Rechtsfragen in der Cloud

Juristische Hürden bei Cloud-Collaboration-Lösungen

01.08.2013 von Michael Rath und Christian Kuss  
Die Zusammenarbeit von Mitarbeitern lässt sich durch Collaboration-Anwendungen vereinfachen. Unternehmen müssen allerdings rechtliche Hürde beachten.
Unternehmen sollten vor dem Einsatz von Collaboration-Tools aus der Cloud rechtliche Hürden beseitigen.
Foto: liveostockimages, Fotolia.com

Mit Collaboration-Lösungen können Anwender unabhängig von Standort und eingesetzter Hardware gleichzeitig an Dateien arbeiten. Die Zusammenarbeit wird durch integrierte Kommunikationmittel, wie etwa Instant Messaging, unterstützt. Beispiele für Collaboration-Lösungen sind Office 365, Google Docs oder Angebote von Box.com. Diese Anwendungen werden typischerweise über eine Public Cloud bereitgestellt.

Möchte ein Unternehmen eine Collaboration-Lösung verwenden, muss es verschiedene Rechtsvorschriften beachten. Hierzu zählen insbesondere Vorgaben zu Datenschutz und Datensicherheit sowie Vorschriften aus dem Handels- und Steuerrecht beziehungsweise dem Arbeitsrecht. Daneben können branchen- oder produktspezifische Vorgaben eine Rolle spielen (etwa im Finanzsektor). Trotz der vielen rechtlichen Anforderungen kann es gelingen, diese Anwendungen rechtskonform einzusetzen.

Fallbeispiel für den Einsatz einer Collaboration-Lösung

Ein deutscher Maschinenbauer möchte eine Collaboration-Lösung einsetzen, da er im Rahmen eines Projektes ein Team aus Mitarbeitern verschiedener Produktionsstandorte in Europa, Asien und den USA zusammengestellt hat. Die Mitarbeiter müssen gemeinsam eine auf die Kundenanforderungen abgestimmte Lösung entwickeln. Dafür sollen sie Ideen austauschen, miteinander kommunizieren, Dateien versenden und gemeinsam Berichte über den Projektfortschritt verfassen.

Dabei muss das Unternehmen Datenschutzrichtlinien beachten. Dies betrifft den Umgang mit personenbezogenen Daten, also Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Im Interesse des Betroffenen wird der Umgang mit personenbezogenen Daten eingeschränkt. So ist die Nutzung von personenbezogenen Daten nur zulässig, wenn der Betroffene eingewilligt hat oder eine Rechtsvorschrift dies gestattet (Erlaubnistatbestände).

Risiken beim Umstieg und mögliche Lösungsstrategie
Risiken beim Umstieg und mögliche Lösungsstrategien
Collaboration- und Groupware-Lösungen eignen sich gut für den Cloud-Einsatz und sind bereits weit verbreitet. Doch bei aller Routine sollten Anwender den Umzug in die Cloud gut planen und vorbereiten.
Risiko:
Benutzerakzeptanz
Gegenmaßnahme:
Ausreichende Vorabinformation und Schulung
Risiko:
Abhängigkeit vom Anbieter
Gegenmaßnahme:
Datenportabilität sicherstellen
Risiko:
Datenschutz
Gegenmaßnahme:
Datenschutzmaßnahmen prüfen, Auftragsdatenverarbeitung abschließen
Risiko:
Reibungsverluste bei der Umstellung
Gegenmaßnahme:
Erfahrungen mit Pilotnutzern sammeln
Risiko:
geringere Anpassungsmöglichkeiten
Gegenmaßnahme:
Integrationsanforderungen genau spezifizieren und abklären

Personenbezogene Daten

Das Maschinenbauunternehmen wird allerdings beim Einsatz der Collaboration-Anwendung regelmäßig eine Vielzahl personenbezogener Daten verarbeiten. Für seine Mitarbeiter muss das Unternehmen Benutzerkennungen anlegen: Die Benutzer erstellen Dokumente und Dateien, die ihnen zugeordnet werden können. In den Freitextfeldern, insbesondere bei Word-Dokumenten, können beliebige Informationen eingetragen werden. Häufig finden sich auch Kontaktdetails der Kunden in den Adressbüchern oder den Email-Programmen. All dies sind personenbezogene Daten.

