Firmendaten in der Cloud

Cloud Computing - was Juristen raten

Firmendaten in der Cloud

Noch eine Frage von Wolfgang Hinrichs: Welche konkrete Verantwortung übernimmt der Auftraggeber, wenn seine Firmendaten vom Cloud-Dienstleister weitergegeben oder "verloren" werden?

Thomas Jansen: Verlust im Sinne einer Preisgabe der Daten an unberechtigte Dritte, oft auch als Datenpanne bezeichnet, ist ein ernstes Problem. Das Bundesdatenschutzgesetz (BDSG) verbietet grundsätzlich jedes Verwenden von personenbezogenen Daten. Anschließend erlaubt es die Verwendung unter bestimmten Bedingungen. Dieses "Verbot mit Erlaubnisvorbehalt" verlangt sowohl vom Auftraggeber als auch vom Auftragnehmer, dass sie sich das Recht zur Verwendung von Daten entweder durch eine Rechtsvorschrift wie das BDSG oder eine Einwilligung der betroffenen Person explizit einräumen lassen (Paragraf 4 Absatz 1 BDSG). Beide Parteien tragen demnach Verantwortung dafür, dass sie nur zulässigerweise Daten erheben, verarbeiten und nutzen.

Nach Paragraf 11 BDSG, also der Vorschrift zur Auftragsdatenverarbeitung, bleibt der Auftraggeber die verantwortliche Stelle, haftet also gegenüber den Betroffenen. Deshalb muss er sicherstellen, dass der Auftragnehmer angemessene Datenschutzstandards einhält. Zudem sollte er den Dienstleister auch verpflichten zu prüfen, ob die Daten, die er an ihn schickt, überhaupt in der Cloud gespeichert werden dürfen. Einige Daten, bei denen eine Übertragung technisch möglich und sinnvoll ist, sind nämlich rechtlich nicht "Cloud-kompatibel". Werden sie dennoch in der Cloud gespeichert und anschließend an Dritte preisgegeben, drohen vertraglich wie datenschutzrechtlich ernste Probleme - etwa Bußgelder und Strafverfahren nach den Paragrafen 43 und 44 BDSG.

Aber trotz aller Absicherung - rechtlich gesehen bleibt der Auftraggeber die verantwortliche Stelle bei der Auftragsdatenverarbeitung. Auch die Presse wird eine Datenpanne meist mit dem Auftraggeber in Verbindung bringen, wodurch ein erheblicher Imageschaden droht.

Jochen Notholt: Gegenüber den eigenen Endkunden und dem Staat - der Jurist spricht hier vom "Außenverhältnis" - bleibt der Cloud-Kunde immer in der Verantwortung. Er steht also nach außen für Fehler des Dienstleisters gerade. In welchem Umfang der Dienstleister dann den Kunden im "Innenverhältnis" entschädigen muss, hängt vom Vertrag zwischen beiden ab. Das ist der zentrale und kritische Aspekt der "Cloud Compliance."