Mit links in Cloud – und was kommt von Rechtswegen?
Die zunehmende Digitalisierung und die immer komplexeren Anforderungen an die Unternehmens-IT führen dazu, dass Unternehmen vermehrt auf Cloud Lösungen setzen. Doch welche Risiken sich hieraus ergeben können und welche Rolle dabei die DSGVO spielt, ist vielen Unternehmen allerdings immer noch unklar.
Wenn ein Unternehmen weite Teile seiner IT-Infrastruktur in eine Cloud verlegt, müssen zahlreiche rechtliche Aspekte bedacht werden: Neben den durch die DSGVO sehr bekannt gewordenen Datenschutzthemen geht es etwa auch um Fallstricke in den AGB der Cloud-Anbieter, um ein Mitspracherecht des Betriebsrates, um „Revisionssicherheit“ und um die Anforderungen an den „Geheimnisschutz“.
Aber wie gestaltet sich die Umsetzung in der Praxis? Wichtig ist, sich einen Überblick über die rechtlichen Themen zu verschaffen und die sich daraus ergebenden „Baustellen“ adäquat zu priorisieren.
So stellen sich bei einem Cloud Provider aus den USA im Hinblick auf den internationalen Datentransfer ganz andere Themen als bei einem europäischen Anbieter. Zum Beispiel muss bei einer US-Cloud bedacht werden, dass es seit der Einführung des „Patriot Act“ und des „Cloud Act“ US-Nachrichtendiensten erlaubt ist, auf sämtliche Rechenzentren US-amerikanischer Anbieter zuzugreifen – auch auf Daten und Informationen, die nur in Europa gespeichert sind und nur europäischen Kunden gehören.
Grade in Zeiten der Wirtschaftsspionage macht man es damit Auslandsgeheimdiensten unnötig leicht, vertrauliche Geschäftsgeheimnisse zu erlangen. Dies ist im Übrigen einer der Hauptgründe, weshalb der EuGH aktuell wieder überprüft, unter welchen Voraussetzungen überhaupt personenbezogene Daten in die USA transferiert werden dürfen. Noch in diesem Sommer wird ein Urteil erwartet, das die Praxis der Nutzung von US-Rechenzentren auf den Kopf stellen könnte.
Um genau diesem ganzen Drama zu entgehen bietet Microsoft daher auch Cloudspeicherplatz in deutschen Rechenzentren an.
Krümelmonster: Cookies und die DSVGO
Die DSGVO sieht vor, dass die Personen, deren Daten verarbeitet werden, darüber informiert werden, in welchem Umfang, zu welchem Zweck und wie lange die Daten verarbeitet werden. Die Transparenzpflicht (Art. 12-14 DSGVO) gegenüber den Mitarbeitern stellt eine enorme Herausforderung für Unternehmen dar. Hier kommt es auf die Transparenz beider Parteien an. Wenn Cloud-Anbieter die entsprechenden Informationen zur Verarbeitung der Daten nicht mit dem Unternehmen teilen, ist es für das Unternehmen kaum denkbar, die Transparenzpflicht und das Auskunftsbegehren einer Person, deren Daten verarbeitet werden, zu erfüllen.
Verträge bieten kaum Basis für Verhandlungen
Die Entscheidung zwischen einem nationalen oder internationalen Cloud-Anbieter sollte wohl bedacht sein. Fällt sie zugunsten eines internationalen Cloud-Anbieters, sollte dem Unternehmen klar sein, dass die Verträge häufig nicht deutschem Recht unterliegen und sie auf vorformulierten und umfangreichen Vertragsbedingungen basieren.
Sobald jedoch Teile der IT-Infrastruktur eines Unternehmens in die Cloud übertragen werden, muss vertraglich genau definiert und verhandelt werden, welche „Services“ der Cloud-Anbieter in welcher Qualität zu leisten verpflichtet ist.
Zum Beispiel sollten folgende Vertragsinhalte verhandelt werden:
- Transitionsphase und Datenmigration sollten als Werkvertrag mit Abnahme ausgestaltet werden; wesentliche Teile der Vergütung sollten hier an den Erfolg geknüpft werden.
- Service Levels, inklusive Vertragsstrafen bei Schlechtleistung
- Welche Mitwirkungspflichten bestehen und welcher Vertragspartner ist wofür verantwortlich?
Was war denn vor 10 Jahren?
Die DSGVO nimmt Unternehmen in die Pflicht, eine ordnungsgemäße Löschung der Daten vorzunehmen und diese auch nachweisen zu können. Das kann durch Löschprotokolle oder eine Dokumentation der regelmäßigen Löschprozesse erfolgen.
Doch wie lange dürfen Daten in einer Cloud gespeichert werden? In der Regel besteht spätestens nach dem Ablauf der handels- und steuerrechtlichen Aufbewahrungspflicht nach zehn Jahren keine Rechtfertigung mehr zur Aufbewahrung von Daten. Somit wird die Löschung der Datensätze für Unternehmen und Cloud-Anbieter zur Pflicht. Ob eine Möglichkeit besteht, die Löschung ordnungsgemäß nachzuweisen, sollte vorab genauestens geprüft werden.
Cloud-Nutzung unterliegt einer Prüfung der Risiken
Trotz aller Risiken bei der Auswahl und dem Einsatz von internationalen und nationalen Cloud-Anbietern müssen sich Unternehmen über all die Fallstricke im Klaren sein. Und bevor Unternehmen sich mit dem Grundsatz beschäftigen, für welchen Cloud-Anbieter sie sich entscheiden, müssen sie für folgende Fragen Antworten finden:
- Wie kann ein rechtskonformes Löschen von Daten in der Cloud realisiert werden?
- Können Ansprüche von Betroffenen, zum Beispiel auf Auskunft, in der Cloud durchgesetzt werden?
- Werden für einzelne Datenverarbeitungen Einwilligungserklärungen benötigt?
- Wen muss ich über die Verarbeitung der Daten informieren?
- Wer ist für welchen Verarbeitungsschritt „verantwortlich“ im Sinne der DSGVO?
- Welche Daten sollten aus Sicherheitsgründen nicht in einer Cloud verarbeitet werden?
- Hilft der Cloud Anbieter bei der nach der DSGVO erforderlichen Dokumentation, beispielsweise beim Stichwort „Verzeichnis der Verarbeitungstätigkeiten“?
- Was muss bei der Erstellung der Vertragsinhalte berücksichtigt werden?
- Wann und wie muss ein Betriebsrat involviert werden?
- Gibt es regulatorische Vorgaben in bestimmten Branchen zu berücksichtigen?
- Welches Maß an IT-Sicherheit ist für die konkreten Daten angemessen?
Die Entscheidung zur Nutzung einer Cloud erfordert eine rechtliche Prüfung aller Kriterien. Denn nur so können sich Unternehmen vor hohen Bußgeldern bei Verstößen gegen die Vorschriften der DSGVO und vor anderen rechtlichen Risiken schützen.
Microsoft Cloud
Der Weg zu Wettbewerbsvorteilen für Ihr Unternehmen führt früher oder später nur über die Cloud. Indem erfolgreiche IT-Infrastrukturen und -anwendungen durch verschiedene Phasen der Cloud-Migration effizienter, kostengünstiger und sicherer gemacht werden, sind Ressourcen, Mitarbeiter, Daten und Prozesse auf neue Weise unkompliziert, mobil und flexibel jederzeit verbunden. Bringen Sie Geschäft und IT zusammen und profitieren Sie von der Optimierung wertschöpfender Prozesse, um neue Werte für Ihre Kunden zu schaffen.
Arbeiten Sie auf den deutschen Cloudservern von Microsoft und nutzen Sie cloudbasierte Lösungen, die einen virtuellen Zugang von überall aus ermöglichen: zu Hause, im Büro, unterwegs oder auf Reisen – Sie bleiben mobil und flexibel. Selbstverständlich besteht auch weiterhin die Möglichkeit, auf Ihren eigenen Servern zu arbeiten – Sie haben die Wahl.
Fragen Sie uns – mit uns fallen Sie nicht
Profitieren Sie von unserer Expertise:
Gemeinsam mit CONNAMIX gelingt Ihnen der erfolgreiche Schritt in die Digitalisierung. Wir helfen Ihnen bei der Auswahl der Software, präsentieren Ihnen passgenaue Individualisierungen für Ihren Betrieb und übernehmen die Implementierung des für Sie perfekten ERP-Systems. Profitieren Sie auch von unserer Erfahrung im Bereich der künstlichen Intelligenz.
Sprechen Sie uns gerne an! Wir beraten Sie praxisnah und unterstützen Sie gerne in Ihrem Vorhaben.