computerwoche.de

IT-Strategie

Cloud-Computing-Verträge

Wolke ohne Rechtsrahmen?

19.06.2011
Von Thomas H. Fischer

Begrenzen: Freiheit kann nicht schrankenlos sein

Zu den Wesensmerkmalen des Cloud Computing gehören die Loslösung von den Fesseln des Ortes, die Orientierung an (weltweiten) Verfügbarkeiten statt an Landesgrenzen, das Denken in globalen Netzwerken sowie die flexible Nutzung der Infrastruktur. Nationale Normen verkörpern hingegen eine andere Sichtweise und zwingen den Beteiligten eine Beachtung der Grenzen auf.

Besonders deutlich wird der Unterschied zwischen technischer und rechtlicher Handlungsmöglichkeit beim Datenschutz. Personenbezogene Daten dürfen nur unter bestimmten Voraussetzungen das Gebiet der europäischen Union verlassen und lediglich auf einem definierten Weg an konkrete Datenverarbeiter weitergegeben werden. Aber das auslagernde Unternehmen bleibt auch bei einer zulässigen Auftragsdatenverarbeitung verpflichtet, den konkreten Ort der Speicherung der Daten zu kennen. Es muss gegebenenfalls auch die Löschung der Daten kontrollieren können. Eine automatisierte globale Datenverteilung mit einem Verlust der Ortsbezogenheit ist hier nicht möglich.

Übersehen wird häufig das mit drakonischen Strafen versehene Exportrecht. Für die Ausfuhr von bestimmten Technologien ist eine vorherige Genehmigung des Bundesamtes für Wirtschaft und Ausfuhrkontrolle (Bafa) erforderlich. Sogar die Exportkontrolle der USA kann beim Einstellen von Daten in eine globale Cloud betroffen sein. Erfasst wird hier die "Dual Use Technologie", die sowohl zivil als auch militärisch eingesetzt werden kann, also zum Beispiel Verschlüsselungstechnik. Für Datenschutz wie auch Exportkontrolle gilt, dass ein Download nicht einmal vorausgesetzt wird. Es genügt die Möglichkeit eines Zugriffs.

Unabhängig von gesetzlichen Regelungen kann die Möglichkeit eines Datenzugriffs aus dem Ausland aber für das Unternehmen selbst kritisch sein: In vielen Ländern hat der Staat weitgehende Möglichkeiten, auf Daten zuzugreifen beziehungsweise den Datenverkehr zu überwachen.

Auch hier sollte sich der Kunde möglichst durch Regelungen im Vertrag absichern. Beispielsweise durch die Berücksichtigung folgender Punkte:

  • die eigenen Daten nach A-Daten (Beschränkung erforderlich) und B-Daten (keine Beschränkung nötig) unterscheiden;

  • Ländergrenzen für A-Daten vereinbaren - mit Gültigkeit für Fernzugriff sowohl von Administratoren als auch von eigenen Mitabeitern; keine Zugriffsmöglichkeit "von überall";

  • Alternative: Echtdaten lokal halten und anonymisierte Datenverarbeitung in der Wolke betreiben, bei Daten, die der Exportkontrolle unterliegen, genügt die Verschlüsselung jedoch nicht;

  • unbeschränkte Weisungsrechte über die Datennutzung einräumen lassen;

  • Löschprozedere definieren, insbesondere das Einfordern von Löschungsbestätigung.