Sicherheitssnetz für die Wolke
Compliance-Tipps für Cloud Computing
Stellen Sie also in jedem Fall sicher, dass Ihr Provider Ihnen mitteilt, wo Ihre Daten physisch gelagert werden. Am einfachsten ist es, wenn dies in Deutschland oder innerhalb der EU der Fall ist. Es gibt Anbieter, die das garantieren. Außerhalb der EU-Grenzen steigen die Risiken eines Datenverlustes oder fehlender Verfügbarkeit der Daten. Außerdem lässt das deutsche Datenschutzrecht die Verarbeitung von Personendaten außerhalb der EU nicht zu. Zu gewährleisten ist außerdem, dass das Finanzamt jederzeit Zugriff auf relevante Daten hat – also auch das Steuerrecht im Blick behalten!
Schutzmechanismen einbauen!
Überhaupt sollte genau überlegt werden, welche Anwendungen aus wirtschaftlichen und technischen Gründen für eine Auslagerung in Frage kommen sowie welche Daten und Informationen als kritisch einzuordnen sind. Möglicherweise eignen sich bestimmte Daten aus rechtlichen Gründen schlichtweg nicht fürs Cloud Computing, auch wenn es finanziell attraktiv erscheint. Vorsicht ist beispielsweise geboten bei Gesundheitsdaten, Steuerdaten und im Umfeld von staatlichen Organisationen.
Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) empfiehlt, dem Service-Provider die Anforderungen an DatenschutzDatenschutz und Vertraulichkeit zu übermitteln. Sie sollten vertraglich fixiert und kontinuierlich überprüft werden. Alles zu Datenschutz auf CIO.de
Insgesamt bedürfen Cloud-Computing-Verträge einer besonderen Aufmerksamkeit. Ein erstes Augenmerk gilt einer umfassenden Leistungsbeschreibung mit klaren Vereinbarungen über Zugangszeiten und Datenmengen. Achten Sie auf eindeutige Service Levels und auf ausreichenden Datenschutz, informieren Sie sich bei einer Zusammenarbeit mit einem Provider aus dem Ausland über gesetzliche Regelungen und zuständigen Gerichtsstand. Bauen Sie Schutzmechanismen für Notfälle ein. Regeln Sie, ob und wann Daten an Drittprovider weitergegeben werden dürfen.
Rechtsberatung ist in jedem Fall ratsam, denn die Verluste durch Systemausfälle, Lieferverzögerungen, Klagen aufgrund von Rechtsverletzungen und Imageschäden wegen solcher Vorfälle können hoch ausfallen. Naturgemäß fällt Großunternehmen mit eigener Rechtsabteilung das Verhandeln mit den Providern leichter. Mittelständler sollten an dieser Stelle aber nicht blauäugig agieren. Eine Hilfe können vertragliche Standards für verbreitete Anwendungen sein, die von Providern zum Teil angeboten werden. Aus Kostengründen dürfte Cloud Computing auch für den Mittelstand über kurz oder lang eine Option sein. Davor also keine unnötige Scheu, aber erst nach sorgfältiger Abwägung in die Wolke entschweben.