BSI C5 testiert • DSGVO & GoBD konform
30 Tage unverbindlich testen
Im vierten und letzen Teil unserer Reihe „Business-Datenaustausch mit Cloud-Diensten in Deutschland“ widmen wir uns den Merkmalen seriöser Cloud-Anbieter. Lesen Sie die Empfehlungen von Thomas Wittmann, seit fast 15 Jahren juristischer Berater von Unternehmen aus der IT.
Gibt es Tipps, wonach Unternehmen einen Cloud-Anbieter auswählen sollten?
Thomas Wittmann (TW): Wie schon in Teil 1 „Kriterien für sichere Cloud-Dienste: Transparenz, Audits und Serverstandort“ erwähnt, ist es praxisrelevant, dass ein Unternehmen eine Prozedur entwickelt, die greift, falls ein Cloud-Service einmal ausfallen sollte.
Dies klingt jetzt nicht sehr juristisch, aber: Das sog. „Bauchgefühl“ ist immer hilfreich. Das Internet ist sehr anonym – viele mögen es gerade deshalb. Man sollte dennoch den Cloud-Anbieter vor Vertragsabschluss einfach mal anrufen. Schnell wird man merken: Existiert der Anbieter nur als Internetseite oder ist er physisch greifbar? Werden meine Fragen verständlich beantwortet? Gibt es Support im Umgang mit dem Dienst? Wie professionell ein Unternehmen mit Sicherheitsthemen umgeht, zeigt sich schon am Telefon: Seriöse Unternehmen beantworten Anfragen mit Lösungen.
Aus juristischer Sicht sollte ein Unternehmen unbedingt eine schriftliche Vereinbarung zur Auftragsdatenverarbeitung abschließen. In diesem Zusammenhang muss das Unternehmen die Zuverlässigkeit des Anbieters unter die Lupe nehmen. Bei einer Amazon-Cloud kann Amazon voraussichtlich nicht einmal mitteilen, in welchem Rechenzentrum genau sich die Kundendaten befinden. Ein Unternehmen sollte einen Cloud-Anbieter auswählen, der seine Anwendung in einem zertifizierten Rechenzentrum im Land des Nutzers betreibt. Nur dann ist auch sicher, dass der Rechenzentrumsbetreiber den gleichen Datenschutzgesetzen unterliegt. In Deutschland sind bereits viele Rechenzentren ausreichend zertifiziert und werden von Dritten auditiert.
Meiner Meinung nach ist es praxisfern, dass sich ein kleines- oder mittleres Unternehmen bei einem Rechenzentrum anmeldet, um sich von den Sicherheitsvorkehrungen gemäß § 11 BDSG vor Ort zu überzeugen etc. – zu dieser Einschätzung ist ein Unternehmen aufgrund fehlenden Know-hows meist nicht in der Lage. Auch Rechenzentren müssen hier verhalten agieren, um sich nicht durch Offenlegung von Details angreifbar zu machen. Ein Unternehmer sollte den Anbieter explizit nach seinen Zertifikaten befragen – insbesondere danach, ob das Rechenzentrum in Bezug auf seine Abläufe von seriösen Dritten auditiert wird. Ist dies der Fall, kann sich der Kunde z.B. durch Anforderung des Audit-Berichtes gesetzeskonform von der Zuverlässigkeit des Anbieters überzeugen.
Ein Unternehmen sollte immer daran denken, wie und in welcher Form es seine Daten vor bzw. bei Vertragsbeendigung von einem Cloud-Anbieter zurück erhält.
Schließlich muss jeder Unternehmer selbst an seine gesetzlichen Aufbewahrungspflichten denken. Soweit der Anbieter nicht auch die Erfüllung der gesetzlichen Aufbewahrungspflichten anbietet, hat der Nutzer selber dafür Vorsorge zu tragen. Für den Anwalt gilt hier zum Beispiel u.a. die Spezialregelung des § 50 BRAO für Mandanteninformationen.
Welche Erfahrungen haben Sie selbst mit Cloud-Diensten gemacht?
TW: Bisher nur gute! Ich selbst habe schon z.B. im Rahmen einer größeren M&A-Transaktion mit CenterDevice gearbeitet. Die CenterDevice GmbH habe ich bereits bei der Gründung beraten und so lag es nahe, die Software einmal auszuprobieren.
Alle Beteiligten der erwähnten M&A Transaktion waren überzeugt, dass die CenterDevice- Funktionalität den gesamten M&A-Prozess – insbesondere die Due Diligence-Phase und Vertragsausverhandlung – stark beschleunigt hat und somit einiges an Beraterkosten ersparte. Durch die Effizienz konnten Beraterkosten erheblich reduziert werden, wodurch man Folgemandate gewinnen kann, zumal der Großteil der Konkurrenz aus Gewohnheit noch nach „alter Methode“ arbeitet.
Teil 1 „Kriterien für sichere Cloud-Dienste: Transparenz, Audits und Serverstandort“
Teil 2 „Kriterien für sichere Cloud-Dienste: Auftragsdatenverarbeitung“
Teil 3 „Einwilligungen nach BDSG und TMG (Bundesdatenschutzgesetz und Telemediengesetz) – Exkurs“
Thomas Wittmann ist in Köln zugelassener Rechtsanwalt und arbeitet als Justiziar in einem renommierten Beteiligungsunternehmen in Bonn. Er berät juristisch seit fast 15 Jahren insbesondere Unternehmen aus der IT.
Lesen Sie den ausführlichen Erfahrungsbericht:
Data-Room für M&A-Transaktionen
