Vertragsgestaltung bei US-Clouds: Wenn US-Geheimdienste mitlesen

Aufgrund der befürchteten Datenweitergabe sind viele deutsche Unternehmen verunsichert, ob sie Cloud-Angebote aus den USA nutzen können. Der Patriot Act ist zwar kein Grund, auf die Nutzung von US-Clouds gänzlich zu verzichten. Aber auf sorgfältig verhandelte Verträge sollte man zwingend achten, raten Experten.

"Probleme mit dem Datenschutz lassen sich am einfachsten vermeiden, wenn deutsche Unternehmen Cloud-Anbieter mit einer Auftragsdatenverarbeitung innerhalb einer EU-Cloud beauftragen", empfiehlt iX-Redakteurin Ute Roos . Das bedeutet, dass der Cloud-Provider die Daten nur im Auftrag und auf Weisung des Unternehmens verarbeitet. Verantwortlich für die Datenverarbeitung ist aber weiterhin das Unternehmen. Diese Vorteile können Unternehmen und Cloud-Anbieter jedoch nur in Anspruch nehmen, wenn sie auch wirksam die Voraussetzungen für Auftragsdatenverarbeitung schaffen. Dazu müssen sie einen schriftlichen Vertrag schließen, der eine Reihe von Bestimmungen zu Datenschutz und Datensicherheit enthält. Nicht selten ist dieser Vertrag umfangreich und schwierig zu verhandeln.

Auch die Nutzung internationaler Clouds von US-Anbietern ist nicht ausgeschlossen, erfordert allerdings einiges an Nachforschungen und Geduld bei den Verhandlungen, etwa wenn es um Garantien seitens der US-Anbieter geht. Die Übermittlung von besonders schutzbedürftigen Informationen beispielsweise von Gesundheitsdaten ist aber in jedem Fall untersagt.

Die deutschen Datenschutzbeauftragten haben Ende September 2011 eine Orientierungshilfe veröffentlicht,
die auch eine Cloud-Nutzung außerhalb Europas vorsieht. Diese online herunterladbare Richtlinie   gibt Unternehmen künftig mehr Rechtssicherheit.