Anders als beim klassischen Outsourcing verlieren Anwender in der sogenannten Public Cloud die Kontrolle darüber, wo sich ihre Daten tatsächlich befinden. Da demzufolge auch keine Steuerung stattfinden kann, bleibt der Auftraggeber nicht mehr Herr der Daten. Dass ist im Rahmen einer Auftragsdatenverarbeitung nicht nur ein gefühltes, sondern ein konkretes rechtliches Problem.
Trotz vieler Klippen und Bedenken gibt es aber zuverlässige Möglichkeiten, den Cloud-Betrieb aufzunehmen und gleichzeitig das unternehmerische Risiko gering zu halten. Jan Geert Meents, Partner der Wirtschaftskanzlei DLA Piper in München, erläutert für ZDNet, wie Firmen vorgehen sollten.
Eine erste, einfache Maßnahme ist es, ausschließlich Daten ohne Personenbezug in die Wolke zu verfrachten. Sie unterliegen nicht den deutschen datenschutzrechtlichen Bestimmungen, ihre Auslagerung ist daher rechtlich unbedenklich. Als Alternative kommt die Auslagerung in eine räumliche begrenzte Cloud in Betracht. Bei dieser Variante werden die Daten nicht an einem beliebigen Ort, sondern ausschließlich in einer bestimmten, vertraglich festgelegten Region gespeichert.
Durch die eigenen IT-Sicherheitsrichtlinien sind die meisten Unternehmen mit Datenverschlüsselung bereits vertraut. Auch innerhalb der Cloud wäre die Verschlüsselung vertraulicher Daten umsetzbar. Das gilt allerdings nur für die Speicherung. Denn sobald Daten verarbeitet werden sollen, müssen diese entschlüsselt werden.
Ein maßgeblicher Punkt für den Einsatz von Cloud-Services – und zudem eine gesetzliche Verpflichtung – ist die Datensicherheit und deren Kontrolle. Dies ergibt sich etwa aus der Anlage zu Paragraph 9 des Bundesdatenschutzgesetzes (BDSG). In ihr sind die erforderlichen technischen und organisatorischen Maßnahmen beschrieben, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten.
Allein die Vorstellung, dass relevante Firmendaten gemeinsam mit denen des schärfsten Konkurrenten auf einer Festplatte liegen, dürfte bei den meisten Anwendern kaum Begeisterung auslösen. Um dem rechtlich vorzubauen, muss der Anbieter sowohl die Trennbarkeit von Daten als auch deren Löschung vertraglich zusichern.
... ist Partner der internationalen Rechtsanwaltskanzlei DLA Piper in München.
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.