Rechtsexperte verweist auf Chancen von Hybrid Clouds

Compliance in der Cloud sicherstellen

10.06.2011 | Autor / Redakteur: von Rechtsanwalt Bernd Siebers / Katrin Hofmann

Rechtsanwalt Bernd Siebers gehört der deutschen Technologiegruppe von DLA Piper in München an.
Rechtsanwalt Bernd Siebers gehört der deutschen Technologiegruppe von DLA Piper in München an.

Cloud Computing wird vielfach mit flexibler Datenspeicherung ohne Grenzen assoziiert. IT-Compliance dagegen steht für Regelkonformität. Wie verhält es sich also mit der Einhaltung gesetzlicher Vorschriften in der Datenwolke?

Generell gilt: Alle IT-Compliance-Anforderungen gelten gleichermaßen in der Cloud. Wie schon beim klassischen Outsourcing müssen auch hier Vorkehrungen getroffen werden, um „compliant“ zu sein. Denn Gesetze mit zum Teil empfindlichen Sanktionen für Anwender wie Anbieter machen auch vor der Datenwolke nicht Halt.

Werden personenbezogene Daten verarbeitet, gelten die Vorschriften des Bundesdatenschutzgesetzes, des Telekommunikationsgesetzes und des Telemediengesetzes genauso im Cloud-Betrieb.

Für die IT-gestützte Finanz-Berichterstattung sind das Handelsgesetzbuch und die Abgabenordnung zu beachten, die neben dem Schutz vor Verfälschung und einer Fehlerkontrolle auch die Sicherheit und Verfügbarkeit der eingesetzten IT-Systeme fordern. Darüber hinaus gibt es besondere Anforderungen für den Finanz- und den Gesundheitssektor sowie die Vorschriften der Exportkontrolle.

Anforderungen in der Cloud

Das Phänomen Cloud Computing hat diese Anforderungen nicht grundlegend verändert, manche Compliance-Aspekte gewinnen jedoch in der Cloud an Bedeutung.

Nutzer hat Kontrollpflicht

Ein Beispiel dafür sind Organisationspflichten der Unternehmensführung. Diese beinhalten, dass geschäftskritische Anwendungen ausfallsicher betrieben werden. Zum Ausfallrisiko gehört in der Cloud die Verbindung zum Anbieter. Das Unternehmen macht sich von der Verfügbarkeit und der Übertragungsgeschwindigkeit von Datenleitungen abhängig. Aber allein die Verfügbarkeit eines Dienstes beim Anbieter reicht nicht aus. Der Nutzer muss auch in der Lage sein, auf den Dienst zuzugreifen.

Häufig ist Kontrolle die Voraussetzung dafür, Compliance-Anforderungen erfüllen zu können. Werden beispielsweise personenbezogene Daten von einem externen Dienstleister bearbeitet oder gespeichert, ist dies im Zuge der Auftragsdatenverarbeitung nur zulässig, wenn der Auftraggeber jederzeit Kontrolle über die Daten hat.

Das erfordert technische und organisatorische Maßnahmen, deren Einhaltung der Auftraggeber regelmäßig überprüfen muss. Soll beispielsweise die Finanzbuchführung im Ausland stattfinden, muss der Zugriff auf die Finanzdaten sichergestellt sein und der Standort des Datenverarbeitungssystems sowie der Name des Dienstleisters der Finanzbehörde gemeldet werden. Da diese Kontrollanforderungen aber dem Modell der grenzenlosen Datenverarbeitung zu widersprechen scheinen, sollte man sich überlegen, ob diese Verarbeitungsform überhaupt zielführend ist. Wirklich wichtig ist in jedem Fall, dass die Angebote den Compliance-Anforderungen entsprechen.

Chance der Hybrid Cloud

Dabei können verschiedene Cloud-Modelle zu einer Hybrid Cloud kombiniert werden. Die rechtlichen Rahmenbedingungen des Datenschutzes legen zum Beispiel nahe, dass Applikationen, mit denen personenbezogene Daten verarbeitet werden, nur innerhalb der EU beziehungsweise des europäischen Wirtschaftsraums betrieben werden. Test- und Entwicklungssysteme können hingegen durchaus auch außerhalb Europas stehen.

Umgekehrt können geschäftskritische Anwendungen, insbesondere die Finanzbuchhaltung, ausschließlich in Deutschland oder im Unternehmen selbst betrieben werden. Für ein hohes Sicherheitsniveau kann auch der Betrieb auf dedizierter Hardware erfolgen. Richtig ausgewählt und strukturiert können Cloud-Dienste daher mit Compliance-Anforderungen in Einklang gebracht werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2051158 / Recht und Datenschutz)