CIO: Wer schludert, haftet.

Ein Chief Information Officer (CIO) braucht heute mehr Wissen über rechtliche Belange als in den Zeiten vor der elektronischen Kommunikation. Denn diese können heute für ihn durchaus eine existentielle Rolle spielen. Flapsig gesagt: Wer schludert, der haftet. Jedem CIO muss bewusst sein, dass datenschutzrechtliche Vorschriften ein Stolperstein für seine Karriere und seine Firma sein können, wenn er IT-Services an externe Dienstleister auslagern will.  IT-Outsourcing, das gern von Cloud-Computing-Services betrieben wird, birgt erhebliche Haftungsrisiken: In diesem Zusammenhang muss der verantwortliche CIO wissen, dass eine Auftragsdatenverarbeitung gemäß Paragraf 11 Bundesdatenschutzgesetz (BDSG) vorliegt. Das heißt, der Cloud-Dienstanbieter ist als verlängerter Arm des Unternehmens tätig. Das Unternehmen selbst bleibt aber trotzdem voll verantwortlich für alle personenbezogenen Mitarbeiter- und/oder Kundendaten.

Deshalb muss ein CIO darauf achten, dass beim Cloud-Anbieter ein angemessenes Datenschutzniveau gewährleistet ist. Es erleichtert seine Entscheidung, wenn die Cloud sich ausschließlich im EU/EWR-Raum befindet. Deutsche bzw. europäische Clouds gelten als empfehlenswert, weil mit diesen Verstöße gegen das BDSG und daraus resultierende Schadensersatz- oder Bußgeldpflichten zu vermeiden sind.

Allerdings sagt der Standort noch nichts über die tatsächliche Datensicherheit aus. Bei verarbeitenden Clouds kann der Betreiber mit seinen Mitarbeitern auf die in den Applikationsservern unverschlüsselten Daten zugreifen – und zwar in Deutschland ebenso wie in den USA. Allein die Tatsache, dass dies theoretisch möglich ist, verhindert den datenschutzrechtlich unbedenklichen Einsatz. Erst eine beweisbare Betreibersicherheit, also der Umstand, dass Daten vor dem Zugriff des Betreibers tatsächlich geschützt sind, macht einen Internet-Dienstleister für Unternehmen vertrauenswürdig. Ein CIO sollte sich jedenfalls nicht auf das Etikette „deutsche Cloud“ allein nicht verlassen: Es könnte ihm und seinen Unternehmen zu viel Geld kosten.