Bei Cloud Computing werden große Datenmengen an externe Anbieter ausgelagert. Kommt es zu einer Datenpanne, haftet der Nutzer. Beim Cloud Computing werden große Datenmengen an externe Anbieter ausgelagert. Kommt es zu einer Datenpanne, haftete der Nutzer – außer er hat sich zuvor von der Zuverlässigkeit des Cloud-Providers überzeugt.

Der Marks für Cloud Compiting boomt. Noch sind sich Unternehmen aber kaum der neuen Risiken bewusst; bisher gibt es weder eine gesetzliche Regelung noch Richtlinien für “Datenverarbeitung in der Wolke”.

Beim Cloud Computing stellt eine zentrale IT-Infrastruktur Dienstleistungen je nach Bedarf über das Internet zur Verfügung und rechnet diese nach Gebrauch ab. Dazu gehöhren „Software as a Service“ – Dienste wie Kollaboration- oder Newsletter-Tools, sowie Rechen- und Speicherlösungen und Entwicklungsplattformen. Dabei stellt sich vor allem die Frage, wer nach dem österreichischen Datenschutzgesetz (DSG) bei Datenpannen haftet. Schuldhafte Verletzungen des DSG können zivilrechtliche Schadenersatzforderungen in Millionenhöhe verursachen. Das DSG sieht zwar vor, dass Unternehmen Cloud – Provider in Anspruch nehmen können – aber nur, wenn diese „eine rechtmäßige und sichere Datenverarbeitung“ gewährleisten. Der Nutzer hat gemäß § 10 Abs. 1 DSG die Pflicht, sich von der Einhaltung der „Maßnahmen zur Datensicherheit zu überzeugen“.

Faktisch heißt das: Der Cloud-Nutzer haftet für die Auswahl der Providers. Das Unternehmen muss aktiv einen „Sicherheitsnachweis“ verlangen, indem es Dienstleister-Audits durchführt oder ein Zertifikat einfordert, das durch eine unabhängige Prüforganisation ausgestellt wurde.

Räumlich knüpfen die EU-Datenschuztrichtlinie und das DSG primär an den Ort der Datenverarbeitung an: Cloud-Provider mit Sitz im EU-/EWR-Raum müssen die gesetzlichen Datensicherheitsmaßnahmen erfüllen, Anbieter aus Drittstaaten sind hingegen nicht unbedingt an das EU-Datenschutzrecht gebunden. Zudem können durch eine Datenüberlassung außerhalb des EU-/ERW-Raums Genehmigungspflichten entstehen, deren Nicht-Einhaltung mit Verwaltungsstrafen bis zu 10.000 Euro geahndet wird.

Unbekannter Speicherort
Die Auslagerung von Daten an Provider entbindet Cloud-Nutzer nicht von ihrer „Verpflichtung zur Sicherstellung der Datensicherheit“ (§ 14 Abs. 1 DSG). Maßnahmen wie Zugriffskontrollen oder die Erfüllung von „Betroffenrechten“ wie das Recht auf Auskunft und Löschung von Daten können nur schwer gewährleistet werden, wenn der Ort der Speicherung aufgrund verteilter Ressourcen nicht bekannt ist. Dies ist jedenfalls vor Vertragsabschluss sicher zustellen.

Patrick Piccolruaz, Rechtsanwalt