Bin ich als Anbieter automatisch Auftragsverarbeiter?

Ja, sobald Sie im Auftrag personenbezogene Daten für Kunden verarbeiten – was bei Cloud-Diensten meist der Fall ist.

Was verlangt die NIS2-Richtlinie konkret?

Ein umfassendes Sicherheitsmanagementsystem, Vorfallmeldungen, Kontrolle der Subdienstleister und klare Verantwortlichkeiten.

Brauche ich zwingend ISO-Zertifizierungen?

Nicht zwingend – aber sie sind oft Voraussetzung bei Ausschreibungen und verbessern die Compliance-Nachweise erheblich.

Gilt DORA auch für ausländische Anbieter?

Ja – wenn Sie Cloud-Dienste für in der EU regulierte Finanzinstitute bereitstellen, unterliegen Sie den Pflichten der DORA-Verordnung.

Die rechtliche und technische Bewertung von Verträgen mit Cloud-Anbietern

Cloud-Dienste sind das Rückgrat der digitalen Infrastruktur – ob für Unternehmen, Verwaltungen oder kritische Infrastrukturen. Doch wer Cloud-Services anbietet, muss eine Vielzahl an gesetzlichen Anforderungen erfüllen. Insbesondere Datenschutz, Datensicherheit und Compliance stehen im Mittelpunkt regulatorischer Kontrolle. Für Anbieter mit Kunden in der EU gelten dabei strenge Regeln – von der DSGVO bis hin zur neuen NIS2- und DORA-Verordnung. Diese Übersicht zeigt, welche rechtlichen Pflichten Cloud-Anbieter kennen und einhalten müssen.

DSGVO: Was müssen Cloud-Anbieter beachten?

Als Cloud-Anbieter gelten Sie in der Regel als Auftragsverarbeiter gemäß Art. 28 DSGVO. Daraus ergeben sich u. a. folgende Pflichten:

Vertrag zur Auftragsverarbeitung (AV-Vertrag): Muss mit jedem Kunden bestehen und klare Regelungen zur Datenverarbeitung enthalten.
Technisch-organisatorische Maßnahmen (TOMs): Schutz der Daten vor Verlust, unbefugtem Zugriff oder Manipulation.
Verzeichnis von Verarbeitungstätigkeiten: Anbieter müssen intern dokumentieren, welche Daten wie verarbeitet werden.
Transparenzpflichten: Kunden müssen über Speicherort, Subdienstleister und Datenflüsse informiert werden.
Drittstaatentransfers: Datenverarbeitung außerhalb der EU nur mit Standardvertragsklauseln oder gleichwertigen Garantien zulässig.

Tipp: Anbieter sollten ein strukturiertes Datenschutz-Management-System (DSMS) etablieren – idealerweise zertifiziert (z. B. nach ISO 27701).

IT-Sicherheitspflichten: NIS2 und kritische Dienste

Mit Inkrafttreten der NIS2-Richtlinie werden viele Cloud-Provider zu „wesentlichen“ oder „wichtigen“ Einrichtungen im Sinne der Cybersicherheit. Daraus folgen:

Pflicht	Bedeutung
Risikomanagement	Einführung eines Sicherheitskonzepts, inkl. Notfallpläne und Schwachstellenmanagement
Meldepflichten	Sicherheitsvorfälle müssen binnen 24 Std. an das BSI gemeldet werden
Lieferkettenkontrolle	Auch Subanbieter und Rechenzentren müssen überprüft und vertraglich eingebunden werden
Pflicht zur Geschäftsleitung	Verantwortung liegt bei der Geschäftsführung, nicht nur bei der IT

Hinweis: Auch kleinere Anbieter können unter die NIS2 fallen – entscheidend ist die Systemrelevanz, nicht die Mitarbeiterzahl.

Compliance im Finanz- und Versicherungsbereich: DORA & BaFin-Regelwerke

Cloud-Anbieter, die mit Banken, Versicherungen oder anderen regulierten Finanzunternehmen kooperieren, unterliegen zusätzlichen Vorschriften:

DORA-Verordnung (ab 17.01.2025): Verpflichtet Anbieter zu Informationspflichten, Prüfungen und Meldungen bei Ausfällen.
Direkte Überwachung durch ESAs/BaFin: Besonders bei systemrelevanten IT-Dienstleistern möglich.
BAIT / VAIT / KAIT: Technische Verwaltungsanforderungen an IT-Dienstleistungen in Deutschland.

Achtung: Wer als wesentlicher Drittanbieter gilt, muss sich auf Audits und direkte Regulierung einstellen.

Vertragliche und technische Mindeststandards

Cloud-Anbieter sollten folgende Standards erfüllen:

Transparente SLAs und AV-Verträge, die Speicherort, Löschfristen und Support klar regeln.
Zertifizierungen wie ISO 27001, BSI C5, SOC 2 (Typ II) erhöhen die Akzeptanz bei Unternehmenskunden.
Technische Absicherung: Multi-Faktor-Authentifizierung, Verschlüsselung (im Transit & at Rest), physische Rechenzentrumssicherheit.

Praxis-Tipp: Ein Trust-Center oder öffentliches Compliance-Portal kann die Informationspflichten elegant bündeln.

Was droht bei Verstößen?

Regelverstoß	Mögliche Folge
DSGVO-Verstoß	Bußgelder bis 20 Mio. € / 4 % des Umsatzes
NIS2-Verstoß	Sanktionen durch nationale Behörden, Veröffentlichung von Vorfällen
DORA-Nichteinhaltung	Ausschluss von Finanzdienstleistungen, Reputationsschäden
Fehlende Zertifizierungen	Wettbewerbsnachteile oder Ausschluss aus Ausschreibungen

Wie Cloud-Nutzer Verträge rechtssicher abschließen und prüfen können, lesen Sie hier:
👉 Cloud-Dienste und ihre rechtlichen Rahmenbedingungen | Cloud-Vertrag abschließen: Worauf Unternehmen achten sollten

FAQ – Cloud-Anbieter & rechtliche Vorgaben

Bin ich als Anbieter automatisch Auftragsverarbeiter?

Ja, sobald Sie im Auftrag personenbezogene Daten für Kunden verarbeiten – was bei Cloud-Diensten meist der Fall ist.
Was verlangt die NIS2-Richtlinie konkret?

Ein umfassendes Sicherheitsmanagementsystem, Vorfallmeldungen, Kontrolle der Subdienstleister und klare Verantwortlichkeiten.
Brauche ich zwingend ISO-Zertifizierungen?

Nicht zwingend – aber sie sind oft Voraussetzung bei Ausschreibungen und verbessern die Compliance-Nachweise erheblich.
Gilt DORA auch für ausländische Anbieter?

Ja – wenn Sie Cloud-Dienste für in der EU regulierte Finanzinstitute bereitstellen, unterliegen Sie den Pflichten der DORA-Verordnung.