Das Recht in der Cloud

Neben Kostensenkung, Globalität, Mobilität und Flexibilität sind rechtliche Aspekte zentraler Gegenstand der derzeitigen Diskussion zum Cloud Computing. Geht man von einem Beispielfall aus, bei dem ein deutscher Cloud-Anbieter mit Rechenzentren innerhalb und außerhalb der Europäischen Union (EU/EEA) einem deutschen "Cloud-Kunden" und dessen globalen Tochtergesellschaften eine Cloud-Lösung anbietet, stellen sich zahlreiche rechtliche Fragen. Grundsätzlich sind diese Fragen die Gleichen für Private Clouds und Public Clouds, SaaS, PaaS und IaaS, auch wenn deren Gewichtung und Detailfragen zum Teil unterschiedlich sind. Für viele Fragen gibt es Antworten. Einige Fragen bleiben allerdings offen und werden sich erst im Zuge der weiteren Rechtsentwicklung klären. Die Top Ten der Frequently Asked Questions (FAQ) in diesem Zusammenhang sind folgende:

(1) Welche Vertragsnatur hat ein Cloud-Vertrag?

Ein Cloud-Vertrag ist in der Regel ein typengemischter Vertrag und lässt sich daher nicht einem einzigen BGB-Vertragstypen (bspw. Mietvertrag oder Dienstvertrag) eindeutig zuweisen. Stattdessen können die vom Cloud-Anbieter im Einzelnen zu erbringenden Leistungen eine unterschiedliche Vertragsnatur haben. Beispielsweise wird Storage in der Regel Mietcharakter (§ 535 BGB), Implementierung in der Regel Werkcharakter (§ 631 BGB), Rechnerleistung und Support in der Regel Dienstcharakter (§ 611 BGB) haben. Die Vertragsnatur ist besonders relevant für die Bestimmung der geschuldeten Leistung, den AGB-Prüfungsmaßstab (§§ 305 ff. BGB) und die Mängelrechte.

(2) Wie kann ein flexibler Abruf der Cloud-Leistungen durch den Kunden vertraglich vereinbart werden?

Grundsätzlich bieten sich bei der Vertragsgestaltung drei Möglichkeiten an, die im Idealfall kumulativ zu vereinbaren sind: (i) Verbrauchsabhängige Vergütung; (ii) Abschluss eines Rahmenvertrages, der das vertragliche Grundgerüst bietet, einschließlich Regelungen zu Leistungen und Preisen, die aufgrund von Einzelverträgen oder Bestellungen abgerufen und/oder hinzubestellt werden können, sowie das (iii) Change-Verfahren, das dem Kunden weitreichende einseitige Rechte zu Hinzu- und Abbestellung von Leistungen einräumt. Einzelheiten sind in jedem Vertrag gesondert zu prüfen und zu vereinbaren.

(3) Worauf müssen Cloud-Kunden bei der Vereinbarung von Service Level mit dem Cloud-Anbieter achten?

Für die Service Level gelten im Prinzip die aus dem klassischen Outsourcing bekannten Grundsätze und Regeln. Die vereinbarten Service Level sollten die für den Kunden zentralen Leistungen erfassen, sind klar zu beschreiben und müssen auf die vertraglich geschuldeten Leistungen Bezug nehmen. Für den Fall einer Nichteinhaltung der Service Level empfiehlt es sich, Konsequenzen zu regeln (z.B. Boni/Mali, Kündigungsrechte). Verhältnisse dieser Konsequenzen zu vertraglichen Mängelrechten und Schadensersatzansprüchen sind klar zu regeln. Schließlich ist auch das Measuring und Reporting der Service Level zu vereinbaren.

Als Besonderheit beim Cloud-Computing empfiehlt sich, neben den klassischen Service Level zur Verfügbarkeit auch sogenannte Security Levels zu vereinbaren, die der Absicherung von Pflichten zur Vertraulichkeit, IT-Sicherheit und dem Datenschutz dienen.

(4) Welche lizenzrechtlichen Besonderheiten muss der Cloud-Anbieter im Verhältnis zum Hersteller der Cloud-Lösung beachten?

