„Cloud-Computing treibt Datenschützern regelmäßig Schweißperlen auf die Stirn“ – Interview mit RA Dr. Lüghausen zu IT-Sicherheit und Cloud-Computing

Durch die zentrale Funktion der IT kollidieren IT-Themen auch oftmals mit dem Bereich „Recht“. Besonders das Thema IT-Sicherheit und der Umgang mit der Cloud hinterlassen oftmals auch „rechtliche“ Fragezeichen.

Dr. Philip Lüghausen, Experte für IT- und Datenschutzrecht, beleuchtet genau diese Themen in unserem Interview von der rechtlichen Seite und hat für Unternehmen und Entscheider einige wertvolle Tipps parat.

Herr Dr. Lüghausen, welche Sicherungsmaßnahmen für die IT sind aus rechtlicher Sicht notwendig / ratsam?

Dr. Philip Lüghausen: Datensicherheit ist in tatsächlicher Hinsicht ein integraler Bestandteil aller Unternehmen. In rechtlicher Hinsicht ist sie hingegen nur rudimentär reguliert:

Das Bundesdatenschutzgesetz (BDSG) schreibt lediglich vor, dass Unternehmen, die personenbezogene Daten verarbeiten, „die technischen und organisatorischen Maßnahmen zu treffen haben, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes zu gewährleisten.“

IT-Systeme wie Server sind einer Zutritts-, Zugangs- und Zugriffskontrolle zu unterziehen
IT-Systeme wie Server sind einer Zutritts-, Zugangs- und Zugriffskontrolle zu unterziehen

Diese schwammige gesetzliche Formulierung wird flankiert von einer Maßnahmenliste die einen Grundschutz in der Datensicherheit gewährleisten soll.

Unternehmen sind danach verpflichtet, Ihre IT-Systeme zunächst einer Zutritts-, Zugangs- und Zugriffskontrolle zu unterziehen. Es muss gewährleistet sein, dass nur autorisierte Zugriffe auf Daten möglich sind. Jedes Datenhandling durch Mitarbeiter und die entsprechende Weisungserteilung durch Vorgesetzte muss darüber hinaus in einer eigenständigen Metadatenbank protokolliert werden.

Nicht zuletzt sind Unternehmen im Rahmen der sogenannten Verfügbarkeitskontrolle verpflichtet, funktionstüchtige Datensicherungskonzepte zu fahren. Konkret bedeutet dies zum Beispiel, dass Unternehmen verpflichtet sind eine tägliche Sicherung der Unternehmensdaten und eine wöchentliche Vollsicherung durchzuführen. Geschieht dies nicht, kann das Unternehmen im Falle eines Datenverlustes grob fahrlässig gehandelt haben, was zu Schadensersatzansprüchen von Betroffenen oder Kunden führen kann.

Da das Gesetz jedoch keine technischen Vorschriften festlegt, existieren zahlreiche mit den Datenschutzbehörden abgestimmte Datensicherheitskonzepte und Auditierungs- und Zertifizierungsmöglichkeiten.

Das Thema Cloud ist auch bei Unternehmen in aller Munde – worauf sollten Unternehmen besonders beachten, wenn Sie sich mit der Cloud arbeiten wollen? Welche Fallstricke sollte man auf jeden Fall vermeiden?

Dr. Philip Lüghausen: Das Thema Cloud-Computing treibt Datenschützen regelmäßig Schweißperlen auf die Stirn.

Der Einsatz von Cloud-Lösungen ist rechtlich nicht ausgeschlossen, unterliegt aber strengen (und teilweise hoch umstrittenen) gesetzlichen Anforderungen.

Diese Anforderungen steigen, je „unsicherer“ aus europarechtlicher oder nationaler Sicht der Staat ist, in dem zumindest auch Cloud-Server eines etwaigen Dienstleisters betrieben werden.

Grundsätzlich gilt, dass ein Unternehmen, das den Einsatz von Cloud-Tools durch Dienstleister in Erwägung zieht, einen schriftlichen und umfassenden Vertrag mit dem Dienstleister schließen muss.

In diesem Vertrag werden diejenigen Rechte und Pflichten geregelt, die eine dem deutschen Datenschutzregime entsprechende Art der Datenverarbeitung und Datensicherheit gewährleisten. Außerdem sind in einem solchen Vertrag insbesondere die Verantwortlichkeiten für die Daten ausführlich geregelt.

Grundsätzlich gilt: Das Unternehmen bleibt für alle Aspekte des Datenschutzes und der Datensicherheit verantwortlich und kann seine Verantwortung nicht auf einen Cloud-Dienstleister abwälzen.

Was ist zu beachten, wenn der Cloud-Anbieter nicht in Deutschland sitzt?

Dr. Philip Lüghausen: Sitzt der Cloud-Dienstleister im außereuropäischen Ausland, insbesondere in den USA, geht der Gesetzgeber zudem davon aus, dass das Datenschutzniveau dort nicht den nationalen bzw. europäischen Standards entspricht.

Der Dienstleister muss in diesem Fall weitere Anforderungen erfüllen um einen entsprechenden Schutz zu gewährleisten.

Insbesondere seit den Enthüllungen, wie begehrt Unternehmens-Daten bei den US-amerikanischen Sicherheitsbehörden sind, leuchtet ein, dass ein allzu gedankenloser Umgang mit sensiblen Unternehmensdaten unterbleiben sollte.

Vor- und Nachteile des Einsatzes von Cloud-Lösungen sollten daher immer vorher intensiv geprüft werden. Dazu gehört standardmäßig auch die juristische Prüfung von Verträgen mit Dienstleistern.

Welche weiteren IT-Themen beschäftigen Sie aktuell besonders? Und woran liegt das?

Dr. Philip Lüghausen: Die „Awareness“ in deutschen Unternehmen und internationalen Konzernen für Belange des Datenschutzes und der Datensicherheit steigt stetig. Aufgrund des teilweise komplizierten Ausgleichs von unterschiedlichen Datenschutzniveaus im internationalen Kontext – und dem zugleich riesigen Potential von Cloud-Lösungen – beschäftigt Datenschutzrechtler das Thema Cloud-Computing schon seit einiger Zeit. Der Beratungsbedarf in den Unternehmen ist enorm.

Der Europäische Gesetzgeber arbeitet übrigens schon seit einiger Zeit an einer sogenannten Datenschutz-Grundverordnung mit deren Inkrafttreten jedenfalls mittelfristig zu rechnen ist. Diese Grundverordnung wird unmittelbar in allen Mitgliedsstaaten der EU gelten.

Es zeichnet sich schon jetzt ab, dass darin einige Neuerungen zu finden sein werden, die alle datenverarbeitenden Unternehmen zukünftig vor große Herausforderungen stellen können. Dies gilt nicht zuletzt, weil eine empfindliche Anhebung von Bußgeldern vorgesehen wird, die Unternehmen – anders als es jetzt regelmäßig der Fall ist – in existenzbedrohende Situationen bringen kann.

Außerdem wird aktuell eine Gesetzesvorlage zur IT-Sicherheit im Bundestag diskutiert. Strengere Vorschriften z.B. über die Meldung von Datenlecks, einen „IT-Sicherheits-TÜV“ sowie die hoheitliche Überprüfung von unternehmensinterner IT-Infrastruktur sollen künftig Unternehmen in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen treffen.

Der Gesetzentwurf ist umstritten, da er einerseits verfassungsrechtlichen Bedenken begegnet und von Vertretern der Wirtschaft als nicht zielführend und zu kostenintensiv kritisiert wird. Das Thema IT-Sicherheit wird Unternehmer und Juristen gleichermaßen vor diesem Hintergrund auch zukünftig beschäftigen.

 

Unser Interview-Partner:

dr-philip-lueghausenDr. Lüghausen ist Gründer und Partner von KINDERMANN LÜGHAUSEN Rechtsanwälte (www.klr-legal.de).


Seine Arbeitsschwerpunkte liegen u.a. im Bereich des IT-und Datenschutzrechts und dem Bereich des gewerblichen Rechtsschutzes und des Wirtschaftsrechts.

 

Kontaktdaten:
Dr. Philip Lüghausen
Rechtsanwalt
KINDERMANN LÜGHAUSEN Rechtsanwälte
Garather Schloßallee 19
40595 Düsseldorf

+49 (0)211/ 911 84 991
lueghausen@klr-legal.de