Home / Veröffentlichungen / Fokus Outsourcing und Datenschutzrecht

Fokus Outsourcing und Datenschutzrecht

2014-04

Google & Co: rechtliche Möglichkeiten und Unmöglichkeiten beim Outsourcing in die Cloud

Unter IT-Outsourcing versteht man die Beauftragung von externen Serviceprovidern, die IT-basierte Geschäftsprozesse übernehmen. Das „klassische“ IT-Outsourcing in Rechenzentren basiert auf Outsourcing-Verträgen, deren Inhalt die Zurverfügungstellung diverser Dienste oder Hardware ist.

Die jüngste Form des IT-Outsourcings wird auch als „Cloud Computing“ bezeichnet. Dabei wird ein Teil der IT-Landschaft (etwa Hardware, Datenspeicher, Software) vom Kunden nicht mehr selbst betrieben oder in ein örtliches Rechenzentrum ausgelagert, sondern bei einem Anbieter, der meist global tätig ist, als Dienst gemietet. Die Anwendungen und Daten befinden sich dann nicht mehr auf dem lokalen Rechner oder im einzelnen Rechenzentrum. Vielmehr schweben sie in der (metaphorischen) Wolke, die technisch aus einer Vielzahl von rund um den Globus verteilten Rechenzentren besteht, welche miteinander verbunden sind und Datenströme austauschen.

Die Bandbreite der Angebote reicht vom Zumieten bloßer Rechenkapazitäten oder von Speicherplatz (Infrastructure as a Service) bis zu vollständigen Diensten oder Geschäftsprozessen, die der Anbieter standardisiert zur Verfügung stellt (Software as a Service). Die Cloud kann dabei mehreren Kunden offenstehen (Public Cloud) oder aber nur innerhalb eines Unternehmens oder Konzerns bestehen (Private Cloud).

Vor- und Nachteile des Cloud Computing

Bei der herkömmlichen Datenverarbeitung muss ein Unternehmen selbst enorme Hardwarekapazitäten bereitstellen, die den Rechenbedarf zu Spitzenzeiten abdecken können. In Zeiten geringerer Auslastung liegen diese Kapazitäten brach, verursachen aber dennoch laufende Kosten, etwa für Energie, Wartung oder Personal.

Der Vorteil von Cloud Computing besteht darin, dass das Unternehmen die ungleich größeren Kapazitäten von IT-Riesen wie Google oder Microsoft mitnutzen kann, die diese Kapazitäten ohnehin benötigen. Das Unternehmen kann dadurch Kapazitäten in Echtzeit und in beliebiger Menge aufstocken, ohne Hardware zuzukaufen oder neues Personal anzuheuern.

Im Gegenzug verliert das Unternehmen mit der eigenverantwortlichen Verarbeitung jedoch die unmittelbare Kontrolle über die Daten, welche in die Cloud eingebracht werden. Dieser faktische Kontrollverlust erfordert eine Reihe von vertragsgestaltenden Maßnahmen, um dem Anbieter die rechtlichen und wirtschaftlichen Verpflichtungen des Unter­nehmens zu überbinden. Wir gehen im Folgenden speziell auf die datenschutzrechtlichen Aspekte des Cloud Computing ein, machen aber darauf aufmerksam, dass sowohl Aspekte allgemein zivilrechtlicher Natur als auch regulatorische Bestimmungen zu beachten sind, die etwa Banken, Versicherungen oder Krankenanstalten betreffen.

Datenschutzrechtliche Themen

Datenschutzrechtlich sind zwei große Themenblöcke zu beachten:

  • einerseits der Abschluss einer gültigen Dienstleistervereinbarung,
  • andererseits die Voraussetzungen einer Datenüberlassung ins Ausland.

I. Dienstleistervereinbarung

Die Überlassung von Daten an einen Dienstleister, etwa einen Cloud-Anbieter, ist nur zulässig, wenn das überlassende Unternehmen mit dem Dienstleister eine schriftliche Vereinbarung abschließt. Das Datenschutzgesetz sieht zwingende inhaltliche Erfordernisse für eine solche Dienstleistervereinbarung vor. Cloud-Anbieter haben erfahrungsgemäß Probleme damit, die gesetzlich geforderten Garantien abzugeben, da sie nach internationaler Standardisierung ihrer Kundenverträge streben, um die Kosten gering zu halten.

Die Rechenzentren einer Cloud werden meist weltweit von unterschiedlichen Subunternehmern des Anbieters betrieben. Da diese Subunternehmer häufig wechseln, ist es für Anbieter mühsam, vor Heranziehen eines neuen Sub­unternehmens jedes Mal das überlassende Unter­nehmen um Zustimmung zu ersuchen.

Auch lässt es die technische Struktur von Clouds nicht zu, Daten nach Beendigung des Outsourcing-Vertrags sofort physisch zu löschen. Vielmehr werden sie nur periodisch überschrieben.

Sowohl Vorabzustimmung als auch Löschung sind aber Beispiele für zwingende Erfordernisse, deren Einhaltung das Gesetz vorschreibt. Eine vorschnelle Auslagerung in die Cloud kann für das überlassende Unternehmen unabsehbare Haftungen nach sich ziehen.

II. Datenüberlassung ins Ausland

Werden Daten Anbietern im Ausland überlassen, so ist zudem zu prüfen, ob dort ein angemessenes Datenschutzniveau herrscht. Ist dies nicht der Fall, so muss eine Genehmigung der Datenschutzbehörde eingeholt werden, bevor die Datenströme zu fließen beginnen. Erfahrungsgemäß ist dies ein langwieriger und mühsamer Prozess, der tunlichst vermieden werden sollte, etwa indem man sicherstellt, dass die Daten den genehmigungsfreien EWR-Raum nicht verlassen.

Vorsicht ist bei einer Überlassung in die USA geboten: Einerseits muss geklärt werden, ob sich der Anbieter und Datenempfänger den „Safe-Harbor-Prinzipien“ unterworfen hat. Ist ein US-Anbieter nämlich Safe-Harbor-zertifiziert, so ist die Überlassung an diesen Anbieter genehmigungsfrei. Der Anbieter muss seine Subunternehmer aber vertraglich verpflichten, die Prinzipien ihrerseits einzuhalten. Geschieht dies nicht, so haftet das inländische Unternehmen für die unzulässige Weitergabe an diese Subunternehmer.

Auswirkungen auf die Praxis

Cloud Computing erfordert eine sorgfältig gestaltete Dienstleistervereinbarung, die sowohl den technischen Gegebenheiten als auch den rechtlichen Erfordernissen Rechnung trägt. Ein Genehmigungsverfahren bei der Datenschutzbehörde sollte möglichst vermieden werden, indem die Daten nicht wahllos in unsicheren Staaten verarbeitet werden. Die Regelung hinsichtlich der Involvierung von Subunternehmern ist für die datenschutzrechtliche Zulässigkeit des Dienstleistervertrags und damit des Outsourcings in die Cloud essenziell. Alleine aus datenschutzrechtlicher Sicht ist Cloud Computing mittlerweile so komplex, dass die Beiziehung von Spezialisten unentbehrlich ist.

Weitere Beiträge von Dr. Johannes Juranek finden Sie auf unserem CMS RRH Blog.

Autoren

Foto vonJohannes Juranek
Johannes Juranek
Managing Partner
Wien