ADV
  • ADV – Austrian Digital Value
  • Über uns
  • Unsere Community
  • Mitglied werden
  • Events
  • Blog
  • Weiterbildungen
  • Kontakt
  • Suche
  • Menü Menü
  • Facebook
  • Twitter
  • LinkedIn
  • Youtube
Du bist hier: Startseite1 / Allgemein2 / Rechtliche Schwierigkeiten beim Einsatz von Cloud Computing

Rechtliche Schwierigkeiten beim Einsatz von Cloud Computing

12. April 2021/in Allgemein, Event, Internet der Dinge /von Alexander Pongratz

Gastbeitrag von RA MMag. Norbert Amlacher (andréewitch & partner rechtsanwälte GmbH

Cloud Computing boomt und ist nunmehr auch in Österreich endgültig „angekommen“. In den letzten Jahren hat sich die Nutzung von Cloud Services in österreichischen Unternehmen verdreifacht: Laut den Zahlen von Computerwelt von 12 Prozent im Jahr 2012 auf 38 Prozent im Jahr 2020, Tendenz weiter steigend. Je größer dabei das Unternehmen und je mehr Beschäftigte, desto eher wird auch auf Cloud Computing gesetzt.

Das ist nachvollziehbar, gibt es doch bei Cloud Computing auch oftmals rechtlichen Beratungsbedarf, den größere Unternehmen im Regelfall wirtschaftlich leichter stemmen können als KMU. Neben allgemeinen rechtlichen Fragestellungen ist seit der EuGH-Entscheidung zu Schrems II und der Aufhebung des Privacy Shields bezüglich der USA auch die datenschutzrechtliche Zulässigkeit von Cloud Computing in den Vordergrund gerückt. Diese Themen sollen nachfolgend beleuchtet werden.

Unterschiedliche Arten von Cloud Computing

Einleitend ist festzuhalten, dass es „die Cloud“ nicht gibt und Cloud Computing in unterschiedlichsten Varianten angeboten werden kann, sei es zum Beispiel als public oder private Cloud, von nationalen oder internationalen Anbietern, als reiner Speicherort oder als Platform as a Service. Abhängig davon gibt es unterschiedliche Fragestellungen, die rechtlich zu berücksichtigen sind.

In der Praxis ist insbesondere der Verhandlungsspielraum bei der Vertragsgestaltung relevant, der bei größeren Anbietern mit sehr standardisierten Angeboten (kaum) vorhanden sein kann. Obwohl Cloud-Services oftmals standardisiert angeboten werden, entbindet das die Kundinnen und Kunden nicht, die Verträge und rechtlichen Rahmenbedingungen genau zu prüfen. Diese Prüfung sollte bereits Teil des Auswahlprozesses sein und nicht erst erfolgen, wenn schon ein Anbieter ausgewählt wurde.

„Klassische“ rechtliche Hürden bei Cloud Computing

Daneben gibt es bei Cloud Computing allgemeine rechtliche Hürden, die auch bei „klassischem“ IT-Outsourcing auftreten können. Dazu gehört insbesondere die Abhängigkeit vom Anbieter – wenn der Anbieter ausfällt, reißt er die Kundinnen und Kunden mit. Abgesehen davon, dass in der Praxis oftmals der Cloud-Provider eine professionellere Infrastruktur als die Kundinnen und Kunden aufweist und daher Ausfälle unwahrscheinlicher sind, können auch mit vertraglichen Maßnahmen Absicherungen vorgenommen werden (beispielsweise Zusage von Verfügbarkeiten, Service Level Agreements, Vereinbarung von Pönalen).

Ähnliches gilt für Exit Management und Beendigungsdienstleistungen. Klargestellt werden sollte, dass auch nach Vertragskündigung die Leistungen eine gewisse Zeit fortgeführt werden und – abhängig von den Services – auch Export- beziehungsweise Übertragungsmöglichkeiten (auf gegebenenfalls neue Vertragspartner) samt Mitwirkungspflichten bestehen.

Besonders relevant, aber in den meisten Verträgen nicht ausreichend abgebildet, ist der konkrete Leistungsinhalt. Was vertraglich nicht vereinbart ist, schuldet der Anbieter im Regelfall auch nicht, was oftmals zu Überraschungen führt.

Schließlich wird in Cloud Verträgen oft auf ausländisches Recht und ausländische Gerichtsstände (zum Beispiel Irland) verwiesen. Das kann in der Praxis bei Streitigkeiten zwischen den Vertragsparteien dazu führen, dass Kundinnen und Kunden wegen hohen Kosten und Aufwänden (Prozess im Ausland, in anderer Sprache, etc.) keinen Gerichtsprozess anstrengt und auf allfällige Rechte und Forderungen verzichtet.

Datenschutz

Datenschutzrechtlich erfolgt ein Fokus auf Cloud-Provider mit Sitz in den USA, dies wegen des EuGH Urteils zu Schrems II, wonach Datentransfers auf Basis des Privacy Shield unzulässig sind. Die Aussagen des EuGH gelten aber grundsätzlich auch für andere Datentransfers in Drittstaaten (zum Beispiel China, Indien, Russland).

Wenn personenbezogene Daten den EWR-Raum verlassen und beispielsweise in die USA übermittelt werden, muss grundsätzlich sichergestellt werden, dass im Ausland ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet wird. Nach dem Wegfall des Privacy Shields stützen sich in der Praxis viele Anbieter aus den USA auf Standardvertragsklauseln, um Auslandstransfers zu ermöglichen. Der EuGH hat aber in Schrems II festgehalten, dass datenexportierende Unternehmen selbst prüfen müssen, ob die Regeln in den Standardvertragsklauseln ausreichen, um ein im Wesentlichen gleichwertiges Schutzniveau zu erreichen; sollte das nicht der Fall sein, sind ergänzende Maßnahmen zu treffen. Sofern diese nicht getroffen werden und die Daten nicht sicher sind, ist eine Übermittlung einzustellen.

Für Datentransfers in die USA ist aufgrund der Aussagen im EuGH-Urteil davon auszugehen, dass ergänzende Maßnahmen zu treffen sind. Welche ergänzenden Maßnahmen (zum Beispiel vertraglich, technisch, organisatorisch) konkret zu treffen sind, hat der EuGH jedoch offen gelassen und sind diese auch in der juristischen Literatur umstritten. Der Europäische Datenschutzausschuss (EDSA) hat vor kurzem einen Entwurf von Empfehlungen veröffentlicht, wie Unternehmen konkret bei Auslandstransfers vorzugehen haben. Diese Vorschläge sehen mehrere Schritte vor, fokussieren hinsichtlich ergänzender Maßnahmen aber sehr stark auf technische Lösungen, insbesondere durchgängige Verschlüsselungen; bei klassischen Cloud-Providern liegt diese im Regelfall nicht vor, weil der Zugriff auf unverschlüsselte Daten zur Leistungserbringung notwendig sein kann (zum Beispiel Support). Die Vorschläge des EDSA sind in der Konsultationsphase auch teilweise stark kritisiert worden; inwiefern die geäußerte Kritik noch vom EDSA aufgegriffen wird, bleibt abzuwarten.

Jedes Unternehmen sollte jedenfalls genau prüfen, welche Auslandstransfers im Unternehmen stattfinden und auf welche Rechtsgrundlagen diese gestützt werden. Die Cloud Providern sollten kontaktiert werden, wobei auch Erkundigungen zur Rechtslage vor Ort eingeholt werden können. Mit den Providern sollten (gegebenenfalls zu treffende) ergänzenden Maßnahmen verhandelt und fixiert werden.

Wenn nach Prüfung aller Umstände der Datenexporteur zum Ergebnis gelangt, dass der Transfer datenschutzrechtlich zulässig ist, sind alle getroffenen Schritte und Überlegungen möglichst schriftlich zu dokumentieren und erneut in ca. 6-12 Monaten zu überprüfen. Sollte die Datenübermittelung datenschutzrechtlich nicht zulässig sein, wäre grundsätzlich die Verarbeitung einzustellen und/oder eine Alternative aus der EU zu setzen.