Dieser Inhalt wird den anderen Benutzern zugänglich gemacht. Vielleicht erlangen sogar betriebsfremde Dritte im Rahmen des Projekts Zugriff auf die Informationen. Physisch liegen die Dateien auf der IT-Infrastruktur des Providers, der ebenfalls darauf zugreifen könnte. Datenschutzrechtlich werden dabei Daten erhoben, gespeichert und an die anderen Benutzer und den Provider übermittelt.

Auftragsdatenverarbeitung

Das Beispielunternehmen muss den Umgang mit personenbezogenen Daten auf einen Erlaubnistatbestand stützen können. Zwar kommt dafür grundsätzlich eine Einwilligung in Betracht. Praktisch sprechen jedoch einige Gründe gegen die Einwilligung als Erlaubnistatbestand: Das Maschinenbauunternehmen müsste von seinen Kunden, Lieferanten und Mitarbeitern eine Einwilligung abfragen, was einen hohen Dokumentationsaufwand bedeutet. Zusätzlich ist es problematisch, ob die Einwilligung eines Mitarbeiters aufgrund seiner sozialen Abhängigkeit vom Arbeitgeber überhaupt wirksam ist. Schließlich kann eine Einwilligung jederzeit widerrufen werden.

Es empfiehlt sich deshalb, auf andere Erlaubnistatbestände auszuweichen. So sollte der Abschluss eines Auftragsdatenverarbeitungsvertrages für den Einsatz einer Collaboration-Lösung vorgezogen werden. Ein Grund: Beim Vorliegen eines solchen Vertrages muss nicht jede Übermittlung von personenbezogenen Daten individuell auf ihre Zulässigkeit überprüft werden. Die Auftragsdatenverarbeitung führt dazu, dass die Datenverarbeitung des Providers dem Maschinenbauunternehmen zugerechnet wird.

Grundlage der Auftragsdatenverarbeitung ist ein Vertrag zwischen dem Maschinenbauunternehmen und dem Provider, in dem sich der Provider bezüglich der Datenverarbeitung den Weisungen des Unternehmens unterwirft. Der Inhalt des Vertrages ist vom Gesetz vorgeschrieben. Neben dem Weisungsrecht muss der Vertrag unter anderem Regelungen über die Art der Daten, die umzusetzenden technischen Datenschutzmaßnahmen und zum Einsatz in Subunternehmern enthalten. Schließlich ist das Unternehmen verpflichtet, die Umsetzung der technischen Datenschutzmaßnahmen durch Kontrollen beim Provider sicherzustellen.

Collaboration-Tools für KMU
"Redaktionsbro"
Da wird das "Redaktionsbüro" zum "Redaktionsbro": Die „Central Desktop“-Lösung kommt wie viele andere amerikanische Lösungen im Netz nur schlecht bis überhaupt mit Umlauten in Bezeichnung klar.
Assistenten helfen online
Das Hinzufügen neuer Kollegen zum bestehenden Workspace ist bei Central Desktop schnell erledigt und bietet übersichtliche Möglichkeiten, den Anwender entsprechende Rechte zuzuweisen.
Bildbehandlung
Die Lösung Central Desktop bietet in einem Workspace auch die Möglichkeit, mit Bildern umzugehen: Leider zeigt sich auch hier die Schwäche bei der Arbeit mit Dateinamen, die nicht dem einfachen ASCII-Zeichensatz ohne Umlaute entsprechen.
Online-Hilfe
Online-Hilfe, die das Arbeiten erleichtern kann: Durch interaktive Hilfe ermöglicht es die Software von Projectplace relativ einfach, Projekt anzulegen und zu betreuen.
Farbcodes
Farben helfen bei der Visualisierung: Dadurch werden die unterschiedlichen Aktivitäten innerhalb eines Projekts deutlicher hervorgehoben – die Teammitglieder erhalten so unter Projectplace schnellen einen entsprechenden Überblick.
Mobil geht's auch
So werden auch die mobilen Mitarbeiter eingebunden: Für den Zugriff auf die Projectplace-Lösung steht auch einen Android-App bereit, die zwar nicht alle Funktionen des Web-Interfaces bieten kann, aber einen grundsätzlichen Überblick gewährt.
Registrierung
Eine Registrierung ist notwendig: Wie bei vielen anderen Collaboration-Lösungen, die einen Server in der Cloud bereitstellen, ist auch beim Einsatz von „amagno“ zunächst eine Registrierung notwendig.
Gruppenarbeit
Ist die erste Gruppe eingerichtet, so können mit Hilfe der "amagno"-Software entsprechende Dokumente relativ leicht und schnell automatisch gesichert werden.
Dokumentenaustausch
Arbeiten mit den "Magneten" und vor allen Dingen mit den Dokumenten: Hier zeigte es sich, dass die "amagno"-Lösung sehr gut mit den unterschiedlichen Dokumententypen umgehen kann.
Teamdrive
Aufgeräumte Oberfläche: Mit der Version 3.1 stellt die Lösung "Teamdrive" eine ganze Reihe von Informationen zur Verfügung, die sich natürlich erst nach und nach füllen – hier ist der Client direkt nach der Installation zu sehen.
Einladung
Einladung für die Verwendung eines Team-Spaces: Direkt aus der Anwendung heraus kann ein Nutzer andere Teammitglieder zur Nutzung seines Teamdrive-Bereiches einladen.
Auch für Android
Zugriff auch vom Android-Tablet (hier unter Android 4.22): Die Teamdrive-App bietet dabei allerdings nicht alle Möglichkeiten, die dem Anwender mit dem Windows-Client zur Verfügung stehen.
SharePoint machts selbst
Das Vorbereitungstool für SharePoint Foundation 2013: Microsoft hilft hier dem Anwender sehr gut dadurch, dass die benötigten Softwareprodukte automatisch nachinstalliert werden – trotzdem stoppt die Installation nur allzu häufig mit kryptischen Fehlermeldungen.
Der fertige SharePoint
Es ist vollbracht: Der SharePoint Foundation Server 2013 wurde auf einem Windows Server 2008 R2 installiert und präsentiert eine Web-Oberfläche für die weitere Konfiguration.

Probleme in der Praxis

In der Praxis stößt dies häufig auf Probleme. Zum einen möchte der Provider seinen Kunden keinen Zugang zu den Rechenzentren gewähren. In diesem Fall kann die Kontrolle durch die Vorlage aussagekräftiger Zertifikate neutraler Dritter substituiert werden, die die Umsetzung der technischen Datenschutzmaßnahmen nachweisen. Zum anderen legt der Cloud-Provider die Infrastruktur, insbesondere die Standorte seiner Rechenzentren, und die Datenflüsse nicht offen. Das Unternehmen steht vor dem Problem, dass es anhand der Zertifikate nicht sicherstellen kann, ob diese tatsächlich alle relevanten Orte, wie zum Beispiel Service-Center, die Zugriff auf die Daten haben, erfassen. Insoweit hängt der rechtskonforme Einsatz von der Kooperationsbereitschaft des Providers ab.

Ein weiteres Problem kommt hinzu, wenn personenbezogene Daten an Orte außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) übermittelt werden. Durch die EU-Datenschutzrichtlinie 95/46/EG wurde in den Mitgliedsstaaten ein einheitliches Datenschutzniveau geschaffen. Deshalb können personenbezogene Daten innerhalb Europas unter den dargestellten Erlaubnistatbeständen übermittelt werden. Sitzt der Empfänger jedoch außerhalb dieser Staaten, muss ein angemessenes Datenschutzniveau durch die EU-Kommission festgestellt worden sein.

Fehlt eine solche Feststellung, muss dies durch zusätzliche Maßnahmen, wie den Abschluss der EU-Standardvertragsklauseln oder die Verpflichtung auf Safe Harbor Prinzipien, sichergestellt werden. Die Informationen, die das Maschinenbauunternehmen an die Standorte in Asien und den USA übermittelt, wären hiervon betroffen. Auf Seiten des Providers könnte dies ebenfalls eintreten, wenn dieser Subunternehmer in einem Drittland beschäftigt. In der Praxis hat sich der Abschluss der EU-Standardvertragsklauseln bewährt. Allerdings muss stets überprüft werden, ob diese für die beabsichtigte Datenverarbeitung auch geeignet sind.

Weitere Rechtspflichten

Neben dem Datenschutzrecht können weitere Rechtspflichten zum Tragen kommen, welche die Verlagerung von Informationen in die Cloud untersagen. Das können beispielsweise Geheimhaltungsvereinbarungen oder Vorschriften zum Geheimnisschutz aus dem Wettbewerbsrecht oder dem Strafrecht sein. Auch Exportkontrollvorschriften können dem entgegenstehen. Das Maschinenbauunternehmen muss also sicherstellen, dass Informationen, die besonders geschützt sind, nicht in die Cloud ausgelagert werden. Da der Provider möglicherweise auf die Informationen zugreifen kann, könnte darin ein Verstoß gegen die Rechtspflichten liegen.

Der Schutz personenbezogener Daten erfasst aber nicht zwingend alle Informationen, die aus Sicht des Unternehmens kritisch sind, wie zum Beispiel Preislisten, Konstruktionszeichnungen, Forschungs- und Entwicklungsergebnisse und Kundenlisten. Diese unterliegen dem Datenschutz nur insoweit, wie darin personenbezogene Daten enthalten sind. Der Abschluss von Geheimhaltungsvereinbarungen mit dem Cloud-Provider kann den erforderlichen Schutz gewähren. Vor dem Hintergrund der aktuellen Diskussion um PRISM und Tempora sollte das Maschinenbauunternehmen jedoch besonders kritisch prüfen, welche Daten es im Rahmen einer Cloud Computing Lösung verarbeiten möchte. Denn es lässt sich nicht ausschließen, dass Informationen von Dritten zur Kenntnis genommen werden.

Deutscher Datenschutz contra NSA-Schnüffler
Datenschutz in Deutschland
Der Prism-Skandal beschäftigt die IT-Branche weiterhin. Wir haben bei Providern wie HP, IBM, Telekom und Google angefragt, wie sie es mit dem Schutz ihrer deutschen Kundendaten halten. Hier kommen die Antworten:
Hewlett-Packard (HP): Werden selten angefragt
„Weder HP global noch HP Deutschland gewähren hier Zugangsrechte zu Kundendaten im Rahmen des „Project Prism“. <br /><br /> Grundsätzlich gilt: In jedem Land werden den staatlichen Sicherheitsbehörden Zugriffsrechte gewährt, wenn die nationale Sicherheit bedroht ist. (…) Anfragen zur Übermittlung von Daten in diesem Kontext beziehen sich zumeist auf Telekommunikationsunternehmen. IT-Infrastrukturanbieter wie HP sind hier äußerst selten betroffen.“
Fujitsu: Deutsche Rechenzentren unterliegen dem deutschen Gesetz.
„Ein Zugriff auf Kundendaten durch Verfolgungsbehörden oder nationale und internationale Geheimdienste wird ausschließlich auf Grundlage eines deutschen Gerichtsbeschlusses gewährt. Die deutschen Rechenzentren unterliegen dem deutschen Datenschutzgesetz, das dies eindeutig regelt. <br /><br /> Da die Muttergesellschaft von Fujitsu Technology Solutions ein japanisches Unternehmen ist, kommt auch der US-amerikanische Patriot Act bei Kunden unseres Unternehmens nicht zur Anwendung.“
Salesforce: Wir ermöglichen keinen Regierungen direkten Zugang.
„Nichts ist für Salesforce.com wichtiger als die Privatsphäre und die Sicherheit der Daten unserer Kunden. Wir sind nicht in das PRISM-Programm involviert und wir ermöglichen keinen Regierungen direkten Zugang zu den Servern von Salesforce.“
Google: Wir prüfen alle Anfragen gewissenhaft.
"Google sorgt sich intensiv um die Sicherheit der Daten unserer Kunden. Wir legen Kundendaten gegenüber den Behörden offen gemäß geltender Gesetze offen, und wir prüfen alle Anfragen gewissenhaft.“

