Dass Cloud Computing nicht nur IT Fachleute und Anwender, sondern auch Juristen auf den Plan ruft, ist wenig überraschend. Interessant ist aber, dass rechtliche Argumente nicht mehr primär als Begrenzungen des neuen Geschäftsmodells dienen, sondern mitunter sogar vertriebsunterstützend dazu genutzt werden, Lösungen mit hoher Verfügbarkeit und Sicherheit auf den Markt zu bringen.
Typischerweise sind die am Cloud-Computing-Prozess Beteiligten die Cloud-Nutzer (Verbraucher oder Unternehmen), die Cloud-Lösungsanbieter und schliesslich die Infrastrukturbetreiber, von denen die Cloud-Lösungsanbieter Leistungen beziehen. Kern des Cloud-Geschäftsmodells ist der weitgehende Verzicht auf dedizierte eigene Ressourcen und die rein an der tatsächlichen Nutzung orientierte Vergütung (”pay-as-you-go”). Cloud-Angebote werden in Infrastrukturangebote (”IaaS”, Nutzung von virtualisierten Hardware-Ressourcen wie Rechner, Netzwerke und Speicher), Applikationsangebote (”SaaS, Nutzungszugang zu Software-Sammlungen und Anwendungsprogrammen) und Plattformangebote (”PaaS”, Programmierungs- oder Laufzeitumgebungen mit flexiblen, dynamisch anpassbaren Rechen- und Datenkapazitäten) unterschieden.
Weiterhin wird zwischen Public, Private und Hybrid Clouds unterscheiden, was je nach Konstellation zu im Kern ähnlichen Rechtsfragen in unterschiedlicher Ausprägung führt. Neben Resellern wie Dropbox finden sich auch Anbieter wie Amazon Web Services (AWS), die mehrere Rollen gleichzeitig wahrnehmen. Die Grenzen sind also alles andere als trennscharf und es lohnt sich als Nutzer, genau zu prüfen, welche Art von Anbieter oder Betreiber man zum Partner wählt.
- Checkliste für sicheres Cloud Computing
Anwender, die Leistungen von einem externen Cloud-Provider beziehen, bleiben für den Schutz von übertragenen Daten stets haftbar. Sie sollten daher entsprechende Vorsorge treffen. Einige Tipps dazu finden Sie auf den folgenden Seiten. - Tipp 1:
Unerlässlich für jeden Cloud-Anwender ist es, einen Vertrag über Auftragsdatenverarbeitung gemäß Paragraph 11 des Bundesdatenschutzgesetzes abzuschließen. - Tipp 2:
Der Cloud-Provider muss angemessene technische und organisatorische Maßnahmen vorweisen können, um die Daten vor unbefugten Zugriffen zu schützen. Gegebenenfalls sollten sich Kunden Zertifikaten unabhängiger Zertifizierungsstellen vorlegen lassen (etwa EuroPriSe, das Datenschutzgütesiegel des Unabhängigen Landeszentrums für Datenschutz aus Schleswig-Holstein). - Tipp 3:
Die Kommunikation zwischen Cloud-Anbieter und Cloud-Nutzer sollte immer verschlüsselt sein. - Tipp 4:
Die Cloud-Lösung benötigt zwingend verbindlich und verlässliche Authentizierungsmechanismen und -richtlinien. - Tipp 5:
Die Partner müssen den Umfang der Datenverarbeitung und den Datenverarbeitungszweck festlegen. - Tipp 6:
Für Kunden ist es immens wichtig, dass Sie schon zum Start des Services auch ein mögliches Ende im Blick haben. Sie sollten daher Ausstiegsszenarien prüfen. - Tipp 7:
Werden Cloud-Anbieter oder Unterauftragnehmer mit Sitz in unsicheren Drittstaaten mit dem Betrieb des Cloud-Service betraut, sollten sich Anwender mit ausreichenden Garantien absichern. Dafür eignen sich beispielsweise die von der EU-Kommission verabschiedeten Standardvertragsklauseln. - Tipp 8:
Ein Blick auf die Beteiligungsverhältnisse eines Cloud-Anbieters verschafft oft eine gute Übersicht über das geschäftliche Umfeld des Partners.
Einige der rechtlichen Fragen sind bereits aus der Ära des Outsourcing bekannt, sie stellen sich durch die Möglichkeiten des Cloud Computing nun aber in einer neuen Qualität. Die wichtigsten betroffenen Rechtsbereiche sind der Datenschutz, die Informationssicherheit, lizenzrechtliche Fragen und die Vertragsgestaltung. Nutzer müssen indes nicht bei jeder Cloud-Computing-Lösung die gesamte Bandbreite aller definierten Problemfelder abarbeiten. Vielmehr genügt es, sich die Situation des Unternehmens sorgfältig vorab zu verdeutlichen und die als potentiell problematisch identifizierten Felder dann detailliert abzuprüfen (siehe Checkliste am Ende des Artikels).
Rechtliche Bedenken überlagern allerdings häufig unternehmerische Vorfragen wie die Cloud-Fähigkeit auf Nutzerseite an sich. Eine selbstkritische Bestandsaufnahme der Datensicherheit und der ausreichenden Lizenzierung vor Beginn der Cloud-Nutzung wird wahrscheinlich in nicht wenigen Fällen Defizite im Umgang mit Unternehmensdaten oder dem internen Lizenzmanagement zu Tage fördern. Diese Befunde haben dann nichts mit der Cloud Nutzung zu tun, vielmehr zwingt die Auslagerung von Aufgaben in die Cloud idealerweise sogar dazu, bestehende Unternehmensprozesse auf ein höheres Niveau zu bringen.
Dieser Klärungsprozess umfasst beispielsweise die Einordnung der Daten in Geschäftsgeheimnisse, personenbezogene Daten und besonders sensible Daten im Sinne des Bundesdatenschutzgesetzs (BDSG), die Analyse der Lizenzverträge mit den für die Cloud-Nutzung bestimmten Applikationen und eine Due Diligence der geltenden regulatorischen Anforderungen (Compliance).