich.

Was BEKOM Cloud zur Compliance beiträgt

BEKOM Cloud wird in deutschen Rechenzentren betrieben und adressiert die regulatorischen Anforderungen durch vertragliche, technische und organisatorische Maßnahmen. Die Compliance-Eigenschaften sind in das Produkt integriert – nicht als Zusatzleistung.

Compliance-Eigenschaften:

  • Datenverarbeitung und -speicherung in deutschen Rechenzentren (kein Datentransfer in Drittstaaten)
  • Auftragsverarbeitungsvertrag (AVV) als Vertragsbestandteil
  • Dokumentierte technische und organisatorische Maßnahmen (TOM)
  • Zugriffsprotokollierung und Änderungsdokumentation für Audit-Zwecke

BEKOM Cloud liefert damit die technische und vertragliche Grundlage, auf der Unternehmen ihre eigene DSGVO-Konformität aufbauen und gegenüber Aufsichtsbehörden dokumentieren können.

Rechtsrahmen

DSGVO, Schrems II und Branchenanforderungen

Die drei zentralen Compliance-Rahmenwerke für Cloud-Nutzung im deutschen Mittelstand sind die DSGVO als übergreifendes Datenschutzgesetz, die Schrems-II-Rechtsprechung als Einschränkung für Datentransfers in Drittstaaten und branchenspezifische Vorgaben, die über den allgemeinen Datenschutz hinausgehen.

Auftragsverarbeitung und DSGVO-Konformität

Die DSGVO regelt die Verarbeitung personenbezogener Daten. Wenn ein Unternehmen Cloud-Dienste nutzt, wird der Cloud-Anbieter zum Auftragsverarbeiter (Art. 28 DSGVO). Die Pflichten des Auftragsverarbeiters werden im AVV verbindlich festgelegt. Die Verantwortung für die Rechtmäßigkeit der Verarbeitung bleibt beim Unternehmen – der Cloud-Anbieter muss die vereinbarten Schutzmaßnahmen nachweisbar umsetzen.

BEKOM Cloud adressiert diese Anforderungen:

AVV: Vertragsbestandteil mit konkreten Pflichten für Verarbeitung, Löschung und Meldepflichten bei Datenschutzvorfällen

TOM: Dokumentierte technische und organisatorische Maßnahmen, die beschreiben, wie BEKOM Cloud personenbezogene Daten schützt

Betroffenenrechte: Unterstützung bei Auskunft, Löschung und Datenportabilität durch technische Schnittstellen

Protokollierung: Alle Zugriffe auf personenbezogene Daten werden für Nachweiszwecke und Audit-Dokumentation erfasst

Die AVV-Struktur orientiert sich an den Empfehlungen der Datenschutzkonferenz (DSK) und deckt die Pflichtinhalte nach Art. 28 Abs. 3 DSGVO ab.

Schrems II und Datenstandort

Das Schrems-II-Urteil des EuGH (Juli 2020) hat das Privacy-Shield-Abkommen zwischen EU und USA für ungültig erklärt und den Datentransfer in Drittstaaten erheblich eingeschränkt. Für mittelständische Unternehmen bedeutet das: Cloud-Dienste, die Daten außerhalb der EU verarbeiten oder speichern, erfordern eine Transfer-Folgenabschätzung (Transfer Impact Assessment) und zusätzliche Schutzmaßnahmen – ein erheblicher Dokumentationsaufwand.

BEKOM Cloud und Datensouveränität:

Datenstandort: Verarbeitung und Speicherung ausschließlich in deutschen Rechenzentren – keine Datenübermittlung in Drittstaaten

Kein Drittstaaten-Zugriff: BEKOM unterliegt nicht dem US Cloud Act und nicht FISA 702

Vertragliche Zusicherung: Datenstandort im AVV mit konkreter Benennung der Rechenzentrumsstandorte festgelegt

Subdienstleister: Ebenfalls in Deutschland oder der EU ansässig – dokumentiert im AVV

Für Unternehmen, die Schrems-II-Konformität nachweisen müssen, entfällt damit die aufwendige Transfer-Folgenabschätzung (Transfer Impact Assessment), die bei US-basierten Cloud-Anbietern erforderlich ist. Das vereinfacht die Compliance-Dokumentation erheblich und reduziert das rechtliche Risiko bei der Cloud-Nutzung.

Branchenspezifische Vorgaben

Über DSGVO und Schrems II hinaus gelten in regulierten Branchen zusätzliche Anforderungen an die Cloud-Nutzung. Diese betreffen typischerweise den Datenstandort, die Zugriffskontrolle, die Protokollierungstiefe und die Nachweisbarkeit gegenüber branchenspezifischen Aufsichtsbehörden.

