All About Security

22.06.2011 Compliance & Recht, Managed-Security-Services & Outsourcing, Fachartikel

Rechtsfragen des Cloud-Computing

Cloud-Computing ist eines der „heißesten“ Themen der letzten Zeit und verspricht dem Nutzer dieser Technik viele Vorteile von der einfachen Nutzung beliebiger Anwendungen bis hin zu Kosteneinsparungen durch die ökonomische Nutzung von Ressourcen. Das zugrunde liegende Netzszenario der Cloud berührt jedoch neben Sicherheitsaspekten auch eine Vielzahl von Rechtsfragen, die im folgenden Artikel angesprochen werden.

Cloud-Computing zeichnet sich dadurch aus, dass der Nutzer auf seine digitalen Daten von überall unkompliziert zugreifen kann, und zwar ohne die oft komplexe Installation von Software und ohne regelmäßig neue, leistungsfähigere Hardware anschaffen zu müssen. Dank der immer schneller werdenden Datenverbindungen werden Informationen, die der Nutzer zur Verfügung haben muss, nicht mehr lokal oder innerhalb eines Firmennetzes abgelegt, sondern auf Zentralservern im Internet. Auch ganze Programme können so über den Fernzugriff genutzt werden. Sie werden einfach im Browser ausgeführt und nehmen dem heimischen oder dem Arbeitsplatz-PC insbesondere die oft zum Hardwareaustausch führende, zeitaufwändige Rechenleistung ab.

Oft entfallen auch lästige Updates, da die dergestalt ferngenutzte Software stets in aktuellster Version vorhanden ist. Auch die Notwendigkeit für eine lokale IT, bestehend aus Servern, Netzwerk- und Datenbanksoftware etc., entfällt. Unternehmen können durch den Wegfall von Rechenzentren Fläche, Wartungsleistungen, Hardware- und Softwarekosten sowie natürlich auch Strom- und Kühlungskosten einsparen. Da die Server-Farmen von beispielsweise Amazon, Google oder auch künftig Microsoft mit dem Office-Programm Azure nur tatsächliche Zugriffe, also die wirklich in Anspruch genommene Serverleistung abrechnen, liegt hierin eine interessante Möglichkeit der Kostentransparenz und Kostensteuerung. Unnötige Kosten wegen ungenutzter Ressourcen gehören im Cloud-Computing der Vergangenheit an.

Rechtsfragen des Cloud Computing

Die neue Technik hat jedoch auch juristische Implikationen, namentlich Fallstricke im Bereich des Vertragsrechts und insbesondere des internationalen Rechts (wegen der oft für den Nutzer intransparenten und grundsätzlich auch technologisch nicht klar bestimmbaren Übermittlungen von Daten über Grenzen hinweg und deren Aufbewahrung an einem nicht definierten Ort irgendwo auf einem Server außerhalb der Rechtsordnung des Nutzers). Angesprochen sind insbesondere die Rechtsaspekte:

  • Bereitstellung von Speicherplatz
  • Softwareanwendungen
  • Rechnerkapazitäten
  • E-Mail-Dienste
  • Datenübermittlung.

Die Fehler früherer IT-Outsourcing- und Applikationsdienste-Provider-Verträge sollten im neuen Rechtsgebiet des Cloud Computing vermieden werden. Die Ausgangsfragen lauten daher:

  • Wie sensibel sind meine Daten?
  • Wie sicher sind diese Daten?
  • Welche Leistungen muss der Provider bei Vertragsende erbringen?
  • Kann der Vertragspartner unbeschränkt Subunternehmer einsetzen?

Das Cloud-Computing ist eigentlich keine bestimmte technische Lösung, sondern besteht aus einer Vielzahl von Komponenten, also virtualisierten IT-Dienstleistungen wie ASP, SAAS oder Managed Services und Hosting Services, die ausgelagert werden, um betriebliche und projektbezogene Services abzudecken. Die Vertragsgestaltung setzt daher an den bekannten Regelwerken aus Outsourcing- und ASP-Verträgen an, die in der Regel individuell ausgehandelt wurden und nur selten dem AGB-Recht unterfallen. Die vertragsrechtlichen Risiken liegen namentlich im Fehlen allgemeinverbindlicher oder gängiger, branchenüblicher Leistungsstandards. Daher ist es wichtig, dass der Vertrag eine besonders sorgfältige Leistungsbeschreibung enthält.

Die unternehmerischen Kunden sollten hier ihren Fokus auf kritische Geschäftsprozesse legen, wenn diese in die Cloud verlagert werden sollen, da dies einhergeht mit einer hohen Abhängigkeit betriebskritischer und besonders verwundbarer Geschäftsprozesse von einem externen Anbieter, der also durch strenge und mit jederzeitigen Audit- und sonstigen Kontrollmaßnahmen zugunsten des Auftraggebers flankierte und sanktionierte Bestimmungen engmaschig vertraglich angebunden sein sollte, etwa indem geregelt ist:

  • welche Maßnahmen der Auftragnehmer beim DR-/BC- und Eskalationsmanagement zu treffen hat,
  • welche Vergütungskriterien zugrunde zu legen sind, sowie
  • welche Regelungen über Teilleistungen und deren Kündigung gelten.

Zu beachten ist, dass ähnlich wie beim Outsourcing die – insbesondere haftungsrechtliche – Verantwortlichkeit durch die Delegierung von bestimmten technisch- administrativen Leistungen an den externen Anbieter nicht auch gleichzeitig zu einer juristischen Verantwortungsverlagerung führt. Die gesetzliche Verantwortung, namentlich die kaufmännische Sorgfalts- und Organisationspflicht in Bezug auf ein Risiko- und Informationsmanagement und dessen Kontrolle, verbleibt als Maßnahme der Corporate Governance bei der Unternehmensführung. Die konventionellen Vereinbarungen zur Überprüfung des Dienstleisters, meist in Anlehnung an die Anlage zu § 9 BDSG formuliert, wie etwa Auditrechte zur Prüfung der Zutritts-, Zugangs- und Zugriffskontrolle, müssen bei einer Cloud-Struktur notwendig ins Leere laufen, weswegen eine Anpassung an die tatsächlichen virtuellen Verhältnisse erforderlich ist. Die Maßnahmen der IT-Compliance, die sonach vertraglich auf den Cloud-Anbieter übertragen werden müssen, sind daher insbesondere:

  • die Pflicht zur Geheimhaltung,
  • die Implementierung verbindlicher Sicherheitskonzepte,
  • die Einhaltung von IT-Notfallkonzepten und
  • Pflichten im Reporting.

Es zeigt sich, dass der bestehende Rechtsrahmen wieder einmal der technischen Entwicklung hinterher hinkt. Vor allem im internationalen Leistungsumfeld entstehend durch die ungeregelten und durch die bestehenden Gesetzinstrumentarien nur mühsam – zumeist über die Rechtsprechung – auszufüllenden Lücken.

<< Erste < Vorherige 1 2 3 Nächste > Letzte >>

Diesen Artikel empfehlen

Autor: Ulrich Emmert
E-Government-GesetzDeutschland hat in dem Bereich der elektronischen Kommunikation im Behördenverkehr den Anschluss an die Spitze in Europa längst verloren, in den Niederlanden und in Skandinavien ist dies längst Standard.   Abbildung-1: E-Kommunikation im Behördenverkehr (Quelle: Eurostat) Das...
E-Justiz-Gesetz: Gleichstellung des Beweisrechtes von elektronischem Dokument und PapierBereits in Kraft getretene Änderungen a) Beweiskraft gescannter öffentlicher Urkunden Die einzige Änderung, die bereits seit 14.6.2013 in Kraft ist, betrifft die Beweiskraft öffentlicher Urkunden.  Damit Behörden zukünftig Akten bereits kurzfristig auf elektronische Bearbeitung umstellen...

Keine Artikel in dieser Ansicht.