Firmendaten in der Cloud

Cloud Computing - was Juristen raten

Anwender fragen, Juristen antworten - in unserer lockeren Reihe geht es diesmal um Cloud Computing. Bekanntlich gibt es hier noch jede Menge offene Fragen zu juristischen Details - und das nicht erst seit den jüngsten Spionagevorfällen.

Frage von Wolfgang Hinrichs (Evonik Industries): Viele Unternehmen würden gern die wirtschaftlichen Vorteile globaler Clouds nutzen, fürchten aber Datenklau und Verstöße gegen datenschutzrechtliche Bestimmungen. Welche rechtlichen Best Practices oder kreativen Lösungen gibt es hier?

Foto: bluedesign, Fotolia.com

Antwort von Thomas Jansen (DLH Piper): Es ist zunächst einmal zu einer deutschen oder europäischen Cloud zu raten. Cloud Computing ist üblicherweise eine Auftragsdatenverarbeitung nach Paragraf 11 des Bundesdatenschutzgesetzes (BDSG). Die ist aber grundsätzlich nur mit Anbietern innerhalb des europäischen Wirtschaftsraums möglich.

Wichtig ist dabei nicht nur der Firmensitz, sondern auch der genaue Speicherort der Daten, also der Server-Standort. Rechtlich gibt es enorme Unterschiede, je nachdem, ob der Cloud-Anbieter die Daten oder deren Sicherheitskopien auf IT-Systemen in Deutschland, der Schweiz, Malta, Kanada, den USA, Indien oder China speichert. Oft sind die Daten auch an mehreren Standorten gleichzeitig gelagert. Hier sind eindeutige und verbindliche vertragliche Zusicherungen wichtig - und eine rechtliche Überprüfung ist unentbehrlich.

Eine Möglichkeit, die immer berücksichtigt werden sollte, besteht darin, die Daten vor Ort und vor der Übertragung in die Cloud zu verschlüsseln - zusätzlich zur Verschlüsselung der Übertragung. Das kann vieles erleichtern, gerade bei der Nutzung der Cloud für Backup-Szenarien.

Dr. Thomas Jansen, DLA Piper: "Es ist zu einer deutschen oder europäischen Cloud zu raten."
Dr. Thomas Jansen, DLA Piper: "Es ist zu einer deutschen oder europäischen Cloud zu raten."
Foto: DLA Piper

Die Verwendung von Public-Cloud-Diensten wie Dropbox sollte in Unternehmensumgebungen unbedingt vermieden werden. Eine Public Cloud erfüllt fast nie alle rechtlichen Anforderungen.

Bezüglich des Themas Datenklau ist zu beachten, dass die Übertragung von Daten in die Cloud immer ein zusätzliches Risiko birgt. Daher ist von Anfang an und auf allen Ebenen auf eine technisch hervorragende Verschlüsselung zu achten. Dabei sollte auch vertraglich abgesichert sein, dass die Verschlüsselungstechnik regelmäßig und zügig auf den aktuellen Stand der Technik gebracht wird. Das gilt in Zeiten der Geheimdienst-skandale mehr denn je.

Bei Clouds mit Datenspeicherung in Niedriglohnländern ist das Risiko zu beachten, dass Dritte durch Bestechung von Mitarbeitern oftmals schnell und einfach an Daten gelangen können. Und bei Daten, die Ausfuhrbeschränkungen unterliegen, zum Beispiel für militärbezogene Bauanleitungen, kann eine Speicherung in der Cloud ernste Folgen haben.

Über die Safe-Harbor-Vereinbarung der EU mit den USA und durch eine Vertragsgestaltung, die EU Model Clauses einschließt, kann eine Cloud außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums teilkompatibel zu den Datenschutzbedingungen der EU werden. Aber wirklich sicher ist meistens nur die deutsche Cloud und teilweise die Cloud in anderen EU-Ländern.

Ergänzende Antwort von Jochen Notholt (comp/lex - Beratung im IT-Recht, München): Best Practice aus rechtlicher Sicht ist ein Vertrag mit dem Anbieter, der klar und deutlich regelt, was der Kunde erwarten kann - für den Fall, dass alles gut geht, oder auch, wenn etwas schiefläuft. Das ist jedoch in der Paxis leichter gesagt als getan.

Jochen Notholt (comp/lex - Beratung im IT-Recht, München):" Gegenüber den eigenen Endkunden und dem Staat bleibt der Cloud-Kunde immer in der Verantwortung."
Jochen Notholt (comp/lex - Beratung im IT-Recht, München):" Gegenüber den eigenen Endkunden und dem Staat bleibt der Cloud-Kunde immer in der Verantwortung."
Foto: Jochen Notholt, comp/lex

Je unternehmenskritischer die Daten und Prozesse in der Cloud sind, umso sorgfältiger ist dabei vorzugehen. Der Kunde muss hier eigene Worst-Case-Szenarien entwickeln und kritisch prüfen. Das erfordert allerdings Kreativität und Mut.