:quality(80)/p7i.vogel.de/wcms/6f/a4/6fa40313aabee4adfe278b642c0741ff/0110518886.jpeg "Nvidia und Quantum Machines stellen „DGX Quantum“ vor - das erste System, das GPUs und Quantencomputing miteinander verbindet und eine die „Cuda Quantum“-Software als Plattform nutzt. (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/56/12/56129490800e1b2a59f1b7aceac435d4/0110508728.jpeg "Die Nvidia-CPU „Grace“ ist ARM-basiert und soll einen schnellen Weg für Energie-effizientes Computing in jedem Rechenzentrum ermöglichen. Erste Hardwarehersteller haben Rechner angekündigt. (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/58/58/58589ff4a8138bb01ecd3b044e48b7f1/0110498378.jpeg "Fotomasken über Nacht mit Nvidia DGX H100 und der Software-Bibliothek cuLitho (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/e3/09/e3096d6dce558738c51c5ca878041061/0107846251.jpeg "Am 20. Oktober 2022 konnten die Gewinner der diesjährigen Leserwahl zu den DataCenter-Insider-Awards ihre Preise bei einer Abendgala in Empfang nehmen. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/4e/d04ed61cedb2e95dd4239fe7dc09da1c/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1953100/1953154/original.jpg "Die Leserwahl zum DataCenter-Insider-Award hat begonnen. (Vogel IT-Medien GmbH)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883458/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre DataCenter-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/da/45/da45e933b9e6f3dda7512da792286482/0110588027.jpeg "„Das kommende Anker-Release von SAP S/4 HANA darf nicht bedeuten, dass Innovationen und Erweiterungen künftig ausschließlich in der Public Cloud stattfinden“, so Sebastian Westphal, Technologievorstand der SAP-Anwendervereinigung DSAG bei der Eröffnung der DSAG-Technologietage. „Alles, was in Richtung Cloud gehe, muss gleichwertig zu den bestehenden Inhouse-Lösungen sein, und zwar am besten schon bis Ende 2023.“ (Bild: DSAG)")
:quality(80)/p7i.vogel.de/wcms/6b/22/6b22ca25854deb9bf1247ebc4936d7bd/0110474211.jpeg "(Bild: frei lizenziert/David Bruyland)")
:quality(80)/p7i.vogel.de/wcms/b0/ac/b0ac87a5428c801d2760a4a5ef414d83/0110425636.jpeg "Überblick schaffen im dichten Gewebe der Prozesse wollen die Process Mining-Tools. (Bild: von Dieter G auf Pixabay)")
:quality(80)/p7i.vogel.de/wcms/cd/86/cd863948fda6ad802cd04c92b211f784/0110477556.jpeg "Das Bild zeigt ein Produkt aus der Vertiv-Geist-Produktreihe der Rack-PDUs (rPDU). (Bild: Vertiv )")
:quality(80)/p7i.vogel.de/wcms/1a/90/1a9079f055c52e6cee60fe784bb4c83c/0110443092.jpeg "(Bild: frei lizenziert/Christel Sagnies)")
:quality(80)/p7i.vogel.de/wcms/01/2a/012a93afd1ecced766cb35a716dc1131/0110441284.jpeg "Im Januar dieses Jahres hat Amazon Web Services mit der Umstellung auf HVO (hydriertes Pflanzenöl) für den Betrieb von Notstromaggregaten an seinen Rechenzentrumsstandorten in Europa begonnen. (Bild: AWS)")
:quality(80)/p7i.vogel.de/wcms/22/ba/22ba56619b0d0276d994d162a168546e/0110390314.jpeg "Noch liefert Stulz nicht alle Details: Das Wärmerückgewinnungssystem auf der Basis einer Wäremepumpe soll erstmals im April ausgeliefert werden. (Bild: Stulz)")
:quality(80)/p7i.vogel.de/wcms/4f/8f/4f8f577109bd6960985530436afecaac/0110480478.jpeg "Heutiges System-Management schließt die Informationen zu Leistungs- und Verbrauchswerten auf, um das Energie- und Wärme-Management zu automatisieren. (Bild: frei lizenziert: Florian Berger )")
