22.02.2023
Bei der Auswahl und dem Einsatz von Cloud-Anwendungen lohnt es sich, genauer hinzuschauen (credit:adobestock)

Fallstricke bei der Auswahl und dem Einsatz von Cloud-Anwendungen umgehen!

Achten Sie bei der Auswahl und dem Einsatz von Cloud-Anwendungen auf Fallstricke! Ohne Unterstützung von Computerprogrammen („Software“) und der entsprechenden Datenverarbeitung kommt kaum ein mittelständisches Unternehmen mehr aus. Dies fängt bei Textverarbeitungs-Programmen an, geht über Buchhaltungs- und Auftragsabwicklungsprogramme und endet vielleicht bei komplexen Computerprogrammen, mit denen die Datenflüsse und Ressourcen des gesamten Unternehmens dargestellt und verwaltet werden, sog. ERP-Programme („Enterprise-Resource-Planning“).

Diese Programme werden zunehmend gar nicht mehr als Software selbst vertrieben. Erhältlich ist heutzutage oft nur noch die Möglichkeit der Nutzung der entsprechenden Anwendung via „Cloud“, also über verteilte Rechner. 

Die Software ist aber nur das eine. Das andere sind die Daten, die verarbeitet werden. Ihre Daten! 

Risiken für unternehmenserhebliche Datenarten

Neben oft kritischen Betriebsdaten, Daten, die das Know-How Ihres Unternehmens beinhalten oder mindestens ein Geschäftsgeheimnis darstellen, oder steuerrechtlich relevanten Daten werden in nahezu jedem Softwareprogramm auch personenbezogene oder zumindest personenbeziehbare (z.B. IP- oder E-Mail-Adresse) Daten verarbeitet. Damit kommt das Datenschutzrecht ins Spiel und die Anforderungen der Datenschutz-Grundverordnung (DSGVO) müssen eingehalten werden. Spätestens damit gehen Anforderungen an die Daten- und IT-Sicherheit einher, für die die Leitung Ihres Unternehmens geradestehen muss.

Cloud Computing

Cloud Computing ist eine IT-Infrastruktur, die über das Internet verfügbar gemacht wird und regelmäßig Speicherplatz, Rechenleistung oder Anwendungssoftware als Dienst- oder Mietleistung umfasst, für die der lokale Rechner nicht gebraucht wird.

Auf dem lokalen Rechner muss für Zugriff und Nutzung der Software-Anwendung überwiegend nur ein gängiger Browser installiert sein.

Der Vorteil von Cloud Computing für Ihr Unternehmen mag sein, dass es neben den Anschaffungskosten für den Kauf der Software u.a. die üblicherweise anfallenden zusätzlichen Wartungsgebühren einspart. Möglicherweise muss Ihr Unternehmen auch weniger IT-Personal vorhalten.

Risiko für Unternehmer: Sie geben Daten aus der Hand und der Cloud-Anwendungs-Anbieter ist nicht mehr zu erreichen

Das Risiko und damit ein klarer Nachteil für Sie als Unternehmer ist unschwer zu erkennen – Sie geben oft äußerst relevante Daten aus der eigenen in die Hand des Cloud-Anwendungs-Anbieters. Diesem müssen Sie also nicht nur vertrauen und sich auf diesen verlassen können, Sie müssen die Betriebsbereitschaft Ihres Unternehmens auch dann aufrechterhalten können, wenn es Schwierigkeiten mit dem Cloud-Anwendungs-Anbieter gibt, die Anwendung etwa nicht mehr bereitsteht, Sie nicht mehr auf Ihre Daten zugreifen können oder der Cloud-Anwendungs-Anbieter schlicht nicht zu erreichen ist.

Sie müssen die Interessen Ihres Unternehmens vertraglich vereinbaren und diese Rechte im Zweifel auch gegen den Anbieter mit vernünftigem Aufwand durchsetzen können.

1. Welchen Bedarf habe ich als Unternehmer? Was brauche ich genau? Vollständige Anforderungsermittlung bei der Auswahl von Cloud-Anwendungen

Ermitteln Sie in Zusammenarbeit mit den Fachbereichen und gegebenenfalls Dritten (Datenschutzbeauftragter, Informationssicherheitsbeauftragter) die vollständigen Anforderungen, die die Cloud-Anwendung vorhalten kann, soll und muss.

Das werden zunächst funktionale Anforderungen (z.B. Möglichkeit der Einholung von datenschutzrechtlichen Einwilligungen), können aber auch technische (z.B. erforderliche Schnittstellen zu anderen Systemen) und qualitative Anforderungen (technische Verfügbarkeiten, Wartungsfenster) sein.

Oft unterschätzt werden rechtliche Anforderungen (z.B.: Erfüllt der US-Abrechnungs-Anwendungs-Cloud-Anbieter die steuerrechtlichen Vorgaben, denen Ihr Unternehmen unterliegt? In welchen Intervallen findet eine Datensicherung statt?).

2. Auswahl der Anwendung und des Anbieters – Deckt die Software-Anwendung die Anforderungen meines Unternehmens ab? Klarer Vertragsgegenstand und klare Leistungsbeschreibung!

Häufig findet sich nicht einmal eine ausdrückliche Leistungsbeschreibung und es gilt, sich die Funktions-Merkmale selbst unter oft nichtssagenden, englisch-klingenden Begriffen selbst zusammenzusuchen. Dabei kommt es nicht selten darauf an, sich nicht von werbemäßigen Versprechungen täuschen zu lassen. Wo „datenschutzkonform“ draufsteht, ist noch lange keine DSGVO-Konformität drin.

Sie aber sind als Unternehmen für die personenbezogenen Daten Ihrer Kunden und Mitarbeiter verantwortlich – nicht der Cloud-Anwendung-Anbieter, egal was dieser Ihnen sagt. Im Zweifel werden Sie kein Interesse haben, im Nachhinein einen kostspieligen und zeitraubenden Rechtsstreit darüber zu führen.

3. Auftragsverarbeitungsvertrag („AVV“) bei der Auswahl von Cloud-Anwendungen

Werden, wie häufig, über die Cloud-Anwendung personenbezogene Daten verarbeitet, ist neben dem „Hauptvertrag“, also dem Vertrag über die Zurverfügungstellung der Nutzungsmöglichkeit von Anwendung und Speicherplatz, auch ein sog. Auftragsverarbeitungsvertrag (AVV) zu vereinbaren, dessen Mindestinhalte gesetzlich vorgegeben sind. Beachten Sie aber, dass diese in dem oft herunterladbaren und vom Anbieter bereits signierten „AVV-Dokument“ nicht immer ausreichend abgebildet sind.

Zudem enthalten die angebotenen AVV-Angebote oft nicht für Ihr Unternehmen wichtige Vereinbarungen, beispielsweise zur Vorhaltung und Herausgabe der Daten bei Vertragsende und Wechsel zu einem anderen Anbieter.

Wenn der Cloud-Anbieter oder seine Unterauftragnehmer außerhalb Europas ansässig sind, werden oft zusätzliche vertragliche Regelungen erforderlich, die den internationalen Datentransfer absichern müssen (z.B. mindestens aktuelle EU-Standardvertragsklauseln).

4. Sitz des Cloud-Anbieters – Anwendbares Recht und Gerichtsstand

Sämtliche sinnvollen Vertragsvereinbarungen sind in der Praxis das Papier oder das Pixel nicht wert, auf dem sie abgebildet sind, wenn Sie den Cloud-Anbieter faktisch nicht greifen können, Sie also im Notfall Ihre Rechte gegenüber dem Anbieter nicht mit angemessenem Aufwand auch durchsetzen können.

Dies ist in der Praxis oft nur dann gewährleistet, wenn Sie einen deutschen Anbieter wählen, zumindest aber die Anwendbarkeit deutschen Rechts und die Zuständigkeit deutscher Gerichte festgelegt wird.

5. Das Wichtige bei der Auswahl von Cloud-Anwendungen in Kürze

Zwar werden Sie um eine rechtliche Prüfung im Einzelfall nicht herumkommen. Folgende Punkte sollten Sie aber in jedem Fall berücksichtigen, wenn Sie über die Verwendung einer Cloud-Anwendung in Ihrem Unternehmen nachdenken:

  • Verringern Sie das typische Cloud-Anwendung-Risiko, Ihre Unternehmensdaten nicht mehr in der Hand zu haben, indem Sie Vereinbarungen darüber treffen, dass der Anbieter Ihnen in bestimmten Zeitintervallen eine vollständige Kopie sämtlicher Anwendungsdaten in einem näher bestimmten Format übersendet oder Sie diese jederzeit selbst abrufen können.
  • Stellen Sie sicher, dass die Anwendung gemäß Ihren Anforderungen regelmäßig aktualisiert wird.
  • Stellen Sie sicher, dass Ihnen sämtliche Rechte an etwa entstehenden Datenbanken/Datenbankwerken zustehen.
  • Vereinbaren Sie zunächst nur eine verhältnismäßig kurze Vertragsdauer, um Erfahrungen zu sammeln.
  • Seriöse Anbieter halten auf Ihrer Website bereits ein detailliertes Datenschutzkonzept vor. Fragen Sie den Anbieter nach diesem, falls dies nicht der Fall ist.
  • Stellen Sie sicher, dass der Anbieter und seine Unterauftragnehmer im Hinblick auf die Sensibilität Ihrer zu verarbeitenden Daten angemessene Technische und Organisatorische Maßnahmen (TOM) vorhalten. Vergewissern Sie sich über das „Ob“ und „Wie“ Ihrer Kontrollmöglichkeiten und durch welche Dokumente Ihnen der Anbieter dies regelmäßig nachweist.
  • Stellen Sie sicher, dass Ihnen der Anbieter sämtliche notwendigen Informationen übermittelt, die Sie für die Erstellung und Vervollständigung Ihres Verfahrensverzeichnisses benötigen. Die unaufgeforderte Darstellung dieser Angaben bereits vor Vertragsschluss spricht für einen seriösen Anbieter.
  • Stellen Sie sicher, dass Sie mit dem Anbieter eine wirksame Geheimhaltungsvereinbarung abschließen

6. Fazit

Ein zu 100% auf Ihren Bedarf zugeschnittenes Angebot werden Sie wahrscheinlich nicht finden. Irgendeine Kröte werden Sie schlucken müssen. Diese Hinweise helfen Ihnen zu erkennen, welche Kröten existieren und abzuwägen, und ob und welche Sie schlucken wollen und welche Risiken Sie tragen wollen. Bei datenschutzrechtlich sensiblen personenbezogenen Daten oder unternehmenskritischen Daten und Prozessen wollen Sie diese letztendlich vielleicht selbst im Hause halten oder zumindest einen deutschen Cloud-Anwendung-Anbieter wählen.

Bei dieser Abwägung unterstützen wir Sie gerne.

Autor: Oliver Korth, LL.M.

Autor

Bild von  Oliver Korth, LL.M.
Assoziierter Partner
Oliver Korth, LL.M.
  • LL.M. Computer and Communications Law (University of London)
  • Rechtsanwalt
  • Fachanwalt für IT-Recht
  • Zertifizierter Datenschutzbeauftragter
Ihr Ansprechpartner für

UNVERBINDLICHE KONTAKTAUFNAHME

Sprechblasen

UNVERBINDLICHE KONTAKTAUFNAHME

Sind Sie unsicher, ob Sie mit Ihrer Angelegenheit bei uns richtig sind?
Nehmen Sie gerne unverbindlich Kontakt mit uns auf und schildern uns Ihr Anliegen.
Wir freuen uns auf Ihren Anruf.

Kontakt aufnehmen