Fakten statt Märchen: Datenschutz in der Cloud

„Für die juristische Betrachtung von Cloud Computing ist es ganz entscheidend, ob es sich um eine private oder um eine öffentliche Cloud handelt,“ sagt Rechtsanwalt Bernd H. Harder, Partner der Kanzlei Büsing, Müffelmann & Theye und als Inhaber von „Harder Rechtsanwälte“ Mitglied des Hauptvorstands beim Bitkom. „Wenn Services innerhalb einer privaten Cloud zur Verfügung stehen, verbleiben sie im Unternehmen. Wenn Daten aber, wie bei Angeboten öffentlicher Clouds, die firmeneigene IT-Landschaft verlassen, tauchen einige Probleme auf.“

Die wichtigsten Fragen, die Verantwortliche stellen sollten, sind seiner Ansicht nach dann: Wie sicher sind meine Daten vor dem Zugriff Dritter? Was passiert, wenn meine Daten verloren gehen? Wie sieht es mit der Verfügbarkeit aus? Wie bekomme ich meine Daten zurück, wenn ich den Service nicht mehr in Anspruch nehme? Und natürlich: Wo sind meine Daten?

Fallen die Antworten darauf unbefriedigend oder unklar aus, sollten Geschäftsführer und Vorstände das nicht auf die leichte Schulter nehmen. Schließlich liegt die Verantwortung in jedem Fall bei ihnen. Kommt es zum Missbrauch, Verlust oder Manipulation haften sie unter Umständen persönlich.

Neben branchenbezogenen Vorschriften gibt es eine Reihe von Gesetzen, die ein Unternehmen beachten muss, wenn es einen Cloud-Service in Anspruch nehmen will. „Handelt es sich um Anwendungen mit so genannten personenbezogenen Daten wie Lohnabrechnung oder ein CRM-System, greift das Bundesdatenschutzgesetz“, erklärt Harder. Personenbezogene Daten sind Angaben, mit deren Hilfe sich auf eine sogenannte „natürliche Person“ schließen lässt – also auf Menschen.

Beispiele hierfür sind Namen, Adressen, Telefonnummern oder IP-Adressen. „Das Gesetz verpflichtet den Auftraggeber dazu, die technischen und organisatorischen Maßnahmen des Cloud-Anbieters zu prüfen. Wie diese Prüfung nach dem Bundesdatenschutzgesetz konkret aussehen soll, ist Auslegungssache“, so Harder.

Wichtig sei in jedem Fall aber, dass sich der Cloud-Anbieter vertraglich dazu verpflichtet, die Datenschutzgesetze einzuhalten, die innerhalb der europäischen Union gelten. Unternehmen aus den USA müssen zumindest die Safe-Harbor-Vereinbarung zwischen der EU und den USA aus dem Jahr 2000 oder die Standardvertragsklauseln der EU unterschrieben haben. Damit verpflichten sich US-amerikanische Firmen, die europäischen Datenschutzgesetze einzuhalten.