Cloud Services – Rechtssicherheit auch für IT-Service Provider
Häufig werden Cloud Services in erster Linie aus Anwendersicht rechtlich beleuchtet und dabei Schwachstellen z. B. im Bereich des Datenschutzrechts aufgezeigt und diskutiert. Dies mag u. a. daran liegen, dass der Anwender, der die personenbezogenen Daten seiner Mitarbeiter oder seiner Kunden vertrauensvoll in die Hände eines Cloud Anbieters legt, im datenschutzrechtlichen Sinne „Herr der Daten“ bleibt, d. h. auch bei einer Auslagerung letztlich für die Daten verantwortlich bleibt. Diese Verantwortung lässt sich auch nicht im Wege der Auftragsdatenverarbeitung (§ 11 BDSG) auf den Dienstleister abwälzen. Aus diesem Grunde sollten sich Anwender genau überlegen, welchen Cloud Anbieter sie auswählen und wo die Daten physisch verarbeitet werden, nach derzeitiger Rechtslage vorzugsweise innerhalb Europas.
Doch auch aus Anbietersicht sollte das Thema Rechtssicherheit bei Cloud Services näher beleuchtet werden, zumal diejenigen Anbieter, die ihren Kunden ein weitgehend rechtssicheres Cloud-Konzept präsentieren können, im Wettbewerb die Nase vorn haben werden. Speziell für Anbieter von Cloud Services stellt die Rechtssicherheit somit ein wesentliches Unterscheidungsmerkmal dar, um sich auf dem Markt der Cloud Provider behaupten zu können. Von daher sollten sich die Anbieter über die rechtlichen Rahmenbedingungen vollständig im Klaren sein, um die Anforderungen der Kunden auch im Bereich Compliance erfüllen zu können. Je nach Ausgestaltung und Dimension der Cloud Services (Public / Private / Hybrid / EU/EWR-Cloud) verlangen insbesondere mittelständische und größere Unternehmen, dass der Cloud Provider die jeweils anwendbaren rechtlichen Anforderungen im Blick hat und hierzu passende Lösungen anbietet. Um Bedenken im Bereich des Datenschutzes auch im internationalen Umfeld auszuräumen, sollte der Cloud Provider auf diese Fragen eine Antwort haben und proaktiv entsprechende Vertragsdokumente (z. B. zur Auftragsdatenverarbeitung) anbieten können. Hier gilt es, die Risiken für den Anwender zu kennen und diese anzusprechen, z. B. auch im Hinblick auf einen möglichen Datenzugriff durch Behörden und Geheimdienste (Stichwort USA PATRIOT Act) . Nur so kann Vertrauen und Transparenz hergestellt werden. Schließlich sollten auch die angebotenen Service Level individuell für den Cloud Provider angepasst und vertraglich effizient aufgestellt werden. Insoweit können sich selbstbewusste Anbieter ruhig eine Bonusregelung für den Fall der Überperformance erlauben.
Die Spezialisten der Kanzlei Res Media verfügen auf dem Gebiet der Vertragsgestaltung über eine langjährige und einschlägige Erfahrung sowie über fundierte Branchenkenntnisse auch in wirtschaftlicher Hinsicht, von der Cloud Provider profitieren können, um ihre Angebote insgesamt rechtssicher zu gestalten und dabei gleichzeitig die eigenen Rechte zu wahren und Investitionen zu schützen. Dabei kann auch auf die Erfahrungen als externe betriebliche Datenschutzbeauftragte (§ 4f BDSG) zurückgegriffen werden. So kann gemeinsam mit Ihnen ein umfassendes Konzept nach den individuellen Bedürfnissen erstellt und umgesetzt werden. In diesem Zusammenhang kann auch geklärt werden, ob und unter welchen Voraussetzungen ein anerkanntes Cloud Zertifikat erlangt werden kann, um das Vertrauen dadurch zusätzlich zu erhöhen.
Bildnachweis: rangizz@ Fotolia.com