„Daten zu verschlüsseln ist sicherlich eine mögliche Maßnahme“, sagt Rechtsanwalt Harder. „Dennoch gibt es keine pauschale Antwort darauf, wie Unternehmen Cloud Computing rechtssicher nutzen können.“ Jeder Fall müsse einzeln betrachtet und bewertet werden. Das gelte auch für die Art des Vertrags. Handelt es sich um einen Dienstleistungskontrakt oder liegt ein Mietverhältnis vor? „Daran knüpfen sich unterschiedliche Gewährleistungsfristen, Haftungspflichten und Verantwortlichkeiten“, sagt Harder. „Die bisherige Gesetzgebung und Rechtssprechung passt hier allerdings nicht hundertprozentig.“
Auch in Puncto Service Level Agreements unterscheidet sich Cloud-Computing von früheren Outsourcing-Verträgen. „Kontrakte mit Rechenzentren regelten hauptsächlich die Verfügbarkeit,“ erklärt Rechtsanwalt Meyer-Spasche. „Beim Cloud Computing ist dagegen die Performance ganz entscheidend, weil das Antwortzeitverhalten in der Cloud schlechter vorhersagbar ist.“
Aufgrund rechtlicher Sicht ganz auf Cloud Computing zu verzichten, hält Dieter Sinn, Inhaber von Sinn Consulting, für unangemessen (Bild: privat).
Ein weiteres Problem sei die Messbarkeit des Services. „Die Frage, wie schnell meine Daten auf meinem Client sichtbar werden, hängt natürlich nicht allein davon ab, wie schnell der Anbieter die Daten aus dem Speicher ins Netz gibt, sondern auch davon, wie schnell ich selbst ins Internet komme. Wo soll also gemessen werden? Das muss klar sein.“
Nichts ist also so klar wie die Unklarheit. Das liegt natürlich auch in der Natur der Sache. „Cloud Computing ist ein Sammelbegriff, der nicht eindeutig definiert ist“, sagt Dieter Sinn, Inhaber von Sinn Consulting. Natürlich sei die Rolle der Rechtsanwälte positiv. „Allerdings muss man auch sehen, dass sie sich meistens die extremsten Fälle vornehmen.“ Aus rechtlicher Sicht deshalb auf Cloud Computing zu verzichten, hält Sinn für unangemessen. Denn eines sei klar: Dass die Sicherheitsmaßnahmen bei Cloud-Anbietern in den meisten Fällen wesentlich höher sind, als es sich ein kleines- oder mittelständisches Unternehmen leisten kann.
Neueste Kommentare
1 Kommentar zu Fakten statt Märchen: Datenschutz in der Cloud
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Zustimmmung
"Dass die Sicherheitsmaßnahmen bei Cloud-Anbietern in den meisten Fällen wesentlich höher sind, als es sich ein kleines- oder mittelständisches Unternehmen leisten kann."Der letzte Satz hat mich wieder versöhnt. Und natürlich stimmen die angesprochenen Punkte. Es gibt bestimmte Pflichten, mit denen sich die Verantwortlichen auseinandersetzen müssen.
Was mich interessieren würde sind die angesprochenen Vereinbarungen (z.B. Safe Harbour). Welche Anbieter erfüllen denn bist jetzt diese Kriterien?
Auch der Hinweis auf Verschlüsselung ist in der Praxis ja nicht so einfach. Viele SAAS-Anbieter verschlüsseln standardmäßig die ganzen Daten. Wenn ich aber vom Unternehmen aus Daten verschlüsseln will, dann fällt SaaS ja praktisch ganz raus, denn dann kann man nur noch Speicher aus der Cloud beziehen, weil für allen anderen IT-Dienstleistungen ja unverschlüsselte Daten benötigt werden; bzw. die Server in der Cloud müssen diese Daten entschlüsseln können.
Was genau sind personenbezogene Daten. Fast alle Daten haben heutzutage irgendeinen Personenbezug (Dokument wurde erstellt von …, Prozess wird bearbeit von …)
Die Sache mit dem Auditieren ist auch sehr interessant. Das ist nur möglich, wenn ich wirklich ein sehr großer Kunde bin, mit einem entprechenden Auftragsvolumen. Außerdem halte ich es für ein schlechtes Zeichen, wenn ein Cloud-Anbieter sehr offen seine Sicherheitsmaßnahmen zeigt. Eine bessere Hilfe zum Datenklau gibt es kaum.
Ich denke auch bei dem Einsatz von nicht Cloud-Software, auf eigenen Rechnern müsste man oft eigentlich viele Sachen machen, die nicht immer zu leisten sind, beispielsweise:
Wie wurde die Software entwickelt?
Sind Hintertürchen eingebaut?
Wie ist die wirtschaftliche Situation des Anbieters?
Auditierung der Produktentwicklungsprozesses beim Anbieter
Auditierung der Sicherheitseinrichrungen des IT-Dienstleisters
z. B. Bei kleinen Unternehmen: Wie sind die IT-Dienstleister auf den Ausfall eines/mehrerer Mitarbeiter vorbereitet, ist die Betreuung weiter sichergestellt?
Updates, Kompatibilität etc: Wie schnell reagiert der Anbieter auf neue Technologien (Betriebssysteme, Protokolle, Endgeräte, Browser…)? Wie lange ist die Softwarepflege sichergestellt?
Kein kmU und nichtmal ein größeres Unternehmen käme auf die Idee mal eben Microsoft zu auditieren oder von denen irgendwelche speziell auf sie zugeschnittenen vertraglichen Zusagen zu erwarten. Von Anbietern in der Cloud scheint man das aber oft zu verlangen. Ich denke es gibt genug Fälle, in denen sehr unternehmenspezifische, spezialisierte und teure Dienste angeboten werden. Hier machen solche Forderungen Sinn. In anderen Fällen eher weniger.
Aus Risikomanagement und Complience Sicht ist es sicherlich geboten sich systematisch mit diesen Fragen auseinanderzusetzen und diesen Risikomanagementprozess auch entsprechend zu dokumentieren.