Neue Technik trifft auf alte Gesetze

Unternehmen verarbeiten Informationen mit Hilfe komplexer IT-Systeme. Dabei müssen sie Anforderungen des Datenschutzes, der Datensicherheit, der ordnungsgemäßen Geschäftsführung sowie die eigene Compliance beachten. Mit Cloud Computing trifft eine neue Technik auf alte Gesetze. Das kann zu Problemen führen, da einige Vorschriften diesen technischen Wandel nicht adäquat abbilden. Die Folgen sind Rechtsunsicherheit und Compliance-Verstöße. Cloud Computing stellt die Unternehmen bei den internen oder externen Anforderungen oft vor große Hürden. Diese lassen sich jedoch in der Regel meistern. Helfen können dabei Zertifikate und Standards.

Datenschutz und Cloud Computing

Beim Einsatz von Cloud Computing im Unternehmen kann es sein, dass so genannte personenbezogene Daten (beispielsweise Name, Geburtsdaten, Anschriften) an den Cloud-Provider weitergegeben werden. In diesem Fall unterliegen die Unternehmen insbesondere den Vorschriften des Bundesdatenschutzgesetzes (BDSG). Daneben sind aber auch die Regelungen des Telemediengesetzes, der einzelnen Landesdatenschutzgesetze, des Strafgesetzbuches oder des Sozialgesetzbuches zu berücksichtigen.

Das BDSG gestattet eine solche Weitergabe an Dritte nur, wenn der Betroffene eingewilligt hat oder dies durch Gesetz erlaubt ist. Zulässig ist eine Weitergabe immer im Fall der so genannten Auftragsdatenverarbeitung. Dabei ist der Cloud Provider der "verlängerte Arm" des Unternehmens. Der Vorteil ist, dass keine individuelle Interessenabwägung stattfinden muss und die Probleme der Einwilligung, zum Beispiel im Arbeitsverhältnis, umgangen werden können.

Tipps zur datenschutzrechtlichen Vorsorge
Wie sicher sind meine (personenbezogenen) Daten in der Cloud überhaupt? Wann beziehungsweise wo muss ich damit rechnen, dass ausländische Behörden auf meine Daten zugreifen? Fünf Tipps für mehr Sicherheit beim Cloud Computing.

Tipp 1:
Nutzen Sie nur europäische Clouds, um Konflikte mit dem hiesigen Datenschutz zu vermeiden

Tipp 2:
Bei internationalen Cloud-Modellen mit Bezug zu unsicheren Drittstaaten müssen ausreichende Garantien des Cloud-Dienstleisters eingefordert werden.

Tipp 3:
Machen Sie gegebenenfalls von dem Ihnen möglicherweise zustehenden Sonderkündigungsrecht Gebrauch. Als erste Orientierungshilfe gibt es dazu es ein Positionspapier des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, ULD, vom 15. November 2011

Tipp 4:
Prüfen Sie bevor sie sich für einen Cloud-Dienstleisters entscheiden dessen Beteiligungsverhältnisse in möglicherweise unsichere Drittstaaten.

Tipp 5:
Gestalten Sie Ihre Verträge mit den Cloud-Anbietern auch in datenschutzrechtlicher Hinsicht rechtssicher, indem Sie (neben den Mindestanforderungen aus Paragraf 11 BDSG) auch den Speicher- und Verarbeitungsort Ihrer Daten genau festlegen und Übermittlungsverbote Ihrer Daten in unsichere Drittstaaten vereinbaren und mit Vertragsstrafen verbinden.

Dabei bleibt das Unternehmen - und nicht der Cloud Provider- für die Einhaltung des Datenschutzes verantwortlich. Es muss rechtzeitig und umfassend für die rechtskonforme Ausgestaltung der Verträge mit dem Cloud Provider sorgen, wobei unter anderem Kontroll- und Weisungsbefugnisse, die Maßnahmen zur Datensicherheit und die Löschung der Daten vereinbart werden sollten. In der Praxis zeigt sich jedoch, dass diese Anforderungen, insbesondere in der Diskussion mit Cloud-Providern aus dem nicht-europäischen Ausland, nicht immer ohne weiteres umzusetzen sind. In diesem Fall muss gegebenenfalls auf eine gesetzliche Erlaubnis oder die Einwilligung des Betroffenen zurückgegriffen werden.

Ein besonderer rechtlicher Aspekt besteht darin, dass die großen Cloud Provider ihre Dienstleistungen über ihre weltweite Infrastruktur bereitstellen, so dass es zu länderübergreifenden Datenübermittlungen kommt. Das Unternehmen kann dann in der Regel nicht nachvollziehen, wo der Server steht, auf dem die personenbezogenen Daten liegen. Dabei stehen die Unternehmen vor der Herausforderung, für Transparenz der Datenverarbeitung sorgen zu müssen. Gleichzeitig muss ein angemessenes Datenschutzniveau sichergestellt werden.

Vor allem beim Datenaustausch mit den Nicht-EU-Staaten ist auf die Herstellung eines angemessenen Datenschutzniveaus zu achten, welches mit dem in der EU üblichen vergleichbar sein muss. Hierfür kann zum Beispiel bei Übermittlungen in die USA auf die "Safe Harbor" Vereinbarung zwischen den USA und der EU oder die EU-Standardvertragsklauseln zurückgegriffen werden. Problematisch ist in der Praxis allerdings, dass die Aufsichtsbehörden die Angemessenheit aufgrund des "US-Patriot-Act" in Frage gestellt haben.

Diese Vorschrift erlaubt US-amerikanischen Behörden den Zugriff auf (Kunden-)Datenbestände in international agierenden US-amerikanischen Konzernen. Für Cloud Provider, die ausschließlich in der EU oder dem Europäischen Wirtschaftsraum tätig werden, ergeben sich gegenüber dem nationalen Datenschutzrecht insoweit keine Besonderheiten, da in diesen Ländern infolge der EU-Datenschutzrichtlinie 95/46/EG ein harmonisiertes Datenschutzniveau gilt.

Zur Bewertung der Datenschutzkonformität könnten sich Unternehmen bei der Providerauswahl zum Beispiel am "EuroPriSe"-Siegel des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) orientieren. Das Siegel bestätigt die Übereinstimmung mit geltendem europäischem Datenschutzrecht. In der Praxis ist dieses Zertifikat jedoch noch zu wenig verbreitet.

Datensicherheit in der Cloud – welche Standards helfen?

Unabhängig von den Vorschriften zu angemessenen technischen und organisatorischen Maßnahmen zum Datenschutz muss der Vorstand oder die Geschäftsführung einer Aktiengesellschaft oder einer GmbH ein Informations Sicherheits Management System (ISMS) einrichten, das Vorgaben zur Einhaltung der Informationssicherheit im Unternehmen enthält. Das Unternehmen haftet schließlich gegenüber Dritten auch für Schäden, die durch die ausgelagerte IT verursacht wurden.

Geschäftsführer und Vorstandsmitglieder können hier unter gewissen Voraussetzungen persönlich haften; bei Sorgfaltspflichtverletzungen unter Umständen auch gegenüber dem eigenen Unternehmen. Als zentrale Ziele der Datensicherheit gelten Vertraulichkeit, Integrität und Verfügbarkeit. Durch Cloud Computing hat sich an den Zielen nichts geändert, doch mit Zugriffsmöglichkeiten über das Internet oder dem Einsatz dynamischer Technologien wie Multi Tenancy und Virtualisierung, sind die Daten einem höheren Gefährdungspotenzial ausgesetzt.

Was taugen Cloud-Zertifikate?
Bestehende Sicherheitsstandards wie SAS70 und ISO 27001 können dem Cloud Computing nicht uneingeschränkt gerecht werden, weil sie sich nicht den besonderen Risiken widmen, die sich durch die Cloud-Architektur ergeben. Um Transparenz zu schaffen und Bedenken potenzieller Kunden zu zerstreuen, streben die Cloud-Anbieter vermehrt eine Auditierung durch externe Wirtschaftsprüfungsunternehmen an. Hans Paulini, Architekt und Experte für das Thema Cloud bei Logica in Deutschland hat für uns einige Zertifkate unter die Lupe genommen. Anbei ein Überblick: <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a>

Das EuroCloud-Zertifikat
EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter. Der deutsche Ableger zertifiziert Unternehmen i nach dem Standard "Euro Cloud SaaS Star Audit". Der etwas sperrige Name beinhaltet eine anspruchsvolle Palette an Prüfungen, die ein Cloud-Anbieter durchlaufen muss. Hierbei wird anhand eines detaillierten Fragenkatalogs die Einhaltung von Sicherheitsrichtlinien bewertet. Das Zertifikat sieht maximal fünf Sterne vor. Wird die Höchstwertung erreicht, kann der Kunde von einem sehr vertrauenswürdigen Cloud-Anbieter ausgehen.

Zertifikat mit Tradition: ISO 27001
Die seit 2005 in der jetzigen Form angebotene Zertifizierung ISO 27001 wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erteilt und ist eines der vertrauenswürdigsten Zertifikate im IT-Sektor. Das Audit besteht aus zwei Phasen: Zuerst wird anhand einer Dokumentenprüfung die grundsätzliche Eignung für die Zertifizierung festgestellt, danach folgt eine detaillierte Analyse der Sicherheitsprozesse. In der zweiten Phase werden Prozesse und sicherheitsrelevante Systeme vor Ort in Augenschein genommen. Diese Zertifizierung ist weltweit als Standard anerkannt und damit quasi auch ein Muss für alle Cloud-Anbieter.

In Europa weniger genutzt: SAS 70 vom AICPA
Die Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse nach den Vorgaben des American Institute of Certified Public Accountants (AICPA). Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert. In Europa ist diese Art der Zertifizierung nicht sehr bekannt, jedoch können einige der amerikanischen Cloud-Anbieter diese Zertifizierung nachweisen. Der Nachteil von SAS 70 ist, dass die Zertifizierung weder auf IT-Prozesse noch auf die Cloud-Fragestellung ausgerichtet ist.

Nicht ausreichend: Safe Harbour Agreement
Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert. Die zugesicherten Rechte in der Praxis durchzusetzen, ist oft problematisch. Der Düsseldorfer Kreis empfiehlt daher eine zusätzliche Erklärung zwischen den Vertragspartnern. Außerdem sollen deutschen Firmen einige Mindestkriterien überprüfen, bevor sie Daten an Safe-Harbor-zertifizierte US-Firmen abgeben.

Der Patriot Act und der Cybersecurity Act
Der Patriot Act erlaubt amerikanischen Geheimdiensten seit 2002 per Gerichtsbeschluss den Zugriff auf abschließend definierte Datenbestände. Seit dem ist immer wieder der Verdacht zu hören, die amerikanische Regierung könne problemlos auf vertrauliche Inhalte ausländischer Unternehmen zugreifen, die ihre Daten bei amerikanischen Cloud-Anbietern speichern oder verarbeiten lassen. Das geht zwar nicht ohne weiteres, zeigt aber ein gewisses Vertrauensproblem auf. Richtig ist, dass sich aufgrund des Patriot Acts der Zugang zu Cloud-Server und Daten nicht vollständig ausschließen lässt, wenn bestimmte Voraussetzungen erfüllt sind. <br /><br /> <a href="http://www.computerwoche.de/management/cloud-computing/2487626/" target="_blank"> hier geht es zum Beitrag "Was taugen Cloud-Zertifikate?"</a>

Ein anerkannter und auch unter Cloud Providern verbreiteter Standard für den Aufbau eines ISMS sind die Normen der ISO/IEC 27000-Serie und darauf aufbauende nationale Handlungsempfehlungen, wie die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI). In der ISO-Serie, veröffentlicht im Jahr 2005, sind Besonderheiten von Cloud Computing jedoch noch nicht umfassend berücksichtigt.

So finden sich darin keine Anforderungen zum sicheren Management einer virtuellen Infrastruktur. Solange sich eine entsprechende Erweiterung der Norm in Entwicklung befindet (ISO/IEC 27017), sollten Unternehmen daher für die Provider-Auswahl auf Cloud-spezifische Standards und Leitfäden zurückgreifen. Einen Fragenkatalog und entsprechende Anforderungen liefern etwa das "Cloud Computing Information Assurance Framework" der Europäischen Agentur für Netz- und Informationssicherheit (ENISA), das Eckpunktepapier "Sicherheitsempfehlungen für Cloud Computing Anbieter" des BSI oder die "Security Guidance for Critical Areas of Focus in Cloud Computing" der Cloud Security Alliance (CSA).

SOC 3 erleichtert Vergleich von Cloud-Providern

Der amerikanische Verband der Wirtschaftsprüfer (AICPA) hat mit "SOC 3" eine Zertifizierung auf Basis von Cloud-spezifischen Anforderungen ("SysTrust/WebTrust") entwickelt, die Unternehmen einen Vergleich von Providern auf Basis eines transparenten Katalogs an Kriterien gewährt. Provider haben zusätzlich die Möglichkeit, mit einem einheitlichen Siegel auf ihrer Internetseite zu werben.

SOC 3 ist eine Weiterentwicklung des international anerkannten ISAE 3402- (ehemals SAS 70-) Standards. Dieser international verbreitete Standard bildet die Grundlage für die Beurteilung der Sicherheit und Ordnungsmäßigkeit von IT-Prozessen eines Cloud Providers. Im Rahmen der Zertifizierung werden die in Prozessen bestehenden Kontrollen hinsichtlich ihrer Ausgestaltung und Wirksamkeit untersucht. Unter der Annahme, dass sinnvoll implementierte Kontrollen zu einem korrekten Prozessergebnis führen, stiftet SOC 3 Vertrauen, dass ein Provider die Anforderungen an Verfügbarkeit, Integrität, Vertraulichkeit etc. in der Cloud erfüllt.

Rechnungslegung und Cloud Computing – passt das zusammen?

Weitere Pflichten treffen das Unternehmen bei den Anforderungen zur ordnungsgemäßen Rechnungslegung. Für Software, die zur Finanzbuchhaltung eingesetzt wird, gelten seitens der deutschen Finanzverwaltung die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). Die sehen vor, dass Daten vollständig und nachvollziehbar verarbeitet und unveränderlich archiviert werden.

Zusätzlich sind die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) zu beachten, die etwa Regeln zur Aufbewahrung von Rechnungen im Sinne des Umsatzsteuergesetzes (UStG) enthalten. Bei steuerrechtlich relevanten Daten greift zusätzlich die Abgabenordnung (AO), die grundsätzlich eine Datenhaltung in Deutschland vorsieht. Einer Verlagerung ins Ausland stimmt die Finanzverwaltung nur auf Antrag zu. Das sind Regeln, die auch in der Cloud gelten.

Ein Unternehmen, das seine Finanzbuchhaltung künftig mit einem Cloud Service abwickeln will, muss sicherstellen, dass diese Anforderungen entsprechend erfüllt werden. Auch hier geben Formen der Zertifizierung durch unabhängige Dritte Orientierung. Hierzu hat das Institut für Wirtschaftsprüfer in Deutschland e.V. (IDW) im Jahr 2010 den Prüfungsstandard PS 880 veröffentlicht. Nach Prüfung von vorher individuell festgelegten Kriterien testiert der Wirtschaftsprüfer einem Cloud-Provider damit etwa die Ordnungsmäßigkeit und Sicherheit rechnungslegungsbezogener Funktionen in seinen Services.

