Beim Einsatz von Diensten aus der Wolke sind noch viele rechtliche Fragen offen. Wer die wichtigsten kennt und weiß, wie sie zu beantworten sind, kann jedoch schon heute von Cloud-Services profitieren und trotzdem auf der sicheren Seite bleiben.
Anders als beim klassischen Outsourcing verlieren Anwender in der sogenannten Public Cloud die Kontrolle darüber, wo sich ihre Daten tatsächlich befinden. Da demzufolge auch keine Steuerung stattfinden kann, bleibt der Auftraggeber nicht mehr Herr der Daten. Dass ist im Rahmen einer Auftragsdatenverarbeitung[1] nicht nur ein gefühltes, sondern ein konkretes rechtliches Problem.
Trotz vieler Klippen und Bedenken gibt es aber zuverlässige Möglichkeiten, den Cloud-Betrieb aufzunehmen und gleichzeitig das unternehmerische Risiko gering zu halten. Jan Geert Meents, Partner der Wirtschaftskanzlei DLA Piper[2] in München, erläutert für ZDNet, wie Firmen vorgehen sollten.
Eine erste, einfache Maßnahme ist es, ausschließlich Daten ohne Personenbezug in die Wolke zu verfrachten. Sie unterliegen nicht den deutschen datenschutzrechtlichen Bestimmungen, ihre Auslagerung ist daher rechtlich unbedenklich. Als Alternative kommt die Auslagerung in eine räumliche begrenzte Cloud in Betracht. Bei dieser Variante werden die Daten nicht an einem beliebigen Ort, sondern ausschließlich in einer bestimmten, vertraglich festgelegten Region gespeichert.
Durch die eigenen IT-Sicherheitsrichtlinien sind die meisten Unternehmen mit Datenverschlüsselung bereits vertraut. Auch innerhalb der Cloud wäre die Verschlüsselung vertraulicher Daten umsetzbar. Das gilt allerdings nur für die Speicherung. Denn sobald Daten verarbeitet werden sollen, müssen diese entschlüsselt werden.
Ein maßgeblicher Punkt für den Einsatz von Cloud-Services - und zudem eine gesetzliche Verpflichtung - ist die Datensicherheit und deren Kontrolle. Dies ergibt sich etwa aus der Anlage zu Paragraph 9 des Bundesdatenschutzgesetzes (BDSG). In ihr sind die erforderlichen technischen und organisatorischen Maßnahmen beschrieben, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten.
Allein die Vorstellung, dass relevante Firmendaten gemeinsam mit denen des schärfsten Konkurrenten auf einer Festplatte liegen, dürfte bei den meisten Anwendern kaum Begeisterung auslösen. Um dem rechtlich vorzubauen, muss der Anbieter sowohl die Trennbarkeit von Daten als auch deren Löschung vertraglich zusichern.
Jan Geert Meents ...
... ist Partner der internationalen Rechtsanwaltskanzlei DLA Piper[3] in München.
Übermittlung, Verarbeitung oder Speicherung personenbezogener Daten unterliegt strengen datenschutzrechtlichen Vorschriften. Hierfür sollte stets die Zustimmung des Betroffenen eingeholt werden. In der Praxis ist das aber schwierig.
Einen Ausweg für IT-Dienstleister kann die Verarbeitung von personenbezogenen Daten "im Auftrag" (die sogenannte Auftragsdatenverarbeitung gemäß Paragraf 11 BDSG) bieten. Bei der Auftragsdatenverarbeitung leitet der die Daten im Auftrag verarbeitende Dienstleister sein Recht hierzu von seinem Auftraggeber ab. Das bedeutet, dass Daten nur dann verarbeitet werden dürfen, wenn der Auftraggeber das Recht zur Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten hat.
Das setzt allerdings voraus, dass der Auftraggeber stets Herr der Daten ist. Dafür benötigt er entsprechende Kontrollrechte, die ebenfalls in Paragraf 11 BDSG geregelt sind. Wichtig ist, dass diese nicht nur auf dem Papier festgeschrieben, sondern auch tatsächlich ausgeübt werden müssen.
In der Unternehmenspraxis scheitert diese Kontrolle jedoch oft bereits am Wesen der Cloud selbst, weil sich die Daten überall befinden können. Zudem funktioniert das Modell der Auftragsdatenverarbeitung nur innerhalb des Europäischen Wirtschaftraums[4]. Für eine gesetzeskonforme Verarbeitung personenbezogener Daten außerhalb des Europäischen Wirtschaftraums bedarf es zusätzlicher Maßnahmen.
