Cloud Computing


Sichere Lieferkette

Datenschutz beim Sub-Cloud-Provider

Dr. Flemming Moos ist Fachanwalt für IT-Recht bei der Wirtschaftskanzlei Osborne Clarke in Hamburg.
Glaubt man den Versprechen der Provider, ist das Datenmanagement über die Cloud eine einfache Sache. Das gilt jedoch nicht, wenn bei der Lieferung von Cloud-Services Subunternehmer im Spiel sind.

Cloud-Service-Provider machen Anwenderunternehmen nur allzu gerne glauben, dass die erbrachten Services einfach zu verwalten und zu managen seien. Auf den ersten Blick trifft das sicher auch zu. Bei genauerem Hinsehen stellt man jedoch schnell fest, dass vielen Services aus der Wolke komplexe Lieferketten zugrunde liegen, in denen - rechtlich betrachtet - gleich mehrere selbständige Leistungserbringer als Subunternehmer eingebunden sind.

In der Praxis läuft das folgendermaßen ab: Die vom Kunden beauftragten Leistungsbereiche werden an Subunternehmer entlang den Ebenen des IT-Stacks weitervergeben. Zum Beispiel weil ein SaaS-Anbieter Middleware-Leistungen (Iaas) und Hardware-Leistungen (PaaS) von Sub-Cloud-Providern bezieht. Oft ist es auch so, dass die Inanspruchnahme von Sub-Cloud-Providern nicht über die gesamte Leistungsbeziehung gleichbleibend ist, sondern flexibel erfolgt - je nach Kunden- und Servicebedarf.

Es fehlt an Transparenz

Doch genau das ist der Pferdefuß: Während diese Flexibilität ja gerade einer der Hauptvorteile des Cloud Computings ist, birgt das dahinterliegende Service-Modell rechtlich gehen große Herausforderungen für denjenigen, der den Auftrag vergibt. Denn er hat kaum Transparenz darüber, welche Sub-Unternehmen an welchen Lokationen mit seinen Daten hantieren. Allerdings trägt er gegenüber seinem Vertragspartner von Anfang an die Verantwortung dafür, dass DatenschutzDatenschutz und Datensicherheit gewährleistet sein müssen, und muss ihm entsprechende vertragliche Pflichten auferlegen. Alles zu Datenschutz auf CIO.de

Risiko Datenschutz entlang der Lieferkette: Ob die gesamte Kette der Sub-Unternehmer abgesichert ist, weiß ein Anwender in den seltensten Fällen.
Risiko Datenschutz entlang der Lieferkette: Ob die gesamte Kette der Sub-Unternehmer abgesichert ist, weiß ein Anwender in den seltensten Fällen.
Foto: Marco2811 - Fotolia.com

Anders sieht sein vertragliches Verhältnis mit dem Sub-Unternehmer aus, den der Cloud-Provider in die Lieferkette einbindet. Mit diesem hat der Kunde selbst kein vertragliches Verhältnis. Das bedeutet für ihn auch, dass er keine Handhabe gegenüber diesem Dritt-Dienstleister hat, sollte seinen Daten einmal etwas "zustoßen". Daher ist es ratsam, mit dem unmittelbaren Vertragspartner selbst schon über einen ausreichenden Pflichtenkanon nachzudenken und diesen auch zu vereinbaren. Nicht nur, um eventuellem Datenverlust vorzubeugen, sondern auch, um den eigenen gesetzlichen Pflichten nachzukommen.