Cloud Computing in Unternehmen – diese Datenschutz-Fragen sollten Sie vor der Einführung unbedingt klären

Vor der Implementierung von Cloud Computing in einem Unternehmen herrscht an unterschiedlichen Fronten Klärungsbedarf. Nicht nur, dass eine Vielzahl komplexer Herausforderungen bewältigt werden muss: Zu Beginn solcher Überlegungen fällt es oft schwer, überhaupt erst die richtigen Fragen zu stellen. Aus diesem Grund beschäftigen wir uns heute mit den zwei wichtigsten Aspekten aus datenschutzrechtlicher Sicht.

Schutzbedarf in Bezug auf eigene Daten definieren

Vor der Speicherung und Verarbeitung personenbezogener und sonstiger Unternehmensdaten in einer Cloud muss Klarheit über die Bedeutung dieser Daten für den Betrieb und die Betroffenen geschaffen werden. Je sensibler bzw. geschäftskritischer diese Daten sind, desto strenger die rechtlichen und sicherheitstechnischen Anforderungen an eine Cloud-Lösung. In Bezug auf besonders kritische Daten kann etwa die Entscheidung getroffen werden, aus Sicherheitsgründen auf die Bereitstellung in der Cloud zu verzichten und diese Daten ausschließlich vor Ort im Netzwerk des Unternehmens zu speichern.

Vor der Migration von Unternehmensdaten in eine Cloud muss der Schutzbedarf hinsichtlich der Daten genau definiert und spezifiziert werden. Mögliche Abstufungen zu diesem Zweck können „intern“, „vertraulich“ oder „streng vertraulich“ sein. Eine Klassifizierung ist aber auch mit Blick auf die erforderliche Verfügbarkeit und Integrität der Daten denkbar.

Bei der Beurteilung des Schutzbedarfs sind auch Unternehmensspezifika wie Spionage- und Sabotagerisiken oder die potenzielle Gefahr eines Zugriffs durch ausländische Behörden zu berücksichtigen. Sobald der benötigte Grad an Informationssicherheit geklärt ist, kann eine Spezifikation von rechtlichen, technischen und organisatorischen Anforderungen an die Cloud-Lösung erfolgen. In einem nächsten Schritt beurteilt der Datenschutzbeauftragte in Zusammenarbeit mit den IT-Verantwortlichen, ob die vom Cloud-Anbieter erfüllten Schutzstandards den Spezifikationen entsprechen und die Speicherung und Verarbeitung der Unternehmensdaten in der Cloud daher aus datenschutzrechtlicher und sicherheitstechnischer Sicht vertretbar und zulässig ist.

Standort und Sicherheitsniveau von Cloud-Anbietern als wichtigstes Auswahlkriterium

Vor der Entscheidung für einen Anbieter muss hinterfragt werden, ob der wirtschaftliche Anbieter und der technische Betreiber der Cloud identisch sind. Dies, ebenso wie der Firmensitz des Cloud-Betreibers und der Ort der physischen Speicherung und Verarbeitung der Daten, ist verbindlich abzuklären. Festzulegen ist auch, ob der Anbieter berechtigt ist, den Ort der Datenverarbeitung während des Vertragsverhältnisses – beispielsweise durch die Verlagerung von Rechnerkapazitäten – zu verlegen.

Wird diese Möglichkeit nicht grundsätzlich ausgeschlossen, muss der Vertrag vorsehen, dass der Kunde frühzeitig über Veränderungen dieser Art in Kenntnis gesetzt wird, um bei Bedarf gegensteuern zu können.

Viele Cloud-Betreiber gewährleisten, dass die Speicherung und Verarbeitung von personenbezogenen Daten innerhalb der EU erfolgt. Hierfür sollte bei Bedarf eine ausdrückliche schriftliche Zusicherung verlangt werden. Bei Standorten außerhalb der EU empfiehlt sich die Einforderung zusätzlicher Garantien – beispielsweise durch den Abschluss eines Vertrags, der sich an den in der EU üblichen Regelungen orientiert.