Darüber hinaus legt das Bundesdatenschutzgesetz technische und organisatorische Anforderungen fest. Es besagt, wie die Kontrolle über Zutritt, Zugriff, Weitergabe und Eingabe erfolgen muss. Die Gewährleistung von Datensicherheit gehört aber auch zu den allgemeinen Organisations- und Compliance-Pflichten eines Unternehmers. Daher muss die IT eines Unternehmens so organisiert sein, dass alle gesetzlichen und vertraglichen Anforderungen erfüllt werden. Besondere Verpflichtungen ergeben sich zudem aus dem Handels- und Steuerrecht sowie aus sektorspezifischen Vorschriften - etwa in der Pharmabranche oder im Finanzwesen.
Bildergalerie
Cloud Computing in Deutschland[5]
» zur Bildergalerie ...[5]
Aus verringerter Kontrolle über die ausgelagerten Daten ergeben sich für Cloud-Nutzer vertragliche Risiken. So wird der Anwender zwangsläufig technisch abhängig vom Anbieter. Was das konkret bedeutet, zeigt sich vor allem dann, wenn die Daten nach Ende des Cloud-Vertrags wieder zurückzuführen sind. Hier ist der Anwender in der Regel auf die Unterstützung des Anbieters angewiesen.
Ein wesentliches Problem werfen dabei komplexe und lange Verbindungswege mit entsprechend zahlreichen Fehlerquellen auf. Wer sichergehen möchte, dass alle Daten nach der Beendigung des Vertrages vollständig und entsprechend aufbereitet wieder ins eigene Unternehmen übertragen werden, muss dafür schon zu Beginn einer Partnerschaft die richtigen vertraglichen Weichen stellen.
Auf Basis möglicher gegenläufiger Interessen von Anwender und Anbieter einerseits und den schwer vorhersehbaren Anforderungen zum Vertragsende andererseits ist das rechtzeitige Aushandeln von Regelungen zur Beendigung der Vereinbarung zwar eine äußerst kniffelige, aber auch eine unverzichtbare Aufgabe.
Die richtigen Leistungsübergabepunkte festlegen
Cloudbasierte Dienste entlasten Anwender vom Betrieb sowie von der Wartung und Pflege von Software. Sie müssen lediglich die für den Zugang notwendige Infrastruktur bereithalten. Rechtlich entscheidend ist dabei die Frage, wo die Grenzen für die jeweiligen Verantwortlichkeiten liegen. Dadurch erhalten die sogenannten "Leistungsübergabepunkte" ein besonderes Gewicht.
An dieser Schnittstelle wird zum Beispiel die Verfügbarkeit der Leistung gemessen. Rückt der Leistungsübergabepunkt bei kritischen Services weit in Richtung des Anwenders, wird der Cloud-Anbieter gleichzeitig versuchen, das Risiko eines Diensteausfalls durch den Aufbau redundanter Systeme und Verbindungen zu minimieren. Allerdings beeinflussen gerade diese Maßnahmen maßgeblich den Preis. Denn eine Stärkte der technischen Architektur von Cloud Services ist ja gerade die Nutzung verteilter Ressourcen, um jederzeit auf einen anderen Standort ausweichen zu können.
Die richtigen SLAs festlegen
In einem Cloud-Vertrag sollten in Bezug auf die vereinbarten Service Level auch konkrete Pflichten des Anbieters im Hinblick auf Notfallpläne enthalten sein. Hierbei muss der Anwender das Recht haben zu überprüfen, ob diese Pflichten dann auch eingehalten werden (Audit-Recht).
Bildergalerie
So sehen Europas Firmen Cloud Computing[6]
» zur Bildergalerie ...[6]Für die Festlegung der wichtigsten Kriterien zur Messung der Servicequalität ist die Art der Services von entscheidender Bedeutung. Die Kriterien müssen objektiv messbar sein und die vom Anwender definierten Leistungsanforderungen widerspiegeln. Service Level Agreements sollten sich auf die wesentlichen Leistungskriterien beschränken. Werden diese nicht eingehalten sollten gegebenenfalls Sanktionen vorgesehen sein.
Fazit
Ob die Nutzung von Cloud Services in Anbetracht all dieser Pflichten in Frage kommt, müssen Anwender von Fall zu Fall entscheiden. Es gibt momentan sicherlich noch Bereiche, in denen hiervon eher abzuraten ist. Andererseits lassen sich viele rechtliche Hürden mit einer entsprechenden Vertragsgestaltung auch überwinden. Da die Entscheidung für Cloud Computing Unternehmen in technischer und rechtlicher Hinsicht fordert, sollten sie sich dem Thema schrittweise nähern, um die Risiken bewusst zu begrenzen.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/