Diese Abwägungen und Prüfungsschritte sind immer eine Frage des Einzelfalls, sollten aber seriös und nachvollziehbar aufgearbeitet und dokumentiert werden. Mit den richtigen Argumenten und Umständen lassen sich auch so weiterhin Übertragungen in die USA rechtfertigen.

Ausblick

Beim Einsatz von Cloud Computing gibt es zahlreiche rechtliche Stolpersteine, die rechtzeitig bedacht und im entsprechenden Cloud Vertrag berücksichtigt werden sollten. Insbesondere datenschutzrechtlich ist eine individuelle Prüfung und Abwägung der Auslandstransfers sowie Dokumentation der Ergebnisse erforderlich, um drakonische Geldstrafen und/oder Maßnahmen der Behörde (z.B. Einstellung des Datentransfers) zu verhindern.

Mehr zu diesem und anderen rechtlichen Themen in der IT gibt es bei beim ADV-Rechtstag. Gleich anmelden und dabei sein!

Zum Rechtstag anmelden!

Das war die C3 – Customer Connection Conference 2024

18. Oktober 2024
Am 10. Oktober 2024 stand die zweite Ausgabe der „C3 – Customer Connection Conference“ in Wien ganz im Zeichen der Nachhaltigkeit. In den Vorträgen, Diskussionen und interaktiven Sessions vermittelten renommierte Expert:innen, wie wertvolle und dauerhafte Kundenbeziehungen dank innovativer Technologien geknüpft werden können.
https://www.adv.at/wp-content/uploads/2024/10/crm-241010-c3-14-klein.jpg 541 800 Irmgard Dober https://www.adv.at/wp-content/uploads/2023/01/adv-logo.png Irmgard Dober2024-10-18 16:08:082024-10-18 16:08:08Das war die C3 – Customer Connection Conference 2024
Ein Mann tippt mit dem Finger auf eine Glasscheibe, die die Digitalisierung analoger Dokumente zeigt

Road 2 Digital Austria: Die Digitalisierung unserer Vergangenheit

3. November 2022
Durch die Kreation digitaler Zwillinge können die Inhalte der Publikationen vor ihrer Vernichtung gerettet und ihre Informationen für nachfolgende Generationen bewahrt werden. Und die fortschreitende Digitalisierung von Publikationen wirkt auch als Katalysator für die Demokratisierung des Wissens.
https://www.adv.at/wp-content/uploads/2022/11/adv-221102-box-scaled.jpg 2004 2560 Irmgard Dober https://www.adv.at/wp-content/uploads/2023/01/adv-logo.png Irmgard Dober2022-11-03 08:00:582022-11-29 16:13:21Road 2 Digital Austria: Die Digitalisierung unserer Vergangenheit
Bild einer Smart City, einer mdernen Stadt, in der durch grafische Verbindungen angedeutet wird, dass alles vernetzt ist.

FIWARE macht Cities smarter: Open-Source-Komponenten für ein offenes, nachhaltiges kommunales Ökosystem

28. Juli 2022
Smart Cities dank FIWARE: So können offene, nachhaltige und sichere digitale Ökosysteme geschaffen werden, die auf frei verfügbaren Open-Source-Software-Komponenten und -Standards basieren.
https://www.adv.at/wp-content/uploads/2022/07/adv-220726-kachel.jpg 1367 1745 Irmgard Dober https://www.adv.at/wp-content/uploads/2023/01/adv-logo.png Irmgard Dober2022-07-28 09:00:062022-07-26 13:55:13FIWARE macht Cities smarter: Open-Source-Komponenten für ein offenes, nachhaltiges kommunales Ökosystem
Stadt im Abendlicht mit Icons, die die Energie-Wirtschaft darstellen

Energy Informatics: Aus- und Weiterbildung für eine sichere Energie-Zukunft

14. Juli 2022
Um bestens für die kommenden Herausforderungen an unsere Energie-Wirtschaft gerüstet zu sein, bietet die FH Hagenberg das Masterstudium „Energy Informatics“ an.
https://www.adv.at/wp-content/uploads/2022/07/blog-kachel-klima.jpg 1025 1309 Irmgard Dober https://www.adv.at/wp-content/uploads/2023/01/adv-logo.png Irmgard Dober2022-07-14 09:50:432022-07-14 09:50:07Energy Informatics: Aus- und Weiterbildung für eine sichere Energie-Zukunft

Natural Language Processing für Unternehmen

20. Juni 2022
Natural Language Processing (kurz NLP) macht es möglich, dass Maschinen die menschliche Sprache lesen und entschlüsseln können.
https://www.adv.at/wp-content/uploads/2022/06/blog-kachel-risc2.jpg 1025 1309 Irmgard Dober https://www.adv.at/wp-content/uploads/2023/01/adv-logo.png Irmgard Dober2022-06-20 14:20:162022-06-20 14:40:27Natural Language Processing für Unternehmen
Mann gibt fünf Sterne Bewertung

Mit Data Excellence datengetrieben in die Zukunft

25. April 2022
Wozu Data Excellence? Wer weiß, welche Daten man erzeugt, was darunter verstanden wird und wie sie genutzt werden können, kann einen echten Mehrwert schaffen.
https://www.adv.at/wp-content/uploads/2022/04/blog-kachel-data-excellence-scaled.jpg 2004 2560 Irmgard Dober https://www.adv.at/wp-content/uploads/2023/01/adv-logo.png Irmgard Dober2022-04-25 11:51:372022-04-25 11:52:57Mit Data Excellence datengetrieben in die Zukunft

Multimodale Aktivierung der kognitiven Leistungsfähigkeit

23. Juni 2020
digitAAL Life bietet ein multimodales, aktivierendes Training mittels Tablet-App. Lesen Sie jetzt mehr dazu!
https://www.adv.at/wp-content/uploads/2020/06/adv_banner_digital_aal2-scaled.jpg 2004 2560 Alexander Pongratz https://www.adv.at/wp-content/uploads/2023/01/adv-logo.png Alexander Pongratz2020-06-23 12:41:022020-06-24 08:51:53Multimodale Aktivierung der kognitiven Leistungsfähigkeit

CURSOR-CRM zur Unterstützung des Krisenmanagements während der Corona-Pandemie

7. Mai 2020
Ein Tool von Cursor und HC-Solutions soll unseren Corona-Berufsalltag erleichtern. Mehr dazu lesen Sie jetzt hier!
https://www.adv.at/wp-content/uploads/2020/05/adv_blog_hc_solution-scaled.jpg 2004 2560 Alexander Pongratz https://www.adv.at/wp-content/uploads/2023/01/adv-logo.png Alexander Pongratz2020-05-07 11:07:422020-05-08 09:05:08CURSOR-CRM zur Unterstützung des Krisenmanagements während der Corona-Pandemie
Geo IT

Geo IT: Einflüsse und Wissenschaft

27. April 2020
Geoinformatik ist die aktive Verknüpfung der Geowissenschaften mit der Informatik. Mehr lesen Sie jetzt in unserem Blogbeitrag!
https://www.adv.at/wp-content/uploads/2020/04/adv_blog_git-scaled.jpg 2004 2560 Alexander Pongratz https://www.adv.at/wp-content/uploads/2023/01/adv-logo.png Alexander Pongratz2020-04-27 16:00:482022-03-18 19:57:16Geo IT: Einflüsse und Wissenschaft
ZurückWeiter

NEWSLETTER

Anmelden zum Newsletter:

KONTAKT

ADV Arbeitsgemeinschaft für Datenverarbeitung
Hintere Zollamtsstraße 17 | 3. OG
1030 Wien
Mail: office@adv.at
Tel: +43 1 533 09 13

INFORMATIONEN

DATENSCHUTZ
IMPRESSUM
KONTAKT
PRESSE
AGB
© Copyright - ADV  |  Webdesign aus Wien von Ameisenhaufen.at
  • Mediadaten
  • Impressum
  • Kontakt
  • Presse
  • AGB
Digital Alltagsfit für Beruf und Weiterbildung Die technische Branche und ihre weiblichen Vorbilder
Nach oben scrollen