Geschrieben am 23.01.2017 von:
Sabine Pernikas
Rechtsanwältin | Fachanwältin für IT-Recht
zum Profil
Kontaktiere mich:
+49 (0) 6232 – 100119 0
E-Mail senden
Immer häufiger lagern Unternehmen ihre Daten in eine Cloud aus. Dies bietet einige offensichtliche Vorteile wie Kostenersparnis und ständige weltweite Verfügbarkeit. Zu beachten sind angesichts häufiger Lücken und Cyberattacken aber auch Datenschutz und Datensicherheit.
Cloud-Dienste bieten unter anderem Speicherplatz an, auf dem Unternehmen oder auch Privatpersonen Daten speichern und weltweit mobil abrufen können. Unternehmen ersparen sich so den Betrieb eines eigenen Rechenzentrums mit den damit verbundenen Kosten und können flexibel auf steigenden oder fallenden Speicherbedarf reagieren. Dies macht die Arbeit gerade in internationalen Unternehmen um einiges einfacher. Bekannte Anbieter von Cloud-Diensten sind etwa Microsoft Azure, Amazon Web Service, Salesforce oder auch die iCloud von Apple und Dropbox.
Risiken identifizieren
Unternehmen sollten sich vor der Nutzung einer Cloud über die Risiken solcher Dienste bewusst sein. So sind Cloud-Dienste beliebte Ziele von Hackern, da sie dort oftmals durch einfaches Knacken eines Passwortes große Mengen an Daten erbeuten können. Dadurch droht einerseits der Verlust von Daten, andererseits kann auch leicht manipuliert werden. Auch besteht trotz aller technischer Vorkehrungen das Risiko, dass ein Cloud-Dienst vorübergehend nicht erreichbar ist. Wenn ein Unternehmen sämtliche Daten ausgelagert hat und nicht darauf zugreifen kann, kann dies den gesamten Ablauf lahm legen.
Insgesamt betreffen die Risiken also vor allem den Bereich von Datenschutz und Datensicherheit. Insbesondere 2 Aspekte sollten beim Cloud-Computing beachtet werden:
- Auftragsdatenverarbeitung
- Auftragsdatenverarbeitung im Ausland
Auftragsdatenverarbeitung
Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber gem. § 11 BDSG für die Einhaltung der Vorschriften des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen und es muss insbesondere ein schriftlicher Vertrag geschlossen werden.
Auch Cloud-Anbieter zählen zu solchen Auftragsdatenverarbeitern, so dass ein reiner Dienstleistungsvertrag nicht ausreichend ist. Vielmehr ist ein weiterer – schriftlicher – Auftragsdatenverarbeitungsvertrag notwendig. Der Cloud-Anbieter muss vorher sorgfältig ausgewählt und im Vertrag unter anderem die Einhaltung der nach § 9 BDSG und der Anlage hierzu vorgeschriebenen technisch-organisatorischen Maßnahmen geregelt werden.
Übertragung ins Ausland
Die meisten Cloud-Anbieter betreiben ihre Rechenzentren außerhalb der Europäischen Union. Die Übermittlung dorthin ist jedoch nicht ohne weiteres zulässig. Es bedarf gemäß § 4b BDSG vielmehr einer separaten Ermächtigungsgrundlage und es muss ein angemessenes Datenschutzniveau im Übermittlungsland nachgewiesen werden. Insbesondere letzteres kann sich unter Umständen als schwierig gestalten, da zunächst jedes Land außerhalb der Europäischen Union als unsicher gilt. Allerdings gibt es einige internationale Abkommen wie beispielsweise das Privacy Shield-Abkommen zwischen den USA und Europa, die ein einheitliches Datenschutzniveau gewährleisten. Fehlen solche Abkommen, besteht die Möglichkeit mit dem Anbieter Verträge mit sogenannten EU-Standardvertragsklauseln zu schließen.
Alternativ gibt es auch zunehmend Anbieter von Cloud-Diensten innerhalb Europas. So kooperiert beispielsweise Microsoft mit der Telekom und bietet Cloud-Dienste zukünftig auch mit einem Rechenzentrum in Deutschland an. Für welche Lösung sich ein Unternehmen auch immer entscheidet: es ist unbedingt notwendig, vorher die datenschutzrechtlichen Anforderungen zu überprüfen und dann auch umzusetzen. So werden auch die mit dem Cloud-Computing verbundenen Risiken minimiert.