Folgt man den gängigen Definitionen von „Cloud Computing“ ermöglicht dieses eine nutzungs- bzw. bedarfsorientierte Verwendung von Soft- und Hardwareressourcen. Kennzeichnend für das Cloud Computing ist hierbei die Bereitstellung einer On-Demand-Infrastruktur (Rechner, Speicher, Netze) und von On-Demand-Software (Betriebssysteme, Anwendungen, etc.) die jeweils dynamisch an die Erfordernisse von Geschäftsprozessen und den jeweiligen Bedarf angepasst werden. Typische Beispiele für Cloud Computing Services sind z.B. die Angebote „Google Apps“, „Amazon EC2“, „Microsoft Azure“ und „Force.com“.

Die betriebswirtschaftlichen Vorteile des Einkaufs von bedarfsorientierten IT-Ressourcen, die auch nur bei entsprechender Nutzung abgerechnet werden, liegen auf der Hand. Allerdings gibt es auch eine Vielzahl von rechtlichen Fragestellungen, die ein Anwender von Cloud Computing Services bei seiner Einkaufsentscheidung berücksichtigen sollte. Insbesondere die Beachtung der datenschutzrechtlichen Vorgaben sowie die interessengerechte Vertragsgestaltung sind für die Praxis von besonderem Interesse. Dieser Beitrag befasst sich zunächst mit den datenschutzrechtlichen Fragen. In der nächsten Focusreseller folgt dann der zweite Teil, in dem auf das Thema Vertragsgestaltung eingegangen wird.

Cloud Computing und Datenschutz

Bei der überwiegenden Mehrzahl der Cloud Computing Angebote handelt es sich datenschutzrechtlich um eine so genannte Auftragsdatenverarbeitung des Cloud-Anbieters für den jeweiligen Auftraggeber. Im Rahmen der am 1. September 2009 in Kraft getretenen Novelle des Bundesdatenschutzgesetzes („BDSG“) sind jedoch insbesondere die gesetzlichen Regelungen zur Auftragsdatenverarbeitung (§ 11 BDSG) geändert worden. Nach dem neuen Recht gelten nunmehr strengere Anforderungen an die Beauftragung und Überwachung von Auftragsdatenverarbeitungen.

Zwingende Regelungen

Das BDSG enthält eine Aufzählung von zehn Regelungsbereichen, die zwingend in jedem Vertrag, der eine Auftragsdatenverarbeitung zum Gegenstand hat, aufzunehmen sind. Diese zwingend in den Vertrag aufzunehmenden Regelungsbereiche betreffen z.B. die Festlegung der nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen zur Einhaltung eines Mindeststandards für den Datenschutz, die Regelung zur Einschaltung von Subunternehmern (in der Regel nur mit Zustimmung des Auftraggebers) sowie die Festlegung von Kontroll- und Auditierungsrechten des Auftraggebers (z.B. Zugang zu den eingesetzten Rechenzentren zur Kontrolle der technischen und organisatorischen Maßnahmen). Alle Cloud Computing Verträge, die zumindest auch teilweise die Verarbeitung von personenbezogenen Daten beinhalten, müssen daher die gesetzlich vorgeschrieben Regelungsbereiche ausdrücklich beinhalten.

Kontrollpflichten des Auftraggebers

Vor Beginn der Datenverarbeitung durch einen Cloud-Anbieter muss sich der Auftraggeber zudem von der Einhaltung der technischen und organisatorischen Maßnahmen durch eine Kontrolle überzeugt haben (sog. „Vorab-Kontrolle“). Diese Kontrolle kann bereits im Rahmen der Anbieterauswahl erfolgen und muss spätestens mit Beginn der Datenverarbeitung abgeschlossen sein. In der Praxis muss der Auftraggeber diese Kontrolle nicht zwar selbst durchführen. Allerdings sollte er sich durch Vorlage von geeigneten Zertifizierungen (z.B. ISO 27001/IT-Grundschutz) vom Cloud-Anbieter die Einhaltung der datenschutzrechtlichen Vorgaben nachweisen lassen. Gleiches gilt auch für die vom Gesetz ausdrücklich geforderte Kontrolle während der Laufzeit (sog. „laufende Kontrolle“). Ferner schreibt das Gesetz nunmehr ausdrücklich vor, dass die Durchführung der Vorab- und der laufenden Kontrolle schriftlich zu dokumentieren ist. Die in diesem Rahmen erstellte Dokumentation dürfte daher im Prüfungsfall den Aufsichtsbehörden vorzulegen sein.

Empfindliche Bußgelder

Werden die erforderlichen Regelungen nicht in den Cloud Computing Service Vertrag aufgenommen oder wird  keine Vorab-Kontrolle durch den Auftraggeber durchgeführt, können die Aufsichtsbehörden ein Bußgeld bis zu Euro 50.000,00 verhängen.

Übermittlung von Daten in das Ausland

Soweit im Rahmen des Cloud Computing personenbezogene Daten außerhalb Deutschlands bzw. außerhalb der Europäischen Union verarbeitet werden, z.B. in einem Rechenzentrum in Indien, ist dies datenschutzrechtlich nur unter Einhaltung von besonderen Voraussetzungen möglich. Grundsätzlich hat jede Datenübermittlung in Drittländer zu unterbleiben, soweit diese kein angemessenes Datenschutzniveau gewährleisten. Nur die anderen EU-Staaten sowie die Staaten des EWR (Island, Norwegen Lichtenstein) sowie die Schweiz, Ungarn, Kanada (mit Einschränkungen) und Argentinien gelten als in diesem Sinne als sicher. Ebenso zulässig ist eine Datenübertragung an US-Unternehmen, die sich freiwillig in der so genannten „Safe-Harbor-Liste“ registrieren ließen. Anbieter mit Sitz in anderen Staaten können jedoch durch die Vereinbarung der EU-Standardvertragsklauseln ein entsprechendes Datenschutzniveau vertraglich herstellen. Diese von der Europäischen Union herausgegebenen Vertragsklauseln gewährleisten einen Mindeststandard an Datenschutz. Der Vorteil bei Verwendung der Standardvertragsklauseln liegt darin, dass ausnahmsweise keine Genehmigung der Aufsichtsbehörden erforderlich ist. Die EU Standardklauseln dürfen allerdings inhaltlich nicht verändert werden.

Peter Huppertz wird auf dem FOCUSRESELLER Kongress auf weitere entscheidende Rechtsgrundlagen rund um die Cloud eingehen, die Entscheidungsträger aus Fachhandel und Systemhaus nicht verpassen sollten. Melden Sie sich deshalb schon heute für die Kongressmesse an, denn es geht um Ihr Geschäft und Ihren Profit!

Jetzt Thema im Forum diskutieren: (Bitte vorher anmelden!)