Rechtliche Grundlagen und Rechtsfolgen bei der Nutzung von IT-Services

Wie werde ich arm mit Cloud Computing ?

Nicht ganz einfach, aber machbar ! Zunächst schauen wir uns die für Unternehmen geltenden Anforderungen an:

IT-Compliance = Regelkonforme IT-Systeme
Die eingesetzte IT-Systeme müssen den für Einrichtung und Betrieb solcher Systeme geltenden Gesetzen, Richtlinien und anderen Verhaltensmaßregeln genügen bzw. die Einhaltung unterstützen.

Nun, klingt erstmal einfach, ist es auch. Nur: Es gibt eine ganze Reihe gesetzlicher Anforderungen, die ich im Folgenden kurz aufzeige.

Wichtiger Hinweis: Ich bin kein Jurist, lediglich Diplomierter Informatiker. Dies ist keine Rechtsberatung.

Aber: Informatiker können uns sollen sich eng mit Informatik-interessierten Juristen absprechen. Dafür gibt es Arbeitsgemeinschaften, wie z.B. der Arbeitskreis EDV und Recht e.V. in Köln . Meine persönlichen Empfehlungen für Fachanwälte im IT Recht, Berater und IHK Sachverständige können Sie gerne per Email erfragen. Es gibt zu meiner Überraschung wesentlich mehr Anwälte, die ein ausgezeichnetes Informatik Fachwissen haben als Informatiker mit guter juristischer Grundausbildung.

"Kann ich verstehen." sagt der Informatiker, "Jura alleine währe mir auch zu trocken" .    :-)

Für mich persönlich sind Anwälte oder interne Rechtsabteilungen so etwas wie die Feuerwehr. Machen Brandbekämpfung und auch Prävention. Ich bin nur ein Brandmelder, meine Aufgabe ist es beim aufkommen von Rauch Alarm zu geben. Bei Gesprächen mit Cloud Nutzern bekomme ich aber (um bei diesem Bild zu bleiben) den Eindruck, dass Cloud=Rauch ist.......

Wo droht also der Ärger ?

In erster Linie muss ich IT-Services sicher betreiben. Aber was ist sicher ? Ein erster Anhaltspunkt findet sich

IT-Security, Definition nach BSIG, § 2 (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik):

(2) Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen.

1. in informationstechnischen Systemen oder Komponenten oder

2. bei der Anwendung von informationstechnischen Systemen oder Komponenten.

Genauere Anforderungen zum Datenschutz bei der Verarbeitung personenbezogener Daten  finden wir unter:

§ 9 BDSG Anlage zu Satz 1 (Bundesdatenschutzgesetz)

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),

nehmen wir einfach mal an, das hat ihr Cloud Provider geregelt

2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

Beispiele wie dieses hier dämpfen ja allzu optimistische Vorstellungen....

3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

siehe 2.

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Weitere Rechtliche Rahmenbedingungen ergeben sich aus

HGB § 239 (Handeslgesetzbuch)

demnach "muß insbesondere sichergestellt sein, daß die Daten während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können."

und das gilt für alle Daten, die im direkten zusammenhang mit Geschäftstätigkeiten sind. Werden solche Geschäftsprozesse in die Cloud verlegt, oder in Teilen z.B. als SaaS abgewickelt sind SIE als Unternehmen in der Pflicht, diese gesetzlichen Anforderungen zu erfüllen.

HGB § 257 Emails

"mindestens 6 Jahre, sofern sie ein Handelsgeschäft betreffen"

Das gilt auch für Emails, keine Ausnahmen. Stellen Sie sicher, wenn sie Email als SaaS nutzen (GMX.de), dass die hier beschriebenen Emails auch für den Zeitraum der gesetzlichen Aufbewahrungsfrist wieder hergestellte werden können.

BDSG § 11 Auftragsdatenverarbeitung

(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei die Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. .... Der Auftraggeber hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

Hier eine Klarstellung für alle, die Cloud Computing für eine "technische" Herausforderung halten. Wie aber wollen wir diese Anforderungen für Iaas oder gar SaaS sicherstellen ?

Jedenfalls sind die Rechtsfolgen klar, also die angedrohten Strafen, falls die eine oder andere Vorschrift nicht beachtet wurde. Die Wahrscheinlichkeit, hier in Probleme zu laufen hat sich in den vergangenen Jahren nach meiner Ansicht erheblich erhöht. Zu einer Prüfung des Jahresabschusses gehören längst nicht mehr nur die Daten der Finanzbuchhaltung. Die Wirtschaftsprüfer haben ihr KnowHow erheblich ausgebaut und die Aussage "haben wir als Cloud Service fertig eingekauft" entbindet nicht von den gesetzlichen Anforderungen.

Hier ein kleiner Blick auf die Rechtsfolgen:

§ 823 BGB Schadensersatzpflicht

Ergibt sich gegenüber z.B. den Mitarbeitern oder Kunden, wenn Sie eine unerlaubte Handlung vorgenommen haben.

§ 7 BDSG Schadensersatz bei Handlung ohne gebotene Sorgfalt

Im Bereich Datenschutz, wenn Sie nicht mit der gebotenen Sorgfalt tätig waren. Also Fahrlässig. Aber was ist Fahrlässig in diesem Zusammenhang ?

Nunja, vereinfacht ausgedrückt: Wenn ihr Kollege ohne weiteres Nachdenken den Fehler in Ihrer Handlung erkannt hätte......

Im Innenverhältnis könne Geschäftsführer bzw. Vorstände von AGs persönlich haftbar gemacht werden. Allerdings nur von der Gesellschaft selbst, nicht von Kunden/Mitarbeitern.

§ 93 AktG Vorstandshaftung (innen)

§ 43 GmbHG Geschäftsführerhaftung (innen)

und wie hoch ist der Einsatz ?

§ 52 BDSG: 250 000 Euro bei Fahrlässigkeit




Posted on: Apr 27, 2009

Posted by: Ralf Zenses

Category: Sun

Tags:

Permanent link to this entry

Comments:

Post a Comment:
  • HTML Syntax: NOT allowed

This blog copyright 2009 by Ralf Zenses