Cloud-Nutzungsrichtlinie: Muster (ISO 27001 / NIS2 / DSGVO)
Cloud-Dienste werden oft schneller eingeführt als abgesichert. Diese kostenlose Muster-Richtlinie regelt Freigabe, Prüfkriterien und den sicheren Umgang mit Daten in der Cloud, inklusive AVV und Drittland.
Cloud-Nutzungsrichtlinie
Word (.docx) · sofort einsatzbereit
Kostenlos herunterladenKeine Anmeldung nötig
Worum geht es?
Eine Cloud-Nutzungsrichtlinie regelt die sichere und rechtskonforme Nutzung von SaaS-, PaaS- und IaaS-Diensten. Sie adressiert ISO 27001 A.5.23 sowie die Lieferantensicherheit unter NIS2 und die DSGVO-Vorgaben zur Auftragsverarbeitung.
Die Vorlage führt einen Freigabeprozess ein, um Schatten-IT zu verhindern, und legt konkrete Prüfkriterien fest: AVV nach Art. 28, Serverstandort/Drittland-Garantien, Sicherheitsnachweise und MFA-Unterstützung.
Enthalten sind Freigabe neuer Dienste, Prüfkriterien, Umgang mit Daten in der Cloud, Verantwortlichkeiten und Exit sowie die Überprüfung des Cloud-Verzeichnisses.
Was die Vorlage enthält
Zweck & Geltungsbereich
Alle Cloud-Dienste (SaaS, PaaS, IaaS)
Freigabe neuer Dienste
Freigabeprozess, Verbot von Schatten-IT
Prüfkriterien
AVV, Serverstandort/Drittland, Sicherheitsnachweise, MFA
Umgang mit Daten
Klassifizierung, Least Privilege, keine privaten Konten
Verantwortlichkeiten & Exit
Benannter Verantwortlicher, Datenrückgabe und Löschung
Überprüfung
Cloud-Verzeichnis und jährliche Überprüfung
Die Vorlage eignet sich für Organisationen, die den Wildwuchs an Cloud-Diensten in geordnete Bahnen lenken wollen. Kombinieren Sie sie mit der Lieferanten-Checkliste.
Häufige Fehler beim Ausfüllen
Schatten-IT
Ohne Freigabeprozess entstehen unbemerkt Cloud-Dienste mit Unternehmensdaten, an denen Datenschutz und Sicherheit vorbeigehen.
Kein AVV
Für Cloud-Dienste, die personenbezogene Daten verarbeiten, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO Pflicht.
Drittland ohne Garantien
Bei Anbietern mit Verarbeitung außerhalb der EU müssen geeignete Garantien (z.B. EU-Standardvertragsklauseln) vorliegen.
Vorlage pflegen kostet Zeit. Es geht auch automatisch.
Dies ist eine gekürzte Muster-Fassung. In CompliantDesk führen Sie ein Cloud-/Dienstleisterverzeichnis, verknüpfen es mit AVV, Assessments und Risiken und halten Freigaben und Reviews aktuell.
Häufig gestellte Fragen
Was ist Schatten-IT?
Cloud-Dienste, die ohne Freigabe von einzelnen Mitarbeitern oder Abteilungen genutzt werden. Sie entziehen sich der Kontrolle und sind ein häufiges Datenschutz- und Sicherheitsrisiko.
Worauf muss ich bei einem Cloud-Anbieter achten?
AVV nach Art. 28 DSGVO, Serverstandort und Drittland-Garantien, Sicherheitsnachweise (z.B. ISO 27001, SOC 2), Unterstützung von MFA und rollenbasierter Zugriffskontrolle sowie eine geregelte Datenrückgabe.
Zählt Cloud zur Lieferkette unter NIS2?
Ja. Cloud-Anbieter sind Dienstleister in Ihrer Lieferkette. Deren Sicherheit müssen Sie unter NIS2 bewerten und vertraglich absichern.
Weiterführend
Compliance ohne Excel-Chaos
CompliantDesk führt VVT, Risiken, Richtlinien und Nachweise in einem System, mit gemeinsamem Kern-Modell für ISO 27001, NIS2 und DSGVO. Sehen Sie es in einer kurzen Demo.
