Bei der Auswahl eines Cloud-Anbieters sollte nicht nur auf eine optimale Anpassung der Service-Level-Agreements geachtet werden. Eine wesentlich wichtigere Rolle spielt der rechtskonforme und sichere Umgang des Anbieters mit den Daten des Auftraggebers. Vier wichtige Kriterien sollten dabei berücksichtigt werden.

Viele Unternehmen lagern ihre Serverumgebung und IT-Infrastruktur vollumfänglich zu einem Cloud-Anbieter aus. Dies hat neben diversen Vorteilen, wie z. B. Kostenersparnissen, auch einige Nachteile. So macht sich das betreffende Unternehmen stark von seinem Cloud-Anbieter abhängig, da bei einem Ausfall der Datenverfügbarkeit oder einer Unterbrechung der Datenverarbeitung ein Großteil der bestehenden Geschäftsprozesse stillstehen wird. Daher ist es wichtig, sich bereits bei der Auswahl des Anbieters von dessen Kompetenz und Zuverlässigkeit zu überzeugen.

1. Sitz des Cloud-Anbieters

Im Regelfall stellt die Nutzung eines Cloud-Dienstes eine Auftragsdatenverarbeitung nach § 11 Bundesdatenschutzgesetz (BDSG) dar. Dieses Instrument erleichtert die rechtliche Ausgestaltung der Beauftragung des Anbieters deutlich und erspart einiges an Zeit und Mühen. Nach geltendem deutschem Recht ist die Auftragsdatenverarbeitung jedoch nur mit Anbietern möglich, deren Sitz innerhalb der EU liegt und deren Administration innerhalb der EU erfolgt.

Sitzt der Anbieter in einem Drittstaat, ist bei jeder Weitergabe der Daten an den Cloud-Anbieter zu prüfen, ob diese von einer Rechtsgrundlage gedeckt ist. Liegt eine solche nicht vor, was insbesondere bei sensiblen Daten meist der Fall sein wird, stellt dies einen gravierenden Verstoß gegen Datenschutzrecht dar und kann mit einem hohen Bußgeld belegt werden. Daher sollten nur solche Cloud-Anbieter gewählt werden, deren Datenverarbeitung und Administration ausschließlich von europäischen Boden aus erfolgt (die Experten der activeMind AG prüfen gerne im Rahmen der Auftragsdatenverarbeitung ihre Dienstleister wie z. B. Cloud-Anbieter).

2. Zertifikate des Cloud-Anbieters

Cloud-Anbieter müssen vor Beginn der Datenverarbeitung und sodann regelmäßig auf die getroffenen technisch-organisatorischen Maßnahmen zum Schutz der Daten des Auftraggebers überprüft werden. Oftmals ist eine Vor-Ort-Kontrolle der Cloud-Anbieter nur mit großem Aufwand möglich und daher nicht praktikabel. Daher sollte der Cloud-Anbieter über entsprechende Zertifikate und Gütesiegel verfügen, die ihm einen angemessenen Umgang mit Daten der Auftraggeber bescheinigen. Denn das Vorhandensein entsprechender Zertifikate kann eine Vor-Ort-Kontrolle ersetzen. Dabei sollte stets darauf geachtet werden, dass die entsprechenden Zertifikate auch den Bereich Datenschutz abdecken.

Verfügt der Cloud-Anbieter beispielsweise über eine ISO 27001 Zertifizierung, so ist dies zwar sehr positiv, aber noch kein für sich allein ausreichender Nachweis für einen rechtskonformen Umgang mit personenbezogenen Daten. Bei jedem Zertifikat sollten daher sowohl die Vertrauenswürdigkeit des Ausstellers, als auch die zum Erhalt des Zertifikates nötigen Voraussetzungen geprüft und analysiert werden. Nur wenn für den Erhalt des Zertifikates ein absolut rechtskonformer Umgang mit personenbezogenen Daten Voraussetzung ist, kann das Zertifikat allein als Nachweis genügen. Eine Auflistung entsprechend genügender Zertifikate existiert aufgrund der Individualität der Aufträge und der damit geforderten Schutzstandards jedoch nicht.

3. Portabilität der Daten von Cloud zu Cloud

Ein wesentliches Augenmerk sollte auf die Portabilität der Daten gerichtet werden. Dies bedeutet, dass Daten von einem Anbieter zu einem anderen migriert werden können, und letzterer diese Daten auch in gleichem Maße verarbeiten kann. Oftmals bestehen bei der Datenverarbeitung große Inkompatibilitäten, beispielsweise werden unterschiedliche Zeichensätze wie ACII oder UTF-8 verwendet. Auch kann es unterschiedliche Maximallängen der Datei- und Verzeichnisnamen geben oder verschiedene erlaubte Dateigrößen. Daher sollte stets darauf geachtet werden, dass Cloud-Anbieter Daten nur in der Form verarbeiten, dass diese auch von anderen Anbietern verwertet werden können.

4. Referenzen des Cloud-Anbieters

Darüber hinaus ist die Zuverlässigkeit des Cloud-Anbieters ein wichtiges Auswahlkriterium. Denn die Weitergabe der eigenen Daten an Dritte ist für Unternehmen und die Betroffenen oft mit großem Risiko verbunden. Daher ist insbesondere darauf zu achten, dass der Cloud-Anbieter entsprechende Referenzen vorweisen kann, die ihm ausreichende Erfahrung im Umgang mit den Daten bescheinigen können.

Im Idealfall handelt es sich bei den Referenzen um solche aus derselben Branche oder zumindest um Daten mit demselben Schutzbedarf wie die eigenen Daten. Denn die Sicherheitsanforderungen, die der Cloud-Anbieter erfüllen muss, richten sich stets nach dem Schutzbedarf der weitergegebenen Daten.