Für welches der Modelle im Rahmen des Cloud Computing Sie sich auch immer entschieden haben, ob nun SaaS, PaaS oder IaaS und wofür Sie das Ganze nutzen, einer der wichtigsten Punkte, die Sie nie vergessen dürfen ist der:

Sie bleiben verantwortlich für Ihre Daten!

Dies führt dazu, dass eine Reihe von Pflichten auf Sie zukommen, die Sie dringend beachten müssen. Deshalb sollten die nachfolgenden Punkte zwingend in einem zu schließenden Vertrag berücksichtigt werden.

Vorlagepflichten

Um Ihren Verpflichtungen nach § 9 BDSG nachzukommen sind Sie unter anderem verpflichtet, sich Zertifikate und Prüfberichte vorlegen zu lassen, in welchen belegt ist, dass die Verarbeitung der Daten in der Cloud den Anforderungen des deutschen Rechtes entsprechen. Dieser Punkt gestaltet sich aber schwieriger, als es zunächst klingen mag. Aber es gibt schlicht noch keine verlässlichen oder anerkannten Zertifikate für Cloud-Anbieter. Ein guter Anfang ist es aber zum Beispiel, wenn der Anbieter nach der ISO-27001 zertifiziert ist, denn dies bescheinigt ihm zumindest, dass bestimmte Standards für die für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation eingehalten werden.

Mit der Erarbeitung entsprechender Anforderungen und Zertifikate beschäftigt sich unter führend der EuroCloud e.V., welcher zusammen mit namhaften Partnern der IT Sicherheit in der Cloud verschrieben hat. Dazu gehören unter anderen das Bundesministerium für Sicherheit in der Informationstechnik, das Fraunhofer Institut und die ENISA.

Auditrechte

Wichtig ebenfalls: Normieren Sie Auditrechte, die es Ihnen ermöglichen, sich vor Ort von den Vorkehrungen der Anbieter zu überzeugen. Die meisten der großen Anbieter wie zum Beispiel Amazon, Microsoft und Google räumen Ihren Kunden keinerlei Auditrechte ein. Allein Salesforce hat für die europäischen Kunden einen Zusatz zu seinen AGB (in denen von Haus aus ein Auditrecht auch nicht vorgesehen ist) geschaffen in dem zu lesen ist:

[…] Von der Einhaltung dieser technischen und organisatorischen Maßnahmen können sich die Kunden durch Audits vor Ort bei salesforce.com Inc. in den USA überzeugen. Derartige Audits können von den Kunden in regelmäßigen Abständen (zumeist einmal jährlich) und wann immer dies rechtlich erforderlich ist, durchgeführt werden. Den Kunden wird zudem auf Wunsch der jeweils aktuelle SAS 70 (Type II) Report zur Verfügung gestellt. Dadurch, dass unabhängige Dritte im Rahmen der zuvor genannten Zertifikate und Audits die Einhaltung der technischen und organisatorischen Maßnahmen bei salesforce.com prüfen, ist es für den einzelnen Kunden im Regelfall nicht erforderlich, ein Audit vor Ort in den USA bei salesforce.com Inc. durchzuführen. Nur im Einzelfall kann die besondere Sensitivität der Daten zu einem anderen Ergebnis führen […]

Dies ist immerhin ein Anfang.

Vorbehalt von Weisungsrechten

Grundsätzlich haben Sie einem Vertragspartner gegenüber natürlich keine Weisungsrechte, er ist ja nicht Ihr Angestellter. Trotzdem kann es unter Umständen erforderlich werden, dass Sie hier Weisungen erteilen. Wann das der Fall ist, sollten Sie eindeutig festhalten, damit es hierüber im Falle eines Falles keine zwei Meinungen gibt.

Pflicht zur Protokollierung der Verfügbarkeit

Sie sollten Ihren Anbieter auch dazu verpflichten, die Verfügbarkeit des Service zu Protokollieren. Denn nur so ist es Ihnen auch nur annähernd möglich, die Dienstleistung des Vertragspartners zu kontrollieren. Dies ist zu Beweiszwecken unablässig.

Reportingpflichten

Letztlich sollten Sie unbedingt festlegen, über welche Vorkommnisse Ihr Vertragspartner Sie zu informieren kann, denn nur dann sind auch Sie in der Lage, Ihren Informationspflichten zum Beispiel gegenüber den Betroffenen zu erfüllen und auch im Falle eines Datenverlustes schnell reagieren zu können.

Fazit

Sie sehen, die Erstellung eines Cloud Computing Vertrages ist nicht mal eben erledigt. Hier muss sehr viel beachtet und geregelt werden. Aber dabei helfen wir Ihnen gern!

Hier finden Sie die anderen Artikel zu diesem Thema: