Firmendaten in der Cloud
Cloud Computing - Juristische Fallstricke vermeiden
Frage von Wolfgang Hinrichs (Evonik Industries): Viele Unternehmen würden gern die wirtschaftlichen Vorteile globaler Clouds nutzen, fürchten aber Datenklau und Verstöße gegen datenschutzrechtliche Bestimmungen. Welche rechtlichen Best Practices oder kreativen Lösungen gibt es hier?
- SaaS-Bezugsquellen in Deutschland (Angaben in Millionen Euro)
2015 werden rund acht Prozent der Umsätze mit Software as a Service (SaaS) - das entspricht einem Transaktioinsvolumen von 280 Millionen Euro - über Marktplätze generiert. Rund 10 Prozent gehen auf das Konto des Channel-Vertriebs. 2016 allerdings kehrt sich dieses Verhältnis allerdings um: Der Anteil des indirekten Vertriebs liegt dann bei rund 8 Prozent, der Anteil der Marktplätze bei über 11 Prozent. Der Anteil des Direktvertriebs über den Hersteller sinkt von rund 85 Prozent im Jahr 2013 auf rund 80 Prozent im Jahr 2016. (Quelle: Experton Group 2013) - Nutzen der Cloud aus Anwendersicht
Das Gros der befragten Mittelstandsunternehmen halten Cloud Computing für nützlich. (Quelle: TechConsult IT-Cloud Index Mittelstand 07/2013) - Warum sich Unternehmen nicht auf Cloud vorbereitet fühlen
Fehlendes Bewusstsein seitens der Geschäftsführung und der Fachabteilungen für die Chancen von Cloud Computing und mangelndes Know-how sind nach Ansicht der befragten Mittelstandskunden das größte Hindernis für die Einführung von Cloud-Lösungen. (Quelle: Techconsult IT-Cloud Index Mittelstand 07/2013) - Diese Beratungsleistung wünschen sich Anwender von ihren Dienstleistern
Hilfe bei der Einführung und Integration sowie Aufklärung zu den Risiken stehen auf der Wunschliste ganz oben. (Quelle: Techconsult IT-Cloud Index Mittelstand 07/2013)
Antwort von Thomas Jansen (DLH Piper): Es ist zunächst einmal zu einer deutschen oder europäischen Cloud zu raten. Cloud Computing ist üblicherweise eine Auftragsdatenverarbeitung nach Paragraf 11 des Bundesdatenschutzgesetzes (BDSG). Die ist aber grundsätzlich nur mit Anbietern innerhalb des europäischen Wirtschaftsraums möglich.
Wichtig ist dabei nicht nur der Firmensitz, sondern auch der genaue Speicherort der Daten, also der Server-Standort. Rechtlich gibt es enorme Unterschiede, je nachdem, ob der Cloud-Anbieter die Daten oder deren Sicherheitskopien auf IT-Systemen in Deutschland, der Schweiz, Malta, Kanada, den USA, Indien oder China speichert. Oft sind die Daten auch an mehreren Standorten gleichzeitig gelagert. Hier sind eindeutige und verbindliche vertragliche Zusicherungen wichtig - und eine rechtliche Überprüfung ist unentbehrlich.
Eine Möglichkeit, die immer berücksichtigt werden sollte, besteht darin, die Daten vor Ort und vor der Übertragung in die Cloud zu verschlüsseln - zusätzlich zur Verschlüsselung der Übertragung. Das kann vieles erleichtern, gerade bei der Nutzung der Cloud für Backup-Szenarien.
Die Verwendung von Public-Cloud-Diensten wie Dropbox sollte in Unternehmensumgebungen unbedingt vermieden werden. Eine Public Cloud erfüllt fast nie alle rechtlichen Anforderungen.
Bezüglich des Themas Datenklau ist zu beachten, dass die Übertragung von Daten in die Cloud immer ein zusätzliches Risiko birgt. Daher ist von Anfang an und auf allen Ebenen auf eine technisch hervorragende Verschlüsselung zu achten. Dabei sollte auch vertraglich abgesichert sein, dass die Verschlüsselungstechnik regelmäßig und zügig auf den aktuellen Stand der Technik gebracht wird. Das gilt in Zeiten der Geheimdienst-skandale mehr denn je.
Bei Clouds mit Datenspeicherung in Niedriglohnländern ist das Risiko zu beachten, dass Dritte durch Bestechung von Mitarbeitern oftmals schnell und einfach an Daten gelangen können. Und bei Daten, die Ausfuhrbeschränkungen unterliegen, zum Beispiel für militärbezogene Bauanleitungen, kann eine Speicherung in der Cloud ernste Folgen haben.
Über die Safe-Harbor-Vereinbarung der EU mit den USA und durch eine Vertragsgestaltung, die EU Model Clauses einschließt, kann eine Cloud außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums teilkompatibel zu den Datenschutzbedingungen der EU werden. Aber wirklich sicher ist meistens nur die deutsche Cloud und teilweise die Cloud in anderen EU-Ländern.
Ergänzende Antwort von Jochen Notholt (comp/lex - Beratung im IT-Recht, München): Best Practice aus rechtlicher Sicht ist ein Vertrag mit dem Anbieter, der klar und deutlich regelt, was der Kunde erwarten kann - für den Fall, dass alles gut geht, oder auch, wenn etwas schiefläuft. Das ist jedoch in der Paxis leichter gesagt als getan.
Je unternehmenskritischer die Daten und Prozesse in der Cloud sind, umso sorgfältiger ist dabei vorzugehen. Der Kunde muss hier eigene Worst-Case-Szenarien entwickeln und kritisch prüfen. Das erfordert allerdings Kreativität und Mut.