Cloud: Rechtliche Fragen

Rechtliche Fragen bezüglich Cloud Computingparagraph

Datensicherheit

Datensicherheit bedeutet die technischen und organisatorischen Maßnahmen umzusetzen, um Vertraulichkeit, Verfügbarkeit und Integrität der IT-Systeme sicherzustellen.

Public Cloud-Anbieter bieten weit mehr Sicherheit, als es sich ein deutsches mittelständisches Unternehmen leisten kann. Das hängt damit zusammen, dass Cloud-Anbieter gezielt in den Aufbau und die Wartung ihrer Cloud Infrastrukturen investieren und ebenfalls das dafür notwendige Personal beschäftigen und die entsprechenden organisatorischen Strukturen geschaffen haben. Hierzu werden jährlich Milliarden von US-Dollar in die Hand genommen. Es gibt nur wenige Unternehmen außerhalb der IT-Branche, die in ähnlicher Weise in IT-Sicherheit investieren können und wollen.

 Datenschutz

Beim Datenschutz geht es um den Schutz der Persönlichkeitsrechte während der Datenverarbeitung und den Schutz der Privatsphäre.

Dieses Thema sorgt bei den meisten Unternehmen für die echten Kopfschmerzen. Denn beim Verstoß gegen das Bundesdatenschutzgesetz macht der Gesetzgeber kurzen Prozess. Es geht zunächst also darum, den Cloud-Anbieter für die Einhaltung der im §9 festgehaltenen Regeln im Bundesdatenschutzgesetz in die Verantwortung zu nehmen und dies selbst auf Basis von §11 zu überprüfen. Für die Erfüllung von §11 empfiehlt es sich auf die Gutachten von Wirtschaftsprüfern zurückzugreifen, da kein Anbieter jeden Kunden einzeln ein Audit durchführen lassen kann.

Der Datenschutz ist ein absolut wichtiges Thema, schließlich handelt es sich dabei unsensibles Datenmaterial. Es ist aber in erster Linie ein rechtliches Thema, was durch Maßnahmen der Datensicherheit gewährleistet werden muss.

Cloud und rechtliche Fragen

Cloud Computing ist derzeit in Mode, insbesondere Begriffe wie “Software as a Service” oder rechtsfrage“Infrastructure as a Service” sind weitverbreitet. Jedoch gibt es Konflikte mit dem deutschen Datenschutzrecht – einige Juristen sind sogar der Ansicht, dass Cloud Computing derzeit nach deutschen Recht generell unzulässig sei (ich nicht). Neben dem Datenschutzrecht dürfen beim Cloud Computing auch andere wichtige Vorschriften nicht übersehen werden, wie z.B. Aufbewahrungspflichten für Dokumente, Pflicht zur Wahrung von Betriebsgeheimnissen und ggf. die Regelungen des Verbraucherschutzrechts. Wichtig ist weiterhin die Frage des Zugriffs Dritter auf Daten in der Cloud. Dies betrifft nicht nur die Sicherheit gegen Hacker sondern insbesondere auch um legale Zugriffe, Z.B. durch Finanzbehörden oder Sicherheitsorganisationen (US-Amerikanische Behörden haben Zugriff auf alle Daten auf amerikanischen Servern!).

Bei Auslagerung von Daten in die Cloud liegt in aller Regel eine Verarbeitung personenbezogener Daten vor. Damit findet – auch bei privaten Clouds – § 9 BDSG mit seinen Anlagen Anwendung, was zu umfangreichen Anforderungen an die Datensicherheit führt. Bei Public Clouds ist zudem in der Regel eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG anzunehmen, was zu weiteren rechtlichen Anforderungen führt, die ein Rechtsanwalt begleiten sollte. Insbesondere ist es aufgrund Vorgaben des Datenschutz nur schwer möglich, einen Anbieter mit Sitz außerhalb der EU zu wählen, was beim Cloud Computing offensichtlich zu erheblichen Problemen führt. Hier ist daher sicherzustellen, dass die Anbieter durch Selbstbindung und verbindliche Zusagen ein hohes Sicherheitsniveau gewährleisten.

Wenn die Voraussetzungen an die Auftragsdatenverarbeitung nicht vorliegen, muss eine Rechtfertigung nach § 28 BDSG vorliegen. Bei weltweiten-Clouds sind “Safe Harbor“-Regelungen oder EU-Standard-Vertragsklauseln zu prüfen, wofür nach deutschem Recht eine zweistufige Prüfung vorzunehmen hinsichtlich angemessenem Schutzniveau und Rechtfertigung. Zu empfehlen sind im Cloud Computing insbesondere lokale/deutsche Anbieter, die meist ein hohes Sicherheitsniveau bieten und mit denen die Einhaltung der Vorschriften zu Datenschutz und Datensicherheit meist gewährleistet ist.

Personenbezogene Daten

Der Cloude-Kunde  wird die Bestimmungen des Bundesdatenschutzgesetzes also meistens einhalten müssen, da er auch personenbezogene Daten weitergibt. Er kann zwar seine Daten und deren Verarbeitung auslagern, nicht aber die juristische Verantwortung.

Grundsätzlich dürfen solche personenbezogenen Daten nur in Deutschland, einem EU-Land, oder einem Staat des Europäischen Wirtschaftsraumes, also Liechtenstein, Norwegen oder Island verarbeitet werden. Dazu kommen noch Länder, die von der EU-Kommission als sichere Drittländer eingestuft werden, dies sind derzeit Argentinien, Kanada, die Schweiz, sowie die Kanalinseln Guernsey und Isle of Man.  Sind an für den Cloud-Provider  Subunternehmen tätig, müssen auch sie in diesen Ländern arbeiten.

Bei personenbezogenen Daten müssen Cloud-Anbieter gemäß Bundesdatenschutzgesetz noch eine Reihe weiterer Voraussetzungen erfüllen. Die Anforderungen in Stichworten: Nur ein begrenzter Personenkreis darf Zutritt zu den Rechenzentren haben, diese müssen durch Kontrolle gesichert sein – sowohl  physisch (Ausweiskontrolle) als auch elektronisch (Firewall). Es muss gewährleistet sein, dass nur berechtigte Personen auf die Daten  zugreifen können, und dass die personenbezogenen Daten nicht von Unberechtigten gelesen oder gar kopiert werden, hier steht der Schutz der Datenübertragung im Vordergrund. Bei den Daten muss erkennbar sein, wer sie wann eingegeben, geändert oder gelöscht hat. Personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, müssen getrennt verarbeitet werden.  Wie alle anderen Daten auch sollen auch diese Daten – so die Gesetzesvorschrift –  vor Verlust oder Zerstörung gesichert werden, hier arbeitet man in der Regel mit der Duplikation von Daten, also dem ständigen zeitnahen Kopieren auf einem getrennten Rechner.

green schützen

Schutz der firmeneigenen Daten

Bei den firmeneigenen Daten treten andere Aspekte in den Vordergrund – wenngleich das Problem das gleiche ist. Wenn Sie also die personenbezogenen Daten, die Sie an den Verarbeiter in der Cloud weiterreichen gesetzeskonform optimal schützen, dann schützen Sie durch die dort verwendeten Verfahren auch gleichzeitig die Daten, die für Ihr Unternehmen wichtig sind.

Allerdings gibt es die eine oder andere Besonderheit. Firmenrelevante Daten wie Know how oder Kundenlisten sind für andere Unternehmen interessant. „Wer derartige Daten an eine Cloud übermittelt, sollte sich deshalb vorab darüber im Klaren sein, welche Zugriffsmöglichkeiten im Land des oder der Cloud Provider bestehen“, schreibt der IT-Verband Bitkom in seiner Studie zum Cloud-Computing.  Das kann beispielsweise ein Zugriff von staatlichen Stellen sein, den Sie so aus Deutschland nicht kennen oder ein per Gerichtsbeschluss staatlich sanktionierter Zugriff, mit dem Sie in dieser Form in Deutshcland nicht rechnen müssen.

Ein weiterer möglicher Schwachpunkt sind die Zugangsrechte für Ihre einzelnen Mitarbeiter, hier empfiehlt sich auch in der Cloud die Sorgfalt, die Sie auch in Ihrem firmeneigenen Netz walten lassen; schließlich können auch dort nicht alle alles lesen.

Cloud – ein Sündenbock?sünde cloud

Die Cloud ist nicht das Problem. Spionage als Ausrede zu nutzen, um keine Cloud Services einzusetzen, ist wie einem Kleinkind den Lutscher zu stehlen. Man macht es sich zu einfach. Fakt ist: in den Zeiten vor der Cloud, war es genau so möglich Spionage zu betreiben. Und diese wurde auch betrieben. Anbieter konnten ebenso, trotz ihrer Verträge mit den Anwendern, Daten heimlich an Geheimdienste weitergeben. Wäre Spionage im Zeitalter des Outsourcings genauso ins Fadenkreuz geraten wie heute, wäre wohl das Outsourcing verteufelt worden. Die heutige Diskussion ist maßgeblich ein Produkt der politischen Situation, in der ein Mangel von Vertrauen die Beziehung des ehemals engen Wirtschafts-, Militär- und Geheimdienstpartner prägt.

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>


*