Suchen

Datenschutz Das Risiko der Rechtskonformität in der Cloud

Autor: Sarah Gandorfer

Der Datenschutz in der Cloud birgt aufgrund externer Dienstleister und Rechenzentren Risiken. Deshalb sind besondere rechtliche Anforderungen notwendig. Zumal wenn der Provider im außereuropäischen Ausland, wie den USA, sitzt.

Firmen zum Thema

Der Datenschutz über Ländergrenzen hinweg kann zum Problem werden.
Der Datenschutz über Ländergrenzen hinweg kann zum Problem werden.
(Bild: askaja - stock.adobe.com)

Das Auslagern von Daten zu einem Provider hat einige Vorteile. Dabei gilt es, eine Vielzahl rechtlicher Aspekte zu beachten. Was den Datenschutz angeht, so lassen sich ein Teil dieser Anforderungen bereits erfüllen, wenn der Anbieter auf die entsprechenden Komponenten achtet. Dazu gehören die Verwendung bestimmter Hard- und Software sowie Verschlüsselungstechniken für Daten und Zugänge (VPN), besondere Authentifizierungsmethoden oder Firewall-Komponenten. Hinzu kommt die organisatorische Sicherheit, die den physischen Zugriff auf die verschiedenen Komponenten des Rechenzentrums regelt.

Zudem geht es um die rechtskonforme Lagerung. Diese unterscheiden sich von Land zu Land. In Deutschland ist sie durch das Bundesdatenschutzgesetz und EU-Vorschriften geregelt. Dabei trägt das auslagernde Unternehmen im Außenverhältnis zu Dritten die Verantwortung für die Sicherheit der Daten. Werden Daten außerhalb der EU gespeichert und verarbeitet, wird es schwieriger mit der Rechtslage.

Patriot Act

Dies ist insbesondere von Bedeutung, da viele große Cloud Provider ihre Rechenzentren in den USA betreiben. Durch die Speicherung der Daten Dritter in den USA kann es zu einer Verletzung des hiesigen Datenschutzrechtes kommen. Denn Cloud-Anbieter in den USA sind nach dem Patriot Act gesetzlich verpflichtet, auf Anforderung Daten an amerikanische Behörden zu liefern. In diesen Fällen ist der Abschluss eines Auftragsdatenverarbeitungsvertrags für die Einhaltung der datenschutzrechtlichen Anforderungen nicht mehr ausreichend. Es sind zusätzliche Vereinbarungen mit dem Anbieter zu treffen. Es ist sicherzustellen, dass die Anforderungen des EU-US Privacy Shields erfüllt werden.

Typengemischter Vertrag

Zwischen dem Provider und dem Anwenderunternehmen regelt ein Vertrag zur Auftragsdatenverarbeitung die Einzelheiten. Der Anwender hat eine Kontrollpflicht und kann sich die Einhaltung bestimmter Anforderungen zum Beispiel über Zertifikate zusichern lassen. Zudem sind dem Anwender die Rechte zum Anbieterwechsel inklusive der Portierung der Daten einzuräumen. Er bleibt Eigentümer der Daten. Bei Vertragsende erfolgt die Löschung der Daten beim Cloud-Anbieter.

Ein Cloud-Vertrag ist meist ein typengemischter Vertrag und lässt sich deshalb nicht einem einzigen BGB-Vertragstypen, wie Mietvertrag oder Dienstvertrag, eindeutig zuweisen. Stattdessen können die vom Anbieter im Einzelnen zu erbringenden Leistungen eine unterschiedliche Vertragsnatur haben. So wird Storage in der Regel Mietcharakter (§ 535 BGB), Implementierung Werkcharakter (§ 631 BGB), Rechnerleistung und Support Dienstcharakter (§ 611 BGB) haben. Die Vertragsnatur ist relevant für die Bestimmung der geschuldeten Leistung, den AGB-Prüfungsmaßstab (§§ 305 ff. BGB) und die Mängelrechte.

(ID:46694023)

Über den Autor

 Sarah Gandorfer

Sarah Gandorfer

Redakteurin bei IT-BUSINESS