Anfang März meldete der Notizspeicher-Dienst Evernote einen Einbruch in seine Server. Hacker kopierten 50 Millionen Nutzernamen, E-Mail-Adressen und Passwörter. Der große Datenklau blieb nur aus, weil Evernote die Passwörter seiner Kunden verschlüsselt speichert – wenn auch recht einfach. Doch der Fall zeigt das Risiko der ganzen Cloud-Computing-Branche, die davon lebt, Daten ihrer Kunden zu speichern.
Cloud-Computing ist praktisch. Ob Evernote, Dropbox oder GoogleDrive, wer seine Daten bei solchen Diensten hochlädt, kann sie von überall her abrufen, solange er einen Internetzugang hat. Das ist gerade für Menschen komfortabel, die mit unterschiedlichen Geräten und Betriebssystemen arbeiten.
Kontrollverlust der Daten
Neben Komfort birgt Cloud-Computing aber eben auch Risiken. Wer seine Daten auf fremden Servern speichert, gibt Kontrolle ab. Wer also hat die Verantwortung für die Daten, wenn sie auf fremden Servern liegen? Wer muss einstehen, wenn sie verloren gehen, wenn sie verändert werden? Der Nutzer, der Anbieter oder der Betreiber der Serverfarm?
In der Regel lehnen die Anbieter jede Haftung ab – selbst im Falle von Datenverlust. Es ist etwa nach den Allgemeinen Geschäftsbedingungen von Evernote egal, wie Evernote einen Schaden verursacht hat, haften muss das Unternehmen dafür nicht. Evernote schreibt, man garantiere nicht für die Sicherheit des Dienstes, Kunden würden ihn auf eigene Gefahr nutzen. So ähnlich formulieren es auch die Cloud-Anbieter GoogleDrive, iCloud und Dropbox.
Vor- und Nachteile des Cloud Computing
Wenn ein Unternehmen seine Kundendatenbank nicht im eigenen Rechenzentrum pflegt, sondern einen Online-Dienst wie Salesforce.com nutzt, spart es sich Investitionen in die Infrastruktur. Die Abrechnung erfolgt außerdem zumeist gestaffelt, zum Beispiel nach Nutzerzahl oder Speicherverbrauch. Geschäftskunden erhoffen sich dadurch deutliche Kosteneinsparungen.
Wer Speicherplatz im Netz mietet, kann flexibel auf die Nachfrage reagieren und den Bedarf unkompliziert und schnell erhöhen oder versenken. Wenn beispielsweise ein Startup rasant wächst, fährt es einfach die Kapazitäten hoch. Somit fallen auch niedrige Fixkosten an.
Die Installation auf den eigenen Rechnern entfällt. Damit lässt sich ein neues System äußerst schnell einführen. Auch die Updates bereiten keine Probleme mehr, somit sinkt der Administrationsaufwand. Allerdings lassen sich die Cloud-Dienste in der Regel auch nicht so individuell konfigurieren.
Zur Nutzung der Cloud-Dienste benötigen Mitarbeiter lediglich einen Internetanschluss – unabhängig von ihrem Aufenthaltsort und dem Gerät, das sie nutzen.
Die Daten-Dienstleister werben damit, dass sie sich intensiver mit der IT-Sicherheit beschäftigen als einzelne Nutzer oder Unternehmen. Allerdings sind die Rechenzentren der Cloud-Anbieter aufgrund der großen Datenmenge auch ein attraktives Ziel für Angriffe von Hackern. Zudem ist von außen schwer nachzuvollziehen, ob der Anbieter die Daten ausreichend vor den eigenen Mitarbeitern schützt. Die Auslagerung bedeutet somit einen Kontrollverlust.
Viele Unternehmen sind von ihrem Dienstleister abhängig, weil sie nicht ohne weiteres zu einem anderen Anbieter wechseln können. Das liegt etwa daran, dass sie ihre Systeme aufwendig an die Schnittstellen anpassen müssen. Auch Nutzer haben oft Schwierigkeit, wenn sie mit ihren Daten den Anbieter wechseln wollen. Eine weitere Frage: Was ist, wenn der Betreiber eines Dienstes pleite geht? Erst wenn es Standards gibt, die den Wechsel von einem zum anderen Dienstleister ermöglichen, sinkt die Abhängigkeit.
Nach deutschem Recht können Anbieter ihre Haftung allerdings nur begrenzen, wenn sie frei von Schuld oder leicht fahrlässig handeln. Geschieht etwas absichtlich oder grob fahrlässig, haften sie nach deutschem Recht weiter, auch wenn in den Geschäftsbedingungen etwas anderes steht. Skydrive und Evernote erklären das deutsche Recht ausdrücklich für anwendbar. Das heißt, die Haftungsausschlüsse, wie sie in den AGBs von Evernote formuliert sind, gelten nicht.
Wenn die Cloud in Amerika verteidigt werden muss
Schwieriger wird es, wenn Anbieter das deutsche Recht nicht anwenden. Bei einer Firma mit Sitz innerhalb der Europäischen Union gilt vereinfacht das Recht des Landes, in dem der Verbraucher sitzt. Das geht aus der Rom-I-Verordnung hervor. Allerdings enthält diese Verordnung für Dienstleistungsverträge eine Ausnahme. Wenn Verträge mit Cloud-Anbietern Dienstleistungsverträge sind, könnte es also kompliziert werden.
Jens Ferner ist Rechtsanwalt für IT-Recht. Er sagt, Cloud-Verträge lassen sich nicht einfach einer Vertragsart zuordnen: "Das sind meist Mischverträge. Es wird innerhalb Europas entscheidend darauf ankommen, an welchen Verbraucherkreis sich das Cloud-Angebot richtet. Danach bestimmt sich dann der Gerichtsstand." Wer also auf einer französischen Seite einen Server für seine Daten sucht, der wird im Zweifel seine Rechte vor einem französischen Gericht verteidigen müssen. So sind die Regeln in Europa.
Wer dagegen mit Firmen außerhalb Europas einen Cloud-Vertrag abschließt, muss seine Ansprüche in der Regel in Amerika durchsetzen. Das ist kompliziert, denn jeder der 50 US-Bundesstaaten hat eigene Gesetze, wie er mit derartigen Streitigkeiten verfährt. Bei iCloud von Apple und Skydrive von Microsoft verweisen die Konzerne in ihren Geschäftsbedingungen auf das Recht des Verbraucher-Wohnsitzes. Ansprüche der Verbraucher könnten dann vor deutschen Gerichten durchgesetzt werden.
Finanzielle Risiken
Bei GoogleDrive und Dropbox ist hingegen das kalifornische Recht vorgeschrieben. Rechtsanwalt Ferner schätzt einen Prozess im Ausland als aufwändig ein: "Deutsche Anwälte sind in den USA erst einmal nicht zugelassen und für den Prozess gibt es auch keine Prozesskostenbeihilfe. Ein Verfahren würde sich also nur bei sehr großen Schadenssummen lohnen." Im Zweifel müssen Verbraucher also ein weiteres finanzielles Risiko eingehen, um ihren Schaden vielleicht ersetzt zu bekommen.
Aber auch wenn der Gerichtsstand Deutschland ist, löst das nicht alle Probleme. Denn hierzulande fehlt es an Urteilen, an denen sich Opfer von Datenverlusten orientieren könnten.
In einem fiktiven Prozess um Schadensersatz würde es zwangsläufig darum gehen, wann ein Cloud-Anbieter fahrlässig handelt. Wie gut muss er zum Beispiel die Passwörter seiner Kunden verschlüsseln? Dabei könnten Normierungen wie ISO-Standards helfen. Seit einigen Jahren gibt es diese auch für Sicherheit in der Informationstechnik. Viele Behörden und IT-Unternehmen orientieren sich schon heute an den Standards der Reihe 2700x und den ISO-Standard 15408. Für vertrauliche Dokumente wird in der Norm etwa eine starke Verschlüsselung über einen VPN-Tunnel empfohlen.
Es bleibt Rechtsunsicherheit
Die ISO-Standards enthalten ein ganzes Bündel an Empfehlungen, die ein System für Informationssicherheit schaffen. Diese Ideen gelten aber nicht als Rechtsquelle vor Gericht. Sie könnten in einem Prozess allenfalls als Richtschnur dienen, um grobe von leichter Fahrlässigkeit abzugrenzen. "Man würde sich wahrscheinlich darauf einigen können, dass Cloud-Anbieter die Passwörter verschlüsselt auf ihren Servern hinterlegen müssen", sagt Ferner, "aber wie stark die Verschlüsselung sein muss, ist wiederum nicht geklärt."
In Deutschland gibt es bislang kaum Prozesse, die sich einer Antwort auf diese Frage genähert haben. Das hat einen Grund: In der Vergangenheit waren es vor allem Fälle im Zahlungsverkehr, die verhandelt wurden. Die deutschen Banken und Sparkassen zeigten sich aber stets kulant, wenn es um den Schaden ihrer Kunden ging. Sie sind per Gesetz dazu verpflichtet, für einen Schaden über 150 Euro einzustehen, selbst für Verluste durch Methoden wie Skimming oder Phishing. Das ist gut für die Bankkunden und schlecht für die Cloud-Nutzer. Denn wo kein Schaden ist, ist kein Prozess und auch kein Urteil.
Es bleibt also bei einer gewissen Rechtsunsicherheit. Und es gibt noch einen weiteren Punkt zu berücksichtigen. Die meisten Cloud-Dienste sind zunächst kostenlos. Völlig unklar ist, ob die Anbieter überhaupt Kopien der Kundendaten anfertigen müssen. Ein solches Backup bedeutet die doppelte Datenmenge auf den Servern. Das ist mit Kosten verbunden. Es ist also nicht abwegig, dass Nutzer in einem Prozess um Datenverlust gefragt werden, warum sie nicht selbst ein Backup ihrer Daten erstellt haben. Ist ein Backup zwischen Cloud-Anbieter und -Nutzer nicht geregelt, könnte es die Pflicht des Kunden sein. Das sind sogenannte Mitwirkungspflichten.
Rechtsanwalt Ferner glaubt, viele Kunden seien beim Thema Cloud-Computing etwas leichtgläubig: "Ich würde mein Geld auch nicht zu irgendeiner Person ins Wohnzimmer legen. Man muss sich schon auch fragen: Warum sind diese Dienste kostenlos?"
Wer als Nutzer Informationen zum Thema Haftung in der Cloud sucht, kann sich bei „Surfer haben Rechte“ von der Verbraucherzentrale Bundesverband sowie irights.info informieren.