Die Nutzung von Cloud-Diensten gehört mittlerweile zum digitalen Alltag vieler sozialwirtschaftlicher Einrichtungen. Ob zur Speicherung von Klient*innendaten, zur gemeinsamen Arbeit an Dokumenten, zur Terminplanung oder zur Kommunikation im Team – Cloud-Lösungen versprechen Flexibilität, Effizienz und standortunabhängigen Zugriff. Doch genau diese Vorteile bergen aus datenschutzrechtlicher Sicht erhebliche Risiken. Denn sobald personenbezogene Daten in einer Cloud gespeichert oder verarbeitet werden, liegt eine Datenverarbeitung im Auftrag vor, die den Anforderungen des Art. 28 DSGVO entsprechen muss – insbesondere, wenn die Daten in Rechenzentren außerhalb Deutschlands oder sogar außerhalb der EU gespeichert werden.

Einrichtungen, die Cloud-Dienste nutzen, müssen sicherstellen, dass der Anbieter vertraglich als Auftragsverarbeiter eingebunden ist und geeignete technische und organisatorische Maßnahmen zum Schutz der Daten nachweisen kann. Dazu gehört ein rechtskonformer Auftragsverarbeitungsvertrag, der unter anderem Ort, Zweck, Art und Dauer der Verarbeitung festlegt, Kontrollrechte sichert und Löschpflichten regelt. Besonders kritisch ist die Nutzung von US-amerikanischen Anbietern, da der Datentransfer in sogenannte Drittstaaten außerhalb der EU den Anforderungen von Kapitel V DSGVO unterliegt. Auch wenn mit dem neuen Trans-Atlantic Data Privacy Framework ein Angemessenheitsbeschluss für bestimmte US-Anbieter besteht, bleibt die Cloud-Nutzung datenschutzrechtlich sensibel, insbesondere wenn Gesundheitsdaten, Falldokumentationen oder andere besonders schutzbedürftige Inhalte verarbeitet werden.

Ein häufiger Fehler in der Praxis ist die Nutzung von Cloud-Angeboten ohne vorherige Prüfung, Dokumentation und Risikobewertung. Werden personenbezogene Daten ohne vertragliche Absicherung in einer Cloud gespeichert, liegt ein Verstoß gegen die DSGVO vor, der zu aufsichtsbehördlichen Maßnahmen und Bußgeldern führen kann. Ebenso problematisch ist die fehlende Transparenz darüber, wer innerhalb der Organisation auf die Cloud-Daten zugreifen darf, wie lange sie gespeichert werden und ob Dritte unberechtigten Zugriff erlangen können – etwa durch fehlerhafte Freigaben, unsichere Endgeräte oder unzureichend geschützte Benutzerkonten. Auch die Verwendung von Cloud-basierten Diensten zur Kommunikation – etwa über ungesicherte Messenger, geteilte Kalender oder Kommentarfunktionen – kann zu ungewollten Offenlegungen personenbezogener Daten führen.

Einrichtungen der Sozialwirtschaft sind aufgrund der Sensibilität ihrer Daten besonders verpflichtet, Cloud-Nutzung restriktiv und strukturiert zu gestalten. Dazu gehört die vorherige Durchführung einer Datenschutz-Folgenabschätzung, wenn besonders schützenswerte Daten in großem Umfang verarbeitet oder in unsicheren Rechtsräumen gespeichert werden. Es muss klar definiert sein, welche Datenarten in die Cloud dürfen, welche Personen Zugriff erhalten, welche Sicherheitsstandards gelten und wie der Zugriff kontrolliert wird. Regelmäßige Schulungen und klare Richtlinien zur Cloud-Nutzung sind ebenso erforderlich wie die Einrichtung eines Berechtigungskonzepts und regelmäßige technische Prüfungen der verwendeten Dienste.

Die IJOS Datenschutzmanagement-Software (DSM) unterstützt Einrichtungen dabei, Cloud-Nutzung datenschutzkonform zu planen, zu dokumentieren und zu überwachen. Über das integrierte Verzeichnis der Verarbeitungstätigkeiten, das DSFA-Modul und die Verwaltung von Auftragsverarbeitungsverträgen können Cloud-Dienste strukturiert abgebildet und rechtlich eingeordnet werden. Die Software hilft zudem, Löschkonzepte umzusetzen, Verantwortlichkeiten zu regeln und Datenabflüsse nachvollziehbar zu dokumentieren. Bei kritischen Vorfällen oder wiederholten Verstößen gegen interne Cloud-Regelungen kann über die Whistleblower-Plattform der IJOS GmbH eine anonyme Meldung erfolgen, die eine interne Aufarbeitung unterstützt.

Cloud-Nutzung ist datenschutzrechtlich kein Selbstläufer, sondern ein Bereich mit erheblichem Risikopotenzial – insbesondere dort, wo mit besonders sensiblen personenbezogenen Daten gearbeitet wird. Einrichtungen der Sozialwirtschaft, die Verantwortung übernehmen wollen, müssen deshalb technische Bequemlichkeit mit rechtlicher Sorgfalt in Einklang bringen. Wer Cloud-Dienste nutzt, trägt die volle Verantwortung für die Sicherheit der Daten – unabhängig davon, wo der Server steht oder wie einfach der Dienst zu bedienen ist. Nur wer diese Verantwortung konsequent wahrnimmt, kann das Potenzial digitaler Lösungen ohne Rechtsverstoß nutzen.