Kostenchance / Haftungsfalle Outsourcing: Unternehmenskritische Daten in die Cloud?

RA und Fachanwalt IT-Recht Dr. Jens Bücking, Stuttgart

 

Die betriebswirtschaftlichen Vorteile von Cloud-Computing liegen auf der Hand: Der Nutzer kann auf seine Daten von überall zugreifen, dies unter Wegfall oft komplexer Software-Installationen und der regelmäßigen Aufrüstung seiner Hardware. Informationen, die er zur Verfügung haben muss, werden nicht mehr lokal oder im Intranet abgelegt sondern auf Zentralservern im Internet. Auch ganze Programme können auf diese Weise mittels Fernzugriff genutzt werden. Diese werden oft einfach im Browser ausgeführt und nehmen den Rechnern somit Rechenleistung – und somit Ressourcen, die nur allzu oft einen Hardware-Austausch erfordern würden – ab. Häufig entfallen auch Kosten für Updates. Auch die Notwendigkeit für eine lokale IT-Infrastruktur, insbesondere durch Server, Netzwerk- und Datenbanksoftware, kann sich als obsolet erweisen. Durch den Wegfall von Rechenzentren ersparen sich Unternehmen, die sich für Cloud-Computing entschieden haben, daher Raumkosten, Wartungsleistungen, Kosten für Hardware und Software sowie Nebenkosten für Strom, Kühlung etc. In kaufmännischer Hinsicht erweist sich zudem als attraktiv, dass Cloud-Anbieter in der Regel nur die tatsächlichen Zugriffe, d.h. die tatsächlich in Anspruch genommene Serverleistung, abrechnen. Damit können die Investitionskosten pro Anwendung sowie auch die Betriebskosten für Unternehmen erheblich gesenkt werden. Dies macht das Outsourcing „in die Cloud“ gerade für KMUs besonders interessant.

Jedoch gibt es im Leben selten Genuss ohne Risiko:

Cloud-Computing besteht aus einer Vielzahl von Komponenten, namentlich virtualisierten IT-Dienstleistungen wie ASP /SaaS oder Managed Services sowie die Auslagerung von IT-Prozessen und Komponenten, um betriebliche und projektbezogene Services abzudecken.

Der Anwender begibt sich dabei in eine für den Laien kaum übersehbare Vielzahl rechtlicher Problemkreise insbesondere des Finanz- und des Datenschutzrechts, die nur allzu leicht zum haftungsrechtlichen Fallstrick werden können. Das Hauptrisiko liegt insoweit in der meist intransparenten, technologisch nicht klar bestimmbaren Übermittlung von Daten über Grenzen hinweg und deren Aufbewahrung an einem oft nicht näher definierten Ort irgendwo auf einem Server oder einer Server-Farm außerhalb der Rechtsordnung des Nutzers.

Anders als in den klassischen Outsourcing-Verträgen, die in der Regel individuell ausgehandelt werden, wird der Cloud-Anbieter meist vorgefertigte Vertragsklauseln vorlegen. Damit befindet sich der Nutzer im Bereich des internationalen AGB-Rechts – mit den entsprechenden Unwägbarkeiten in Bezug auf das anwendbare Recht, Gerichtsstände, die Durchsetzung von Vertrags- und Regressansprüchen sowie, was die Transparenz anbelangt, oft genug in einem Bereich, in dem die im Grunde besonders sorgfältig zu erstellende Leistungsbeschreibung nur defizitär vorhanden und zudem oft genug dem optionierten Änderungswillen des Cloud-Anbieters unterfällt.

Da dies eine hohe Abhängigkeit auch betriebskritischer, besonders verwundbarer Geschäftsprozesse von der Zuverlässigkeit eines bestimmten externen Anbieters bedingt, ist es von besonderer Wichtigkeit, dass die technisch-organisatorischen Leistungsvorgaben, insbesondere in Bezug auf die Vertraulichkeit, Integrität, Verfügbarkeit, Migration und Löschung von bestimmten – näher zu klassifizierenden – Daten, geregelt und jederzeitige Audit- und sonstige Kontrollmaßnahmen hinreichend konkret definiert und in einer im Streitfall auch die Durchsetzbarkeit ohne den Willen des Anbieters ermöglichenden Weise abgesichert sind. Geboten sind ferner ein Maßnahmenkatalog im Desaster Recovery-, Business Continuity- und Eskalations-Management sowie – natürlich – die Vergütungskriterien, die hier von Zeit- über Volumen- bis zu Kombitarifen gehen.

Die erste Kontrollfrage des „Ausstiegswilligen” muss daher sein, ob ein definierter Ort der Bereitstellung von Speicherplatz und der Steuerung von Up- und Downloads gegenüber dem Cloud-Anbieter durchsetzbar ist, und ferner, ob die jederzeitige Verfügungsgewalt über die an diesem bestimmten Ort abgelegten Daten – einschließlich deren Löschung – gewährleistet ist.

Des Weiteren muss sich der Nutzer Gedanken über ein gesichertes Rechtemanagement, das anwendbare Vertragsrecht und die Möglichkeit der Durchsetzung etwaiger Vertragserfüllungs- oder, bei einem Scheitern der Geschäftsverbindung, Regressansprüche. Auf der Ebene der Vertragserfüllung – beispielsweise bei der Gewährung von Zutritts- und Auditrechten – müssen ggf. Mitwirkungen gegen den Willen des Anbieters durchgesetzt werden; hier empfehlen sich Vertragsstrafen und die Gestellung von Sicherheiten, was jedoch in der Vertragswirklichkeit oft nur schwer durchsetzbar sein wird.

Den Nutzer schützen in Bezug auf seine eigenen Compliance-Anforderungen vor allem detaillierte Leistungsspezifikationen, insbesondere in Bezug auf die Softwareanwendungen und Rechnerkapazitäten, die Rechteverwaltung für die unter der Verfügungsgewalt des Anwenderunternehmens stehenden Nutzer, Rechtegarantien des Anbieters, belastbare Aussagen zur Datenverfügbarkeit, zum Datenschutz und zur Datensicherheit, darunter insbesondere auch Garantien zu Ort, Zeit, Art der Datenübermittlung und Datenadministration, zu Zugriffsberechtigungen inklusive Fernwartungsbefugnissen etc.

All dies muss nicht pauschal alle Daten des Anwenders betreffen. Oft empfiehlt sich eine Klassifizierung nach besonders sensiblen, weniger sensiblen und allgemein zugänglichen Daten. Entsprechend sollten auch die Schutzniveaus und Vertragssanktionen adaptiert werden.

Ein wesentliches Element, das häufig nicht hinreichend klar geregelt wird, ist im Bereich der sensiblen Daten die Gewährleistung des alleinigen Zugriffsrechts des Nutzers und der entsprechenden Kontrollrechte in Bezug auf die IT-Infrastruktur, die eingesetzten Personen und – falls dem Anwender eingeräumt – die Subunternehmer und die von diesen eingesetzten Personen.

Ein ähnliches Manko findet sich sodann auch bei den Ausstiegsszenarien, bei denen zu regeln wäre, welche Leistungen der Anbieter bei Vertragsende erbringen muss, ob und inwieweit Zurückbehaltungsrechte bestehen, welche Migrationskosten ggf. anfallen und in welchen Formaten die Migration stattfindet.

Die zusätzliche Absicherung durch Vertragsstrafen ist, sofern durchsetzbar, dringend zu empfehlen, ebenso Garantien über die Bonität des Cloud-Anbieters und entsprechende Ausfallgarantien. Soweit möglich, sollten eine Rechtswahl zu Gunsten einer bekannten Rechtsordnung, dementsprechend auch eine Gerichtsstandsbestimmung sowie unmittelbar vollstreckbare Sicherheiten zu Gunsten des Anwenders vertraglich fixiert werden.

Den Anwender treffen weiterhin die schon aus der Outsourcing-Problematik bekannten Sorgfalts- und Überwachungspflichten. Die Delegierung von technisch-administrativen Leistungen an einen externen Anbieter führt nicht zu einer juristischen Verantwortlichkeitsverlagerung. Die gesetzliche Organisationshaftung, insbesondere im Bereich des Risiko- und Informationsmanagements und dessen Kontrolle durch interne Kontrollsysteme einschließlich deren Dokumentation verbleibt mithin bei der Unternehmensführung.

