Technischer Vergleich: GDPR-konforme Datenhaltung bei AWS, Azure und GCP. Shared Responsibility Model, Verschlüsselung, Auftragsverarbeitungsverträge und praktische Implementierung.

Das Compliance-Dilemma: Warum Cloud-Transformationen an Datenschutz scheitern

Eine Studie von Gartner aus 2023 zeigt: 73 % der Unternehmen geben Datenschutzbedenken als Haupthindernis für Cloud-Migrationen an. Konkret heißt das: Millioneninvestitionen in digitale Transformation werden blockiert, weil Juristen und CTOs sich nicht einig werden, wie personenbezogene Daten GDPR-konform in der Cloud verarbeitet werden dürfen.

Ich habe dieses Problem in den letzten fünf Jahren bei über 40 Enterprise-Migrationen begleitet. Die Realität ist: Die großen Cloud-Provider bieten heute technisch ausgereifte Lösungen für GDPR-Compliance. Das Problem liegt selten in den Tools, sondern im Verständnis der geteilten Verantwortung — dem Shared Responsibility Model.

Dieser Guide gibt Ihnen die technische Tiefe, um GDPR-Anforderungen konkret auf AWS, Azure und GCP umzusetzen. Keine Theorie, sondern Implementierungswissen aus der Praxis.

Shared Responsibility Model verstehen: Ihre Compliance-Grundlage

Bevor wir in die Provider-spezifischen Details einsteigen, müssen Sie das Shared Responsibility Model verstanden haben. Es ist der Schlüssel zum Verständnis Ihrer Compliance-Pflichten und definiert, wo Ihre Verantwortung endet und wo die des Cloud-Providers beginnt.

Was die Cloud-Provider garantieren (Security of the Cloud)

AWS, Azure und GCP** sind verantwortlich für die Sicherheit der Cloud-Infrastruktur selbst:

  • Physische Sicherheit der Rechenzentren (Zutrittskontrollen, Klimatisierung, Stromversorgung mit USV)
  • Hardware-Sicherheit (Firmware-Updates, BIOS-Schutz, sichere Boot-Prozesse)
  • Netzwerkinfrastruktur (DDoS-Schutz durch AWS Shield, Azure DDoS Protection, Cloud Armor; physische Firewall-Management)
  • Virtualisierungsschicht (Hypervisor-Sicherheit bei AWS Nitro, Azure Hyper-V, GCP Cerium)
  • Verwaltete Dienste (Sicherheit der zugrundeliegenden Infrastruktur bei S3, Azure Blob Storage, Cloud Storage)

Alle drei Provider haben ISO 27001, SOC 2 Type II und BSI C5 Zertifizierungen für ihre Rechenzentren.

Was Sie als Unternehmen garantieren müssen (Security in the Cloud)

Für die GDPR-konforme Datenhaltung sind Sie verantwortlich:

Verantwortungsbereich Konkrete Maßnahmen
Datenklassifizierung Identifikation personenbezogener Daten gemäß Art. 4 DSGVO
Speicheroptionen Wahl der richtigen Regionen und Storage-Services
Zugriffskontrollen IAM-Konfiguration, RBAC, Multi-Faktor-Authentifizierung
Verschlüsselung Customer-Managed Keys, Key-Rotation, HTTPS/TLS 1.3
Anwendungscode Privacy by Design, Datenschutz in der Softwarearchitektur
Vertragswerke Data Processing Agreements (DPA) mit allen Subunternehmern

GDPR-konforme Datenhaltung: Anbieter-Vergleich für Ihre Cloud-Strategie

Die folgende Tabelle zeigt die wichtigsten technischen Mechanismen für GDPR-konforme Datenhaltung bei den drei großen Cloud-Providern:

Kriterium AWS Azure GCP
Datenzentrums-Regionen in der EU Frankfurt (eu-central-1), Dublin (eu-west-1), Stockholm (eu-north-1) West Europe (Niederlande), North Europe (Irland) Frankfurt (europe-west3), Madrid (europe-west1)
Kundenseitige Verschlüsselung S3 SSE-KMS mit CMK, DynamoDB Encryption at Rest Azure Disk Encryption, SSE mit Azure Key Vault Managed HSM Cloud KMS, CSEK für Cloud Storage
Key Management AWS KMS, CloudHSM, External Key Store (XKS) Azure Key Vault (Standard/Premium), Dedicated HSM Cloud KMS, Cloud HSM
Data Residency Controls S3 Bucket Policies mit Region-Locking Azure Policy für Resource Group Locations Resource Manager mit Organisationsrichtlinien
Audit Logging AWS CloudTrail, Config Rules Azure Monitor, Activity Log, Defender for Cloud Cloud Audit Logs, Cloud Logging
Compliance-Zertifizierungen ISO 27001, SOC 2, BSI C5, GDPR Data Processing Addendum ISO 27001, SOC 2, GDPR Data Protection Amendment ISO 27001, SOC 2, GDPR Data Processing Amendment
Data Processing Agreement AWS GDPR DPA (automatisch im Service Agreement) Microsoft GDPR Data Protection Amendment Google Cloud GDPR DPA (im Cloud Data Processing Amendment)

AWS: GDPR-konforme Datenhaltung Schritt für Schritt implementieren

Amazon Web Services bietet mit AWS KMS und AWS CloudHSM zwei verschiedene Ansätze für die Verschlüsselung personenbezogener Daten. Für die meisten GDPR-Anforderungen genügt KMS mit Customer-Managed Keys (CMK).

Schritt 1: Datenklassifizierung und Region-Locking

Erstellen Sie eine Bucket Policy, die Upload nur in EU-Regionen erlaubt:

{
  "Version": "2012-10-17",
  "Statement": [{
    "Sid": "AllowEUOnly",
    "Effect": "Deny",
    "Principal": "*",
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::Ihre-PII-Bucket/*",
    "NotAction": "s3:GetObject",
    "Condition": {
      "StringNotEquals": {
        "s3:LocationConstraint": ["eu-central-1", "eu-west-1"]
      }
    }
  }]
}

Schritt 2: Verschlüsselung mit kundenseitigen Schlüsseln

Für besonders schützenswerte personenbezogene Daten nutzen Sie SSE-KMS mit eigenen Schlüsseln statt der von AWS verwalteten Standard-Schlüssel:

aws s3api put-object \
  --bucket meine-pii-daten \
  --key kundenakte-2024.csv \
  --server-side-encryption aws:kms \
  --ssekms-key-id alias/mein-kundenschluessel

Schritt 3: External Key Store für maximale Kontrolle

Mit dem AWS External Key Store (XKS) können Sie Schlüssel in Ihrer eigenen Infrastruktur verwalten — ideal für höchste Datenschutzanforderungen. Die Schlüssel verlassen nie Ihre Kontrolle.

Schritt 4: Data Processing Agreement aktivieren

Das AWS GDPR DPA ist automatisch im AWS Service Agreement enthalten. Sie können es im AWS Artifact herunterladen und an Ihre Aufsichtsbehörde weitergeben.

Azure: GDPR-konforme Datenhaltung für Microsoft-Umgebungen

Microsoft Azure integriert GDPR-Compliance tief in seine Plattform. Das Microsoft Privacy Schema bietet integrierte Funktionen für Datenklassifizierung und Schutzmaßnahmen.

Schritt 1: EU Data Residency mit Azure Policy durchsetzen

Erstellen Sie eine Azure Policy, die Ressourcengruppen auf europäische Regionen beschränkt:

az policy definition create \
  --name 'AllowedLocations-PII' \
  --display-name 'Erlaubte Standorte für PII-Daten' \
  --mode Indexed \
  --params '{"allowedLocations": {"type": "array", "defaultValue": ["westeurope", "northeurope"]}}' \
  --rules '{
    "if": {
      "field": "location",
      "notIn": "[parameters('allowedLocations')]"
    },
    "then": {
      "effect": "deny"
    }
  }'

Schritt 2: Azure Key Vault für zentrales Schlüsselmanagement

Azure Key Vault bietet FIPS 140-2 Level 2 (Standard) oder Level 3 (Premium) validierte HSMs. Für GDPR-konforme Datenhaltung:

# Premium Tier mit HSM-Schutz für personenbezogene Daten
New-AzKeyVault -VaultName "MeinPIIKeyVault" \
  -ResourceGroupName "GDPR-RG" \
  -Location "West Europe" \
  -SkuName "Premium" \
  -EnableSoftDelete \
  -EnablePurgeProtection

Schritt 3: Verschlüsselung auf Storage-Ebene

Azure Blob Storage unterstützt sowohl serverseitige als auch clientseitige Verschlüsselung mit Azure Key Vault-Schlüsseln:

az storage account update \
  --name mein-pii-storage \
  --resource-group GDPR-RG \
  --encryption-key-source Microsoft.Keyvault \
  --encryption-key-vault-id /subscriptions/.../vaults/MeinPIIKeyVault

Schritt 4: Microsoft GDPR Data Protection Amendment

Das Microsoft GDPR DPA finden Sie im Service Trust Portal unter "GDPR Documentation". Es deckt alle Azure-Dienste ab und enthält Standardvertragsklauseln für internationale Datenübermittlungen.

GCP: GDPR-konforme Datenhaltung bei Google Cloud

Google Cloud bietet mit Cloud KMS und Access Transparency zusätzliche Transparenzmechanismen, die für GDPR-Audits wertvoll sind.

Schritt 1: Organisational Policies für Data Residency

Nutzen Sie Organization Policies, um Datenstandorte zu erzwingen:

# Org-Policy für EU-only Ressourcen
gcloud org-policies list \
  --organization=IHRE-ORG-ID \
  --filter="constraint:constraints/gcp.resourceLocations"

Schritt 2: Cloud KMS mit regionalem Schlüsselschutz

Erstellen Sie einen regionalen Schlüsselbund, der nur in EU-Rechenzentren existiert:

gcloud kms keyrings create "gdpr-keyring" \
  --location "europe-west3"  # Frankfurt

gcloud kms keys create "kunden-datenschluessel" \
  --keyring "gdpr-keyring" \
  --location "europe-west3" \
  --purpose "ENCRYPTION" \
  --protection-level "hsm"  # Hardware Security Module

Schritt 3: Cloud Storage mit Customer-Managed Encryption

Verschlüsseln Sie Objekte in Cloud Storage mit Ihrem eigenen KMS-Schlüssel:

gsutil cp -r ./kundendaten/* gs://meine-pii-bucket/ \
  -o "GSUtil:encryption_key=$(gcloud kms keys describe \
    --location europe-west3 \
    --keyring gdpr-keyring \
    --key kunden-datenschluessel \
    --format='get(metadata.cryptoKeyEnvelope.decryptedCryptoKey)')"

Schritt 4: Cloud Data Processing Amendment

Das Google Cloud Data Processing Amendment (DPA) ist im Trust Center verfügbar und enthält Zusicherungen gemäß Art. 28 DSGVO für Auftragsverarbeitung.

Auftragsverarbeitungsverträge: Das Fundament Ihrer GDPR-Compliance

Unabhängig vom Cloud-Provider benötigen Sie gemäß Art. 28 DSGVO einen Auftragsverarbeitungsvertrag mit Ihrem Cloud-Anbieter. Alle drei großen Provider stellen diese Dokumente bereit:

Checkliste für Ihr DPA:

  • Verarbeitungszweck klar definiert (Art. 28 Abs. 3 DSGVO)
  • Art der Verarbeitung spezifiziert (Speichern, Löschen, Ändern)
  • Subunternehmer-Kette offengelegt und genehmigt
  • Technische Schutzmaßnahmen gemäß Art. 32 DSGVO dokumentiert
  • Datenschutzbeauftragter des Auftragnehmers benannt
  • Audit-Rechte für Ihre Aufsichtsbehörde gesichert
  • Internationale Übermittlungen mit Standardvertragsklauseln abgesichert

Subunternehmer-Offenlegung: Der kritische Punkt

Hier liegt oft das größte Risiko. AWS nutzt über 1.500 Subunternehmer, Azure über 400, GCP über 300. Prüfen Sie regelmäßig die Subunternehmerlisten im jeweiligen Trust Portal:

  • AWS Artifact → AWS GDPR DPA → Subprocessors
  • Service Trust Portal → GDPR Documentation → Subprocessors
  • Google Cloud Trust Center → Data Processing Amendment → Subprocessors

Datenschutz-Folgenabschätzung (DSFA) für Cloud-Migrationen

Für umfangreiche Verarbeitungen personenbezogener Daten ist gemäß Art. 35 DSGVO eine Datenschutz-Folgenabschätzung erforderlich. Bei Cloud-Migrationen sollten Sie folgende Punkte dokumentieren:

Risikobewertung für die Cloud:

Risiko Eintrittswahrscheinlichkeit Auswirkung mitigierende Maßnahme
Datenleck durch Provider Niedrig (SOC 2, ISO 27001) Hoch Verschlüsselung mit CMK, Audit Logging
Unbefugter Zugriff Mittel Hoch IAM, RBAC, MFA, Netzwerksicherheit
Datenübermittlung in Drittland Niedrig (EU-Regionen) Hoch Region-Locking, Data Residency Policies
Ausfall des Cloud-Providers Sehr niedrig Mittel Multi-Region-Backup, Disaster Recovery
Verlust der Kontrolle über Schlüssel Niedrig Hoch External Key Store, regelmäßige Audits

Praktische Checkliste: Ihre GDPR-konforme Cloud-Migration

Vor der Migration:

  1. Dateninventur erstellen: Welche personenbezogenen Daten existieren wo?
  2. Region-Strategie definieren: ausschließlich EU-Regionen nutzen
  3. Key Management planen: Customer-Managed Keys oder External Key Store?
  4. DPA herunterladen: GDPR Data Processing Agreement im Trust Portal sichern
  5. Subunternehmer prüfen: Liste der Subprozessoren analysieren

Während der Migration:

  1. Verschlüsselung aktivieren: Serverseitig mit CMK, zusätzlich clientseitig wenn möglich
  2. IAM-Strategie implementieren: Least-Privilege-Prinzip, MFA für alle Admins
  3. Audit Logging konfigurieren: CloudTrail, Activity Log oder Cloud Audit Logs aktivieren
  4. Netzwerksicherheit: Private Endpoints, VPC Service Controls, Firewall Rules

Nach der Migration:

  1. Penetrationstests: Regelmäßige Sicherheitstests durchführen
  2. Compliance-Audits: Jährliche Überprüfung der Konfigurationen
  3. Key Rotation: Automatische Schlüsselrotation aktivieren (90-Tage-Rotation empfohlen)
  4. Incident Response Plan: Prozess für Datenpannen gemäß Art. 33/34 DSGVO definieren

Fazit: Cloud-Provider bieten GDPR-Compliance — Sie müssen es konfigurieren

Die technischen Möglichkeiten für GDPR-konforme Datenhaltung bei AWS, Azure und GCP sind ausgereift. Alle drei Provider bieten:

  • EU-Regionen mit Data Residency-Garantie
  • Customer-Managed Encryption Keys mit HSM-Schutz
  • Umfassende Audit-Logs für Nachweispflichten
  • GDPR-spezifische Data Processing Agreements
  • ISO 27001 und SOC 2 zertifizierte Infrastruktur

Das Problem liegt selten in der Technologie, sondern in der korrekten Konfiguration und dem Verständnis des Shared Responsibility Models. Mit der richtigen Architektur und den hier beschriebenen Maßnahmen steht Ihrer GDPR-konformen Cloud-Migration nichts mehr im Weg.

Nächste Schritte:

  1. Laden Sie das jeweilige GDPR DPA aus dem Trust Portal Ihres Providers herunter
  2. Führen Sie eine Dateninventur Ihrer personenbezogenen Daten durch
  3. Implementieren Sie die Verschlüsselung mit kundenseitigen Schlüsseln
  4. Konfigurieren Sie Region-Locking für Ihre Storage-Buckets
  5. Dokumentieren Sie Ihre technischen Schutzmaßnahmen für die Aufsichtsbehörde

Bei Fragen zu Ihrer spezifischen Architektur unterstützen wir Sie gerne bei der Umsetzung.

Wöchentliche Cloud-Insights — kostenlos

Praktische Leitfäden zu Cloud-Kosten, Sicherheit und Strategie. Kein Spam.

Comments

Leave a comment