Anders als beim klassischen Outsourcing verlieren Anwender in der sogenannten Public Cloud die Kontrolle darüber, wo sich ihre Daten tatsächlich befinden. Da demzufolge auch keine Steuerung stattfinden kann, bleibt der Auftraggeber nicht mehr Herr der Daten. Dass ist im Rahmen einer Auftragsdatenverarbeitung nicht nur ein gefühltes, sondern ein konkretes rechtliches Problem.
Trotz vieler Klippen und Bedenken gibt es aber zuverlässige Möglichkeiten, den Cloud-Betrieb aufzunehmen und gleichzeitig das unternehmerische Risiko gering zu halten. Jan Geert Meents, Partner der Wirtschaftskanzlei DLA Piper in München, erläutert für ZDNet, wie Firmen vorgehen sollten.
Eine erste, einfache Maßnahme ist es, ausschließlich Daten ohne Personenbezug in die Wolke zu verfrachten. Sie unterliegen nicht den deutschen datenschutzrechtlichen Bestimmungen, ihre Auslagerung ist daher rechtlich unbedenklich. Als Alternative kommt die Auslagerung in eine räumliche begrenzte Cloud in Betracht. Bei dieser Variante werden die Daten nicht an einem beliebigen Ort, sondern ausschließlich in einer bestimmten, vertraglich festgelegten Region gespeichert.
Durch die eigenen IT-Sicherheitsrichtlinien sind die meisten Unternehmen mit Datenverschlüsselung bereits vertraut. Auch innerhalb der Cloud wäre die Verschlüsselung vertraulicher Daten umsetzbar. Das gilt allerdings nur für die Speicherung. Denn sobald Daten verarbeitet werden sollen, müssen diese entschlüsselt werden.
Ein maßgeblicher Punkt für den Einsatz von Cloud-Services – und zudem eine gesetzliche Verpflichtung – ist die Datensicherheit und deren Kontrolle. Dies ergibt sich etwa aus der Anlage zu Paragraph 9 des Bundesdatenschutzgesetzes (BDSG). In ihr sind die erforderlichen technischen und organisatorischen Maßnahmen beschrieben, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten.
Allein die Vorstellung, dass relevante Firmendaten gemeinsam mit denen des schärfsten Konkurrenten auf einer Festplatte liegen, dürfte bei den meisten Anwendern kaum Begeisterung auslösen. Um dem rechtlich vorzubauen, muss der Anbieter sowohl die Trennbarkeit von Daten als auch deren Löschung vertraglich zusichern.
... ist Partner der internationalen Rechtsanwaltskanzlei DLA Piper in München.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…