Cloud-Services: Interview mit Thomas Jansen, DLA Piper

Rechtliche Grundlagen für die Cloud

Nach wie vor bleiben beim Cloud Computing noch viele juristische Detailfragen – etwa zum Datenschutz bzw. Datenschutzrecht – auf der Strecke. Dr. Thomas Jansen von der Kanzlei DLA Piper gibt Antwort auf aktuelle Fragen aus der Unternehmenspraxis und erklärt, wie Anwender ihre Daten in der Cloud absichern können.

„Eine Schatten-IT wird dann zum Problem, wenn dadurch die Sicherheit und Vertraulichkeit von Betriebs- und Geschäftsgeheimnissen oder sonstigem Know-how beeinträchtigt wird“, erklärt Thomas Jansen, Rechtsanwalt bei der Kanzlei DLA Piper.

ITM: Herr Jansen, viele Unternehmen würden gern die Flexibilität und wirtschaftlichen Vorteile globaler Clouds nutzen, fürchten aber Datenklau und Verstöße gegen datenschutzrechtliche Bestimmungen. Welche rechtliche Praxis existiert hier?
Thomas Jansen:
Ich rate zu einer deutschen oder europäischen Cloud, denn Cloud Computing ist eine sogenannte Auftragsdatenverarbeitung nach § 11 des Bundesdatenschutzgesetzes (BDSG). Diese ist aber grundsätzlich nur bei Anbietern mit Sitz innerhalb des europäischen Wirtschaftsraums möglich. Der Auftraggeber muss Herr über seine eigenen Daten bleiben. Er muss jederzeit Zugriff auf seine Daten haben und Kenntnis darüber, was mit ihnen geschieht.

Wichtig ist neben dem Sitz des Anbieters auch der Standort der Daten, also der Serverstandort. Denn rechtlich gibt es enorme Unterschiede, je nachdem, ob die Daten oder Sicherheitskopien der Daten vom Anbieter auf IT-Systemen in Deutschland, der Schweiz, Malta, Kanada, den USA, in Indien oder China gespeichert werden. Oft werden Daten auch an mehreren Standorten gleichzeitig gespeichert. Hier sind eindeutige und verbindliche vertragliche Zusicherungen wichtig und eine rechtliche Überprüfung unentbehrlich.

ITM: Wie können Anwender ihre Daten in der Cloud absichern?
Jansen:
Eine Möglichkeit ist es, die Daten direkt im Anwenderunternehmen und damit vor der Übertragung in die Cloud zu verschlüsseln – zusätzlich zur Verschlüsselung während der Übertragung. Dies kann gerade bei der Nutzung der Cloud für Sicherheitskopien vieles erleichtern. In jedem Fall sollte bei kritischen Systemen jedoch auch eine Ausfallsicherheit ohne Cloud bestehen. Lokale Sicherheitskopien der aktuellen Daten sind also teilweise weiter nötig.

Hinsichtlich eines möglichen Datenklaus müssen Unternehmen beachten, dass die Übertragung von Daten in die Cloud stets ein zusätzliches Risiko mit sich bringt. Von daher sollte von Anfang an sowie auf allen Ebenen auf eine technisch hervorragende Verschlüsselung geachtet werden. Dabei sollte auch vertraglich abgesichert sein, dass die Verschlüsselungstechnik regelmäßig und zügig auf den aktuellen Stand der Technik gebracht wird. Bei Clouds mit Datenspeicherung in Niedriglohnländern kommt das Risiko hinzu, dass Dritte durch Bestechung von Mitarbeitern teils sehr schnell und einfach an Daten kommen können. Und bei Daten, die Ausfuhrbeschränkungen unterliegen – wie militärbezogene Bauanleitungen – kann eine Speicherung in der Cloud schnell sehr ernste Folgen haben.

Generell gilt: Je weniger Rechtsprechung und Gesetzgebung es gibt, die sich speziell auf ein Thema wie Cloud Computing bezieht und hierfür klare Vorgaben macht, desto wichtiger ist ein gründlicher und zuverlässiger Vertrag.

ITM: Welche konkrete Verantwortung übernimmt der Auftraggeber im Sinne des Datenschutzes dafür, dass seine Firmendaten vom Cloud-Dienstleister weitergeben werden oder gar verlorengehen?
Jansen:
Steckt hinter dem Datenverlust eine Löschung, sind die Folgen für das Geschäft zwar verheerend, rein datenschutzrechtlich betrachtet aber eher unproblematisch. Verlust im Sinne einer Preisgabe der Daten an unberechtigte Dritte ist jedoch ein ernstes Problem. Das Bundesdatenschutzgesetz (BDSG) verbietet grundsätzlich jedes Verwenden von personenbezogenen Daten. Anschließend erlaubt es die Verwendung unter bestimmten Bedingungen.

Dieses sogenannte „Verbot mit Erlaubnisvorbehalt“ verlangt grundsätzlich sowohl vom Auftraggeber als auch vom Auftragnehmer, das Recht zur Verwendung von Daten entweder durch eine Rechtsvorschrift wie das BDSG oder eine Einwilligung der betroffenen Person explizit eingeräumt zu bekommen (§ 4 Absatz 1 BDSG).

ITM: Wie kann das Unternehmen eine vertragliche Garantie gegen Ausfallsicherheit erhalten?
Jansen:
Anders als im klassischen IT-Outsourcing sind Cloud-Anbieter nur in Ausnahmefällen bereit, Service Levels zu garantieren. Aber selbst wenn, sollte man sich bei kritischen Systemen nicht blind darauf verlassen. Zu den Grundanforderungen gehört sicherzustellen, dass der Kunde im Notfall Zugang zu seinen Daten hat oder ein lokales Backup besteht. Der Standardservice in der Public Cloud bei Anbietern wie Dropbox bringt oft einen reduzierter Funktionsumfang mit sich und nur selten die für Unternehmensanwender wichtigen Service Levels. Ein Unternehmen sollte daher nur im Ausnahmefall Public-Cloud-Lösungen nutzen und gerade für kritische Applikationen auf die Enterprise Cloud ausweichen.

ITM: Inwiefern drohen dem Auftraggeber Konsequenzen, wenn der beauftragte Cloud-Dienstleister Insolvenz anmeldet?
Jansen:
Es droht ein Datenverlust in beiden Varianten. Dieser kann zu Betriebsausfällen und zusätzlich zur Haftung gegenüber den eigenen Kunden führen. Dabei ist zu beachten, dass man seine Forderung z.B. auf Schaden-ersatzzahlung bei einem insolventen Unternehmen oft nur teilweise erfüllt bekommt. In dieser Situation ist es besonders hilfreich, wenn die Daten verschlüsselt vorliegen. Dann spart man sich in der Insolvenzsituation die datenschutzrechtliche Sorge einer „Datenpanne“, bei der etwa IT-Systeme samt offenen eigenen Daten veräußert werden könnten.

ITM: Gibt es eine rechtliche Handhabe, wenn Cloud-Services von Mitarbeitern oder Fachabteilungen an der IT vorbei genutzt werden?
Jansen:
Diese Schatten-IT wird dann zum Problem, wenn dadurch die Sicherheit und Vertraulichkeit von Geschäftsgeheimnissen beeinträchtigt wird. Dem sollte rechtzeitig in Form von internen Standards und Richtlinien zur IT-Nutzung vorgebeugt werden. Zudem ist es hilfreich, in Arbeitsverträgen auf diese Vorgaben hinzuweisen. Denn erst dann stellen diese Standards gleichzeitig vertragliche Pflichten dar.

ITM: Reichen SLAs als Garantie für den Umfang der Sicherheitsanforderungen in der Cloud aus?
Jansen:
SLAs dienen dazu, für den IT-Anbieter bestimmte Merkmale der Leistungserbringung festzulegen. Bleibt der Anbieter hinter diesen Anforderungen zurück, liegt eine Pflichtverletzung vor. Häufig wird dann das zu leistende Entgelt gemindert oder ein Schadenersatzanspruch gegen den Anbieter begründet.
Je nach Ausgestaltung können SLAs damit einer Garantie im rechtlichen Sinne gleichkommen. Ein Verstoß gegen die Sicherheitsanforderungen ist dadurch zwar nicht ausgeschlossen. Im Falle eines Schadens, etwa aufgrund von Datenverlust, hat aber der Auftraggeber die Möglichkeit, bei dem Cloud Provider Regress zu nehmen.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok