„Für die juristische Betrachtung von Cloud Computing ist es ganz entscheidend, ob es sich um eine private oder um eine öffentliche Cloud handelt,“ sagt Rechtsanwalt Bernd H. Harder, Partner der Kanzlei Büsing, Müffelmann & Theye und als Inhaber von „Harder Rechtsanwälte“ Mitglied des Hauptvorstands beim Bitkom. „Wenn Services innerhalb einer privaten Cloud zur Verfügung stehen, verbleiben sie im Unternehmen. Wenn Daten aber, wie bei Angeboten öffentlicher Clouds, die firmeneigene IT-Landschaft verlassen, tauchen einige Probleme auf.“
Die wichtigsten Fragen, die Verantwortliche stellen sollten, sind seiner Ansicht nach dann: Wie sicher sind meine Daten vor dem Zugriff Dritter? Was passiert, wenn meine Daten verloren gehen? Wie sieht es mit der Verfügbarkeit aus? Wie bekomme ich meine Daten zurück, wenn ich den Service nicht mehr in Anspruch nehme? Und natürlich: Wo sind meine Daten?
Fallen die Antworten darauf unbefriedigend oder unklar aus, sollten Geschäftsführer und Vorstände das nicht auf die leichte Schulter nehmen. Schließlich liegt die Verantwortung in jedem Fall bei ihnen. Kommt es zum Missbrauch, Verlust oder Manipulation haften sie unter Umständen persönlich.
Neben branchenbezogenen Vorschriften gibt es eine Reihe von Gesetzen, die ein Unternehmen beachten muss, wenn es einen Cloud-Service in Anspruch nehmen will. „Handelt es sich um Anwendungen mit so genannten personenbezogenen Daten wie Lohnabrechnung oder ein CRM-System, greift das Bundesdatenschutzgesetz“, erklärt Harder. Personenbezogene Daten sind Angaben, mit deren Hilfe sich auf eine sogenannte „natürliche Person“ schließen lässt – also auf Menschen.
Bernd H. Harder, Partner der Kanzlei Büsing, Müffelmann & Theye (Bild: privat).
Beispiele hierfür sind Namen, Adressen, Telefonnummern oder IP-Adressen. „Das Gesetz verpflichtet den Auftraggeber dazu, die technischen und organisatorischen Maßnahmen des Cloud-Anbieters zu prüfen. Wie diese Prüfung nach dem Bundesdatenschutzgesetz konkret aussehen soll, ist Auslegungssache“, so Harder.
Wichtig sei in jedem Fall aber, dass sich der Cloud-Anbieter vertraglich dazu verpflichtet, die Datenschutzgesetze einzuhalten, die innerhalb der europäischen Union gelten. Unternehmen aus den USA müssen zumindest die Safe-Harbor-Vereinbarung zwischen der EU und den USA aus dem Jahr 2000 oder die Standardvertragsklauseln der EU unterschrieben haben. Damit verpflichten sich US-amerikanische Firmen, die europäischen Datenschutzgesetze einzuhalten.
Neueste Kommentare
1 Kommentar zu Fakten statt Märchen: Datenschutz in der Cloud
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Zustimmmung
"Dass die Sicherheitsmaßnahmen bei Cloud-Anbietern in den meisten Fällen wesentlich höher sind, als es sich ein kleines- oder mittelständisches Unternehmen leisten kann."Der letzte Satz hat mich wieder versöhnt. Und natürlich stimmen die angesprochenen Punkte. Es gibt bestimmte Pflichten, mit denen sich die Verantwortlichen auseinandersetzen müssen.
Was mich interessieren würde sind die angesprochenen Vereinbarungen (z.B. Safe Harbour). Welche Anbieter erfüllen denn bist jetzt diese Kriterien?
Auch der Hinweis auf Verschlüsselung ist in der Praxis ja nicht so einfach. Viele SAAS-Anbieter verschlüsseln standardmäßig die ganzen Daten. Wenn ich aber vom Unternehmen aus Daten verschlüsseln will, dann fällt SaaS ja praktisch ganz raus, denn dann kann man nur noch Speicher aus der Cloud beziehen, weil für allen anderen IT-Dienstleistungen ja unverschlüsselte Daten benötigt werden; bzw. die Server in der Cloud müssen diese Daten entschlüsseln können.
Was genau sind personenbezogene Daten. Fast alle Daten haben heutzutage irgendeinen Personenbezug (Dokument wurde erstellt von …, Prozess wird bearbeit von …)
Die Sache mit dem Auditieren ist auch sehr interessant. Das ist nur möglich, wenn ich wirklich ein sehr großer Kunde bin, mit einem entprechenden Auftragsvolumen. Außerdem halte ich es für ein schlechtes Zeichen, wenn ein Cloud-Anbieter sehr offen seine Sicherheitsmaßnahmen zeigt. Eine bessere Hilfe zum Datenklau gibt es kaum.
Ich denke auch bei dem Einsatz von nicht Cloud-Software, auf eigenen Rechnern müsste man oft eigentlich viele Sachen machen, die nicht immer zu leisten sind, beispielsweise:
Wie wurde die Software entwickelt?
Sind Hintertürchen eingebaut?
Wie ist die wirtschaftliche Situation des Anbieters?
Auditierung der Produktentwicklungsprozesses beim Anbieter
Auditierung der Sicherheitseinrichrungen des IT-Dienstleisters
z. B. Bei kleinen Unternehmen: Wie sind die IT-Dienstleister auf den Ausfall eines/mehrerer Mitarbeiter vorbereitet, ist die Betreuung weiter sichergestellt?
Updates, Kompatibilität etc: Wie schnell reagiert der Anbieter auf neue Technologien (Betriebssysteme, Protokolle, Endgeräte, Browser…)? Wie lange ist die Softwarepflege sichergestellt?
Kein kmU und nichtmal ein größeres Unternehmen käme auf die Idee mal eben Microsoft zu auditieren oder von denen irgendwelche speziell auf sie zugeschnittenen vertraglichen Zusagen zu erwarten. Von Anbietern in der Cloud scheint man das aber oft zu verlangen. Ich denke es gibt genug Fälle, in denen sehr unternehmenspezifische, spezialisierte und teure Dienste angeboten werden. Hier machen solche Forderungen Sinn. In anderen Fällen eher weniger.
Aus Risikomanagement und Complience Sicht ist es sicherlich geboten sich systematisch mit diesen Fragen auseinanderzusetzen und diesen Risikomanagementprozess auch entsprechend zu dokumentieren.