Alles was Recht ist: Datenschutz und Datensicherheit in der Cloud

'Über den Wolken muss die Freiheit wohl grenzenlos sein'? Ist sie leider nicht - zumindest in Bezug auf die Nutzung von Cloud-Diensten. Unternehmen, die ihre geschäftlichen Daten über einen externen Anbieter bearbeiten bzw. verwalten, müssen eine Vielzahl verschiedener Bestimmungen in Punkto Datenschutz und Datensicherheit beachten. Damit stellt sich neben dem Aspekt der technischen Implementierung auch eine umfassendere Vertrauensfrage: Welcher Cloud-Dienstleister ist willens und in der Lage, hierfür die Gewähr zu übernehmen?

Die Wolke ist zwar ein virtueller, aber kein rechtsfreier Raum. So erlaubt das Bundesdatenschutzgesetz die Auslagerung bestimmter personenbezogener Daten nur innerhalb Deutschlands bzw. der EU oder in denen ein vergleichbar hohes Datenschutzniveau gewährleistet ist (Pikanterweise wird den Cloud-Dienstleistern in den USA dieser Status aufgrund des dort geltenden Patriot Acts bzw. Cybersecurity Acts nicht zugebilligt). Wenn den Nutzern nicht klar ist, an welchen Standorten sich die Rechenzentren der Cloud-Provider befinden, könnte diese Unkenntnis schwerwiegende rechtliche Konsequenzen haben.

Während diese Schwierigkeit relativ problemlos überwunden werden kann - Stichwort 'Deutsche Cloud' - ist die Sicherstellung der Integrität und Vertraulichkeit der ausgelagerten Daten aus Sicht der Nutzer weitaus schwieriger. Da Unternehmen, die Cloud-Services in Anspruch nehmen, in der Regel keinen Einblick in, geschweige denn Einfluss auf, die technischen Abläufe und Verarbeitungsprozesse der externen Dienstleister haben, müssen sie spätestens mit dem eigentlichen Vertragsabschluss auch ein darüber hinausgehendes Security Service Level Agreement mit dem Anbieter aushandeln.

In dieser Vereinbarung sollte unter anderem verbindlich festgelegt sein,

• dass eine regelmäßige Sicherung der ausgelagerten Daten einschließlich Disaster Recovery gewährleistet ist,

• dass die Rechenzentren datentechnisch und physikalisch lückenlos gesichert sind,

• dass die Mitarbeiter des Cloud-Anbieters keinen Zugang zu den Passwörtern und Berechtigungen der Nutzer haben,

• dass die vom Provider eingesetzten Firewalls ständig überwacht und Eindringversuche sowie sicherheitsrelevante Vorfälle dokumentiert werden,  

• dass der Provider sämtliche Vorschriften im Hinblick auf den rechtskonformen Umgang mit Daten befolgt.

 
Da es sich beim Cloud Computing um eine verhältnismäßig junge Technologie handelt und bis dato nur wenige Erfahrungen im juristischen Umfeld vorliegen, ist die aktuelle Zurückhaltung der deutschen Unternehmen bei der Nutzung von Cloud-Diensten nachvollziehbar. Die Anbieter sind daher gut beraten, mit guten Sicherheitskonzepten, strikten SLA und transparenten Abläufen für das notwendige Vertrauen zu sorgen.