Inzwischen bieten rund 40 bis 50 Unternehmen weltweit Online-Backup-, und parallel dazu auch Online-Datensynchronisations- und Sharing-Lösungen an. Die Vorteile: die Datensicherung bleibt auch nach einem Festplatten-Crash oder einem Diebstahl erhalten, individuell festgelegte Ordner und Daten können mit Kollegen oder Kunden geteilt werden – und alle Daten für verschiedene Endgeräte wie Notebook, Smartphone und Tablet-PC automatisch synchronisiert werden. Wie schnell werden aber so die internsten Firmengeheimnisse ins Ausland übertragen. Über die rechtlichen Aspekte habe ich mit dem IT-Fachanwalt Dr. Hans M. Wulf gesprochen.
Dr. Wulf: Gesetzlich ist insbesondere der Datenschutz zu beachten. Die Speicherung personenbezogener Daten, wie Name, Adresse, E-Mail, Telefonnummer, ist auf Servern außerhalb der EU nur in sehr engen Grenzen erlaubt. Deshalb sollte ein Anbieter gewählt werden, der seine Server ausschließlich innerhalb der EU betreibt. Zudem ist §11 BDSG zu beachten, wonach sich der Anbieter einer Auftragsdatenverarbeitung vertraglich umfangreichen Kontrollpflichten zu unterwerfen hat. Die AGB von US-Anbietern genügen diesen Anforderungen in der Regel nicht.
Reicht eine Verschlüsselung per https (SSL) und einer nachträglichen Verschlüsselung auf den Rechnern der Anbieter – rechtlich – aus?
Dr. Wulf: Grundsätzlich ja. Die Datenbank beim Anbieter selbst muss vollständig verschlüsselt und der Zugang zu den Daten nur mit einem besonderen Schlüssel zugänglich sein – also nicht für den Anbieter. Der Schlüssel darf zudem nicht außerhalb der EU aufbewahrt werden, da in diesem Fall wiederum der Datenschutz umgangen werden kann.
Haftet der Unternehmer, der diese Dienste nutzt, wenn ein Anbieter nicht verschlüsselt und die Daten an Dritte gelangen?
Dr. Wulf: Verantwortlich ist nach dem Datenschutz immer das Unternehmen, welches die Daten für sich selbst erhebt, verarbeitet oder nutzt bzw. dies durch einen Dienstleister vornehmen lässt. Insoweit kann man die Verantwortung nicht auf den Dienstleister schieben; die volle Haftung bleibt beim Unternehmen.
Was kann man als Unternehmer rechtlich machen, wenn diese Cloud-Lösung mit einem lokalen Client – wie von Wuala/Lacie, Dropbox, Shugarsync oder von Microsoft – einem die Daten bei einer Synchronisierung „zerschießt“, auch wenn die Haftung per AGB ausgeschlossen wurde?
Dr. Wulf: Das hängt von den Vertragsinhalten ab. Grundsätzlich gilt jedoch: Der Kunde muss im Rahmen der Geltendmachung von Schadensersatzansprüchen nachweisen, dass der Fehler beim Anbieter liegt und nicht auf dem eigenen System, dem Netzbetreiber oder einem anderen – bei der Übermittlung eingebundenen – Serverbetreiber. Zwar gibt es prozessuale Möglichkeiten, eine Beweiserleichterung zu erwirken. Der zivilrechtliche Weg ist jedoch beschwerlich. Besser ist eine stetige Datensicherung auf dem eigenen Server.
Kontakt: Dr. Hans M. Wulf www.kanzleidrwulf.de