Recht und Praxis Cloud Computing

Wer darf in die Cloud?

Uhr | Aktualisiert

Im Rahmen einer Veranstaltung der Universität Zürich diskutierten Juristen und Wirtschaftsakteure rechtliche Aspekte der Cloud-Nutzung. Dabei standen sowohl berufspezifische Einschränkungen als auch vertragliche Aspekte im Vordergrund.

Dem Rechtsanwalt Michel Jaccard zufolge entstehen bei Subcontracting zusätzliche Risiken für Unternehmen.
Dem Rechtsanwalt Michel Jaccard zufolge entstehen bei Subcontracting zusätzliche Risiken für Unternehmen.

Am vergangenen Donnerstag hat das Europa Institut der Universität Zürich eine Weiterbildung zum Thema Recht und Cloud Computing durchgeführt. Referenten und geladene Wirtschaftsakteure diskutierten die rechtlichen Aspekte rund um die Cloudnutzung und gingen der Frage nach einer Best Practice für Juristen und Banken nach.

Cloud ist in aller Munde

Auftakt der Veranstaltung bildete das Referat von Matthias Kaiserswerth, Director IBM Research Zürich. Kaiserwerth stellte gleich eingangs fest, dass Cloud Computing nicht nur "in aller Munde" sei, sondern auch enorme Vorteile für Unternehmen bieten würde. Die neue Technologie reduziere die Komplexität und verändere signifikant die Wirtschaftlichkeit der IT. Durch den veränderten Zugang zu den Daten, entstünden neue Geschäftsmodelle und -beziehungen, die die Abwicklung von Geschäften beschleunige und flexibilisiere.

Wie Kaiserswerth in seinem Referat darlegte, gehen mit Cloud Computing auch einige nennenswerte Schattenseiten einher. "Heute haben mehr als 400 Unternehmen Cloud Computing im Angebot, doch jeder macht’s ein wenig anders", so der Director von IBM Research. Dadurch könnten Unternehmen ihre Daten nicht ohne weiteres von der Cloud des einen Anbieters in die Cloud eines anderen migrieren. Auch liessen sich die verschiedenen Cloud-Angebote nicht ohne weiteres kombinieren. Kaiserswerth glaubt, dass Standards wie Openstack Abhilfe leisten wird, doch gegenwärtig hat sich noch kein Standard definitiv durchgesetzt.

Risiken birgt das Cloud Computing gemäss Kaiserswerth unter anderem im Bereich der Authentifizierung. "Anbieter müssen im Bereich der Sicherheit ein hohes Mass an Transparenz bieten," so Kaiserswerth. Auch müsse man bedenken, dass gewisse zentrale Applikationen in der Cloud nicht laufen könnten oder dürften.

Nicht alle Branchen können die Cloud uneingeschränkt nutzen

Der auf IT-Outsourcing spezialisierte Lausanner Rechtsanwalt Michel Jaccard beleuchtete in seinem Referat die rechtlichen Aspekte des Cloud Computings. Jaccard stelle einleitend fest, dass Cloud Computing im wesentlichen Outsourcing sei und das Schweizer Recht keinen grundsätzlich Verbot des Cloud Computings kenne. Einzelne Branchen müssten jedoch besondere Bestimmungen beachten. Die Bankenwelt kenne Beschränkungen bei der Nutzung des Cloud Computings aufgrund des Bankgeheimnisses. Bei juristischen Dienstleistungen und im Gesundheitswesen würde das Berufsgeheimnis die Nutzung der Cloud einschränken.

Wie Jaccard in seinem Referat ausführte, müsse bei Cloud-Computing-Vorhaben stets unterschieden werden, welche Art Daten in die Cloud ausgelagert werden sollen. Kritisch hinterfragt müsste die Auslagerung von persönlichen Daten wie Informationen über Mitarbeiter, Kunden oder Patienten, Buchhaltungsdaten und beweiserhebliche Daten bei juristischen Aktivitäten.

Gemäss Jaccard spielt aber auch die Niederlassung der Provider in rechtlicher Hinsicht eine zentrale Rolle. Heikel sei die Situation bei grenzüberschreitenden Datentransfers, da es dann zu einer kumulativen Anwendung von ausländischen Gesetzen kommen könne. Auch müsse man im Zusammenhang mit dem Standort des Providers bedenken, dass sowohl staatliche Akteure als auch Konkurrenten erleichterten Zugang zur ausgelagerten Information bekämen.

Ein besonderes Risiko liegt Jaccard zufolge schliesslich im Bereich des Subcontractings. Bei Verträgen, die das Hosting der Daten auch durch Subunternehmen erlauben, würden zusätzliche Risiken entstehen. Unternehmen würden dabei Gefahr laufen, die Kontrolle über ihre Daten zu verlieren, was das Risiko eines Datenverlusts erheblich erhöhen würde.