Die rechtlichen Aspekte von StaaS

von Lilian Snaidero Kriesi

Wer unangenehme Überraschungen vermeiden will, sollte vor der Auslagerung von Unternehmensdaten in die Cloud zwingend auch die rechtlichen Fragen geklärt haben.

Artikel erschienen in Swiss IT Magazine 2012/03

     

KMU haben die Vorteile von Cloud Computing und im Speziellen auch von Storage as a Service (StaaS) längst erkannt: mehr Mobilität, Einsparungen bei der IT-Infrastruktur, aus fixen Investitionen werden variable Kosten, bedarfsorientierter Bezug der gewünschten Leistung mit entsprechender Abrechnung, umfangreiches Serviceangebot, das stetig weiterentwickelt wird, Auslagerung des Unterhalts der eigenen Informatikumgebung, um nur einige zu nennen. Aus diesem Grund steigen immer mehr KMU auf Cloud Computing um oder sind dabei, eine entsprechende Auslagerung zu evaluieren.
Diesen Vorteilen steht aber eine Reihe von Herausforderungen gegenüber, die es vor der Auslagerung von Daten zu lösen gilt. So stellt mangelndes Vertrauen in die Sicherheit der Cloud Services weiterhin eine grosse Hürde dar. Unbestritten ist ebenso, dass ein Outsourcing von Firmendaten in eine neue Abhängigkeit führt. Gerät ein Cloud Provider in Schwierigkeiten, besteht das Risiko, dass alle Betriebe, die ihre Informatikstruktur auf seine Plattform ausgelagert haben, ebenfalls mitgerissen werden. Cloud Computing hat noch eine weitere Kehrseite: Es basiert oft auf schwer durchschaubaren Systemen mit langen, meist unbekannten Abhängigkeitsketten, so dass bei Schadenseintritt nicht immer eruiert werden kann, wer für den Schaden haftet.

Vier verschiedene Modelle

Im Zusammenhang mit Cloud Computing werden jeweils vier verschiedene Organisationsformen unterschieden:
Private Clouds erscheinen in rechtlicher Hinsicht grundsätzlich wenig problematisch, da diese lediglich eine unternehmensinterne technische Reorganisation von IT-Strukturen ohne Auswirkungen auf vertragliche Aussenbeziehungen darstellen. Werden solche Private Clouds von Dritten betrieben, liegt aus rechtlicher Sicht ein klassisches IT-Outsourcing vor.
Bei einer Public Cloud wird die Infrastruktur vollständig durch den Cloud Provider bewirtschaftet und bestimmt. Der Kunde hat diesbezüglich nichts zu sagen und kann in aller Regel keinen Einfluss auf die Server- oder Rechen­zenter-Standorte nehmen. Hier hat man es mit einem neuartigen IT-Outsourcing zu tun.
Sodann gibt es noch die Hybrid und Community Clouds. Von Hybrid Cloud spricht man, wenn eine Public und eine Private Cloud gleichzeitig und parallel genutzt werden. Eine Community Cloud ermöglicht es verschiedenen Organisationen, dieselbe Infrastruktur gemeinsam zu nutzen.
Entscheidet sich ein Unternehmen schliesslich, seine Unternehmensdaten in die Public Cloud eines Drittanbieters auszulagern, stellen sich folgende Fragen:
- Welche Daten eignen sich für ein Outsourcing in die Cloud? Spielt es eine Rolle, in welchem Land diese gespeichert werden?
- Welches Sicherheitsniveau benötigen die fraglichen Daten?
- Wer haftet bei Übertragungsstörungen oder Datenverlust?
- Wer ist für eine Backup-Lösung verantwortlich?
- Wie sieht die Exit-Lösung aus?

Welche Daten eignen sich für ein Outsourcing?

Als erstes sollten sich die KMU überlegen, welche Schutzbedürftigkeit sie ihren eigenen Daten beimessen. Dabei kann die Beantwortung folgender Fragen hilfreich sein: Welche Folgen hätte es für das Geschäft, wenn diese Daten verloren gingen oder in Hände Dritter gelangen würden? Handelt es sich um heikle geschäftsrelevante oder um unkritische Daten, die jederzeit wiederhergestellt werden können? Ist es irrelevant, ob die Daten hier in der Schweiz oder irgendwo im Ausland liegen?
Je unkritischer die Daten und je einfacher KMU diese wiederherstellen können, desto unbedenklicher erscheint eine Auslagerung in eine Cloud. Handelt es sich demgegenüber um sensitive Geschäftsdaten wie besonderes technisches Know-how, Kundenlisten, Geschäftsgeheimnisse oder Personendaten, ist eine detaillierte Abklärung der sicherheitstechnischen Gegebenheiten wie Schutz vor Eingriff durch Unbefugte oder Schutz vor Datenverlust notwendig. Weiter ist zu prüfen, welche Zugriffrechte seitens der Mitarbeiter des Cloud Providers und – je nach Land – seitens öffentlicher Stellen bestehen.

Handelt es sich um Personendaten, die in eine Cloud auszulagern sind, hat der Cloud- Kunde zusätzlich auch die datenschutzrechtlichen Vorschriften – wie Sicherstellen der Datensicherheit und korrekten Bearbeitung der Personendaten durch den Cloud Provider, Überwachungsrechte durch den Kunden – zu prüfen. Da sich die Server oder Rechenzentren der Cloud Provider oft im Ausland befinden, ist zudem zu beachten, dass ein entsprechendes Outsourcing grundsätzlich nur dann zulässig ist, wenn das fragliche Land einen angemessenen Schutz gewährleistet oder die betroffenen Personen im Einzelfall eingewilligt haben. Hervorzuheben ist, dass die KMU als Auftraggeber gegen­über den betroffenen Personen für die Einhaltung sämtlicher datenschutzrechtlicher Vorschriften verantwortlich bleiben und bei Verletzungen dieser Vorschriften haften.

Vertragliche Aspekte des Cloud Computing

Vorformulierte Vertragsbedingungen sind bei hoch standardisierten Cloud Services die Regel. Dafür bestehen hier meistens auch die grössten Sparpotentiale. Dies bedingt aber, dass die KMU ihre Geschäftsprozesse an den Standard des Cloud Services anpassen und sich grundsätzlich bereit erklären, die Allgemeinen Geschäftsbedingungen der Cloud Provider unverändert zu akzeptieren.
Bevor sie sich zu diesem Schritt entschliessen, sollten sich KMU über ihre konkreten Bedürfnisse und Ziele im Klaren sein. Darauf gestützt ist insbesondere zu prüfen, welche Leistungsangebote, welche Service Level und welche sicherheitstechnischen und rechtlichen Bedingungen der diversen Cloud Provider den Bedürfnissen und Zielen am besten gerecht werden. Zentrale vertragliche Fragen sind dabei insbesondere die folgenden:
1. Wer haftet bei Schadenseintritt?
Erbringt der Cloud Provider seinen Service über das öffentliche Internet, kann er für direkte oder indirekte Schäden infolge Übertragungsstörung, Übertragungsfehler oder Beeinträchtigung der Verfügbarkeit kaum verantwortlich gemacht werden. Solche Haftungsausschlüsse sind bei Internet-Dienstleistungen grundsätzlich üblich, so auch im Bereich des Cloud Computing. Die Erfahrungen haben gezeigt, dass es praktisch unmöglich ist, bei Datenverlust eine vollumfängliche Haftungsübernahme durch den Provider vertraglich auszuhandeln. Demgegenüber lässt sich eine auf den Umfang der bezahlten Jahresgebühr beschränkte Haftungsübernahme eher vereinbaren.
Sofern der Cloud Provider die Haftung vertraglich nicht respektive nicht vollumfänglich ausgeschlossen hat, haftet er grundsätzlich nur, falls er die Schädigung durch sein Verhalten voraussehen konnte und er die im konkreten Fall erforderliche Sorgfalt hat missen lassen. Trifft dies zu, hat der Kunde seinen dadurch erlittenen Schaden nachzuweisen. Dieser Nachweis lässt sich nicht immer leicht erbringen. Dies führt oft dazu, dass der Kunde nach einer Panne keine Daten mehr hat und – mangels Haftung oder mangels Schadensnachweis – auch keinen Schadenersatz erhält.

2. Wer ist für das Backup-System verantwortlich?
Natürlich ist ein Anspruch auf Schadenersatz immer wünschenswert. Will der Kunde seinen geschäftlichen Betrieb aufrechterhalten, wird er in den meisten Fällen aber zusätzlich imstande sein müssen, die verlorenen Daten innert nützlicher Frist wiederherzustellen. Ist dies nicht mehr möglich und wird damit dem Unternehmen praktisch die Existenzgrundlage entzogen, hilft dem Cloud-Kunden auch ein angemessener Schadenersatz nicht weiter. Hier bedarf es eines sicheren Backup-Systems. Dieses ist gleichzeitig mit der Planung der Daten-Auslagerung aufzugleisen. Wichtig zu wissen ist in diesem Zusammenhang, dass im Rahmen der Cloud Services die Verantwortung für das Erstellen von Sicherheitskopien normalerweise beim Kunden liegt.

3. Besteht eine vertragliche Exit-Lösung?
Eine ebenso zentrale Frage ist, wie sämtliche Daten nach Vertragsbeendigung wieder zurück zum Cloud-Kunden gelangen. Diese Frage sollten die Vertragsparteien ebenfalls bereits vor Auslagerung der Daten klären und den entsprechenden Prozess im Vertrag klar regeln.

Fazit

Aufgrund der technischen und wirtschaftlichen Potentiale ist Cloud Storage im Begriff, sich immer stärker durchzusetzen. Gerade für KMU haben entsprechende Lösungen viele Vorteile. Sie profitieren von einem breiten Dienstleistungsangebot, das stetig weiterentwickelt wird, und werden dabei dynamisch und ohne grosse Investitionen unterstützt.
Beabsichtigt demnach ein KMU die Vorteile von Storage as a Service möglichst ungetrübt nutzen zu können, ist ihm als erster Schritt zu empfehlen, eine detaillierte Bedürfnis- und Zielabklärung vorzunehmen. Darauf gestützt sind die verschiedenen Cloud Provider und deren Services sorgfältig zu evaluieren unter besonderer Beachtung der sicherheitstechnischen – bei Personendaten auch der datenschutzrechtlichen – sowie vertraglichen Bedingungen. Entscheidet sich ein KMU alsdann bewusst und in Kenntnis der bestehenden Vor- und Nachteile für einen bestimmten Cloud Service und hat es zudem die Nachteile bestmöglich vertraglich geregelt, steht einer Nutzung von Cloud Storage – zumindest als ergänzende Dienstleistung – grundsätzlich nichts mehr im Wege.






Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER