Beim grenzüberschreitenden Outsourcing drohen rechtliche Fallstricke. Die juristische Empfehlung lautet daher: Zeit- und sicherheitskritische Dienste bleiben im Inland.
Viele Großunternehmen haben in den 90er Jahren ihre Rechenzentren konsolidiert. Oft verteilten sie ihre bis dahin in den Landesgesellschaften untergebrachten Rechenzentren auf nur noch drei Standorte, etwa in Asien, den USA und Europa. Heute werden solche grenzüberschreitenden IT-Services auch von mittelständischen Unternehmen genutzt. Manche Firmen beziehen die Dienste im Rahmen des IT-Outsourcings, des Business Process Outsourcings (BPO) oder des Cloud Computing. Die dafür erforderlichen IT-Infrastrukturen sind häufig außerhalb Deutschlands zu finden.
Ein Überblick: Rechtssprechung in der IT
Adwords verletzen das Markenrecht <b>Der Fall:</b> Das Erotik-Versandhaus "Bananabay" hatte geklagt, weil die Betreiberin eines Erotikhandels im Web den Begriff Bananabay als Adword gebucht hatte. <br/><br/> <b>Das Urteil:</b> Das Oberlandesgericht (OLG) Braunschweig erachtet die Nutzung einer fremden Marke als kontextsensitive Werbung innerhalb einer Suchmaschinen für unzulässig. Das Gericht hielt diese Form der Werbung mit einer fremden Marke für eine Markenrechtsverletzung. Da es sich bei dem Wort „Bananabay“ um einen Phantasiebegriff handele, erwarte der Internet-Nutzer, dass das von der Suchmaschine herausgesuchte Produkt dieser Marke zuzuordnen sei. Der Nutzer gehe aufgrund der Suchanfrage davon aus, dass sowohl in der Trefferliste als auch im Anzeigenbereich Produkte der Marke zu finden seien, nach der er gesucht hat. Deshalb verletze das Verhalten der Beklagten die Markenrechte der Klägerin. <br/><br/> <b>Keyword-Advertising in der Zukunft:</b> Die Entscheidung des OLG Braunschweig ist nicht rechtskräftig, das Verfahren wird – wie einige andere Verfahren zum Suchmaschinenmarketing – endgültig durch den Bundesgerichtshof (BGH) entschieden. Beachtenswert ist, dass das OLG Köln in einem nahezu identischen Fall einen Unterlassungsanspruch abgelehnt hat. Die (verkürzte) Begründung lautete, der Internet-User könne Ergebnisliste und Anzeigenteil unterscheiden. Dieser Punkt dürfte maßgeblich für die Entscheidung des BGH sein: Ist dem durchschnittlichen Internet-Nutzer der Zusammenhang zwischen seiner Eingabe und den Ergebnissen im Anzeigenteil bewusst? Zudem muss der BGH darüber entscheiden, ob der Anzeigenteil und die sonstigen Ergebnisse (räumlich und farblich) so voneinander getrennt werden müssen, dass diese Treffer deutlich als Werbung und nicht als Ergebnis der Suche erkannt werden.
