Der Teufel steckt im Detail 01.07.2019, 14:30 Uhr

Rechtliche Aspekte des Cloud Computings

Mangels rechtlicher Definition für Cloud Computing muss jeder Fall genau geprüft werden. Dabei haben die Art der Daten, der Ort ihrer Bearbeitung sowie die Auswahl des Providers wesentlichen Einfluss auf die rechtlichen Anforderungen sowie juristischen Knackpunkte.
(Quelle: Dallas Reedy / Unsplash)
Cloud Computing ist derzeit (wieder) in aller Munde. Dabei scheint die einhellige Meinung zu sein, dass kein Weg an der Wolke vorbeiführt. Trotzdem konnte sich für den Begriff Cloud Computing keine einheitliche Definition durchsetzen. Dasselbe gilt für die rechtliche Sicht, eine sogenannte Legaldefinition fehlt.
Zwar lassen sich aus dem jeweiligen Servicemodell, zum Beispiel Infrastructure, Platform oder Software as a Service (IaaS, PaaS oder SaaS), aufschlussreiche Hinweise zu den rechtlichen Anforderungen und juristischen Knackpunkten ableiten. Da der Teufel bekanntlich im Detail steckt, ist eine sorgfältige rechtliche Beurteilung des Einzelfalls unerlässlich. Aus diesem Grund gilt auch hier der Lieblingssatz jedes Juristen: «Es kommt drauf an.»
“Es fehlt eine rechtliche Definition der Cloud„
Michal Cichocki

Aufgepasst bei «heiklen» Daten

Erfahrungsgemäss sind allgemeine rechtliche Aussagen dennoch möglich: Unabhängig vom Servicemodell sind bei den meisten Cloud-Dienstleistungen im Umfeld von XaaS («Anything as a Service») die Art der Daten, der Ort ihrer Bearbeitung sowie die Auswahl des Providers sorgfältig zu prüfen (XaaS-Setup). Das hat einen wesentlichen Einfluss auf die rechtlichen Anforderungen.
Stark vereinfacht gesagt, sind die rechtlichen Anforderungen tendenziell höher bei «heiklen» Daten, zum Beispiel Gesundheitsdaten, Persönlichkeitsprofilen oder Bankkundengeheimnisdaten, einer Datenbearbeitung im Ausland, wie etwa Storage auf Servern mit Standort im Ausland und durch ausländische beziehungsweise zu ausländischen Konzernen gehörende Cloud-Dienstleister. Was weniger bekannt ist: Auch wenn Daten in der Schweiz gespeichert sind, aber aus dem Ausland auf sie zugegriffen wird, gelten dieselben strengen Anforderungen wie bei einer Speicherung im Ausland.

Was es zu beachten gilt

In der Regel sind eine strenge, vorangehende sogenannte Due-Diligence-Prüfung, eine detaillierte Festlegung und vertragliche Regelung der Dienstleistung, der Service Levels, des Beizugs allfälliger Subdienstleister sowie die Einräumung von Prüf- und Kontrollrechten, eine Übertragung von Vertraulichkeitspflichten und technische sowie organisatorische Massnahmen nötig. Zusätzlich kann eine Orientierung beziehungsweise Einwilligung der Kunden oder anderer betroffener Personen notwendig sein.
Ferner gilt es, offene Fragen im Zusammenhang mit neueren Rechtsgrundlagen ausländischer Staaten zu lösen, die den Zugriff auf Daten ausserhalb des eigenen Hoheitsgebiets vorsehen, wie zum Beispiel der Clarifying Lawful Overseas Use of Data Act auch als US Cloud Act bekannt. Bei anonymisierten oder pseudonymisierten Daten, bei einer Datenbearbeitung ausschliesslich im Inland sowie durch rein inländische Cloud-Dienstleister und Sub-Dienstleister sind die rechtlichen Anforderungen dagegen tendenziell tiefer und die genannten Prüfungen sowie Massnahmen in der Regel weniger umfassend.

Was erwartet der Kunde?

Schliesslich ist auch an mögliche Reputationsrisiken zu denken. Dabei ist der Erwartung der Kunden und betroffenen Personen besonders Rechnung zu tragen. Die Wahl eines unerwarteten und damit vermeintlich «falschen» XaaS-Set-ups kann unabhängig von der rechtlichen Zulässigkeit zu (unberechtigter) negativer Berichterstattung und damit zum Verlust von Kunden sowie Aufträgen führen.
Zum Autor
Michal Cichocki
ist Leiter Legal Datenschutz und Outsourcing bei einer Bank in Zürich. Der Rechtsanwalt ist seit über zehn Jahren im Bereich des digitalen Rechts sowie als Datenschützer tätig und Mitglied der Rechtskommission von swissICT. Diese berichtet in der Kolumne «Recht & IT» über aktuelle juristische Themen im digitalen Bereich.



Das könnte Sie auch interessieren