Bereich 3 Rechtliche Belange, Verträge und elektronische Beweissicherung

vPierre Cloud, Cloud Computing, Sicherheit / Security Leave a Comment

  • Einleitung

Dieser Bereich betrachtet einige rechtliche Aspekte im Zusammenhang mit dem Cloud-Computing. Er gibt einen allgemeinen Hintergrund zu rechtlichen Belangen, die beim Verschieben von Daten in die Cloud relevant werden können, einige Dinge zur Berücksichtigung in einer Cloud-Dienstleistungsvereinbarung sowie die speziellen Aspekte einer elektronischen Beweissicherung in Rechtsstreitigkeiten.

Dieser Bereich gibt einen Überblick über ausgewählte Dinge; er geht jedoch nicht ausreichend in die Details, um auf jede denkbare Situation einzugehen. Hinsichtlich Ihrer besonderen Belange sollten Sie einen Rechtsbeistand in dem/den Rechtssystem(en) konsultieren, in dem sie arbeiten wollen und/oder wo sich Ihr Kunde aufhält.

Speziell behandelte Bereiche umfassen:

  • Rechtliche Belange beim Verschieben von Daten zum Cloud-Computing.
  • Betrachtungen für eine Cloud-Dienstleistungsvereinbarung (Verträge).
  • Spezielle Aspekte durch die elektronische Beweissicherung (eine spezifische US-Anforderung).

Obwohl dieser Bereich einige Aspekte der Daten-Governance sowie Revision/Compliance enthält, sind diese Dinge in den Bereichen 4 und 5 ausführlicher behandelt.

Dieser Bereich beschäftigt sich primär mit den rechtlichen Auswirkungen der Arbeit mit öffentlichen Clouds sowie mit privaten Clouds, die von Dritten gehostet werden, weil private Clouds vor Ort genauso wie die meisten vorhandenen IT-Abläufe behandelt werden können.

  • Überblick
  • Allgemeine rechtliche Belange

In vielen Ländern weltweit erfordern zahlreiche Gesetze, Verordnungen und andere Verfügungen von öffentlichen und privaten Organisationen, die Vertraulichkeit persönlicher Daten zu schützen und die Sicherheit der Informations- und Computersysteme zu gewährleisten. Beispielsweise haben im asiatisch-pazifischen Raum Japan, Australien, Neuseeland und viele andere Länder Datenschutzgesetze eingeführt, wonach der Datenverantwortliche angemessene technische, physische und administrative Maßnahmen ergreifen muss, um persönliche Daten vor Verlust, Missbrauch und Veränderung zu schützen. Diese Gesetze basieren auf den Datenschutz- und Sicherheitsrichtlinien der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) und dem Rechtsrahmen für Datenschutz der Asiatisch-Pazifischen Wirtschaftsgemeinschaft (APEC).

In Japan verlangt das Personal Information Protection Act von privaten Unternehmen den zuverlässigen Schutz persönlicher Informationen und Daten. Im Gesundheitswesen erfordern berufsspezifische Gesetze wie das Heilpraktikergesetz, das Gesetz über Pflegende, Hebammen und Krankenschwestern sowie das Apothekergesetz von niedergelassenen Fachleuten des Gesundheitswesen die Wahrung der Vertraulichkeit von Patientendaten.

Im Europäischen Wirtschaftsraum (EWR) waren die Datenschutzanforderungen historisch in zwei wichtigen EU-Richtlinien dargelegt (eine Art von EU-Gesetzen, welche die Mitgliedsstaaten in ihre eigenen Gesetze einführen müssen): der Datenschutzrichtlinie der Europäischen Union (EU) von 1995 und der Richtlinie für elektronische Kommunikation von 2002 (in der geänderten Fassung von 2009). Diese Richtlinien enthalten eine Sicherheitskomponente sowie die Weitergabe der Pflicht zur Bereitstellung einer adäquaten Sicherheit an Subunternehmer. Andere Länder mit engen Verbindungen zum EWR wie Marokko und Tunesien in Afrika sowie Israel und Dubai im Nahen Osten haben ebenfalls ähnliche Gesetze eingeführt, die denselben Prinzipien folgen.

Die Anforderungen der EU wurden kürzlich aktualisiert. Am 4. Mai 2016 hat die Europäische Union ihre neue Datenschutzgrundverordnung (DSGVO) eingeführt; im Gegensatz zu Richtlinien sind Verordnungen für die Mitgliedsstaaten direkt bindend und erfordern keine weitere Gesetzgebung. Die DSGVO ist ab 25. Mai 2018 anzuwenden. (Es gibt zudem eine neue begleitenden Richtlinie, die in jedem Mitgliedsstaat bis zu 6. Mai 2018 umgesetzt werden muss) Die DSGVO ersetzt die Datenschutzrichtlinie von 1995.

Aus Sicht von Nicht-EU-Unternehmen liegt ein wichtiger Unterschied zwischen den Richtlinien und Verordnungen darin, wie die neue Verordnung durchgesetzt wird. Nach den alten Richtlinien wurde der europäische Datenschutz außerhalb der EU gemäß individueller nationaler Gesetze sowie durch Verträge mit der EU durchgesetzt. Das umfasst Vereinbarungen wie EU – US Safe Harbor (jetzt erloschen nach der Gerichtsentscheidung in Maximillian Schrems v. Data Protection Commissioner (2015)) sowie deren Ersatz, das EU – US Privacy Shield. Deshalb unterliegen Unternehmen, welche EU-Datenschutzbestimmungen verletzt haben, gemäß den Richtlinien Durchsetzungsmaßnahmen nach den Gesetzen und Verordnungen ihres eigenen Landes und nicht denen der EU. Unter der neuen DSGVO ist EU-Recht direkt bindend für alle Unternehmen, die Daten der EU-Bürger verarbeiten, unabhängig davon, ob sie europäische Niederlassungen haben. Es bleibt abzuwarten, welche Wirksamkeit die Durchsetzungsbestimmungen haben werden.

Auch die Länder in Nord-, Mittel- und Südamerika führen in raschem Tempo Datenschutzgesetze ein. Alle diese Gesetze enthalten eine Sicherheitsanforderung und verlangen von der Datenverwahrung, den Schutz und die Sicherheit persönlicher Daten zu gewährleisten, wo auch immer sich die Daten befinden und vor allem bei der Übertragung zu einem Dritten. Zusätzlich zu den Datenschutzgesetzen von Kanada, Argentinien und Kolumbien, die seit mehreren Jahren bestehen, haben Mexiko, Uruguay und Peru Datenschutzgesetze erlassen, die wesentlich vom europäischen Modell inspiriert sind und ebenso Verweise auf das APEC Datenschutzrahmenwerk enthalten können.

Organisationen, die Geschäfte in den USA ausführen, können einem oder mehreren Datenschutzgesetzen unterliegen. Die Gesetze machen die Organisationen für das Handeln ihrer Subunternehmer verantwortlich. Beispielsweise fordern die Sicherheits- und Datenschutzregeln nach dem Gramm-Leach-Bliley Act (GLBA) oder dem Health Insurance Portability and Accountability Act von 1996 (HIPAA), dass Organisationen ihre Subunternehmer in schriftlichen Verträgen zum Einsatz angemessener Sicherheitsmaßnahmen sowie zur Einhaltung der Datenschutzbestimmungen zwingen. Branchenregeln, die per Vertrag durchgesetzt werden, wie die Sicherheitsstandards für Kreditkartentransaktionen (Payment Card Industry Data Security Standards / PCI-DSS) verlangen auch von Subunternehmern die Aufrechterhaltung konformer Sicherheitspraktiken.

Neben diesen gut bekannten Beispielen haben die USA eine riesige Anzahl kleinerer Gesetze und Verordnungen, welche jede Speicherung oder Nutzung persönlicher Informationen betreffen können. Diese Datenschutzegeln sind oft in größere Verordnungen eingebettet, welche die Tätigkeiten einer Branche betreffen. (Siehe beispielsweise 21 C.F.R. § 21 betreffs Datenschutzregeln für Informationen, die von der Lebens- und Arzneimittelbehörde FDA übermittelt oder von ihr zusammengetragen werden.) Ebenso gibt es Regierungsbehörden wie die Bundeshandelskommission (FTC) oder den Generalstaatsanwalt jedes Bundesstaates, die im allgemeinen Fall Datenschutz- und Sicherheitsanforderungen unabhängig davon durchsetzen können, ob ein bestimmtes Datenschutzgesetz eine Situation betrifft. Zum Beispiel in FTC v. Wyndham, 799 F.3d 236 (3d. Cir. 2015) entschied das Gericht, dass die FTC die Nichteinhaltung „wirtschaftlich zumutbarer Sicherheitsmaßnahmen“ als eine unfaire Handelspraxis bestimmen kann (etwas, das in den Zuständigkeitsbereich der FTC fällt).

Allgemein gesagt konzentrieren sich die Regulierungen in den meisten Ländern mit strengen Datenschutzgesetzen auf das Datensubjekt — die Person, auf welche die Daten verweisen. Diese Gesetze schützen die Daten unabhängig davon, wer sie aufbewahrt. Im Gegensatz dazu konzentrieren sich die Datenschutzgesetze der USA darauf, wer die Daten aufbewahrt. Im Allgemeinen gilt beispielsweise der HIPAA-Schutz nur für Daten, die durch Krankenkassen, Krankenkassen-Abrechnungsstellen und Gesundheitsdienstleister sowie deren Vertreter (im HIPAA als Geschäftspartner bezeichnet) gespeichert werden; andere Einrichtungen, welche Gesundheitsdaten erfassen und nutzen, sind im Gegensatz dazu nicht an das HIPAA gebunden. Ein ähnliches Modell gilt für die meisten anderen US-Bundesgesetze und Verordnungen für den Datenschutz.

In den USA haben die meisten Bundesstaaten zusätzlich zu den Bundesgesetzen und -Verordnungen eigene Gesetze für den Datenschutz, zumindest hinsichtlich von Finanzinformationen, die bei einem Verstoß verlorengehen. Diese Gesetze gelten für Unternehmen mit irgendeiner Präsenz in den USA (nicht nur für eine Präsenz in dem bestimmten Bundesstaat mit dem Gesetz) unabhängig davon, wo die Daten in den USA gespeichert sind. Die Gesetze mancher Bundesstaaten gelten nur für Daten ihrer eigenen Bürger; Gesetze anderer Bundesstaaten gelten sowohl für die Daten ihrer eigenen Bürger als auch für die Daten für Bürger anderer Bundesstaaten, die keine eigenen Datenschutzgesetze haben. (Siehe z.B. das Gesetz des Bundesstaates Texas Tex. Bus. & Com. Code § 521.053(b).) Einige dieser Gesetze sind sehr allgemein; andere beziehen sich auf bestimmte Standards (wie den oben erwähnten PCI-DSS) und ordnen die Haftung basierend auf der Einhaltung zu. (Siehe z.B. das Gesetz des Bundesstaates Washington RCW 19.255.020(2)(b).)

Die folgenden Abschnitte geben Beispiele rechtlicher Angelegenheiten, die in Verbindung mit der Übertragung persönlicher Daten in die Cloud oder der Verarbeitung persönlicher Daten in der Cloud entstehen können.

Angelegenheit Beschreibung
US-Bundesgesetze Zahlreiche Bundesgesetze und ihre zugehörigen Verordnungen wie GLBA, HIPAA und das Children’s Online Privacy Protection Act von 1998 (“COPPA”) erfordern zusammen mit Anweisungen von der FTC von den Unternehmen die Einführung spezifischer Maßnahmen für Datenschutz und Sicherheit bei der Verarbeitung von Daten sowie die Forderung entsprechender Sicherheitsmaßnahmen in deren Verträgen mit dritten Dienstleistern. Die Gesetzgebung in FTC v. Wyndham fordert auch, dass Unternehmen „wirtschaftlich zumutbare Sicherheitsmaßnahmen“ bei der Verarbeitung von Daten einführen.
Gesetze der US-Bundesstaaten Zahlreiche Gesetze der US-Bundesstaaten definieren für Unternehmen auch die Pflicht, eine adäquate Sicherheit für persönliche Daten bereitzustellen und von ihren Dienstleistern dasselbe zu fordern. Gesetze der Bundesstaaten hinsichtlich Belangen der Informationssicherheit fordern mindestens, dass das Unternehmen einen schriftlichen Vertrag mit dem Dienstleister hat, der angemessene Sicherheitsmaßnahmen umfasst. Siehe z.B. die umfangreichen Anforderungen in Massachusetts „Standards zum Schutz persönlicher Informationen von Einwohnern des Commonwealth,“ 201 CMR 17.00.
Standards Standards wie PCI-DSS oder ISO 27001 erzeugen einen Dominoeffekt ähnlich dem von Bundesgesetzen und bundesstaatlichen Gesetzen. Unternehmen, die PCI-DSS oder ISO 27001 unterliegen, müssen sowohl selbst die angegebenen Standards erfüllen als auch dieselbe Pflicht zur Erfüllung der Standards, denen sie unterliegen, auf die Subunternehmer übertragen.
Internationale Verordnungen Viele Länder haben Datenschutzgesetze eingeführt, die dem Modell der Europäischen Union, dem OECD-Modell oder dem APEC-Modell folgen. Unter diesen Gesetzes bleibt der Datenverantwortliche (typischerweise die Einrichtung, welche die primäre Beziehung zu einer Einzelperson hat) für die Erfassung und Verarbeitung persönlicher Daten verantwortlich, auch wenn Dritte diese Daten verarbeiten. Der Datenverantwortliche muss gewährleisten, dass jegliche Dritten, die in seinem Auftrag persönliche Daten verarbeiten, adäquate technische und organisatorische Sicherheitsmaßnahmen zum Schutz der Daten ergreifen.
Vertragliche Pflichten Selbst wenn eine bestimmte Tätigkeit nicht geregelt ist, haben Unternehmen eine vertragliche Pflicht zum Schutz persönlicher Informationen ihrer Kunden, Geschäftskontakte und Mitarbeiter, um zu gewährleisten, dass die Daten nicht zweckentfremdet verwendet oder Dritten gegenüber offengelegt werden. Diese Pflicht kann sich zum Beispiel von den Allgemeinen Geschäftsbedingungen und der Datenschutzerklärung ableiten, die ein Unternehmen auf seiner Webseite stehen hat.

Alternativ kann das Unternehmen Verträge (wie Dienstleistungsvereinbarungen) mit seinen Kunden geschlossen haben, in denen es bestimmte Verpflichtungen zum Schutz der Daten (persönliche Daten oder Unternehmensdaten) eingegangen ist, deren Nutzung begrenzt, deren Sicherheit, den Einsatz von Verschlüsselung usw. gewährleistet. Die Organisation muss gewährleisten, dass für von ihr verwahrte Daten auch beim Hosting in der Cloud weiterhin die Versprechen und Verpflichtungen eingehalten werden, die in der Datenschutzerklärung oder anderen Verträgen zugesichert sind. Das Unternehmen kann zum Beispiel vereinbart haben, die Daten nur für bestimmte Zwecke zu verwenden. Daten in der Cloud  dürfen nur für die Zwecke verwendet werden, wofür sie erfasst worden sind. Wenn die Datenschutzerklärung einzelnen betroffenen Personen den Zugriff auf deren persönliche Daten erlaubt und die Änderung oder Löschung ermöglicht, muss der Cloud-Provider ebenfalls diesen Zugriff und die Rechte zur Änderung und Löschung gewähren, damit diese im selben Ausmaß ausgeführt werden können, wie das ohne Cloud möglich wäre. | | Verbot grenzüberschreitender Übertragungen | Viele Gesetze weltweit verbieten oder beschränken die Übertragung von Informationen nach außerhalb des Landes. In einigen Fällen (beispielsweise bei der Europäischen Union) ist die Übertragung nur erlaubt, wenn das Land, wohin die Daten übertragen werden, einen adäquaten Schutz persönlicher Informationen und Datenschutzrechte anbietet. Zweck dieser Forderung nach Adäquatheit ist die Gewährleistung, dass einzelne betroffene Personen, deren Daten ins Ausland übertragen werden, in dem neuen Land, wohin ihre Daten übertragen worden sind, einen Datenschutz und Datenschutzrechte genießt, die ähnlich und nicht geringer sind als jene, die ihr vor der Übertragung gewährt worden sind. Daher ist es für einen Cloud-Nutzer wichtig zu wissen, wo die persönlichen Daten seiner Mitarbeiter, Kunden und anderen Personen gespeichert werden, so dass er die spezifischen Beschränkungen adressieren kann, welche ausländische Datenschutzgesetze auferlegen können. Je nach Land können die Anforderungen zur Gewährleistung dieses adäquaten Schutz komplex und strikt sein. In manchen Fällen kann es nötig sein, die vorherige Erlaubnis des örtlichen Datenschutzbeauftragten zu erhalten. In anderen Ländern (typischerweise jene mit Beschränkungen für den Informationsfluss) ist die Übertragung von Daten der Bürger nach außerhalb des Landes einfach verboten. |

  • Überlegungen für Verträge

Wenn Daten oder Betriebsabläufe in die Cloud verlagert werden, bleibt die Verantwortung für den Schutz und die Sicherheit der Daten üblicherweise beim Erfasser oder Verwahrer dieser Daten, sogar wenn diese Verantwortung unter bestimmten Umständen mit anderen geteilt werden kann. Wenn er für Hosting oder Verarbeitung seiner Daten auf Dritte vertraut, haftet der Verwahrer weiterhin für Verluste, Schäden oder Missbrauch der Daten. Es ist klug und kann sogar per Gesetz oder Verordnung gefordert sein, dass der Datenverwahrer und der Cloud-Provider eine formale schriftliche Vereinbarung treffen und darin klar die Rollen. die Erwartungen der Seiten und die Zuordnung der vielen Verantwortlichkeiten definieren, die mit den fraglichen Daten verbunden sind.

Die Gesetze, Verordnungen, Standards und oben erwähnten bewährten Praktiken erfordern vom Datenverwahrer ebenfalls die Gewährleistung, dass diese Pflichten erfüllt werden durch Anwendung einer gebührenden Sorgfalt (vor Abschluss des Vertrags) sowie von Sicherheits-Audits (während der Laufzeit des Vertrags).

Gebührende Sorgfalt

Vor Abschluss einer Vereinbarung mit dem Cloud-Computing sollte ein Unternehmen seine eigenen Methoden, Anforderungen und Beschränkungen bewerten, um die rechtlichen Barrieren und Compliance-Anforderungen zu bestimmen, die mit dem beabsichtigten Cloud-Computing verbunden sind. Beispielsweise sollte es bestimmen, ob sein Geschäftsmodell die Nutzung von Cloud-Diensten gestattet und unter welchen Bedingungen. Die Natur des Geschäfts könnte zum Beispiel so sein, dass gesetzlich der Verzicht auf die Kontrolle über die Unternehmensdaten beschränkt ist.

Außerdem sollte das Unternehmen —und in manchen Fällen ist es rechtlich dazu verpflichtet— eine Prüfung des vorgesehenen Cloud-Dienstleisters mit gebührender Sorgfalt durchführen und dabei bestimmen, ob das Angebot dem Unternehmen ermöglicht, seine fortwährende Pflicht zum Schutz seiner Dinge zu erfüllen.

Überwachung, Tests und Aktualisierungen

Die Cloud-Umgebung ist nicht statisch. Sie entwickelt sich und die Beteiligten müssen sich daran anpassen. Regelmäßige Überwachungen, Tests und Bewertungen der Cloud-Dienste sind empfohlen und sollen sicherstellen, dass die geforderten Maßnahmen für Sicherheit und Datenschutz verwendet werden und dass alle geforderten Prozesse und Richtlinien eingehalten werden. Ohne diese regelmäßigen Tests kann die Kontrollwirksamkeit in unerkannter Weise beeinträchtigt sein.

Zudem ändert sich das rechtliche, regulatorische und technische Umfeld für die Betriebsabläufe des Unternehmens in rasanter Weise. Neue Sicherheitsbedrohungen, neue Gesetze und neue Compliance-Anforderungen müssen umgehend berücksichtigt werden. Sowohl Cloud-Kunden als auch Cloud-Provider müssen auf dem Laufenden bleiben bezüglich rechtlicher, regulatorischer, vertraglicher und anderer Anforderungen und müssen beide sicherstellen, dass ihre Betriebsabläufe konform zu geltenden Gesetzen und Vorschriften bleiben und dass sich die eingesetzten Sicherheitsmaßnahmen beim Aufkommen neuer Technologien weiterentwickeln.

Vertrauen auf Audits und Bescheinigungen Dritter

Audits und Compliance sind im Bereich 4 ausführlicher behandelt, aber zwei Überlegungen können vertragliche und rechtliche/regulatorische Anforderungen beeinflussen. Beim Cloud-Computing werden häufig Audits oder Bescheinigungen Dritter verwendet, um die Compliance bei Aspekten der Infrastruktur des Cloud-Providers zu versichern, wodurch der Cloud-Kunde seine eigenen konformen Dienste auf der Cloud-Plattform aufbauen kann. Für den Provider ist es wichtig, folgende Dinge zu veröffentlichen und für den Kunden diese zu bewerten:

  • den Umfang der Beurteilung.
  • Welche spezielle Funktionen/Dienste sind in der Beurteilung enthalten.

Beispielsweise könnte das neuste Speicherangebot eines Cloud-Providers nicht HIPAA-konform sein (und daher der Provider nicht bereit sein, eine HIPAA Geschäftspartnervereinbarung (BAA) zu unterzeichnen, die das abdeckt), auch wenn viele seiner anderen Serviceangebote in einer Art und Weise zu HIPAA konform genutzt werden können.

  • Spezielle Belange der elektronischen Beweissicherung

Dieser Abschnitt beschäftigt sich mit den spezifischen Anforderungen der Rechtsstreitigkeiten in den USA. Die US-Regeln rund um „Beweissicherung“– der Prozess, durch den eine gegnerische Partei private Dokumente zur Nutzung in Rechtsstreitigkeiten erhalten kann – deckt eine breite Palette möglicher Dokumente ab. Insbesondere muss die Beweissicherung nicht alleinig auf Dokumente beschränkt sein, die bekanntermaßen von vornherein als Beweismittel vor Gericht zulässig sind; stattdessen betrifft die Beweissicherung alle Dokumente, die nach vernünftiger Annahme zu zulässigen Beweismitteln führen werden (Beweismittel, die relevant und beweiskräftig sind). Siehe allgemein Regel 26, US-amerikanische Zivilprozessordnung (FRCP).

In den letzten Jahren gab es zahlreiche Situationen, in denen Prozessgegner beschuldigt worden sind, wichtige Beweismittel freiwillig gelöscht, verloren oder verändert zu haben, die für ihrem Fall nachteilig waren. In diesen Fällen erlaubt die US-amerikanische Zivilprozessordnung neben anderen Strafen auch, dass der für die Zerstörung nicht verantwortlichen Seite Geld zugesprochen wird; in manchen Fällen können die Geschworenen angewiesen sein, „nachteilige Rückschlüsse“ zu ziehen (wo der Richter oder die Geschworenen angewiesen sind anzunehmen, dass die zerstörten Beweismittel die schlimmstmöglichen Dinge über die Partei aussagen, die sie zerstört hat). Siehe allgemein Regel 37, FRCP. Als ein Ergebnis der fortwährenden Rechtsstreite in diesem Bereich wurde die FRCP geändert, um die Pflichten der Parteien klarzustellen, vor allem im Falle elektronisch gespeicherter Informationen (ESI).

Seitdem die Cloud der Verwahrungsort der meisten ESI werden wird, die in einem Rechtsstreit oder einer Untersuchung nötig sind, müssen Cloud-Dienstleister und deren Kunden sorgfältig planen, wie sie alle einen Fall betreffenden Dokumente identifizieren können, um die strikten Anforderungen erfüllen zu können, welche die FRCP 26 sowie die bundesstaatlichen Äquivalente zu diesen Gesetzen im Hinblick auf ESI auferlegen.

Diesbezüglich müssen Cloud-Kunde und Cloud-Provider die folgenden Dinge betrachten, wenn ein Kunde einer Offenlegungsaufforderung unterliegt und potenziell relevante Daten beim Cloud-Provider liegen.

Besitz, Verwahrung und Kontrolle

In den meisten Zuständigkeitsbereichen in den Vereinigten Staaten ist die Pflicht einer Seite zur Bereitstellung relevanter Informationen auf Dokumente und Daten in seinem Besitz, seiner Verwahrung oder Kontrolle beschränkt. Das Hosting relevanter Daten bei einem Dritten wie etwa einem Cloud-Provider verhindert im Allgemeinen nicht die Pflicht der Seite zur Bereitstellung von Informationen, sofern sie das Recht zum Zugriff oder Erhalt der Daten hat. Es können sich jedoch nicht alle bei einem Cloud-Provider gehosteten Daten in der Kontrolle des Kunden befinden (z.B. Systeme der Notfallwiederherstellung oder bestimmte Metadaten, die vom Cloud-Provider für den Betrieb seiner Umgebung erzeugt und gepflegt werden). Die Unterscheidung der Daten, welche dem Kunden verfügbar sind und welche nicht, kann im Interesse des Kunden und Providers liegen. Die Pflichten des Cloud-Dienstleisters als Cloud-Datenverarbeiter hinsichtlich der Bereitstellung von Informationen als Antwort auf Rechtsprozesse ist ein Thema, dass jedem Zuständigkeitsbereich zur Lösung überlassen bleibt.

Relevante Cloud-Anwendungen und Umgebung

Gelegentlich kann die tatsächliche Cloud-Anwendung oder Umgebung selbst für die Lösung eines Streitfalls relevant sein. Unter diesen Umständen werden sich die Anwendung und Umgebung wahrscheinlich außerhalb der Kontrolle des Kunden befinden und erfordern eine Vorladung oder anderen Prozess der Beweissicherung, dem der Provider direkt Folge zu leisten hat.

Recherchierbarkeit und Werkzeuge elektronischer Beweissicherung

In der Cloud-Umgebung kann ein Kunde nicht die Möglichkeit haben, die Werkzeuge der elektronischen Beweissicherung einzusetzen, die er in seiner eigenen Umgebung verwendet. Außerdem kann ein Kunde nicht die Möglichkeit oder administrativen Rechte haben, um auf alle in der Cloud gespeicherten Information zuzugreifen oder diese zu durchsuchen. Wenn zum Beispiel ein Kunde sofort auf die E-Mail-Konten mehrerer Mitarbeiter auf seinen eigenen Servern zugreifen könnte, kann er diese Möglichkeit bei E-Mail-Konten, die in der Cloud liegen, nicht haben. Daher müssen Kunden die potenziell zusätzliche Zeit und Kosten bedenken, die durch diese begrenzten Zugriff entstehen können.

Bewahrung

Allgemein gesagt ist eine Partei in den Vereinigten Staaten verpflichtet, angemessene Schritte zu unternehmen, um eine Zerstörung oder Veränderung von Daten oder Informationen zu verhindern, die sich in ihrem Besitz, ihrer Verwahrung oder Kontrolle befinden, von denen sie weiß oder halbwegs wissen sollte, dass sie für laufende oder erwartbar abzusehende Rechtsstreitigkeiten oder eine behördliche Untersuchung relevant sind. (Das wird häufig als „Aufbewahrungspflicht“ gegenüber der Zerstörung von Dokumenten bezeichnet.) Abhängig vom durch den Kunden genutzten Modell des Cloud-Service und der Aufstellung kann die Aufbewahrung in der Cloud sehr ähnlich zur Aufbewahrung in anderen IT-Infrastrukturen sein oder sie kann wesentlich komplexer sein.

In der Europäischen Union ist die Informationsaufbewahrung durch die Richtlinie 2006/24/EC des Europaparlaments und des Europäischen Rates vom 15. März 2006 geregelt. Japan, Südkorea und Singapur haben ähnliche Datenschutz-Initiativen. In Südamerika haben Brasilien und Argentinien entsprechend das Azeredo Bill und das argentinische Datenaufbewahrungsgesetz von 2004, Law No. 25.873 vom 6. Februar 2004. In den Vereinigten Staaten werden diese Anliegen allgemein durch die US-amerikanische Zivilproessordnung 37 geregelt, obwohl es unzählige Rechtsprechungen gibt, die für potenzielle Prozessparteien gelten.

  • Kosten und Speicherung

Die Aufbewahrung kann erfordern, dass großen Datenmengen über lange Zeiträume gespeichert werden. Welche Auswirkungen hat das gemäß der Dienstleistungsvereinbarung (“SLA”)? Was geschieht, wenn die Anforderungen der Aufbewahrung die Gültigkeit der SLA überdauern? Wer bezahlt für die längere Speicherung und welche Kosten, falls der Kunde die Daten an einem Ort aufbewahrt? Hat der Kunde die Speicherkapazität gemäß seiner SLA? Kann der Kunde die Daten effektiv und auf forensisch solide Art und Weise herunterladen, um diese Offline oder Nearline aufzubewahren? Als Teil eines Umstiegs zur Cloud sollten alle diese Fragen berücksichtigt werden.

  • Umfang der Aufbewahrung

Eine anfragende Partei ist nur für in der Cloud gehostete Daten berechtigt, die beweiskräftige Informationen für den fraglichen Fall enthalten oder vernünftigerweise zu solchen Informationen führen, jedoch nicht für alle Daten in der Cloud oder in der Anwendung. (Die Frage, wo genau die Grenzen liegen, wird wahrscheinlich im Gerichtsprozess geklärt.) Wenn der Kunde jedoch nicht die Möglichkeit hat, nur die relevanten Informationen oder Daten granular aufzubewahren, kann er gezwungen sein, mehr aufzubewahren, um eine angemessene Aufbewahrung je nach Rechtsstreitigkeit oder Untersuchung zu bewirken. (Die Informationen werden dann durchgearbeitet zur Bestimmung dessen, was im Rahmen des Beweissicherungsverfahrens übergeben werden muss und was nicht. Dieser als Dokumentendurchsicht oder rechtliche Durchsicht bezeichnete Prozess kann von einem bezahlten Anwalt oder in manchen Fällen durch aufkommende Expertensysteme durchgeführt werden. Wie die immer größer werdenden Informationsmengen zu sortieren sind, die bei der Beweissicherung anfallen können, ist ein fortwährendes Thema der rechtlichen und technischen Forschung.)

  • Dynamische und geteilte Speichersysteme

Die Last der Datenaufbewahrung kann in der Cloud recht moderat ausfallen, wenn der Kunde Platz zur Aufbewahrung hat, wenn die Daten relativ statisch sind und wenn die Leute mit Zugriff darauf begrenzt sind und wissen, dass die Daten aufzubewahren sind. Jedoch in einer Cloud-Umgebung, die programmgesteuert Daten verändert oder bereinigt oder wo die Daten mit Leuten geteilt werden, denen die Notwendigkeit der Aufbewahrung nicht bewusst ist, kann die Aufbewahrung schwieriger sein. Nachdem ein Kunde bestimmt, dass solche Daten relevant sind und aufbewahrt werden müssen, muss der Kunde eventuell mit dem Provider zusammenarbeiten und einen angemessenen Weg zur Aufbewahrung dieser Daten finden.

Erfassung

Weil der Kunde potenziell nicht genügend administrative Kontrolle über seine Daten in der Cloud hat, kann die Erfassung aus der Cloud schwieriger, zeitaufwändiger und teurer sein als von hinter der Firewall des Kunden. Insbesondere kann ein Kunde nicht dieselbe Sichtbarkeit aller seiner Daten in der Cloud haben und es kann schwieriger sein, die von ihm erfassten Daten mit den Daten in der Cloud zu vergleichen und zu bestimmen, ob der Datenexport vollständig und richtig war

  • Zugriff und Bandbreite

In den meisten Fällen wird der Zugriff des Kunden auf seine Daten in der Cloud über seine SLA geregelt. Das kann seine Möglichkeit zur schnellen Erfassung großer Datenmengen in einer forensisch soliden Weise begrenzen (d.h. mit allen aufbewahrten und angemessen relevanten Metadaten). Kunden und Cloud-Provider sind gut beraten, dieses Thema beim Beginn ihrer Beziehung zu berücksichtigen und ein Protokoll (sowie die Kosten) für einen außerordentlichen Zugriff im Fall einer Rechtsstreitigkeit zu vereinbaren. Beim Fehlen solcher Vereinbarungen sollten Kunden den zusätzlichen Zeitaufwand und die Kosten für eine Erfassung der Daten in der Cloud berücksichtigen, wenn sie Erklärungen gegenüber anfragenden Parteien und Gerichten abgeben. Beachten Sie, dass FRCP 26(b)(2)(B) eine Schutzanordnung vorsieht für den Fall, falls dieser außerordentliche Zugriff Kosten verursacht, die eine „übermäßige Last“ für diese Partei darstellen.

In einem ähnlichen Fall kann das Recht des Kunden auf Datenzugriff ihm den Zugriff auf alle Daten gewähren, aber nicht die nötige Funktionalität bieten, um ihn in einer bestimmten Situation zu unterstützen. Beispielsweise kann ein Kunde Zugriff auf drei Jahre Verkaufstransaktionsdaten haben, aber zu einer Zeit darf er infolge funktionaler Beschränkungen nur zwei Wochen Daten herunterladen. Außerdem kann ein Kunde eventuell keinen vollen Zugriff auf alle aktuellen Metadaten haben, sondern nur auf eine begrenzte Auswahl der Metadaten. Es ist vernünftig herauszufinden, was mit den verfügbaren Werkzeugen für einen Kunden möglich ist, bevor er diese im Rahmen eines laufenden Gerichtsprozesses einsetzen muss.

  • Forensik

Eine Bit-für-Bit-Kopie einer Cloud-Datenquelle ist allgemein schwierig oder unmöglich. Aus offensichtlichen Sicherheitsgründen sind Provider dabei zögerlich, einen Zugriff auf ihre Hardware zu gestatten, vor allem in Umgebungen mit mehreren Mandanten, wo ein Kunde Zugriff auf die Daten eines anderen Kunden erlangen könnte. Sogar in einer privaten Cloud kann Forensik extrem schwierig sein und die Kunden müssen eventuell den gegnerischen Anwalt oder das Gericht über diese Beschränkungen informieren. (Wieder kann FRCP 26(b)(2)(B) eine Entlastung von solchen übermäßigen Lasten vorsehen.) Glücklicherweise ist diese Art forensischer Analyse im Cloud-Computing nur selten garantiert, weil die Umgebung häufig aus einer strukturierten Datenhierarchie oder Virtualisierung besteht, die bei einer Bit-für-Bit-Analyse keine wesentlichen zusätzlich relevanten Informationen bietet.

  • Angemessene Integrität

Eine Kunde, der einer Anfrage zur Beweissicherung unterliegt, sollte angemessene Schritte unternehmen und nachweisen, dass seine Erfassung von seinem Cloud-Provider vollständig und richtig ist, vor allem wenn gewöhnliche Geschäftsabläufe nicht verfügbar sind und für den Gerichtsprozess spezifische Maßnahmen verwendet werden, um die Informationen zu erhalten.

Direktzugriff

Außerhalb der Cloud-Umgebung ist der direkte Zugriff einer anfragenden Partei auf die IT-Umgebung der antwortenden Partei normalerweise nicht bevorzugt (obwohl es gelegentlich vorkommt; in der Tat waren manche Gerichte bereit, unangekündigte Beschlagnahmungen von IT-Ausrüstung zum Zweck der Beweisaufbewahrung in Zivilprozessen einschließlich Arbeitsstreitigkeiten zu genehmigen.) In der Cloud-Umgebung ist das noch weniger favorisiert und kann aus den gleichen Gründen wie bei einer forensischen Analyse unmöglich sein. Darüber hinaus kann ein Kunde möglicherweise keinen direkten Zugang bereitstellen, weil sich Hardware und Einrichtungen nicht in seinem Besitz, seiner Verwahrung oder Kontrolle befinden und eine anfragende Partei für einen solchen Zugriff direkt mit dem Provider verhandeln müsste.

Native Formate

Cloud-Dienstleister speichern die Daten häufig in sehr proprietären Systemen und Anwendungen in der Cloud, die Kunden nicht kontrollieren können. Im Allgemeinen wird eine Bereitstellung von ESI in Standardformaten (wie PDF für elektronische Dokumente) erwartet, sofern nicht durch Umwandlung (wie bei Metadaten) Informationen verlorengehen, die für den Streitfall relevant sind. In diesen Fällen kann die Bereitstellung der Daten im cloudeigenen Format für die anfragende Partei nutzlos sein, da sie die erzeugten Informationen nicht verstehen kann. Unter diesen Umständen kann es für alle Betroffenen am besten sein – anfragende Partei, bereitstellende Partei und Provider – dass die relevanten Informationen über in der Cloud-Umgebung vorhandene standardmäßige Berichts- oder Exportprotokolle mit gebührender Sorgfalt exportiert werden, um alle relevanten Informationen zu bewahren.

Authentisierung

In diesem Kontext bezieht sich Authentisierung auf die forensische Authentisierung der Daten, die als Beweismittel anerkannt sind. Das sollte nicht mit der Benutzer-Authentisierung verwechselt werden, die eine Komponente des Identitätsmanagements ist. Die Datenspeicherung in der Cloud beeinflusst nicht die Analyse zur Authentisierung der Daten, um zu bestimmen, ob diese als Beweismittel anerkannt werden sollen. Die Frage ist, ob das Dokument dieses ist, was es zu sein vorgibt. Eine E-Mail ist nicht mehr oder weniger authentisch, weil sie hinter der Firewall eines Unternehmens gespeichert war oder in der Cloud. Die Frage ist, ob sie mit Integrität gespeichert war, so dass das Gericht darauf vertrauen kann, das sie nach ihrem Entstehen nicht verändert worden ist. Sofern keine anderen Beweise wie Datenfälschung oder Hackerangriffe vorliegen, sollten Dokumente nicht als mehr oder weniger zulässig oder glaubhaft angesehen werden, weil sie in der Cloud erzeugt oder gespeichert waren.

Kooperation zwischen Provider und Kunde bei der elektrischen Beweissicherung

Es liegt im besten Interesse des Providers und Kunden, bereits zu Beginn ihrer Beziehung die durch Beweissicherung verursachten Schwierigkeiten zu betrachten und diese in ihren SLAs zu berücksichtigen. Provider könnten erwägen, zur Anziehung von Kunden ihre Cloud-Angebote so zu gestalten, dass Dienste zur Beweissicherung einbezogen sind (“Beweissicherung per Design”). Auf jeden Fall sollten Kunden und Provider überlegen, eine Vereinbarung für eine angemessene gegenseitige Kooperation einzubeziehen für den Fall, dass gegenseitige Anfragen zur Beweissicherung entstehen.

Reaktion auf eine Vorladung oder einen Durchsuchungsbefehl

Der Cloud-Dienstleister wird wahrscheinlich von Dritten eine Anforderung zur Bereitstellung von Informationen erhalten in Form einer Vorladung, einer richterlichen Anordnung oder eines Gerichtsbeschlusses, worin der Zugang zu den Kundendaten gefordert wird. Der Kunde möchte vielleicht die Möglichkeit haben, sich gegen die Zugriffsanforderung zu wehren, um die Vertraulichkeit oder Geheimhaltung der begehrten Daten zu schützen. Zu diesem Zweck sollte die Cloud-Servicevereinbarung vom Cloud-Dienstleister verlangen, das Unternehmen über den Erhalt einer Vorladung zu informieren und dem Unternehmen Zeit zu geben, sich gegen die Zugriffsanforderung zu wehren.

Der Cloud-Dienstleister könnte dazu verleitet sein, auf die Anfrage mit einer Öffnung seiner Einrichtungen zu reagieren und dem Anfragenden alle Informationen zur Verfügung zu stellen, die in der Zugriffsanforderung angegeben sind. Bevor er das macht, sollte der Cloud-Dienstleister in Absprache mit einem Anwalt sicherstellen, dass die Anforderung ordnungsgemäß ist. Der Cloud-Dienstleister sollte die Anforderung gründlich analysieren, bevor er Informationen aus seiner Verwahrung offenlegt, und sollte berücksichtigen, ob er durch Bekanntgabe von Informationen seine Pflichten gegenüber seinen Kunden erfüllen kann. In manchen Fällen kann ein Provider die Bedürfnisse seiner Kunden besser bedienen, indem er sich gegen eine zu umfangreiche oder anderweitig problematische Forderung von Informationen wehrt.

Weitere Informationen

Es gibt zahlreiche Quellen für weiteren Lesestoff zu Beweissicherung und elektronische gespeicherten Informationen. Etwas Interessantes dabei ist die Sedona Konferenz, eine Gruppe, die seit einigen Jahren einflussreiche Empfehlungen rund um den Umgang mit ESI gemacht hat und diesen aufkommenden Bereich des Rechts geprägt hat. Beachten Sie aber auch, dass deren Empfehlungen selbst keine Gesetzeskraft haben.

  • Empfehlungen
  • Cloud-Kunden sollten die relevanten rechtlichen, regulatorischen und vertraglichen Anforderungen für den Umgang mit Daten und Betriebsabläufe verstehen, bevor sie Systeme in die Cloud bringen.
  • Cloud-Provider sollten eine klare Darstellung zu ihren Richtlinien, Anforderungen und Fähigkeiten zur Erfüllung der rechtlichen Pflichten des Kunden etwa zur elektronischen Beweissicherung veröffentlichen.
  • Cloud-Kunden sollten die rechtlichen Auswirkungen der Nutzung eines bestimmten Cloud-Providers verstehen und diese mit ihren rechtlichen Anforderungen abstimmen.
  • Cloud-Kunden müssen die rechtlichen Auswirkungen davon kennen, wo der Cloud-Provider physisch arbeitet und Informationen speichert.
    • In vielen Fällen kann ein Cloud-Kunde wählen, wo seine Daten gehostet werden, um die Anforderungen des Zuständigkeitsbereiches zu erfüllen.
  • Cloud-Kunden und Provider sollten sich über die rechtlichen und technischen Anforderungen im Klaren sein, um alle Anforderungen einer elektronischen Beweissicherung zu erfüllen.

Cloud-Kunden sollten sich darüber im Klaren sein, dass Durchklickvereinbarungen zur Nutzung eines Cloud-Dienstes keinerlei Anforderungen zur Ausführung einer entsprechenden sorgfältigen Prüfung umgehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.