Blog
Cloud & Regulatorik: So hilft Datenklassifizierung beim Start
AWS Consultant
Unternehmen in hochregulierten Branchen stehen einer Vielzahl unterschiedlicher Vorschriften gegenüber. Nicht alle Daten und Workloads unterliegen jedoch denselben strengen Vorgaben. Regulierungsbehörden konzentrieren sich vor allem auf kritische Systeme und sensible Daten, während weniger kritische Bereiche oft mit geringeren Auflagen verbunden sind. Unternehmen haben folglich die Chance, differenziert vorzugehen: Durch eine kluge Datenklassifizierung lassen sich stark regulierte Informationen von weniger sensiblen trennen. Erste Cloud-Erfahrungen können in Bereichen gesammelt werden, die regulatorisch einfach handhabbar sind – ohne Compliance-Verstöße zu riskieren.
Regulierte Branchen: Vielfältige Compliance-Anforderungen verstehen
Je nach Branche und Datenart gelten unterschiedliche Gesetze, Verordnungen und Standards. Branchenübergreifende Regelwerke wie die Datenschutz-Grundverordnung (DSGVO) verpflichten alle Unternehmen zum sorgfältigen Umgang mit personenbezogenen Daten – mit strengen Vorgaben etwa zu Einwilligungen, Privacy by Design, Datensicherheit und -souveränität. Verstöße können hohe Strafen nach sich ziehen.
Branchenspezifische Gesetze:
- In der Telekommunikationsbranche regelt das Telekommunikationsgesetz (TKG) die Pflichten der Anbieter. Telko-Unternehmen müssen technische und organisatorische Maßnahmen ergreifen, um das Fernmeldegeheimnis und personenbezogene Kundendaten zu schützen.
- In der Financial Services Industry (FSI) werden technische Anforderungen an die IT über den Digital Operational Resilience Act (DORA) festgelegt. Um insbesondere wichtige und kritische Funktionen aufrechtzuerhalten, müssen Banken und Versicherer entsprechende Maßnahmen zur Sicherheit und Resilienz von Systemen ergreifen.
- Weitere Branchen: Im Gesundheitswesen gelten z. B. spezielle Datenschutzgesetze für Patientendaten. Im öffentlichen Sektor bestehen eigene Compliance-Vorgaben (etwa im E-Government und Vergaberecht).
- Kritische Infrastrukturen (KRITIS): Betreiber kritischer Dienstleistungen unterliegen gemäß dem IT-Sicherheitsgesetz zusätzlichen Pflichten. Seit 2024 gilt für sie zudem die EU-Richtlinie NIS 2. Diese bringt europaweit strengere Mindeststandards für die Cybersicherheit sowie Meldepflichten für essenzielle und wichtige Einrichtungen mit sich.
- Internationale Standards: Unabhängig von gesetzlichen Vorgaben setzen Normen wie ISO 27001 branchenübergreifend einen Rahmen für Informationssicherheit, den große Cloud-Anbieter in der Regel erfüllen. In Deutschland ist zudem der BSI C5-Prüfstandard etabliert, mit dem sich die Cloud-Sicherheit nachweisen lässt.
Trotz dieser Vielfalt an Vorgaben ist nicht jedes System im Unternehmen maximal reguliert. Während beispielsweise Kundendaten strengen Datenschutzgesetzen unterliegen, sind andere Informationen (z. B. öffentlich zugängliche Inhalte oder anonymisierte Datensätze) wie auch nicht-produktive Entwicklungs- und Testumgebungen weitaus weniger kritisch. Unternehmen sollten sich dieser regulatorischen Vielfalt bewusst sein und ihre IT-Landschaft entsprechend gestalten. Dazu gehört auch, den Status quo regelmäßig zu überprüfen. Ein Cloud Compliance Assessment (siehe z. B.) hilft dabei, die bestehenden und geplanten Cloud-Umgebungen auf einschlägige Vorschriften hin zu beurteilen und mögliche Compliance-Lücken frühzeitig aufzudecken. So wird klar, wo Handlungsbedarf besteht, bevor sensible Workloads in die Cloud verlagert werden.
Datenklassifizierung als Schlüssel zur Cloud-Strategie
Ein zentrales Werkzeug, um der unterschiedlichen Sensibilität von Daten gerecht zu werden, ist die Datenklassifizierung. Informationen werden nach ihrem Schutzbedarf und den geltenden Compliance-Anforderungen kategorisiert. Ziel ist es, genau zu verstehen, welche Datenarten in einem Anwendungsfall verarbeitet werden – und daraus passende technische und organisatorische Schutzmaßnahmen abzuleiten.
