17.03.2010 · Mit „Cloud Computing“ lassen sich Ressourcen effizient nutzen, Inhalte werden an verschiedenen Orten zugleich gesichert. Ein feine Sache. Nur in den Rechtsabteilungen interessierter Unternehmen dürften allmählich die Köpfe rauchen.
Von Hendrik Wieduwilt, Kiel
© Strato AG
Einbrecher finden auf den Servern nichts außer „bedeutunglosen Bits und Bytes”
Die Wolke wird zum alltäglichen Geschäft. So jedenfalls klingt es, seit die Cebit das „Cloud Computing“, die dezentrale Datenverarbeitung durch Dritte, abermals zum Trendthema machte. „Kosten senken, Innovation fördern, Produktivität steigern“, wirbt etwa Kai Gutzeit, Mittel- und Nordeuropa-Chef für das Firmengeschäft von Google, für die Wolkendienste des Suchriesen. Egal wie klein oder groß ein Unternehmen sei, „alle beschäftigen sich damit“. Wolke wird ein Netzwerk von Rechenzentren genannt, die Speicher- und Rechenleistungen für die Cloud-Kunden übernehmen und untereinander optimal verteilen. Dadurch lassen sich Ressourcen effizient nutzen, Inhalte werden zugunsten der Ausfallsicherheit außerdem an verschiedenen Orten zugleich gesichert. Die Technik lockt, doch in den Rechtsabteilungen interessierter Unternehmer dürften allmählich die Köpfe rauchen.
Denn die Wolke reibt sich am Datenschutzrecht, jedenfalls wenn nicht nur Produktinformationen, sondern etwa Angaben über Kunden und Mitarbeiter im Spiel sind. Der neu gegründete Branchenverband „eurocloud Deutschland“ kündigte bereits Richtlinien für einen rechtssicheren Umgang mit Cloud-Diensten an. Das Bundesamt für Sicherheit der Informationstechnologie hatte sich vor einem Jahr skeptisch geäußert. Heute, so heißt es dort, sei das Thema noch einmal „deutlich aktueller“ geworden, man arbeite noch an einer offiziellen Position.
Das Gefahrenpotential für die Daten hängt jedenfalls auch von der Art der Wolke ab. Unternehmen können Cloud Computing als „private Wolke“ verwenden - also innerhalb eines firmeneigenen, gesicherten Systems - oder aber erlauben, dass die Daten zusammen mit denen anderer Kunden - wenn auch logisch getrennt - in einer „public cloud“ verwaltet werden. Diese öffentliche Wolke kann wiederum geographisch beschränkt sein (etwa auf die EU) oder sich global dorthin erstrecken, wo Rechenkapazität wenig kostet - aber auch der Datenschutz weniger zählt. Je weiter Daten ungehindert verteilt werden dürfen, desto größer sind die Vorteile im Hinblick auf Technik und Kosten. Gerade das treibe die Unternehmen in ein „juristisches Dilemma“, sagt Jan Geert Meents, Partner in der Kanzlei DLA Piper in München. Die Flüchtigkeit der Daten widerspreche dem Grundgedanken des Datenschutzes, denn „das Unternehmen bleibt auch bei einer externen Verarbeitung voll verantwortlich“. Und die Kontroll- und Überwachungspflichten hätten in der Vergangenheit eher zu- als abgenommen.
„Das kann im Extremfall auch zur persönlichen Haftung führen“
Das Bundesdatenschutzgesetz ermahnt Cloud-Anwender in Paragraph 11 („Auftragsdatenverarbeitung“), sich die Auftragnehmer „unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen“. Was dann im zweiten Absatz folgt, lässt die Herzen von Vertragsjuristen höher schlagen: Denn die - schriftliche - Vereinbarung zwischen Kunde und Cloud-Anbieter muss zahllose Einzelheiten regeln, darunter Schutzmaßnahmen, die im Anhang des Bundesdatenschutzgesetzes aufgeführt werden. Wer hat Zutritt zu den Datenverarbeitungsanlagen? Wer kann auf die Daten zugreifen? An wen werden sie weitergeleitet?
„Während der Angebotsphase muss neben der kaufmännischen Prüfung auch der rechtliche Standard genau geprüft werden“, warnt Meents. „Hier lauern handfeste Haftungsfallen - auch für den Vorstand.“ Wer keinen geeigneten Vertrag abschließe, wem es gar „wurscht“ sei, wo die Daten gespeichert werden, und wer auf keinerlei Warnsystem bestehe, verletze die „Corporate Governance“-Regeln und - soweit es denn Anwendung findet - Pflichten aus dem Aktiengesetz. „Das kann im Extremfall auch zur persönlichen Haftung führen“, sagt der Jurist. Als eine Zunft von Bremsern will er seine Branche nicht verstanden wissen. „Kreative Lösungen“ würden aber vor allem dann benötigt, wenn sich eine Cloud ins außereuropäische Ausland ausdehnen kann.
Auch Thomas Hemmerling-Böhmer sucht nach Lösungen für den Schritt in die Wolke, die „absolute Zukunft“, wie er glaubt. Der Leiter Informationstechnologie beim Medizintechnik-Produzenten Karl Storz aus Tuttlingen sorgt sich nicht nur um Datenschutz und -sicherheit. Jede Firma müsse ihre Archivierungspflichten im Blick behalten. Wenn etwa ein ganzer Operationssaal verkauft werde, gehe der zwei- bis dreijährigen Projektzeit ein umfangreicher E-Mail-Verkehr voraus. Man könnte Daten aus der Cloud mit der bestehenden Architektur im Unternehmen verbinden - „aber da gibt es noch zahlreiche ungeklärte Schnittstellenfragen“. Die Wolke steckt aus seiner Sicht „noch in den Kinderschuhen“. Auch das Subunternehmer-Problem sei nicht gelöst. Denn die Probleme potenzieren sich geradezu, wenn der Cloud-Anbieter Aufgaben an andere Firmen delegiert.
Google oder Salesforce weisen sich als SAS-70-Typ-II-zertifiziert aus
Die Wolkenbetreiber kämpfen nun ums Vertrauen der Datenschutzbeauftragten, lassen sich umfänglich zertifizieren, etwa nach „Safe Harbor“-Maßstäben. Mit diesem Standard schlug das amerikanische Handelsministerium einst eine - auch in den Augen der EU-Kommission tragfähige - Brücke zwischen den liberaleren Vorschriften in Amerika und der restriktiveren europäischen Datenschutzrichtlinie. Damit Unternehmen die Wolke auch jenseits des „sicheren Hafens“ rechtssicher betreiben können, hat die Kommission erst kürzlich neue Standardvertragsklauseln vorgelegt. Platzhirsche wie Google oder Salesforce weisen sich zudem als SAS-70-Typ-II-zertifiziert aus. Das bedeutet, dass die Datenzentren durch unabhängige Dritte kontrolliert werden - auch dies eine Brücke zum rechtlichen Idealbild, das eigentlich eine eigenhändige Kontrolle durch den Kunden vorsah. Doch dieser ist längst selbst zum Sicherheitsrisiko geworden, für die Daten der anderen in der Wolke.
Vertrauen ist gut, Kontrolle nicht möglich? Eine Frage der Entwicklung, meint Google-Manager Gutzeit. „Vor Jahren haben die Menschen auch der Kreditkarte nicht vertraut. Ganz früher fehlte manchen Menschen sogar das Vertrauen in Banken.“ Heute würde kaum jemand sein Geld mehr unter der Matratze verwahren. Tatsächlich würden die eigenen Mitarbeiter des Unternehmens ein größeres Risiko für die Daten darstellen, heißt es bei Google. Und was passiert, wenn jemand doch eines der streng geheimen Google-Rechenzentren findet und dort einsteigt? „Gar nichts“, sagt Gutzeit, der Einbrecher fände lediglich „bedeutungslose Bits und Bytes“. Google verwende eigene Dateisysteme.
