Haften für Datenpannen in der virtuellen Wolke

1. Februar 2011, 17:56
5 Postings

Beim Cloud Computing werden große Datenmengen an externe Anbieter ausgelagert. Kommt es zu einer Datenpanne, haftet der Nutzer

Beim Cloud Computing werden große Datenmengen an externe Anbieter ausgelagert. Kommt es zu einer Datenpanne, haftet der Nutzer – außer er hat sich zuvor von der Zuverlässigkeit des Cloud-Providers überzeugt.

Der Markt für Cloud Computing boomt. Laut einer aktuellen Gartner-Studie soll der weltweite Umsatz mit Cloud Services von 58,6 Milliarden Dollar 2010 auf 148,8 Milliarden 2014 steigen. Noch sind sich Unternehmen aber kaum der neuen Risiken bewusst; bisher gibt es weder eine gesetzliche Regelung noch Richtlinien für "Datenverarbeitung in der Wolke".

Beim Cloud Computing stellt eine zentrale IT-Infrastruktur Dienstleistungen je nach Bedarf über das Internet zur Verfügung und rechnet diese nach Gebrauch ab. Dazu gehören "Software as a Service" -Dienste wie CRM-, ERP-, Kollaboration- oder Newsletter-Tools, sowie Rechen- und Speicherlösungen und Entwicklungsplattformen. Der finanzielle Vorteil durch standardisierte, webbasierte Anwendungen birgt den Nachteil, dass die gemeinsame Nutzung der Ressourcen durch mehrere Vertragspartner nicht transparent ist. Das Risiko steigt noch, wenn unbekannte Sub-Provider Kapazitäten beistellen.

Dabei stellt sich vor allem die Frage, wer nach dem österreichischen Datenschutzgesetz (DSG) bei Datenpannen haftet. Schuldhafte Verletzungen des DSG können zivilrechtliche Schadenersatzforderungen in Millionenhöhe verursachen. Das DSG sieht zwar vor, dass Unternehmen Cloud-Provider in Anspruch nehmen können – aber nur, wenn diese "eine rechtmäßige und sichere Datenverarbeitung" gewährleisten. Der Nutzer hat gemäß § 10 Abs.1 DSG die Pflicht, sich von der Einhaltung der "Maßnahmen zur Datensicherheit zu überzeugen".

Faktisch heißt das: Der Cloud-Nutzer haftet für die Auswahl des Providers. Das Unternehmen muss aktiv einen "Sicherheitsnachweis" verlangen, indem es Dienstleister-Audits durchführt oder ein Zertifikat einfordert, das durch eine unabhängige Prüforganisation ausgestellt wurde.

Ist ein Provider nach dem internationalen Security-Standard ISO 27001 zertifiziert, bedeutet dies, dass er gesetzliche Datenschutzverpflichtungen mit "größtmöglicher Sorgfalt" und nach dem "Stand der Technik" erfüllt. Dadurch minimiert sich das Haftungsrisiko auf beiden Seiten. Der Security-Standard gilt auch für involvierte Sub-Provider. ISO-27001-zertifizierte Unternehmen verpflichten sich zur Einhaltung der Legal Compliance in allen Ländern, in denen Kundenbeziehungen bestehen – was in externen Audits überprüft wird.

Da es bisher weder nationale noch internationale Regelungen zu Cloud Computing gibt, ist es für Nutzer schwierig, alle Rechtsaspekte zu berücksichtigen. Aus datenschutzrechtlicher Sicht sind folgende Punkte relevant:

Für standardisierte Dienstleistungen können Verträge kaum individuell ausverhandelt werden. Meist sind auch die AGB nachteilig für Nutzer, insbesondere in Bezug auf Haftungsfragen bei Datenverlust und -rückführung sowie Zugriffs- und Kontrollrechten. Ein Provider sollte daher ein entsprechendes Sicherheitskonzept vorweisen und vertraglich zusichern. Empfehlenswert ist der Abschluss von Service Level Agreements (SLA) oder die vertragliche Integration von Standards wie ISO 27001 als Maßstab für die Leistungserbringung.

Räumlich knüpfen die EU-Datenschutzrichtlinie und das DSG primär an den Ort der Datenverarbeitung an: Cloud-Provider mit Sitz im EU-/EWR-Raum müssen die gesetzlichen Datensicherheitsmaßnahmen erfüllen, Anbieter aus Drittstaaten sind hingegen nicht unbedingt an das EU-Datenschutzrecht gebunden. Zudem können durch eine Datenüberlassung außerhalb des EU-/EWR-Raums Genehmigungspflichten entstehen, deren Nicht-Einhaltung mit Verwaltungsstrafen bis zu 10.000 Euro geahndet wird.

Unbekannter Speicherort

Die Auslagerung von Daten an Provider entbindet Cloud-Nutzer nicht von ihrer "Verpflichtung zur Sicherstellung der Datensicherheit" (§ 14 Abs. 1 DSG). Maßnahmen wie Zugriffskontrollen oder die Erfüllung von "Betroffenenrechten" wie das Recht auf Auskunft und Löschung von Daten können aber nicht gewährleistet werden, wenn der Ort der Speicherung aufgrund verteilter Ressourcen nicht bekannt ist.

Ebenso problematisch ist, dass meist keine einheitlichen Log-Files (Protokolldateien) generiert werden, was die gesetzliche Protokollierungspflicht bei Verwendungsvorgängen wie Abfrage, Änderung und Übermittlung von Daten konterkariert. Wenn auch die technische Zusammenführung von Log-Files kaum möglich scheint, kann bei einem ISO-27001-zertifizierten Provider sichergestellt werden, dass dieser Protokollierungen sowie die Archivierung normgemäß durchführt und es auch von seinen Sub-Providern vertraglich einfordert. (Karin Peyerl, DER STANDARD, Printausgabe, 2.2.2011)

MAG. Karin Peyerl ist Rechtsanwaltsanwärterin mit Schwerpunkt IT- und Arbeitsrecht bei CHSH Cerha Hempel Spiegelfeld Hlawati.

  • Bild nicht mehr verfügbar

    Wer in die Wolke des Cloud Computing fliegt, lukriert finanzielle Vorteile, muss sich aber mit kniffligen rechtlichen Fragen auseinandersetzen – vor allem, wenn etwas schiefgeht.

Share if you care.