Cloud Computing: Die rechtlichen Herausforderungen sind lösbar

[ 0 ] Dezember 7, 2011 |

Die Nutzung von Cloud Services ist wirtschaftlich attraktiv – keine Frage. Insbesondere im deutschen Mittelstand bestehen aber vielfach noch Bedenken hinsichtlich der Rechtmäßigkeit solcher Dienste. Doch die rechtlichen Herausforderungen sind häufig lösbar. Für praktikable Lösungen müssen Anbieter, Nutzer und Datenschützer zusammenarbeiten.

von RA Jan Schneider, Fachanwalt für IT-Recht und Partner bei SKW Schwarz Rechtsanwälte

Über das Potenzial des Cloud Computings hat man während der letzten Monate viel vernommen. In zahllosen Artikeln, Vorträgen, Diskussionsrunden, Konferenzen etc. wird das Cloud Computing als DIE Technologie der Zukunft gepriesen. In der Tat spricht Einiges dafür, dass der Siegeszug der Cloud weltweit nicht mehr aufzuhalten ist.

Doch endet die konstruktive Darstellung hierzulande allzu oft dort, wo es um die rechtlichen Aspekte geht. Auf einmal ist von „datenschutzrechtlichen Bedenken“ die Rede, von „fehlender Cloud Compliance“, gar von einer „Rechtswidrigkeit der Datenübermittlung“. Viele Cloud Interessenten sind nach wie vor verunsichert.

Wie steht es nun um die rechtliche Seite der Cloud? Ist sie in dieser Hinsicht ein düsteres Gewitter, oder lässt sich zwischen den Wolken letztlich doch die Sonne erblicken? Betrachten wir einige der wesentlichen, in letzter Zeit häufig diskutierten Aspekte einmal im Licht der Rechtspraxis.

Zulässigkeit der Datenübermittlung

Im Rahmen der Nutzung von Cloud Services werden häufig auch sogenannte personenbezogene Daten in die Wolke gegeben. Das sind bekanntlich solche Angaben, mittels derer eine natürliche Person identifiziert werden kann – z. B. der Name der Person, deren Alter, Post- oder E-Mail-Anschrift, Geschlecht, Beruf oder Konfession. Keine personenbezogenen Daten liegen ggf. dann vor, wenn die Daten nur vollständig anonymisiert oder verschlüsselt in die Wolke übertragen werden.

Der Umgang mit personenbezogenen Daten unterliegt innerhalb der Europäischen Union gesetzlichen Beschränkungen. Grundsätzlich ist die Übermittlung personenbezogener Daten an den Cloud Service Provider (CSP) nur insoweit erlaubt, als dass hierfür nach dem jeweils anwendbaren Recht ein ausdrücklicher gesetzlicher Erlaubnistatbestand vorhanden ist, oder wenn – für manche Cloud Services in der Praxis kaum machbar – die betroffenen Personen zuvor ausdrücklich eingewilligt haben.

Für den deutschen Rechtsraum finden sich wichtige Regelungen zu personenbezogenen Daten im Telemediengesetz (TMG) und im Bundesdatenschutzgesetz (BDSG). Diese Regelungen müssen hiesige Unternehmen auch dann beachten, wenn der CSP im Ausland ansässig ist.

Nun hat es sich mittlerweile herumgesprochen, dass für eine rechtskonforme Übermittlung personenbezogener Daten die sogenannte Auftragsdatenverarbeitung das „Mittel der Wahl“ ist. Dieses gesetzliche „Konstrukt“ ermöglicht bei Einhaltung der in § 11 BDSG zementierten Anforderungen eine gesetzeskonforme Übermittlung personenbezogener Daten an den CSP. Konsequenz einer rechtmäßig gestalteten Auftragsdatenverarbeitung ist es, dass der Cloud Nutzer – aus rechtlicher Sicht – so behandelt wird, als ob er seine Daten weiterhin „selbst“ erhebt, speichert, verarbeitet und nutzt – auch wenn diese Vorgänge tatsächlich in der Wolke stattfinden.

Provider und Nutzer sind gemeinsam gefordert

Die Erfüllung der gesetzlichen Anforderungen an eine Auftragsdatenverarbeitung ist nicht trivial, für den Rechtsspezialisten aber auch kein „Hexenwerk“. Im Ergebnis lässt sich für viele Nutzungskonstellationen von Cloud Services eine Auftragsdatenverarbeitung rechtskonform gestalten.

CSP’s und Cloud Nutzer kommen derzeit allerdings nicht umhin, die diesbezügliche rechtliche Situation sorgfältig zu prüfen und die jeweils erforderlichen rechtlichen Maßnahmen zu treffen – z. B. in Form eines sorgfältig ausgearbeiteten und schriftlichen Vertrags. Wer hier als CSP seinen Kunden Arbeit abnimmt und z. B. durch einen angemessenen Vertragsstandard und ein durchdachtes und ordentlich dokumentiertes Datenschutzkonzept Vertrauen und Rechtssicherheit schafft, kann sich gegenüber der Konkurrenz einen beachtlichen Marktvorsprung verschaffen. Auf der anderen Seite wird ein Cloud Service hierzulande nicht langfristig erfolgreich sein, wenn er nicht mit sorgfältigem Blick auf die rechtlichen Aspekte gestaltet wird. Daran ändert es auch nichts, dass per Gesetz die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben bei den Nutzern liegt.

Für bestimmte Services wie z. B. für die Verarbeitung von  Patientendaten in der Wolke, gelten erhöhte rechtliche Anforderungen. Hier sind zukünftig womöglich von einer standardisierten Auftragsdatenverarbeitung abweichende Konzepte denkbar, z. B. indem diese um ein Einwilligungsverfahren ergänzt wird. Diesbezüglich besteht allerdings in der Tat noch einiger Klärungsbedarf.

Der „sichere Hafen“ in Übersee

Weitergehende rechtliche Herausforderungen stellen sich dann, wenn der CSP personenbezogene Daten seiner Kunden außerhalb des Europäischen Wirtschaftsraumes vorhalten möchte. Bei aktuellen Cloud Konzepten passiert das weithin in Ländern, die nach Auffassung europäischer Datenschutzbehörden kein ausreichendes Datenschutzniveau aufweisen. Dazu gehören beispielsweise die USA, China und Indien.

Um dennoch ein für eine rechtskonforme Datenübermittlung ausreichendes Schutzniveau herzustellen, bedarf es weitergehender Maßnahmen. Von erheblicher Praxisrelevanz sind dabei derzeit die „Safe Harbor“-Prinzipien, denen sich mehrere große US-CSP’s unterworfen haben. Bei „Safe Harbor“ handelt es sich um ein Abkommen zwischen der EU-Kommission und der US-Regierung aus dem Jahre 2000, das datenschutzrechtliche Maßnahmen beschreibt. US-Unternehmen können sich dem Abkommen im Wege einer freiwilligen Selbstverpflichtung unterwerfen. Die Einhaltung der „Safe Harbor“-Grundätze führt zu einem aus europäischer Sicht angemessenen Datenschutzniveau.

Im April 2010 hat der Düsseldorfer Kreis – eine informelle Vereinigung der obersten deutschen Datenschutzbehörden – dazu Stellung genommen, unter welchen Voraussetzungen „Safe Harbor“ für das Cloud Computing bemüht werden kann. Hiernach muss der CSP für das „Safe Harbor“-Programm registriert sein und weiter dessen Einhaltung gegenüber den Cloud Nutzern – am Besten: vertraglich – gewährleisten. Darüber hinaus muss er die Einhaltung der „Safe Harbor“-Prinzipien aber auch durch geeignete und aktuelle Nachweise dokumentieren.

Mag es hierzu auch noch einige offene rechtliche Diskussionspunkte geben: Die Vorschläge des Düsseldorfer Kreises sind konstruktiv und dürften sich für US-Clouds in der deutschen Rechtspraxis durchsetzen. Für andere CSP’s bieten sich die bereits im Outsourcing bekannten Alternativen wie die sogenannten EU-Standardvertragsklauseln oder die Etablierung sogenannter Binding Corporate Rules an.

Auch hier gilt damit: Die rechtlichen Herausforderungen sind da – aber sie sind lösbar.

Die Cloud Odyssee – und wie man sie vermeidet

Für eine rechtmäßige Auftragsdatenverarbeitung muss der CSP die in § 9 BDSG beschriebenen technischen und organisatorischen Maßnahmen einrichten und aufrechterhalten. Doch damit nicht genug: Nach § 11 Abs. 2 S. 4 BDSG sind Cloud Nutzer gesetzlich verpflichtet, die Einhaltung dieser Maßnahmen vor Beginn der Nutzung des Services und hiernach regelmäßig zu überprüfen.

Aber wie soll das funktionieren? Scheitert bereits hierzulande der Besuch eines Rechenzentrums meist an den dortigen Sicherheitsbestimmungen, würde spätestens der Besuch eines Rechenzentrums im Ausland, gar in Übersee, zu einer unzumutbaren Odyssee geraten. Glücklicherweise fordert der deutsche Gesetzgeber aber gar nicht, dass derartige Prüfungen tatsächlich durch das nutzende Unternehmen vor Ort beim CSP durchgeführt werden müssen. Damit sind für die Erfüllung dieser gesetzlichen Anforderung Alternativen denkbar. So stellen einige CSP’s ihren Kunden regelmäßig – z. B. von einem Wirtschaftsprüfer erstellte – Prüfberichte oder Testate zur Verfügung. Ebenfalls diskutiert werden etablierte Normen bzw. Nachweise, z. B. nach ISO/IEC 27001, SSAE 16 oder ISAE 3402. Wenn sich diese Standards auch nicht ausdrücklich zum Cloud Computing verhalten, so decken sie doch einige wichtige technische und organisatorische Anforderungen an den Datenschutz durchaus ab.

