Suchen

Rechtsexperte verweist auf Chancen von Hybrid Clouds Compliance in der Cloud sicherstellen

| Autor / Redakteur: von Rechtsanwalt Bernd Siebers / Katrin Hofmann

Cloud Computing wird vielfach mit flexibler Datenspeicherung ohne Grenzen assoziiert. IT-Compliance dagegen steht für Regelkonformität. Wie verhält es sich also mit der Einhaltung gesetzlicher Vorschriften in der Datenwolke?

Firmen zum Thema

Rechtsanwalt Bernd Siebers gehört der deutschen Technologiegruppe von DLA Piper in München an.
Rechtsanwalt Bernd Siebers gehört der deutschen Technologiegruppe von DLA Piper in München an.
( Archiv: Vogel Business Media )

Generell gilt: Alle IT-Compliance-Anforderungen gelten gleichermaßen in der Cloud. Wie schon beim klassischen Outsourcing müssen auch hier Vorkehrungen getroffen werden, um „compliant“ zu sein. Denn Gesetze mit zum Teil empfindlichen Sanktionen für Anwender wie Anbieter machen auch vor der Datenwolke nicht Halt.

Werden personenbezogene Daten verarbeitet, gelten die Vorschriften des Bundesdatenschutzgesetzes, des Telekommunikationsgesetzes und des Telemediengesetzes genauso im Cloud-Betrieb.

Für die IT-gestützte Finanz-Berichterstattung sind das Handelsgesetzbuch und die Abgabenordnung zu beachten, die neben dem Schutz vor Verfälschung und einer Fehlerkontrolle auch die Sicherheit und Verfügbarkeit der eingesetzten IT-Systeme fordern. Darüber hinaus gibt es besondere Anforderungen für den Finanz- und den Gesundheitssektor sowie die Vorschriften der Exportkontrolle.

Anforderungen in der Cloud

Das Phänomen Cloud Computing hat diese Anforderungen nicht grundlegend verändert, manche Compliance-Aspekte gewinnen jedoch in der Cloud an Bedeutung.

Nutzer hat Kontrollpflicht

Ein Beispiel dafür sind Organisationspflichten der Unternehmensführung. Diese beinhalten, dass geschäftskritische Anwendungen ausfallsicher betrieben werden. Zum Ausfallrisiko gehört in der Cloud die Verbindung zum Anbieter. Das Unternehmen macht sich von der Verfügbarkeit und der Übertragungsgeschwindigkeit von Datenleitungen abhängig. Aber allein die Verfügbarkeit eines Dienstes beim Anbieter reicht nicht aus. Der Nutzer muss auch in der Lage sein, auf den Dienst zuzugreifen.

Häufig ist Kontrolle die Voraussetzung dafür, Compliance-Anforderungen erfüllen zu können. Werden beispielsweise personenbezogene Daten von einem externen Dienstleister bearbeitet oder gespeichert, ist dies im Zuge der Auftragsdatenverarbeitung nur zulässig, wenn der Auftraggeber jederzeit Kontrolle über die Daten hat.

Das erfordert technische und organisatorische Maßnahmen, deren Einhaltung der Auftraggeber regelmäßig überprüfen muss. Soll beispielsweise die Finanzbuchführung im Ausland stattfinden, muss der Zugriff auf die Finanzdaten sichergestellt sein und der Standort des Datenverarbeitungssystems sowie der Name des Dienstleisters der Finanzbehörde gemeldet werden. Da diese Kontrollanforderungen aber dem Modell der grenzenlosen Datenverarbeitung zu widersprechen scheinen, sollte man sich überlegen, ob diese Verarbeitungsform überhaupt zielführend ist. Wirklich wichtig ist in jedem Fall, dass die Angebote den Compliance-Anforderungen entsprechen.

Chance der Hybrid Cloud

Dabei können verschiedene Cloud-Modelle zu einer Hybrid Cloud kombiniert werden. Die rechtlichen Rahmenbedingungen des Datenschutzes legen zum Beispiel nahe, dass Applikationen, mit denen personenbezogene Daten verarbeitet werden, nur innerhalb der EU beziehungsweise des europäischen Wirtschaftsraums betrieben werden. Test- und Entwicklungssysteme können hingegen durchaus auch außerhalb Europas stehen.

Umgekehrt können geschäftskritische Anwendungen, insbesondere die Finanzbuchhaltung, ausschließlich in Deutschland oder im Unternehmen selbst betrieben werden. Für ein hohes Sicherheitsniveau kann auch der Betrieb auf dedizierter Hardware erfolgen. Richtig ausgewählt und strukturiert können Cloud-Dienste daher mit Compliance-Anforderungen in Einklang gebracht werden.

(ID:2051158)