Die Inanspruchnahme diverser Cloud-Dienste gestaltet sich für (gemeinnützige) Unternehmen bereits aufgrund rechtlicher Rahmenbedingungen schwer. Dies führt häufig zu einem Spannungsfeld, bei dem Datenverarbeitung, -speicherung und -verfügbarkeit in wirtschaftlicher und effizienter Form mit diesen rechtlichen Rahmenbedingungen kollidieren.
Die Datenübertragung sollte – insbesondere für personenbezogene Daten – stets verschlüsselt erfolgen, damit Dritte während der Übertragung entsprechende Daten nicht abfangen können, aber erst recht nicht lesbar machen können. Die Einhaltung der Voraussetzungen bei der Verarbeitung personenbezogener Daten obliegt bei der Cloudspeicherung im Sinne einer Auftragsverarbeitung grundsätzlich dem Auftraggeber (Verantwortlicher). Neben dem Auftraggeber steht jedoch auch der Auftragsverarbeiter zusätzlich in der Verantwortung.
Sowohl der Auftraggeber oder auch der Auftragsverarbeiter können Anspruchsgegner für Schadensersatz im Falle von Datenschutzverstößen sein.
Auch die Ordnungsvorschriften für die Buchführung und für Aufzeichnungen der Abgabenordnung schreiben vor, dass sämtliche steuerlich relevanten Aufzeichnungen:
- einzeln,
- vollständig,
- richtig,
- zeitgerecht und
- geordnet vorzunehmen sind.
Unproblematisch ist Cloud Computing in Bezug auf die Aufbewahrung steuerrechtlich relevanter Daten bei Outsoucing-Dienstleistern innerhalb Deutschlands. Die Inanspruchnahme von Aufbewahrungsmöglichkeiten außerhalb Deutschlands muss aber nach schriftlichem Antrag durch die zuständige Finanzbehörde bewilligt werden.
Insbesondere in rechtlicher Hinsicht relevant sind die unbefugte Offenbarung personenbezogener Daten oder von Betriebs-/Geschäftsgeheimnissen, die dem Verantwortlichen anvertraut wurden oder bekannt geworden sind. Mithin ist die Einbeziehung Dritter (bspw. eines Cloud-Dienstleisters) mit rechtlichen Risiken verbunden, sofern keine entsprechenden technischen und organisatorischen Maßnahmen sowie vertragliche Vereinbarungen getroffen werden.
Unentbehrlich für die Auswahl des Dienstleisters sowie die Vertragsgestaltung ist die Frage, ob bei Einsatz von Cloud Computing-Dienstleistern die Anforderungen an die Datenaufbewahrung und „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff” (GoBD) eingehalten werden müssen. Aufbewahrt werden müssen beispielsweise:
- Bücher und Aufzeichnungen,
- Inventare,
- Jahresabschlüsse,
- Lageberichte und weitere Unterlagen.
Die Anforderungen die an Bücher gestellt werden, müssen auch für digitale Daten gelten. Die Anforderungen umfassen somit auch bei der Cloudspeicherung im Rahmen einer digitalen Buchhaltung die Nachvollziehbarkeit und Nachprüfbarkeit. Die Aufzeichnungen müssen vollständig, richtig, zeitgerecht, geordnet und unveränderlich sein.
Obwohl die Ausfallsicherheit von Cloud-Diensten zumeist sehr hoch ist, bleiben vertragliche Regelungen für die Datensicherung sowie die Haftung in für diese unentbehrlich. Außerdem muss berücksichtigt werden an welchen Standorten der Cloud Computing-Dienstleister seinen Sitz und/oder seine Rechenzentren betreibt, damit die vertraglichen und länderspezifischen gesetzlichen Rahmenbedingungen mit den Anforderungen des deutschen Rechts abgestimmt werden können.
Zertifizierung
Die Qualität der Cloud Computing-Dienstleister einzuschätzen ist anspruchsvoll. Hilfreiche Anhaltspunkte für die Wahl eines zuverlässigen Cloud Computing-Dienstes sind die von unabhängigen Institutionen vergebenen Zertifikate, die eine Übereinstimmung der Dienste mit den gesetzlichen Anforderungen gewährleisten.
Eine verbreitete Zertifizierung erfolgt beispielsweise durch den EuroCloud Deutschland_eco e.V. als Verband der deutschen Cloud Computing-Industrie durch das Prüfsiegel. Außerdem bestätigt auch das TÜV-Prüfzeichen die Einhaltung verschiedener Cloud-spezifischer Sicherheitsaspekte. Auch eine Testierung des Cloud-Dienstleister nach dem Cloud Computing Anforderungskatalog (C5) des BSI selbst, in Analogie zu ISAE 3000, ist ein verlässliches Gütesiegel. Die Zertifizierungen gemäß IDW PS 951 (Typ I und Typ II) bieten einen Qualitätsnachweis des internen Kontrollsystems (IKS) des (Cloud-)Dienstleisters. Während eine Zertifizierung nach IDW PS 951 Typ I lediglich die Angemessenheit der internen Kontrollen des Dienstleistungsunternehmens zu einem bestimmten Zeitpunkt bescheinigt, umfasst eine Zertifizierung nach IDW PS 951 Typ II zusätzlich die Wirksamkeitsprüfung der eingerichteten Kontrollen über einen festgelegten Prüfungszeitraum. Die Zertifizierungen nach IDW PS 951 beschränken sich dabei nicht nur auf Cloud-Dienstleister, sondern ermöglichen die Zertifizierung sämtlicher Dienstleistungsunternehmen. Beide Zertifizierungstypen (I und II) können durch die Curacon-Spezialisten geprüft und testiert werden sichern sowohl dem Dienstleister als auch dem Kunden (eines Cloud-Dienstleisters) hinreichende Qualitätsstandards und Rechtssicherheit zu.
Sofern Sie bei bestimmten Punkten unsicher sind oder weitere Fragen haben, sprechen Sie uns jederzeit gerne an. Jetzt Kontakt aufnehmen!