Die Haftung von Cloud-Providern

Vertragsstrafen beim Cloud Computing

Im Interview erläutert Thomas Bösel, Leiter Fraud Management sowie Sicherheits- und Datenschutzbeauftragter bei QSC in Köln, worauf man bei der Gestaltung von Cloud-Computing-Verträgen achten sollte und wann Anwenderunternehmen ihre Cloud-Provider in die Pflicht nehmen können.

Thomas Bösel, QSC

Thomas Bösel, Leiter Fraud Management sowie Sicherheits- und Datenschutzbeauftragter bei QSC

ITM: Herr Bösel, worauf sollte ein mittelständisches Unternehmen, das mit einem Cloud-Provider zusammenarbeiten möchte, beim Vertragsabschluss vor allem achten?
Thomas Bösel:
Der wichtigste Punkt ist ein schriftlicher Vertrag zur Auftragsdatenverarbeitung, wie sie im Bundesdatenschutzgesetz geregelt ist. Der Vertrag sollte als Mindestvoraussetzung eindeutige Angaben zu den angebotenen und genutzten Cloud-Leistungen, zu den zu treffenden technischen und organisatorischen Maßnahmen, den Service Levels, den Sanktionen bei Nichterfüllung, der Art der Abrechnung der einzelnen Leistungen sowie der Laufzeit und den Pflichten des Cloud-Providers bei Vertragsende enthalten. Bei der Auswahl eines Cloud-Providers müssen sich Unternehmen davon überzeugen, dass in dessen Rechenzentren die gesetzlich vorgeschriebenen Sicherheitsvorkehrungen zum Schutz personenbezogener Daten umgesetzt sind. Das ist ein entscheidender Punkt: Denn letztlich ist der Auftraggeber für die übermittelten personenbezogenen Daten weiterhin verantwortlich.

ITM: Welche Dinge sollte man beim Vertragsabschluss tunlichst vermeiden, um ein späteres, böses Erwachen zu vermeiden?
Bösel:
Aus Gründen der Haftung sollte der Auftrag grundsätzlich schriftlich erteilt werden. Wir empfehlen unseren Kunden, einen Cloud-Provider auszuwählen, der seinen Firmensitz in Deutschland hat und nur hier Rechenzentren betreibt. US-Cloud-Anbieter unterliegen neben der deutschen auch der Gesetzgebung ihres Heimatlandes und müssen den US-Sicherheitsbehörden auch ohne richterliche Anordnung Zugriff auf personenbezogene Daten gewähren.

ITM: Welche Vertragsstrafen finden in der Regel auch beim Cloud Computing Anwendung?
Bösel:
Wurde nichts anderes vereinbart, gilt bei Verträgen mit Cloud-Providern die übliche Haftung im Hinblick auf eine schuldhafte Verletzung vertraglicher und gesetzlicher Pflichten. Darin eingeschlossen sind auch Pflichtverletzungen der Mitarbeiter des Cloud-Providers. Weitere Einzelheiten können in Service-Level-Agreements geregelt sein. Hier geht es dann bei Verstößen gegen die Vereinbarung von Service-Levels um Aspekte wie geringere Vergütung, Anspruch auf Mangelbeseitigung oder gar Kündigung.

ITM: Wie kann das Anwenderunternehmen sichergehen, dass der Cloud-Provider bei Vertragsverstößen seinen Pflichten nachkommt?
Bösel:
Cloud Computing kommt ohne einen schriftlichen Vertrag zwischen Auftraggeber und Provider nicht aus. Darin sind die Pflichten und Rechte beider Vertragspartner aufgelistet. Dazu ein Beispiel: Wer ohne ausreichende Prüfung der technischen und organischen Voraussetzungen des Cloud-Providers Anwendungen und Daten verlagert, kann bei Verstößen gegen den Datenschutz laut Bundesdatenschutzgesetz mit einem Bußgeld von bis zu 50.000 Euro bestraft werden.

ITM: Stichwort Migration: Worauf sollten IT-Verantwortliche, die ihre IT in die Cloud verlagern wollen, hinsichtlich Interoperabilität beziehungsweise Datenkonsistenz achten?
Bösel:
In einem Migrationsprojekt geht es erst zu einem späteren Zeitpunkt um Details wie Interoperabilität und Datenkonsistenz. Am Anfang steht die Analyse, welche der vorhandenen Applikationen sich aus technischen oder organisatorischen Gründen für eine Migration in die Cloud eignen. Als nächstes wird geklärt, welche Daten diese Applikationen mit anderen Applikationen gemeinsam nutzen. Um Datenkonsistenz- und Interoperabilitätsprobleme zu vermeiden, bietet es sich an, die Daten an nur einem Ort – sei es im eigenen Rechenzentrum oder in dem des Cloud-Providers – vorzuhalten.

ITM: Inwieweit sollten die Daten beim Weg in die beziehungsweise bei der Verarbeitung in der Cloud verschlüsselt werden?
Bösel:
Die Datensicherheit hat immer Priorität. Da der Kunde des Cloud-Providers als Auftraggeber die Hoheit über die Daten hat, ist er für die Sicherheit der Daten verantwortlich. Beim Cloud Computing sollten Unternehmen daher alle notwendigen Maßnahmen ergreifen, damit ihre Daten nicht ungeschützt in fremde Hände gelangen. Wichtig ist daher zu prüfen, welche Optionen zur Verschlüsselung von Daten ein Cloud-Provider anbietet. Bei einigen wird standardmäßig der Datenverkehr zwischen den Unternehmen und den Servern im Cloud-Rechenzentrum verschlüsselt. Eine höhere Sicherheit ist gegeben, wenn das Unternehmen die Daten vor der Übertragung verschlüsselt und zusätzlich der Cloud-Provider auf seinen Speichersystemen eine Verschlüsselung vornimmt.

ITM: Mit welchen kryptologischen Verfahren sollte man hierbei arbeiten?
Bösel:
Das Bundesdatenschutzgesetz fordert eine Verschlüsselung nach dem Stand der Technik. Einzelheiten dazu schildert beispielsweise das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner Technischen Richtlinie TR-02102-1. Über sein Tochterunternehmen FTAPI bietet etwa QSC eine Lösung für die Ende-zu-Ende-Verschlüsselung und damit einen hochsicheren Datenaustausch an.

ITM: Welche Verschlüsselungstechniken versprechen den größten Schutz, oder anders gefragt: An welchen scheitern selbst ausländische Spähattacken?
Bösel:
Wenn es um sehr hohe Sicherheit geht, spielt die eingesetzte Verschlüsselungstechnologie eine wichtige Rolle. FTAPI beispielsweise nutzt AES, den Advanced Encryption Standard. AES gilt unter Experten als sehr sicher. Das zeigt sich etwa daran, dass in den USA staatliche Dokumente mit der höchsten Geheimhaltungsstufe vor dem Versand mit AES verschlüsselt werden und damit als sehr sicher gelten. Das heißt aber nicht, dass AES nicht mit einem sehr hohen Aufwand zu knacken wäre. Dass Nachrichtendienste daran arbeiten, den Entschlüsselungsprozess zu beschleunigen, dürfte als gesichert gelten.

ITM: Wie kann man vollkommen sicher gehen, dass ein Cloud-Service-Provider nach Vertragsende auch wirklich alle Daten des Anwenderunternehmens löscht? Und dies auch noch sicher sowie datenschutz-/rechtskonform?
Bösel:
Man kann es nicht oft genug wiederholen: Solche Aspekte müssen explizit in einem Vertrag zwischen Auftraggeber und Cloud-Provider geregelt sein. Ausführliche Hinweise zu den Inhalten eines solchen Dokuments bietet der Bitkom in seiner „Checkliste zur Vertragsgestaltung im Cloud Computing“. Der Auftraggeber hat laut Bundesdatenschutzgesetz das Recht, nach Vertragsende die ordnungsgemäße Löschung der Daten durch den Cloud-Provider zu kontrollieren.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok