Cloud-Computing ermöglicht es einem Unternehmen, ohne eigenes Rechenzentrum schnell und flexibel Rechenkapazität bereitzustellen und zu nutzen. Für viele Unternehmen ergibt sich dadurch ein Kostenvorteil im Vergleich zum Betrieb eines eigenen Rechenzentrums. Zudem sind viele heutige Geschäftsmodelle ohne Cloud-Computing gar nicht denkbar: Die meisten schnell wachsenden Unternehmen hätten Mühe, ohne Cloud-Computing ihre Rechenkapazität genügend schnell auszubauen. Viele Inhalte müssen weltweit zur Verfügung gestellt werden, weshalb sich ein Cloud-Netzwerk mit verschiedenen Standorten anbietet. Aus rechtlicher Sicht stellt sich beim Cloud-Computing eine Vielzahl an Fragen. Nachfolgend sollen drei wichtige Fragen kurz beleuchtet werden:
1. Cloud und Datenschutz
In der Regel werden in der Cloud nebst anderen Daten auch Personendaten verarbeitet. Daher müssen die Bestimmungen der anwendbaren Datenschutzgesetze beachtet werden.
Beim Cloud-Computing liegt ein Fall der Auftragsdatenbearbeitung vor: Der Cloud-Anbieter verarbeitet die übermittelten Daten im Auftrag des Kunden. Gemäss der europäischen Datenschutz-Grundverordnung sowie dem revidierten Schweizer Datenschutzgesetz muss die Auftragsdatenverarbeitung vertraglich geregelt werden. Es muss ein Weisungs- und Kontrollrecht des Auftraggebers sowie ein Grundstandard der Datensicherheit vereinbart werden. Grössere Cloud-Anbieter verfügen in der Regel über vorgefertigte Vertragsmuster für die Auftragsdatenverarbeitung.
Zudem müssen die Regeln zur Datenübertragung ins Ausland beachtet werden. Grundsätzlich dürfen Personendaten nur in Länder übertragen werden, die ein angemessenes Datenschutzniveau bieten. Insbesondere bei den USA ist dies nicht gewährleistet. Solche Übertragungen müssen anderweitig abgesichert werden, ansonsten sind sie zu unterlassen. Bei grösseren Cloud-Anbietern können die Serverstandorte meist regional eingegrenzt werden. Es ist empfehlenswert, diese Region auf Europa zu beschränken und vorzusehen, dass keine Personendaten diese Region verlassen.
2. Konkurs des Anbieters
Gerät der Cloud-Anbieter in Konkurs, so stellt sich das Problem, dass der Cloud-Nutzer unter Umständen nicht mehr an seine Daten gelangen kann. Nach der heute geltenden Rechtslage in der Schweiz besteht im Konkurs eines Unternehmens kein Aussonderungsrecht für Daten einer Drittperson. Das Schweizer Recht kennt auch kein Eigentumsrecht an Daten. Daten fallen nicht unter den Begriff der Sache im Zivilgesetzbuch, da ihnen die notwendige Körperlichkeit fehlt.
Der Sachverhalt kann in der Regel nicht nur mit Blick auf das Schweizer Recht geklärt werden, da die meisten grossen Cloud-Anbieter ihren Sitz im Ausland haben. Dennoch gilt auch bei Daten auf einer Cloud dasselbe wie bei jedem PC: Regelmässige Backups schützen sowohl vor technischem wie auch vor faktischem Datenverlust.
3. Zugriff von Behörden
Mit der Auslagerung von Speicherplatz in die Cloud steigt das Risiko, dass Dritte auf die gespeicherten Daten zugreifen. Besteht eine entsprechende Rechtsgrundlage, so kann eine Behörde vom Cloud-Anbieter die Herausgabe von Daten verlangen. Als Beispiel für eine solche Rechtsgrundlage ist der CLOUD Act zu nennen. Der CLOUD Act ist ein US-amerikanisches Gesetz, welches US-Unternehmen verpflichtet, den US-Behörden unter gewissen Umständen Zugriff auf gespeicherte Daten zu gewähren. Dies gilt selbst dann, wenn sich die Daten nicht in den USA befinden.
Je nach Sensitivität der Daten muss eine Abwägung getroffen werden, ob die Auslagerung auf einen Cloud-Dienst gerechtfertigt werden kann. Grosse Cloud-Anbieter raten ihren Kunden zudem, die gespeicherten Daten zu verschlüsseln. Im Idealfall werden alle Daten vor der Übermittlung auf den Cloud-Server verschlüsselt, so dass weder der Cloud-Anbieter noch ein allfälliger Dritter die Daten im Klartext lesen kann.
Falls Sie zu den obengenannten Punkten Fragen haben, helfen wir Ihnen gerne weiter. Sie erreichen uns über das Kontaktformular oder telefonisch unter +41 44 225 70 70.
