Kanzlei Mitarbeiter Kontakt Impressum Datenschutz

Vertraulichkeit und Geheimhaltung bei SaaS und Cloud Computing

18.02.2011 | Cloud Computing und SaaS | von Carsten Gerlach

Im Zusammenhang mit dem Datenschutz stellt sich bei Software-as-a-Service (SaaS) und Cloud Computing das Problem der Vertraulichkeit und Geheimhaltung von Kundendaten. Der Kunde gibt seine Daten in die Cloud und damit aus seinem Kontroll- und Einflußbereich. Rechtlich muß sichergestellt werden, daß vertrauliche Daten vom SaaS- /Cloud-Computing-Provider auch tatsächlich vertraulich behandelt werden.

Datenschutzrecht und Vertraulichkeit


Die datenschutzrechtlichen Pflichten des Cloud-Computing-/SaaS-Anbieters nach § 9 BDSG regeln technische und organisatorische Mindestanforderungen an Datensicherheit. Allerdings gelten diese Pflichten nur für personenbezogene Daten. Betriebs- und Geschäftsgeheimnisse müssen keinen Personenbezug aufweisen.

Im Vertrag sollte daher geregelt werden, daß die datenschutzrechtlichen Anforderungen auf alle Kundendaten (nicht nur auf personenbezogene Daten) Anwendung finden. Praktisch und technisch wird der SaaS-/Cloud-Computing-Provider die Kundendaten vermutlich ohnehin einheitlich behandeln - rechtlich stärkt eine solche Regelung aber die Rechte und Position des Kunden.

Geheimhaltungsvereinbarung (NDA - non disclosure agreement)


Alle Vereinbarungen mit Cloud-Computing-/SaaS-Providern sollten zudem besondere Vertraulichkeits- bzw. Geheimhaltungsklauseln enthalten. Derartige Klauseln ergänzen die datenschutzrechtlichen Pflichten und regeln im Wesentlichen zwei Aspekte:
  • Der Cloud-Computing/SaaS-Provider muß alle Informationen und Daten des Kunden vertraulich behandeln, geheim halten und Dritten allenfalls insoweit zugänglich machen, soweit es zur Vertragsdurchführung zwingend erforderlich ist ("need-to-know"-Basis).
  • Der SaaS- bzw. Cloud-Computing-Provider darf die Kundendaten nur insoweit nutzen, als es für die Bereitstellung des Cloud-Computing-Dienstes bzw. der Software as a Service zwingend erforderlich ist (Nutzungsverbot).

Praktische Probleme von Geheimhaltungskauseln


Die praktische Durchsetzung von Geheimhaltungsklauseln ist jedoch schwierig:

  • Es ist schwierig, Verstöße nachzuweisen. Es gibt kaum einen Weg zu beweisen, dass z.B. ein Angestellter des Cloud-Computing / SaaS - Providers unberechtigt Zugriff auf die Kundendaten hatte.

    Es empfiehlt sich daher, den SaaS / Cloud-Computing - Provider zu Vorlage und Einhaltung von Sicherheitsrichtlinien zu verpflichten und sich als Kunde entsprechende Prüfungs- und Kontrollrechte vorzubehalten. Aber auch dann können Verstöße von Mitarbeitern des SaaS / Cloud-Computing - Providers (z.B. Administratoren) nur selten nachgewiesen oder überhaupt erst entdeckt werden.

  • Selbst wenn ein Verstoß gegen die Vertraulichkeit nachgewiesen werden kann, ist es schwierig einen Schaden nachzuweisen, der durch den Verstoß verursacht wurde - etwa einen aus der Verletzung der Geheimhaltungspflicht resultierenden bezifferbaren Vermögensschaden.

    Die Geheimhaltungs- und Vertraulichkeitsklauseln sollten daher mit Vertragsstrafen belegt sein - dann müssen konkrete Schäden aus der Verletzung der Geheimhaltungspflicht nicht nachgewiesen werden.

Technische und praktische Erwägungen


Rechtliche Regelungen nützen wenig, wenn sie praktisch nicht oder nur ungenügend durchgesetzt werden können. Kunden sollten daher sorgfältig prüfen, ob besonders sensible oder geheime Daten in der Cloud oder in einem SaaS-System gespeichert und verarbeitet werden sollen.

Wenn sensible Daten in einer Cloud gespeichert oder verarbeitet werden müssen, sollte nach Möglichkeit eine sichere, durchgehende Verschlüsselung verwendet werden, so daß der SaaS-/Cloud-Computing-Provider lediglich verschlüsselte Daten erhält bzw. abrufen kann.


Weitere Informationen zum Thema Datenschutz und Cloud Compting bzw. Software as a Service (SaaS) finden Sie hier.

Haben Sie Fragen oder benötigen Sie Beratung zum  Cloud Computing bzw. Software as a Service (SaaS)? Nehmen Sie mit uns Kontakt auf - über das untenstehende Kontaktformular oder telefonisch mit Rechtsanwalt Carsten Gerlach über (030) 2005420.

29.03.2024

Ausgezeichnet


JUVE-Handbuch 2016/2017 empfiehlt erneut TCI Rechtsanwälte

mehr

 

Datenschutzgrundverordnung (DSGVO)

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Wir beraten Sie zu den neuen Anforderungen, den drohenden Risiken und zur der Umsetzung erforderlicher Maßnahmen zur Gewährleistung der Datenschutz- Compliance.

mehr

 

IT-Beschaffung und Ausschreibung

Sie finden bei uns Informationen zur Ausschreibung und Beschaffung von Software durch die öffentliche Hand - z.B. Beschaffung von Gebrauchtsoftware, Open-Source-Software oder über Rahmenverträge.

mehr

 

Aktuelle Veröffentlichungen

Carsten Gerlach, Sicherheitsanforderungen für Telemediendienste - der neue § 13 Abs. 7 TMG, in: CR 2015, 581


Carsten Gerlach, Personenbezug von IP-Adressen, in: CR 2013, S. 478


Carsten Gerlach, Vergaberechts- probleme bei der Verwendung von Open-Source-Fremdkomponenten, in: CR 2012, S. 691


Michael Karger,
BGH: "Handlungsanweisung" für Hostprovider bei möglicherweise persönlichkeitsrechtsverletzendem Blogbeitrag, in: GRUR-Prax 2012, S. 35

 

IT-Recht im beck-blog

blog zum IT-Recht von Dr. Michael Karger im Experten-blog des Verlags C.H. Beck