In Zukunft ist denkbar, dass aktualisierte oder neue Normen bzw. Nachweise den Anforderungen des Cloud Computing noch besser Rechnung tragen. Spätestens damit wird auch diese Anforderungen des Gesetzgebers im Ergebnis erfüllbar sein.

Unverzichtbar: Datenschutz-Dokumentation

Ohnehin kommen CSP’s für eine rechtskonforme Auftragsdatenverarbeitung nicht umhin, die Umsetzung und Aufrechterhaltung der technischen und organisatorischen Maßnahmen zum Datenschutz vollständig und nachvollziehbar zu dokumentieren, und diese Dokumentation als verbindlichen Bestandteil zu dem Vertrag mit dem Nutzer zu nehmen.

Die Cloud Nutzer sind dringend gehalten, diese Dokumentation vor Vertragsschluss sorgfältig daraufhin zu prüfen, ob sie verbindlich formuliert ist und den gesetzlichen Anforderungen des § 9 BDSG entspricht. Eine solche Prüfung erfolgt im Regelfall sinnvollerweise durch den internen oder externen Datenschutzbeauftragten des jeweiligen Unternehmens, bei Bedarf in Zusammenarbeit mit einem beratenden Datenschutzrechtler.

Cloud Compliance im Übrigen

Schließlich muss die Auslagerung von Daten und Informationen in die Cloud auch im Einklang mit den sonstigen gesetzlichen Anforderungen und Maßgaben stehen. So müssen beispielsweise die gesetzlichen Dokumentation- und Archivierungspflichten ebenso beachtet werden, wie die Anforderungen des Steuerrechts, des Handels- und des Gesellschaftsrechts. Je nach Unternehmen bzw. Einsatzzweck des Cloud Services sind darüber hinaus etwaig anwendbare spezialgesetzliche Regelungen zu beachten, wie beispielsweise das Kreditwesengesetz, die MARisk oder Regelungen aus dem Medizin- oder Transportrecht.

All dies ist aber nichts Neues und gilt schon seit jeher, so beispielsweise auch für die etablierte Praxis des Outsourcings. Diese Praxis und die damit häufig verbundene rechtliche Prüfung sowie die diesbezüglichen Lösungsansätze lassen sich in aller Regel auch für das Cloud Computing bemühen.

Optimierungspotential: Preistransparenz

Deutsche und europäische Unternehmen beklagen mitunter noch eine mangelhafte Preistransparenz aktueller Cloud Lösungen. Tatsächlich hinterlässt die Prüfung aktueller Angebote bisweilen den Eindruck, dass hier noch Optimierungspotential besteht. Auch hierin liegt für die auf dem hiesigen Markt agierenden CSP’s damit eine Chance auf eine erhöhte Produktakzeptanz.

In rechtlicher Hinsicht wirft die kundenorientierte Gestaltung von Vergütungsmodellen für Cloud Services in aller Regel kaum Probleme auf. Voraussetzung für eine transparente, rechtssichere und auch wirtschaftlich durchdachte Gestaltung des Pricings ist die richtige leistungs- bzw. vertragstypologische Einordnung der betreffenden Cloud Services und die Berücksichtigung der für den jeweiligen Leistungs- bzw. Vertragstyp geltenden rechtlichen Besonderheiten. Hierzu gehört auch die Beachtung derjenigen rechtlichen Risiken, die aus den demgemäß anwendbaren gesetzlichen Regelungen resultieren, z. B. aus gesetzlichen Vorschriften zur Mängelhaftung. Derartige Risiken wird der CSP bei der Gestaltung des Vergütungsmodelles zu berücksichtigen haben.

Für den Cloud Nutzer ist es in der Regel von erheblicher Bedeutung, dass bei der Abrechnung der nach tatsächlicher Nutzung vergüteten Services im Detail transparent wird, wie sich die Vergütung auf die einzelnen genutzten Services (z. B. aufgeschlüsselt nach Anzahl der Nutzungen, Datenvolumen, verfügbar gemachter CPU-Leistung) und ggf. auch auf die einzelnen Nutzer (Unternehmenseinheiten, Arbeitsplätze oder auch einzelne Mitarbeiter) verteilt. Einige CSP’s bieten ihren Kunden in diesem Zusammenhang mittlerweile Monitoring-Tools, mittels derer die wesentlichen Kennzahlen im Überblick gehalten werden können.

 

Tags: , , ,

Category: Gastbeiträge

About the Author ()

Leave a Reply

You must be logged in to post a comment.