Anders als beim klassischen Outsourcing verlieren Anwender in der sogenannten Public Cloud die Kontrolle darüber, wo sich ihre Daten tatsächlich befinden. Da demzufolge auch keine Steuerung stattfinden kann, bleibt der Auftraggeber nicht mehr Herr der Daten. Dass ist im Rahmen einer Auftragsdatenverarbeitung nicht nur ein gefühltes, sondern ein konkretes rechtliches Problem.
Trotz vieler Klippen und Bedenken gibt es aber zuverlässige Möglichkeiten, den Cloud-Betrieb aufzunehmen und gleichzeitig das unternehmerische Risiko gering zu halten. Jan Geert Meents, Partner der Wirtschaftskanzlei DLA Piper in München, erläutert für ZDNet, wie Firmen vorgehen sollten.
Eine erste, einfache Maßnahme ist es, ausschließlich Daten ohne Personenbezug in die Wolke zu verfrachten. Sie unterliegen nicht den deutschen datenschutzrechtlichen Bestimmungen, ihre Auslagerung ist daher rechtlich unbedenklich. Als Alternative kommt die Auslagerung in eine räumliche begrenzte Cloud in Betracht. Bei dieser Variante werden die Daten nicht an einem beliebigen Ort, sondern ausschließlich in einer bestimmten, vertraglich festgelegten Region gespeichert.
Durch die eigenen IT-Sicherheitsrichtlinien sind die meisten Unternehmen mit Datenverschlüsselung bereits vertraut. Auch innerhalb der Cloud wäre die Verschlüsselung vertraulicher Daten umsetzbar. Das gilt allerdings nur für die Speicherung. Denn sobald Daten verarbeitet werden sollen, müssen diese entschlüsselt werden.
Ein maßgeblicher Punkt für den Einsatz von Cloud-Services – und zudem eine gesetzliche Verpflichtung – ist die Datensicherheit und deren Kontrolle. Dies ergibt sich etwa aus der Anlage zu Paragraph 9 des Bundesdatenschutzgesetzes (BDSG). In ihr sind die erforderlichen technischen und organisatorischen Maßnahmen beschrieben, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten.
Allein die Vorstellung, dass relevante Firmendaten gemeinsam mit denen des schärfsten Konkurrenten auf einer Festplatte liegen, dürfte bei den meisten Anwendern kaum Begeisterung auslösen. Um dem rechtlich vorzubauen, muss der Anbieter sowohl die Trennbarkeit von Daten als auch deren Löschung vertraglich zusichern.
Jan Geert Meents ...
... ist Partner der internationalen Rechtsanwaltskanzlei DLA Piper in München.
Neueste Kommentare
2 Kommentare zu Rechtliche Hürden für Cloud Computing
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Daten in der Cloud durch Vertragsgestaltung lösbar?
Ein den räumlichen Gegebenheiten angepasster, der Komplexität des Themas und der erheblichen Risiken, von denen hier nur einige wenige angerissen, geschweige denn ausführlich beschrieben worden sind, kaum gerecht werdender Artikel.
Tatsächlich kann das Risiko beim Cloud-Computing durch rechtliche Vereinbarung de facto gar nicht kontrolliert werden. Das ginge nur dann, wenn ausschließlich der Cloud-Anbieter mit ausschließlich eigenen Mitteln die Auftragsdatenverarbeitung durchführen würde. Das tut er aber gerade nicht. Alle vertraglichen Konstellationen sind nur so gut wie der schwächste Vertrag in der ganzen Kette. Völlig üblich ist es, dass Nachunternehmer, die der Anbieter einsetzt, nach ausländischem Recht arbeiten, keine Audit-Klauseln haben und – siehe Sidekick-Skandal – oft aus Kostengründen auf triviale Sicherheitsinfrastruktur verzichten.
Ich stimme dem Verfasser zu, dass man das Thema fallweise betrachten muss. Dabei muss man aber nicht nur rechtlich, sondern auch technisch tief in die Cloud blicken muss, um alle Risiken zu erkennen.
Derzeit sind sowohl die Anbieterkonstellationen, die datenschutzrechtlichen Sicherungsmaßnahmen und die generellen Schutzniveaus der Anbieter so unausgereift, dass man tendenziell eher ab- denn zuraten sollte.
Beste Grüße
Dr. Wolfgang Hackenberg
Rechtsanwalt
wenn man Juristen entscheiden lässt …
Fakt ist das das tatsächliche Schutzniveau bei den großen SaaS-Anbietern für Unternehmen (die Kosten dann auch was) wesentlich höher ist als das was die interne IT-Abteilung der meißten Unternehmen jemals leisten kann. Das kann auch gar nicht anders sein. Wenn man wie google und Salesforce hunderte Ingenieure hat, die nur mit der Datensicherheit beschäftigt sind und außerdem noch Millionen Kunden, so das Lecks sehr schnell entdeckt würden dann kann das gar nicht anders sein. Außerdem habe Angriffer nicht den Source-Code der Server, wie beim Einsatz von Open-Soruce Technologie.
Es gibt kaum einen Server der nicht gehackt werden kann, am einfachsten von Innen (Mitarbeiter der Firma) oder von IT-Dienstleistern. Aber auch von außen, da immer mehr interne Systeme natürlich auch von außen zugänglich sein müssen.
Und das Argument, dass man abhängig vom Anbieter ist: Ach, ist man das nicht, wenn man eine proprietäre Software kauft? Was macht man, wenn die nicht mehr weiterentwickelt wird, oder die Entwicklung in eine andere Richtung geht? Was macht man was das Unternehmen von Konkurrenten gekauft wird? Oder von einer chinesischen Firma? Natürlich ist man abhängig, das ist nichts neues.
Die Verfügbarkeitswerte die Beispielsweise google-Mail (auch Teil von google Apps) erreicht sind unübertroffen. Die Sicherheitsmechanismen (zum Beispiel wird der Nutzer anhand der IP automatisch gewarnt, wenn jemand anderes sich Zugriff verschafft haben könnte http://www.golem.de/1003/74079.html) sind absolut führend, der Virenfilter ist auch Top.
Also aus rein juristischen Gründen, wäre es natürlich viel besser deutlich unsichere Infrastruktur zu nutzen ;-)
Besonders für kmU, bei denen ein Admin für die Sicherheit zig verschiedener Systeme sorgen soll sind Cloud-basierte Dienste gerade was die Sicherheit angeht ideal.
Natürlich sollte man sich den Anbieter genau anschauen.