„Im Cloud Computing trifft Technik auf Recht“, sagt Dr. Thorsten Hennrich. Was einfach klingt, ist im Alltag mehr als vertrackt. Mit einem neuen Buch möchte der Rechtsanwalt dabei unterstützen, Dienste aus der Wolke datenschutzkonform zu nutzen. Cloud Computing nach der DS-GVO – im Interview erläutert der Autor, wie das einfach und praxisorientiert gelingen soll.
eurocloud.de: Herr Dr. Hennrich, was sind Ihre typischen Aufgaben als Rechtsanwalt mit Schwerpunkt auf IT-, Cloud- und Datenschutzrecht?
Dr. Thorsten Hennrich: Eine zentrale Aufgabe ist natürlich die Arbeit an Cloud-Verträgen. Ob komplett neuer Entwurf oder Überarbeitung eines bestehenden Vertrags: die Dokumente bilden die rechtliche Basis einer flexiblen und skalierbaren Bereitstellung und Nutzung von Cloud-Ressourcen. Rechtlich sind dabei alle Ebenen eines IT-Stacks zu berücksichtigen. Das fängt bei der Infrastruktur-Ebene und den Besonderheiten eines Rechenzentrums an, geht über Service Level Agreements und Verfügbarkeitsfragen und reicht bis hin zu den konkreten Spezifika von virtuellen Maschinen, Containern und Applikationen. In Zeiten der DS-GVO stellen sich natürlich auch zahlreiche Fragen zu Datenschutz und IT-Sicherheit. Hier gilt es sichere und praxisgerechte Lösungen zu finden und diese mit Lieferanten oder Kunden eines Unternehmens zu verhandeln.
Jetzt ist Ihr neues Buch im O’Reilly Verlag erschienen: Für wen ist es gedacht?
Das Buch richtet sich an alle Akteure, die in einem Unternehmen mit den Herausforderungen einer datenschutzkonformen Cloud-Nutzung befasst sind. Es ist also nicht nur für Entscheiderinnen und Entscheider der IT-Branche, Datenschutzbeauftragte, Compliance-Verantwortliche oder Rechtsabteilungen geschrieben, sondern im Grunde für alle, die sich in ihrem Job damit auseinanderzusetzen haben, wie sich Cloud-Services datenschutzkonform einsetzen und nutzen lassen. Das können daher auch technische Führungskräfte, Projektverantwortliche und die Einkaufsabteilung sein. Aber auch der Marketing-Abteilung kann das Buch bei der Erstellung von redaktionellem Content eine Hilfestellung zu dem Thema sein.
Wie werden Sie den unterschiedlichen Anforderungen gerecht?
Durch eine besonders praxisorientierte Aufbereitung. Das Buch soll bewusst keine wissenschaftliche Darstellung sein, sondern ein verständlich erklärter Praxisleitfaden, der mit ergänzenden Hinweisboxen, FAQs und Checklisten auch ein schnelles und zielgerichtetes Nachschlagen ermöglicht. Ich habe zudem auf diejenigen Inhalte fokussiert, die für Cloud-Nutzer im Lifecycle einer Cloud-Nutzung besonderes relevant und wichtig sind.
Heißt beispielsweise?
Wer in die Cloud geht, muss vor der Anbieter-Entscheidung technische und kommerzielle Themen klären und die Verträge des jeweiligen Cloud-Anbieters prüfen. Hier fokussiert das Buch zum Beispiel auf die Auftragsverarbeitung und den sog. „AV-Vertrag“ oder auf die Herausforderungen internationaler Datentransfers, sollten die Daten die EU oder den EWR verlassen. Dabei erleichtern es vor allem die Hinweisboxen und Checklisten, die wichtigsten „Knackpunkte“ zu identifizieren. Für Leserinnen und Leser mit weniger Vorwissen wird zugleich erklärt, wie die technologischen und rechtlichen Aspekte zusammenhängen. Und am Ende der wichtigsten Abschnitte finden sich Listen mit typischen Fragen: FAQs, die gewissermaßen auch der eigenen Lernkontrolle dienen.
Wie wichtig war Ihnen eine derartige Aufbereitung?
