Weitere Rechtspflichten
Neben dem Datenschutzrecht können weitere Rechtspflichten zum Tragen kommen, welche die Verlagerung von Informationen in die Cloud untersagen. Das können beispielsweise Geheimhaltungsvereinbarungen oder Vorschriften zum Geheimnisschutz aus dem Wettbewerbsrecht oder dem Strafrecht sein. Auch Exportkontrollvorschriften können dem entgegenstehen. Das Maschinenbauunternehmen muss also sicherstellen, dass Informationen, die besonders geschützt sind, nicht in die Cloud ausgelagert werden. Da der Provider möglicherweise auf die Informationen zugreifen kann, könnte darin ein Verstoß gegen die Rechtspflichten liegen.
Der Schutz personenbezogener Daten erfasst aber nicht zwingend alle Informationen, die aus Sicht des Unternehmens kritisch sind, wie zum Beispiel Preislisten, Konstruktionszeichnungen, Forschungs- und Entwicklungsergebnisse und Kundenlisten. Diese unterliegen dem Datenschutz nur insoweit, wie darin personenbezogene Daten enthalten sind. Der Abschluss von Geheimhaltungsvereinbarungen mit dem Cloud-Provider kann den erforderlichen Schutz gewähren. Vor dem Hintergrund der aktuellen Diskussion um PRISM und Tempora sollte das Maschinenbauunternehmen jedoch besonders kritisch prüfen, welche Daten es im Rahmen einer Cloud Computing Lösung verarbeiten möchte. Denn es lässt sich nicht ausschließen, dass Informationen von Dritten zur Kenntnis genommen werden.
- Datenschutz in Deutschland
Der Prism-Skandal beschäftigt die IT-Branche weiterhin. Wir haben bei Providern wie HP, IBM, Telekom und Google angefragt, wie sie es mit dem Schutz ihrer deutschen Kundendaten halten. Hier kommen die Antworten: - Hewlett-Packard (HP): Werden selten angefragt
„Weder HP global noch HP Deutschland gewähren hier Zugangsrechte zu Kundendaten im Rahmen des „Project Prism“. <br /><br /> Grundsätzlich gilt: In jedem Land werden den staatlichen Sicherheitsbehörden Zugriffsrechte gewährt, wenn die nationale Sicherheit bedroht ist. (…) Anfragen zur Übermittlung von Daten in diesem Kontext beziehen sich zumeist auf Telekommunikationsunternehmen. IT-Infrastrukturanbieter wie HP sind hier äußerst selten betroffen.“ - Fujitsu: Deutsche Rechenzentren unterliegen dem deutschen Gesetz.
„Ein Zugriff auf Kundendaten durch Verfolgungsbehörden oder nationale und internationale Geheimdienste wird ausschließlich auf Grundlage eines deutschen Gerichtsbeschlusses gewährt. Die deutschen Rechenzentren unterliegen dem deutschen Datenschutzgesetz, das dies eindeutig regelt. <br /><br /> Da die Muttergesellschaft von Fujitsu Technology Solutions ein japanisches Unternehmen ist, kommt auch der US-amerikanische Patriot Act bei Kunden unseres Unternehmens nicht zur Anwendung.“ - Salesforce: Wir ermöglichen keinen Regierungen direkten Zugang.
„Nichts ist für Salesforce.com wichtiger als die Privatsphäre und die Sicherheit der Daten unserer Kunden. Wir sind nicht in das PRISM-Programm involviert und wir ermöglichen keinen Regierungen direkten Zugang zu den Servern von Salesforce.“ - Google: Wir prüfen alle Anfragen gewissenhaft.
"Google sorgt sich intensiv um die Sicherheit der Daten unserer Kunden. Wir legen Kundendaten gegenüber den Behörden offen gemäß geltender Gesetze offen, und wir prüfen alle Anfragen gewissenhaft.“
Datensicherheit und IT-Compliance
Auch Maßnahmen zur technischen Datensicherheit sind notwendig. Die Geschäftsleitung muss etwa ein Überwachungssystem einführen, das bestandsgefährdende Risiken früh erkennt. Anderenfalls kommt im Schadensfall eine persönliche Haftung der Geschäftsleitung in Betracht. Diese Überwachungspflicht erstreckt sich auch auf die eingesetzte Informationstechnik. Die Geschäftsleitung kann sich von dieser Pflicht nicht dadurch frei zeichnen, dass es die Collaboration-Lösung nicht selbst hostet, sondern vom Provider bezieht. Hat der Provider allerdings selbst ein Überwachungssystem eingerichtet, kann das Unternehmen sich dies durch einen Prüfbericht bestätigen lassen. Die Geschäftsleitung erfüllt damit ihre Pflichten und kann das einem Haftungsverlangen entgegenhalten.
Steuerrecht
Verfasst das Maschinenbauunternehmen steuer- oder handelsrechtlich relevante Unterlagen mit der Collaboration-Lösung, muss es den zuständigen Finanzbehörden unter Umständen Zugriff auf diese Unterlagen gewähren. Steht die IT-Infrastruktur nicht ausschließlich in Deutschland, muss das Maschinenbauunternehmen die Zustimmung der Steuerbehörden einholen, wenn es steuerrelevante Dokumente darin speichert, da diese außerhalb von Deutschland gelegen sind.
Die Unterlagen können zudem steuer- und handelsrechtlichen Aufbewahrungspflichten unterliegen. Sie müssen dann für eine Frist von sechs oder zehn Jahren aufbewahrt werden. Allerdings genügen die Collaboration-Lösungen in der Regel oft nicht den technischen Anforderungen an eine revisionssichere Aufbewahrung, denn die Dokumente lassen sich verändern. Sollen die Dokumente dennoch digital gespeichert werden, benötigt das Unternehmen ein Dokumenten-Management-System, in dem sich die elektronischen Dokumente revisionssicher abspeichern lassen.
Arbeitsrecht
Da die Anwender permanent zusammenarbeiten, besteht für den Arbeitgeber die (theoretische) Möglichkeit, die Leistung und das Verhalten seiner Mitarbeiter zu kontrollieren. Anhand der Verfügbarkeit innerhalb des Systems lässt sich feststellen, ob sie vereinbarte Arbeitszeiten einhalten. Über den Status der Dateien kann er zudem mitverfolgen, wie das Projekt voranschreitet. Die Einführung einer Collaboration-Lösung kann in diesem Fall von der Zustimmung des Betriebsrats abhängig sein.
Checkliste: Collaboration-Lösung aus der Cloud
Michael Rath ist Fachanwalt für IT-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln.