Rechtliche Aspekte des Cloud Computings

Was es zu beachten gilt

In der Regel sind eine strenge, vorangehende sogenannte Due-Diligence-Prüfung, eine detaillierte Festlegung und vertragliche Regelung der Dienstleistung, der Service Levels, des Beizugs allfälliger Subdienstleister sowie die Einräumung von Prüf- und Kontrollrechten, eine Übertragung von Vertraulichkeitspflichten und technische sowie organisatorische Massnahmen nötig. Zusätzlich kann eine Orientierung beziehungsweise Einwilligung der Kunden oder anderer betroffener Personen notwendig sein.
Ferner gilt es, offene Fragen im Zusammenhang mit neueren Rechtsgrundlagen ausländischer Staaten zu lösen, die den Zugriff auf Daten ausserhalb des eigenen Hoheitsgebiets vorsehen, wie zum Beispiel der Clarifying Lawful Overseas Use of Data Act auch als US Cloud Act bekannt. Bei anonymisierten oder pseudonymisierten Daten, bei einer Datenbearbeitung ausschliesslich im Inland sowie durch rein inländische Cloud-Dienstleister und Sub-Dienstleister sind die rechtlichen Anforderungen dagegen tendenziell tiefer und die genannten Prüfungen sowie Massnahmen in der Regel weniger umfassend.

Was erwartet der Kunde?

Schliesslich ist auch an mögliche Reputationsrisiken zu denken. Dabei ist der Erwartung der Kunden und betroffenen Personen besonders Rechnung zu tragen. Die Wahl eines unerwarteten und damit vermeintlich «falschen» XaaS-Set-ups kann unabhängig von der rechtlichen Zulässigkeit zu (unberechtigter) negativer Berichterstattung und damit zum Verlust von Kunden sowie Aufträgen führen.
Zum Autor
Michal Cichocki
ist Leiter Legal Datenschutz und Outsourcing bei einer Bank in Zürich. Der Rechtsanwalt ist seit über zehn Jahren im Bereich des digitalen Rechts sowie als Datenschützer tätig und Mitglied der Rechtskommission von swissICT. Diese berichtet in der Kolumne «Recht & IT» über aktuelle juristische Themen im digitalen Bereich.

Autor(in) Computerworld Redaktion




Das könnte Sie auch interessieren