Die wichtigsten Vertragsregeln in Kürze

Cloud Computing und Datenschutz

| Autor / Redakteur: Roland Breda / Elke Witmer-Goßner

Jeder Cloud-Services-Vertrag muss auf den Einzelfall geprüft werden, unter Berücksichtigung zahlreicher Faktoren wie Handelsrecht oder Datenschutzbestimmungen.
Jeder Cloud-Services-Vertrag muss auf den Einzelfall geprüft werden, unter Berücksichtigung zahlreicher Faktoren wie Handelsrecht oder Datenschutzbestimmungen. (© N-Media-Images-Fotolia)

Cloud-Computing-Anwendungen gehören mittlerweile zum Alltag von Privatanwendern und werden inzwischen auch häufig betrieblich genutzt, um eine größere Flexibilität zu erhalten. Doch können Cloud-Angebote bedenkenlos eingesetzt werden? Welche Risiken sind zu bedenken?

Der Unternehmensberater und externe Datenschutzbeauftragte Roland Breda hat die wichtigsten Fakten für Entscheider, die sich einen ersten Überblick über die zu berücksichtigenden Regelungen verschaffen wollen, nachfolgend zusammengestellt.

Da es nicht „den“ Vertrag über Cloud-Services gibt, muss der konkrete Leistungsgegenstand betrachtet werden, ob es sich um eine Public Cloud (Dienstleister bieten der breiten Öffentlichkeit Zugang zu IT-Strukturen an), eine Private Cloud (Zugang zu IT-Strukturen innerhalb der eigenen Organisation), eine Communitiy Cloud (ein kleinerer Kreis von Organisationen teilt sich eine IT-Struktur) oder eine Hybride Cloud (Kombination aus Public und Private Cloud) handelt.

Und auch hinsichtlich der Angebote an IT-Strukturen aus der Cloud muss man unterscheiden zwischen Infrastructure-as-a-Service (IaaS) mit Nutzungszugang zu virtualisierter Hardware, Platform-as-a-Service (PaaS) mit Nutzungszugang zu Programmierungs- und Laufzeitumgebungen oder Software-as-a-Service mit Nutzungszugang zu Softwaresammlungen und Anwendungsprogrammen

So gelten für die spezielle Vertragsgestaltung die Rechtsvorschriften aus dem Zivilrecht zu Vertragstyp, Lizenzierung oder Verfügbarkeit, dem Datenschutzrecht (BDSG, TKG, TMG,, Bankengeheimnis etc.) sowie dem Aufsichts-, Steuer- und Handelsrecht (KWG, TKG §§ 146 ff. AO, §§ 238, 257 HGB).

Das Zugriffsrecht von Sicherheitsbehörden richtet sich dabei nach dem Standort des oder der genutzten Server. Ein Standort in den USA zieht zum Beispiel durch den sogenannten „Patriot Act“ einen umfassenden Zugriff der US-Behörden auf die gespeicherten Daten nach sich. Die Zugriffsmöglichkeiten der Behörden in asiatischen Staaten kann man nicht generell beurteilen, allerdings sind diese in der Regel weitergehender als in Deutschland bzw. der EU.

Nutzungsbeschränkungen des Cloud Computing ergeben sich im Bankenumfeld durch das Steuer- und Handelsrecht, durch § 92 TKG und durch § 203 StGB (letzteres beispielsweise für die Versicherungswirtschaft).

Rechte und Pflichten

In der weiteren Betrachtung des Themas steht die Beschäftigung mit den betroffenen personenbezogenen Daten, also dem datenschutzrechtlichen Aspekt. Im Falle der Nutzung von Angeboten aus dem Bereich des Cloud Computings muss einerseits der Schutz des Betroffenen gewahrt bleiben, andererseits müssen die Regelungen der Auftragsdatenverarbeitung (durch einen Vertrag entsprechend § 11 BDSG) bzw. der Datenübermittlung (durch einen Standard-EU-Vertrag etc.) beachtet werden.

Wenn man sich zu einer Nutzung eines Cloud-Computing-Angebotes entschlossen hat, ist der Auftragnehmer gemäß Paragraf 11 Abs. 1 S. 2 BDSG „unter Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen“.

Zusätzlich gilt die Forderung: „Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren“ (§ 11 Abs. 2 S. 4 BDSG).

Weiterhin ist die Informationspflicht der Betroffenen bzw. der Öffentlichkeit bei Datenpannen im Sinne des Paragrafen 42a BDSG, 15a TMG, 93 Abs. 3 TKG zu beachten.

Standortbestimmter Datenschutz

Im Falle eines grenzüberschreitenden Cloud-Service muss man die folgenden Fälle unterscheiden: Bei Nutzung einer EU-Cloud (innerhalb EU/EWR) ergeben sich durch die Grenzüberschreitung keine Besonderheiten. Es besteht eine Zulässigkeit wie in Deutschland durch eine vertragliche Regelung zur Auftragsdatenverarbeitung.

Drittstaaten-Clouds ziehen eine zweistufige Prüfung der Zulässigkeit einer Datenübermittlung in bzw. an einen Drittstaat nach sich. Mit den USA besteht hinsichtlich der „Safe-Harbor-Grundsätze“ eine Sonderregelung.

Hinter den hier nur in Kürze zusammen gefassten Punkten verbergen sich jeweils komplexe Sachverhalte, die für jeden einzelnen Fall eine detaillierte Prüfung notwendig machen.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 31884010 / Recht und Datenschutz)