Beispiele für Branchenanforderungen:

Finanzdienstleister (BaFin): Auslagerungsmanagement nach MaRisk/BAIT, Prüfungsrechte für Aufsichtsbehörden, Informationspflichten bei wesentlichen Auslagerungen

Gesundheitswesen (SGB V, PDSG): Schutz von Patientendaten, qualifizierte Zugriffskontrollen mit Nachweis, Verarbeitung nur durch berechtigtes Personal

Automotive (TISAX): Informationssicherheit in der Lieferkette, Level-basierte Prüfung (Assessment Level 2 oder 3), Schutz von Prototypen- und Entwicklungsdaten

Kritische Infrastrukturen (BSI-KritisV): Erhöhte Anforderungen an Verfügbarkeit, Meldepflichten bei IT-Sicherheitsvorfällen, regelmäßige Nachweisführung gegenüber dem BSI

BEKOM Cloud unterstützt branchenspezifische Anforderungen durch konfigurierbare Zugriffs- und Protokollierungsrichtlinien. Die konkrete Konfiguration – welche Protokollierungstiefe erforderlich ist, ob dedizierte Zugangskontrollen eingerichtet werden und welche Nachweise für den Branchenauditor bereitgestellt werden – erfolgt im Compliance-Assessment gemeinsam mit dem Unternehmen.

Rechtsrahmen

Nachweisführung: AVV, TOM und Zertifizierungen

Compliance in der Cloud erfordert nicht nur technische Maßnahmen, sondern auch deren durchgehende Dokumentation und Nachweisbarkeit gegenüber Prüfern, Aufsichtsbehörden und internen Kontrollinstanzen. BEKOM Cloud stellt die Unterlagen bereit, die Unternehmen für ihre eigene Compliance-Dokumentation und für externe Prüfungen benötigen.

Auftragsverarbeitungsvertrag und technische Maßnahmen

Der AVV regelt die Pflichten von BEKOM als Auftragsverarbeiter: Verarbeitungszwecke, Datenkategorien, Löschfristen, Meldepflichten bei Datenschutzvorfällen und Unterstützung bei Betroffenenanfragen. Die TOM beschreiben die konkreten Schutzmaßnahmen, die BEKOM Cloud zum Schutz personenbezogener Daten umsetzt. Beide Dokumente zusammen bilden die vertragliche Compliance-Basis zwischen Unternehmen und Cloud-Anbieter.

TOM-Bereiche in der BEKOM Cloud:

Zutrittskontrolle: Physischer Schutz der Rechenzentren (Zugangssteuerung, Videoüberwachung)

Zugangskontrolle: Authentifizierung, Passwortrichtlinien, Multi-Faktor-Authentifizierung

Zugriffskontrolle: Rollenbasierte Berechtigungen, Protokollierung aller Zugriffe

Weitergabekontrolle: Verschlüsselung bei Übertragung und Speicherung

Verfügbarkeitskontrolle: Redundante Systeme, Backup-Konzepte, Notfallpläne

Trennungskontrolle: Mandantentrennung, separate Datenbestände pro Kunde, keine Vermischung von Verarbeitungszwecken

Zertifizierungen und Prüfberichte

BEKOM nutzt zertifizierte deutsche Rechenzentren und arbeitet auf Service-Ebene mit dokumentierten Prozessen, die im AVV verankert sind. Die Nachweise sind nach Trägerschaft getrennt – physische Infrastruktur beim Rechenzentrumsbetreiber, Vertrags- und Prozess-Ebene bei BEKOM. Beide Ebenen vereinfachen die Compliance-Dokumentation der Kunden.

Bestätigungen des Rechenzentrumsbetreibers:

ISO 27001: Informationssicherheits-Managementsystem für die physische Infrastruktur – deckt Risikomanagement, Zugriffskontrolle, Incident Management und kontinuierliche Verbesserung ab; jährliche Überwachungsaudits

BSI IT-Grundschutz: Umsetzung der BSI-Anforderungen mit dokumentiertem Maßnahmenkatalog

TÜV-Prüfbericht: Unabhängige Prüfung der Rechenzentrums-Infrastruktur (physische Sicherheit, Stromversorgung, Klimatisierung)

Nachweise auf BEKOM-Service-Ebene:

  • AVV mit dokumentierten TOM: Vertragliche und prozessuale Maßnahmen, abgestimmt auf den jeweiligen Service
  • Sub-Auftragsverarbeiter-Liste: Verortung in Deutschland, vollständig dokumentiert
  • Change- und Audit-Logs: Nachvollziehbare Zugriffs- und Änderungshistorien für überwachte Systeme

Audit-Unterstützung und Dokumentation

Wenn Unternehmen selbst geprüft werden – durch Wirtschaftsprüfer, Datenschutzbehörden oder Branchenauditoren – benötigen sie Nachweise über die Cloud-Infrastruktur. BEKOM Cloud stellt diese Unterlagen strukturiert bereit, abgestimmt auf die Anforderungen des jeweiligen Prüfungsrahmens.

