Suchen

Gute Vorbereitung und Prüfung der Verträge Der Gang in die Cloud ist rechtlich holprig

| Autor / Redakteur: Dominik Eickemeier und Lutz Martin Keppeler* / Sarah Gandorfer

Die zunehmende Digitalisierung und die immer komplexeren Anforderungen an die Unternehmens-IT führen dazu, dass Unternehmen vermehrt Cloud Computing in Anspruch nehmen. Doch welche Risiken sich hieraus ergeben können und welche Rolle dabei die DSGVO spielt, ist vielen Unternehmen unklar.

Firma zum Thema

Der Weg in die Cloud sollte gut überlegt sein.
Der Weg in die Cloud sollte gut überlegt sein.
(Bild: bluedesign - stock.adobe.com)

Wenn ein Unternehmen weite Teile seiner IT-Infrastruktur in eine Cloud verlegt, müssen zahlreiche rechtliche Aspekte bedacht werden: Neben den durch die DSGVO sehr bekannt gewordenen Datenschutzthemen geht es etwa auch um Fallstricke in den AGB der Cloud-Anbieter, um ein Mitspracherecht des Betriebsrates, um „Revisionssicherheit“ und um die Anforderungen an den „Geheimnisschutz“.

Aber wie gestaltet sich die Umsetzung in der Praxis? Wichtig ist, sich einen Überblick über die rechtlichen Themen zu verschaffen und die sich daraus ergebenden „Baustellen“ adäquat zu priorisieren.

So stellen sich bei einem Cloud Provider aus den USA im Hinblick auf den internationalen Datentransfer ganz andere Themen als bei einem europäischen Anbieter. Zum Beispiel muss bei einer US-Cloud bedacht werden, dass es seit der Einführung des „Patriot Act“ und des „Cloud Act“ US-Nachrichtendiensten erlaubt ist, auf sämtliche Rechenzentren US-amerikanischer Anbieter zuzugreifen – auch auf Daten und Informationen, die nur in Europa gespeichert sind und nur europäischen Kunden gehören.

In Zeiten der Wirtschaftsspionage macht man es damit Auslandsgeheimdiensten unnötig leicht, vertrauliche Geschäftsgeheimnisse zu erlangen. Dies ist im Übrigen einer der Hauptgründe, weshalb der EuGH aktuell wieder überprüft hat, unter welchen Voraussetzungen überhaupt personenbezogene Daten in die USA transferiert werden dürfen. Noch in diesem Sommer wird ein Urteil erwartet, das die Praxis der Nutzung von US-Rechenzentren auf den Kopf stellen könnte.

Informationspflicht bei Verarbeitung der Daten

Vor der Verarbeitung der Daten sollten Unternehmen prüfen, welche Daten personenbezogene Daten darstellen, denn nur für solche gelten die zahlreichen Anforderungen der Datenschutzgrundverordnung (DSGVO). Laut der DSGVO gilt jede Information, die sich einer Person zuordnen lässt, als personenbezogenes Datum.

Darunter versteht man nicht nur Namen und E-Mail-Adressen, sondern auch eher „technische Hintergrunddaten“ wie IP-Adressen und Logfiles von Web-Servern. Der Personenbezug entfällt nur bei einer vollständigen Anonymisierung der Daten in Form von Statistiken. Die Erstellung eines Pseudonyms allein ist zur Anonymisierung nicht ausreichend.

Die DSGVO sieht vor, dass die Personen, deren Daten verarbeitet werden, darüber informiert werden, in welchem Umfang, zu welchem Zweck und wie lange die Daten verarbeitet werden. Die Transparenzpflicht (Art. 12-14 DSGVO) gegenüber den Mitarbeitern stellt eine enorme Herausforderung für Unternehmen dar.

Hier kommt es auf die Transparenz beider Parteien an. Wenn Cloud-Anbieter die entsprechenden Informationen zur Verarbeitung der Daten nicht mit dem Unternehmen teilen, ist es für das Unternehmen kaum denkbar, die Transparenzpflicht und das Auskunftsbegehren einer Person, deren Daten verarbeitet werden, zu erfüllen.

Verträge bieten kaum Basis für Verhandlungen

Die Entscheidung zwischen einem nationalen oder internationalen Cloud-Anbieter sollte wohl bedacht sein. Fällt sie zugunsten eines internationalen Cloud-Anbieters, sollte dem Unternehmen klar sein, dass die Verträge häufig nicht deutschem Recht unterliegen und sie auf vorformulierten und umfangreichen Vertragsbedingungen basieren.

Sobald jedoch Teile der IT-Infrastruktur eines Unternehmens in die Cloud übertragen werden, muss vertraglich genau definiert und verhandelt werden, welche „Services“ der Cloud-Anbieter in welcher Qualität zu leisten verpflichtet ist. Zum Beispiel sollten folgende Vertragsinhalte verhandelt werden:

  • Transitionsphase und Datenmigration sollten als Werkvertrag mit Abnahme ausgestaltet werden; wesentliche Teile der Vergütung sollten hier an den Erfolg geknüpft werden.
  • Service Levels, inklusive Vertragsstrafen bei Schlechtleistung
  • Welche Mitwirkungspflichten bestehen und welcher Vertragspartner ist wofür verantwortlich?

Löschpflichten der DSGVO

Die DSGVO nimmt Unternehmen in die Pflicht, eine ordnungsgemäße Löschung der Daten vorzunehmen und diese auch nachweisen zu können. Das kann durch Löschprotokolle oder eine Dokumentation der regelmäßigen Löschprozesse erfolgen.

Doch wie lange dürfen Daten in einer Cloud gespeichert werden? In der Regel besteht spätestens nach dem Ablauf der handels- und steuerrechtlichen Aufbewahrungspflicht nach zehn Jahren keine Rechtfertigung mehr zur Aufbewahrung von Daten. Somit wird die Löschung der Datensätze für Unternehmen und Cloud-Anbieter zur Pflicht. Ob eine Möglichkeit besteht, die Löschung ordnungsgemäß nachzuweisen, sollte vorab genauestens geprüft werden.

Cloud-Nutzung unterliegt einer Prüfung der Risiken

Trotz aller Risiken bei der Auswahl und dem Einsatz von internationalen und nationalen Cloud-Anbietern müssen sich Unternehmen über all die Fallstricke im Klaren sein. Und bevor Unternehmen sich mit dem Grundsatz beschäftigen, für welchen Cloud-Anbieter sie sich entscheiden, müssen sie für folgende Fragen Antworten finden:

  • Wie kann ein rechtskonformes Löschen von Daten in der Cloud realisiert werden?
  • Können Ansprüche von Betroffenen, zum Beispiel auf Auskunft, in der Cloud durchgesetzt werden?
  • Werden für einzelne Datenverarbeitungen Einwilligungserklärungen benötigt?
  • Wen muss ich über die Verarbeitung der Daten informieren?
  • Wer ist für welchen Verarbeitungsschritt „verantwortlich“ im Sinne der DSGVO?
  • Welche Daten sollten aus Sicherheitsgründen nicht in einer Cloud verarbeitet werden?
  • Hilft der Cloud Anbieter bei der nach der DSGVO erforderlichen Dokumentation, beispielsweise beim Stichwort „Verzeichnis der Verarbeitungstätigkeiten“?
  • Was muss bei der Erstellung der Vertragsinhalte berücksichtigt werden?
  • Wann und wie muss ein Betriebsrat involviert werden?
  • Gibt es regulatorische Vorgaben in bestimmten Branchen zu berücksichtigen?
  • Welches Maß an IT-Sicherheit ist für die konkreten Daten angemessen?

Die Entscheidung zur Nutzung einer Cloud erfordert eine rechtliche Prüfung aller Kriterien. Denn nur so können sich Unternehmen vor hohen Bußgeldern bei Verstößen gegen die Vorschriften der DSGVO und vor anderen rechtlichen Risiken schützen.

*Über die Autoren

Dr. Lutz Martin Keppeler (links) und Dominik Eickemeier (rechts)
Dr. Lutz Martin Keppeler (links) und Dominik Eickemeier (rechts)
(Bild: info@stephanwieland.de)

Dominik Eickemeier (Partner) und Dr. Lutz Martin Keppeler (Salaried Partner) sind Rechtsanwälte bei Heuking Kühn Lüer Wojtek. Sie sind Experten für Informationstechnologierecht.

(ID:46718940)