Welche Daten müssen geschützt werden?

CW: Für welche Informationen gilt der Datenschutz?

Rath: Nur die Verarbeitung von Daten ohne jeglichen Personenbezug unterliegt nicht dem besonderen Schutz informationeller Selbstbestimmung. Finanzdaten und sensible Daten, auf deren Geheimhaltung und Verfügbarkeit die Unternehmen angewiesen sind, gehören dennoch nicht in die Wolke, und zwar aus IT-Sicherheits- und Compliance-Gründen. Bevor Finanzdaten extern gespeichert werden, sollte zudem die Steuerbehörde befragt werden, denn teilweise verlangen die Finanzverwaltungen (trotz EU-Harmonisierung) einen Server-Standort im Inland.

Was leisten individuelle Verträge?

CW: Können Verträge und SLAs mit Providern den Datenschutz gewährleisten?

Rath: Rein rechtlich unterscheidet sich das Cloud-Computing kaum vom klassischen Outsourcing, die Vorteile der Virtualisierung auf Netzwerk- und Systemebene werden ja heute bereits genutzt. Für die Cloud sollten dennoch spezifische SLAs vereinbart werden. Eine private oder gekapselte Cloud sowie eine End-to-End-Verschlüsselung sind bei sensiblen Daten Pflicht. Auch sollten die umfassenden Zugriffsmöglichkeiten des Cloud-Administrators auf die Daten vertraglich reglementiert werden. Zudem ist Anwendern zu raten, keine Cloud-Dienste ohne rechtliche Prüfung, Konfigurations- und Risikoanalyse nutzen. (jha)