Welche Sorgen bestehen bei Unternehmen, die Cloud Computing einsetzen wollen – und welche sind davon berechtigt?

Die beiden zentralen Themen, die eigentlich immer genannt werden, sind Datenschutz und Datensicherheit. In der Cloud kann es vorkommen, dass Teile eines Datensatzes in einem Rechenzentrum in Irland und andere Teile in einem Rechenzentrum in Indien liegen. Daher gibt es natürlich gewisse Probleme in Bezug auf Datenschutz und Datensicherheit.

Es gibt Anbieter, die eine rein deutsche oder rein europäische Cloud anbieten, um den Bedenken der Kunden Rechnung zu tragen. Das ist unter Gesichtspunkten des deutschen und des europäischen Datenschutzes auch sinnvoll.

Wie sehen hier die gesetzlichen Bestimmungen in Deutschland genau aus?

Üblicherweise ist Cloud Computing rechtlich eine sogenannte Auftragsdatenverarbeitung nach Paragraph 11 des Bundesdatenschutzgesetzes. Das ist aber nur möglich, wenn der Auftragsdatenverarbeiter – in diesem Fall also der Cloud-Anbieter – seinen Sitz innerhalb des europäischen Wirtschaftsraums hat. Außerdem müssen die Unterauftragverhältnisse – also die Dienstleister, die der Cloud-Anbieter beauftragt – für den Auftraggeber transparent sein. Das funktioniert bei den klassischen Cloud-Computing-Modellen eben gerade nicht, weil dort die Unterauftragverhältnisse der Cloud-Anbieter für den Auftraggeber nicht transparent sind.

Welche weiteren Voraussetzungen gibt es?

Das Prinzip ist: Der Auftraggeber, die sogenannte verantwortliche Stelle, bleibt Herr über die eigenen Daten. Herr über die eigenen Daten ist man aber nur, wenn man jederzeit eine Zugriffsmöglichkeit hat und auch Kenntnis darüber, was mit den eigenen Daten passiert. Nach allgemeiner Auffassung darf bei der Beauftragung von Unterauftragnehmern keine Pauschalgenehmigung erteilt werden, wie es häufig den allgemeinen Bedingungen der große Cloud-Anbieter geregelt ist. Außerdem muss der Auftraggeber das Recht haben, Zugang zu den Rechenzentren zu erhalten, um die Einhaltung der schriftlich vereinbarten Schutzmaßnahmen zu überwachen. Und da sagen die großen Anbieter ganz konsequent: Kommt gar nicht in Frage, dass wir unseren Kunden Zugang zu unseren Rechenzentren gewähren. Letztlich ist das aus deren Sicht auch nachvollziehbar: Wenn da jeder Zugang hätte, ist es mit der Datensicherheit auch nicht mehr weit her.

Bedeutet das, dass derzeit die Verlagerung von Daten, die dem Bundesdatenschutzgesetz unterliegen, mit den klassischen Cloud-Modellen nicht in die Cloud verlagert werden können?

Nein, mit einer europäischen Cloud-Lösung ist das schon möglich. Es wird beispielsweise auch diskutiert, dass es auch ausreichen soll, wenn der Auftragnehmer eine entsprechende vertragliche Erklärung abgibt, dass er die jederzeitige Einhaltung der Vorschriften garantiert. Nur, wenn der Auftraggeber Grund zu der Annahme hat, dass diese nicht eingehalten werden, würden dann das sogenannte Audit Right, also das Recht zur Überprüfung der Einhaltung von angemessenen technischen und organisatorischen Maßnahmen zum Schutz der Daten, greifen.