:quality(80)/p7i.vogel.de/wcms/3b/bf/3bbfec32b70717961f3410279bad99a2/0110549065.jpeg "Eine aktuelle Studie von INFORM DataLab zeigt, dass Prozessautomatisierung weiterhin ein gefragtes Thema ist. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/31/d2/31d2e5fc6275d4c1185d474403cefb0e/0110565020.jpeg "Ada-Grafikprozessor der Generation RTX 5000 für Laptops: Industrieplanung auch von zuhause aus (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/37/07/370702e0151951229f81c8bc03a9cc26/0110574335.jpeg "Eine haarige Geschichte: Micrsosoft erhöht die Preise für Online-Dienste um 11 Prozent. (Bild: @ virtua73 - Stock.Adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ba/23/ba231eaba78e3fda54ef4c8e8b7f65c0/0110562400.jpeg "Von Samstag auf Sonntag wird auf die 'Sommerzeit' umgestellt. Vernetzte Devices machen den Zeitsprung von einer Stunde automatisch mit. (Bild: frei lizenziert: Christine Sponchia)")
:quality(80)/p7i.vogel.de/wcms/e6/ca/e6cabbe2921290bb52413181bb805b39/0110387151.jpeg "Im April und Mai bietet der TÜV Rheinland fünf Informationstermine zum Siegel „SDC Sustainable Data Center“ an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b8/c8/b8c894798db0335134f180a31818717b/0110421747.jpeg "Virtuelle Maschinen und Grafikprozessoren als Beschleuniger erlauben schnelles und skalierbares Rechnen in der Cloud. (Bild: Microsoft: The innovation behind AI at Scale)")
:quality(80)/p7i.vogel.de/wcms/9f/32/9f320dfe25bd569e4f8dc4bb929472ef/0110282380.jpeg "Zu dem Funktionen von „Smartmaps“ der Yellomap AG gehört das Erstellen von Standortkarten. (Bild: Yellowmap AG)")
:quality(80)/p7i.vogel.de/wcms/b0/81/b081cfcacf88499af05b7893437c4b37/0110196798.jpeg "Ganz gut aber aufgrund mangelnder Nutzerbasis eine wackelige Geschichte - so lässt sich der Status des GaiaX-Projekts zusammenfassen. (Bild: frei lizenziert: Peggy und Marco Lachmann-Anke )")
:quality(80)/p7i.vogel.de/wcms/b2/4c/b24cacd01ee6ecd977c2f5f99a91b573/0109749321.jpeg "Portabilität ist nicht Parität und Multicloud-Fähigkeit ist nicht unbedingt Souveränität - was denn dann? (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/26/1626fe4df85d520d07cb2b077ad6a6ae/0109842820.jpeg "Mit Purity//FB 4.1 baut Pure Storage die Fähigkeiten seiner FlashBlade-Reihe weiter aus. (Bild: Pure Storage)")
:quality(80)/p7i.vogel.de/wcms/42/05/42053c1dd0cfadff444b6f2e98705a91/0109313245.jpeg "Die Festplattenverkäufe sind im vierten Quartal 2022 deutlich zurückgegangen. (Bild: manseok_Kim)")
:quality(80)/p7i.vogel.de/wcms/be/a9/bea94b361e797b43a9e20399295665e0/0109258793.jpeg "Es grummelt in der Public Cloud: Die höheren Energiekosten führen zu steigenden Preisen. (Bild: Felix Mittermeier)")
:quality(80)/p7i.vogel.de/wcms/d0/82/d0825a3f96105d35195c5dd80abcb0bb/0108924511.jpeg "(Bild: Pure)")
:quality(80)/p7i.vogel.de/wcms/6f/32/6f3243397ab7c83f8119f171705b3129/0110594536.jpeg "„You Have to Be at CloudFest if You Work in the Cloud“ – wer mit der Cloud arbeitet, Infrastruktur und Services für Cloud Computing anbietet kommt am CloudFest im Europapark Rust nicht vorbei. (Bild: VIT / ewg)")
:quality(80)/p7i.vogel.de/wcms/a3/84/a384ac3a46795a21af955198d716d754/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d3/a2/d3a2ad76de3364df4e131a9a32411714/0110297969.jpeg "Die Mitarbeiter spielen bei der Sicherheit in Cloud-nativen Umgebungen ebenso eine Rolle wie auch technische Maßnahmen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/0c/f8/0cf8d027e37a6cbc4e0aa76adffdad3c/0110155440.jpeg "Wer wie am weltweiten Markt für Quantencomputing profitieren kann, entscheidet sich nicht nur auf der technischen Ebene. Es braucht Menschen, die in diese Technikgeneration hineinwächst. (Bild: agsandrew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/a7/c4a7c453633d8a05e0d3a604f1c61bed/0110450045.jpeg "Quandela entwickelt Quantencomputer. Hinter dem Firmennamen steckt ein junges Team aus preisgekrönten Physikern und versierten Ingenieuren. Das Unternehmen wurde 2017 gegründet. (Bild: Quandela)")
:quality(80)/p7i.vogel.de/wcms/66/ae/66ae9e32738784b57e2ad8c1a4b0986f/0109756744.jpeg "Eines der in Deutschland befindlichen NTT-Datacenter - in Hattersheim - und das PeerDC-Logo. (Bild: NTT Global Data Centers )")
:quality(80)/p7i.vogel.de/wcms/bd/26/bd26cd1fc2fcdb4b82100d1a0e24ba9a/0109064470.jpeg "Viele habe zur Überarbeitung des 'Blauen Engels' für Rechenzentren beigetragen. Stößt das Umweltzeichen damit nun auf breitere Akzeptanz? (Bild: nadtytok28 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/7a/fd7a3f27c1905255d03a7d0410626a7d/0106490349.jpeg "(Bild: EMC - Home of Data)")
:quality(80)/p7i.vogel.de/wcms/62/21/622158e210b9f8d95012333d2fd8ca70/0106351175.jpeg "Das Projekt „PeerDC“ auf der <A target="_blank" HREF="https://datacenter-group.com/de/news/meldungen/peerdc.php">Website der DataCenter Group</A> (Bild: ilya_levchenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bb/80/bb80be0c5bd76440174fa8736c0fc68a/0109079523.jpeg "(Bild: Amazon)")
:quality(80)/p7i.vogel.de/wcms/90/40/904072c10c6cfb25aa589ccdc2b731a0/0105957803.jpeg "Diese bunten Rohrleitungen befinden sich nicht in London, sondern im Kühlraum des Google-Rechenzentrums in Singapur. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/28/91/2891191f43d783185e01b7838e3ae6cd/0105726161.jpeg "Aufnahme aus dem islandischen Rechenzentrum „ICE01 DC“ von Atnorth (Bild: Atnorth)")
:quality(80)/p7i.vogel.de/wcms/53/46/5346a50e5bca503a89be890d8ccafb2f/0105679922.jpeg "2020 hat Envia Tel bereits das dritte Rechenzentrum am Standort Taucha in Betrieb genommen; jetzt wurde noch einmal erweitert. (Bild: Envia Tel)")
Gute Vorbereitung und Prüfung der Verträge Der Gang in die Cloud ist rechtlich holprig
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/cc/60cc6ff21db4b/maincubes-logo.jpeg "maincubes-logo (maincubes)"){kind=logo}
Die zunehmende Digitalisierung und die immer komplexeren Anforderungen an die Unternehmens-IT führen dazu, dass Unternehmen vermehrt Cloud Computing in Anspruch nehmen. Doch welche Risiken sich hieraus ergeben können und welche Rolle dabei die DSGVO spielt, ist vielen Unternehmen unklar.
Wenn ein Unternehmen weite Teile seiner IT-Infrastruktur in eine Cloud verlegt, müssen zahlreiche rechtliche Aspekte bedacht werden: Neben den durch die DSGVO sehr bekannt gewordenen Datenschutzthemen geht es etwa auch um Fallstricke in den AGB der Cloud-Anbieter, um ein Mitspracherecht des Betriebsrates, um „Revisionssicherheit“ und um die Anforderungen an den „Geheimnisschutz“.
Aber wie gestaltet sich die Umsetzung in der Praxis? Wichtig ist, sich einen Überblick über die rechtlichen Themen zu verschaffen und die sich daraus ergebenden „Baustellen“ adäquat zu priorisieren.
So stellen sich bei einem Cloud Provider aus den USA im Hinblick auf den internationalen Datentransfer ganz andere Themen als bei einem europäischen Anbieter. Zum Beispiel muss bei einer US-Cloud bedacht werden, dass es seit der Einführung des „Patriot Act“ und des „Cloud Act“ US-Nachrichtendiensten erlaubt ist, auf sämtliche Rechenzentren US-amerikanischer Anbieter zuzugreifen – auch auf Daten und Informationen, die nur in Europa gespeichert sind und nur europäischen Kunden gehören.
In Zeiten der Wirtschaftsspionage macht man es damit Auslandsgeheimdiensten unnötig leicht, vertrauliche Geschäftsgeheimnisse zu erlangen. Dies ist im Übrigen einer der Hauptgründe, weshalb der EuGH aktuell wieder überprüft hat, unter welchen Voraussetzungen überhaupt personenbezogene Daten in die USA transferiert werden dürfen. Noch in diesem Sommer wird ein Urteil erwartet, das die Praxis der Nutzung von US-Rechenzentren auf den Kopf stellen könnte.
:quality(80)/p7i.vogel.de/wcms/35/9e/359e221272306a1a2d486dd113c8adb7/90458459.jpeg "Im Urteil in der Rechtssache C-311/18 klärte der Gerichtshof den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig. (Bild: gemeinfrei© SanHyonCho)")
Schrems II
Europäischer Gerichtshof: Privacy Shield ist ungültig
Informationspflicht bei Verarbeitung der Daten
Vor der Verarbeitung der Daten sollten Unternehmen prüfen, welche Daten personenbezogene Daten darstellen, denn nur für solche gelten die zahlreichen Anforderungen der Datenschutzgrundverordnung (DSGVO). Laut der DSGVO gilt jede Information, die sich einer Person zuordnen lässt, als personenbezogenes Datum.
Darunter versteht man nicht nur Namen und E-Mail-Adressen, sondern auch eher „technische Hintergrunddaten“ wie IP-Adressen und Logfiles von Web-Servern. Der Personenbezug entfällt nur bei einer vollständigen Anonymisierung der Daten in Form von Statistiken. Die Erstellung eines Pseudonyms allein ist zur Anonymisierung nicht ausreichend.
Die DSGVO sieht vor, dass die Personen, deren Daten verarbeitet werden, darüber informiert werden, in welchem Umfang, zu welchem Zweck und wie lange die Daten verarbeitet werden. Die Transparenzpflicht (Art. 12-14 DSGVO) gegenüber den Mitarbeitern stellt eine enorme Herausforderung für Unternehmen dar.
Hier kommt es auf die Transparenz beider Parteien an. Wenn Cloud-Anbieter die entsprechenden Informationen zur Verarbeitung der Daten nicht mit dem Unternehmen teilen, ist es für das Unternehmen kaum denkbar, die Transparenzpflicht und das Auskunftsbegehren einer Person, deren Daten verarbeitet werden, zu erfüllen.
Verträge bieten kaum Basis für Verhandlungen
Die Entscheidung zwischen einem nationalen oder internationalen Cloud-Anbieter sollte wohl bedacht sein. Fällt sie zugunsten eines internationalen Cloud-Anbieters, sollte dem Unternehmen klar sein, dass die Verträge häufig nicht deutschem Recht unterliegen und sie auf vorformulierten und umfangreichen Vertragsbedingungen basieren.
Sobald jedoch Teile der IT-Infrastruktur eines Unternehmens in die Cloud übertragen werden, muss vertraglich genau definiert und verhandelt werden, welche „Services“ der Cloud-Anbieter in welcher Qualität zu leisten verpflichtet ist. Zum Beispiel sollten folgende Vertragsinhalte verhandelt werden:
- Transitionsphase und Datenmigration sollten als Werkvertrag mit Abnahme ausgestaltet werden; wesentliche Teile der Vergütung sollten hier an den Erfolg geknüpft werden.
- Service Levels, inklusive Vertragsstrafen bei Schlechtleistung
- Welche Mitwirkungspflichten bestehen und welcher Vertragspartner ist wofür verantwortlich?
Löschpflichten der DSGVO
Die DSGVO nimmt Unternehmen in die Pflicht, eine ordnungsgemäße Löschung der Daten vorzunehmen und diese auch nachweisen zu können. Das kann durch Löschprotokolle oder eine Dokumentation der regelmäßigen Löschprozesse erfolgen.
Doch wie lange dürfen Daten in einer Cloud gespeichert werden? In der Regel besteht spätestens nach dem Ablauf der handels- und steuerrechtlichen Aufbewahrungspflicht nach zehn Jahren keine Rechtfertigung mehr zur Aufbewahrung von Daten. Somit wird die Löschung der Datensätze für Unternehmen und Cloud-Anbieter zur Pflicht. Ob eine Möglichkeit besteht, die Löschung ordnungsgemäß nachzuweisen, sollte vorab genauestens geprüft werden.
Cloud-Nutzung unterliegt einer Prüfung der Risiken
Trotz aller Risiken bei der Auswahl und dem Einsatz von internationalen und nationalen Cloud-Anbietern müssen sich Unternehmen über all die Fallstricke im Klaren sein. Und bevor Unternehmen sich mit dem Grundsatz beschäftigen, für welchen Cloud-Anbieter sie sich entscheiden, müssen sie für folgende Fragen Antworten finden:
- Wie kann ein rechtskonformes Löschen von Daten in der Cloud realisiert werden?
- Können Ansprüche von Betroffenen, zum Beispiel auf Auskunft, in der Cloud durchgesetzt werden?
- Werden für einzelne Datenverarbeitungen Einwilligungserklärungen benötigt?
- Wen muss ich über die Verarbeitung der Daten informieren?
- Wer ist für welchen Verarbeitungsschritt „verantwortlich“ im Sinne der DSGVO?
- Welche Daten sollten aus Sicherheitsgründen nicht in einer Cloud verarbeitet werden?
- Hilft der Cloud Anbieter bei der nach der DSGVO erforderlichen Dokumentation, beispielsweise beim Stichwort „Verzeichnis der Verarbeitungstätigkeiten“?
- Was muss bei der Erstellung der Vertragsinhalte berücksichtigt werden?
- Wann und wie muss ein Betriebsrat involviert werden?
- Gibt es regulatorische Vorgaben in bestimmten Branchen zu berücksichtigen?
- Welches Maß an IT-Sicherheit ist für die konkreten Daten angemessen?
Die Entscheidung zur Nutzung einer Cloud erfordert eine rechtliche Prüfung aller Kriterien. Denn nur so können sich Unternehmen vor hohen Bußgeldern bei Verstößen gegen die Vorschriften der DSGVO und vor anderen rechtlichen Risiken schützen.
*Über die Autoren
Dominik Eickemeier (Partner) und Dr. Lutz Martin Keppeler (Salaried Partner) sind Rechtsanwälte bei Heuking Kühn Lüer Wojtek. Sie sind Experten für Informationstechnologierecht.
(ID:46718940)
:quality(80)/images.vogel.de/vogelonline/bdb/1939200/1939246/original.jpg "Ein nutzenbringendes Daten-Mangement ist durchaus komplex. Eine für das Unternehmen adäquate Strategie muss gefunden werden und lässt sich selten nur über ein Hosting-Konzept bedienen. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1918300/1918304/original.jpg "Welche Änderungen in der digitalen Welt hält das Jahr 2022 für Verbraucher parat? (©Amgun - stock.adobe.com)")