Die rechtlichen Aspekte der Cloud

Cloud Computing? Aber sicher!

07.05.2012

Von

Uwe Küll (Autor)

Uwe Küll ist freier Journalist in München.

Alle Posts des Autors Email:

Datenschutz und Sicherheit in der EU

CW: Und wie sieht es außerhalb der EU-Staaten aus?

Bräutigam: Auch diesem Thema haben sich die Behörden gestellt. Hier gelten grundsätzlich die gleichen Bestimmungen, sofern der Cloud-Dienstleister unabhängig vom jeweiligen Landesrecht die Bedingungen des europäischen Datenschutzrechts erfüllt. Umsetzen kann man das mit den sogenannten EU-Standardvertragsklauseln. Dabei kommen im Cloud-Dienstleistungsvertrag Standardklauseln zum Einsatz, die zu diesem Zweck von der Europäischen Kommission auf ihrer Website bereitgestellt werden.

Wenn ein außereuropäischer Dienste-Anbieter diese Klauseln in seinem Vertrag hat, unterwirft er sich damit den europäischen Datenschutzbestimmungen. Im Übrigen lässt sich dieses Verfahren auch auf Subunternehmer des Cloud-Anbieters ausdehnen, entsprechende Standardklauseln der EU stehen ebenfalls zur Verfügung. Eine zweite Möglichkeit zur Umsetzung ist die Zertifizierung nach dem Safe-Harbour-Abkommen zwischen der EU und den USA. Auch hierbei wird zugesichert, die europäischen Datenschutzbestimmungen einzuhalten.

CW: Gelten diese Regelungen für alle Branchen?

Bräutigam: Grundsätzlich sind die EU-Standardverträge anwendbar auf alle Unternehmen. Für bestimmte Branchen sind allerdings Regelungen zu beachten, wonach Daten aus strafrechtlichen Gründen nicht ausgelagert werden dürfen. Dies sind zum Beispiel insbesondere Ärzte, Krankenhäuser, Anwälte, Lebens- und Krankenversicherungen, die das Mandats- beziehungsweise Arztgeheimnis beachten müssen. Aber der Deutsche Anwaltverein hat nun eine Gesetzesänderung vorgeschlagen. Sie sieht vor, dass die Strafbarkeit dieser Berufsgruppen im Falle einer Datenweitergabe auf deren unabhängige Dienstleister ausgeweitet wird. Auch wenn dieser Ansatz derzeit noch diskutiert wird, ist diese Initiative, die bei einem Symposium in Berlin Ende März auch die Aufmerksamkeit der Bundesjustizministerin auf sich gezogen hat, sehr zu begrüßen.

CW: Welche Rolle spielt aus Ihrer Sicht der Patriot Act für die Beurteilung US-amerikanischer Cloud-Anbieter?

Bräutigam: Ich halte die Diskussion um dieses Thema für übertrieben und einseitig. Dass staatliche Behörden oder Geheimdienste in begründeten Ausnahmefällen auf Daten zugreifen, die eigentlich gegen Zugriff geschützt sind, ist eine weltweit geübte Praxis - übrigens auch in Deutschland. Dieses Vorgehen ist weder national noch auf bestimmte Branchen begrenzt. Juristisch betrachtet, gibt es keinen Grund, diese Tatsache gegen Cloud Computing allgemein oder eine bestimmte Gruppe von Anbietern einzuwenden. Zu bedenken ist weiter, dass die großen Cloud-Anbieter alle international vernetzt arbeiten, so dass ein US-Geheimdienst im Einzelfall möglicherweise über eine Konzerngesellschaft in den USA auch Zugriff auf die Daten eines deutschen Anbieters erhalten könnte.

CW: Was muss ein Unternehmen tun, wenn es Cloud Computing sicher nutzen möchte?

Bräutigam: Das A und O beim Cloud Computing sind die Transparenz, die Sicherheit und der Vertrag. Hinsichtlich der technischen Sicherheit kann der Kunde sich auf die Zertifikate unabhängiger Institutionen verlassen, sollte sich aber natürlich davon überzeugen, was genau geprüft und bestätigt wurde sowie dass die Zertifikate aktuell sind und sich auf die von ihm genutzten Ressourcen und Leistungen beziehen. Weitere Themen wie Volumenzusagen, Verfügbarkeit der genutzten Ressourcen, Qualität und Ausfallsicherheit der Dienste sowie Backup und Recovery bis hin zu Häufigkeit und Dauer von wartungsbedingten Downtimes sind in den Service-Level-Agreements genau festzulegen. Und ein gutes Angebot erkennt der Kunde immer an klaren Angaben zu diesen Punkten.

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren