Die Cloud: Hype und Realität. Der juristische Ansatz

Wir wollen an dieser Stelle nicht über Verfügbarkeit oder Ausfallsicherheit sprechen, auch nicht über den möglichen Support bei Störungen (siehe z.B. den Cloud-Ausfall). Diesmal widmen wir uns der rechtlichen Lage und damit einem schwierigen Thema. Gleich vorab: dieser Artikel basiert vor allem auf einen Grundsatzartikel des Landeszentrums für Datenschutz Schleswig-Holstein. Jegliche Haftung des Autors ist ausgeschlossen…

Die Cloud – worüber sprechen wir?

Heute ist die Cloud in aller Munde. Die Definition ist vielerorts eine schwammige, was es den Anbietern umso leichter macht. Die Vorteile der Cloud sind auf den ersten Blick verblüffend: eine dynamische Umgebung, leicht skalierbar, welche auch noch eigene Ressourcen einspart (sowohl Hardware wie auch Manpower). Zugleich drängen sich angesichts dieser Argumentation die Bilder der „alten“ Infrastrukturänderungen auf. Schon vor einiger Zeit deutete der vielzitierte Trend in Richtung Outsourcing oder Software-as-a-Service (SaaS). Heute kommen noch die Themen Virtualisierung und Cloud hinzu. Alles wird immer besser, einfacher und billiger, oder?

Ein grundsätzlicher Unterschied im Rahmen der gesamten Wolkendiskussion sollte gleich vorweg Berücksichtigung finden: Public oder Private Cloud. Die private Variante impliziert, dass Sie mit einer einzigen Stelle (z.B. einem Rechenzentrumsbetreiber) eine vertragliche Vereinbarung haben. Von einer Public Cloud sprechen wir bei einem Vertragsverhältnis mit einem Hoster, der wiederum mithilfe weiterer Dritter Rechenleistung und Infrastruktur zur Verfügung stellt. Heute fallen in die letzte Kategorie alle großen Anbieter (Amazon, Google, Microsoft, HP, IBM, etc.)

Rechtliche Fragestellungen

Der wohl wichtigste und umstrittenste Punkt beim Gang in die Wolke ist die Integrität und Vertraulichkeit der Daten und deren Verarbeitung. In die Verantwortung des Betreibers fällt auch das Unterbinden unberechtigter und schädigender Zugriffe Dritter. In einer lokalen Umgebung der Unternehmens-IT sind diese Punkte ein ständig überarbeiteter und kontrollierter Prozess. Für den Fall der Auslagerung wird diese Kompetenz an den Vertragspartner abgegeben.

Hier setzt der Cloud-Vertrag an. Dieser regelt Pflegearbeiten, Fehlerbeseitigungsmaßnahmen und die Form der Abwehr von Angriffen und Malware. Ein zentraler Vertragspunkt sollte dabei die Festsetzung von Verantwortlichkeiten und SLAs sein. Diese Punkte unterscheiden sich erheblich von den vielerorts üblichen AGBs. Heute verbleibt die Cloudnutzung zumeist in einer rechtlichen Grauzone. Haftung, Gewährleistung sowie das Urheberrecht finden meist nur oberflächlichen Eingang in das Vertragsverhältnis.

Steuerliche Fragestellungen

Viele Unternehmen vernachlässigen vollständig die steuerrechtlichen Aspekte und Auflagen beim Gang in die Cloud. Einen zentralen Punkt stellt in diesem Zusammenhang der Ort der Datenhaltung dar. Vor allem beim Einsatz der Public Cloud ist fast immer der Ort der Datenhaltung unklar und dynamisch (hier geht es um die Kosten des Cloudbetreibers). Steuerliche Vorschrift ist es aber, die Daten im Inland zu führen. Die Aufbewahrung steuerlich relevanter Unterlagen (darunter fallen u.U. auch Emails) wird dann extrem kritisch, wenn Cloud-Daten den EU-Rechtsraum verlassen. Letztlich führt wohl kein Weg beim Rechtsanwalt und Steuerberater vorbei. Zu komplex ist die Lage, da auch noch handelsrechtliche Dinge (Buchungsbelege, Handelsbriefe) sowie die teilweise Überschneidung von nationalem und internationalem Recht hinzukommen. Hier hat die umfassende Ausarbeitung eines IT-Vertrags mit dem Dienstleister oberste Priorität.

Datenschutzrecht

Finanzielle oder handelsrechtliche Bedenken haben für Sie keine Relevanz? Dann sollten Sie einen ausführlichen Blick auf den Schutzwert Ihrer gespeicherten Daten werfen. In diese Kategorie fallen vor allem personenbezogene Daten sowie die Informationen zu Kunden, Lieferanten und Geschäftspartnern. Bereits die Auslagerung Ihrer CRM-Anwendung (im einfachsten Fall Outlook) trifft hier mitten in die Datenschutzbestimmungen. Wichtig zu wissen: Datenschutzrecht wird national geregelt und greift an der Niederlassung der datenverarbeitenden Stelle. Hingegen ist die Datenspeicherung in der Public Cloud meist grenzüberschreitend.

Ich spreche an dieser Stelle nicht von den Möglichkeiten, beim Setup einer Cloud-Applikation den Speicherstandort zu wählen, sondern von einer vertraglichen Vereinbarung! Und damit sind wir beim nächsten wichtigen Punkt: der Verantwortlichkeit.

Anzeige

 

Nur allzu gern verschwinden bei den Angeboten konkrete Definitionen des Vertrags ebenso in der Wolke! Die präzise Klärung einzelner Verantwortungsbereiche ist dabei aber von zentraler Bedeutung. Ist dies in lokal gemanagten Netzwerken eine Selbstverständlichkeit, so wird diese Grundlage beim Gang in die Cloud oft verwaschen oder vollständig vergessen.

Dabei bleibt aber – und gerade – beim Auslagern der IT die Verantwortlichkeit und Kontrolle der Verarbeitung im Unternehmen. Der Auftraggeber haftet allein und ist somit für die Sicherstellung der Vertraulichkeit und Integrität verantwortlich. Im Umgang mit dem Auftragnehmer (Cloud-Betreiber) stellt damit die Transparenz aller Vorgänge eine fast unüberwindliche Hürde dar. Nur eine umfassende und zeitnahe Information des Cloudnutzers (vertraglich geregelt) kann diese Bedingung erfüllen. Auch hier sollten altbewährte interne Vorgehensweisen die Grundlage für die Vertragsausarbeitung bilden.

Legale Zugriffe Dritter

Was so harmlos und selbstverständlich klingt, kann juristisch zu einem Problem werden. Die Auslagerung von Daten in andere Staaten bietet den legalen Zugriff Dritter auf diese. Rechtliche Aufgaben und Befugnisse dieser Behörden (und ich spreche nicht einmal vom Extremfall der Wirtschaftsspionage) müssen ins Kalkül gezogen werden. Es gilt z.B. den Zugriff von Finanzbehörden anderer Staaten zu berücksichtigen. Rechtliche Regelungen von Cloud-Anbietern können durch Vorgaben von fremdstaatlichen Behörden per Antrag aufgehoben werden. Ich möchte nur auf die Herausgabe von Schlüsseln im Rahmen der Kryptografie (auch von demokratischen Staaten) zur Entschlüsselung verweisen.

Illegale Zugriffe Dritter

Was im internen Netzwerk bereits ein massives Problem darstellt, wird im Rahmen der Cloud zu einem unkalkulierbaren Risiko. Die Cloud bietet für illegale Zugriffsversuche ein wahres Schlaraffenland. Hier ist ein Ziel für Hacker das sich lohnt. Die Auslagerung bringt für den Datennutzer aber den absoluten Verlust der Herrschaft über die Kontrolle. Der Eindringling hat darüber hinaus den Vorteil sich im Rahmen der Cloud das schwächste Glied aus einer Reihe von Cloud-Angriffszielen zu suchen (Stichwort staatenübergreifende Rechenzentren). Hier kann für den Vertragsnehmer nur die Ausarbeitung eines umfassenden vertraglichen Plans mit festgelegten Sicherungsmaßnahmen Abhilfe schaffen. Letztlich bleibt der Grundsatz, dass ein gehacktes Unternahmen durch die Angst des Reputationsverlusts alles tun wird um ein erfolgreiches Eindringen zu verheimlichen.

Die rechtlichen Bedenken einer Auslagerung in die Cloud sind noch vielfältiger. An dieser Stelle wollen wir es aber bei diesen wenigen Gedankenanregungen belassen. Hier hilft wie gesagt nur eine umfassende rechtliche und steuerliche Beratung.

Einer Zusammenfassung der Studie des Datenschutzzentrums möchte ich mich an dieser Stelle jedoch vollends anschließen: „Ohne die Gewährleistung des nötigen Schutzniveaus ist ein professioneller Einsatz dieser Systeme nicht verantwortbar.“ Hype hin oder her.

 


Anzeige



Teile diesen Artikel

Das könnte dich auch interessieren …

2 Antworten

  1. 8. November 2011

    […] des Wegs in die Wolke aufgreifen. Wie heickel die juristische Situation ist, wurde bereits in einem Blog-Eintrag erörtert. Für Interessierte ist auf jeden Fall die Lektüre des veröffentlichten Papiers der […]

  2. 24. März 2013

    […] Notizblock bis zur anstehenden Projektpräsentation – die Cloud hat es gezeigt: Arbeiten über Orts- und Gerätegrenzen hinweg kann einfach und effizient sein. Die […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*