Fakten statt Märchen: Datenschutz in der Cloud

Eine Möglichkeit, Maßnahmen zu prüfen, wären regelmäßige Sicherheitsaudits. Die Frage ist jedoch, ob dies bei Cloud Computing möglich ist. Rechtsanwalt Georg Meyer-Spasche, Partner der Kanzlei Osborne Clarke ist skeptisch. „Um auditieren zu können, müssen sich die Daten an einem bestimmten Ort befinden. Das ist bei Cloud Computing bedingt durch die dezentrale und sich dynamisch ändernde Speicherung in ganz unterschiedlichen Rechenzentren nicht der Fall.“

Beim Cloud Computing nutzen mehrere Anwender den gleichen Service. Ihre Daten sind möglicherweise in einem einzigen System gespeichert, befinden sich aber nicht in klar zuzuordnenden Rechenzentren. Theoretisch ist also möglich, dass personenbezogene Daten eines Unternehmens mit denen eines Konkurrenten vermischt werden – was keine Revision prüfen kann, weil sie nicht wüsste, wo sie nach den Servern suchen sollte. Darin sieht der Jurist auch den wesentlichen Unterschied zum Remote-Datacenter. Beim klassischen Outsourcing befinden sich die Daten in einem dezidierten Rechenzentrum. „Hier kann das Unternehmen jederzeit nachschauen, wie es um seine Daten bestellt ist.“

Verstoßen Unternehmen, die Cloud-Dienste wie CRM in Anspruch nehmen, damit gegen das Bundesdatenschutzgesetz? „Wenn sie es falsch machen, dann ja“, meint Jurist Meyer-Spasche. „Sicher gehen sie, wenn sie ihre Daten verschlüsseln, bevor die außer Haus gehen – aber so, dass weder der Service Provider noch sonst ein Dritter sie entschlüsseln kann.“

Mit der Verschlüsselung würde den Informationen der Personenbezug genommen und sie wären anomyn. Mit Verschlüsselung schlügen die Unternehmen zwei Fliegen mit einer Klappe. „Sie müssen nicht nachprüfen, ob die Sicherheitsmaßnahmen des Cloud-Abieters tatsächlich greifen und haben selbst Vorsorge zum Datenschutz getragen.“ Nachteil der Kodierung: „Sie kann den Service verlangsamen“, sagt Meyer-Spasche. „Deshalb ist es besser, nur die personenbezogenen oder sonst geheimen Daten zu verschlüsseln, nicht alle.“

Und wie sieht es mit Daten aus, die keinen Personenbezug haben, wie etwa Baupläne, Fertigungs- und Ersatzteillisten? „Aus der Sicht des Bundesdatenschutzgesetzes gibt es da keine Bedenken“, sagt Meyer-Spasche. „Allerdings schreibt der Paragraf 91, Absatz 1 des Aktiengesetzes Unternehmen eine allgemeine Risikovorsorge vor.“ Das Gesetz gelte für alle Unternehmensformen und verpflichte sie ganz allgemein dazu, den Fortbestand des Unternehmens zu sichern. Es sei zwar nicht explizit von IT die Rede. „Aber da fast alle Geschäftsprozesse mittlerweile IT-gestützt sind, betrifft es eben auch die IT“, stellt der Jurist fest.

Bedenklich werde es, wenn Daten ohne Personenbezug geschäftskritische Informationen enthalten. „Geschäftskritisch“ seien Daten beispielsweise dann, wenn ein Dritter sie dazu benutzen könnte, um ein Produkt nachzubauen. Aber letztlich gehörten alle Daten dazu, die ein Unternehmen nicht einfach offen an die Bürotüren hängen würde. „In diesem Fall könnte die Ersatzteilliste eventuell wieder problematisch werden“, sagt Meyer-Spasche. Auch für diesen Fall rät der Rechtsanwalt, die Daten teilweise oder komplett zu verschlüsseln.