Cloud Computing und die rechtlichen Hintergründe

Beim Einsatz von Cloud Computing gilt es rechtliche Fragen zu klären. Sind die wichtigsten allerdings bekannt und können diese beantwortet werden, steht dem rechtlich sicheren Einsatz von Cloud Computing nichts mehr im Weg.

In einer Public Cloud haben die Benutzer nicht mehr die vollständige Kontrolle und den Überblick, wo ihre Daten tatsächlich gespeichert sind. Wo allerdings keine Kontrolle herrscht, kann auch nicht gesteuert werden. Die nicht mehr vorhandene Hoheit der Daten führt in diesem Fall zu rechtlichen Problemen. Hier sollte zunächst der Ansatz verfolgt werden, keine personenbezogenen Daten in die Cloud zu verlagern, da diese nicht den deutschen Datenschutzbestimmungen unterliegen. Werden allerdings doch personenbezogene Daten in der Cloud gespeichert, muss hier in jeden Fall die Zustimmung aller betroffenen Personen vorliegen.

Des Weiteren kann der Speicherort der Daten auf eine bestimmte Region festgelegt werden. In diesem Fall werden die Daten z.B. ausschließlich in Deutschland gespeichert, wodurch automatisch die deutschen Datenschutzbestimmungen gelten. Dabei sollte vorher natürlich vertraglich festgehalten werden, dass die Daten ausschließlich in dieser bestimmten Region abgelegt werden und nicht über mehrere verteilt sind.

Eine mögliche "Lücke" erhalten Cloud Anbieter mittels des Paragraphen 11 des Bundesdatenschutzgesetzes (BDSG). Dieser regelt die sogenannte Auftragsdatenverarbeitung. Dabei erhält der Cloud Anbieter durch den Auftrag seines Kunden das Recht die personenbezogenen Daten zu verarbeiten. Das impliziert natürlich, dass eine Verarbeitung der Daten nur dann vorgenommen werden darf, wenn der Kunde explizit die Rechte für das Erheben, Nutzen und Verarbeiten hat. Das ganze funktioniert natürlich nur, wenn der Kunde auch der Herr dieser Daten ist, also volle Kontrolle darüber hat. Allerdings spricht dieses genau gegen den eigentlichen (organisatorischen) Sinn und Hintergrund des Cloud Computing, da die in diesem Modell Daten per se überall verteilt gespeichert sind. Hinzu kommt, dass die Auftragsdatenverarbeitung nur im Wirtschaftsraum der europäischen Union (EU) so umgesetzt werden kann. Außerhalb der EU gelten andere Gesetzt zur Verarbeitung personenbezogener Daten.

Weiterhin ist zu beachten, dass die Daten in der Cloud verschlüsselt gespeichert sind, aber im Falle der Verarbeitung entschlüsselt werden müssen. Hier müssen noch technische Lösungen gefunden werden. Abgesehen davon müssen Anbieter von Cloud Services, speziell für Angebote in Deutschland das BDSG und hier insbesondere den Paragraph 9 beachten. In diesem sind alle Anforderungen festgehalten, die benötigt werden, um die technischen und organisatorischen Vorschriften des BDSG einzuhalten. Dazu gehört ebenfalls, wie der physische Zutritt, der Zugriff, die Eingabe und die Weitergabe der Daten nach Datenschutz- und Compliance spezifischen Vorgaben zu erfolgen hat.

Wichtig bei der Verlagerung der Infrastruktur in die Cloud sind - nicht nur rein rechtlich - die Leistungsübergabepunkte. An diesen Punkten wird u.a. die Verfügbarkeit eines genutzten Services festgelegt und gemessen. Hier gilt es also mittels eines Service Level Agreement (SLA) vertraglich festzulegen, welche Pflichten ein Cloud Anbieter gegenüber seinen Kunden zu erfüllen hat. Dazu gehören u.a. das Vorhandensein von Notfallplänen, die Verfügbarkeit der Services, aber auch die Möglichkeit für den Kunden, die im Vertrag festgehaltenen Pflichten mittels eines Audits zu überprüfen. SLAs sollten hinsichtlich der Art des spezifischen Services definiert werden, realistisch messbar sein und vor allem die tatsächlichen Leistungsanforderungen reflektieren. Für den Fall, das ein Service Level nicht eingehalten wird, müssen entsprechende (hohe) Strafzahlungen für den Cloud Anbieter vorgesehen werden.