Rechtliche Fallen

Cloud Computing

03.05.2010
Wer bei der Umstellung auf Managed Services schrittweise vorgeht, begrenzt das Risiko, sagt Dr. Jan Geert Meents.

Beim Einsatz von Diensten aus der Wolke sind nicht nur technische, sondern auch noch viele rechtliche Fragen offen. Wer die wichtigsten rechtlichen Aspekte kennt, kann dennoch von Cloud-Services profitieren und zugleich auf der sicheren Seite bleiben.

Wer ist Herr der Daten?

Anders als beim klassischen Outsourcing hat der Anwender in der Public Cloud (schwer kontrollierbare virtuelle Wolke) keine Kontrolle mehr darüber, wo sich seine Daten tatsächlich befinden. Da demzufolge auch keine Steuerung mehr stattfinden kann, hat der Auftrageber die Herrschaft über seine Daten verloren. Trotz vieler Klippen und Bedenklichkeiten gibt es zuverlässige Möglichkeiten, den Cloud-Betrieb aufzunehmen und gleichzeitig das unternehmerische Risiko gering zu halten

Die richtigen Daten auslagern

Eine erste, einfache Maßnahme besteht darin, ausschließlich Daten ohne Personenbezug in die Wolke zu verfrachten. Da sie nicht den deutschen datenschutzrechtlichen Bestimmungen unterliegen, ist ihre Auslagerung ist rechtlich unbedenklich. Als Alternative kommt die Auslagerung in eine räumliche begrenzte Cloud in Betracht (geographical data storage). Bei dieser Variante werden die Daten nicht an einem beliebigen Ort sondern ausschließlich in einer bestimmten, vertraglich festgelegten Region gespeichert.

So lassen sich die Hürden des Datenschutzes sicher umgehen. Aus den eigenen IT-Sicherheitsrichtlinien sind die meisten Unternehmen mit einer Datenverschlüsselung bereits vertraut. Denn auch innerhalb der Cloud wäre die Verschlüsselung vertraulicher Daten umsetzbar. Das gilt allerdings nur für die reine Speicherung. Sobald Daten verarbeitet werden müssen, muss entschlüsselt werden.

Datentrennung und Datenlöschung

Ein maßgeblicher Punkt für den Einsatz von Cloud-Services und zudem eine gesetzliche Verpflichtung ist die Datensicherheit und deren Kontrolle. Allein die Vorstellung, dass relevante Firmendaten gemeinsam mit den Daten des schärfsten Konkurrenten auf einer Festplatte liegen, dürfte bei den meisten Anwendern kaum Begeisterung auslösen. Um dieser misslichen Kohabitation rechtlich vorzubauen, muss der Anbieter sowohl die Trennbarkeit von Daten als auch deren Löschung vertraglich zusichern.

Wahrung der Kontrollrechte

Die Übermittlung, Verarbeitung und Speicherung personenbezogener Daten unterliegt strengen Vorschriften des Datenschutzgesetzes. Hierfür sollte stets die Zustimmung des Betroffenen eingeholt werden. Was sich in der Praxis oft schwierig gestaltet. Einen Ausweg kann die Auftragsdatenverarbeitung bieten. Sie gewährleistet, dass die Daten nur dann verarbeitet werden dürfen, wenn der Anwender das Weisungsrecht hat. Das setzt allerdings voraus, dass der Anwender stets Herr über die Daten ist. Dafür benötigt er entsprechende Kontrollrechte, die tatsächlich ausgeübt werden müssen.

In der Unternehmenspraxis scheitert die Datenkontrolle jedoch oft bereits am Wesen der Cloud selbst, weil sich die Daten überall befinden können. Zudem funktioniert das Modell der Auftragsdatenverarbeitung nur innerhalb des Europäischen Wirtschaftraums. Außerhalb des ERW muss zum einen ein ausreichendes Datenschutzniveau vertraglich sichergestellt werden, zum anderen müssen alle Betroffenen einwilligen.

Darüber hinaus legt das Datenschutzgesetz die technischen und organisatorischen Vorgehensweisen fest. Es besagt, wie eine Kontrolle über Zutritt, Zugriff, Weitergabe, Eingabe gewährleistet werden kann. Die Gewährleistung von Datensicherheit gehört aber auch zu den allgemeinen Organisationspflichten des Unternehmers. Daher muss die IT eines Unternehmens so organisiert sein, dass alle gesetzlichen und vertraglichen Anforderungen erfüllt werden. Besondere Verpflichtungen ergeben sich zudem aus dem Handels- und Steuerrecht sowie aus sektor-spezifischen Vorschriften.

Klare Grenzen ziehen

Vertragliche Risiken ergeben sich aus verringerter Kontrolle. Dadurch wird der Anwender zwangsläufig sehr abhängig vom Anbieter. Was das konkret bedeutet, zeigt sich vor allem dann, wenn die Daten an einem Standort außerhalb des Unternehmens gelagert sind. Ein wesentliches Problem werfen dabei komplexe und lange Verbindungswege mit entsprechend zahlreichen Fehlerquellen auf. Wer sichergehen möchte, dass alle Daten nach der Beendigung des Vertrages vollständig und entsprechend aufbereitet wieder ins eigene Unternehmen zurückgeführt werden, muss gleich zu Beginn der Partnerschaft die richtigen vertraglichen Weichen stellen. Da der Anbieter möglicherweise versuchen wird, die Abhängigkeitssituation des Anwenders zu seinen Gunsten auszunutzen, ist das Aushandeln dieser Rahmenvereinbarung eine äußerst knifflige aber unverzichtbare Aufgabe.

Knackpunkt Verantwortlichkeit

Cloud-basierte Dienste bieten für den Anwender zahlreiche Vorteile: Er ist vollständig vom Betrieb sowie der Wartung und Pflege der Software entlastet und muss lediglich die für den Zugang notwendige Infrastruktur bereithalten. Rechtlich entscheidend ist dabei die Frage, wo die Grenzen für die jeweiligen Verantwortlichkeiten liegen.

Dadurch erhalten die sogenannten "Leistungsübergabepunkte" ein besonderes Gewicht. An dieser Schnittstelle wird z.B. die Verfügbarkeit der Leistung gemessen. Sind die betreffenden Anwendungen weniger geschäftskritisch, könnte der Anwender auch hinnehmen, dass sein System still steht, falls die Datenübermittlung im Internet gestört ist. Ist eine sehr hohe Verfügbarkeit unverzichtbar, muss der Leistungsübergabepunkt zum Anwender hin verschoben werden.

Der Cloud-Anbieter wird das Risiko durch den Aufbau redundanter Systeme und Verbindungen zu minimieren versuchen, da diese Leistungen maßgeblich den Preis beeinflussen. Allerdings liegt eine Stärke der technischen Architektur von Cloud Services aber gerade in der Nutzung verteilter Ressourcen, um jederzeit auf einen anderen Standort ausweichen zu können.

In einem Cloud-Vertrag sollten auch konkrete Pflichten des Anbieters in Bezug auf Notfallpläne (business continuity oder disaster recovery) enthalten sein. Hierbei muss der Anwender überprüfen, ob diese Pflichten dann auch eingehalten werden (Audit-Recht). Geht es um die wichtigsten Kriterien zur Messung von Leistungen, ist die Art der Services von entscheidender Bedeutung: Sie müssen objektiv messbar sein und für den Anwender die wichtigsten Parameter darstellen, um die Dienste in Anspruch zu nehmen. Dabei gilt: auf die wesentlichen Kriterien beschränken und harte Sanktionen dahinter setzen.

Mit guter Vertragsgestaltung rechtliche Hürden überwinden

Ob die Nutzung von Cloud Services in Anbetracht all dieser Pflichten in Frage kommt, muss der Anwender von Fall zu Fall entscheiden. Es gibt momentan sicherlich noch Bereiche, in denen hiervon eher abzuraten ist. Andererseits lassen sich viele rechtliche Hürden mit einer entsprechenden Vertragsgestaltung auch überwinden.

Fazit

Die Entscheidung für Cloud Computing fordert Unternehmen in technischer wie auch in rechtlicher Hinsicht. Anstatt einer radikalen Umstellung der bestehenden IT-Landschaft sollte daher ein schrittweises Vorgehen gewählt werden, um die Risiken bewusst zu begrenzen. (oe)

Kennen Sie schun unseren Themen-Newsletter "Virtualsierung & Managed-Services" oder "Recht & Betriebsführung"? Wenn nicht, dann können Sie diese hier bestellen.

Der Autor Dr. Jan Geert Meents ist Partner der Wirtschaftskanzlei DLA Piper in München (www.dlapiper.com).