Für mich und den O’Reilly Verlag war dies ein ausschlaggebendes Ziel für das Projekt. Das Buch sollte gerade keine allgemeine abstrakte Einführung in den Datenschutz werden, die eher technologieneutral ausgerichtet ist und das Cloud Computing nur am Rande erwähnt.
…sondern?
Ein Praxisleitfaden, der die typischen Herausforderungen im Cloud Computing in möglichst verständlicher Sprache darstellt und dabei nicht nur in die Grundlagen des Datenschutzes, sondern auch in das Cloud Computing einführt.
Was sich auch daran erkennen lässt, dass sich das erste Kapitel allein um die Technologie dreht. Warum steigen Sie so ein?
Im Cloud Computing trifft Technik auf Recht. In Verhandlungen und Projektgesprächen zeigt es sich immer wieder, dass Beteiligte oft ein unterschiedliches Verständnis von technischen Begriffen haben. Oft werden auch nur Buzzwords verwendet. Zu einem besseren Gesamtverständnis erklärt das Buch daher auch den Begriff „Cloud Computing“, die unterschiedlichen Bereitstellungsformen und zugrundeliegenden Basistechnologien. So ist sichergestellt, dass am Ende alle die „gleiche Sprache“ sprechen, wenn es um die Clouds von Hyperscalern und anderer Anbieter geht.
Apropos Hyperscaler und transatlantisches Rechtsgefälle: Bleibt das Thema ein DS-GVO-Dauerbrenner für Ihre Leserschaft?
Das Thema wird uns auch in den nächsten Jahren beschäftigen. Denn in diesem Bereich ist derzeit vieles im Fluss. Gerade wenn transatlantisches Rechtsgefälle auf hochentwickelte, über mehrere Standorte verteilte Hyperscaler Cloud-Services trifft und Ressourcen nicht nur in Europa, sondern auch in den USA oder in anderen Drittländern genutzt werden, gibt es zahlreiche Aspekte zu beachten. Die jüngsten Entscheidungen zum transatlantischen Datenschutzabkommen werden schon heute rege und kontrovers diskutiert, so dass sich in diesem Bereich in den kommenden Jahren einiges tun wird und die weitere Entwicklung sehr genau zu beobachten sein wird. Fest steht schon heute: auch für eine weitere Auflage in den kommenden Jahren werden die Themen in diesem Bereich nicht ausgehen.
Rasante technologische und juristische Entwicklungen – ist ein Buch da das richtige Medium?
Auf jeden Fall! Es handelt sich ja vorwiegend in erster Linie um ein Grundlagenbuch, das in die Thematik einführen und ein Grundlagenverständnis vermitteln soll. Zusammen mit den Hinweisboxen, FAQs und Checkliste soll es zugleich als Nachschlagewerk dienen, so dass Leserinnen und Leser hier jederzeit schnell darauf zurückgreifen können und es daher am besten griffbereit in der Nähe des Schreibtischs behalten. Und das gilt gerade auch für neuere Entwicklungen. Denn ohne ein hinreichendes Grundlagenverständnis ist es oft nicht einfach, aktuelle Beiträge in Medien oder in Newslettern „richtig“ einzuordnen. Das Buch kann daher auch zum Verständnis neuerer Entwicklungen eine Schlüsselfunktion haben.
Wir danken für das Gespräch!
Das im O’Reilly Verlag erschienene Buch „Cloud Computing nach der Datenschutz-Grundverordnung“ lässt sich zum Preis von 44,90 Euro online bestellen.
Zur Person
Dr. Thorsten Hennrich ist Rechtsanwalt mit den Schwerpunkten Informationstechnologie- und Datenschutzrecht. Er ist ein technikaffiner Jurist, der „beide Welten“ bestens kennt: als Rechtsanwalt im IT- und Datenschutzrecht, als Leiter der Rechtsabteilung sowie als langjähriger Geschäftsführer eines Cloud- und IT-Infrastruktur-Anbieters mit Rechenzentren in Frankfurt am Main und Amsterdam. Er blickt auf über 20 Jahre umfassende Praxiserfahrung zurück.