Korrekte Versandkosten sind zwingend <b>Der Fall:</b> Ein Online-Händler hielt es für wettbewerbswidrig, dass sein Konkurrent neben dem Verkaufspreis keine Angaben über zusätzliche Liefer- und Versandkosten machte. Informationen dazu mussten Kunden dem „Allgemeine Geschäftsbedingungen“ und „Service“ entnehmen. <br/><br/> <b>Die Entscheidung:</b> Der Bundesgerichtshof BGH bejahte einen Verstoß gegen die Preisangabenverordnung (PAngV). Danach sind auch beim Internet-Handel zusätzlich zum Preis der Ware Angaben darüber zu machen, ob Liefer- und Versandkosten anfallen. Ein unmittelbarer räumlicher Bezug der Hinweise zu den Abbildungen der Waren sei nicht zwingend erforderlich. Die Informationen müssen aber leicht erkennbar und gut wahrnehmbar auf einer gesonderten Seite dargestellt werden. Auf jeden Fall muss der Käufer die Pflichtinformationen aufmerksam gemacht werden, bevor er den Bestellvorgang startet. <br/><br/> <b>Handlungsempfehlung für Online-Shops:</b> Ungeklärt war bislang, in welcher Form die Darstellung der Versand- und Lieferkosten im Internet zu erfolgen hat. Nun ist klar: Ein unmittelbarer räumlicher Zusammenhang ist nicht zwingend. Erforderlich ist aber, dass der Käufer die Angaben leicht erkennen und wahrnehmen kann. Leider ist noch immer nicht endgültig geklärt, ob der Nutzer über diese Informationen auch durch einen aussagekräftigen Link (etwa durch einen deutlich sichtbaren „Sternchen“-Hinweis) belehrt werden kann. Betreibern von Online-Shops ist daher dringend zu empfehlen, die Versandkosten zumindest auf derjenigen Web-Seite anzugeben, die es dem Nutzer erlaubt, seine Einkäufe in den Warenkorb abzulegen.
Verlinkung auf Porno-Seiten <b>Der Fall:</b> Vor dem Oberlandesgericht (OLG) Frankfurt wurde der Online-Zugang zu Web-Seiten mit pornografischem Inhalt verhandelt. Ein professioneller Betreiber von kostenpflichtigen Porno-Seiten, die nur mit Altersbeschränkung zugänglich sind, hatte einen Access-Provider verklagt. Er wollte einem Internet-Provider den Google-Zugang verwehren, weil Nutzer über die Suchmaschine auf kostenlose Porno-Sites gelangen können. Fehlende Zugangsbeschränkungen, so das Argument des Klägers, ermöglichen es auch Kindern und Jugendlichen, auf diese Inhalte zuzugreifen. Das stelle eine unzulässige Verbreitung pornografischer Schriften dar. <br/><br/> <b>Die Entscheidung:</b> Das OLG Frankfurt hat abgelehnt und eine wettbewerbsrechtliche Verantwortung des Access-Providers für den Inhalt der Web-Seiten, zu denen er seinen Kunden den Zugang vermittelt, verneint. Der Access-Provider sei nur Vermittler und habe daher keinen Einfluss auf den Inhalt von Web-Sites. Zudem sei es unzumutbar, so dass Gericht, den Zugriff auf eine Suchmaschine wie Google zu sperren. <br/><br/> <b>Der Kommentar:</b> Die Entscheidung belegt erneut deutlich, dass Access-Provider nicht für rechtswidrige Inhalte auf Web-Seiten haften, zu denen sie lediglich den Zugriff ermöglichen. Führt man sich die technischen Möglichkeiten der Access-Provider vor Auge, ist diese Entscheidung auch plausibel. Durch eine Sperrung des Online-Zugangs könnten rechtswidrige Darstellungen im Internet ohnehin nicht gänzlich verhindern werden. Sowohl Betreiber einer rechtswidrigen Web-Seite als auch Nutzer können mit relativ wenig Aufwand eine Sperre umgehen. Wichtig ist aber, dass im konkreten Fall der Access-Provider nur deswegen von einer Haftung freigesprochen wurde, weil er keine vertragliche Beziehungen zu dem betreffenden Betreiber der rechtswidrigen Web-Seiten unterhielt. Ein solcher Fall wurde mit dem Gerichtsentscheid nicht geklärt.
Online-Durchsuchungen sind verfassungswidrig <b>Der Fall:</b> Das Bundesverfassungsgericht (BVerfG) hatte in seinem Urteil vom 27. Februar 2008 über die Vereinbarkeit der gesetzlichen Ermächtigung zu so genannten „Online-Durchsuchungen“ für den Verfassungsschutz in Nordrhein-Westfalen mit dem Grundgesetz zu entscheiden. Bei der Online-Durchsuchung geht es um den heimlichen Zugriff auf IT-Systeme, in der Regel also auf mit dem Internet verbundene Computer. Heimliche Zugriffe sind Maßnahmen, bei denen etwa Spyware (wie etwa der „Bundes-Trojaner“) auf einen Computer eingeschleust wird, um dessen Inhalte zu durchforsten. <br/><br/> <b>Die Entscheidung:</b> Das BVerfG sieht in seiner Entscheidung die fraglichen Normen als verfassungswidrig und damit als nichtig an. Es begründet dies mit einem Verstoß gegen das von dem obersten Gericht neu geschaffenen „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“. Nach Ansicht des Gerichts kann eine Online-Durchsuchung zwar grundsätzlich (etwa zur Prävention von Terrorismus) erforderlich und geeignet sein. Jedoch sei eine heimliche Online-Durchsuchung aufgrund des tief greifenden Eingriffs in die Grundrechte der Betroffenen nur unter ganz engen Voraussetzungen auch angemessen. <br/><br/> <b>Das neue IT-Grundrecht:</b> In seiner Grundsatzentscheidung entwickelt das Bundesverfassungsgericht ein neues „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“. Damit stellt es klar, dass die Nutzung von IT-Systemen für die Lebensführung vieler Bürger von zentraler Bedeutung ist. Auf den Rechnern speichern sie zum Teil streng vertrauliche Inhalte gleich einem Tagebuch sein. Heimliche Zugriffe können mehr über die jeweilige Person offenbaren als das Abhören der Telekommunikation, da die Daten länger verfügbar sind – daher das neue Grundrecht, das genau den Schutz dieser Daten vorsieht. Allerdings wird dieses Grundrecht (wie die meisten anderen Grundrechte auch) nicht schrankenlos geschützt. Aufgehoben wird es, wenn etwa Leib, Leben und Freiheit einer Person gefährdet ist. Etwaige Eingriffe dürfen erst nach einer Anordnung durch einen Richter erfolgen. Mit seinem Urteil hat das Bundesverfassungsgericht einmal mehr klargestellt, dass nicht alles, was technisch möglich ist, rechtlich auch erlaubt ist.
Bundesverfassungsgericht beschränkt Vorratsdatenspeicherung <b>Der Fall:</b> Deutsche Bürgerrechtler und Datenschützer haben vor dem Bundesverfassungsgericht (BVerfG) gegen das Gesetz zur Neuregelung der Telekommunikationsüberwachung geklagt. Die Kläger halten das Gesetz für verfassungswidrig, weil es gegen das grundgesetzlich geschützte Fernmeldegeheimnis verstoße. Das Gesetz schreibt die sechsmonatige Speicherung so genannter Verkehrsdaten (Rufnummern, Zeiten etc.) durch die TK-Anbieter für die Strafverfolgung bei besonders schwerwiegenden Delikten und Straftaten vor. <br/><br/> <b>Die Entscheidung:</b> In seiner einstweiligen Anordnung vom 11. März 2008 hat das BVerfG festgestellt, dass nicht die Speicherung der Daten selbst, sondern erst deren Abruf in Grundrechte der Nutzer eingreife. Das Verfassungsgericht hat zugleich den Datenabruf durch die Behörden eingeschränkt. Das ist nur bei Verdacht einer schweren Straftat möglich (Mord, Totschlag, Raub, Erpressung, Entführung und Kinderpornografie). Zudem muss die Tat auch im Einzelfall schwerwiegend und der Tatverdacht begründet sein. Diese Vorgaben entsprechen im Wesentlichen den Voraussetzungen, die auch die Strafprozessordnung an die TK-Überwachung stellt. <br/><br/> <b> Weiterer Verfahrensgang:</b> Durch seine einstweilige Anordnung hat das BVerfG noch keine allgemeingültige Aussage über die Verfassungsmäßigkeit des Gesetzes getroffen. Es hat lediglich die Folgen - unabhängig von den Erfolgsaussichten – abgewägt. Es hat aber betont, dass die Speicherung der Daten dem Staat Zugriff auf eine Vielzahl hoch sensibler Daten gewährleistet. Den Zugriff gewährt das Gericht nur zur Verfolgung schwerwiegender Straftaten. <br/><br/> <b>Praktische Auswirkungen der Entscheidung:</b> Die Vorratsdatenspeicherung macht umfangreiche technische Anpassungen für TK-Anbieter und einzelne IT-Unternehmen erforderlich, da die Verbindungsdaten nicht nur sechs Monate lang gespeichert werden müssen, sondern auch gegen unbefugten Zugriff zu sichern sind. Die Entscheidung des BVerfG zur Vorratsdatenspeicherung ist auch im Zusammenhang mit der Auseinandersetzung über die Online-Überwachung zu sehen.
