Die öffentliche Diskussion hat in Folge der US-Datenskandale viele Nutzer von Cloud-Diensten verunsichert. Das Thema betrifft nahezu jeden: Möchte schon im Privatbereich kaum jemand die Annehmlichkeiten von Cloud-Diensten missen, ist eine seriöse Cloud-Technologie im Businessbereich unverzichtbar: Ohne IT kommt kaum ein Unternehmen aus. Auch für dezentrale Organisationen ist die universelle Verfügbarkeit von Wissen essentiell. Datenschutz und Rechtssicherheit sollten in der Cloud höchste Priorität genießen – IT-Experten raten daher zur Nutzung professioneller deutscher Lösungen für den Datenaustausch.
Wir haben mit Rechtsanwalt Thomas Wittmann, Justiziar eines renommierten Bonner Private Equity-Unternehmens, gesprochen. In dieser vierteiligen Serie gibt er Tipps und Denkanstöße zum Thema „Business-Datenaustausch mit Cloud-Diensten in Deutschland“.
Universelle Datenverfügbarkeit – aus juristischer Sicht Fluch oder Segen?
Thomas Wittmann (TW): Die ständige Datenverfügbarkeit im Internet und verschiedene Cloud-Dienste revolutionieren die Arbeitswelt. Was Geschwindigkeit und Schlagkraft von Arbeitsprozessen in Unternehmen erhöht, wirkt sich auf die individuelle psychische Belastung von Mitarbeitern aus. Die klassische Trennung zwischen „Privat und Arbeit“ verwischt. Einige Großunternehmen schalten zu bestimmten Zeiten E-Mail-Server aus oder bestimmen Zeitkorridore für die Nutzung von Mitarbeiter-Smartphones. Das Potenzial von Cloud-Diensten führt generell zum Umdenken: Völlig neue Arbeitsprozesse entstehen, denn die Menschen wollen auf die Vorteile des Internets nicht verzichten. Diese Entwicklung wird nicht aufzuhalten sein, ebenso wenig deren Tempo.
Welche gesetzlichen Bestimmungen gibt es für die Nutzung von Cloudsoftware?
TW: In Artikel 6 des Grundgesetzes heißt es: „Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich:“ Dies zeigt deutlich: Die gesetzlichen Bestimmungen hinken innovativen Entwicklungen hinterher – insbesondere in Bezug auf das Internet. Wer Cloud-Dienste in seinen Unternehmensprozessen einsetzt, nimmt in Kauf, „juristische Grauzonen“ zu betreten. Ein zu eng ausgelegtes Datenschutzgesetz – dessen Gültigkeit im World Wide Web an den Landesgrenzen endet – blockiert aus Kritiker-Sicht Innovationen. Pioniere indes sehen die großen Marktvorteile – eventueller Risiken sollten auch sie sich bewusst sein. Wie jedes Großunternehmen Verhaltensrichtlinien für Gefahrenfälle aufstellt, sollte auch ein Maßnahmenkatalog greifen, wenn z. B. ein Cloud-Dienst – aus welchem Grund auch immer – ausfällt.
Gibt es rechtliche Fallstricke beim Datenaustausch in der Cloud?
TW: Es gibt kein Spezialgesetz für das Internet. Der Unternehmer hat es mit einer Fülle undurchsichtiger Gesetze und Vorschriften zu tun. Mangelnde Akzeptanz und Verunsicherung irritieren Laien. Der NSA-Skandal hat der gesamten IT-Branche einen Nackenschlag versetzt. Völlig falsch ist es aber, den NSA-Skandal auf Cloud-Dienste zu beziehen. Dass quasi jedes ans Netz angeschlossene EDV-Gerät aus dem Ausland sehr weitreichend angezapft werden kann, hat in der Öffentlichkeit die große Emotion ausgelöst. Dies muss man isoliert von Cloud-Diensten betrachten. Ich schätze, dass Daten in einem Rechenzentrum sicherer vor der NSA sein werden, als auf dem PC unter dem Schreibtisch: Die IT-Branche – insbesondere Cloud-Anbieter – werden auf Vertrauensbildung setzen. Seriöse Cloud-Anbieter haben das Thema Sicherheit hoch priorisiert; letztlich hängt deren Geschäftserfolg von ihrer Zuverlässigkeit ab.
Ist die Datenhaltung in einem Rechenzentrum, in einer Cloud, also zu befürworten?
TW: Eindeutig ja! Allein vom Grundsatz ist es ein Vielfaches sicherer, die Daten in einem professionellen Rechenzentrum über die Cloud aufzubewahren und zu sichern. Für kleine oder mittlere Unternehmen ist adäquates professionelles IT-Know-how oft unbezahlbar – in Rechenzentren ist dies Standard. Man denke beispielsweise an die vielen kleineren Anwalts- oder Steuerberatungskanzleien, die sich weder einen Administrator noch professionelle, bewachte Server-Stellflächen leisten können. Deren Existenz ist u. U. bedroht, wenn der Server im Nebenzimmer abraucht und sich die externe Festplatte zur Datensicherung im gleichen Raum befindet, oder ein Angreifer plötzlich die Sicherheitslücke des Routers ausnutzt. Die Praxis zeigt: 100prozentig schützen kann sich niemand – zuletzt wurden – bei entsprechender Medienaufmerksamkeit – selbst „die ganz Großen“ gehackt.
Es ist für die Menschen normal, ihr Geld bei einer sicheren Bank einzuzahlen. Im Bereich IT hält sich der Irrglaube, Daten seien „unter dem Schreibtisch“ sicherer. Dies ist rein subjektiv, der NSA-Skandal beweist das Gegenteil. Kleine oder mittlere Unternehmen können mit einem „internetfähigen Rechner unter dem Schreibtisch“ nicht annähernd die Sicherheit abbilden, wie sie zuverlässige Rechenzentren mit Fachpersonal in professioneller Umgebung zu verhältnismäßigen Kosten vorhalten. Nochmals, die 100prozentige Garantie gibt es nirgends – fast immer aber wird die EDV-Infrastruktur eines seriösen Rechenzentrums sicherer sein, als die eigene. Mittelfristig wird die Aufbewahrung der eigenen Daten in einem Rechenzentrum, bzw. in der Cloud, Normalität sein.
Lesen Sie im 2. Teil:
Auftragsdatenverarbeitung – Kriterien für sichere Cloud-Dienste
Thomas Wittmann ist in Köln zugelassener Rechtsanwalt und arbeitet als Justiziar in einem renommierten Beteiligungsunternehmen in Bonn. Er berät juristisch seit fast 15 Jahren insbesondere Unternehmen aus der IT.