Datenschutz und Informationssicherheit beim Cloud Computing Datenverarbeitung in der Cloud

Autor / Redakteur: Kathrin Schürmann, Rechtsanwältin / Stephan Augsten

Wer Cloud Computing nutzt, spart sowohl technische Investitionen als auch personelle Ressourcen ein. Trotzdem wird die Cloud noch immer kritisch beäugt. Vor allem hinsichtlich der Informationssicherheit und des Datenschutzes besteht noch Klärungsbedarf.

Firmen zum Thema

Als Cloud-Kunde muss man sicherstellen, dass gesetzliche Sicherheitsstandards beim Provider eingehalten werden.
Als Cloud-Kunde muss man sicherstellen, dass gesetzliche Sicherheitsstandards beim Provider eingehalten werden.
(Bild: AA+W - Fotolia.com)

Kunden und Unternehmen erwarten heute, dass digitale Leistungen überall abrufbar sind – 24 Stunden am Tag, 365 Tage im Jahr, und in immer gleicher Qualität. Dabei spielt das Cloud Computing eine immer wichtigere Rolle.

Cloud Computing steht wörtlich für „Datenverarbeitung in der Wolke“. Der Begriff umschreibt eine über Netze angeschlossene Rechnerlandschaft, in welche die eigene Datenverarbeitung ausgelagert wird.

Unter Cloud Services fallen die Nutzung von

  • Software as a Service (SaaS), also die Nutzung von über zentrale Datennetze bereitgestellten Applikationen in Echtzeit,
  • Platform as a Service (PaaS), wie etwa die Bereitstellung von Entwicklungsumgebungen über das Internet, und auch
  • Infrastructure as a Service (IaaS), wie der Rückgriff auf über Datennetzte bereitgestellte Speicherkapazität oder Rechnerleistung.

Vorteile des Cloud Computing

Für die Anwendung von Cloud Services sprechen vor allem wirtschaftliche Aspekte, wie beispielsweise Flexibilität, unbegrenzt skalierbare Speicher- und Rechenkapazitäten, Einsparpotenziale in den Bereichen Anschaffung, Betrieb und Wartung der IT-Systeme, weltweiter Zugriff auf Programme und Daten unabhängig von geographischen Standorten, einfacher Erwerb sowie verbrauchsabhängige Bezahlung.

Mit Cloud-Computing haben so beispielsweise die Mitarbeiter eines Unternehmens die Möglichkeit, von jedem Ort und zu jeder Zeit auf die Daten zuzugreifen und Informationen untereinander zu teilen. So wird auf neue Kundenanforderungen flexibel und schnell reagiert, neue Prozesse für Vertrieb, Markenbindung und den Kundenservice geschaffen.

Durch den Wegfall teurer Hard- und Software durch Server und Anwendungsprogramme sowie in der Administration können Unternehmen erheblich Kosten einsparen und sich damit einen Wettbewerbsvorteil sichern. Laut einer aktuellen Studie der Experton Group im Auftrag des Branchenverband BITKOM wird der Cloud-Umsatz mit Geschäfts- und Privatkunden in diesem Jahr um rund 55 Prozent auf insgesamt 3,5 Milliarden Euro steigen.

Bis 2015 soll der Cloud-Markt sogar auf 13 Milliarden Euro zulegen. Dann werden etwa zehn Prozent der gesamten IT-Ausgaben in Deutschland auf diese Technologie entfallen – und damit ist sicherlich erst der Anfang gemacht.

Cloud Computing und Datenschutz

Dass der Cloud-Computing-Anteil vergleichsweise noch recht gering ist, hängt häufig mit der mangelnden Kenntnis (was darf ich, was nicht?) und den Hemmnissen der Unternehmen zusammen. Viele Unternehmen haben beispielsweise noch Bedenken, ob die Informationssicherheit und der Datenschutz beim Cloud Computing gewährleistet sind.

Insbesondere im Bereich CRM sind Kundendaten und Datenschutz ein sehr sensibles Thema. Denn: Kundendaten stellen für viele Unternehmen einen sehr hohen, wenn nicht sogar den größten Wert des Unternehmens dar. Hier ist Transparenz der Cloud-Anbieter gefragt.

Oft ist nicht bekannt, bei welchem Rechenzentrumsbetreiber die jeweiligen Daten an welchem Ort der Welt gespeichert werden. Insbesondere dann nicht, wenn der Anbieter des Cloud Computing seine Dienstleistungen und Services etwa bei anderen Anbieter einkauft und dieses nicht transparent für den Cloud-Anwender geschieht.

Das erschwert für den Anwender die Kontrolle darüber, wo auf der Weilt seine Daten gerade gespeichert werden. Weiter stellt sich die Frage, welches Vertrags- und Datenschutzrecht gilt, da die Cloud nicht an geographische Grenzen gebunden ist.

Im deutschen Recht ist es zum Beispiel nach handels- und steuerrechtlichen Bestimmungen deutschen Unternehmen nicht erlaubt, steuerrelevante Unternehmensdaten außerhalb des europäischen Wirtschaftsraumes zu transferieren. Beim Thema Datenschutz stellen sich ähnliche Fragen und Anforderungen.

Datenschutzrechtliche Anforderungen

Die Erhebung, Verarbeitung und Nutzung der Daten in der Cloud ist nur zulässig, soweit das Bundesdatenschutzgesetz oder andere Rechtsvorschriften dies erlauben, anordnen oder die Betroffenen eingewilligt haben. Eine Einwilligung aller durch die Verarbeitung tangierter Personen wird jedoch in der Praxis so gut wie unmöglich sein.

