Cloud Computing - Daten in der Wolke
 

E-Commerce- und Webshoprecht


 

Home  |   Datenschutz  |   Impressum  |      

 





 

Cloud Computing - Auftragsdatenverarbeitung - Daten in der Wolke


Es ist eines der ganz großen Zukunftsthemen der PC-Benutzung: Cloud Computing. Wie in einer über allem schwebenden Wolke sollen die Daten der User nicht mehr lokal auf dem eigenen Rechner gespeichert und verarbeitet werden, sondern auf Servern großer Anbieter wie Amazon, Google oder Microsoft.

Die Anbieter stellen ihre riesigen über den ganzen Erdball verteilten Serverfarmen zur Verfügung, um diese ggf. Milliarden von Internetnutzern als virtuelle Festplatte zur Verfügung zu stehen. Das macht die Datenhaltung erstens sicherer, weil kein Privatmann oder kleiner Unternehmer eine derartig hohe und schnelle und vor allem stets aktuelle Back-Up-Redundanz bieten kann, und zweitens verbilligt es potentiell die Hardware erheblich, weil weder teure und anfällige Festplatten noch übermäßig viel Arbeitsspeicher auf den Client-Rechnern vorhanden sein müssen.





Auf der anderen Seite sehen Skeptiker natürlich mit großen Bedenken, dass auf diese Weise kritische persönliche und Unternehmensdaten "außer Haus" (also "außer Kontrolle"?) verwahrt werden und möglicherweise der Datenschutz dabei nicht ausreichend gewahrt ist. Dabei muss aber bedacht werden, dass die Anbieter ihr Geld nicht mit Schnüffelei verdienen, sondern dass ihre Geschäftsmodelle gerade zu ein hohes Vertrauen der Benutzer voraussetzen, wenn diese sich nicht in Massen von ihren Angeboten abwenden sollen.

Letztlich geht es aber nicht nur um Datenhaltung, sondern auch um das Zur-Verfügung-Stellen von Anwendungen wie beispielsweise CRM, CMS, Finanzsoftware, Datenbanken, E-Mail-Programme, Chatsoftware, Kommunikationssoftwäre jeglicher Art, Office-Software (Google Text & Tabellen, Microsoft Azure). Diese Anwendungen werden mit den diversen angebotenen Browsern aufgerufen und bedient.

Das Spiegel Wissen Lexikon zum Stichwort Cloud Computing:
"Die Idee von „Cloud Computing“ ist, das Internet per Breitbandverbindung so zu nutzen, wie früher Großrechner per Terminal genutzt wurden. Der Endanwender am Büro- oder Heimschreibtisch bekommt nur noch ein relativ simples Gerät, über das er mit dem Internet verbunden ist. Das komplexe Betriebssystem, das aufwendige Textverarbeitungsprogramm, die funktionsüberbordende Tabellenkalkulation - all das läuft nicht mehr auf dem Rechner unter dem Tisch, sondern irgendwo in der „Wolke“ von Rechnern, die am Internet hängen; Videos werden nicht mehr von der persönlichen Festplatte abgespielt, sondern von Servern aus gestreamt ; und auch die unzähligen Gigabytes an Dokumenten, Fotos und Musik lagern nicht mehr auf dem Rechner unter dem Schreibtisch, sondern auf Servern irgendwo in einem Rechenzentrum. Die Anbieter der Software müssen nur noch in ihren Rechenzentren für Updates sorgen - die Nutzer greifen immer automatisch auf die aktuelle Version der Programme zu; um Backups müssen sie sich nicht mehr kümmern, dafür sorgen die Speicherplatz-Anbieter; und von jedem Rechner mit Internet-Anschluss fühlt sich das Arbeiten an, als säße man vor seinem eigenen Computer. Die Superrechner-Kraft des zeitgenössischen PC wird in die Rechnerwolke des Internet verlagert, für den Anwender bleibt ein einfaches Terminal.

Nach Google setzt seit Ende Oktober 2008 auch Microsoft auf die Verführungskraft des „Cloud Computing“ - wobei das Unternehmen aus Redmond die Wolken werbefreundlich im blauen Himmel von „Windows Azure“ hat verschwinden lassen. Noch steht die Entwicklung am Anfang, aber Experten sagen ihr eine große Zukunft voraus. Daran werden vermutlich auch die Kritiker nichts ändern können, die davor warnen, alle Daten wenigen Großkonzernen in den Rachen zu werfen: „Cloud Computing“ ist, wenn es denn funktioniert, einfach zu bequem."
Der Gedanke wird sogar soweit getrieben, dass künftig möglicherweise spezielle Betriebssysteme nur für das Cloud Computing entwickelt werden (siehe Google Chrome OS). Zumindest für den Netbookmarkt ist mit einer derartigen Entwicklung schon für die nächste Zukunft zu rechnen.

Allerdings muss beim Thema Cloud Computing ein starkes Augenmerk auf die Einhaltung des deutschen Datenschutzrechts gelenkt werden. Seit 2009 muss gem. § 11 Bundesdatenschutzgesetz (BDSG) derjenige, der seine Daten in die Cloud verlegen möchte - der Auftraggeber -, mit dem Unternehmen, auf dessen Server die Daten gelagert werden sollen - dem Auftragnehmer -, einen schriftlichen Verarbeitungsvertrag abschließen, in dem im einzelnen folgende Regelungen getroffen werden müssen:
  1. der Gegenstand und die Dauer des Auftrags,

  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

  3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,

  4. die Berichtigung, Löschung und Sperrung von Daten,

  5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Eines der Hauptprobleme verursacht dabei - wie auch bei den großen sozialen Netzwerken - die Tatsache, dass die Daten u. U. nicht in Europa, sondern in Drittländern gespeichert und vorgehalten werden, die nicht das europäische und schon gar nicht das deutsche Datenschutzniveau gewährleisten. Zu diesen Staaten gehören beispielsweise auch die USA.

Es liegt auf der Hand, dass für kleinere Unternehmen der Abschluss derartiger Verträge mit Internetriesen wie Google, Amazon, Microsoft, aber auch beispielsweise Dropbox, Carbonite usw. nicht oder nur schwer erreichbar sein dürfte. Somit steht zu befürchten, dass bei strenger Anwendung des deutschen Datenschutzrechts gerade die kleinen Unternehmen von einer vielversprechenden und zukunftweisenden Technologie abgeschnitten werden.

Immerhin werden im Internet inzwischen entsprechende Musterverträge, u. a. auch von Google, zur Verfügung gestellt.

Zur Datenverarbeitung in der Cloud durch Unternehmen in Europa führt Rechtsanwalt Arnd Böken aus:
"Ein deutsches Unternehmen ist an deutsches Datenschutzrecht gebunden, gleichgültig ob es Daten in einer Private Cloud verarbeitet oder die Angebote eines Cloud-Providers nutzt. Verarbeitet das Unternehmen personenbezogene Daten in der Cloud, also etwa Daten von Mitarbeitern, Kunden oder Lieferanten, so gilt dafür das Bundesdatenschutzgesetz (BDSG).

Die beste Möglichkeit, Cloud-Dienste datenschutzkonform entsprechend dem BDSG zu nutzen, ist die Auftragsdatenverarbeitung innerhalb einer EU/EWR-Cloud. Das bedeutet, dass der Cloud-Provider die Daten nur im Auftrag und auf Weisung des Unternehmens verarbeitet. Verantwortlich für die Datenverarbeitung ist dann weiterhin das Unternehmen. Auftragsdatenverarbeitung hat den großen Vorteil, dass die Daten problemlos zum Cloud-Anbieter transferiert werden dürfen. Der Auftragsdatenverarbeiter hat eine vergleichbare Stellung wie ein internes Rechenzentrum des Unternehmens.

Diese Vorteile können Unternehmen und Cloud-Anbieter aber nur in Anspruch nehmen, wenn sie auch wirksam die Voraussetzungen für Auftragsdatenverarbeitung schaffen. Dazu müssen sie einen schriftlichen Vertrag schließen, der eine Reihe von Bestimmungen zu Datenschutz und Datensicherheit enthält. Die Verträge sind umfangreich und schwierig zu verhandeln. Man muss hier zahlreiche Gesichtspunkte berücksichtigen.

Eine wichtige Voraussetzung ist, dass die Daten nur innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet werden, also innerhalb der EU sowie Island, Liechtenstein und Norwegen. Nur dann erhält der Cloud-Anbieter eine Rechtsstellung, die mit einem internen Rechenzentrum des Unternehmens vergleichbar ist.

Genau hier liegt das Problem. Der Cloud-Anbieter muss garantieren, dass die Daten den EWR nicht verlassen. Cloud-Anbieter mit Sitz in der EU können diese Garantie problemlos geben. Viele deutsche Unternehmen nutzen diese Clouds, da sie die Vorteile einer Auftragsdatenverarbeitung innerhalb des EWR erkannt haben und für sich in Anspruch nehmen wollen."
Hat der Cloud-Anbieter seinen Sitz nicht in Europa, so muss er die Anforderungen des Safe-Harbor-Programms erfüllen, d. h. bestimmte Garantien hinsichtlich des Datenschutzes geben. Außerdem verlangen die deutschen Datenschutzbeauftragten dann, dass das Unternehmen mit dem Cloud-Provider einen schriftlichen Vertrag über die Auftragsdatenverarbeitung schließt (siehe oben und die nachstehenden Vertragsmuster) entsprechend den Grundsätzen des deutschen Rechts.

Safe Harbor (sicherer Hafen) ist eine Entscheidung der Europäische Kommission, bei deren Einhaltung es europäischen Unternehmen gestattet ist, personenbezogene Daten legal, d. h. datenschutzkonform in die USA zu übermitteln. Diejenigen amerikanischen Firmen, die sich verpflichten, sich entsprechend zu verhalten, treten dem Abkommen bei und lassen sich dementsprechend beim US-amerikanischen Handelsministerium registrieren. Unter den mehr als tausend registrierten Unternehmen sind auch alle großen bekannten Cloud-Anbieter, darunter auch die sozialen Netzwerke.

Ein typischer Fall der Auftragsdatenverarbeitung sind Analysetools wie beispielsweise Google Analytics.





Gliederung:



Allgemeines: - nach oben -





 Google-Anzeigen: