Über den Autor

Maori Profilbild
Maori Kunigo
hsp Software

Maori Kunigo verantwortet die Bereiche Kommunikation und Markenführung bei der hsp Handels-Software-Partner GmbH in Hamburg. Der gelernte Mediengestalter bringt 18 Jahre Erfahrung in kleinen und großen Werbeagenturen mit, wo er überwiegend als Texter und zuletzt als Creative Director tätig war. Außerhalb seiner kreativen Arbeit beschäftigt er sich intensiv mit den Themen Zukunftstechnologien, New Work und Personalführung.

Sichere Cloud-Software erkennen: Worauf Unternehmen und Kanzleien wirklich achten müssen

Was Sie in diesem Artikel erwartet

Cloud-Software ist bequem, flexibel und schnell einsatzbereit. Deshalb stellen viele Interessierte bei sensiblen Daten sofort die entscheidende Frage: Wie sicher ist das Ganze wirklich? Das gilt umso mehr, wenn nicht nur gewöhnliche Projektdaten verarbeitet werden, sondern hochvertrauliche Informationen wie Zugangsdaten, Vollmachten, Verträge, Patientenverfügungen oder Nachlassregelungen.

Das Beispiel digitale Vorsorgeakte der hsp Software macht deutlich, worauf es bei einer datenschutzgerechten Cloud-Lösung ankommt. So stehen dabei die Auswahl des Rechenzentrums, Backup- und Ausfallsicherheit, mehrstufige Verschlüsselung sowie der bewusste Umgang mit Drittanbietern wie DeepL oder OpenAI im Mittelpunkt. Im Gespräch mit dem Anwalt für IT-Recht und Datenschutzbeauftragten der hsp Hendrik Sievers von der Kanzlei beck rechtsanwälte haben wir über die Sicherheit von Clouddiensten und mögliche Maßnahmen gesprochen.

Grafik mit einem Mikrofon und der Aufschrift. "Podcast-Folge zum Artikel: hier klicken und anhören!"

Warum Cloud-Sicherheit gerade bei sensiblen Daten so wichtig ist

Die neue Vorsorgeakte ist eine Cloud-only-Lösung. Das bedeutet: Sowohl die Anwendung als auch die Daten liegen vollständig in der Cloud. Für die Anwenderinnen und Anwender bringt das große Vorteile. So brauchen sie keine lokale Installation, keine aufwendige Systempflege und keine besondere Infrastruktur außer Browser und Internetzugang.

Gleichzeitig steigen aber die Anforderungen an Datenschutz und Datensicherheit. Denn in einer Vorsorgeakte werden nicht nur organisatorische Informationen abgelegt, sondern vielfach besonders schutzwürdige Daten. Dazu gehören etwa:

  • wichtige Zugänge und Passwörter,
  • laufende Verträge und Vollmachten,
  • unternehmensrelevantes Hoheitswissen
  • und private Unterlagen wie Patientenverfügungen oder Nachlassregelungen.

Wenn solche Daten in falsche Hände geraten, drohen gravierende Schäden. Deshalb reicht es nicht, dass eine Cloud-Lösung „modern“ oder „einfach nutzbar“ ist. Sie muss technisch und organisatorisch sauber aufgebaut sein.

Mythos lokaler Server: Sind Daten im eigenen Haus automatisch sicherer?

Viele Unternehmen und Kanzleien gehen noch immer davon aus, dass Daten auf dem eigenen Server per se sicherer sind als in der Cloud. Diese Annahme hält einer nüchternen Prüfung oft nicht stand. Denn ein professionell betriebenes Rechenzentrum ist in der Regel deutlich besser abgesichert als ein klassischer Serverraum im eigenen Haus.

Entscheidend ist nicht, ob Daten in der Cloud liegen, sondern wo und unter welchen Bedingungen. Deshalb hat die hsp für ihre Lösung einen deutschen Anbieter mit Serverstandorten in Deutschland gewählt. Ebenfalls wichtig: Die Server gehören nicht zu einen globalen Hyperscaler wie Amazon oder Microsoft, sondern zu einem deutschen Betreiber. Dessen Bedingungen wurden vorab vom Datenschutzbeauftragten genau geprüft.

Hinzu kommen anerkannte Sicherheitsstandards und Zertifizierungen, etwa im Umfeld von ISO 27001. Solche Anforderungen sind besonders relevant für Berufsgeheimnisträger wie Steuerberater:innen, Wirtschaftsprüfer:innen, Rechtsanwält:innen und Notar:innen. Für Unternehmen heißt das: Wer die Sicherheit einer Cloud-Lösung bewerten will, sollte konkret nach Anbieter, Hosting-Standort, Zertifizierungen und technischen Schutzmaßnahmen fragen.

Backup und Ausfallsicherheit: Was passiert im Ernstfall?

Ein oft unterschätzter Aspekt sicherer Cloud-Software ist das Backup-Konzept. Denn Sicherheit bedeutet nicht nur Schutz vor unbefugtem Zugriff, sondern auch Verfügbarkeit im Notfall. Gute Cloud-Lösungen müssen deshalb Antworten auf zwei Fragen liefern:

  • Wie regelmäßig werden Backups erstellt?
  • Wie schnell kann der Betrieb nach einem Ausfall wiederhergestellt werden?

Im Idealfall werden kontinuierlich Backups erstellt, historisiert und über längere Zeiträume vorgehalten. Dadurch können Unternehmen bei Bedarf auf frühere Zustände zurückspringen. Zusätzlich werden die Daten nicht nur im primären Rechenzentrum abgesichert, sondern auch in einem zweiten Brandabschnitt beziehungsweise in einem getrennten Sicherungsbereich vorgehalten. Genau so macht es der Anbieter, den die hsp für ihre Cloud ausgewählt hat.

Der Vorteil für Kunden: Selbst wenn das Primärrechenzentrum kurzfristig ausfallen sollte, steht die Cloud-Plattform in kurzer Zeit wieder zur Verfügung. Für professionelle Anwendende ist das ein zentrales Qualitätsmerkmal.

Doppelte Verschlüsselung: Warum ein Schutzlayer allein nicht genügt

Bei hochsensiblen Daten reicht eine einfache Verschlüsselung oft nicht aus. Deshalb arbeitet der Anbieter für die hsp mit einem doppelten Verschlüsselungskonzept. Dies gilt entsprechend auch für die digitale Vorsorgeakte. Selbst im Fall von Datenklau können die Diebe also nichts mit den Daten anfangen, da diese nur Kauderwelsch enthalten.

Einfach beschrieben:

  • Es gibt einen persönlichen Schlüssel des Nutzers, also das Passwort.
  • Dieser Schlüssel wird zusätzlich mit einem weiteren Schlüssel verschlüsselt gespeichert.

Erst das Zusammenspiel beider Komponenten ermöglicht den Zugriff. Hinzu kommt, dass bestimmte besonders kritische Felder, etwa gespeicherte Passwörter, nicht im Klartext abgelegt werden. Sie sind bereits auf Feldebene geschützt, während zusätzlich die gesamte Datenbank verschlüsselt ist.

Hier beweist die Sicherheitsarchitektur, wie belastbar sie ist. Sie muss sehr sicher sein, aber dennoch alltagstauglich bleiben. Zu viele Hürden machen eine Anwendung unbrauchbar. Zu wenig Schutz macht sie riskant. Eine gute Lösung findet die richtige Balance.

Die Kehrseite hoher Sicherheit: Was passiert bei verlorenem Master-Passwort?

Mehr Sicherheit bedeutet oft auch mehr Eigenverantwortung. Im Fall der Vorsorgeakte heißt das konkret: Wenn Sie das zentrale Kennwort beziehungsweise den persönlichen Schlüssel verlieren, kann selbst der Anbieter nicht mehr auf die gespeicherten Inhalte zugreifen.

Das ist kein Mangel, sondern eine direkte Folge des Sicherheitskonzepts. Denn wenn der Anbieter den Schlüssel rekonstruieren könnte, könnte er theoretisch selbst jederzeit auf Ihre Daten zugreifen. Und das möchten Sie garantiert nicht. Bei den beliebten digitalen Passworttresoren oder Vorsorgesystemen ist das eine bekannte Abwägung. Der Gewinn an Datenschutz und Datensicherheit ist erheblich, aber die Verantwortung für den zentralen Zugang darf nicht unterschätzt werden.

DeepL und OpenAI: Drittanbieter nur bewusst und kontrolliert nutzen

Ein weiterer wichtiger Punkt ist der Umgang mit externen Tools, zum Beispiel Übersetzungsdiensten oder KI-Anwendungen. Hier ist Transparenz entscheidend. In der beschriebenen Plattform sind solche Dienste nicht fest und zwangsläufig eingebaut. Stattdessen müssen Anwender:innen selbst ein eigenes Konto bei DeepL oder OpenAI anlegen und den jeweiligen API-Schlüssel in der Software hinterlegen.

Das hat mehrere Vorteile:

  • Die Nutzung erfolgt bewusst und aktiv durch den bzw. die Anwender:in.
  • Es besteht volle Kontrolle darüber, welcher Dienst überhaupt verwendet wird.
  • Änderungen bei Anbietern oder Datenschutzbewertungen können flexibel berücksichtigt werden.

Gerade im Datenschutz ist diese Offenheit wertvoll. Anbieterstrukturen verändern sich. Serverstandorte können wechseln. Rechtliche Bewertungen können sich durch neue Entwicklungen oder Urteile ebenfalls ändern. Solange Sie mit austauschbaren Schnittstellen arbeiten, können Sie jederzeit flexibel auf Veränderungen reagieren.

Was bei DeepL datenschutzrechtlich zu beachten ist

Bei DeepL ist die Lage vergleichsweise übersichtlich. Das Unternehmen stammt aus Deutschland, Server stehen in der EU, und Sie können die Nutzung gezielt konfigurieren. Anwender:innen können selbst festlegen, ob und wie DeepL innerhalb der Software verwendet wird und welche Sprachen zum Einsatz kommen.

Wichtig ist außerdem die Frage, ob Daten zum Training des angebotenen Dienstes verwendet werden. Nach der beschriebenen Einordnung ist das bei DeepL grundsätzlich nicht der Fall. Eine Ausnahme bildet die Glossar-Funktion. Dabei definiert der bzw. die Nutzer:in gezielt eigene Begriffe und gewünschte Übersetzungen. Nur auf dieser Grundlage wird die Ausgabe individuell beeinflusst. Wer diese Funktion nicht nutzt, trainiert DeepL mit eigenen Daten nicht. Aus Datenschutzsicht ist das ein nachvollziehbarer und gut kontrollierbarer Ansatz.

Was bei OpenAI anders ist

Bei KI-Diensten wie OpenAI ist die Lage komplexer. Standardmäßig können Datenverarbeitungen auch außerhalb der EU stattfinden. Wer mit OpenAI arbeitet, muss daher besonders genau auf Projektstruktur, Vertragslage und Hosting-Optionen achten.

Nach dem beschriebenen Modell legen Anwender:innen ihr eigenes Projekt im OpenAI-Konto an und erzeugen dort die API-Schlüssel. Unter bestimmten Voraussetzungen und mit gesonderter Vereinbarung kann ein Hosting in der EU vereinbart werden. Ohne eine solche Zusatzvereinbarung ist diese Regionalität nicht automatisch gegeben.

Gleichzeitig wurde technisch berücksichtigt, was mit den Daten geschieht, die an die KI übermittelt werden. Für die eingesetzten API-Endpunkte gilt: Die übermittelten Inhalte werden nicht zum Training verwendet. Teilweise können sie jedoch für Monitoring-Zwecke für einen begrenzten Zeitraum auf den Servern verbleiben.

Genau deshalb hat die hsp in ihrer Software eine Löschlogik umgesetzt: Sobald ein KI-Chat in der Software geschlossen wird, wird zugleich ein Löschbefehl an OpenAI gesendet. Damit werden die Inhalte wieder entfernt. Zusätzlich soll es eine Funktion geben, mit der Anwender:innen bewusst entscheiden können, bestimmte Daten für wiederkehrende Projekte im eigenen OpenAI-Projekt vorzuhalten, etwa Vorlagen oder Richtlinien, die mehrfach benötigt werden.

Das Entscheidende ist also nicht ein pauschales „KI ist datenschutzkonform“ oder „KI ist datenschutzwidrig“, sondern die genaue Steuerung:

  • Welche Daten werden übermittelt?
  • Wer entscheidet darüber?
  • Werden Inhalte zum Training verwendet?
  • Wie lange bleiben sie gespeichert?
  • Kann eine Löschung aktiv ausgelöst werden?

Digitale Souveränität statt blindem Tool-Einsatz

Ein roter Faden durch das gesamte Thema ist die digitale Souveränität. Unternehmen und Kanzleien müssen wissen, welche Werkzeuge sie einsetzen, was mit ihren Daten geschieht und welche Risiken damit verbunden sind. Gerade bei US-Anbietern bleibt häufig ein Restrisiko bestehen, das nicht wegdiskutiert werden kann.

Deshalb ist es sinnvoll, Systeme so aufzubauen, dass Sie auf rechtliche oder technische Veränderungen schnell reagieren können. Wenn ein Anbieter seine Infrastruktur ändert oder neue rechtliche Vorgaben entstehen, sollten Unternehmen nicht in einer Sackgasse stecken. Flexible Schnittstellen und eine laufende rechtliche Begleitung sind hier ein großer Vorteil.

Woran Sie sichere Cloud-Software erkennen

Sind Sie an einer Cloud-Lösung interessiert, sollten Sie hinter die plakativen Werbeversprechen schauen. Vor Vertragsabschluss sollten Sie folgende Fragen durchgehen:

  • Wo stehen die Server, und wer betreibt das Rechenzentrum?
  • Welche Zertifizierungen und Sicherheitsstandards liegen vor?
  • Wie sehen Backup, Historisierung und Notfallwiederherstellung aus?
  • Sind Datenbank und sensible Einzelinhalte verschlüsselt?
  • Kann der Anbieter auf Kundendaten zugreifen oder gerade nicht?
  • Wie werden Drittanbieter wie Übersetzungs- oder KI-Dienste eingebunden?
  • Werden Daten zum Training genutzt oder nicht?
  • Welche Lösch- und Steuerungsmöglichkeiten haben Anwender selbst?

Datenschutz

Im Gespräch: Hendrik Sievers
Wie sicher sind Clouds?

In unserer Sendung „hsp live um 11“ haben hsp-Geschäftsführer Paul Liese und unser Datenschutzbeauftragter Hendrik Sievers, Anwalt für IT-Recht, über Cloud-Sicherheit und mögliche Maßnahmen gesprochen.

Aus datenschutzrechtlichen Gründen benötigt YouTube Ihre Einwilligung um geladen zu werden. Mehr Informationen finden Sie unter Datenschutz.

Fazit: Gute Cloud-Sicherheit ist kein Versprechen, sondern ein Konzept

Die wichtigste Erkenntnis lautet: Sichere Cloud-Software erkennt man nicht an markigen Werbeversprechen, sondern an konkreten technischen und organisatorischen Maßnahmen. Ein deutsches Rechenzentrum unter DSGVO und EU-Recht, belastbare Backups, klare Ausfallkonzepte, doppelte Verschlüsselung und ein kontrollierter Umgang mit Drittanbietern sind dabei zentrale Bausteine.

Ebenso wichtig ist die Ehrlichkeit bei den Grenzen des Machbaren. Absolute Sicherheit gibt es nicht. Aber es gibt Lösungen, die Risiken erheblich reduzieren und zugleich praktisch nutzbar bleiben. Genau das ist im professionellen Umfeld entscheidend.

Für Kanzleien und Unternehmen, die besonders schützenswerte Informationen verarbeiten, gilt daher: Nicht die Cloud an sich ist das Problem. Entscheidend ist, wie sie gebaut wurde. Wer hier die richtigen Fragen stellt und auf nachvollziehbare Antworten besteht, schafft die Grundlage für Datenschutz, Datensicherheit und digitales Vertrauen.

Mehr zum Thema Vorsorgeakte

Schützt einfach: die digitale Vorsorgeakte

Mit der Cloud-only-Softwarelösung Opti.Tax Vorsorgeakte schützen Sie Ihre Mandanten oder Ihr Unternehmen vor den Folgen eines Personalausfalls – vollumfänglich und rechtssicher.
Jetzt lesen

Digitale Vorsorgeakte: Sicherheitsnetz für Firmen

In „hsp live um 11“ haben wir mit Prozessberater Andreas Gaebler von ONYON (ehem. Schröder & Partner) und seine realen Erfahrungen mit Mandanten gesprochen.
Jetzt lesen

Kein Tax CMS ohne Doku: das gehört hinein

TCMS und Verfahrensdokumentation gehen Hand in Hand. StB Torsten Stockem erklärt, welche Inhalte sinnvoll sind.
Jetzt lesen
Verwandte Beiträge
  • Opti.Tax 23.2: Mehr Steuerkonformität & besseres Risikomanagement
    Neue Opti.Tax Version 23.2 stärkt Tax Compliance Management
  • Abbildung Kamera Setup mit der Aufschrift "Tax Tech Alliance Partner d.velop: Rechtssichere digitale Signatur"
    d.velop & Tax Tech Alliance: digitale Signatur für die Steuerbranche
  • Chance zur Prozessoptimierung statt lästige Pflichtaufgabe
    Verfahrensdokumentation mit Software-Unterstützung erledigen