Da die Datenverarbeitung in der Cloud gerade nicht ortsgebunden ist, muss für eine datenschutzrechtliche Beurteilung und Prüfung zwingend die Kenntnis vorliegen, wo genau der Cloud-Anbieter und Unter-Anbieter die Daten des Anwenders speichern werden.

Es ist daher wichtig, dass der Cloud-Anwender über die möglichen Verarbeitungsorte vorab informiert wird, um prüfen zu können, ob die Datenverarbeitung durch den Cloud-Anbieter überhaupt zulässig und welche Vertragsgrundlage zu wählen ist.

Datenverarbeitung im Auftrag

Werden die Daten des Auftraggebers weisungsgebunden durch den Cloud-Anbieter erhoben, verarbeitet oder genutzt, spricht man von einem sogenannten Auftragsdatenverarbeitungsverhältnis. In diesem Fall ist es nicht nur notwendig, einen entsprechenden Vertrag gemäß § 11 BDSG (Bundesdatenschutzgesetz) zu schließen.

Vielmehr gilt es auch, den Anbieter vorab hinsichtlich der von ihm getroffen technischen und organisatorischen Maßnahmen zum Datenschutz und Datensicherheit zu überprüfen. Gerade hier liegen die größten Herausforderungen. Denn es wird dem Cloud-Anwender sicherlich nicht immer möglich sein, eine Vor-Ort-Prüfung durchzuführen.

Trotzdem darf der Kunde sich nicht auf bloße Zusicherung des Cloud-Anbieters verlassen. Er muss selbst recherchieren, um sich Gewissheit darüber zu verschaffen, dass gesetzliche Sicherheitsstandards beim Cloud-Anbieter eingehalten werden. Hier sind die Cloud-Anbieter als auch der Gesetzgeber gefragt, einheitliche und verlässliche Standards beispielsweise in Form von Zertifizierungen zu schaffen.

Hinsichtlich des Auftragsdatenverarbeitungsvertrags ergeben sich zunächst in der Regel keine Besonderheiten, sofern die personenbezogenen Daten von dem Cloud-Anbieter innerhalb der europäischen Union oder in einem sogenannten sicheren Drittstaat (beispielsweise Schweiz) erhoben, verarbeitet und genutzt werden.

Erfolgt die Datenverarbeitung allerdings außerhalb der EU und des europäischen Wirtschaftsraums (EWR), so gelten die Anforderungen der §§ 4b, 4c BDSG für den Drittstaatentransfer. Sollte in dem Drittstaat kein angemessenes Datenschutzniveau bestehen, müssen vom Cloud-Anwender als verantwortliche Stelle ausreichende Garantien zum Schutz des allgemeinen Persönlichkeitsrechts und der Ausübung der damit verbunden Rechte vorgewiesen werden.

Hier sollte immer eine genaue Prüfung erfolgen, ob die Datenübermittlung rechtlich zulässig ist und die richtige Vertragsgrundlage, wie beispielsweise die EU-Standardvertragsklauseln, genutzt wird.

Ausblick

In der Diskussion um die Risiken von Cloud Computing, darf jedoch nicht vergessen werden, dass Cloud Computing für die deutsche Wirtschaft ein enormes Wachstumspotential bietet, was genutzt werden sollte, um im internationalen Vergleich markt- und konkurrenzfähig zu bleiben.

Hier sind vor allem die Anbieter von Cloud Diensten gefragt, transparente Konzepte für ihre Serviceleistungen vorzulegen. Darüber hinaus sollten internationale Zertifizierungen von Cloud Services geschaffen werden, so dass Unternehmen auf möglichst sichere Cloud-Leistungen zugreifen können.

Der Erfolg von Cloud-Computing hängt davon ab, wie schnell und umfassend die Cloud-Dienste die Bedenken der Nutzer ausräumen können. Wenn die „rechtlichen Lücken“ für das Cloud Computing geschlossen und die bestehenden Normen eingehalten werden, können sich durch Cloud Computing viele Vorteile und Chancen ergeben.

Vor allem kleine und mittelständische Unternehmen dürften profitieren, da sie auch ohne hohe Anfangsinvestitionen modernste IT einsetzen und diese variabel anpassen können. Nicht zuletzt können Unternehmen so auch ein Sicherheitsniveau nutzen, welches sich viele Unternehmen ansonsten häufig nicht leisten könnten.

Über die Autorin

Kathrin Schürmann ist Rechtsanwältin mit den Beratungsschwerpunkten Datenschutz- und IT-Recht, Urheber- und Medienrecht und Gewerblicher Rechtsschutz.
Kathrin Schürmann ist Rechtsanwältin mit den Beratungsschwerpunkten Datenschutz- und IT-Recht, Urheber- und Medienrecht und Gewerblicher Rechtsschutz.
(Bild: Schürmann Wolschendorf Dreyer)
Frau Schürmann ist seit 2007 in der Kanzlei Schürmann Wolschendorf Dreyer tätig und berät Unternehmen schwerpunktmäßig in Fragen des IT- und Datenschutzrechts sowie des Wettbewerbsrechts. Ein besonderer Fokus liegt dabei auf Unternehmen aus dem E-Business. Die Expertin für Datenschutz und IT-Recht ist seit 2010 externe Datenschutzbeauftragte eines großen Online-Händlers.

In ihrer Funktion als Datenschutzexpertin arbeitet Kathrin Schürmann auch als Beraterin für die ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.

(ID:37206630)