Die rechtlichen Aspekte der Cloud

Cloud Computing? Aber sicher!

07.05.2012
Uwe Küll ist freier Journalist in München.
Kaum ein Thema wird im Zusammenhang mit Cloud Computing so intensiv diskutiert wie Sicherheit und Datenschutz. Im CW-Gespräch mit Uwe Küll erläutert IT-Fachanwalt Peter Bräutigam, Noerr LLP, die rechtlichen Aspekte der Materie.

CW: Herr Professor Bräutigam, auf einer Veranstaltung zum Thema Cloud Computing haben Sie Ihren Vortrag kürzlich unter das Motto "Cloud Computing - aber sicher!" gestellt. Wie ist das zu verstehen - sehen Sie Cloud Computing schon als selbstverständlich sicher an?

Dr. Peter Bräutigam ist Fachanwalt für IT-Recht und Partner in der Anwaltskanzlei Nörr Stiefenhofer Lutz in München.
Dr. Peter Bräutigam ist Fachanwalt für IT-Recht und Partner in der Anwaltskanzlei Nörr Stiefenhofer Lutz in München.
Foto: Finanz Informatik Technologie Service

Bräutigam: Cloud Computing muss in jeder Hinsicht sicher realisiert werden - rechtssicher und datentechnisch sicher. Das müssen Nutzer beachten. Doch diese Sicherheitsanforderungen lassen sich mit den heutigen Cloud-Technologien und -Produkten durchaus erfüllen, insofern ist Cloud Computing vielleicht heute noch keine Selbstverständlichkeit, aber aus meiner Sicht auf dem besten Wege, eine zu werden.

Ich kann natürlich nicht über die Gesamtheit aller am Markt verfügbaren Angebote sprechen. Aber bei einem Anbieter wie zum Beispiel Microsoft kann ich auf Basis der mir vorliegenden Informationen sagen, dass die datenschutzrechtlichen Anforderungen an Cloud-Dienste etwa bei Office 365 erfüllt werden.

CW: Welches sind denn nach Ihrer Einschätzung die größten Risiken für Unternehmen, die IT-Services aus der Cloud nutzen?

Bräutigam: Das erste und wichtigste Risiko ist für viele Anwender der gefühlte Kontrollverlust aufgrund der Tatsache, dass die Daten räumlich nicht im Unternehmen lagern. Deshalb ist Transparenz so wichtig bei Cloud-Angeboten. Zum Beispiel beim ServerStandort: Die Verantwortlichen wollen wissen, wo ihre Daten liegen. Aber wenn man sich einmal einen ganz rationalen Blick auf die Fakten gestattet, wird man in vielen Fällen erkennen, dass ein Handelsunternehmen, ein Maschinenbauer oder ein Dienstleistungsunternehmen, in dem die IT kein Kernprozess ist, viel weniger in der Lage ist, seine IT im erforderlichen Maße abzusichern, als ein Rechenzentrumsbetreiber, dessen gesamtes Geschäftsmodell auf dem sicheren IT-Betrieb fußt.

Dabei geht es um eine Vielzahl von physischen und logischen Schutzmaßnahmen wie zum Beispiel die Lage und Beschaffenheit des Gebäudes, die Sicherung des Zugangs mit mehrstufigen Sicherungssystemen, spezielle Klimatisierungssysteme, Spiegelung des kompletten Datenbestandes an einem geografisch getrennten Ort, Verschlüsselung der Daten und Zugriffskontrollen auf allen Ebenen. Wer sich einmal mit der Komplexität dieser Systeme befasst hat, wird schnell erkennen, dass ein Spezialist mit IT als Kerngeschäft rein technisch ein höheres Sicherheitsniveau liefern kann als ein durchschnittliches Anwenderunternehmen.

CW: Liegt es demnach an einer zu nachlässigen Behandlung des Themas Sicherheit, wenn Sicherheitsbedenken als Argument gegen Cloud Computing verwendet werden?

Bräutigam: Ich weiß nicht, ob man von Nachlässigkeit sprechen kann. Das hat viel mit Emotionen zu tun, für die ich durchaus Verständnis habe. Aber aufgrund meiner Erfahrung kann ich nur jedem empfehlen, das Thema so sachlich wie möglich anzugehen. Dabei hilft es vielleicht, sich einmal die juris-tische Sicht des Ganzen bewusst zu machen. Die besagt: Wenn die Sicherheit eines Rechenzentrums und der dortigen Prozesse technisch auf aktuellem Stand gewährleistet ist, ist damit auch eine wichtige Anforderung des Datenschutzrechts gewahrt.

CW: Sie sagten "ein Rechenzentrum" - allerdings ist das Phänomen Cloud ja nicht auf ein bestimmtes Rechenzentrum beschränkt. Was folgt daraus für die Sachlage aus juristischer Sicht?

Bräutigam: In der Praxis haben Cloud-Anbieter mehrere global verteilte Rechenzentren. Damit kommt das Thema Internationalität ins Spiel. Ein wichtiger Aspekt sind hier die unterschiedlichen Rechtsräume im Datenschutz, mit denen wir es zu tun bekommen - insbesondere wenn der Server-Standort und der Unternehmenssitz des Anbieters außerhalb Deutschlands oder außerhalb der EU liegen.

CW: Um diesen Punkt gab es ja in den vergangenen Monaten einige Auseinandersetzungen. Wie wichtig ist der geografische Standort des Rechenzentrums denn?

Bräutigam: Zunächst würde ich jedem Anwender empfehlen, Angebote von Cloud-Dienstleistern immer darauf zu prüfen, wo die Daten gespeichert werden. Diese Transparenz ist eine Grundvoraussetzung. Im nächsten Schritt muss der Cloud-Service-Nehmer dann für sich entscheiden, ob er damit einverstanden ist, wenn seine Daten beispielsweise innerhalb oder außerhalb der EU, etwa in den USA, gespeichert werden. Bei der Beurteilung dieser Frage geht es vor allem um datenschutzrechtliche Aspekte. Zunächst steht fest: Ein Standort innerhalb der EU ist rechtlich unproblematisch, da hier prinzipiell ein im Wesentlichen gleiches Datenschutzniveau gilt.

Dies bedeutet konkret: Alle Daten, die ein deutsches Unternehmen verarbeiten darf, kann es bei Einhaltung der gebotenen vertraglichen Regelungen in allen Ländern der EU speichern und verarbeiten lassen. Dabei bleibt das Unternehmen Herr der Daten, die dem Cloud-Anbieter zur Verarbeitung auf Weisung überlassen werden. Dieser Vorgang fällt unter den Terminus Auftragsdatenverarbeitung und muss durch Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung vertraglich geregelt werden

CW: Und wie sieht das in der Praxis aus? Die Unternehmen sind ja unter anderem zur Kontrolle der Einhaltung der getroffenen Vereinbarung verpflichtet. Wie kann das funktionieren, zumal Datenschutz ja in Deutschland auf Bundes- und Landesbehörden verteilt ist, die in Einzelfällen immer wieder uneinheitlich entscheiden?

Bräutigam: Seit Ende September 2011 gibt es die Orientierungshilfe "Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder". Diese die Verwaltungspraxis vereinheitlichende Übereinkunft bietet praktische Hinweise.

Foto: Stephen Van Horn, Fotolia.de

Einige Stichworte sind Transparenz, Zertifikate, eindeutige vertragliche Regelungen und hinreichend abgestimmte Sicherheitsmaßnahmen. Die Empfehlung zu Zertifikaten beinhaltet, dass die Anbieter sich von unabhängigen Experten zertifizieren lassen sollten, die beispielsweise die Sicherheitsstandards zu Infrastruktur und Informationssicherheit prüfen und bestätigen. Ein solches Zertifikat, das in regelmäßigen Abständen neu ausgestellt werden sollte, erspart dem einzelnen Kunden die eigene Prüfung vor Ort im Rechenzentrum, zu der ihm in vielen Fällen das notwendige Know-how nicht zur Verfügung stehen dürfte.

Ähnlich ist es übrigens beim Thema Weisungsgebundenheit: Es ist praktisch nicht möglich, den Anbieter häufigen Änderungswünschen seiner zahlreichen Cloud-Kunden im Hinblick auf das Sicherheitskonzept auszusetzen. Die Weisungsgebundenheit kann daher so verwirklicht werden, dass im Vertrag die Sicherheits-Features vereinbart werden, die dann für die Laufzeit des Vertrages gelten.