Das zentrale rechtliche Thema beim Cloud-Computing ist der Datenschutz. Für mittelständische inländische Unternehmen ist die Cloudnutzung bei Verarbeitung personenbezogener Daten, wenn diese hierbei außerhalb des europäischen Wirtschaftsraums gelangen, in Übereinstimmung mit dem Datenschutzrecht kaum möglich. Gleiches gilt, wenn der Cloud-Anbieter zwar eine sogenannte Euro-Cloud anbietet, aber außerhalb des europäischen Wirtschaftsraums seinen Sitz hat. Da die Big Player wie Microsoft, Google oder Amazon ihren Sitz meist in den USA haben, liegen hier für viele Firmen, die Cloud-Computing nutzen, ganz erhebliche rechtliche Risiken. Die Lösung liegt regelmäßig in einer datenschutzkonform ausgestalteten Auftragsdatenverarbeitung durch den Cloud-Anbieter mit Sitz in Deutschland.

Jedoch müssen auch hierzu sowohl in rechtlicher als auch in technischer Hinsicht viele Aspekte des Datenschutzes beachtet und rechtskonform umgesetzt werden. In rechtlicher Hinsicht steht der Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG im Fokus. Neben dem Datenschutz sind weitere Kernthemen bei der Vertragsgestaltung aus Cloud-Nutzer-Sicht eine genaue Leistungsbeschreibung, Service-level Agreements, Change Request, Vertraulichkeit und vor allem ein umsetzbares Exit-Management.

Trotz vieler, auch politischer, Initiativen wird es noch viele Jahre keine weltweit einheitlichen Vorgaben für Cloud-Lösungen geben. Das Recht hinkt der Technik weiter hinterher. Drängendste Aufgabe für den Gesetzgeber ist die Schaffung von Regelungen, wonach sich der Cloud-Nutzer auf die datenschutzrechtliche Prüfung anerkannter, zertifizierter und unabhängiger Dritter verlassen können darf. Bis dahin ist jedes Unternehmen, dass Cloud-Lösungen oder auch nur externe Rechenzentren nutzen will darauf angewiesen, individuell erstellte Verträge zu nutzen und die Möglichkeiten des „technischen Datenschutzes“ auszureizen.

Den Bericht der IHK Braunschweig zu dem Treffen des ErFa-Kreis IT finden Sie hier.