DSGVO, BSI C5, DORA: Warum Ihre Cloud-Strategie ein Compliance-Fundament braucht

Deutsche Unternehmen stehen unter einem dreifachen Compliance-Druck. DSGVO fordert Datenschutz. BSI C5 fordert Informationssicherheit. DORA fordert operative Resilienz. Diese drei Regelwerke sind nicht isoliert – sie überlappen, verstärken sich gegenseitig und stellen zusammen massive Anforderungen an jede Cloud-Infrastruktur. Viele Unternehmen versuchen, diese Anforderungen mit Public-Cloud-Anbietern zu erfüllen. Das ist ein Fehler. In diesem Artikel erklären wir, was jede Regulation fordert, welche Gaps Public Cloud hinterlässt und wie Sie mit einer modernen On-Premise-Lösung wie Clouditiv vollständige Compliance erzielen.

DSGVO: Das Datenschutz-Fundament

Die Datenschutz-Grundverordnung trat 2018 in Kraft und hat seither Tausende von Abmahnungen und hohen Bußgeldern geführt. Das Wichtigste zuerst: DSGVO ist kein reines Sicherheits-Regelwerk – es ist ein Datenschutz-Regelwerk. Das ist ein subtiler, aber kritischer Unterschied.

DSGVO regelt, wie Sie Daten Ihrer Nutzer verarbeiten. Die kernalen Anforderungen sind: Transparenz, Zustimmung, Zweckbindung, Datenminimierung und Speicherbegrenzung. Sie müssen dokumentieren, warum Sie Daten sammeln, wie lange Sie sie speichern und wer sie sieht. Sie müssen Betroffenen das Recht auf Einsicht, Berichtigung und Löschung gewähren.

Für die Cloud-Infrastruktur bedeutet DSGVO mehrere konkrete Anforderungen. Erstens: Datenverarbeiter-Verträge (Data Processing Agreements). Wenn Sie einen Cloud-Provider nutzen, müssen Sie einen DPA haben – ein rechtliches Dokument, das festlegt, wie der Provider Ihre Daten behandelt. Der Provider muss das Datenschutzrecht einhalten und Ihnen auf Anfrage nachweisen, dass er es tut.

Zweitens: Datenresidenz und Datenlokalität. DSGVO erlaubt Übermittlungen personenbezogener Daten außerhalb der EU nur unter engen Bedingungen – Adequacy Decisions für bestimmte Länder oder Standard Contractual Clauses (SCCs). Viele US-Provider haben Probleme mit SCCs, seit das Schrems-II-Urteil Datenschützer verunsichert hat. Die sicherste Variante ist klare Datenresidenz in Deutschland oder der EU.

Drittens: Audit- und Nachweispflichten. Die Datenschutzbehörden (in Deutschland die LDIs) können jederzeit verlangen, dass Sie nachweisen, dass Ihre Infrastruktur DSGVO-konform ist. Das bedeutet detaillierte Logging, Audit-Trails und Dokumentation. Sie müssen nachweisen können: Wer hat auf welche Daten zugegriffen und wann?

Viele Public-Cloud-Anbieter bieten Standard-Logging und Überwachung. Doch die Standardkonfiguration genügt DSGVO oft nicht. Sie müssen den Cloud-Provider konfigurieren, um die richtigen Daten zu loggen, Logs lange genug zu speichern und Ihnen Zugriff darauf zu geben. Das ist komplex und erfordert spezialisiertes Wissen.

BSI C5: Informationssicherheit für den Staat

BSI C5 ist Deutschlands Sicherheitsstandard für Cloud-Dienste. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat BSI C5 entwickelt, um kritische Infrastrukturen und Regierungsorgane zu schützen. Viele Bundesländer, Behörden und auch Unternehmen im kritischen Infrastruktur-Kontext benötigen BSI-C5-Zertifizierung.

BSI C5 ist deutlich anspruchsvoller als DSGVO. Es umfasst über 140 Kontrollmaßnahmen in Bereichen wie Zugriffskontrolle, Kryptographie, Anomalieerkennung, Penetrationstests und Lieferkettenicherheit. Ein paar Highlights:

Authentifizierung und Autorisierung: Multi-Faktor-Authentifizierung für alle administrativen Zugriffe ist obligatorisch. Sie müssen strikte Zugriffskontrolle (Role-Based Access Control / RBAC) haben und alle Zugriffe müssen geloggt werden.

Kryptographie: Alle Daten müssen verschlüsselt sein – in Transit und in Rest. Schlüsselverwaltung muss kryptographisch robust sein. Schwache Kryptos sind nicht akzeptabel.

Anomalieerkennung: Sie müssen aktiv nach verdächtigen Aktivitäten suchen. Das bedeutet Überwachung von Netzwerk-Traffic, Logfile-Analysen und zeitnahe Alerts bei Anomalien.

Lieferkettenicherheit: Sie müssen wissen, welche Subunternehmer und Lieferanten Ihr Cloud-System unterstützen. Alle müssen auch sicherheitskonform sein. Ein schwaches Glied in der Kette bricht die ganze Sicherheit.

Penetrationstests: Das BSI erwartet mindestens jährliche externe Penetrationstests. Sie müssen Schwachstellen finden und beheben, bevor böse Akteure es tun.

Public-Cloud-Anbieter bieten oft einzelne dieser Kontrollen an. Doch BSI C5 fordert ein ganzheitliches System. Ein US-Cloud-Provider kann nicht alle Anforderungen erfüllen – nicht, weil er nicht will, sondern weil US-Gesetze (wie der CLOUD Act) es verhindern. Der CLOUD Act erlaubt der US-Regierung, US-Cloud-Provider zu zwingen, Daten an US-Behörden auszuhändigen. Das ist inkompatibel mit BSI C5 Anforderungen nach Datensouveränität.

DORA: Operative Resilienz für Finanzinstitute

DORA (Digital Operational Resilience Act) ist eine relativ neue Verordnung, die sich auf Finanzinstitute fokussiert. Sie trat am 17. Januar 2025 in Kraft. DORA fordert, dass Finanzinstitute Maßnahmen ergreifen, um ihre digitalen Operationen resilient zu machen.

DORA hat mehrere Kernforderungen. Erstens: Incident Response und Business Continuity. Sie müssen einen Plan haben für das, was passiert, wenn Systeme ausfallen. Das bedeutet Backup, Disaster Recovery und Failover-Systeme.

Zweitens: Third-Party-Risiko-Management. Wenn Sie Cloud-Services, Software oder andere IT-Dienstleistungen von Dritten nutzen, müssen Sie deren Risiken managen. Das bedeutet Verträge mit SLA-Garantien, regelmäßige Audits und ein formales Compliance-Monitoring.

Drittens: Informationssicherheit. Ähnlich wie BSI C5 fordert DORA robuste Sicherheitskontrollen, regelmäßige Tests und schnelle Reaktion auf Vorfälle.

Viertens: Reporting und Transparenz. Finanzinstitute müssen dem regulator (in Deutschland die BaFin) innerhalb von 24 Stunden Incidents melden. Sie müssen auch detaillierte Berichte über ihre digitale Resilienz einreichen.

DORA ist ein zusätzlicher Druck auf Finanzdienstleister, Cloud-Infrastrukturen zu wählen, die sie selbst kontrollieren. Ein Cloud-Service ist ein Third Party, und DORA verlangt striktes Management von Third-Party-Risiken. Das ist leichter mit eigener Infrastruktur machbar.

Die Gaps von Public Cloud

Public-Cloud-Anbieter wie AWS, Microsoft Azure und Google Cloud sind großartig für viele Anwendungen. Doch für streng regulierte Industrien und sensible Daten haben sie systematische Gaps:

Datenresidenz: Public-Cloud-Anbieter betreiben global verteilte Rechenzentren. Das ist wirtschaftlich effizient, aber nicht compliance-freundlich. Während sie manchmal europäische Regionen anbieten, gibt es keine vollständige Garantie, dass Daten nicht reisen. DSGVO, BSI C5 und DORA fordern klare Lokalität.

Zugang durch Dritte: Der CLOUD Act erlaubt der US-Regierung, US-Cloud-Provider zu verpflichten, auf Daten zuzugreifen. Das ist ein fundamentales Compliance-Problem für deutsche und europäische Unternehmen.

Audit und Logging: Public-Cloud-Audit-Trails sind standardisiert, aber oft nicht ausreichend granular für strikte Compliance. Sie können nicht alle Zugriffe, alle Konfigurationsänderungen, alle administrativen Aktionen mit der gewünschten Genauigkeit loggen.

Konfiguration und Kontrolle: Public-Cloud-Anbieter definieren Standardkonfigurationen, die nicht immer mit Compliance-Anforderungen übereinstimmen. Sie müssen dann aufwendig re-konfigurieren und hoffen, dass der Provider nicht seine Defaults ändert.

Clouditiv: Das Compliance-Fundament

Clouditiv ist eine On-Premise OpenStack-Lösung, die speziell für deutsche Compliance-Anforderungen gebaut ist. Sie läuft auf Ihrer Hardware, in Ihren Rechenzentren oder denen eines deutschen Data-Center-Partners. Daten residieren zu 100 Prozent in Deutschland. Das ist die erste Voraussetzung für DSGVO-, BSI-C5- und DORA-Konformität.

Clouditiv basiert auf OpenStack 2025.2, Ubuntu 24.04 LTS und Ceph-Storage. Alle Komponenten sind Open Source und vollständig transparent. Sie können den Code auditieren, Sicherheits-Patches selbst einspielen und volle Kontrolle über Ihre Infrastruktur haben. Das ist unmöglich mit proprietary Cloud-Plattformen.

Clouditiv bietet auch Monitoring und Logging mit Prometheus und Grafana. Sie können alle Metriken, alle Zugriffe, alle Konfigurationsänderungen in Echtzeit überwachen. Audit-Trails sind komplett, unveränderbar und können bei Bedarf Datenschutzbehörden vorgelegt werden.

Clustering und Hochverfügbarkeit sind eingebaut. Mit 99,9% Uptime SLA garantiert Clouditiv, dass Ihre Systeme verfügbar sind. Das ist wichtig für Finanzinstitute, Telekomm-Provider und Gesundheitseinrichtungen, die von DORA und anderen Regulierungen abhängen.

Deployment dauert unter 60 Minuten. Das bedeutet, Sie können schnell eine vollständig konforme Infrastruktur aufbauen, nicht in Monaten, sondern in Stunden. Das ist ein großer Vorteil für Unternehmen, die schnell skalieren müssen, aber auch schnell konform sein müssen.

Zusammenfassung: Compliance braucht Kontrolle

DSGVO, BSI C5 und DORA sind nicht nur technische Standards – sie sind Anforderungen, die Ihre geschäftliche Kontrolle über Daten und Infrastruktur fordern. Public Cloud gibt Ihnen diese Kontrolle nicht vollständig. Mit Clouditiv – einer modernen, transparenten, deutschen On-Premise-Lösung – können Sie alle drei Standards erfüllen. Sie bekommen Datenresidenz, volle Audit-Trails, strikte Zugriffskontrolle und die Geschwindigkeit einer modernen Cloud. Das ist das Fundament, auf dem Compliance-Konformität gebaut wird.

Bei Clouditiv haben wir über 30 Jahre Erfahrung in Sicherheit und Infrastruktur (über SETUP Protokolltester GmbH). Wir verstehen die Anforderungen der deutschen Regulatoren und die Realitäten von Unternehmen, die diese Anforderungen erfüllen müssen. 60 bis 70 Prozent Kostenersparnisse gegenüber VMware, kombiniert mit 100 Prozent Compliance – das ist möglich, und wir machen es jeden Tag für unsere Kunden in Telekomm, Gesundheitswesen, Fertigungsindustrie und Finanzdienstleistungen möglich.