Cloud-Computing





Cloud-Computing:

CLOUD-COMPUTING ist in aller Munde. Kein Kongress, keine Mittelstandsveranstaltung, auf der dieses Thema nicht auf einem der Panels abgearbeitet wird. Dabei bedeutet dies zunächst für den Anwender nur, dass er wie beim ASP mietweise auf eine Rechnerstruktur zugreift und Anwendungen nur nach Verbrauch aber meist auf dem neuesten Stand bezahlen muss. Der Zugriff kann dabei ebenso weltweit von einem über das Internet angebundenen Rechner erfolgen.

Der Unterschied zum ASP besteht beim Cloud-Computing darin, dass der Anwender nicht weiss, wo im Moment seine Daten physisch bereit liegen. Die Betreiber von Cloud-Modellen arbeiten wiederum ortsungebunden durch weltweite Anmietung von Rechenkapazitäten. Durch die dem Tag-Nachtverlauf entgegengesetzte Auslastung von Rechenzentren werden unwirtschaftliche Spitzenlasten dadurch vermieden und Cloud-Computing arbeitet daher kosten- und resourcensparender als ASP.

Böse Zungen behaupten ja, dass Cloud- Computing hätte nicht einen solchen Hype erfahren, wenn man es entsprechend der wahren Sicherheits- und Rechtslage eher "Sumpf-Computing" nennen würde. So aber verbindet man mit Cloud eher den Himmel und vergisst dabei, dass auch eine Wolke vielleicht nur hochliegender Nebel ist.

Nichts desto trotz sind die Vorteile einer ortsungebundenen, dynamischen IT so vorteilhaft gegenüber einem lokalen, statischen Soft- und Hardwaresystem, dass man weltweit offenbar bereit ist, gewisse Restrisiken einzugehen. Insgesamt muss man wohl auch davon ausgehen, dass die Risiken beherrschbar erscheinen. Ein erheblicher Teil der Angriffe auf die geheimen Unternehmensdaten kommt eben nach wie vor von innen, aus dem eigenen Unternehmen, so dass eine Auslagerung in die "Wolke" das Sicherheitsrisiko sogar eher noch verringert als erhöht. Dies gilt jedenfalls dann, wenn man auch in der Wolke klare Datenverarbeitungs- und Zugangsrechte definiert. Wegen des streng nutzerabhängigen Kostenmodels beim Cloud-Computing wird man dieses IT-Compliance und Lizenzmanagement auch eher auf dem Laufenden halten. Schließlich wird gerade bei mittelständischen Unternehmen die Datensicherung nicht so ernst genommen, wie dies häufig erforderlich wäre. Jeder Anbieter von Cloud-Computing gewährt aber eine regelmäßige, automatisierte Datensicherung, so dass sich auch hier das Datenschutzniveau eher erhöht.

Zwar sind auch Fälle denkbar, in denen Cloud-Computing ohne Nutzung von personenbezogenen Daten zur Anwendung kommt. In aller Regel aber werden von Kundendateien oder personenbezogene Vorgänge betroffen sein und man wird sich über die Zulässigkeit der Auslagerung in die "Cloud" nach dem BDSG Gedanken machen müssen. Abgesehen davon sollten aber auch allein juristische Personen betreffende Daten wie unternehmensrelevante Daten oder Bilanzen den Mindeststandard der IT-Sicherheit erfüllen, schon um nicht nach Basel-II die Kreditwürdigkeit zu verlieren. Manche Bereiche der Datenverarbeitung werden sich dabei eher als andere für die Ausagerung in die Cloud eignen. Bei einigen Daten wie etwa Daten von Anwälten, Versicherungen oder Medizinern ist wohl auch eine mögliche Strafbarkeit nach § 203a StGB zu beachten. Hier wäre jede unverschlüsselte Auslagerung in die Cloud strafbar und nach Ansicht einiger Datenschützer reicht eine normale Verschlüsselung bei sensiblen Daten auch nicht aus, so dass eine Auslagerung nur mit Einwilligung der Betroffenen möglich wäre.

Bis zur Klärung der Rechtslage darüber, ob "Cloud-Computing" nun der Auftragsdatenverarbeitung nach § 11 BDSG unterfällt oder eben doch nur Auslagerung und Funktionsübertragung ist, wird man sich an die "strengeren Anforderungen" des § 11 BDSG halten, um gleichzeitig in den Genuss der Privillegierung dieser Vorschrift zu kommen. Allerdings vergessen einige voreilige Befürworter des Cloud-Computing, dass bei Anwendung des Auftragsdatenverarbeitung nach § 11 BDSG dann auch alle Voraussetzungen dieser Vorschrift erfüllt sein müssen. Der § 11 BDSG verträgt keine Rosinenpickerei.

Die Kanzlei Flick berät Sie umfassend in der Vertragsgestaltung zu "Cloud-Computing" und bringt dabei jahrelange Erfahrung aus dem Bereich des ASP-Vertragsrechts mit. Man wird dabei insbesondere folgende Punkte zu beachten haben:

  • Definition der eigenen Anforderung an Datensicherheit
  • Bewertung der eigenen Daten nach Zugriff, Redundanz, Verfügbarkeit etc.
  • Auswahl des Dienstleisters nach lokalem Sitz, Lage der benutzten Rechenzentren und Leistungsprofil
  • Definition der eigenen Vertragsziele
  • eventuell Besichtigung des Dienstleisters vor Ort
  • Aufstellung eines eigenen Kontrollmaßstabes für Leistung und Sicherheit
  • Wichtig: ausdrückliche Formulierung des vertragsgemäßen Gebrauchs
  • Ausarbeitung eines den eigenen Bedürfnissen angepassten Service Levels (SLA)
  • Ausarbeitung eines schriftlichen Vertrages
  • laufende Überprüfung des Cloud-Dienstleisters anhand des Kontrollmaßstabes



Gerne beantworten wir noch weitere Fragen zum Thema Wartungsvertrag:



Seitenanfang   zu den Tätigkeitsschwerpunkten   zur Startseite