Cloud-Souveränität: regulatorische Pflicht – strategische Chance
Cloud-Souveränität beschreibt das Ziel, die Daten- und Prozesshoheit auch dann zu wahren, wenn Workloads in einer externen Cloud laufen. Treibende Kraft ist der EU Data Act, dessen wesentliche Pflichten – u. a. ein einklagbares Recht auf Cloud-Portabilität sowie Schutz vor unzulässigem Drittstaatenzugriff – ab dem 12. September 2025 greifen. Anbieter müssen dann einen Wechsel zwischen Clouds aktiv unterstützen und dürfen Ausstiegskosten nur noch stark begrenzt erheben.
Parallel dazu etabliert Europa ein mehrstufiges Zertifizierungssystem. Während die geplante EU-Cybersecurity-Zertifizierung für Cloud-Services (EUCS) Sicherheits- und Souveränitätsniveaus definiert, weisen nationale Gütesiegel wie SecNumCloud bereits heute streng geprüfte Plattformen aus. Der Markt reagiert: AWS hat mit der European Sovereign Cloud eine physisch und logisch getrennte EU-Region angekündigt. Microsoft hat im Februar 2025 seine EU Data Boundary vollendet, sodass sogar Support-Logs ausschließlich in der EU/EFTA verbleiben. Zugleich werden europäische Initiativen wie Gaia-X und Provider wie OVHcloud oder Scaleway zunehmend sichtbar. Sie bieten Unternehmen zusätzliche Migrationspfade, ohne dass diese vollständig von US-Hyperscalern abhängig sind.
Für die Praxis bedeutet das: Datenklassifizierung und Souveränitätsanspruch bedingen einander. Hochsensible oder kritisch-infrastrukturelle Daten, die Sie zuvor als „hochsensibel“ eingestuft haben, profitieren von einer souveränen Cloud-Region mit EU-Betrieb und kundenseitig verwalteten Schlüsseln. Moderat regulierte Daten können in Standard-EU-Regionen verbleiben, sofern Zusatzkontrollen (z. B. External Key Management) greifen. Unkritische Workloads dürfen weiterhin global verteilt werden. Damit bietet die Kombination aus Klassifizierung und souveränen Cloud-Optionen einen klaren Entscheidungsrahmen: Sie minimiert Vendor-Lock-in, erfüllt kommende Rechtsnormen proaktiv und stärkt zugleich das entstehende europäische Cloud-Ökosystem – ohne die Innovationsgeschwindigkeit moderner Public-Cloud-Stacks einzubüßen.
Datenklassifizierung als Schlüssel zur Cloud-Strategie
Ein zentrales Werkzeug, um der unterschiedlichen Sensibilität von Daten gerecht zu werden, ist die Datenklassifizierung. Dabei werden Informationen nach ihrem Schutzbedarf und den geltenden Compliance-Anforderungen kategorisiert. Ziel ist es, genau zu verstehen, welche Datenarten in einem Anwendungsfall verarbeitet werden – und daraus passende technische und organisatorische Schutzmaßnahmen abzuleiten.
Beispiele:
- Personenbezogene Daten unterliegen den strengen DSGVO-Vorgaben (hohe Anforderungen an Zustimmung, Zweckbindung, Löschung etc.).
- Telekommunikations-Inhalte unterliegen speziellen TKG-Regeln (z. B. Schutz von Verbindungs- und Inhaltsdaten).
- Daten kritischer Finanzfunktionen unterliegen DORA-Anforderungen (z. B. für Resilienz, Berichts- und Testpflichten in Finanzinstituten).
- Öffentlich verfügbare Daten unterliegen kaum regulativen Vorgaben.
Durch diese Klassifizierung können Unternehmen ihre Workloads in Risikoklassen einteilen wie z. B.:
- „unkritisch“ (z. B. öffentliche Web-Inhalte, Marketing-Daten)
- „moderat vertraulich“ (z. B. interne Dokumente, allgemeine geschäftliche Daten)
- „hochsensibel“ (z. B. Kundendaten, geheimhaltungsbedürftige Informationen, Steuerung kritischer Infrastruktur)
Für jede Klasse lassen sich geeignete Umgebungen und Sicherheitskontrollen definieren. Genau solche Prozesse werden von den modernen Compliance-Rahmenwerken gefordert: Die Verwaltung und der Schutz klassifizierter Daten sind Bestandteil gängiger Best Practices und Standards. DORA verlangt beispielsweise explizit ein solides ICT-Risikomanagement, regelmäßige Sicherheitstests und klare Zuständigkeiten bei Security Incidents, um die operative Resilienz zu gewährleisten. Auch die neue NIS-2-Richtlinie schreibt vor, dass kritische Unternehmen angemessene Maßnahmen zur Risikosteuerung implementieren und Sicherheitsvorfälle innerhalb enger Fristen melden.
Indem Unternehmen ihre Daten differenziert betrachten, schaffen sie die Grundlage für eine Cloud-Strategie nach Maß: Welche Workloads können bedenkenlos in die Cloud verlagert werden und wo sind strengere Auflagen zu beachten? Diese Fragen lassen sich nur beantworten, wenn Klarheit über die Datenklassen und die jeweils zugehörigen Vorschriften besteht. In der Praxis zeigt sich oft, dass ein erheblicher Teil der IT-Workloads gar nicht so stark reguliert ist und sich somit hervorragend als Pilotkandidat für eine Migration oder Modernisierung in der Cloud eignet. Zunächst können also weniger kritische Anwendungen migriert werden, während sensible Systeme weiterhin besondere Beachtung finden.
Telekommunikationsbranche als Beispiel: Erfolg trotz Compliance-Pflichten
Die Telekom-Branche zeigt, wie differenzierte Herangehensweisen zum Erfolg führen. Einerseits gelten in diesem Bereich hohe gesetzliche Hürden, zu denen neben der DSGVO insbesondere das überarbeitete TKG mit umfassenden IT-Sicherheitsauflagen zählt.
Telekommunikationsanbieter zählen außerdem oft zu den kritischen Infrastrukturen, was zusätzliche Maßnahmen gemäß IT-Sicherheitsgesetz erfordert. Dennoch zeigen Praxisbeispiele, dass die Nutzung der Cloud selbst in diesem Umfeld möglich und vorteilhaft ist.
Die Deutsche Telekom hat beispielsweise mit einer schrittweisen Cloud-Transformation bereits über 60 % ihrer IT-Anwendungen in die Cloud migriert (Quelle: aws.amazon.com). Entscheidend war dabei, Workloads gezielt auszuwählen: Zunächst wurden vor allem Kern-IT-Anwendungen und digitale Kundenplattformen in die Public Cloud verlagert – selbstverständlich unter Einhaltung aller Datenschutz- und Sicherheitsauflagen. So konnte die Telekom neue Produkte in Tagen statt Monaten auf den Markt bringen und ihre digitalen Services für Millionen von Nutzer*innen skalieren, ohne gegen das TKG oder die DSGVO zu verstoßen. Dieses Beispiel verdeutlicht: Mit dem richtigen Compliance-Konzept lässt sich Cloud-Technologie auch in streng regulierten Branchen erfolgreich einsetzen. Wichtig ist, früh Erfahrungen zu sammeln und Vertrauen in die Cloud aufzubauen, damit auch kritischere Systeme nach und nach folgen können.
FSI als weiteres Beispiel: Großflächiger Einsatz unter Beachtung von Compliance-Pflichten
Auch die FSI-Branche zeigt, wie eine strukturierte und durchdachte Herangehensweise Compliance-Verstöße verhindern kann. Neben dem Schutz personenbezogener Daten durch die DSGVO müssen Finanzunternehmen sicherstellen, dass ihre IT-gestützten wichtigen und kritischen Funktionen verfügbar und sicher sind.
Zunächst müssen die Anwendungsfälle hinsichtlich ihrer Kritikalität für das Unternehmen selbst sowie für die Finanzindustrie an sich analysiert werden. Auf dieser Grundlage und unter Berücksichtigung der Kritikalität der Daten können dann geeignete Sicherheitsmaßnahmen ergriffen werden, um die Resilienz und Sicherheit der IT-Systeme den DORA-Anforderungen entsprechend umzusetzen.
Dass dies möglich ist, belegt der „State of Financial Services in Cloud 2023“ der Cloud Security Alliance: Bereits 98 % der FSI-Unternehmen nutzen die Cloud und 59 % verarbeiten erste regulierte Workloads (Quelle: State of Financial Services in Cloud | CSA ). Die Anforderungen von DORA lassen sich insbesondere durch die Einhaltung der AWS Well-Architected Best Practices auf hohem Niveau erfüllen (Quelle: https://d1.awsstatic.com/fs-compliance-center/pdf-summaries/AWS-User-Guide-to-the-Digital-Operational-Resilience-Act.pdf). Auch hier gilt: Unternehmen der Finanzbranche sollten zunächst Erfahrungen darin sammeln, wie unkritische Workloads auf hohem Sicherheitsniveau in der AWS Cloud aufgebaut werden können. Diese Erfahrungen lassen sich anschließend für die Implementierung weiterer, kritischer IT-Systeme in der Cloud nutzen.
Mit unkritischen Workloads starten und Vertrauen aufbauen
Gerade für Unternehmen, die erstmals den Schritt in die Cloud wagen, empfiehlt sich ein behutsames, risikobewusstes Vorgehen. Konkret bedeutet das: Beginnen Sie mit weniger regulierten, weniger sensiblen Workloads, um erste Erfolge zu erzielen. Es hat sich bewährt, Pilotprojekte mit unkritischen Anwendungen umzusetzen. Solche Pilot-Workloads könnten zum Beispiel interne Collaboration-Tools ohne kundenbezogene Daten, Entwicklungs- und Testumgebungen oder Analytics-Projekte mit anonymisierten Daten sein. Hier sind die Compliance-Hürden überschaubar, und die Lernkurve für das eigene Team ist steil – man sammelt Cloud-Erfahrung in einer relativ sicheren Umgebung.
Handlungsempfehlungen für einen Compliance-gerechten Cloud-Start
- Regulatorische Vorgaben ermitteln: Verschaffen Sie sich einen klaren Überblick darüber, welche Gesetze, Verordnungen und Standards für Ihre Branche und Daten gelten. Prüfen Sie regelmäßig den Erfüllungsgrad.
- Daten und Workloads klassifizieren: Führen Sie eine umfassende Datenklassifizierung durch, um sensible von weniger sensiblen Informationen zu trennen. Definieren Sie auf dieser Basis passende Schutzmaßnahmen pro Kategorie.
- Schrittweise vorgehen: Starten Sie mit kleinen, risikoarmen Cloud-Pilotprojekten. Wählen Sie zunächst weniger kritische Anwendungen für die Cloud aus, und halten Sie sensible Systeme vorerst On-Premises. So sammelt Ihr Team Erfahrung und Vertrauen, bevor sukzessive kritischere Workloads migriert werden. Ein hybrider Ansatz bietet hier eine gute Balance.
- Sichere Cloud-Basis schaffen: Richten Sie von Anfang an eine sichere Cloud-Umgebung (Landing Zone) ein, in der alle notwendigen Governance- und Sicherheitskontrollen etabliert sind. Nutzen Sie die nativen Security-Features des Cloud-Providers konsequent (Identity & Access Management, Verschlüsselung, Monitoring, Logging usw.), um Compliance-Vorgaben technisch umzusetzen.
- Cloud-Provider sorgfältig auswählen: Achten Sie bei der Wahl des Anbieters auf nachgewiesene Sicherheit und Compliance. Große Public-Cloud-Plattformen verfügen über anerkannte Zertifizierungen (ISO 27001, SOC 2, BSI C5 etc.) und bieten Vertragsklauseln zur Datenverarbeitung im Einklang mit der DSGVO an. Prüfen Sie diese Nachweise und machen Sie davon Gebrauch, um Ihre eigenen Compliance-Anforderungen abzusichern.
Skaylink – Ihr Partner für Compliance in der Cloud
Skaylink verbindet mehr als zehn Jahre Projekterfahrung in streng regulierten Branchen mit tiefem Know-how in den Bereichen Cloud, Security und Governance. Unsere zertifizierten Consultants setzen auf bewährte Security-Best‑Practice‑Blueprints, automatisierte Landing‑Zone‑Architekturen und kontinuierliches Managed‑Security‑Monitoring, um regulatorische Anforderungen messbar zu erfüllen. Wir unterstützen Sie beim Identifizieren von Compliance‑Lücken, leiten konkrete Controls ab und begleiten Sie bis zur Audit‑Reife – egal, ob DSGVO, DORA, NIS 2 oder ISO 27001. Kurz: Mit Skaylink erhalten Sie nicht einfach eine Checkliste, sondern eine skalierbare Sicherheits‑ und Compliance‑Implementierung aus einer Hand.