Cloud Computing als Form der Auftragsverarbeitung

Cloud Computing stellt zumeist – soweit die Cloud nicht vom nutzenden Unternehmen bzw. einer Behörde in Form einer Private Cloud selbst betrieben wird – eine Art der Auftragsverarbeitung (in Form eines Outsourcings) dar.

Cloud Computing gleicht zwar in vielem dem klassischen Outsourcing, aber es kommen noch einige Unterschiede hinzu, die zu berücksichtigen sind:1)

  • Aus wirtschaftlichen Gründen teilen sich in einer Cloud mehrere Nutzer eine gemeinsame Infrastruktur.
  • Cloud-Services sind dynamisch und dadurch innerhalb viel kürzerer Zeiträume nach oben und unten skalierbar. So können Cloud-basierte Angebote rascher an den tatsächlichen Bedarf des Kunden angepasst werden.
  • Die Steuerung der in Anspruch genommenen Cloud-Dienste erfolgt in der Regel mittels einer Webschnittstelle durch den Cloud-Nutzer selbst. So kann der Nutzer automatisiert die genutzten Dienste auf seine Bedürfnisse zuschneiden.
  • Durch die beim Cloud Computing genutzten Techniken ist es möglich, die IT-Leistung dynamisch über mehrere Standorte zu verteilen, die geographisch weit verstreut sein können (Inland ebenso wie Ausland).
  • Der Kunde kann die genutzten Dienste und seine Ressourcen einfach über Web-Oberflächen oder passende Schnittstellen administrieren, wobei wenig Interaktion mit dem Provider erforderlich ist.

Auch beim Cloud Computing ist natürlich der Auftraggeber für die Einhaltung des Datenschutzes und der Datensicherheit verantwortlich. Dies stellt sich aber häufig als schwierig dar, da im Vergleich zur „normalen“ Auftragsverarbeitung beim Cloud Computing die Überprüfung der Zuverlässigkeit des Anbieters noch wichtiger ist. Da etwaig vorhandene Sicherheitskonzepte auf Grund der Virtualität weitgehend abstrakt gehalten sind, muss der Kunde darauf vertrauen, dass alle Detailprobleme sicher und korrekt gelöst werden. Ein reines „Vertrauen müssen“ ist aus Sicht der IT-Sicherheit jedoch immer eine schlechte Lösung. Auch die Überprüfung der Umsetzung des Sicherheitskonzeptes vor Ort ist häufig schwierig, wenn nicht gar unmöglich.

Sollte es sich beim Cloud Computing um eine Auftragsverarbeitung handeln, sind gemäß den Datenschutzgesetzen Auftragsverarbeiter unter besonderer Berücksichtigung der Eignung der von ihnen getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Dazu sollte sich ein Auftraggeber zuvor intensiv mit den ihm angebotenen Services und den möglichen Schutzmaßnahmen der in Frage kommenden Auftragsverarbeiter beschäftigen.

Der Auftrag ist schriftlich zu erteilen, wobei Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse konkret festzulegen sind. Der Auftraggeber hat sich soweit erforderlich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragsverarbeiter zu überzeugen.

Bei den meisten am Markt befindlichen Anbietern für Cloud-Dienste ist es für den Auftraggeber schwierig, diese gesetzlichen Anforderungen zu erfüllen. Die hohe Flexibilität und Skalierbarkeit, die ein Ziel von Cloud Computing sind, bedingen, dass häufig nicht genau festgelegt ist, wo und wie genau die Daten verarbeitet werden. Beispielsweise können Daten im Arbeitsspeicher, auf Festplatten oder im Extremfall auch auf Bändern gespeichert werden. Der Kunde kann also oft den Speicherort oder die Speicherart bestimmen, sondern nur, dass er eine gewisse Speicherkapazität mit bestimmten Eigenschaften benötigt.

Viele Cloud-Anbieter legen ihr internes Betriebsmodell aus Wettbewerbsgründen nicht offen. Um die Skalierbarkeit auch in Zukunft gewährleisten zu können, gibt es oftmals keine Aussagen, wo sich die Rechenzentren befinden bzw. wo die Daten der Kunden (im Moment) verarbeitet und gespeichert werden. Sich „von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragsverarbeiter zu überzeugen“, etwa mit einem eigenen Audit vor Ort, ist damit in der Regel schwierig, wenn nicht gar unmöglich.

Im Grundsatz ist deshalb sowohl Unternehmen wie auch Behörden zu empfehlen, bei der Inanspruchnahme von Cloud-Diensten äußerste Vorsicht walten zu lassen. Befindet sich das Rechenzentrum des Auftragsverarbeiters im außereuropäischen Ausland sollte von einem Cloud Computing Abstand genommen werden.

Fundstelle:

1) Veröffentlichung „Cloud Computing Grundlagen“ des BSI – abrufbar im Internet unter https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Grundlagen/grundlagen.html