Der Reiz, Kosten zu senken, ist verlockend und zwingt immer mehr IT-Verantwortliche dazu, Applikationen, Services und die Infrastruktur über einen Cloud-Computing-Provider zu betreiben. Während die Anbieter das neue Modewort "Cloud Computing" rege vermarkten, sind viele CIOs angesichts der in den Medien geführten Sicherheitsdiskussion verunsichert. Skepsis ist berechtigt, sagen Rechtsexperten, denn ohne ausreichende Vorbereitung verfängt man sich schnell in einem der vielen rechtlichen Fallstricke.

"Das zentrale Stichwort heißt Compliance", sagt Jan Pohle, Rechtsanwalt und Partner beim Düsseldorfer Büro von Taylor Wessing. Wer etwas in die Cloud auslagert, muss den gesetzlichen und auch den vom Unternehmen definierten Rechtsrahmen berücksichtigen. Das betrifft den Schutz von personenbezogenen Daten ebenso wie den Geheimnisschutz, also die Sicherung von Unternehmensinformationen, sowie die Verfügbarkeit und Sicherheit der Systeme und Anwendungen.

Bei Cloud Computing besteht generell ein gesteigertes Risiko gegenüber anderen Arten der Auslagerung wie Managed Services, Offshoring und Outsourcing, weil die Steuerung des Providers nicht mehr möglich ist und sich "die Anforderungen zur Einhaltung gesetzlicher und unternehmsinterner Compliancevorgaben damit graduell erhöhen", so Pohle.

Von der Wunschliste zum Vertrag

Was bedeutet das für die Vorgehensweise in der Praxis? "Zunächst einmal sollte jeder IT-Verantwortliche eine Art Wunschliste erstellen, welche IT-Anwendungen aus wirtschaftlichen und technischen Gründen zur Auslagerung für sein Unternehmen überhaupt in Frage kommen", sagt Rechtsanwalt Pohle. An dieser Stelle wird spätestens definiert, welche Daten und Informationen als kritisch eingestuft werden. Im zweiten Schritt wird - idealerweise unter Einbeziehung eines Rechtsexperten - überprüft, ob die Wunschliste aus Sicht realisierbar ist und inwiefern die Umsetzung im Zusammenhang mit den Kosten, dem Nutzen und dem Risiko opportun ist.

Im nächsten Schritt wird schließlich geprüft, wie sich das damit entstandene Grobkonzept in die Praxis umsetzen lässt. Die Suche nach einem passenden Dienstleister kann beginnen.

Pohle rät dazu, einen Provider zu wählen, der dem Unternehmen garantiert, dass seine Daten auf Servern in Deutschland oder innerhalb der EU bleiben. Einige Provider bieten das an. Bei der Vorhaltung der Daten außerhalb der EU bestehen gesteigerte Risiken des Datenverlustes, der Spionage, und es können Probleme bei der Verfügbarkeit der Daten auftreten.

Die EU-weite Einschränkung entspricht auch der Auffassung des deutschen Datenschutzes: In seinem Jahresbericht "Datenschutz und Informationsfreiheit" stellt der Berliner Datenschutzbeauftragte Alexander Dix fest, dass die Cloud-basierte Verarbeitung von Personendaten außerhalb der EU nach deutschem Datenschutzrecht nicht zulässig ist. "Die datenschutzrechtlich für die Datenverarbeitung verantwortlichen, z. B. deutschen Kundinnen und Kunden, müssen sich davon überzeugen, dass die Datenverarbeitung nicht in einem Drittland ohne angemessenes Datenschutzniveau, z. B. in den USA, China oder Japan, stattfindet".

Doch auch das Steuerrecht schränkt die weltweite Auslagerung der Daten durch den Provider ein, indem es fordert, dass Finanzbehörden ein sofortiger Zugriff auf Daten ermöglicht werden muss. Bei Servern außerhalb der EU kann das nicht hinreichend gewährleistet werden.