Anders als beim klassischen Outsourcing verlieren Anwender in der sogenannten Public Cloud die Kontrolle darüber, wo sich ihre Daten tatsächlich befinden. Da demzufolge auch keine Steuerung stattfinden kann, bleibt der Auftraggeber nicht mehr Herr der Daten. Dass ist im Rahmen einer Auftragsdatenverarbeitung nicht nur ein gefühltes, sondern ein konkretes rechtliches Problem.
Trotz vieler Klippen und Bedenken gibt es aber zuverlässige Möglichkeiten, den Cloud-Betrieb aufzunehmen und gleichzeitig das unternehmerische Risiko gering zu halten. Jan Geert Meents, Partner der Wirtschaftskanzlei DLA Piper in München, erläutert für ZDNet, wie Firmen vorgehen sollten.
Eine erste, einfache Maßnahme ist es, ausschließlich Daten ohne Personenbezug in die Wolke zu verfrachten. Sie unterliegen nicht den deutschen datenschutzrechtlichen Bestimmungen, ihre Auslagerung ist daher rechtlich unbedenklich. Als Alternative kommt die Auslagerung in eine räumliche begrenzte Cloud in Betracht. Bei dieser Variante werden die Daten nicht an einem beliebigen Ort, sondern ausschließlich in einer bestimmten, vertraglich festgelegten Region gespeichert.
Durch die eigenen IT-Sicherheitsrichtlinien sind die meisten Unternehmen mit Datenverschlüsselung bereits vertraut. Auch innerhalb der Cloud wäre die Verschlüsselung vertraulicher Daten umsetzbar. Das gilt allerdings nur für die Speicherung. Denn sobald Daten verarbeitet werden sollen, müssen diese entschlüsselt werden.
Ein maßgeblicher Punkt für den Einsatz von Cloud-Services – und zudem eine gesetzliche Verpflichtung – ist die Datensicherheit und deren Kontrolle. Dies ergibt sich etwa aus der Anlage zu Paragraph 9 des Bundesdatenschutzgesetzes (BDSG). In ihr sind die erforderlichen technischen und organisatorischen Maßnahmen beschrieben, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten.
Allein die Vorstellung, dass relevante Firmendaten gemeinsam mit denen des schärfsten Konkurrenten auf einer Festplatte liegen, dürfte bei den meisten Anwendern kaum Begeisterung auslösen. Um dem rechtlich vorzubauen, muss der Anbieter sowohl die Trennbarkeit von Daten als auch deren Löschung vertraglich zusichern.
... ist Partner der internationalen Rechtsanwaltskanzlei DLA Piper in München.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…