Der Cloud-Anbieter muss sich vom Hersteller der Cloud-Lösung ausreichend Nutzungsrechte einräumen lassen, um die Lösung seinen Kunden anbieten zu können. In der Regel und im eingangs genannten Beispielfall wird sich der Cloud-Anbieter eine globale Lizenz zur Verfügungstellung der Lösung in der Cloud einräumen lassen. Welche Nutzungsrechte im einzelnen erforderlich sind, hängt davon ab, welche Teile der Cloud-Lösung wie genutzt werden sollen. So stellt sich beispielsweise die Frage, ob der Cloud-Kunde die Cloud-Lösung nur über eine Eingabemaske bedient oder er sich auch Applets herunter lädt? Weiterhin muss geklärt werden, wie die "Nutzung in der Cloud" urheberrechtlich einzuordnen ist. Letzteres ist in Deutschland noch nicht abschließend geklärt. Besonderheiten gelten für Open Source Software: Beispielsweise ist umstritten, ob Open Source Software unter GPLv2 in einer Cloud öffentlich zugänglich gemacht werden darf. Zu beachten ist weiterhin, dass deutsches Urheberrecht grundsätzlich nur für die Nutzung in Deutschland gilt und in der Cloud daher die Urheberrechte vieler anderer betroffener Jurisdiktionen zu beachten sind.

(5) Welche lizenzrechtlichen Besonderheiten muss der Cloud-Kunde beachten?

Das zum Verhältnis Hersteller der Cloud-Lösung zu Cloud-Anbieter Gesagte gilt entsprechend. In Einzelfällen kann es sein, dass der Cloud-Kunde die Cloud-Lösung überhaupt nicht in urheberrechtlicher Weise nutzt. Auch dann sollte er sich aber das – wenn auch nicht urheberrechtliche – Recht zur gewünschten Nutzung der Cloud-Lösung einräumen lassen, um nicht gegen andere geschützte Rechtspositionen des Cloud-Anbieters oder des Herstellers der Cloud-Lösung (bspw. Know-how Schutz oder Betriebsgeheimnisschutz) zu verstoßen.

(6) Für welche Daten in der Cloud gilt deutsches Datenschutzrecht?

Das deutsche Datenschutzrecht gilt für "personenbezogene Daten". Das sind laut Gesetzesdefinition in § 3 Nr. 1 des Bundesdatenschutzgesetzes (BDSG) "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person." In Deutschland (im Gegensatz zur Schweiz oder Österreich) sind damit Daten über juristische Personen (GmbHs, AGs, etc.) nicht datenschutzrechtlich geschützt. Auch nicht geschützt sind sogenannte anonymisierte Daten (vgl. § 3 Nr. 6 BDSG). Dies sind beispielsweise Daten, bei denen der Name durch eine Nummer oder ein anderes neutrales Kennzeichen ersetzt wurde und die nicht mehr der Identität der zugehörigen Person zugeordnet werden können. In der Praxis ist hier jedoch Vorsicht geboten: Oft wird von anonymisierten Daten gesprochen, gemeint sind aber pseudonymisierte Daten (vgl. § 3 Nr. 6a BDSG), also Daten, bei denen durch Verwendung von Kennzeichen (also auch beispielsweise dadurch , dass ein Name durch eine Nummer ersetzt wird) kein unmittelbarer Personenbezug besteht, dieser aber grundsätzlich wiederhergestellt werden kann. Pseudonymisierte Daten sind vom BDSG ebenso geschützt wie normale personenbezogene Daten. Die Trennlinie zwischen anonymisierten und pseudonymisierten Daten ist allerdings fließend.

(7) Was ist datenschutzrechtlich bei einer in der EU/EEA betriebenen Cloud zu beachten?

Die Klärung, welches nationale Datenschutzrecht gilt, ist oftmals komplex. Grundsätzlich kann davon ausgegangen werden, dass jedenfalls dann deutsches Datenschutzrecht gilt, wenn der Cloud-Kunde seinen Sitz in Deutschland hat. Dann wird der Cloud-Anbieter regelmäßig Auftragsdatenverarbeiter des Cloud-Kunden nach § 11 BDSG sein. Der Cloud-Kunde hat sich dann den Cloud-Anbieter unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen und einen schriftlichen Auftragsdatenverarbeitungsvertrag zu schließen, der insbesondere die 10 Punkte in § 11 (2) BDSG erfüllt. Dies schließt ein, dass klare Regelungen über den Ort sowie die Art der Datenverarbeitung, Einzelheiten zu Subunternehmern sowie technischen und organisatorischen Maßnahmen getroffen werden. Gerade diese letzteren Punkte stellen in der Cloud, insbesondere in einer Public Cloud, ein Hindernis dar. Oftmals ist nicht bekannt, wo die Daten gespeichert werden und wer die Subunternehmer sind. Dann können auch nicht die technischen und organisatorischen Maßnahmen sinnvoll überprüft und vereinbart werden.

(8) Was ist datenschutzrechtlich bei einer nicht oder nicht ausschließlich in der EU/EEA betriebenen Cloud zu beachten?

Befindet sich der Cloud-Anbieter nicht im EU/EEA-Raum, sind die datenschutzrechtlichen Bedenken erheblich größer. Zu dem unter FAQ 7 Dargestellten kommt hinzu, dass (i) beim Cloud-Anbieter ein angemessenes Datenschutzniveau hergestellt werden muss, (ii) regelmäßig und nach derzeitiger Auffassung der deutschen Datenschutzbehörden ein direkter Auftragsdatenverarbeitungsvertrag mit jedem Subunternehmer des Cloud-Anbieters zu schließen ist und (iii) im Prinzip keine sensitiven Daten ("besondere Arten personenbezogener Daten" nach § 3 Nr. 9 BDSG: Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) zum Cloud-Anbieter übermittelt werden dürfen. Das angemessene Datenschutzniveau kann beispielsweise durch Vereinbarung von EU-Standardverträgen mit dem Cloud-Anbieter, durch Implementierung von Binding Corporate Rules beim Cloud-Anbieter oder durch eine Safe-Harbor Registrierung eines in den USA ansässigen Cloud-Anbieters hergestellt werden.

Eine Pauschallösung zur Behandlung dieser erheblichen datenschutzrechtlichen Bedenken steht noch nicht zur Verfügung. Neben einer globalen Harmonisierung des Datenschutzrechts bietet es sich an, eine technische Lösung zu suchen, die die Anwendbarkeit des Datenschutzrechts ausschließt. Denkbar wäre hier zum einen, zwischen personenbezogenen und nicht-personenbezogenen Daten zu trennen und nur Letztere in der nicht-EU/EEA-Cloud zu bearbeiten. Diskutiert wird auch, die personenbezogenen Daten durch Verschlüsselung zu anonymisieren und sogar verschlüsselt in der Cloud zu bearbeiten und zu nutzen.

(9) Ist IT-Sicherheit Rechtspflicht und welche Standards gelten in der Cloud?

Ja. Die Unternehmensleitung ist zu einem angemessenen Risikomanagement verpflichtet (vgl. z.B. § 93 Abs. 1 Aktiengesetz und § 43 GmbH-Gesetz). Diese Pflicht zum Risikomanagement schließt ein, angemessene Maßnahmen zur Gewährleistung der IT-Sicherheit zu treffen. Zusätzlichen sind bei der Verarbeitung personenbezogener Daten die in § 9 BDSG und der Anlage hierzu beschriebenen technischen und organisatorischen Maßnahmen zu treffen. Weiter gelten sektorspezifische Pflichten, beispielsweise im Bankenbereich. Im Rahmen eines Cloud-Vertrages bedeutet dies, dass sich entsprechende Maßnahmen und Vorkehrungen im Cloud-Vertrag als Pflichten des Cloud-Anbieters wiederfinden müssen. Welche Maßnahmen für ein Unternehmen angemessen sind, ist im Einzelfall zu entscheiden. Orientierung können allgemein anerkannte Standards bieten, wie § 11 BDSG und Anlage hierzu (für personenbezogene Daten), BSI Mindestsicherheitsanforderungen an Cloud-Anbieter, das ISO 27001 oder das SAS-70-Typ-II Zertifikat.

(10) Ist Cloud Computing mit den steuerrechtlichen und handelsrechtlichen Vorschriften zur Auslandsbuchhaltung und -buchführung vereinbar?

Seit Inkrafttreten des Jahressteuergesetzes 2011 wurden die Vorschriften zur Auslandsbuchführung gelockert. Nunmehr können nach § 146 (2a) der Abgabenordnung (AO) elektronische Bücher und sonstige erforderliche elektronische Aufzeichnungen im Ausland (auch nicht EU/EEA-Ausland) geführt und aufbewahrt werden, wenn und soweit die wesentlichen Mitwirkungsvorschriften der AO gewahrt werden, der Datenzugriff im Sinne des § 147 Abs. 6 AO möglich ist und die deutsche Besteuerung hierdurch nicht beeinträchtigt wird. Demnach dürfte die AO einer globalen Cloud-Lösung grundsätzlich nicht mehr im Wege stehen. Die Regelungen im Handelsgesetzbuch und der AO zur Art und Weise der elektronischen Buchführung gelten darüber hinaus in der Cloud und außerhalb der Cloud gleichermaßen. (map)

Der Autor, Dr. Andreas Splittgerber, ist Rechtsanwalt bei Baker & McKenzie, Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern, Steuerberatern und Solicitors in München (map)