Auf Wolke sieben? – Compliance in der Cloud

Die Digitalisierungswelle rollt seit Jahren, doch nirgends mehr als im Dienstleistungssektor. Zu den heißesten Innovationen, die sie mit sich bringt, gehört das sog. Cloud-Computing. Im Kern geht es dabei um nichts anderes als neue Möglichkeiten, informationstechnische Ressourcen zur elektronischen Datenverarbeitung einzusetzen. Die Mehrheit der Unternehmen in Deutschland, so eine aktuelle Studie, nimmt die Dienste einer digitalen „Wolke“ bereits in Anspruch. Einen externen Cloud-Dienstleister zu beauftragen, bietet sich an, wenn ein Unternehmen zusätzlichen Speicherplatz oder Rechenkapazität benötigt, spezielle Softwaremodule gebraucht werden oder ganze Arbeitsplätze nicht mehr durch unternehmenseigene Netzwerk-Ressourcen zur Verfügung gestellt werden sollen. Für das Unternehmen eine große Erleichterung: schließlich muss es so nicht erst die benötigte Soft- und Hardware einkaufen. Und Cloud-Computing-Lösungen lassen sich auf dem „Stand der Technik“ bedarfsgerecht und flexibel einsetzen. Dadurch lässt sich langfristig weiteres Geld sparen.

So bahnbrechend die Potenziale von Cloud-Computing erscheinen, so gewaltig können aber auch die rechtlichen Risiken und Herausforderungen, die mit der Auslagerung von IT-Funktionen auf externe Dienstleister einhergehen. Wer persönlichen Daten – von Mitarbeitern oder Kunden – elektronisch erfasst, verarbeitet und verwendet, muss nach § 11 Satz 1 BDSG sicherstellen, dass Vorschriften des Bundesdatenschutzgesetzes (BDSG) und andere Vorschriften über den Datenschutz eingehalten werden. Dabei genügt es nicht, die Einhaltung der Anforderungen des BDSG durch Compliancevorgaben im eigenen Hause zu gewährleisten. Denn es liegt in der Verantwortung des Cloud-Nutzers, für die Rechtmäßigkeit der Datenverarbeitung auch dann zu sorgen, wenn die Daten durch ein drittes Unternehmen verarbeitet werden. Das stellt für Cloud-Nutzer eine gänzlich neue Herausforderung dar: die Einhaltung von Compliance in der Cloud.

Unternehmen sind folglich gut beraten, die bestehenden Risiken zu bewerten und Compliance-Richtlinien zur sorgfältigen Auswahl und Beaufsichtigung externer Cloud-Dienstleister zu implementieren. Bevor man Cloud-Dienstleister beauftragt, sollte man deren organisatorische Vorgaben zum Schutze persönlicher Daten unter die Lupe nehmen. Überdies muss man fortwährend in der Lage sein, sich über die Einhaltung von datenschutzrechtlichen Standards durch entsprechende Kontrollbefugnisse beim Cloud-Anbieter zu vergewissern. Für Unternehmen der Finanzbranche ist das schon ein alter Hut: So schreibt bereits § 25b Abs. 1 Satz 1 KWG vor, dass bei der Auslagerung bestimmter Aktivitäten und Prozesse auf ein anderes Unternehmen angemessene Vorkehrungen zu treffen sind, um übermäßige zusätzliche Risiken zu vermeiden. Angesichts der Anforderungen an den Datenschutz und die Datensicherheit gilt es aber auch für alle anderen Unternehmen, den Kopf nicht in den Wolken zu tragen…

Ansprechpartner: Prof. Dr. Ines Zenke/Dr. Christian Dessau