Konventionelle Audits analog § 9 BDSG, d.h. Auditrechte zur Prüfung der Zutritts-, Zugangs- und Zugriffskontrolle, laufen in der Cloud zumeist ins Leere. Daher ist eine Vertragsanpassung an die tatsächlichen virtuellen Verhältnisse erforderlich. Die Maßnahmen der IT-Compliance, die vertraglich auf den Cloud-Anbieter übertragen werden müssen, sind daher – nach Möglichkeit wie gesehen durch eine unmittelbare Vertragsstrafe abgesichert – insbesondere die Pflicht zur Geheimhaltung, die Implementierung verbindlicher Sicherheitskonzepte, die Einhaltung von IT-Notfallkonzepten, Pflichten im Reporting und Auditing, Regress und Schadloshaltung bei Schadensfällen und die Gestellung von Sicherheiten.

Unternehmen, insbesondere solche kleineren oder mittelständischen Zuschnitts, die aus betriebswirtschaftlichen Gründen die beschriebenen Risiken des „Kontrollverlusts“ in Abwägung zu den Vorteilen an Effizienz, Organisationsverschlankung und Kostenersparnis eingehen möchten, sei vor diesem Hintergrund angeraten, beim Outsourcing wichtiger Bereiche wie der Dokumenten- und Mailverwaltung auf eine sog. SaaS-Lösung (Software as a Service) zu setzen.

Für die Verwaltung von E-Mails etwa ist wichtig, dass die archivierten E-Mails schon in verschlüsselter Form auf dem System des Anbieters abgelegt werden, so dass nicht einmal dessen Mitarbeiter Zugang zu den Informationen erhalten. Die Informationen müssen bereits vor dem Transport verschlüsselt werden. Sollte also ein Angreifer die Datenpakete auf dem Weg zum Anbieter abfangen, so ist dieser Angriff ohne Folgen, da die Daten nicht verwertbar sind. Weiter sollte darauf geachtet werden, dass der Anbieter von Cloud-Archivierungslösungen sein Rechenzentrum in Deutschland unterhält, die E-Mails seiner Kunden auch tatsächlich dort archiviert und eben auch zugleich ein Netzwerk für den sicheren Zugriff, beispielsweise als Corporate Network-Verbindung, für den sicheren Zugriff anbietet. Zudem wird auf diese Weise eher gewährleistet sein, dass die gesetzlichen Vorgaben, die in Deutschland und der EU bezüglich der Aufbewahrung rechtlich relevanter Dokumente gelten, eingehalten werden. Eine professionelle Lösung bietet zudem einen auf Rollen / Funktionen basierenden Zugang zu den verwalteten E-Mails. Beispielsweise sollte auf E-Mails, die nur für die Geschäftsführung bestimmt waren, auch nur dieser Personenkreis zugreifen dürfen. Auch für IT-Administratoren lassen sich Regelungen implementieren, etwa ein Vier Augen-Prinzip, wonach der Zugang zu unternehmenskritischen Daten nur möglich ist, wenn ein weiterer hierzu autorisierter Mitarbeiter seine Zustimmung gibt (beispielsweise der IT-Sicherheitsbeauftragte oder ein Mitglied der Geschäftsleitung).

Im Bereich des Dokumentenmanagements verhält es sich ähnlich. Auch hier ist es erforderlich, die dafür notwendigen IT-Systeme vorzuhalten. Doch gerade kleinere Unternehmen stellt dies oft vor eine hohe Hürde: Zwar könnten sie von der Nutzung eines Dokumentenmanagementsystems (DMS) profitieren, der eigenverantwortliche Betrieb und die Wartung eines solchen Systems würden sie aber schlichtweg überfordern – Backups, Archivierung und redundante Datenhaltung sind hier nur einige der Stichworte, die die technische Komplexität eines DMS begründen. Eine Cloud-Lösung kann hier Entlastung schaffen, insbesondere im Zusammenspiel mit einem über ein Web-Interface erreichbares DMS, das aus der Cloud von überall und jederzeit erreichbar ist, auch und gerade wenn man mobil unterwegs ist. Zudem wird die Zusammenarbeit innerhalb des Unternehmens wesentlich erleichtert, insbesondere dadurch, dass auch kurzfristig Zugänge zu bestimmten Dokumenten oder Archiven für Externe freigegeben werden können. Dieser Zugewinn an Flexibilität eröffnet zahlreiche neue Möglichkeiten, Geld einzusparen.

Für den künftigen Cloud-Anwender stellt sich regelmäßig das Problem der technischen Migration. Hier ist es zunächst wichtig, sich für eine geeignete Benutzungsschnittstelle zu entscheiden. Das Webinterface, also die Nutzung über den Browser, ist hier nicht immer opportun, insbesondere bei komplexeren Anwendungen mit hoher Nutzerinteraktion oder hochauflösender Grafik. Wichtig ist ferner die nachvollziehbare Umsetzung von Sicherheitsmechanismen technologischer wie organisatorischer Art. Hierbei sind zwei Instanzen zu unterscheiden, nämlich

  • erstens der Bereich zwischen Anwender und Cloud-Anbieter sowie
  • zweitens der Bereich zwischen Cloud-Anbieter und den weiteren Services innerhalb der Cloud.

Für beide Bereiche muss die Datensicherheit durch geeignete Maßnahmen jederzeit gewährleistet sein. Für den Anwender ist dabei neben der ausreichenden Performance vor allem die Verschlüsselung jeglicher Datenübermittlung essentiell. Eine absolute Sicherheitsgarantie verschafft jedoch auch die Verschlüsselung nicht. Das berüchtigte „Phishing“ beispielsweise wird auch bei verschlüsselten Cloud-basierten SaaS-Diensten nicht ausgeschlossen. Solange keine beiderseitige Authentifizierung von Anwender und Anbieter erfolgt, müssen daher alle Mitarbeiter jederzeit der Gefahr gewahr sein, auf einen falschen und möglicherweise böswilligen Dienst umgelenkt zu werden. Eine Sicherheitslösung erfordert jedoch die Nutzung von sog. Public Key-Infrastrukturen (PKI) – mit den entsprechenden Nachteilen in der Bedienbarkeit auf Anwenderseite.

Eine weitere Herausforderung ist die Sicherung von Kommunikation und Datenhaltung innerhalb der Cloud. Je nach Anbieter variieren hier die Grade der Sicherheit. Sie reichen von bloßen Absichtserklärungen bis hin zu SLAs, die Vertragsstrafen im Falle der Nichteinhaltung der Sicherheitsstandards vorsehen. Technisch empfiehlt sich auch hier die Verschlüsselung von Daten in Speichersystemen innerhalb der Cloud. Ein Restrisiko bleibt allerdings fast immer, da die Daten zur Verarbeitung entschlüsselt werden – und man somit dem Administrator letztlich immer vertrauen muss.

Auch die Datenverfügbarkeit in der Cloud ist essentiell. Gegenüber dem Anbieter gilt es sicherzustellen, dass dieser einerseits Vorkehrungen gegen den Datenverlust getroffen hat, dass aber auf der anderen Seite man sich auch selbst in die Lage versetzen kann, gegebenenfalls schnell auf Backups dieser Daten zugreifen zu können.

Welche Sicherheitsmechanismen sinnvoll oder erforderlich sind, kann beispielsweise dem Zertifizierungsanforderungskatalog nach ISO 2701 „IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“ entnommen werden.

Fazit:

Die Hauptregungsbereiche sind, wie nun also zusammen zu fassen ist, der Datenschutz, die Daten- und IT-Sicherheit sowie der Geheimnisschutz einschließlich der Betriebs- bzw. Geschäftsgeheimnisse. Diese sensiblen Bereiche betreffen die personenbezogenen und steuerrelevanten Daten sowie die Forschungs- und Entwicklungsdaten, Kundenstammdaten etc. Für den Fall der personenbezogenen und steuerrelevanten Daten sind vom Gesetzgeber Bußgelder bis zu 250.000,- EUR für jeden Einzelfall der Zugriffsverhinderung oder der unzulässigen Datenverlagerung ins Ausland vorgesehen.

Cloud-Dienste können einerseits neue Wertschöpfungsketten und erhebliche Einsparungspotenziale erschließen. Jedoch sind transparente und detaillierte Anforderungen sowie die Prüfung, ob diese mit einer Cloud-Lösung technisch und rechtlich sicher umgesetzt werden können, unabdingbar.

von Dr. Jens Bücking
[Vgl. hierzu die sehr instruktive Einführung von Falkner, SaaS und Cloud – sichere Wege für den Wechsel, DOK. 2/2011, Seiten 9 ff.]