Was Datenschutzbeauftragte vor der Einführung von Cloud Computing abklären müssen

Möchte ein Unternehmen Cloud Computing nutzen, sieht sich der Datenschutzbeauftragte mit einer ganzen Reihe von vielschichtigen und komplexen Fragen konfrontiert. Zusätzlich kommt erschwerend hinzu, dass in diesem Stadium oft noch viele Punkte offen oder noch gar nicht betrachtet worden sind. Im Folgenden werden Sie über die wichtigsten datenschutzrechtlichen Fragestellungen aufgeklärt.

Schutzbedarf der Unternehmensdaten klären

Um personenbezogene oder sonstige Unternehmensdaten in einer Cloud speichern und verarbeiten zu können, sollte zuerst Klarheit über die Bedeutung dieser Daten für das Unternehmen und für die Betroffenen herrschen. Je sensibler die personenbezogenen Daten oder je geschäftskritischer sie sind, desto höher sind die Rechts- und Sicherheitsanforderungen an die gewählte Cloud-Lösung. Bei besonders kritischen Daten etwa kann es sein, dass eine Speicherung der Daten in einer Cloud nicht zu verantworten ist und sie besser on-premises direkt im Unternehmensnetzwerk gehostet werden.

Bevor ein Unternehmen seine Daten in eine Cloud migriert, sollte also der Schutzbedarf der Daten geklärt und beschrieben werden. Dazu bietet es sich an, Daten als öffentlich, intern, vertraulich und streng vertraulich einzustufen. Auch hinsichtlich der Verfügbarkeit und der Integrität der Daten ist eine Skalierung denkbar.

In die Beurteilung des Grades des Schutzbedarfs sind auch unternehmensspezifische Gesichtspunkte wie Spionage- und Sabotagerisiken oder Risiken durch einen möglichen Zugriff durch ausländische Behörden einzubeziehen. Erst wenn die Anforderungen an die Informationssicherheit geklärt sind, können die rechtlichen und technisch-organisatorischen Anforderungen an die Cloud näher konkretisiert werden. Abschließend kann der Datenschutzbeauftragte zusammen mit den Projektverantwortlichen beurteilen, ob die konkreten Schutzstandards des Cloud-Anbieters den tatsächlichen Anforderungen genügen und eine Speicherung und Verarbeitung der Daten in der Cloud vertretbar und zulässig ist.

Cloud-Anbieter: Standort und Sicherheitsniveau sind entscheidend

Der Anbieter und der tatsächliche, sprich technische, Betreiber der Cloud müssen nicht zwingend identisch sein. Dies und auch der Sitz des Cloud-Betreibers und der tatsächliche Ort der Speicherung und Verarbeitung müssen zuverlässig geklärt werden. In diesem Zusammenhang ist auch in Erfahrung zu bringen, ob sich der Ort der Verarbeitung, zum Beispiel durch Verlagerungen von Rechnerkapazität, im Lauf des Vertragsverhältnisses ändern kann.

Ist dies nicht ausgeschlossen, sollte der Vertrag Regelungen enthalten, die sicherstellen, dass der Auftraggeber rechtzeitig über derartige Veränderungen unterrichtet wird. So kann das Unternehmen gegebenenfalls zusätzliche Maßnahmen wie etwa Vertragsergänzungen einleiten.

Cloud-Betreiber bieten teilweise für die Speicherung und Verarbeitung der personenbezogenen Daten einen Standort innerhalb der EU an. Für die Einhaltung dieser Standorte sollte ggf. eine vertragliche Zusicherung verlangt werden. Liegt der Standort außerhalb der EU, müssen zusätzliche Garantien, z.B. durch den Abschluss eines Vertrages nach den EU-Standardvertragsklauseln, geschaffen werden.