Rein rechtlich

Datenwolke rechtlich absichern

Apple-Mitbegründer Wozniak hat jüngst die Sicherheit von Cloud Services kritisiert. Er trifft damit den Nerv verunsicherter Unternehmer. Dabei haben diese viel Spielraum bei der Vertragsgestaltung. Ein Gastkommentar.

Cloud Computing ist eine Revolution in Sachen IT. Die Datenwolke stellt Unternehmen aber auch vor Herausforderungen. Quelle: REUTERS

Während private Nutzer dem Reglement der Anbieter mehr oder weniger ausgeliefert sind, können Unternehmen Risiken dadurch eingrenzen, dass sie die Verträge mit den Cloud-Firmen individuell gestalten. So sollte der Anbieter unter der Kontrolle des Kunden stehen und für den Verlust oder die Weitergabe von Daten haftbar gemacht werden können.

Dies bedingt aus deutscher Sicht zunächst die Bestimmung des anwendbaren Vertragsrechtes und des Gerichtstandes. Sonst riskiert man, vor einem Gericht im Ausland nach ausländischem Recht klagen zu müssen. In der Praxis stößt dies zum Teil vor allem bei standardisierten Public-Cloud-Modellen auf erhebliche Schwierigkeiten. Denn die großen Cloud-Anbieter bieten ihre Dienste in der Regel nur auf der Grundlage ihrer eigenen AGB an. Sie zeigen meist kein oder nur wenig Interesse daran, hierüber zu verhandeln. Das Ergebnis ist in diesen Fällen häufig, dass davon abgeraten werden muss, mit dem Anbieter zusammenzuarbeiten oder die Unternehmen nehmen hiervon bereits von sich aus Abstand.

Eine weitere Hürde stellen die typischerweise weitreichenden Haftungsausschlüsse in den Standard-AGB dar. Wenn es um die Haftung für den Verlust von personenbezogenen oder sonstigen wesentlichen oder sensiblen Unternehmensdaten geht, ist es danach in der Regel nicht möglich, den Anbieter in Anspruch zu nehmen. Doch das Dilemma lässt sich lösen.

 

Dr. Christiane Bierekoven

Dafür müssen zunächst im Unternehmen alle Daten, Prozesse, Anwendungen und Services klassifiziert und deren Sensibilität und Bedeutung priorisiert werden. Im Vertrag mit dem Anbieter ist dann detailliert festzuhalten, wie die Firma ihre Leistungen erbringt, welche Gewährleistung in Bezug auf den Grad der Sensibilität der Daten sichergestellt wird und wie für einen möglichen Datenverlust oder eine unzulässige Weitergabe der Daten gehaftet wird. Kommt der Cloud-Anbieter hier nicht entgegen, wie häufig beim Standard Public-Cloud-Modell, sollte ein Private-Cloud-Modell mit größeren vertraglichen Gestaltungsmöglichkeiten in Erwägung gezogen werden. Auch eine Mischlösung, die die Auslagerung weniger sensibler Daten in eine Public Cloud und die von sensiblen Daten in eine Private Cloud vorsieht, ist möglich.

 

In Arbeit
Bitte entschuldigen Sie. Hier steht ein Element, an dem derzeit noch gearbeitet wird. Wir kümmern uns darum, alle Elemente der WirtschaftsWoche zeitnah für Sie einzubauen.

Wer sich also gegen den Kontrollverlust stemmen möchte, vor dem Apple-Mitgründer Wozniak zu Recht warnt, sollte sich vertraglich gut absichern. Je sensibler und wichtiger die auszulagernden Services, Daten, Prozesse und Anwendungen sind, desto mehr Wert sollte auf eine Vertragsgestaltung gelegt werden, die den individuellen Ansprüchen des Unternehmens Rechnung trägt. Dies lässt sich am ehesten via „Private Cloud“ realisieren. Unkritische Daten, Services, Prozesse und Anwendungen können hingegen unter dem Gesichtspunkt des Risikoverlustes oder der Kontrolle auch in die Public Cloud ausgelagert werden. Aber auch hier nur unter der Voraussetzung, dass die einschlägigen datenschutzrechtlichen Anforderungen eingehalten werden.

 

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%