Sichere Lieferkette

Datenschutz beim Sub-Cloud-Provider

20.06.2015
Von 
Dr. Flemming Moos ist Fachanwalt für IT-Recht bei der Wirtschaftskanzlei Osborne Clarke in Hamburg.
Glaubt man den Versprechen der Provider, ist das Datenmanagement über die Cloud eine einfache Sache. Das gilt jedoch nicht, wenn bei der Lieferung von Cloud-Services Subunternehmer im Spiel sind.
  • Kaum ein Anwender kennt seine komplette Lieferkette. Das übliche Cloud-Service-Modell verhindert die Transparenz über alle Beteiligten hinweg.
  • Zumeist muss der Anwender selbst aktiv werden, um die Sicherheit und Compliance seiner Cloud-Dienste vollständig zu gewährleisten.
  • Dazu braucht es geeignete Werkzeuge und rechtliche Rahmenbedingungen, die heute jedoch noch nicht in einem vollumfänglichen Rahmen gegeben sind.

Cloud-Service-Provider machen Anwenderunternehmen nur allzu gerne glauben, dass die erbrachten Services einfach zu verwalten und zu managen seien. Auf den ersten Blick trifft das sicher auch zu. Bei genauerem Hinsehen stellt man jedoch schnell fest, dass vielen Services aus der Wolke komplexe Lieferketten zugrunde liegen, in denen - rechtlich betrachtet - gleich mehrere selbständige Leistungserbringer als Subunternehmer eingebunden sind.

In der Praxis läuft das folgendermaßen ab: Die vom Kunden beauftragten Leistungsbereiche werden an Subunternehmer entlang den Ebenen des IT-Stacks weitervergeben. Zum Beispiel weil ein SaaS-Anbieter Middleware-Leistungen (Iaas) und Hardware-Leistungen (PaaS) von Sub-Cloud-Providern bezieht. Oft ist es auch so, dass die Inanspruchnahme von Sub-Cloud-Providern nicht über die gesamte Leistungsbeziehung gleichbleibend ist, sondern flexibel erfolgt - je nach Kunden- und Servicebedarf.

Es fehlt an Transparenz

Doch genau das ist der Pferdefuß: Während diese Flexibilität ja gerade einer der Hauptvorteile des Cloud Computings ist, birgt das dahinterliegende Service-Modell rechtlich gehen große Herausforderungen für denjenigen, der den Auftrag vergibt. Denn er hat kaum Transparenz darüber, welche Sub-Unternehmen an welchen Lokationen mit seinen Daten hantieren. Allerdings trägt er gegenüber seinem Vertragspartner von Anfang an die Verantwortung dafür, dass Datenschutz und Datensicherheit gewährleistet sein müssen, und muss ihm entsprechende vertragliche Pflichten auferlegen.

Risiko Datenschutz entlang der Lieferkette: Ob die gesamte Kette der Sub-Unternehmer abgesichert ist, weiß ein Anwender in den seltensten Fällen.
Risiko Datenschutz entlang der Lieferkette: Ob die gesamte Kette der Sub-Unternehmer abgesichert ist, weiß ein Anwender in den seltensten Fällen.
Foto: Marco2811 - Fotolia.com

Anders sieht sein vertragliches Verhältnis mit dem Sub-Unternehmer aus, den der Cloud-Provider in die Lieferkette einbindet. Mit diesem hat der Kunde selbst kein vertragliches Verhältnis. Das bedeutet für ihn auch, dass er keine Handhabe gegenüber diesem Dritt-Dienstleister hat, sollte seinen Daten einmal etwas "zustoßen". Daher ist es ratsam, mit dem unmittelbaren Vertragspartner selbst schon über einen ausreichenden Pflichtenkanon nachzudenken und diesen auch zu vereinbaren. Nicht nur, um eventuellem Datenverlust vorzubeugen, sondern auch, um den eigenen gesetzlichen Pflichten nachzukommen.

Datensicherung beim Sub-Cloud-Provider

Auch wenn es mühsam ist: Der Kunde kann die Unterauftragsverhältnisse nicht getrost dem Cloud-Provider selbst überlassen. Denn streng genommen fungiert der im datenschutzrechtlichen Sinne nur als so genannter "Auftragsdatenverarbeiter", der weisungsgebunden für den Kunden tätig wird und keine eigenen Nutzungsrechte an den Daten erhält. Für eine solche Auftragsdatenverarbeitung bestimmt das Gesetz, dass der Auftraggeber für das Einhalten der Vorschriften zu Datenschutz und Datensicherheit verantwortlich bleibt (§11 Bundesdatenschutzgesetz BDSG). Diese Verantwortung erstreckt sich auch auf die Weitergabe der Kundendaten an und deren Umgang durch etwaige Subunternehmer, sofern diese wiederum als weisungsgebundene Dienstleister tätig werden. Die Verantwortung lässt sich also nicht einfach entlang der Lieferkette weiter delegieren.

Selbst handeln, wenn das Gesetz nicht greift

In vielen Fällen muss der Kunde selbst aktiv werden und handeln, und sich um die Absicherung der Datenschutz-Compliance in der Lieferkette selbst kümmern. Denn das Gesetz selbst macht kaum aussagekräftige Vorgaben dazu, welche Regelungen im Hinblick auf die Abwälzung von Datenschutz- und Datensicherheitsverpflichtungen bei Subunternehmen notwendig sind. Es begnügt sich genau hier mit der pauschalen Vorgabe, dass das "Ob" der Unterbeauftragung weiterer Datenverarbeitungsdienstleister vertraglich festgelegt sein muss. Nicht ausdrücklich geregelt ist aber, zu welchen Bedingungen dies zu erfolgen hat beziehungsweise welche konkreten Pflichten dem Subunternehmer insoweit aufzuerlegen sind.

Transparenz der Subunternehmer

Grundvoraussetzung dafür, dass der Kunde überhaupt auf eine Gewährleistung von Datenschutz und Datensicherheit beim Sub-Cloud-Provider hinwirken kann, ist die Kenntnis darüber, welche Subunternehmer an welchen Orten eingesetzt werden. Schon das ist in den Geschäftsbedingungen mancher Anbieter nicht selbstverständlich. Nicht ohne Grund fordern deshalb auch die Datenschutzaufsichtsbehörden in ihrer Orientierungshilfe zum Cloud Computing, hier mehr Transparenz zu haben. Ein Cloud-Provider sollte dem Kunden folgende Angaben machen können:

  • Benennung sämtlicher Sub-Cloud-Provider, auch solcher, die nach Vertragsbeginn hinzukommen

  • Benennung sämtlicher Standorte der Sub-Cloud-Provider, an denen Daten des Kunden verarbeitet werden können