Hüten Sie sich vor Radikallösungen

Rechtliche Fallstricke beim Cloud Computing

Renate Oettinger ist Diplom-Kauffrau Dr. rer. pol. und arbeitet als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche sind Wirtschaft, Recht und IT.

Zu ihren Kunden zählen neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer.
Wer bei der Umstellung auf Managed Services schrittweise vorgeht, begrenzt das Risiko, sagt Dr. Jan Geert Meents.

Beim Einsatz von Diensten aus der Wolke sind nicht nur technische, sondern auch noch viele rechtliche Fragen offen. Wer die wichtigsten rechtlichen Aspekte kennt, kann dennoch von Cloud-Services profitieren und zugleich auf der sicheren Seite bleiben.

Wer ist Herr der Daten?

Anders als beim klassischen Outsourcing hat der Anwender in der Public Cloud (schwer kontrollierbare virtuelle Wolke) keine Kontrolle mehr darüber, wo sich seine Daten tatsächlich befinden. Da demzufolge auch keine Steuerung mehr stattfinden kann, hat der Auftrageber die Herrschaft über seine Daten verloren. Trotz vieler Klippen und Bedenklichkeiten gibt es zuverlässige Möglichkeiten, den Cloud-Betrieb aufzunehmen und gleichzeitig das unternehmerische Risiko gering zu halten

Die richtigen Daten auslagern

Quelle: Fotolia, H. Almeida
Quelle: Fotolia, H. Almeida
Foto: Fotolia, H. Almeida

Eine erste, einfache Maßnahme besteht darin, ausschließlich Daten ohne Personenbezug in die Wolke zu verfrachten. Da sie nicht den deutschen datenschutzrechtlichen Bestimmungen unterliegen, ist ihre Auslagerung ist rechtlich unbedenklich. Als Alternative kommt die Auslagerung in eine räumliche begrenzte Cloud in Betracht (geographical data storage). Bei dieser Variante werden die Daten nicht an einem beliebigen Ort sondern ausschließlich in einer bestimmten, vertraglich festgelegten Region gespeichert.

So lassen sich die Hürden des Datenschutzes sicher umgehen. Aus den eigenen IT-Sicherheitsrichtlinien sind die meisten Unternehmen mit einer Datenverschlüsselung bereits vertraut. Denn auch innerhalb der Cloud wäre die Verschlüsselung vertraulicher Daten umsetzbar. Das gilt allerdings nur für die reine Speicherung. Sobald Daten verarbeitet werden müssen, muss entschlüsselt werden.