Datensicherheit und IT-Compliance

Auch Maßnahmen zur technischen Datensicherheit sind notwendig. Die Geschäftsleitung muss etwa ein Überwachungssystem einführen, das bestandsgefährdende Risiken früh erkennt. Anderenfalls kommt im Schadensfall eine persönliche Haftung der Geschäftsleitung in Betracht. Diese Überwachungspflicht erstreckt sich auch auf die eingesetzte Informationstechnik. Die Geschäftsleitung kann sich von dieser Pflicht nicht dadurch frei zeichnen, dass es die Collaboration-Lösung nicht selbst hostet, sondern vom Provider bezieht. Hat der Provider allerdings selbst ein Überwachungssystem eingerichtet, kann das Unternehmen sich dies durch einen Prüfbericht bestätigen lassen. Die Geschäftsleitung erfüllt damit ihre Pflichten und kann das einem Haftungsverlangen entgegenhalten.

Steuerrecht

Verfasst das Maschinenbauunternehmen steuer- oder handelsrechtlich relevante Unterlagen mit der Collaboration-Lösung, muss es den zuständigen Finanzbehörden unter Umständen Zugriff auf diese Unterlagen gewähren. Steht die IT-Infrastruktur nicht ausschließlich in Deutschland, muss das Maschinenbauunternehmen die Zustimmung der Steuerbehörden einholen, wenn es steuerrelevante Dokumente darin speichert, da diese außerhalb von Deutschland gelegen sind.

Die Unterlagen können zudem steuer- und handelsrechtlichen Aufbewahrungspflichten unterliegen. Sie müssen dann für eine Frist von sechs oder zehn Jahren aufbewahrt werden. Allerdings genügen die Collaboration-Lösungen in der Regel oft nicht den technischen Anforderungen an eine revisionssichere Aufbewahrung, denn die Dokumente lassen sich verändern. Sollen die Dokumente dennoch digital gespeichert werden, benötigt das Unternehmen ein Dokumenten-Management-System, in dem sich die elektronischen Dokumente revisionssicher abspeichern lassen.

Arbeitsrecht

Da die Anwender permanent zusammenarbeiten, besteht für den Arbeitgeber die (theoretische) Möglichkeit, die Leistung und das Verhalten seiner Mitarbeiter zu kontrollieren. Anhand der Verfügbarkeit innerhalb des Systems lässt sich feststellen, ob sie vereinbarte Arbeitszeiten einhalten. Über den Status der Dateien kann er zudem mitverfolgen, wie das Projekt voranschreitet. Die Einführung einer Collaboration-Lösung kann in diesem Fall von der Zustimmung des Betriebsrats abhängig sein.

Checkliste: Collaboration-Lösung aus der Cloud

Umfassende Informationen über Datenfluss, Standorte, Zugriffsmöglichkeiten und eingesetzte Subunternehmer des Cloud-Providers einholen.
Analyse und Evaluierung des eigenen Datenbestandes, insbesondere im Hinblick auf bestehende Geheimhaltungsverpflichtungen, branchen- oder sektorspezifische Rechtspflichten und unternehmenskritische Daten.
Bestimmung der Einsatzzwecke der Collaboration-Lösung und der davon betroffenen, personenbezogenen Daten, wie zum Beispiel der Mitarbeiter, Kunden und Lieferanten.
Verhandlung und Vereinbarung einer Auftragsdatenvereinbarung oder Prüfung anderer Erlaubnistatbestände
Bei internationalen Datentransfers sicherstellen, dass ein angemessenes Datenschutzniveau besteht oder hergestellt wird.
Die technische Datensicherheit durch Vorlage aussagekräftiger Prüfberichte kontrollieren.
Sofern steuerrechtlich relevante Dokumente betroffen sind, sicherstellen, dass die Anforderungen an die Verarbeitung im Ausland und die Aufbewahrung der Dokumente erfüllt werden.
In Abhängigkeit von der verwendeten Collaboration-Lösung den Betriebsrat informieren und dessen Zustimmung einholen.

Michael Rath ist Fachanwalt für IT-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln.