Datenschutz und die Cloud

Damit das Cloud Computing nicht zur Rechtsfalle wird

Martin Schweinoch ist Anwalt im Fachbereich IT, Internet & E-Business von SKW Schwarz. Martin Schweinoch leitet diesen Fachbereich.
Wer IT aus der Cloud bezieht, gerät schnell ins juristische Abseits. Vor allem die Datenschutzregeln sind hochkomplex. Oder kennen Sie sich damit aus?
Foto: Fotolia, Hero

Die technische Entwicklung des Cloud Computing schreitet rasch voran. Als Hemmschuh für die Nutzung könnten sich jedoch die gesetzlichen Vorgaben für den Datenschutz erweisen. Sowohl Cloud-Anbieter als auch Kunden müssen sich daran orientieren, welche personenbezogenen Daten sie unter welchen Bedingungen wo speichern und verarbeiten dürfen. Wenn die datenschutzrechtliche Zulässigkeit nicht gewährleistet ist, sollten sowohl der Kunde als auch der Anbieter von der Lösung Abstand nehmen. Eventuell notwendige Maßnahmen sind vorab im Cloud-Computing-Vertrag zu vereinbaren und entsprechend umzusetzen.

Unübersichtliche Lage

Der Datenschutz erfreut sich vor allem seit den jüngsten Skandalen großer Aufmerksamkeit. Nach den Datenschutzänderungen im Jahr 2009 plant der deutsche Gesetzgeber derzeit weitere Neuregelungen. Auch die Europäische Union (EU) untersucht, wie sich der Datenschutz zeitgemäß weiterentwickeln soll.

Die Aspekte des Datenschutzes sind so unterschiedlich wie denkbaren Cloud-Lösungen. Der Branchenverband Bitkom versteht Cloud Computing als "Bereitstellung von gemeinsam nutzbaren und flexibel skalierbaren IT-Leistungen durch nicht fest zugeordnete IT-Ressourcen über Netze". Darin eingeschlossen sind Public Clouds, deren Leistungen allgemein angeboten werden, unternehmenseigene Private Clouds für den eigenen Nutzerkreis sowie Mischformen (Hybrid Clouds, auch mit Anbindung an Altsysteme).

COMPUTERWOCHE Lexikon für das IT-Recht

"Mehr zum Thema Datenschutz können Sie im "COMPUTERWOCHE Lexikon für das IT-Recht" nachschlagen

Je nach Organisation und Zuschnitt einer Cloud-Lösung sind die Datenschutzanforderungen einfacher oder schwieriger abzubilden - in manchen Fällen auch überhaupt nicht. Wenn die Cloud datenschutzkonform gestaltet werden soll, führt also kein Weg an einer Analyse der Daten und möglichen Lösungen vorbei. Der einfachste Fall ist die Private Cloud des eigenen Unternehmens. Hier gelten "nur" die allgemeinen Anforderungen für interne Datenverarbeitung.