<h1>Analyse betrieblicher Vereinbarungen zum Cloud Computing</h1> <h2>Obwohl die cloudgest&uuml;tzte Verarbeitung von Besch&auml;ftigtendaten ansteigt, bildet sich diese Tatsache nicht in Betriebsvereinbarungen ab. Werden zwingende Mitbestimmungsrechte nicht oder zumindest noch nicht ausge&uuml;bt? Quelle Hans-B&ouml;ckler-Stiftung</h2> <p>Entwicklung des Cloud Computing Allgemeine Hinweise auf die Datenverarbeitung in der Cloud Regelungspunkte bei cloudbasierter Datenverarbeitung Aufbewahrungsfristen, L&ouml;schfristen Grenz&uuml;berschreitender Datenverkehr, Konzerndatenfluss, Auftragskontrolle Leistungs- und Verhaltenskontrollen Problematik der cloudf&auml;higen Software EuGH-Urteil zum Safe-Harbor-Abkommen Die Sichtung des Archivs Betriebliche Vereinbarungen der Hans-B&ouml;ckler-Stiftung ergab 13 Vereinbarungen aus 10 unterschiedlichen Branchen, die sich direkt oder indirekt mit dem Thema Cloud Computing besch&auml;ftigen und Gegenstand der vorliegenden Auswertung wurden. Angesichts der in den letzten Jahren stark ansteigenden Verwendung von cloudbasierten Anwendungen in Unternehmen ist dies eine verschwindend geringe Zahl, zumal sich mehrere Vereinbarungen auf die gleiche Software beziehen. Die Materie weist jedoch neben der geringen Regelungsanzahl noch weitere Besonderheiten auf: Zum einen war aus den vorliegenden Vereinbarungen gr&ouml;&szlig;tenteils nicht ersichtlich, dass es sich um Anwendungen handelt, die nicht mehr im Unternehmen selbst angesiedelt sind. Vielmehr konnte die Tatsache, dass eine Cloud-Datenverarbeitung im Hintergrund steht, oft nur aus den bekannten Namen der Software selbst geschlossen werden. Dabei ist gerade die cloudgest&uuml;tzte Datenverarbeitung selbst stark regelungsbed&uuml;rftig. Zum einen ist oft nicht klar erkennbar, wo sich die Server-Standorte befinden und welchen Umfang der Zusammenschluss von Server-Farmen weltweit annehmen kann, wenn die Software in Auftragsspitzen die gr&ouml;&szlig;tm&ouml;gliche Auslastung erzielt. Datenschutzrechtlich kann jedoch nicht abgewichen werden von dem Grundsatz, dass gerade auch der Ort der Datenverarbeitung ein wesentliches Kriterium f&uuml;r die Sicherheit der Mitarbeiterdaten darstellt. Denn so sicher Regelungen in Deutschland sein k&ouml;nnen - wenn die Daten ins au&szlig;ereurop&auml;ische Ausland transportiert werden, entstehen gewaltige Regelungsl&uuml;cken, da dort geltende Gesetze oftmals keinen Schutz bieten. Zum anderen wurden die bei der au&szlig;ereurop&auml;ischen Cloud-Datenverarbeitung zwingend notwendigen vertraglichen Regelungen zwischen Arbeitgeber und Software- bzw. Cloud-Anbieter selten in den betrieblichen Regelungen erw&auml;hnt. Ein Mitbestimmungsgremium kann seinen Schutzpflichten jedoch nur nachkommen, wenn der Arbeitgeber hier seine Auflagen erf&uuml;llt n&auml;mlich die Absicherung der Datenstr&ouml;me durch Auftragsdatenverarbeitungsvertr&auml;ge oder den Abschluss der EU-Standardvertragsklauseln. Diese und viele weitere Punkte sind oftmals jedoch noch weitestgehend ungekl&auml;rt. Die untersuchten Vereinbarungen stammen &uuml;berwiegend aus den letzten drei Jahren und es w&auml;re zu erwarten gewesen, dass sich mit dem Aufkommen der Verlagerungswellen von Kommunikationsdaten oder Reisekostenabrechnungsdaten in die internationalen Clouds die innerbetrieblichen Regelungen versch&auml;rfen. Viel hat sich hier jedoch in den letzten Jahren nicht getan, so dass grundlegende Regelungspunkte unzureichend ausgestaltet sind oder teilweise ganz fehlen. Es scheint ein zunehmendes Problem zu sein, dass die Ausgestaltung der digitalen Informationsverarbeitung nicht mehr verstanden wird. Die Folge wird sein, dass ohne sachkundige Unterst&uuml;tzung kaum noch eine Vereinbarung rechtssicher abgeschlossen werden kann, um die Daten der Besch&auml;ftigten ausreichend zu sch&uuml;tzen. Es wird hier noch viel Arbeit auf die Gremien zukommen. Cloud Computing bedeutet, dass IT-Software, IT-Hardware sowie diverse Anwendungen von einem Drittanbieter &uuml;ber das Internet zur Verf&uuml;gung gestellt und entstehende Daten entsprechend in einer Cloud gespeichert werden. Die bisher im lokalen Rechenzentrum vorgehaltenen IT-Ressourcen von Unternehmen sind das Gesch&auml;ftsmodell und werden je nach Nutzung mit dem, der sie bereitstellt, abgerechnet. Unternehmensinterne Rechenzentren geh&ouml;ren der Vergangenheit an. L&auml;ngerfristige Investitionen f&uuml;r Technologie werden reduziert, es entstehen vor allem noch operationale Kosten f&uuml;r den Dienstleister. Zur Verf&uuml;gung gestellt wird alles was denkbar ist: IT-Infrastruktur, Netz-Plattformen, Speicherkapazit&auml;ten, Abwicklung von Gesch&auml;ftsprozessen etc. Die Arbeit von IT-Abteilungen ver&auml;ndert sich, sofern sie &uuml;berhaupt noch im Unternehmen existieren. Zahlreiche Arbeitsabl&auml;ufe k&ouml;nnen ver- und ausgelagert werden, weil via Cloud der Arbeitsort nicht mehr das Unternehmen selbst sein muss. Je nachdem wo Daten gespeichert werden, dr&auml;ngen sich verst&auml;rkt Fragen zum Datenschutz und zur Datensicherheit auf. Safe Harbour ist ein entsprechendes Stichwort. Dabei geht es darum, dass personenbezogene Daten aus EU-Staaten in externen Clouds in den USA gespeichert werden, obwohl das Datenschutzniveau der USA nicht dem europ&auml;ischen Schutzniveau entspricht. Safe Harbour (sicherer Hafen) ist ein Verfahren und soll das Schutzniveau gew&auml;hrleisten. Inzwischen wurde diese Regelung gekippt und soll durch ein neues EU-US-Datenschutzschild ersetzt werden. Die Meldungen in Presse- und Fachver&ouml;ffentlichungen zu Cloud Computing variieren in den letzten Jahren stark. Berichte &uuml;ber Zugriffsm&ouml;glichkeiten von US-amerikanischen und europ&auml;ischen Sicherheitsbeh&ouml;rden auf Datenwolken wechseln sich ab mit Ank&uuml;ndigungen &uuml;ber neuartige homomorphe Verschl&uuml;sselungstechnologien, die die Datenhaltung in Clouds sicherer machen sollen (vgl. Kirsch 2011 und Dr. Datenschutz 2013). Erst vor kurzer Zeit entschied ein amerikanischer Richter, dass er Zugriffe auf Daten, die in europ&auml;ischen Clouds gespeichert sind, anordnen d&uuml;rfe und wird so zum Schreckgespenst der IT-Industrie, die die Cloud-Daten vor dem Zugriff der NSA in Sicherheit bringen wollte (vgl. Schr&ouml;der/Spie&szlig; 2014). Bei all dem ist Cloud Computing trotzdem die Zukunft der Datenver arbeitung. Aufgrund der Flexibilit&auml;t und allzeitigen Verf&uuml;gbarkeit, die das Datenvorhalten in der Speicherwolke erm&ouml;glicht, wird es sinnvollerweise kein Zur&uuml;ck zu ortsgebundenen L&ouml;sungen geben. Genau dies ist der Ankn&uuml;pfungspunkt, wenn es um die Frage der Regelung von unternehmens seitiger Datenspeicherung geht: Viele der heutigen Anwendungen greifen bereits auf Daten zu, die nicht mehr im Betrieb vorgehalten werden, sondern &uuml;ber Dienstleister kosteng&uuml;nstig aber extern bereitgestellt werden. Das Wissen jedoch, wo genau die betrieblichen Daten - beispielsweise Besch&auml;ftig tendaten - heute gespeichert sind, ist oft kaum oder gar nicht vorhanden. Betriebliche Interessenvertretungen greifen dabei auf Regelungen zur&uuml;ck, die noch aus Zeiten stammen, als die Daten vor Ort blieben und damit h&ouml;chstens dem Risiko betrieblicher Geheimnisverletzungen ausgesetzt waren. Solche Gefahren waren jedoch wesentlich besser in den Griff zu bekommen. Die handelnden Akteure waren bekannt, die rechtliche und tats&auml;chliche Kontrolle konnte relativ einfach ausge&uuml;bt werden. Allenfalls gegenl&auml;ufige Interessenlagen zwischen Arbeitgeber und Arbeitnehmern mussten beachtet und ausgeglichen werden. Heute kommen vollkommen neue Akteure hinzu: zum Beispiel Anbieter von cloudgest&uuml;tzten L&ouml;sungen, die ihren Sitz oft im Ausland haben. Sie richten ihr Hauptaugenmerk regelm&auml;&szlig;ig nicht auf (deutsche) Datenschutzgesetze, sondern auf eine m&ouml;gliche Effizienzsteigerung ihrer Produkte. Unternehmen werben mit Slogans wie Cloud Your Car - Fahrer&uuml;berwachung ist besser als R&auml;tselraten. Anl&auml;sslich solcher Drittinteressen m&uuml;ssen Softwarel&ouml;sungen auch vor dem Hintergrund notwendiger Auftragsdatenverarbeitungsvertr&auml;ge neu &uuml;berdacht oder zumindest neu betrieblich geregelt werden. Auf der Basis der bereits bestehenden Regelungen wird im Folgenden herausgearbeitet, ob Unternehmen und betriebliche Interessenvertretungen bereits einen Standard f&uuml;r den Umgang mit der Tatsache etabliert haben, dass sie die alleinige Kontrolle &uuml;ber die Daten aus der Hand geben. Es wird auch aufgezeigt, wie und wo versteckte Cloud-L&ouml;sungen hinter vermeintlich einfachen Anwendungen stehen und welche betrieblichen Regelwerke daher L&uuml;cken in der Durchsetzbarkeit beinhalten - und wie diese geschlossen werden k&ouml;nnen. Ein derart umfassendes Thema wie Cloud Computing l&auml;sst sich nicht vollst&auml;ndig f&uuml;r alle Einsatz- und Regelungsm&ouml;glichkeiten beschreiben. Ziel ist daher, die bestehenden Vereinbarungen und Richtlinien so aufzubereiten, dass den Nutzern unterschiedliche Vorgehensweisen differenziert ersichtlich werden. Hieraus k&ouml;nnen die betrieblichen Interessenvertretungen Handlungsstrategien ableiten, wenn sie im eigenen Unternehmen mit der Anforderung konfrontiert sind, neue Regelungen erstellen zu m&uuml;ssen</p> <p><a href="https://www.boeckler.de/pdf/p_study_hbs_mbf_bvd_329.pdf">Publikation zeigen</a></p>