Die rechtlichen Chancen und Risiken sind für den Cloud-Nutzer oft schwer abzuschätzen. Der Cloud- Nutzer trägt dennoch meist die rechtliche Verantwortung, insbesondere wenn er Informationen über andere Personen in einer Cloud speichert oder verarbeitet. Dabei spielt die Rechtssicherheit bei der Auswahl des richtigen Cloud Services eine wesentliche Rolle.

Die rechtliche Sicht auf einen Cloud Service umfasst Herausforderungen, die insbesondere durch
die Virtualisierung von IT-Infrastrukturen bedingt sind. Dabei finden sich Herausforderung in allen Rechtgebieten, vor allem aber im Datenschutzrecht, bei staatlichen Ermittlungen und bei IT-Compliance.

Zwar muss der Cloud-Nutzer auf der einen Seite sicherstellen, dass das die Nutzung des von ihm ausgewählten Cloud-Angebots nicht gegen diese Regelungen verstößt. Auf der anderen Seite bestimmen aber meist die Cloud-Anbieter über den Rahmen der Möglichkeiten der Cloud-Nutzung einschließlich einzelner Vertragsbedingungen. Dem Cloud-Nutzer bleibt also nur, bereits bei der Auswahl darauf zu achten, dass die vom Cloud-Anbieter angebotenen Bedingungen den rechtlichen Anforderung, die er als Cloud-Nutzer beachten muss, entsprechen.

5.1 UMGANG MIT PERSONENBEZOGENEN DATEN

Soweit die Erhebung, Verarbeitung oder Nutzung von Daten, die auch Dritte betreffen, in der Cloud erfolgen soll, muss der Cloud-Nutzer das Datenschutzrecht beachten. Die Übertragung der Daten ist nur unter sehr engen Voraussetzungen rechtlich zulässig.

Wollen Sie personenbezogen Daten (beispielsweise Kunden- oder Mitarbeiterdaten) in der Cloud speichern oder verarbeiten?

  • Ja
  • Unter Umständen
  • Nein

Soweit Sie für personenbezogene Daten die Cloud nutzen wollen, unterliegen Sie aufgrund Ihres Berufs einer zusätzlichen Geheimhaltungsverpflichtung. Eine Cloud-Nutzung kann eine Strafbarkeit nach sich ziehen.

Gehören Sie zu den Berufsgruppen des § 203 StGB (Arzte, Rechtsanwälte, Steuerberater, etc.) und wollen Sie Patienten- bzw. Mandantendaten in die Cloud einbringen?

  • Ja
  • Nein

Sowohl beim Umgang mit personenbezogenen Daten als auch als Angehöriger einer der oben genannten Berufsgruppen können Sie Cloud-Nutzer werden, wenn Sie eine ausdrückliche Einwilligung des Betroffenen einholen.

Haben Sie von allen Betroffenen (Kunden, Mitarbeiter bzw. Patienten, Mandaten) einen ausdrückliche schriftliche Einwilligungserklärung?

  • Ja
  • Nein
  • Kann ich jederzeit einholen

Wenn Sie nicht zu den besonderen Berufsgruppen gehören und nicht die oben genannten Voraussetzungen erfüllen können, dürfen Sie in der Regel eine Cloud nur nutzen, wenn Sie eine Auftragsdatenverarbeitung mit ihrem Cloud-Anbieter vereinbaren. Dabei muss es sich um einen zusätzlichen Vertrag handeln, bei

dem Sie den Cloud-Anbieter sorgfältig nach den Voraussetzungen des § 9 BDSG ausgewählt haben, der den Anforderungen des § 11 BDSG entspricht und eine Weisungs- und Kontrollbefugnis des Cloud-Nutzers sicherstellt.

Können Sie sicherstellen, dass der Cloud-Anbieter die Vorgab en aus § 9 BDSG einhält? Weist er Ihnen das beispielsweise durch ein besonderes, anerkanntes Zertifikat nach?

  • Ja
  • Nein
  • Keine Angabe

Bietet Ihnen der Cloud-Anbieter einen weiteren, schriftlichen Vertrag über die Auftragsdatenverarbeitung (entsprechend dem 10-Punkte-Katalog des § 11 BDSG und mit einer Unterwerfung unter ihre Weisungen und ihre Kontrollrecht) an?

  • Ja
  • Möglichkeit nach Vereinbarung
  • Nein
  • Keine Angabe

Viele Cloud-Anbieter befinden sich im Ausland oder greifen auf ausländische Server zurück. Eine Übertragung von Daten außerhalb der EU/EWR ist beim Cloud Computing in der Regel nicht zulässig.

Macht der Cloud-Anbieter Angaben über die möglichen Standorte der Server und garantiert dabei die Datenspeicherung und -verarbeitung ausschließlich innerhalb der EU/EWR?

  • Ja
  • Nein
  • Keine Angabe

5.2 AUFBEWAHRUNGSPFLICHTEN

Bestimmte Dokumente unterliegen gesetzlichen Aufbewahrungspflichten und müssen über den im Gesetz bestimmten Zeitraum zuverlässig zugänglich sein.

Kann der Cloud Anbieter den konsequenten Zugriff über viele Jahre garantieren?

  • Ja
  • Möglich nach Vereinbarung
  • Nein
  • Keine Angabe

5.3 STAATLICHE ÜBERWACHUNGS- UND ERMITTLUNGSMASSNAHMEN

Cloud-Angebote ermöglichen vereinfacht den Zugriff von Seiten öffentlicher Institutionen auf digitale Daten, sei es zu polizeilichen Überwachungs- und strafrechtlichen Ermittlungszwecken, oder bei Industriespionage insbesondere aus dem Ausland.

Cloud-Anbieter könnten von ihrem ausländischen Staat verpflichtet werden, einen Zugriff auf gespeicherte Daten zu ermöglichen. So könnten US-nahe Unternehmen durch den Patriot-Act verpflichtet sein, Zugriff auf Daten auch in Deutschland zu gewähren.

Macht der Cloud-Anbieter Angaben über die rechtliche Abhängigkeit zu anderen Staaten oder Unternehmen?

  • Ja
  • Nein

Inländische staatliche Zugriffe unterliegen strengen gesetzlichen Voraussetzungen. Dennoch kann der Cloud-Anbieter rechtliche gehindert sein, über einen erfolgten Zugriff zu informieren. In Fällen, in denen ein bestimmter Cloud-Nutzer nur am Rande betroffen ist, steht es dem Anbieter in der Regel frei, seinen Cloud- Nutzer über die erfolgte Bekanntgabe zu informieren.

Informiert der Cloud-Anbieter über die Weitergabe von Daten an Behörden, soweit ihm dies gesetzlich nicht verboten ist?

  • Ja
  • Nein

Viele rechtliche Risiken lassen sich mit Hilfe technischer Mittel, wie der Verschlüsselung, minimieren. So kann beispielsweis eine Speicherung auch ohne Einhaltung der oben genannten Voraussetzung nach dem Datenschutzrecht und sogar für besondere Berufsgruppe, wie Ärzte und Rechtsanwälte, zulässig sein. Ein staatlicher Zugriff oder Betriebsspionage werden ebenso erfolglos. Voraussetzung ist allerdings, dass Sie als Cloud-Nutzer die Daten verschlüsseln und auch der Cloud-Anbieter den Schlüssel nicht kennt.

Erlaubt der Cloud-Anbieter die Speicherung verschlüsselter Daten, die Sie zuvor nach dem neusten Stand der Technik vor der Übertragung verschlüsselt haben?

  • Ja
  • Nein
  • Keine Angabe

Sollen die Daten nicht nur gespeichert, sondern in der Cloud auch verarbeitet werden, ist eine Entschlüsselung notwendig. Damit leben die oben genannten Probleme wieder auf.

Wollen Sie Daten in der Cloud nur speichern oder Cloud Computing auch für die Datenverarbeitung nutzen?

  • Ja
  • Nein