Gewinnspiele gegen persönliche Daten <b>Der Fall:</b> Das Oberlandesgericht (OLG) Köln hatte darüber zu entscheiden, ob es rechtmäßig ist, die Teilnahme an einem Gewinnspiel an die Überlassung von persönlichen Daten zu Werbezwecken zu koppeln, rechtmäßig ist. Die Beklagte hatte im Internet ein Gewinnspiel gestartet und Eintrittskarten für die Fußball-WM 2006 verlost. Nach Beantwortung einer recht einfachen Gewinnspielfrage sollten Interessenten auch Angaben zu ihrer Person hinterlassen. Die Teilnahme am Gewinnspiel war nur möglich, wenn sie das Einverständnis gaben, dass die Daten zu Werbezwecken weiterverwertet werden dürfen. Darin sah der Kläger einen Verstoß gegen das Wettbewerbsrecht. <br/><br/> <b>Die Entscheidung:</b> Die Koppelung des Gewinnspiels an eine Datenfreigabe ist nach Ansicht des Gerichts ein wettbewerbswidriges Verhalten. Moniert wurde die Gestaltung des Gewinnspiels: Der Nutzer, der sich bereits zur Teilnahme entschlossen hatte, wurde erst nach dieser Entscheidung vor der Wahl gestellt, entweder Privatsphäre oder Gewinnspiel zu opfern. <br/><br/> <b>Der Kommentar:</b> Die Entscheidung erläutert das Zusammenspiel von Datenschutzregelungen und Wettbewerbsrecht. Wird ein Verbraucher nicht ausreichend darauf hingewiesen, dass er nur unter Preisgabe eines Teils seiner Privatsphäre an einem Gewinnspiel teilnehmen kann, ist dies wettbewerbswidrig. Allerdings wurden im konkreten Fall WM-Tickets verlost. Ob die vom Gericht unterstellte Zwangslage (Aussicht auf WM-Tickets versus Datenfreigabe), in die die Nutzer geraten sind, auch bei weniger begehrten Gewinne besteht, wurde nicht entschieden.
Datenschutz beim Rabatt-System HappyDigits <b>Der Fall: </b> Das Oberlandesgericht (OLG) Köln hatte über die Frage zu entscheiden, ob die Allgemeinen Geschäftsbedingungen (AGB) des Betreibers des bekannten Rabatt-Systems „HappyDigits“ unzulässig sind. Der Kläger beklagte Verstöße gegen das Bundesdatenschutzgesetzes (BDSG). <br/><br/> <b>Die Entscheidung: </b> Bis auf eine Ausnahme entsprachen die Bedingungen nach Ansicht der Richter den gesetzlichen Vorgaben. Die von dem Betreiber des Rabattsystems geforderte <b>Angabe des Geburtsdatums </b> ist nach Ansicht der Richter datenschutzrechtlich zulässig. Der Betreiber habe ein berechtigtes Interesse daran festzustellen, ob der Teilnehmer volljährig ist. Ebenfalls rechtmäßig ist es, dass der Betreiber sich das Recht einräumen lässt, die <b>Daten über die gekauften Waren weiterzuleiten </b>. Nur so könne der Kunde nachvollziehen, ob ihm die ihm zustehenden Punkte auch gutgeschrieben wurden. Dass dies eine gezielte Werbung ermöglicht, sei hinzunehmen. Demgegenüber ist eine Klausel unwirksam, in der Teilnehmers standardmäßig ihr Einverständnis erteilen, ihre <b> persönliche Daten zu Werbezwecken</b> durch den Betreiber und seine Partner zu nutzen. Wirksam wäre ein solches Einverständnis nur durch eine ausdrückliche Erklärung des Teilnehmers („Opt-In-Regelung“). Beim „HappyDigits“-Programm ist das Einverständnis voreingestellt. Der Teilnehmer muss die Passage selbst streichen („Opt-Out-Regelung“). <br/><br/> <b> Besser Opt-In: </b> Das Urteil bestätigt und konkretisiert nochmals die Vorgaben des Bundesdatenschutzgesetzes: Der Verbraucher muss davor geschützt werden, leichtfertig und unüberlegt seine persönlichen Daten herzugeben, nur weil er von dem sonstigen Angebot des Unternehmens überzeugt ist. Unternehmen sind daher weiterhin gut beraten, das Einverständnis des Nutzers ausdrücklich einzuholen und diesen Vorgang zu dokumentieren.
Keine GEZ-Gebührenpflicht für gewerblich genutzten Internet-PC <b>Der Fall:</b> Das Verwaltungsgericht Wiesbaden entschied mit Urteil vom 19. November 2008 zur Rundfunkgebührenpflicht eines gewerblich genutzten, internetfähigen PCs. Der Kläger ist nebenberuflich als EDV-Spezialist und Programmentwickler tätig und übt diese Tätigkeit in dem Privathaus aus. Der Kläger machte geltend, der PC sei für seine Tätigkeit als EDV-Entwickler unverzichtbar und eine Nutzung des PCs als Radio oder Fernsehgerät finde nicht statt. Nachdem die GEZ dennoch Gebühren auch für den betrieblich genutzten PC erhob, wandte sich der Kläger an das Verwaltungsgericht. <br/><br/> <b>Die Entscheidung:</b> Das Gericht entschied zugunsten des Klägers. Es fehle eine zur Gebührenerhebung tragfähige Rechtsgrundlage. Der Bürger müsse erkennen können, für was und in welcher Höhe er mit Gebühren belastet werde. Die Rundfunkgebührenpflicht wird an das Bereithalten eines Rundfunkempfangsgerätes geknüpft. Dies ist jede technische Einrichtung, die zur Hör- und Sichtbarmachung oder Aufzeichnung von Rundfunkdarbietungen geeignet ist. Ein vernünftiger Durchschnittsbürger verstehe darunter ein Gerät, das zumindest auch zum Empfang von Rundfunksendungen angeschafft worden sei. Dies sei bei einem gewerblich genutzten Internet-PC nicht der Fall. Zudem verneinte das Gericht auch deshalb eine Gebührenpflicht, weil der Kläger seine privaten Empfangsgeräte, die sich in demselben Haus befanden, angemeldet hatte. Damit gelte für den beruflich genutzten PC ohnehin die so genannte Zweitgerätefreiheit. <br/><br/> <b>Der Kommentar: </b> Die Gebührenpflicht von internetfähigen PCs löst eine Vielzahl rechtlicher Fragestellungen aus und ist stark umstritten. Die bisherige Rechtsprechung ist uneinheitlich. Bei Nichtmeldung der betrieblichen Internet-PCs besteht bis auf Weiteres neben dem Nachzahlungsrisiko daher auch die Gefahr eines Bußgeldes. Es muss daher regelmäßig mit einer Gebührenerhebung durch die GEZ gerechnet werden.
Bildersuchmaschinen im Lichte des Urheberrechts <b>Der Fall:</b> Das Oberlandesgericht Jena entschied mit Urteil vom 27. Februar 2008 über die Klage einer Künstlerin, die ihre Bilder auf einer Homepage ins Internet eingestellt hatte. Diese Bilder wurden als so genannte Thumbnails in der Trefferliste der Google Bildersuche angezeigt. Die Klägerin sah darin eine Verletzung ihrer Urheberrechte und nahm Google daher auf Unterlassung in Anspruch. <br/><br/> <b>Die Entscheidung:</b> Das Gericht erachtet in den Thumbnails eine unfreie Umgestaltung des Originalwerkes, die der Zustimmung des Urhebers bedarf. Bearbeitungen sind nur dann ohne Einverständnis zulässig, wenn es sich um selbstständige Neuschöpfungen handelt. Dabei muss der Eindruck des Originalwerkes hinter dem neu erstellten Werk zurückbleiben. Thumbnails genügen dieser Anforderung nicht. Die Verkleinerung ist keine eigenschöpferische Leistung. Ausnahme könne ein Zitatzweck darstellen, wenn etwa eine inhaltliche Auseinandersetzung mit dem Originalwerk stattfindet. Auch diese Anforderung erfüllt Googles Bildersuche nicht. <br/><br/> Das Gericht folgte auch nicht der Argumentation von Google, die Künstlerin habe automatisch ihre Einstellung zur Umgestaltung in Thumbnails erteilt, indem sie ihrer Bilder in das Internet ohne technische Schutzmaßnahmen gestellt habe. Derjenige, der Bilder ins Internet einstellt, will lediglich erreichen, dass diese angesehen werden können. <br/><br/> <b> Kein Unterlassungsanspruch gegen Google: </b> Obwohl das Gericht die Herstellung und Verwertung der Thumbnails als urheberrechtswidrig einstufte, verneinte es dennoch einen Unterlassungsanspruch gegen Google. Es sah das Verhalten der Klägerin nach den Grundsätzen von Treu und Glauben als rechtsmissbräuchlich an. Sie habe ihrer Homepage so optimiert, dass sie von der Suchmaschine leichter gefunden wird. Das widerspreche der Unterlassungeklage gegen Google. <br/><br/> <b> Der Kommentar: </b> Die Entscheidung des Gerichts könnte das Aus für Bildersuchmaschinen bedeuten. Andere Gerichte hatten in der Vergangenheit bereits anders entschieden und einen Urheberrechtsverstoß durch Thumbnails aus unterschiedlichen Gründen abgelehnt. Vor diesem Hintergrund und zur Klärung der bestehenden Rechtsunsicherheiten ist es verständlich, dass Google nunmehr gegen das Urteil des OLG Jena Revision beim Bundesgerichtshof eingelegt hat. Bis zur Entscheidung des BGH bleibt das Thema „Thumbnails“ daher weiterhin spannend.
IT-Compliance im Ausland
Ein Servicevertrag mit einem ausländischen Unternehmen unterscheidet sich nicht wesentlich von einem Outsourcing-Vertrag, der zwischen deutschen Partnern geschlossen wurde. Die Globalisierung zeigt hier ihre vereinheitlichende Wirkung. Fragen des Datenschutzes, der IT-Sicherheit und des IT-Service-Managements werden grundsätzlich nach internationalen Standards behandelt, wobei natürlich lokale Besonderheiten bestehen können. Dennoch gibt es in der Auslandsdatenverarbeitung einige Fallstricke. Auf folgende Bereiche sollten Verträge eingehen:
- IT-Sicherheitsanalyse;
- Datenschutz;
- IT-Compliance-Anforderungen;
- Kontrolle der Auslagerung.
IT-Sicherheitsanalyse der Datenverarbeitung im Ausland
Fotolia, Vege Foto: Fotolia, Vege
Die IT-Verarbeitung im Ausland ist Bedrohungen ausgesetzt, die Anwender genau analysieren sollten. Die Beteuerungen der Serviceanbieter, sie orientierten sich an internationalen Standards, sind zum Teil wertlos. Das musste etwa ein Anwender erfahren, der bei einer Rechenzentrumsbesichtigung eines großen Anbieters in den USA Überraschendes erlebte. Das Data Center, das seine Server beherbergte, lag auf einem campusartigen, öffentlich zugänglichen Gelände. Eine Perimetersicherung (Freigeländesicherung) gab es praktisch nicht. Der Zugang wurde von einem Wachmann geschützt, der aufgrund gesetzlicher Regelungen in Neuengland keine Waffe tragen durfte. Die physische Sicherheit war gemessen an deutschen Maßstäben kümmerlich. Der amerikanische Betreiber konnte jedoch kein Sicherheitsproblem erkennen. Er bestritt, dass es ein Bedrohungsszenario gebe, da das Rechenzentrum nicht an einem einsamen Ort liege.
Vorsicht ist zudem geboten, wenn Daten in Länder gelangen, in denen die innenpolitische Lage nicht stabil ist. Hier können Unternehmensdaten durch Wirtschaftsspionage und organisierte Kriminalität gefährdet sein. Hat ein Systemverwalter in einem solchen Land etwa Verwaltungsrechte in einem weltweiten Active Directory, kann er auf deutsche Systeme zugreifen. Eine entsprechende Rechtedelegation ist daher dringend erforderlich. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kennt das Problem und hat entsprechende Handlungsanweisungen formuliert (BSI-Grundschutz M 2.230: "Planung der Active Directory-Administration").
Empfehlung: Ein deutscher IT-Sicherheitsexperte sollte vor Ort untersuchen, ob die geplante Auslandsdatenverarbeitung empfehlenswert ist. Ziel muss es sein, die Gefährdung des Unternehmens im Verarbeitungsland einzuschätzen. Unternehmenskritische Daten dürfen nicht ungeschützt im Ausland verarbeitet werden. Der Sicherheitsexperte muss gegebenenfalls Schutzmaßnahmen formulieren, die in das Vertragswerk einfließen sollten.
Datenschutz im Ausland
Werden kritische Daten in ein Rechenzentrum verlagert, das im Ausland betrieben wird, müssen die Aufsichtsbehörden informiert werden. Foto: T-Systems
Das so genannte Cloud-Archiving ist wie andere globalisierte Cloud-Dienstleistungen mit einem datenschutzrechtlichen Vorbehalt belastet. Es muss also von den zuständigen Aufsichtsbehörden, etwa der Bankenaufsicht, genehmigt werden. Dafür muss das auslagernde Unternehmen ausreichende Garantien vorweisen, insbesondere muss es nachweisen, dass es entsprechende Kontrollrechte ausüben kann. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seinem Grundschutzkatalog davor, personenbezogene Daten im Ausland zu verarbeiten. In Länder außerhalb der EU dürfen solche Daten nur dann übermittelt werden, wenn dort ein Datenschutzniveau gewährleistet ist, das dem Bundesdatenschutzgesetz entspricht.
Empfehlung: Nach der bereits empfohlenen IT-Sicherheitsanalyse muss auch vor Ort geprüft werden, welcher Datenschutz in dem Land gilt und ob der Anbieter ihn einhält. Die deutschen Gesetze sind mit den lokalen Anforderungen abzugleichen. Der Nachweis, dass die Schutzmechanismen eingehalten werden, muss im Vertrag mit dem Provider festgehalten werden.
IT-Compliance-Anforderungen
Fotolia, Klaus Rein Foto: Klaus Rein - Fotolia.com
Sowohl die Verlagerung von IT-Services ins Ausland als auch der Bezug von externen Diensten aus dem Ausland unterliegt den regulatorischen Anforderungen hinsichtlich IT-Compliance. Hier können sich Aspekte ergeben, die bei der inländischen Verarbeitung keine Rolle gespielt haben. Lagern Unternehmen etwa die Akkreditivverarbeitung nach Irland aus, müssen die Kreditbriefe als Belege für die Buchführung physisch in Deutschland gespeichert werden, sei es im Original oder als digitales Dokument. Ein Unternehmen erfüllte diese Vorgabe, indem es einen Archiv-Server in Deutschland installierte, der den Prüfern einen gesetzesgerechten Zugriff auf die Belege ermöglichte. Darüber hinaus müssen Anwender dem Finanzamt mitteilen, wenn Rechnungen nicht im Inland aufbewahrt werden.
Empfehlung: Wer Daten im Ausland verarbeiten will, sollte sich bewusst sein, dass die elektronische Archivierung von Geschäftsvorfällen, die Nachweispflichten und die Zugriffsmöglichkeit der Finanzbehörden nach den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) ein kritisches Thema sind.
Auslagerungskontrolle
Ob die verpflichtenden Schutzmaßnahmen im Rahmen eines Outsourcing-Abkommens tatsächlich wirksam sind, obliegt dem Anwenderunternehmen. Oft vertrauen die Unternehmen der falschen Annahme, mit dem Vertrag seien alle Belange geregelt, daher müssten sie sich nicht selbst um die Einhaltung von rechtlichen Anforderungen kümmern. Das Gegenteil ist der Fall. Gerade im Bereich des Rechnungswesens, der Steuern und im Datenschutz wird das Unternehmen bei Verstößen ungeachtet der vertraglichen Vereinbarungen direkt und selbst bestraft. Die betroffene Organisation kann sich allenfalls auf Basis der Vertragsbedingungen einen Schadenersatz erkämpfen.
Auch ausländische Bestätigungen von Wirtschaftsprüfern nach den Auditing-Standards SAS 70 und ISA 402 helfen nicht weiter. Die Provider verweisen gerne auf diese Reports, doch die durchleuchten lediglich das interne Kontrollsystem (IKS). Dabei werden nur rechnungswesenrelevante, vordefinierte Kontrollen erhoben, die nicht als rechtliche Genehmigung zu verstehen sind. Non-Compliance-Situationen, die nicht von diesem IKS-Ausschnitt erfasst werden, bleiben auslagernden Unternehmen beziehungsweise den Prüfern verborgen.
Empfehlung: Laufende zeitnahe Überwachung ist empfehlenswert. Das lässt sich etwa praktizieren, indem Anwender Zugang zum Problem- und Störfall-Management-System des Providers bekommen. Das auslagernde Unternehmen kann so - am besten in Echtzeit - auftretende Probleme erkennen und bewerten. Die Sicherheitssysteme des Outsourcing-Unternehmens können Berichte und Alarmmeldungen jeweils sofort an das auslagernde Unternehmen schicken. So werden Sicherheitsgefährdungen frühzeitig erkannt. Auch eine interne Revision, die über das IKS hinaus prüft, ist unerlässlich. Diese Punkte sind in den Standardverträgen meist nur ansatzweise angesprochen und sollten deshalb explizit vereinbart werden.
Fazit: Der Standardvertrag hilft nicht weiter
Ein Outsourcing-Standardvertrag ist schnell unterschrieben - aber wie die Beispiele zeigen, macht man es sich damit zu einfach. Die Analysen zur IT-Sicherheit, zum Datenschutz, zu bestehenden und neuen IT-Compliance-Anforderungen und die Kontrolle der grenzüberschreitenden Datenverarbeitung sollte das Unternehmen von Spezialisten ausführen lassen, damit es nicht in eine Risikofalle tappt, die der Geschäftsführung den Vorwurf der Fahrlässigkeit einträgt. Die Attraktivität manch verlockenden und vermeintlich flexiblen Angebots schwindet rasch. Anwender sollten generell den Rat beherzigen, nur IT-Services im Ausland in Anspruch zu nehmen, die zeit- und sicherheitsunkritisch sind.