Private Cloud rechtssicher auslagern?

Kommentieren Drucken

Unternehmen greifen zunehmend auf Cloud-Dienste zurück, um Kosteneinsparungen zu realisieren und um zu vermeiden, dass für zukünftige Entwicklungen bereits unnötig Ressourcen bereitgehalten werden müssen.

Dabei werden jedoch häufig Compliance-Anforderungen vergessen oder bewusst in den Hintergrund gedrängt. Daraus entstehe erhebliche Haftungsrisiken für Unternehmen, insbesondere weil damit auch Vorschriften zu IT-Sicherheit, Datenschutz und Geheimhaltung sowie zur Aufbewahrung und Löschung von Informationen missachtet werden.

Nach einer Umfrage von Markus Vehlow und Cordula Golkowsky von PWC zum Thema „Cloud Computing, Navigation in der Wolke“ unter deutschen Unternehmen im Jahr 2013 haben 39% der Unternehmen angegeben, sie würden Cloud-Dienste aus den USA nutzen und weitere 24%, sie würden Cloud-Dienste aus anderen Ländern außerhalb der EU nutzen.

Derzeit ist es durch das Urteil des Europäischen Gerichtshofs vom 6.10.2015 nicht mehr möglich, mit Hilfe des Safe Harbor Abkommens eine rechtmäßige Verarbeitung von Daten von EU-Bürgern in den USA zu erreichen. Das geplante Nachfolgeabkommen EU-US-Privacy Shield ist derzeit noch nicht in Kraft und wird voraussichtlich auch die Kriterien des Europäischen Gerichtshofs nicht erfüllen können, so dass mit einer neuerlichen Aufhebung zu rechnen ist.

Behörden und Freiberufler haben mit den Vorschriften des Amts- bzw. Berufsgeheimnisses zu kämpfen, die die Verwendung von Cloud-Diensten einschränken können. Es ist unter Juristen heftig umstritten, welche Arten der Cloud hier genutzt werden dürfen und welche Datenverarbeitung sogar strafrechtlich relevant sein kann. Ein Cloudanbieter lässt sich kaum als Gehilfe im Sinne des Gesetzes qualifizieren. Bereits die Möglichkeit, dass Mitarbeiter des Cloudanbieters oder seines Treuhänders auf die Daten zugreifen können, kann hier zu einer Complianceverletzung führen. Zudem werden bei Überwachungsmaßnahmen und Beschlagnahmeanordnungen gegen Provider möglicherweise Zeugnisverweigerungsrechte von Behörden und Freiberuflern untergraben, die den Zugriff der Staatsanwaltschaft bei eigener Datenverarbeitung verhindert hätten. Auch dies kann zu einer unerlaubten Kenntnisnahme Dritter führen. Hier sollte geprüft werden, welche Datenverarbeitung innerhalb des öffentlichen Dienstes bzw. dem Büro des Freiberuflers stattfinden muss bzw. welche Leistungen auch durch private Unternehmen erbracht werden können.

Das Steuerrecht verlangt von Unternehmen ebenfalls erhebliche Voraussetzungen, wenn die Daten nicht in der Unternehmens-IT, sondern irgendwo in einer Rechnerwolke gespeichert werden. Bestimmte Arten von Cloud-Diensten sind hier generell unzulässig. Die revisionssichere Archivierung von Daten nach der neuen GoBD und die erheblich gestiegenen Anforderungen an Verfahrensdokumentationen wecken weitere Zweifel an einer einfachen Verlagerung in die Cloud ohne sorgfältige Planung und Complianceprüfung.

Möglicherweise verstoßen auch Mitarbeiter gegen arbeitsvertragliche Pflichten, wenn sie Cloud-Dienste zur Verarbeitung von Unternehmensinformationen nutzen. Die Consumerizaion von IT macht zumindest im Bereich online erreichbarer privater Datenspeicher von Mitarbeitern wie z.B. Microsoft Onedrive, Dropbox oder Google Drive und bei der Synchronisation von auf mobilen Endgeräten gespeicherten Daten in die Cloud wie z.B. Apple Icloud vor rechtlich unzulässigen oder zumindest problematischen Sachverhalten nicht Halt.

Das Unternehmen oder seine Mitarbeiter können hier Probleme wegen der Strafbarkeit des Verrats von Geschäftsgeheimnissen bekommen, es können durch Geheimnisverrat aber auch erhebliche Nachteile für das Unternehmen im internationalen Wettbewerb entstehen.

Neue Anforderungen gibt es durch die jetzt stufenweise in Kraft tretenden Regelungen der EIDAS-Verordnung und der EU-Datenschutzverordnung. Bestimmte IT-Dienste sind zukünftig Vertrauensdiensteanbietern vorbehalten, die dafür die Anforderungen der EIDAS-Verordnung umsetzen müssen. Die Verarbeitung sensibler Daten in Cloud-Umgebungen wird zukünftig noch stärker reglementiert, während die Anforderungen an eine wirksame Einwilligung zur Verarbeitung von Daten für bestimmte Zwecke oder zur Verarbeitung im Ausland erheblich steigen werden. Bisherige Complianceprüfungen sind daher für die Herausforderungen der nächsten beiden Jahre bei weitem nicht mehr ausreichend.

Behörden wie Unternehmen sollten also vor der Nutzung von Clouddiensten die allgemeinen rechtlichen wie auch die jeweils branchenbezogenen Complianceanforderungen prüfen, bevor Geschäftsprozesse durch die Inanspruchnahme von Clouddiensten verändert werden.

zugeordnete Kategorien: Cloud Computing, Endgeräte, IT-Recht
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.