Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Wege in die Wolke

Mit Diensten aus der Cloud können Unternehmen Ressourcen und Kosten sparen. Datenschutz- und andere rechtliche Aspekte erfordern aber eine sorgfältige Planung, die ihren Abschluss in vertraglichen Festlegungen findet.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 8 Min.
iX Magazin
Von
  • Arnd Böken
Inhaltsverzeichnis

Cloud Computing bietet die Möglichkeit, Geschäftsprozesse effizienter, flexibler und kostengünstiger abzuwickeln. Daher setzen Unternehmen zunehmend SaaS-Lösungen (Software as a Service) für einzelne Aufgaben ein, zum Beispiel CRM-Anwendungen für den Vertrieb oder Mailing- und Collaboration-Software. Manche planen, auch große SaaS-Anwendungen zu implementieren, beispielsweise ganze ERP-Pakete. Unternehmen, die expandieren oder Lastspitzen bewältigen müssen, haben die Wahl, auf den Kauf neuer Server zu verzichten und stattdessen virtuelle Maschinen aus der Cloud zu nutzen (Infrastructure as a Service, IaaS).

In der Planungsphase prüft das Unternehmen die Vorteile von Cloud Services wie Flexibilität, Energie- und Kostenersparnis, verbesserte Zugriffsmöglichkeiten für mobile Mitarbeiter und ermittelt gleichzeitig die Risiken wie Einschränkungen der Sicherheit oder Verlust von Kontrollmöglichkeiten. Zur Planung gehören rechtliche Überlegungen. Viele Softwareanwendungen verarbeiten personenbezogene Daten, beispielsweise Kundendaten bei CRM-Anwendungen oder Mitarbeiterdaten bei Personalverwaltungsmodulen aus ERP-Paketen.

Das Unternehmen muss daher die Anforderungen des Datenschutzrechts beachten. Selbst wenn keine personenbezogenen Daten verarbeitet werden, gibt es eine ganze Reihe anderer Daten, beispielsweise Finanzdaten, die unbedingt geheim zu halten sind. Hier ist die Unternehmensleitung, also Vorstand oder Geschäftsführung, rechtlich zu einer Risikovorsorge verpflichtet. Dazu gehört ein geeignetes Konzept der Datensicherheit.

Eigenverantwortung bei privater Cloud

Rechtliche Fragen sind auch dann zu beachten, wenn das Unternehmen entscheidet, welche Anwendungen es in einer Private Cloud betreiben und welche Services es aus einer Public Cloud beziehen will. Private Clouds sind vernetzte IT-Systeme, die unter der rechtlichen Verantwortung desjenigen stehen, das die Cloud nutzt. Bei Public Clouds ist der Betreiber ein Dritter, der die IT-Dienste verschiedenen Cloud-Nutzern zur Verfügung stellt.

Public Clouds bieten größere Flexibilität und Kostenersparnisse. Die rechtlichen Anforderungen an eine ordnungsgemäße Gestaltung sind aber weit höher [1]. Eine Analyse der Schutzbedürftigkeit der Daten kann beispielsweise dazu führen, dass das Unternehmen bestimmte Daten nur anonymisiert oder verschlüsselt in einer Public Cloud nutzt oder eine hybride Form der Cloud wählt. Daten mit geringem Schutzbedarf werden in der Public Cloud verarbeitet, Daten mit hohem Schutzbedarf dagegen in einer Private Cloud.

Die Planungsphase endet mit der Festlegung einer Cloud-Strategie. Hierin legt das Unternehmen fest, ob es Teile der Unternehmens-IT als Private Cloud organisiert, welche Services es aus einer Public Cloud nutzen wird, welche Funktions- und Sicherheitsanforderungen bestehen und welche rechtlichen Anforderungen zu beachten sind.

Regelungen für vertrauliche Daten

Es folgt die zweite Phase, die Auswahl eines Anbieters. Das Unternehmen muss auch hier rechtliche Gesichtspunkte beachten. Nutzung einer Public Cloud bedeutet immer, dass Daten vom Unternehmen an den Cloud-Provider übermittelt werden. Daher meinen einige Kritiker, rechtlich sei Cloud Computing gar nicht zulässig, weil die Anforderungen des Datenschutzes nicht erfüllt würden. Diese Ansicht ist nicht richtig. Es ist rechtlich möglich, auch personenbezogene Daten in einer Public Cloud zu verarbeiten. Dazu müssen das Unternehmen und der Cloud-Provider aber bestimmte Voraussetzungen einhalten. In der Praxis geschieht dies, indem der Provider als Auftragsdatenverarbeiter für das Unternehmen tätig wird.

Voraussetzungen für Datenverarbeitung prüfen

Auftragsdatenverarbeitung setzt nach § 11 Bundesdatenschutzgesetz (BDSG) voraus, dass das Unternehmen den Cloud-Provider sorgfältig auswählt. Es hat die Pflicht, zu prüfen, ob der Anbieter geeignete technische und organisatorische Schutzmaßnahmen getroffen hat, die Daten sicher zu verarbeiten. Dazu muss das Unternehmen das Schutzkonzept des Anbieters überprüfen. Dieses muss die im Kasten oben auf dieser Seite genannten acht Grundsätze der sicheren Datenverarbeitung vollständig umsetzen. Unverzichtbar sind auch Zertifizierungen, die der Anbieter vorlegt und die die Einhaltung des Schutzkonzepts bestätigen.

Mehr Infos

Grundsätze der Datensicherheit bei der Verarbeitung personenbezogener Daten (Anlage zu § 9 BDSG)

  • Zutrittskontrolle: Maßnahmen, die Unbefugte am Zutritt zu Datenverarbeitungsanlagen hindern, das gilt für Außenstehende sowie für Mitarbeiter aus anderen Unternehmensbereichen oder Mitarbeiter außerhalb ihrer Arbeitszeit; etwa Gebäudeüberwachung, Einrichten von Sicherheitszonen, Berechtigungsausweise, Alarmanlagen.
  • Zugangskontrolle: Maßnahmen, die Unbefugte daran hindern, Datenverarbeitungssysteme zu nutzen, etwa durch Passwortvergabe, sowie Schutzmaßnahmen gegen Eindringen wie Firewalls.
  • Zugriffskontrolle: Schutzmaßnahmen, damit Mitarbeiter Daten nur im Rahmen ihrer Zugriffsberechtigung einsehen und nutzen können, sowie der Schutz bei Nutzung der Daten und nach Speicherung; zum Beispiel eindeutige Zuweisung von Zugriffsberechtigungen, wirksame Prüfverfahren, Verschlüsselung.
  • Weitergabekontrolle: Schutz der Daten bei Speicherung oder Weitergabe einschließlich einer Dokumentation, an welche Stellen Weitergabe vorgesehen ist; durch genaue Dokumentation der beteiligten Rechenzentren, Protokollierung der Speicherorte der Daten, Regelungen zur Verschlüsselung, zuverlässige Löschverfahren.
  • Eingabekontrolle: Protokollierung, wann und von wem welche Daten eingegeben, verändert oder entfernt worden sind.
  • Auftragskontrolle: Daten dürfen bei Auftragsdatenverarbeitung nur nach den Weisungen des Auftraggebers verarbeitet werden; unter anderem durch eindeutige Regelungen zur Zweckbindung, zu Zugriffsbeschränkungen, zur Aufbewahrung, zum Verlust von Datenträgern, zu Löschverfahren und vollständiger Herausgabe nach Auftragsende.
  • Verfügbarkeitskontrolle: Schutzmaßnahmen gegen zufällige Zerstörung oder Verlust von Daten, beispielsweise durch regelmäßige Sicherung, USV, Katastrophenplan.
  • Trennungskontrolle: Systeme müssen Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeiten können, zum Beispiel durch Trennung über Zugriffsregelung.

Auftragsdatenverarbeitung setzt außerdem voraus, dass die Daten nur in Rechenzentren innerhalb des Europäischen Wirtschaftsraums (EWR), das heißt EU plus Norwegen, Island und Liechtenstein, verarbeitet werden. Daher bieten viele Cloud-Provider auch reine EU/EWR-Clouds an. Einige haben sogar rein deutsche Clouds im Angebot. Das ist etwa dann wichtig, wenn ein Unternehmen seine Buchführung in die Cloud auslagern will.

Hat sich das Unternehmen entschieden, Verhandlungen mit einem bestimmten Anbieter aufzunehmen, so schließt sich die Verhandlungsphase an. In ihr wird das Unternehmen dem Anbieter häufig weitere Informationen erteilen, damit er den genauen Bedarf des Unternehmens kennt und ein darauf zugeschnittenes Angebot unterbreiten kann. Bevor das Unternehmen Interna mitteilt, sollte es eine Vertraulichkeitsvereinbarung mit dem Dienstleister in spe abschließen.

Bei den Verhandlungen geht es um die Leistungen, die der Anbieter erbringt. Wichtig ist es, diese Leistungen im Vertrag präzise zu beschreiben und auch Flexibilität und Skalierbarkeit der Dienste zu regeln, um späteren Streit zu vermeiden.

Verträge aushandeln

Ein wichtiger Bestandteil des Vertrages ist das Service Level Agreement (SLA). Zum SLA gehören die Regelungen zur Verfügbarkeit der Leistungen, also die Betriebszeiten, die Verfügbarkeitsquote sowie die Wartungszeiten. Auch Systemantwortzeiten gehören hierher. Ein zweiter Bereich sind die Regelungen zum Support und zur Fehlerbehebung. Hier sind Fehlerklassen zu definieren und Reaktions- sowie Problemlösungszeiten festzulegen. Da Systemausfälle gravierende Folgen haben können, kommt es darauf an, diese Punkte sorgfältig zu regeln.

Was, wenn etwas schiefgeht?

Zum SLA gehören auch die Regelungen zu den Rechtsfolgen von eventuellen Verstößen. Die gesetzlichen Vorgaben für Leistungsstörungen passen häufig nicht zu IT-Verträgen. Daher hat es sich durchgesetzt, die gesetzlichen durch vertragliche Regelungen im Service Level Agreement zu ersetzen. Bekannt ist das Malussystem bei Nichterreichen der Verfügbarkeit. Auch pauschalisierte Schadensersatzregelungen sowie die Bestimmung der Voraussetzungen für eine Kündigung gehören hierzu.

Cloud-Provider bieten häufig standardisierte Service-Level an. Das hat seinen Grund darin, dass der Provider die günstigen Preise nur anbieten kann, wenn er seine Leistungen standardisiert. Häufig ist es aber gegen Aufpreis möglich, an den Unternehmensbedarf angepasste Service-Level individuell auszuhandeln.

Will das Unternehmen in der Public Cloud auch personenbezogene Daten verarbeiten, muss es mit dem Cloud-Provider einen Vertrag über Auftragsdatenverarbeitung abschließen. In diesen müssen eine ganze Reihe von Regelungen aufgenommen werden, vor allem zu Art der Daten und deren Nutzung, zum Kreis der Betroffenen, zur Begründung von Unterauftragsverhältnissen, zur Berichtigung, Löschung und Sperrung von Daten sowie zu den Kontrollrechten des Unternehmens und dessen Weisungsbefugnissen.

Grundsätze müssen präzisiert werden

Unverzichtbarer Bestandteil dieses Vertrages zur Auftragsdatenverarbeitung ist auch das Schutzkonzept des Cloud-Providers zur Datensicherheit, das die im Kasten genannten acht Grundsätze der sicheren Datenverarbeitung umsetzt. Unternehmen und Cloud-Provider müssen dieses Schutzkonzept verbindlich vereinbaren. In vielen Verträgen findet sich nur eine bloße Aufzählung der acht Grundsätze und eine Verpflichtung für den Cloud-Provider, sie zu erfüllen. Das reicht nicht aus, vielmehr muss der Vertrag die Einzelheiten regeln. Dazu gehören Regelungen zu den Rechenzentren, in denen der Provider die Daten verarbeitet, zu den Schutzmaßnahmen gegen unberechtigten Zutritt zu den Rechenzentren, zur Art der Verschlüsselung bei Übertragung von Daten zwischen Rechenzentren, zu den eingesetzten Verfahren zum Schutz gegen Einbruch in virtuelle Systeme und zu den Löschverfahren vor Freigabe von Speicherbereichen für andere Nutzer in Mehrmandantensystemen.

Die Verhandlungsphase endet mit dem Vertragsschluss. Nach Unterzeichnung des Vertrages kann das Unternehmen damit beginnen, die Cloud Services zu nutzen und Daten in die Public Cloud auszulagern. Auch wenn die Daten dann bei dem Cloud-Provider gespeichert sind, bleibt das Unternehmen rechtlich für die Datenverarbeitung verantwortlich. Es muss daher laufend kontrollieren, ob der Cloud-Provider die technischen und organisatorischen Schutzmaßnahmen zur Datensicherheit einhält. Kontrollen vor Ort im Rechenzentrum sind dazu nicht erforderlich, das Unternehmen darf sich auf Prüfberichte und Zertifizierungen durch vertrauenswürdige Dritte verlassen.

Fazit

Für Unternehmen stellt sich heute nicht mehr die Frage, ob sie Cloud Computing nutzen, sondern nur noch wie und in welchem Umfang. Wenn ein Unternehmen von vornherein die rechtlichen Anforderungen an Datenschutz und -sicherheit berücksichtigt, kann es sachgerecht entscheiden, welche Anwendungen in einer Private Cloud betrieben werden sollen und welche sich für ein Outsourcing in eine Public Cloud eignen. Das Unternehmen ist dann auch in der Lage, einen geeigneten Cloud-Provider auszuwählen und angemessene Verträge auszuhandeln.

Arnd Böken

ist Rechtsanwalt und Notar im Berliner Büro der Kanzlei Graf von Westphalen.

Literatur

[1] Arnd Böken; Wolkendienste; Was man bei Cloud-Verträgen beachten muss; iX Special 3/2010, S. 111 (ur)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten