Cloud und Recht „Für Kunden ist es schwer, Ansprüche durchzusetzen“

Der Technik-Anwalt Thomas Jansen berät sowohl Cloud-Anbieter als auch die Kunden von Cloud-Diensten. Mit Handelsblatt Online sprach er über die rechtlichen Tücken der Cloud und wie Kunden sie vermeiden.

  • Teilen per:
  • Teilen per:
Thomas Jansen von DLA Piper berät Anwender wie Anbieter von Cloud-Lösungen. Quelle: handelsblatt.com

Welche Sorgen bestehen bei Unternehmen, die Cloud Computing einsetzen wollen – und welche sind davon berechtigt?

Die beiden zentralen Themen, die eigentlich immer genannt werden, sind Datenschutz und Datensicherheit. In der Cloud kann es vorkommen, dass Teile eines Datensatzes in einem Rechenzentrum in Irland und andere Teile in einem Rechenzentrum in Indien liegen. Daher gibt es natürlich gewisse Probleme in Bezug auf Datenschutz und Datensicherheit.

Es gibt Anbieter, die eine rein deutsche oder rein europäische Cloud anbieten, um den Bedenken der Kunden Rechnung zu tragen. Das ist unter Gesichtspunkten des deutschen und des europäischen Datenschutzes auch sinnvoll.

Wie sehen hier die gesetzlichen Bestimmungen in Deutschland genau aus?

Üblicherweise ist Cloud Computing rechtlich eine sogenannte Auftragsdatenverarbeitung nach Paragraph 11 des Bundesdatenschutzgesetzes. Das ist aber nur möglich, wenn der Auftragsdatenverarbeiter – in diesem Fall also der Cloud-Anbieter – seinen Sitz innerhalb des europäischen Wirtschaftsraums hat. Außerdem müssen die Unterauftragverhältnisse – also die Dienstleister, die der Cloud-Anbieter beauftragt – für den Auftraggeber transparent sein. Das funktioniert bei den klassischen Cloud-Computing-Modellen eben gerade nicht, weil dort die Unterauftragverhältnisse der Cloud-Anbieter für den Auftraggeber nicht transparent sind.

Welche weiteren Voraussetzungen gibt es?

Das Prinzip ist: Der Auftraggeber, die sogenannte verantwortliche Stelle, bleibt Herr über die eigenen Daten. Herr über die eigenen Daten ist man aber nur, wenn man jederzeit eine Zugriffsmöglichkeit hat und auch Kenntnis darüber, was mit den eigenen Daten passiert. Nach allgemeiner Auffassung darf bei der Beauftragung von Unterauftragnehmern keine Pauschalgenehmigung erteilt werden, wie es häufig den allgemeinen Bedingungen der große Cloud-Anbieter geregelt ist. Außerdem muss der Auftraggeber das Recht haben, Zugang zu den Rechenzentren zu erhalten, um die Einhaltung der schriftlich vereinbarten Schutzmaßnahmen zu überwachen. Und da sagen die großen Anbieter ganz konsequent: Kommt gar nicht in Frage, dass wir unseren Kunden Zugang zu unseren Rechenzentren gewähren. Letztlich ist das aus deren Sicht auch nachvollziehbar: Wenn da jeder Zugang hätte, ist es mit der Datensicherheit auch nicht mehr weit her.

Bedeutet das, dass derzeit die Verlagerung von Daten, die dem Bundesdatenschutzgesetz unterliegen, mit den klassischen Cloud-Modellen nicht in die Cloud verlagert werden können?

Nein, mit einer europäischen Cloud-Lösung ist das schon möglich. Es wird beispielsweise auch diskutiert, dass es auch ausreichen soll, wenn der Auftragnehmer eine entsprechende vertragliche Erklärung abgibt, dass er die jederzeitige Einhaltung der Vorschriften garantiert. Nur, wenn der Auftraggeber Grund zu der Annahme hat, dass diese nicht eingehalten werden, würden dann das sogenannte Audit Right, also das Recht zur Überprüfung der Einhaltung von angemessenen technischen und organisatorischen Maßnahmen zum Schutz der Daten, greifen.

Was bei der hybriden Cloud zu beachten ist

Ein Ausweg aus dem Dilemma ist die hybride Cloud: Nur unbedenkliche Daten werden in die Cloud im Internet ausgelagert. Welche Daten sollten das sein?

Viele Großunternehmen bevorzugen eine reine Enterprise-Cloud-Lösung – also eine Cloud nur im Unternehmen. Denn je größer das Unternehmen, desto vernachlässigbarer sind die Kosten und die Anbieter von Cloud-Lösungen werden für Großkunden ohnehin dedizierte Kapazitäten aufbauen. Das ist dort also nicht das Problem.

Im Bereich der kleineren Unternehmen bis zum gehobenen Mittelstand – also jene mit einem Umsatz bis zu einem Bereich von dreistelligen Millionenbeträgen – wird es dann in der Regel anders aussehen. Ich habe gewisse Schwierigkeiten mir vorzustellen, personenbezogene Daten in eine Public Cloud zu speichern – selbst wenn es eine europäische Cloud ist. Das kommt  dann auf die vertraglichen Regelungen an und inwieweit der Anbieter bereit ist, sich auf die gesetzlichen Forderungen einzulassen. Wichtig ist dabei insbesondere, dass die Transparenz im Umgang mit den Daten gewährleistet und der Schutz der Daten gemäß den gesetzlichen Standards gesichert ist, aber auch, dass im Falle des Abhandenkommens der Daten entsprechende Haftungsregelungen vorgesehen sind.

Aber ansonsten gibt es natürlich eine Vielzahl von Daten im Unternehmen, die nicht personenbezogen sind. So halten z.B. viele Elektronikkonzerne die Betriebsanleitungen ihrer Produkte in 50 Sprachen bereit. Bei der Vielzahl von Produkten, die Elektronikkonzerne im Angebot haben, kommt da schon ein enormes Datenvolumen zustande. So etwas kann ich natürlich in einer Public Cloud speichern, weil es weder personenbezogene Daten noch Geschäfts- oder Betriebsgeheimnisse sind. Alle diese unkritischen Daten, bei denen die Datensicherheit auch nicht wichtig ist, können problemlos in der Public Cloud gespeichert werden – das sind häufig mehr Daten als man denkt.

Und wenn die personenbezogenen Daten verschlüsselt sind?

Die Datenschutzgesetze gelten nur für personenbezogene Daten – das sind die Daten einer bestimmten oder bestimmbaren Person. Ein Verschlüsseln der Daten, kann - je nach Komplexität der Verschlüsselung - dazu führen, dass diese Daten anonym und somit nicht länger personenbezogen sind und die Datenschutzgesetze daher keine Anwendung mehr finden. Allerdings handelt es sich dann um eine relative Anonymität. Für den Inhaber des Schlüssels wären die Daten nach wie vor personenbezogen.

Welche Bedenken von Unternehmen gibt es sonst noch?

Wenn man sich die Cloud-Verträge - insbesondere die der amerikanischen Cloud-Anbieter - ansieht, fällt auf: So etwas wie Service Level Agreements – also Vereinbarungen darüber, wie zuverlässig die Cloud zur Verfügung steht -  fehlen fast immer. Ich habe mir heute beispielsweise in Vorbereitung auf das Gespräch die Vertragsbedingungen eines führenden US-Anbieters von Cloud-Services angesehen. Wenn man das mit einem kritischen Auge durchliest, fällt einem auf, dass es wirklich keinerlei Leistungsgarantien gibt und insbesondere jegliche Gewährleistung für Leistungen von Drittanbietern ausgeschlossen wird. Auf der anderen Seite lässt sich der Cloud-Anbieter aber ausdrücklich das Recht einräumen, sich genau solcher Drittanbieter zu bedienen. Wenn dann etwas passiert, kann der Cloud-Anbieter sagen: Daran ist einer unserer Unterauftraggeber schuld, dafür haften wir nicht. Das ist für die Kunden nicht akzeptabel.

… und zumindest nach deutschem Recht auch gar nicht erlaubt?

Nach deutschem Recht wären viele Cloud-Standardverträge alleine schon deshalb unwirksam, weil sie vom Kunden kaum zu durchdringen sind. Die Amerikaner verwenden ja gerne Formulierungen wie ‚sämtliche Rechte des Kunden sind ausgeschlossen, soweit dies gesetzlich zulässig ist’. Und dieser letzte Halbsatz würde  die diesbezügliche Klausel nach deutschem Recht unwirksam machen. Wir kennen das ja beispielsweise von führenden Anbietern im Softwarebereich: Die haben sich häufig nicht darum gekümmert, ob die Regelungen in ihren Lizenzvereinbarungen überhaupt wirksam sind  – und wurden dafür dann von Verbraucherschützern angegriffen.

Allerdings lässt sich ein Trend erkennen, wonach Cloud-Anbieter zunehmend bereit sind, auf die Bedenken der Kunden in diesem Bereich einzugehen. Dabei muss man beachten, dass es sich bei den Cloud-Services um neuartige technische Lösungen handelt. Wie es bei neuen Lösungen häufig der Fall ist, vertrauen die Anbieter anfangs ihrer eigenen Technik selbst nur bedingt, weil sie noch kaum Erfahrung damit haben. Inzwischen sind die Cloud-Anbieter in den USA seit drei Jahren, hier in Deutschland seit anderthalb Jahren am Markt. Damit liegen gewisse Erfahrungen und Verbesserungen bereits hinter uns. Weil der Cloud-Markt hart umkämpft ist, können Anbieter, die bereit sind, zusätzliche Garantien zu übernehmen, durchaus einen Wettbewerbsvorteil haben. Die US-Anbieter werden sich alle bewegen müssen. Denn das Konzept der Auftragsdatenverarbeitung ist kein rein deutsches, sondern ein europäisches Datenschutzkonzept. Keiner der Anbieter kann es sich leisten, den europäischen Markt zu ignorieren.

Schadenersatz ist schwierig

Wie sieht es bei den großen Cloud-Anbietern aus? Bieten Amazon, Google oder Microsoft garantierte Service-Level an?

Bei den großen Cloud-Anbietern sind Service-Level eher die Ausnahme, denn die Regel. Gerade große US-Anbieter sind nur in Ausnahmefällen bereit, sich auf verbindliche Service-Level einzulassen;  die sind einfach sehr risikoscheu. Letztlich wird das nur über den Druck des Marktes funktionieren.

Wie wichtig ist ein deutscher Gerichtsstandort im Vertrag?

Rein rechtlich ist das keine Notwendigkeit. Sie können sich auch auf ein US-amerikanisches Gericht mit einem Gerichtsstandort wie Kalifornien einlassen. Sie haben dann aber ein Vollstreckungs- und Vollziehungsproblem. Für deutsche Cloud-Kunden ist es daher empfehlenswert deutsches Recht und einen deutschen Gerichtsstandort zu vereinbaren, wenn sich der Anbieter darauf einlässt. Wenn wir deutsche Kunden von Cloud-Services beraten, empfehlen wir grundsätzlich deutsches Recht zu vereinbaren, wo immer das möglich ist.

Welche Chancen haben Unternehmen, im Fall eines Cloud-Ausfalls Schadenersatz zu erhalten?

Die Standard-Verträge der Cloud-Anbieter sehen regelmäßig weitgehende Haftungsausschlüsse vor - für den Kunden wird es daher häufig schwer sein, seine Ansprüche durchzusetzen. Bereits die gerichtsfeste Darlegung eines Schadens ist häufig mit Schwierigkeiten verbunden. Der Anspruchsteller muss zunächst nachweisen, dass ihm ein Schaden kausal durch eine Pflichtverletzung des Cloud-Anbieters entstanden ist. Und er muss die Höhe des Schadens nachweisen. Wenn Daten nicht zugänglich waren, könnte das theoretisch entgangener Gewinn sein. Wenn Mitarbeiter Überstunden machen mussten, könnte ein Schaden die zusätzliche Vergütung für diese Mitarbeiter sein. Umso wichtiger ist es, auf  ausgewogene Haftungsregelungen zu achten.

Wie teilt sich Haftung zwischen Cloud-Kunde und Cloud-Anbieter gegenüber den Kunden auf - beispielsweise bei einem Datenleck?

Das Bundesdatenschutzgesetz kennt hier eine verantwortliche Stelle und eine verarbeitende Stelle. Der Auftraggeber, also der Cloud-Kunde, bleibt verantwortliche Stelle. Er ist gegenüber den Betroffenen verantwortlich für die Einhaltung der datenschutzrechtlichen Vorschriften. Wenn der Auftraggeber von einem Betroffenen wegen der Verletzung von datenschutzrechtlichen Verletzungen in Anspruch genommen wird, haftet er nach außen, also gegenüber seinem Kunden. Im Innenverhältnis kann er den Auftragnehmer, also den Cloud-Anbieter, in Anspruch nehmen. Inwiefern dieser gegenüber dem Cloud-Kunden haftet, bestimmt sich nach den vertraglichen Regelungen.

Was sollten Unternehmen ansonsten vertraglich mit ihrem Cloud-Anbieter regeln? Sollten beispielweise Regelungen für das Ende der Vertragslaufzeit festgehalten werden, wie die Daten zurück übertragen werden?

Das ist ein guter Punkt. Bei den Cloud-Verträgen handelt es sich grob gesagt um Outsourcing-Verträge – und dazu gehören vernünftige Exit-Regelungen, also Regelungen die im Falle der Beendigung des Vertragsverhältnisses Mitwirkungshandlungen des Cloud-Anbieters vorsehen. Es muss also geregelt werden, was bei Vertragsbeendigung passiert, wenn der Auftraggeber entweder selber wieder die Leistung übernehmen oder auf einen Drittanbieter übertragen will. Regelungen zum Exit-Management sollte man auf jeden Fall im Cloud-Vertrag haben. Was dazu in den typischen Cloud-Verträgen steht, ist in den Standard-Formulierungen meistens wachsweich. Großunternehmen akzeptieren diese Standardregelungen daher auch im Normalfall auch nicht.

Es ergibt sich hier aber auch weniger Handlungsbedarf aus rein rechtlicher Sicht, sondern eher aus faktischer Sicht: Wenn Sie in der Vergangenheit mit Ihrem deutschen Outsourcing-Provider in z. B. Düsseldorf Probleme hatten, dann war es möglich, sich mit dem Mittel der einstweiligen Verfügung Zutritt zu verschaffen und zusammen mit einem Gerichtsvollzieher die Herausgabe der Daten zu fordern. Eine Vollstreckung war also möglich, weil sich alles auf das Gebiet der Bundesrepublik Deutschland beschränkte. Das ist in Cloud-Szenarien anders, weil Sie ja gar nicht mehr wissen, wo Ihre Daten gespeichert sind – jedenfalls, wenn wir über die Public Cloud sprechen. Aus tatsächlichen Erwägungen ist es daher sicher eine gute Idee, wenn man als Cloud-Kunde, soweit möglich, selbst ein Daten-Backup vorhält.

Man muss sich als Unternehmen aber auch fragen: Lohnt sich Cloud Computing für mich überhaupt? Momentan lohnt es sich vor allem für multinationale Unternehmen mit großen Datenvolumina. Kleinere und mittlere Unternehmen mit überschaubaren Datenvolumina müssen sich die Frage stellen, ob eine umfassende Verlagerung der IT und der Daten in die Cloud für sie Sinn macht. Eine Alternative für diese Unternehmen mag die Nutzung von Virtual Private Networks (VPNs) sein. 

Vielen Dank für das Gespräch!

 

Dr. Thomas Jansen ist seit mehr als 15 Jahren Technologie-Anwalt. Er ist seit 2004 Partner bei DLA Piper im Bereich IPT (Intellectual Property and Technology) und berät sowohl Cloud-Anbieter als auch deren Kunden. DLA Piper gehört zu den  größten Anwaltskanzleien weltweit. Die deutsche IPT Gruppe der Kanzlei betreibt unter http://blog.dlapiper.com/detechnology/ einen Technology & Sourcing Blog, auf dem regelmäßig rechtliche Themen in diesem Bereich kommentiert werden.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%