Rechnungsprogramme aus der Cloud
Das gesamte Rechnungswesen lässt sich preiswert mittels Cloud-Service erledigen. Computerwoche stellt die besten Dienste für KMUs vor.

Billomat
Mit Billomat erstellen Sie einfach und schnell Rechnungen. Der Anbieter empfiehlt den „Tarif M“. Dieser kostet neun Euro pro Monat. Sie können bis zu 50 Dokumente verwalten und erhalten unbegrenzten Speicherplatz sowie unbegrenzte Nutzerzahlen.

e-conomic invoice
Beim Angebot „Small Business“ von e-conomic invoice können Sie maximal 4.000 Transaktionen pro Jahr realisieren. Der Dienst kostet 20 Euro monatlich und beinhaltet zusätzlich einen kostenlosen Steuerberaterzugang.

Easybill.de
Der „Plus“-Dienst bei Easybill.de kostet 19 Euro pro Monat. Für den Preis erhalten Nutzer eine unbegrenzte Anzahl an Dokumenten und Kunden. Zusätzlich gibt es eine Zeiterfassung und ein kostenloses Designpaket für Logo und Briefpapier.

Fastbill
Die Paketvariante „Plus“ von Fastbill können Sie für 19 Euro im Monat erwerben. Drei Benutzer können eine unbegrenzte Anzahl von Kunden, Produkte, Dokumente und Eingangsrechnungen erstellen. Die Online-Rechnung wird in Form eines Links per E-Mail verschickt und muss heruntergeladen werden.

Fortrabbit WebRechnung
WebRechnung von Fortrabbit gibt es als kostenlosen Einsteigertarif. Im Moment pausiert die Weiterentwicklung des Dienstes und dies soll laut Anbieter der Grund für das ungewöhnliche Angebot sein. Der Postversand ist kostenpflichtig.

LexLive
Lexware stellt den Cloud-Dienst LexLive zur Verfügung. Für 4,99 Euro monatlich wird der Anwender Schritt für Schritt durch die einzelnen Prozesse geführt und erhält bei fehlerhafter Eingabe Warnhinweise.

online-rechnungen.de
Bei online-rechnungen.de kostet der „Business Tarif“ 14 Euro pro Monat. Nutzer können unbegrenzt Rechnungen, Kundendatenbanken und Artikel erstellen. Zusätzlich gibt es SSL-Verschlüsselung, die Möglichkeit via Mausklick aus der Bestellung eine Rechnung zu generieren und gegen einen Aufpreis können im Monat 20 Frei-Signaturen verwendet werden.

Fazit: Juristische Anforderungen an Cloud-Provider und -Nutzer

Der Einsatz von Cloud Computing ist rechtlich zwar nicht unproblematisch. Doch die Anforderungen an die Unternehmen sind kein unüberwindbares Hindernis. Sie sollten gemeinsam mit dem Cloud-Provider eigene Lösungen entwickeln, um das Potenzial des Cloud Computings zu nutzen. Wichtig ist, dass die Unternehmen für die Anforderungen sensibilisiert sind. Ein Standard, der alle zu berücksichtigenden Vorgaben abdeckt, wäre zu begrüßen.

Dies wird durch die beschriebene Vielfalt rechtlicher und branchenspezifischer sowie regulatorischer Anforderungen allerdings schwierig. Manche Provider gehen deshalb dazu über, sich deren jeweilige Einhaltung in Prüfungen und Stellungnahmen unabhängiger Dritter bestätigen zu lassen. Alle in diesem Artikel empfohlenen Standards und Leitfäden sind wichtige und anerkannte Hilfestellungen, die man im jeweiligen Anwendungsbereich zur Einhaltung der regulatorischen Vorgaben in Anspruch nehmen sollte. Eine individuelle, auf den jeweiligen Bedarf des Nutzers zugeschnittene Lösung beinhalten solche generellen Standards per se jedoch nicht. (wh)