Navigation öffnen

Cloud-Computing und Outsourcing

Cloud Computing ist einer der am stärksten wachsenden Wirtschaftszweige und bereits heute allgegenwärtig. Doch birgt die Auslagerung der Datenspeicherung einige rechtliche Probleme. Vor allem für Unternehmen ist eine Auseinandersetzung mit elementaren Rechtsfragen, insbesondere im Datenschutzrecht, unabdingbar. Es empfiehlt sich eine individuelle vertragliche Absicherung im Vorfeld, um rechtliche Probleme zu vermeiden.

Cloud Computing ist einer der am stärksten wachsenden Wirtschaftszweige und bereits heute allgegenwärtig. Die Zahl der betrieblichen Cloud-Nutzung steigt stetig an und erfreut sich auch unter Sicherheitsaspekten zunehmender Beliebtheit. Einer Bitkom-Umfrage aus dem Jahr 2017 zufolge sind 57 % der IT-Entscheider der Überzeugung, dass Unternehmensdaten in der Public Cloud „sehr sicher“ oder „eher sicher“ sind – nur 4 % haben Bedenken und halten ihre Daten für „sehr unsicher“ oder „eher unsicher„.

Cloud Computing Symbolbild

Was ist Cloud Computing?

Doch was genau verbirgt sich überhaupt dahinter? Cloud Computing beschreibt ein Modell zur Speicherung, Nutzung und Verarbeitung von Daten über ein Netzwerk. Hauptmerkmal von Cloud Computing ist, dass sich die betreffenden Daten nicht mehr an einem lokalen Ort befinden, zum Beispiel auf dem eigenen Rechner, sondern ausgelagert werden. Der Zugriff auf die Daten erfolgt dann über das Internet oder ein anderes, beispielsweise firmeninternes Netzwerk. Durch diese Möglichkeit der Auslagerung von Ressourcen eröffnet sich eine Vielzahl von praktischen Möglichkeiten. Auf der anderen Seite ist Cloud Computing ein Beispiel dafür, wie unser Rechtssystem der rasanten Entwicklung der Technologie hinterherhinkt. Vor allem für Unternehmen ist eine Auseinandersetzung mit elementaren Rechtsfragen unabdingbar. Denn mit den Möglichkeiten gehen auch rechtliche Probleme und Fragestellungen einher.

Welche Arten des Cloud Computings gibt es?

In den meisten Fällen kann man drei grundlegende Arten von Cloud Computing unterscheiden. „IaaS“ (Infrastructure as a Service) beschreibt die Zurverfügungstellung von IT-Infrastruktur, also Rechenleistung, Speicherkapazitäten und Netzwerken.

Darauf baut „PaaS“ (Platform as a Service) auf. Hier werden ganze Softwareumgebungen über die Cloud nutzbar gemacht. Das ermöglicht zum Beispiel die Entwicklung und Anwendung eigener Software.

Die dritte Stufe ist „SaaS“ (Software as a Service), womit die Bereitstellung von fertiger, nutzbarer Software gemeint ist.

Server

Den Begriff der Cloud selber kann man in private und öffentliche Clouds unterteilen. Standardmäßig versteht man unter einer Cloud die sogenannte „Public Cloud“. Der Zugriff erfolgt über das Internet. An dem Merkmal der „Öffentlichkeit“ wird auch ein Charakteristikum von Cloud Computing deutlich: Eine Cloud ist nicht auf einen konkreten Nutzer angepasst. Vielmehr kann ein und dieselbe Cloud von vielen verschiedenen Nutzern gleichzeitig beansprucht werden. Dadurch lässt sich Cloud Computing wiederum vom Application Service Management (ASP) abgrenzen.

Die „Private Cloud“ findet vorwiegend in Großkonzernen Einsatz. Der Zugriff erfolgt nicht über das Internet, sondern durch ein internes Netzwerk, das sogenannte „Intranet“.

Praktischer Nutzen

Im privaten Bereich ist Cloud Computing längst fester Bestandteil des Internet-Alltags. Mit wenigen Klicks werden private Daten in Clouds wie der Dropbox oder Google Drive gespeichert. Per Internetzugang sind die Daten zu jeder Zeit und ortsunabhängig abrufbar. Als Endgerät werden Desktop-Computer, Laptops, Tablets und Smartphones genutzt. Das garantiert nicht nur die größtmögliche Flexibilität, sondern ermöglicht auch das Teilen der Daten mit Dritten ohne den Einsatz von externen Datenträgern.

Für Unternehmen bedeutet die Auslagerung von Daten zunächst eine deutliche Einsparung von Kapazitäten auf mehreren Ebenen. Große unternehmensinterne Rechen- und IT-Zentren können eingespart werden. Somit entfallen auch die Wartung der Hardware und die Sicherung sowie das regelmäßige Updaten der Software. Diese Aufgaben werden zusammen mit den betreffenden Daten an den Cloud-Anbieter ausgelagert.

Ein großer Vorteil von Cloud Computing ist, dass die Bereitstellung ebenso wie die anschließende Abrechnung bedarfsabhängig erfolgt. Somit entstehen dem Unternehmen lediglich laufende Kosten, große Investitionen in umfangreiche IT-Zentren entfallen komplett. Das bedeutet gleichzeitig bessere Organisationsmöglichkeiten und mehr Flexibilität.

Datenschutzrechtliche Probleme

Dieser Umgang mit Daten wirft allerdings einige rechtliche Fragen auf. Schließlich verlassen die Daten Ihr Unternehmen und werden an Dritte weitergeleitet. Cloud-Dienste sorgen regelmäßig mit Datenverlusten und als lukrative Ziele von Hacker-Angriffen für Schlagzeilen.

Die Frage nach dem Datenschutz ist gerade bei der massenhaften Verarbeitung von fremden Daten durch Unternehmen relevant. Schließlich erfolgt diese Verarbeitung beim Cloud Computing nicht durch Sie selbst, sondern durch Dritte. In den meisten dieser Fälle werden personenbezogene Daten verarbeitet, also Daten, die einer bestimmten Person zugeordnet werden können. Darunter fallen neben Daten über die eigenen Mitarbeiter natürlich auch die Daten der Kunden. Für die Auslagerung solcher Daten (Auftragsverarbeitung) normiert die Datenschutzgrundverordnung (DSGVO) strenge Voraussetzungen.

Insbesondere die Inanspruchnahme von außereuropäischen Cloud-Diensten wird durch das europäische Gesetz weitestgehend eingeschränkt. Personenbezogene Daten dürfen nämlich nur ausnahmsweise in das außereuropäische Ausland gelangen. Dazu muss das Schutzniveau am Zielort dem deutschen Schutzniveau entsprechen.

Ein weiteres großes Problem ist die Haftung im Fall eines Datenverlusts. Ein vollständiger Haftungsausschluss in den AGB des Cloud-Anbieters ist nach der DSGVO ausgeschlossen: Denn gemäß Art. 28 DSGVO haftet der auftragsverarbeitende Cloud-Anbieter als Verantwortlicher, wenn er entgegen seinem Auftrag gegen die DSGVO verstößt. Das bedeutet konkret, dass er für die Verarbeitung der Daten und deren Sicherheit die Verantwortung trägt und somit von diesen auch in Anspruch genommen werden kann.

Auch wenn diese neue Regelung zum Vorteil der Betroffenen ist, stellt sich regelmäßig die Frage, ob ein möglicher Anspruch überhaupt praktisch durchsetzbar wäre. Denn ein durch Datenverlust entstandener Schaden ist schwer zu beziffern und je nach Sitzland des Cloud-Anbieters muss ein teurer Rechtsstreit in einem fremden Land mit einem anderen Rechtssystem geführt werden. Eine dahingehende Erleichterung bringt die Datenschutz-Grundverordnung nur für die Datenspeicherung innerhalb der Europäischen Union, da die Klage in den Fällen wahlweise am Ort der Niederlassung des Verantwortlichen bzw. Auftragsverarbeiters oder an dem Aufenthaltsort des Betroffenen erhoben werden kann.

WBS Domain

Vertragsgestaltung

Viele rechtliche Probleme können bereits durch eine ausführliche und sorgfältige Vertragsgestaltung ausgeräumt werden. Hier sollten Haftungsfragen eindeutig geklärt werden, bei internationalen Verträgen ist zudem eine Schiedsklausel in Betracht zu ziehen. Zu empfehlen ist darüber hinaus die vertragliche Festlegung des anwendbaren Rechts. Auch der Einsatz von möglichen Subunternehmern, vor allem auf Seite des Cloud-Anbieters, sollte vertraglich geregelt sein.

Von großer Wichtigkeit ist zudem die Regelung des Vertragsendes. Hier müssen auf beiden Seiten Vorkehrungen getroffen werden um eine sichere Rückübertragung der Daten zu gewährleisten. Für große Diskussionen sorgt daher auch regelmäßig die Frage nach den Folgen einer Insolvenz des Cloud-Anbieters.

Wir helfen Ihnen gerne!

Ob es um die Vertragsgestaltung mit Ihrem IT-Dienstleister oder um datenschutzrechtliche Fragestellungen geht – unser Expertenteam steht Ihnen gerne Rede und Antwort für Ihre Fragen.

Rufen Sie uns unter 0221 / 951 563 0 (Beratung bundesweit) an.