In der Wolke

Wer sein Interesse für neue Informationstechnologien (IT) mit dem Beruf verknüpfen will, der findet auch als Jurist ein spannendes Betätigungsfeld im Bereich Cloud Computing. Datenschutz, Arbeitsrecht und Compliance beim Cloud Computing sind derzeit vieldiskutierte Themen in der IT.
Von Dr. Nina Hartmann und Dr. Esther Holzinger

Unternehmen können im Wege des Cloud Computing ihre IT-Landschaft auf externe Anbieter auslagern. Die ausgelagerte Hard- und/oder Software befindet sich dann nicht mehr auf dem unternehmenseigenen Rechner oder im Firmenrechenzentrum, sondern im Internet, metaphorisch „in der Wolke“. Flexibilität und Kostenersparnis sind ein großer Vorteil dieser Technik, denn Unternehmen nutzen und bezahlen die IT-Anwendungen nur nach Bedarf. Anschaffungskosten sowie eigene Support- Mitarbeiter entfallen. Doch laut dem Bundesamt für Sicherheit in der Informationstechnik zeigen verschiedene Umfragen und Studien, dass potenzielle Kunden Bedenken mit Blick auf die Informationssicherheit und den Datenschutz beim Cloud Computing haben. Datenschutz ist ohne Zweifel ein zentrales Thema beim Cloud Computing. Nicht übersehen werden dürfen aber auch andere gesetzliche Regelungen und damit im Zusammenhang stehende rechtliche Risiken, insbesondere wenn Unternehmen Cloud-basierte IT zur Speicherung und Bearbeitung von persönlichen Mitarbeiterdaten nutzen.

Was heißt das für den Juristen? Da es sich um ein relativ neues Betätigungsfeld handelt, ist vieles – gerade in rechtlicher Hinsicht – noch im Fluss. Daher erfordert die juristische Beratung in diesem Feld nicht nur Freude und Interesse an neuen Informationstechnologien, sondern auch an der Beschäftigung mit bisher noch ungeklärten Rechtsfragen. Zunächst aber ein Blick auf einige Möglichkeiten, die Cloud Computing für Unternehmen bietet:

Anwesenheitskontrolle und Zeiterfassung
Das Cloud Computing macht die Installation von lokalen Zeiterfassungssystemen überflüssig. Mit der entsprechenden Cloud-Anwendung kann die Zeiterfassung über das Internet erfolgen. Sobald der Mitarbeiter seinen Computer an- oder ausschaltet, wird dies automatisch über das Internet erfasst. Gleiches gilt für längere Abwesenheitszeiten, auch diese können durch die Nichtnutzung des Computers über das Internet registriert werden. Der Arbeitgeber kann somit die Arbeitszeiten seiner Mitarbeiter unabhängig von deren Aufenthaltsort überwachen.

Verwaltung von Personalakten
In vielen Unternehmen hat die elektronische Personalakte die klassische Papierakte längst abgelöst. Die Personalabteilungen haben die Schriftstücke eingescannt und elektronisch gespeichert. Diese Daten müssen aber nicht in unternehmenseigenen Speicherplätzen vorgehalten werden, sondern können ebenfalls in der Cloud abgelegt werden.

Gehaltsabrechnung
Unternehmen, die ihre Gehaltsabrechnung von externen Abrechnungsstellen ausführen lassen, können für eine effektive Zusammenarbeit gemeinsame internetbasierte Plattformen, sogenannte Share Points, nutzen. Das Unternehmen kann dort die relevanten Mitarbeiterdaten eingeben, und die Abrechnungsstelle kann auf diese zur Abrechnung zugreifen.

Bring and use your own PC
Das Büro der Zukunft ist nach der Vision von Cloud Computing-Anbietern lediglich noch mit einem Remote- Internetzugang ausgestattet. Computer werden nicht mehr von Arbeitgebern bereitgestellt, vielmehr bringen Mitarbeiter ihre eigenen Computer mit. Diese verbinden die Mitarbeiter mit dem Internet, denn dort haben sie Zugriff auf alle Unternehmensdaten und Share Points, die sie für ihre Tätigkeit benötigen. Auch das Arbeiten aus dem Home Office wird dadurch erheblich erleichtert.

Mit diesen vielfältigen Nutzungsmöglichkeiten des Cloud Computing geht das Erfordernis von Kenntnissen im Datenschutz- und Arbeitsrecht sowie der Compliance einher:

Datenschutzrecht
Werden Cloud-Anwendungen im Personalbereich in einem Unternehmen implementiert, kommt es zur Nutzung und Verarbeitung von personenbezogenen Arbeitnehmerdaten im Sinne des Bundesdatenschutzgesetzes. Für die Einhaltung der datenschutzrechtlichen Vorschriften bleibt der Arbeitgeber verantwortlich, auch wenn das Unternehmen die Cloud-Anwendungen von einem externen Dritten bezieht.

Der Arbeitgeber darf nur dann Arbeitnehmerdaten an Cloud-Anbieter übermitteln, wenn er mit dem Cloud-Anbieter einen Auftragsdatenverarbeitungsvertrag abschließt. Wichtig ist, dass ein solcher Vertrag die Nutzung und Verarbeitung der Arbeitnehmerdaten nur in Deutschland und innerhalb des Europäischen Wirtschaftsraums (EWR) gestattet. Beim Cloud Computing werden Daten jedoch weltweit bearbeitet und abgelegt. Bei einem Datentransfer in Länder außerhalb des EWR muss gewährleistet sein, dass in diesen Ländern ein angemessenes Datenschutzniveau besteht. Dies wurde bislang für die Schweiz, Kanada, Argentinien, Guernsey, die Inseln Man und Jersey, Andorra, Färöer-Inseln und Israel bejaht. Mit Cloud-Anbietern mit Datenzentren in anderen Ländern kann ein angemessenes Datenschutzniveau durch die Vereinbarung der Standardvertragsklauseln der Europäischen Union erreicht werden. Cloud-Anbieter, die Daten in den USA verarbeiten, können ein angemessenes Datenschutzniveau sicherstellen, indem sie sich zur Einhaltung der zwischen der Europäischen Union und den USA vereinbarten „Safe Harbor“-Bestimmungen verpflichten.

Ratgeberportal des Berufsverbands der Rechtsjournalisten e.V.:
http://www.datenschutz.org/

Die Aufgabe des Juristen im Zusammenhang mit der Einführung von Cloud-Anwendungen besteht darin, den Aspekt des (internationalen) Transfers personenbezogener Arbeitnehmerdaten genau zu beleuchten und mit dem Cloud-Anbieter vertraglich entsprechend zu regeln. Andernfalls drohen dem Mandanten beziehungsweise dem Unternehmen nicht nur empfindliche Rechtsfolgen, zum Beispiel Geldbuße oder Geldstrafe, sondern auch erhebliche Imageschäden.

Da zahlreiche Cloud-Anbieter ausländische Unternehmen sind, sind gute Englischkenntnisse für den juristischen Berater unerlässlich. Von Vorteil ist auch ein gewisses Grundverständnis für den anglo-amerikanischen Rechtskreis, da dieser erheblich von der deutschen Rechtsordnung abweichen kann. Wer Verträge mit ausländischen, insbesondere amerikanischen, Unternehmen gestaltet und verhandelt, tut sich leichter, wenn er das rechtliche (Selbst-)Verständnis seines Verhandlungspartners kennt. Zwingend sind Kenntnisse des anglo-amerikanischen Rechts jedoch nicht.

Arbeitsrecht
Zusätzlich ist Wissen im Bereich des kollektiven Arbeitsrechts sowie Verhandlungsgeschick gefragt, sofern es in dem jeweiligen Unternehmen einen Betriebsrat gibt. Der Betriebsrat darf nicht nur bei der Einführung cloudbasierter Zeiterfassungs- und Anwesenheitskontrollen mitbestimmen, sondern bei jeder Cloud-Anwendung, die Arbeitnehmerdaten erfasst und Auskunft über das Verhalten und/oder die Leistung von Mitarbeitern gibt. Dies dürfte bei zahlreichen, wenn nicht gar allen Cloud-Anwendungen der Fall sein, da die Nutzung protokolliert wird. In der Regel mündet dieses Mitbestimmungsrecht in den Abschluss einer Betriebsvereinbarung über die Einführung und Nutzung der betreffenden Cloud-Anwendung.

Compliance
Neben den Bereichen des Datenschutz- und Arbeitsrechtes erfordert die Tätigkeit im Bereich Cloud Computing Fachkenntnisse im Bereich der Compliance von Unternehmen. Gesetzliche oder tarifvertragliche Formvorschriften beziehungsweise Aufbewahrungspflichten, beispielsweise aus dem Steuer- und Handelsrecht, dürfen nicht übersehen werden. Bestimmte Dokumente können zwar eingescannt oder deren Daten können digitalisiert in die jeweilige Cloud- Anwendung gegeben werden, müssen aber parallel für bestimmte Zeiträume im Original aufbewahrt werden.

Schließlich sollten verantwortungsvolle Unternehmensführungen nicht nur die Verfügbarkeit und Kontrolle der gespeicherten Daten im Fokus haben, sondern durch vertragliche Regelungen auch dafür Sorge tragen, dass in Cloud-Anwendungen digitalisierte Arbeitnehmerdaten absolut vertraulich behandelt und Zugriffsrechte beschränkt werden. Bei bei der Gestaltung dieser Verträge sind Juristen mit Fach- und Sachverstand gefragt.

Lesetipp

Der „Leitfaden Cloud Computing: Recht, Datenschutz & Compliance“ hilft Anbietern und Anwendern von Cloud Services bei der sicheren Vertragsgestaltung und der Auswahl des richtigen Dienstleisters. Die Rechtsexperten von EuroCloud Deutschland_eco, dem Verband der Cloud-Services-Industrie in Deutschland, vermitteln in dem Leitfaden wichtige Grundlagen zu Datenschutzfragen, Vertragselementen sowie produkt- und branchenspezifischen Besonderheiten: Erfüllt der gewählte Anbieter alle rechtlichen Anforderungen? Was muss man beim Datenschutz beachten? Welche Ausnahmen gelten für bestimmte Branchen wie den Finanzsektor oder Berufsgeheimnisträger?

Neben den Kernpunkten für einen rechtssicheren Vertrag ist den einzelnen Vertragselementen ein eigenes Kapitel gewidmet: In Form einer Checkliste können die Vertragsparteien überprüfen, ob alle wichtigen Punkte beachtet sind. Die Checkliste ist angelehnt an die Prüfkriterien des EuroCloud SaaS Gütesiegels, mit dem der Verband ab Anfang 2011 Anbieter zertifizert, um eine bessere Marktübersicht zu schaffen und die Auswahl des passenden Dienstleisters zu erleichtern. Der „Leitfaden Cloud Computing: Recht, Datenschutz & Compliance“ kann unter leitfaden-recht@eurocloud.de kostenfrei als PDF angefordert werden.