ConformScan
Kostenlos scannen
GDPRDSGVOAWSAzureData Residency

DSGVO Cloud-Sicherheit: Was AWS- und Azure-Nutzer 2025 beheben müssen

Ein praxisorientierter Leitfaden zu den technischen DSGVO-Art.-32-Anforderungen für Cloud-Infrastrukturen — von S3-Bucket-Richtlinien bis zur RDS-Verschlüsselung.

17. März 2025·7 min Lesezeit·
ConformScan

DSGVO Artikel 32 verlangt „geeignete technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten. Für Teams, die auf AWS oder Azure arbeiten, ist das nicht abstrakt — es übersetzt sich in konkrete Infrastruktureinstellungen. Dieser Leitfaden ordnet Artikel 32 konkreten Cloud-Konfigurationsprüfungen zu.

Die Rechtsgrundlage: DSGVO Artikel 32

Artikel 32(1) listet vier wesentliche Maßnahmen auf:

  1. Pseudonymisierung und Verschlüsselung personenbezogener Daten
  2. Fähigkeit zur dauerhaften Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit
  3. Fähigkeit zur Wiederherstellung der Verfügbarkeit nach einem Vorfall
  4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen

Die Strafen für Verstöße: bis zu €20 Mio. oder 4 % des weltweiten Umsatzes (Artikel 83).

AWS: Kritische DSGVO-Fehlkonfigurationen

S3 — der häufigste DSGVO-Verstoß

Öffentliche S3-Buckets mit personenbezogenen Daten sind der mit Abstand häufigste DSGVO-Verstoß in Cloud-Umgebungen. Prüfen Sie:

  • BlockPublicAcls und BlockPublicPolicy für ALLE Buckets aktiviert
  • Serverseitige Verschlüsselung aktiviert (SSE-S3 oder SSE-KMS)
  • Bucket-Richtlinie erzwingt nur HTTPS (aws:SecureTransport-Bedingung)
  • Zugriffs-Logging für Buckets mit personenbezogenen Daten aktiviert
  • Logging auf Objektebene über CloudTrail für DSGVO-Audit-Trail

RDS & Datenbanken

  • Speicherverschlüsselung bei der Instanzerstellung aktiviert (kann danach nicht mehr geändert werden)
  • Parameter-Gruppeneinstellung rds.force_ssl = 1
  • Keine öffentlich zugänglichen RDS-Instanzen
  • Automatische Backups mit ≥7 Tagen Aufbewahrung
  • Löschschutz für Produktionsinstanzen aktiviert

IAM — Zugang zu personenbezogenen Daten

Artikel 5(1)(f) verlangt Vertraulichkeit und Integrität. Das bedeutet:

  • MFA für alle Benutzer erforderlich, die auf personenbezogene Daten zugreifen können
  • IAM-Richtlinien auf das Minimum der erforderlichen Berechtigungen beschränkt
  • Keine langlebigen Zugriffsschlüssel für Dienstkonten (IAM-Rollen verwenden)
  • Regelmäßige Zugriffsüberprüfungen über IAM Access Analyzer

CloudTrail — der DSGVO-geforderte Audit-Trail

DSGVO Artikel 30 verlangt Aufzeichnungen über Verarbeitungstätigkeiten. CloudTrail liefert dies für AWS:

  • Multi-Region-Trail aktiviert
  • Log-Datei-Validierung aktiviert (beweist, dass Protokolle nicht manipuliert wurden)
  • CloudTrail-Protokolle mit KMS verschlüsselt
  • Protokollaufbewahrung ≥ 12 Monate in S3 mit Lifecycle-Regeln

Azure: Kritische DSGVO-Fehlkonfigurationen

Storage-Konten

  • Sichere Übertragung erforderlich (nur HTTPS)
  • Öffentlicher Blob-Zugriff deaktiviert
  • Soft Delete für Blob-Daten aktiviert
  • Speicherverschlüsselung mit kundenverwalteten Schlüsseln (für sensible Daten)

Azure SQL

  • Transparente Datenverschlüsselung aktiviert
  • Advanced Threat Protection aktiviert
  • Auditing aktiviert und Protokolle an Storage-Konto oder Log Analytics gesendet
  • Kein öffentlicher Netzwerkzugriff für Produktionsdatenbanken

EU-Datenspeicherung — die Schrems-II-Anforderung

Nach dem Schrems-II-Urteil (2020) ist die Übertragung personenbezogener Daten in die USA eingeschränkt, sofern keine geeigneten Schutzmaßnahmen vorhanden sind. Für Cloud-Infrastrukturen bedeutet dies die Überprüfung, dass:

  • Alle EC2-, RDS-, S3- und Lambda-Ressourcen in EU-Regionen liegen (eu-central-1, eu-west-1, eu-west-3 usw.)
  • Azure-Ressourcen in EU-Regionen liegen (West Europe, North Europe, Germany West Central)
  • Keine regionsübergreifende Replikation in US-Regionen ohne expliziten Einwilligungsmechanismus
  • CloudFront-Distributionen leiten keine Daten ohne Zustimmung außerhalb der EU weiter

Die EU-Residency-Prüfungen von ConformScan überprüfen explizit jede Ressourcenregion in Ihren AWS- und Azure-Konten.

DSGVO-Compliance ist kein Häkchen — sie ist kontinuierlich

Ein einmaliges Audit garantiert keine Compliance. Konfigurationsdrift passiert: Ein Entwickler erstellt einen öffentlichen S3-Bucket, jemand deaktiviert CloudTrail zur Kostensenkung, eine RDS-Instanz wird ohne Verschlüsselung erstellt. Automatisiertes tägliches Scanning erkennt diese Rückschritte, bevor Ihre Datenschutzbehörde es tut.

Bereit, Ihre Infrastruktur zu prüfen?

1 kostenloser Scan/Monat · Keine Kreditkarte · Ergebnisse in unter 2 Minuten · Gehostet in Deutschland

Kostenlos scannen →

Weitere Compliance-Leitfäden

NIS2AWS

NIS2-Compliance-Checkliste für AWS: Der vollständige Leitfaden 2025

8 min Lesezeit

BSI C5Audit

BSI C5 Audit-Vorbereitung: Eine Schritt-für-Schritt-Anleitung für Cloud-Teams

9 min Lesezeit

DSGVO Cloud-Sicherheit: Was AWS- und Azure-Nutzer 2025 beheben müssen | ConformScan Blog