Categories
Management @de

Cloud Computing und die rechtlichen Hintergründe

Beim Einsatz von Cloud Computing gilt es rechtliche Fragen zu klären. Sind die wichtigsten allerdings bekannt und können diese beantwortet werden, steht dem rechtlich sicheren Einsatz von Cloud Computing nichts mehr im Weg.

In einer Public Cloud haben die Benutzer nicht mehr die vollständige Kontrolle und den Überblick, wo ihre Daten tatsächlich gespeichert sind. Wo allerdings keine Kontrolle herrscht, kann auch nicht gesteuert werden. Die nicht mehr vorhandene Hoheit der Daten führt in diesem Fall zu rechtlichen Problemen. Hier sollte zunächst der Ansatz verfolgt werden, keine personenbezogenen Daten in die Cloud zu verlagern, da diese nicht den deutschen Datenschutzbestimmungen unterliegen. Werden allerdings doch personenbezogene Daten in der Cloud gespeichert, muss hier in jeden Fall die Zustimmung aller betroffenen Personen vorliegen.

Des Weiteren kann der Speicherort der Daten auf eine bestimmte Region festgelegt werden. In diesem Fall werden die Daten z.B. ausschließlich in Deutschland gespeichert, wodurch automatisch die deutschen Datenschutzbestimmungen gelten. Dabei sollte vorher natürlich vertraglich festgehalten werden, dass die Daten ausschließlich in dieser bestimmten Region abgelegt werden und nicht über mehrere verteilt sind.

Eine mögliche “Lücke” erhalten Cloud Anbieter mittels des Paragraphen 11 des Bundesdatenschutzgesetzes (BDSG). Dieser regelt die sogenannte Auftragsdatenverarbeitung. Dabei erhält der Cloud Anbieter durch den Auftrag seines Kunden das Recht die personenbezogenen Daten zu verarbeiten. Das impliziert natürlich, dass eine Verarbeitung der Daten nur dann vorgenommen werden darf, wenn der Kunde explizit die Rechte für das Erheben, Nutzen und Verarbeiten hat. Das ganze funktioniert natürlich nur, wenn der Kunde auch der Herr dieser Daten ist, also volle Kontrolle darüber hat. Allerdings spricht dieses genau gegen den eigentlichen (organisatorischen) Sinn und Hintergrund des Cloud Computing, da die in diesem Modell Daten per se überall verteilt gespeichert sind. Hinzu kommt, dass die Auftragsdatenverarbeitung nur im Wirtschaftsraum der europäischen Union (EU) so umgesetzt werden kann. Außerhalb der EU gelten andere Gesetzt zur Verarbeitung personenbezogener Daten.

Weiterhin ist zu beachten, dass die Daten in der Cloud verschlüsselt gespeichert sind, aber im Falle der Verarbeitung entschlüsselt werden müssen. Hier müssen noch technische Lösungen gefunden werden. Abgesehen davon müssen Anbieter von Cloud Services, speziell für Angebote in Deutschland das BDSG und hier insbesondere den Paragraph 9 beachten. In diesem sind alle Anforderungen festgehalten, die benötigt werden, um die technischen und organisatorischen Vorschriften des BDSG einzuhalten. Dazu gehört ebenfalls, wie der physische Zutritt, der Zugriff, die Eingabe und die Weitergabe der Daten nach Datenschutz- und Compliance spezifischen Vorgaben zu erfolgen hat.

Wichtig bei der Verlagerung der Infrastruktur in die Cloud sind – nicht nur rein rechtlich – die Leistungsübergabepunkte. An diesen Punkten wird u.a. die Verfügbarkeit eines genutzten Services festgelegt und gemessen. Hier gilt es also mittels eines Service Level Agreement (SLA) vertraglich festzulegen, welche Pflichten ein Cloud Anbieter gegenüber seinen Kunden zu erfüllen hat. Dazu gehören u.a. das Vorhandensein von Notfallplänen, die Verfügbarkeit der Services, aber auch die Möglichkeit für den Kunden, die im Vertrag festgehaltenen Pflichten mittels eines Audits zu überprüfen. SLAs sollten hinsichtlich der Art des spezifischen Services definiert werden, realistisch messbar sein und vor allem die tatsächlichen Leistungsanforderungen reflektieren. Für den Fall, das ein Service Level nicht eingehalten wird, müssen entsprechende (hohe) Strafzahlungen für den Cloud Anbieter vorgesehen werden.

By Rene Buest

Rene Buest is Gartner Analyst covering Infrastructure Services & Digital Operations. Prior to that he was Director of Technology Research at Arago, Senior Analyst and Cloud Practice Lead at Crisp Research, Principal Analyst at New Age Disruption and member of the worldwide Gigaom Research Analyst Network. Rene is considered as top cloud computing analyst in Germany and one of the worldwide top analysts in this area. In addition, he is one of the world’s top cloud computing influencers and belongs to the top 100 cloud computing experts on Twitter and Google+. Since the mid-90s he is focused on the strategic use of information technology in businesses and the IT impact on our society as well as disruptive technologies.

Rene Buest is the author of numerous professional technology articles. He regularly writes for well-known IT publications like Computerwoche, CIO Magazin, LANline as well as Silicon.de and is cited in German and international media – including New York Times, Forbes Magazin, Handelsblatt, Frankfurter Allgemeine Zeitung, Wirtschaftswoche, Computerwoche, CIO, Manager Magazin and Harvard Business Manager. Furthermore Rene Buest is speaker and participant of experts rounds. He is founder of CloudUser.de and writes about cloud computing, IT infrastructure, technologies, management and strategies. He holds a diploma in computer engineering from the Hochschule Bremen (Dipl.-Informatiker (FH)) as well as a M.Sc. in IT-Management and Information Systems from the FHDW Paderborn.

Leave a Reply