Über Ralph Günther

Als Gründer der exali GmbH verfüge ich über langjährige Erfahrung im Riskmanagement und der Versicherung von IT-Experten, Medienschaffenden und Consultants. Mehr

Zum Versicherungsportal

exali.de - Mein Business bestens versichert

RSS

RSS

Networking

Follow exali on Twitter  

Meta

Diese Seite wird überprüft von der Initiative-S

Gastkommentar von Werner Grohmann, Herausgeber SaaS-Forum und Cloud Computing Report

Was ist der Unterschied zwischen „private cloud“ und „public cloud“? Welche Bereiche im Vertragsrecht werden bei Software-as-a-Service (SaaS) und Cloud Computing besonders tangiert? Antworten auf diese Fragen lieferte SaaS-Experte Werner Grohmann vergangenen Donnerstag in meinem Blog. Er ist Herausgeber der Online-Portale SaaS-Forum und Cloud Computing Report und beschäftigt sich schon lange mit alternativen Formen der Softwarenutzung.

Informationsplattform zum Thema Software-as-a-Service

Im zweiten Teil seines Gastbeitrags erläutert er die Rechtssituation für Anbieter von SaaS- und Cloud-Computing-Services in den Bereichen „IT-Sicherheit“ und „Datenschutz“. Bei seinen Ausführungen bezieht sich Werner Grohmann auf einen Vortrag, den Rechtanwalt Jan Pohle von der Kanzlei Taylor Wessing im Jahr 2009 im Rahmen des Executive Briefing Cloud Computing des Cluster IKT.NRW gehalten hat.

Zum Thema „IT-Sicherheit“ erklärte Jan Pohle, dass ein sehr differenziertes System von Rechtsquellen bestehend aus Aktien-Gesetz (AktG), GmbH-Gesetz (GmbHG), Strafgesetzbuch (StGB) und Gesetz gegen den unlauteren Wettbewerb (UWG) existiert, das ein ebenso differenziertes Sanktionssystem bereit hält. Im Rahmen der Gewährleistung von IT-Sicherheit sind die

  • Verfügbarkeit,
  • Integrität,
  • Vertraulichkeit,
  • Authentizität und
  • Zurechenbarkeit technischer Informationen

sicher zu stellen. Bei Nichtbeachtung haften dann „der/die Sicherheitsverantwortliche/n“. Dies trifft damit nicht nur die Geschäftsleitung, sondern auch Mitarbeiter wie IT-Sicherheits- oder Datenschutzbeauftragte.

Von besonderer Relevanz im Cloud Computing ist natürlich das Thema „Datenschutz“, da es im Rahmen der Nutzung cloud-basierter Dienste in der Regel auch zur Speicherung von personenbezogenen Daten auf den Systemen des Dienstleisters kommt (z.B. Arbeitnehmer- und Kundendaten), die entsprechend des Grundgedankens des Cloud Computing weltweit verteilt abgespeichert sein können.

Wo und wie sicher sind die Daten gespeichert?

Da in diesem Fall von einer Auftragsdatenverarbeitung nach § 11 BDSG ausgegangen werden kann, bleibt aber der SaaS- bzw. Cloud Computing-Kunde „Herr der Daten“ und damit auch datenschutzrechtlich verantwortlich. In der Regel weiß der Cloud-Computing-Anwender aber gar nicht, wo seine Daten gespeichert werden. Auf diese Problematik hatte ich bereits in meinem ersten Gastbeitrag hingewiesen.

Allerdings dürfen personenbezogene Daten in der Regel nicht ohne weiteres in Drittstaaten außerhalb der Europäischen Union übermittelt werden. Dies ist nur dann gestattet, wenn in den Drittstaaten ein angemessenes Datenschutzniveau sichergestellt ist. So erfüllen z.B. Anbieter von Datenzentren in den USA diese Vorgaben nur, wenn sie sich den Safe-Harbour-Bestimmungen unterworfen haben.

Safe Harbour
ist eine zwischen der Europäischen Union und den Vereinigten Staaten geschlossene Datenschutz-Vereinbarung. Sie ermöglicht europäischen Unternehmen die Übermittlung von personenbezogenen Daten in die USA.

Auf der anderen Seite wurden aber im Zuge der Vorkommnisse des 11. September 2001 zum Beispiel der Heimatschutzbehörde in den USA umfangreiche Befugnisse eingeräumt, die sich auch auf die Einsicht in Daten beziehen. Inwieweit diese Befugnisse im Ernstfall über die Regelungen eines Safe-Harbour-Abkommens gestellt würden, lässt der Jurist offen.

Herr Pohle rät deshalb Nutzern von Cloud-Computing-Angeboten dringend, den Aspekt des internationalen Datentransfers genauestens zu durchleuchten. Dies kann natürlich im Einzelfall mit großem Aufwand verbunden oder sogar unmöglich sein.

Spannungsfeld Internationalität: Andere Länder, andere Rechtssysteme

Dieser letzte Aspekt führte abschließend zu einem, die gesamte rechtliche Würdigung überlagernden Thema, der Internationalität. Nicht nur im Bereich Datenschutz bewegt sich Cloud Computing laut Rechtsanwalt Pohle in einem Spannungsfeld nationaler Rechtsordnungen, auch im Vertragsrecht spielt die Internationalität eine übergeordnete Bedeutung. Dazu kommt natürlich die Problematik der Rechtsdurchsetzung, insbesondere in Staaten mit einem völlig anderen Rechtssystem.

Ein umfassender Fachartikel mit dem Titel „Über den Wolken … – Chancen und Risiken des Cloud Computing“, der von Herrn Pohle und seinem Kollegen Thorsten Ammann verfasst wurde, wurde in Heft 5/2009 der Zeitschrift COMPUTER UND RECHT veröffentlicht.

Weiterführende Informationen

Schreiben Sie einen Kommentar

Wenn Sie einen Kommentar abgeben, speichern wir zu den eingegebenen Daten Ihre IP-Adresse. Weitere Informationen finden sie in unserer Datenschutzerklaerung.

Time limit is exhausted. Please reload CAPTCHA.