Verfügbare Dokumentation:

AVV und TOM: Vertragliche Nachweisdokumente (jeweils aktuellste Version, versioniert und datiert)

Zertifikate und Prüfberichte: ISO 27001 und BSI IT-Grundschutz (einschließlich Scope-Beschreibung und Gültigkeitszeitraum)

Zugriffsprotokolle: Änderungshistorien für überwachte Systeme (nach definiertem Aufbewahrungszeitraum)

Rechenzentrums-Dokumentation: Standortnachweis, physische Sicherheitsmaßnahmen, Redundanzkonzept und Energieversorgung

Bei Bedarf unterstützt BEKOM die Zusammenstellung der Nachweisdokumente für spezifische Audit-Anforderungen. Die Dokumentation kann im BEKOM-Kundenportal abgerufen oder auf Anforderung bereitgestellt werden. Die Struktur der Nachweispakete orientiert sich an den gängigen Prüfungsrahmen – so erhalten Auditoren die Unterlagen in dem Format, das sie erwarten, und der Abstimmungsaufwand zwischen Prüfer und Cloud-Anbieter wird minimiert.

Compliance-Kostentreiber bei Cloud-Eigenbetrieb

Die Kostentreiber für regelkonforme Cloud-Compliance entstehen hauptsächlich durch spezialisiertes Personal und kontinuierliche Dokumentationsprozesse.

Unternehmen benötigen Datenschutzbeauftragte mit Cloud-Expertise, regelmäßige Rechtsberatung für AVV-Gestaltung und DSGVO-Updates sowie interne Auditressourcen für TOM-Dokumentation. Variable Aufwände entstehen durch Ad-hoc-Prüfungen, Schrems-II-Bewertungen bei Anbieteranbindungen und Incident-Response bei Datenschutzverletzungen. BEKOM strukturiert diese Kostentreiber in planbare Betriebskosten: Die Monatspauschale umfasst dokumentierte Compliance-Infrastruktur, rechtskonforme AVV-Templates und audit-fähige TOM-Dokumentation. Das Assessment identifiziert regulatorische Risiken in bestehenden Cloud-Strukturen und transformiert variable Compliance-Aufwände in planbare Kostenstrukturen.

Verwandte Themen: Compliance verzahnt sich mit Cloud-Strategie & Souveränität und Cloud-TCO & ROI; für die operative Umsetzung als Managed-Service siehe Managed Compliance; für eine konkrete Compliance-Initiative siehe das Szenario NIS2-Compliance-Programm.

Häufige Fragen zur Cloud-Compliance

Ist BEKOM Cloud DSGVO-konform?

BEKOM Cloud adressiert die DSGVO-Anforderungen an Auftragsverarbeiter durch einen standardmäßigen Auftragsverarbeitungsvertrag (AVV), dokumentierte technische und organisatorische Maßnahmen (TOM) und Verarbeitung in deutschen Rechenzentren. Die DSGVO-Konformität des Gesamtprozesses hängt zusätzlich von den Maßnahmen des Unternehmens selbst ab – etwa bei der Konfiguration von Zugriffsrechten und der Umsetzung von Löschkonzepten. BEKOM liefert die technische und vertragliche Grundlage.

Was steht im Auftragsverarbeitungsvertrag?

Der AVV regelt die Pflichten von BEKOM als Auftragsverarbeiter: Verarbeitungszwecke, Datenkategorien, Löschfristen, Unterauftragnehmer, Meldepflichten bei Datenschutzvorfällen und Unterstützung bei Betroffenenanfragen. Der Vertrag wird als fester Bestandteil des Cloud-Vertrags abgeschlossen und entspricht den Anforderungen aus Art. 28 DSGVO. Unternehmen erhalten den vollständigen AVV vor Vertragsabschluss zur Prüfung durch ihren Datenschutzbeauftragten oder ihre Rechtsabteilung.

Wie adressiert BEKOM Cloud die Schrems-II-Anforderungen?

BEKOM Cloud verarbeitet und speichert Daten ausschließlich in deutschen Rechenzentren. Es findet kein Datentransfer in Drittstaaten statt – weder für Verarbeitung noch für Backup oder technischen Support. Damit entfällt die Pflicht zur Transfer-Folgenabschätzung, die bei Cloud-Anbietern mit Sitz oder Infrastruktur in den USA erforderlich ist. Der Datenstandort ist im AVV vertraglich zugesichert.

Welche Zertifizierungen liegen vor?

BEKOM betreibt die Plattform in zertifizierten deutschen Rechenzentren – die physische Infrastruktur ist über den Rechenzentrumsbetreiber nach ISO 27001 und BSI IT-Grundschutz nachgewiesen, ergänzt durch einen TÜV-Prüfbericht. Auf BEKOM-Service-Ebene kommen AVV mit dokumentierten TOM, Sub-Auftragsverarbeiter-Liste und revisionssichere Audit-Logs hinzu. Beide Nachweispakete können Kunden für ihre eigene Compliance-Dokumentation anfordern. Die Gültigkeit der RZ-Zertifizierungen wird durch regelmäßige Re-Zertifizierungen des Betreibers aufrechterhalten.

Können branchenspezifische Anforderungen abgedeckt werden?

BEKOM Cloud unterstützt branchenspezifische Anforderungen durch konfigurierbare Zugriffs- und Protokollierungsrichtlinien. Die konkrete Konfiguration – etwa für BAFIN-regulierte Finanzdienstleister, TISAX-konforme Automotive-Zulieferer oder Gesundheitseinrichtungen mit PDSG-Anforderungen – erfolgt im Compliance-Assessment. BEKOM prüft gemeinsam mit dem Unternehmen, welche branchenspezifischen Vorgaben gelten und konfiguriert die Cloud-Umgebung entsprechend. Die branchenspezifische Dokumentation wird für den jeweiligen Auditor aufbereitet.

Welche Dokumentation erhalten Kunden für Audits?

Kunden erhalten auf Anfrage: AVV und TOM als vertragliche Nachweisdokumente, ISO-27001- und BSI-Prüfberichte, Zugriffsprotokolle für überwachte Systeme, Rechenzentrums-Dokumentation (Standort, physische Sicherheit, Redundanzkonzept) und bei Bedarf ergänzende Stellungnahmen zu spezifischen Audit-Fragen. Die Zusammenstellung erfolgt abgestimmt auf die Anforderungen des jeweiligen Prüfers. BEKOM steht während des Audits als technischer Ansprechpartner zur Verfügung.

Entstehen durch Compliance-Anforderungen zusätzliche Kosten?

Die grundlegenden Compliance-Eigenschaften – AVV, TOM, deutsche Rechenzentren, ISO-27001-Betrieb – sind fester Bestandteil des BEKOM Cloud-Produkts und verursachen keine Zusatzkosten. Branchenspezifische Konfigurationen wie erweiterte Protokollierung, spezielle Zugriffskontrollrichtlinien oder dedizierte Audit-Unterstützung werden im Compliance-Assessment bewertet und individuell kalkuliert. BEKOM stellt den Umfang und die Kosten transparent dar, bevor die jeweilige Konfiguration umgesetzt wird.

Wer trägt welche Compliance-Verantwortung?

Die Verantwortung ist klar aufgeteilt: Das Unternehmen bleibt als Verantwortlicher im Sinne der DSGVO für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. BEKOM Cloud übernimmt als Auftragsverarbeiter die technische Umsetzung der vereinbarten Schutzmaßnahmen – dokumentiert im AVV und in den TOM. Die Aufteilung der Verantwortlichkeiten wird vor Vertragsabschluss im Service-Design-Dokument verbindlich festgelegt und ist Bestandteil der Audit-Dokumentation.

Nächster Schritt: Compliance-Beratung anfragen

Der Einstieg beginnt mit einem Compliance-Assessment: Erfassung Ihrer regulatorischen Anforderungen, Prüfung der relevanten Rahmenwerke und Konfiguration der BEKOM Cloud-Umgebung für Ihre spezifischen Compliance-Vorgaben.

Das BEKOM Assessment verschafft Klarheit über den aktuellen Compliance-Status Ihrer Cloud-Infrastruktur und liefert eine strukturierte Bestandsaufnahme regulatorischer Lücken. Sie erhalten konkrete Empfehlungen für DSGVO-konforme Architektur-Anpassungen, ein Service-Design für audit-fähige Dokumentationsprozesse und einen Überblick über den erforderlichen Betriebsumfang für nachweisbare Compliance-Strukturen.

1

Beratungsgespräch anfragen

Kontaktieren Sie BEKOM für ein unverbindliches Compliance-Beratungsgespräch. Gemeinsam mit Ihrem Team erfasst BEKOM die relevanten Rahmenwerke, den aktuellen Compliance-Status und die konkreten Anforderungen an Ihre Cloud-Umgebung.

2

Compliance-Anforderungen prüfen

Auf Basis des Gesprächs prüft BEKOM, welche Konfigurationen für Ihre regulatorischen Anforderungen erforderlich sind: Zugriffskontrollrichtlinien, Protokollierungsumfang, branchenspezifische Vorgaben und Dokumentationsanforderungen.

3

Cloud-Umgebung konfigurieren

Nach Ihrer Freigabe konfiguriert BEKOM die Cloud-Umgebung gemäß den identifizierten Compliance-Anforderungen und stellt die vollständige Dokumentation – AVV, TOM, Zertifikate – für Ihre Compliance-Unterlagen bereit.