Home > Rechtliche Grundlagen

Rechtliche Grundlagen des Cloud Computing

Wenn Sie Cloud Computing betreiben, tun Sie gut daran, sich vorher über die rechtlichen Grundlagen zu informieren. Die Rechtsfragen fallen in zwei Bereichen an: erstens dem Datenschutz und zweitens dem Vertragsverhältnis zwischen Ihnen und dem Cloud-Anbieter.

Unternehmen, die in Deutschland beziehungsweise in der EU ihren Firmensitz haben, sind bei der Nutzung der Cloud an Bundesdatenschutzgesetz beziehungsweise das europäische Datenschutzrecht und jeweiligen Umsetzungen in den Gesetzen der EU-Länder gebunden.

Firmensitz und Vertragsrecht

Nicht unbedingt zwingend erforderlich aber sehr nützlich ist es, einen Vertragspartner zu haben, der folgende Kriterien erfüllt: Das Unternehmen hat seinen Firmensitz in Deutschland, der Gerichtsstand für alle vertraglichen und juristischen Vereinbarungen liegt in Deutschland, die Verträge werden nach deutschem Recht geschlossen. Große Firmen haben Spezialisten für Verträge nach ausländischem Recht und können zur Not auch eine juristische Auseinandersetzung im Ausland ausfechten. Mittelständische Betriebe stoßen hier an ihre Grenzen.

Insbesondere im Zusammenhang mit Datenschutzbestimmungen  sollten Sie wissen, ob und wenn ja an welche Subunternehmen der Auftrag zur Datenverarbeitung  weitergegeben wird und wo diese ihren Sitz haben. Nach Ansicht von Cloud-Experten ist die einfachste Lösung, die Daten zumindest innerhalb der EU verarbeiten zu lassen.

Personenbezogene Daten: Ihre Firma haftet!

Beim Cloud-Computing gelten bei personenbezogenen Daten die  Bestimmungen des Bundesdatenschutzgesetzes. Generell haftet Ihr Unternehmen, wenn es  Cloud-Computing in Auftrag gibt, für die Einhaltung dieser Rechtsvorschriften, die rechtliche Verantwortung für die Daten kann nicht zusammen mit diesen ausgelagert werden!

Dies heißt konkret: Personenbezogene Daten dürfen erstens nur unter bestimmten Voraussetzungen die Europäische Union beziehungsweise den Europäischen Wirtschafstraum verlassen – nämlich dann wenn es in ein sicheres Drittland geht. Die USA beispielsweise gelten datenschutzrechtlich nicht als sicheres Drittland. Weitere Informationen finden Sie auf dieser Webseite unter dem Stichwort „Datensicherheit“.

Sie dürfen zweitens nur unter ganz bestimmten Bedingungen an ganz konkrete Datenverarbeiter weitergereicht werden, diese können Sie ebenfalls unter dem Stichwort „Datensicherheit“ auf dieser Webseite nachlesen. Drittens muss das Unternehmen, das für personenbezogene Daten einen Cloud-Dienst in Anspruch nimmt den konkreten Ort kennen, an dem die Daten gespeichert werden und es muss viertens deren Eingabe, Veränderung und Löschung kontrollieren können. Es ist also nicht möglich, solche Daten auf die Wanderschaft durch die internationale Serverlandschaft zu schicken und nicht zu wissen, wo sich die Daten nun konkret befinden.

Was sind nun personenbezogene Daten? Lohnbuchhaltung und Emails sind, so sagen Juristen ganz zweifelsohne personenbezogene Daten. Und sie sagen: In den meisten  Fällen unterliegt Cloud Computing dem Bundesdaten-Schutzgesetz. Man tut also gut daran sich um den Datenschutz zu kümmern, denn bei vielen Daten, die zur Verarbeitung weiter gegeben werden, fallen auch personenbezogene Daten an. Es werden immer mehr Daten unter „personenbezogene Daten“ fallen, als Sie annehmen.

Eine gute Übersicht zu allem, was Sie bei der Auslagerung personenbezogener Daten ins Ausland beachten müssen, finden Sie in dem Leitfaden „Übermittlung personenbezogener Daten, Inland, EU-Länder, Drittländer“ des IT-Branchenverbandes Bitkom, den Sie hier www.bitkom.org/files/documents/20060418_Band__2_Auslandsgeschaeft_Uebermittlung_personenbezogener_Daten.pdf herunterladen können.

Verträge: Leistungen und Vertragsende genau regeln

Wenn Sie Ihre Daten und deren Verarbeitung in die Cloud auslagern, schließen Sie einen Vertrag. Hier sollten Sie einige Punkte beachten, um eine optimale Dienstleistung zu bekommen. Sie können dazu einen externen Berater konsultieren, es gibt Rechtsanwalts-Kanzleien, die auf solche Fragen spezialisiert sind.

Welche Leistung Sie für Ihr Geld bekommen, wird in den so genannten „Service Level Agreements“ definiert. Diese sind ein Kernstück der vertraglichen  Vereinbarung, denn Sie legen fest, wozu der Cloud-Anbieter verpflichtet ist. Hier sollten Sie also ganz genau hinschauen!

Der Provider sollte umfassende Leistungsberichte erstellen und auch über Systemänderungen rechtzeitig informieren.  Mögliche Ausfallzeiten sollte man nicht über ein ganzes Jahr, sondern für einen möglichst kurzen Zeitraum  wie etwa einen Monat vertraglich vereinbaren, um längere Zeiträume, in denen ein Dienst nicht verfügbar ist zu vermeiden.

Weitere Punkte sind die Verpflichtung, Sicherheits-Kopien der Daten beim auslagernden Unternehmen oder einem dritten Unternehmen zu erstellen und die Anbindung an Standards, die den Übergang zu anderen Cloud-Providern möglich machen.

Der Kunde sollte sich angemessene Steuerungs- und Weisungsrechte sichern. Experten raten zu möglichst genau definierten Informations- und Prüfrechten: Konkret sollten sie nicht nur für Ihren Cloud-Anbieter gelten, sondern auch für dessen Subunternehmen. Sie sollten auch die Möglichkeit haben, externe Experten  für solche Prüfungen anzuheuern.

Beim Vertrag sollten Sie eine zu große Abhängigkeit des eigenen Unternehmens vom Anbieter der Cloud-Dienste vermeiden: Sie müssen also bei Vertragsabschluss darauf achten, dass es nicht nur das ohnehin vorhandene Kündigungsrecht gibt,  sondern dass dieses Recht für Sie auch eine realistische Option bleibt. Sie als Cloud-Kunde sollten  sicherstellen, dass der Provider bei Vertragsbeendigung für einen reibungslosen Ablauf sorgt: Also sollte im  Vertrag auch geregelt sein, was passiert wenn die Beziehung endet – einschließlich der Verpflichtung des Providers, Ihren Übergang in eine andere Cloud oder auf Ihre eigenen Rechner auch technisch zu unterstützen, beispielsweise in dem der Cloud-Betreiber die Daten in einem Format zur Verfügung stellt, das Ihnen einen reibungslosen Übergang ermöglicht.