Rechtsrisiken bei ausgelagerten Datenverarbeitungsdiensten

Das Speichern von Kontakten in der iCloud oder das Pflegen eines Event-Kalenders über Google Calendar sieht auf den ersten Blick nicht besonders ärgerträchtig aus. Für deutsche Unternehmen bringt die Nutzung solcher Dienste jedoch ernsthafte Rechtsprobleme mit sich. Selbst für Privatleute kann es teuer werden, wenn sie fremde Daten bei einem unsicheren Dienst parken und diese als Folge daraus in unbefugte Hände geraten.

Unternehmen müssen besonders gründlich darüber nachdenken, wem sie Daten Dritter anvertrauen. Ihnen droht nach § 43 des Bundesdatenschutzgesetzes (BDSG) für jeden Datenschutzverstoß im Extremfall ein Bußgeld bis zu 300 000 Euro. Abgesehen davon kann jedoch jeder, dem andere ihre Daten anvertraut haben, mit zivilrechtlichen Unterlassungs- und gegebenenfalls Schadenersatzansprüchen konfrontiert werden, wenn es um Datenverlust oder -missbrauch infolge der Nutzung eines unsicheren Dienstes geht.

Wozu sich ein Nutzer eines Cloud-Dienstes rechtlich verpflichtet, welche Leistung er vom Diensteanbieter beanspruchen darf und wofür dieser haftet – all das ist Gegenstand vertraglicher Vereinbarungen. Speziell bei gratis verfügbaren Massendiensten, wie Apple und Google sie anbieten, ist es normalerweise nicht möglich, individuelle Verträge auszuhandeln. Man muss hier entweder die allgemeinen Geschäftsbedingungen (AGB) des Anbieters akzeptieren oder auf die Nutzung dieser Dienste verzichten. Zum Thema Datenschutz und Haftung für unbefugte Zugriffe gibt es Datenschutzerklärungen der Anbieter; auch sie werden bei der Registrierung des Nutzers für den betreffenden Dienst zum Bestandteil des (per Mausklick abzuschließenden) Nutzungsvertrags.

Daten auf Reisen

Google führt zum März 2012 die mehr als 60 Datenschutzvereinbarungen seiner Dienste zusammen – nur für Chrome OS, Books sowie Wallet gelten auch künftig gesonderte Regeln. Unter dem Stichwort „Wie wir die von uns erhobenen Informationen nutzen“ heißt es in der neuen Datenschutzerklärung: „Google verarbeitet personenbezogene Daten auf unseren Servern, die sich in zahlreichen Ländern auf der ganzen Welt befinden. Daher verarbeiten wir Ihre personenbezogenen Daten gegebenenfalls auf einem Server, der sich außerhalb des Landes befindet, in dem Sie leben.“ Was so selbstverständlich klingt, hat datenschutzrechtlich erhebliche Konsequenzen. Denn die Datenverarbeitung im Ausland unterliegt in Deutschland und der europäischen Union besonderen Bestimmungen.

Dicker Brocken

Für Unternehmen bildet das deutsche Bundesdatenschutzgesetz (BDSG) bereits eine kritische Hürde bei der Entscheidung für einen Cloud-Dienst. Unter dieses Gesetz fallen personenbezogene (wie auch „personenbeziehbare“) Daten natürlicher Personen, sofern diese Daten nicht ausschließlich für persönliche oder familiäre Zwecke genutzt werden. Ebenso wie in der übrigen EU (mit Ausnahme Österreichs) üblich, bezieht sich dieser gesetzliche Datenschutz auch in Deutschland nicht auf Daten juristischer Personen (etwa Gesellschaften und Vereine).

Das BDSG schützt das Grundrecht auf informationelle Selbstbestimmung, aus dem sich ergibt, dass jeder selbst entscheidet, welche seiner persönlichen Daten wann, wo und für wen zugänglich sind. Daher darf man solche nur erheben, wenn es gesetzlich ausdrücklich erlaubt ist oder der Betroffene eine Einwilligung erteilt hat (§ 4 Abs. 1 BDSG). Zusätzlich gilt es, sich bei der Datenerhebung auf das nötige Minimum zu beschränken und möglichst von Anonymisierung und Pseudonymisierung erhobener Daten Gebrauch zu machen.

In Deutschland definiert § 3 Abs. 1 BDSG personenbezogene Daten als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Darunter fallen neben Namen und Anschriften auch Telefonnummern, E-Mail- oder IP-Adressen. Besonders geschützt sind nach § 3 Abs. 9 BDSG Informationen über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit und das Sexualleben. Cloud-Dienste, die Daten im Ausland speichern, machen die datenschutzrechtliche Situation kompliziert. Übertragungen geschützter Daten in Länder ohne angemessenes Datenschutzniveau sind nach deutschem Recht nämlich unzulässig.

Für die Mitgliedsstaaten der EU wird ein angemessenes Datenschutzniveau unterstellt. Problematisch ist aber die Übermittlung in andere Länder. Die Europäische Kommission kann Länder bezeichnen, in denen das Datenschutzniveau angemessen ist. Seit Jahren betrifft dies laut der Kommission aber nur die Schweiz, Kanada, Argentinien, Guernsey und die Isle of Man. Dasselbe Niveau gesteht die EU Anbietern in den USA zu, sofern sie sich auf die vom US-Handelsministerium vorgelegten Grundsätze des „Sicheren Hafens“ (Safe Harbor) verpflichtet haben. Selbst bei amerikanischen Dienstleistern, die das „Safe Harbor“-Abkommen unterschrieben haben, können aber deutsche Unternehmen Daten nicht speichern lassen, die dem BDSG unterliegen: Der in den USA geltende Cybersecurity Act von 2009 räumt dem US-Präsidenten das Recht ein, einen Cybersecurity-Notstand auszurufen, der effektiv alle Datenschutzbestimmungen aushebelt. Insofern verträgt sich die Benutzung von Cloud-Diensten zur Speicherung personenbezogener Daten nur dann mit deutschem Datenschutzrecht, wenn auf Servern innerhalb der EU gespeichert wird. Google und Apple erfüllen diese Voraussetzung beispielsweise nicht.

Was steht im Vertrag?

Die nächste Hürde für Unternehmen betrifft die zentrale rechtliche Frage des Cloud Computing: Wie soll gewährleistet sein, dass Integrität und Vertraulichkeit der von den Nutzern gespeicherten oder bearbeiteten Daten gewahrt bleiben? Davon sind natürlich nicht nur personenbezogene Daten betroffen. Auch Geschäftsgeheimnisse oder Forschungsdaten müssen vertraulich behandelt werden.

Wenn es keine verpflichtenden internationalen Standards gibt, die das gewährleisten, bleiben nur verbindliche Vereinbarungen zwischen Nutzer und Anbieter. Es kommt nun darauf an, wie man Verträge zur Cloud-Nutzung gestaltet. Der Rechtscharakter eines Nutzungsvertrags für Cloud-Dienste ist als mögliche Mischung aus Miet-/Leihvertrag sowie Dienst- und/oder Werkvertrag schwer einzuordnen. Er muss aber insbesondere Systempflege- und Fehlerbeseitigungsmaßnahmen ebenso wie Angriffsabwehr und Störungsbehebung regeln. Für den Fall, dass es doch zu einem unberechtigten Zugriff kommt, muss man zudem Details zur Haftung vereinbaren. Zur Klärung der Haftungsfrage kommen sogenannte Security-Service-Level-Agreements (SSLA) in Betracht. Rechtlich gesehen stellen sich bei Cloud-Verträgen unter anderem Fragen nach Gewährleistungs- und Schadenersatzansprüchen. Auch Handhabung und Schutz von Urheberrechten sollten Gegenstand eines Nutzungsvertrags sein. Wer darüber nachdenkt, etwa die Finanzbuchhaltung in einen Cloud-Dienst auszulagern, muss zudem steuerrechtliche Vorschriften berücksichtigen.

Problem Finanzamt

Steuerlich relevante Daten sind nach § 146 Abs. 2 S. 1 der Abgabenordnung (AO) grundsätzlich nur im Inland aufzubewahren und zu führen. Wenn auch der E-Mail-Verkehr steuerlich relevant ist (beispielsweise Vertragsverhandlungen), darf man ihn normalerweise nicht über Dienste wie Google Mail abwickeln.

Nach § 146 Abs. 2a AO kann ein Steuerpflichtiger eine Bewilligung beantragen, die eine Aufbewahrung seiner Unterlagen in der europäischen Union oder im europäischen Wirtschaftsraum mit Amtshilfeabkommen (EWR) gestattet. Die Aufbewahrung außerhalb dieses Raums wird nur erlaubt, wenn es darum geht, unbillige Härten zu vermeiden. Die Voraussetzung ist dann aber, dass die Besteuerung nicht behindert wird und die Finanzbehörden ungehinderten Datenzugriff erhalten. Auch für Kaufleute bestehen besondere Einschränkungen. So müssen beispielsweise ihre Buchungsbelege und Handelsbriefe im Inland aufbewahrt werden.

Steuerlich relevante Daten müssen nicht personenbezogen sein und damit dem BDSG unterliegen. Schon die Schwierigkeit, eine drohende unbillige Härte plausibel zu machen, spricht jedoch für deutsche Unternehmen gegen den Versuch, iCloud und Google-Dienste für solche Daten zu nutzen.

Was tun?

Mehr Infos

Privatsache

Vereinsinterne Mitteilungen, Geburtstagskalender, Verabredungen – all das lässt sich über Cloud-Dienste managen, ohne dass das Datenschutzrecht berührt ist. Aber Vorsicht: Auch rein private Datenverarbeitung kann ein zivilrechtliches Haftungsrisiko bedeuten. Wenn etwa eine Bewerbung platzt, weil einem Dritten anvertraute Daten unerlaubt und unerwünscht aufgetaucht sind, kann der Betroffene diesen für den durch das Datenleck entstandenen Schaden verantwortlich machen.

Noch komplizierter liegt die Sache, wenn Dienstenutzer Berufliches in die private Cloud-Anwendung mit hineinweben: Dann entsteht möglicherweise ein Haftungskonflikt zwischen ihnen und ihrem Arbeitgeber. Letzterer muss dann für einen etwaigen Datenschutzverstoß geradestehen.

Da das Rechtsproblem der grenzübergreifenden Datenauslagerung noch ziemlich jung ist, verwundert es nicht, dass es dazu noch sehr wenig Rechtsprechung gibt. Insbesondere ist nicht klar, welche Bestimmungen in den AGB von Cloud-Diensteanbietern mit Sicherheit unwirksam sind und welche nicht. Erst in Vertragsverhandlungen mit individuellen Regelungen lässt sich das Risiko auf Seiten aller beteiligten Partner tatsächlich interessengerecht verteilen. Mit großen Cloud-Anbietern wie Google oder Apple ist normalerweise keine individuelle Vertragsvereinbarung möglich. Darüber hinaus offenbart schon ein knapper Blick auf wesentliche Bestimmungen der Datenschutzerklärungen, dass der Dienstbetreiber kein Interesse daran hat, die Lage seiner Nutzer in Bezug auf deren datenschutzrechtliche Haftung gegenüber Dritten zu erleichtern. Sie werden vielmehr alleingelassen und tragen im Zweifel das alleinige Risiko gegenüber denjenigen, die ihnen schützenswerte Daten anvertraut haben. So begrenzen etwa die ab März geltenden neuen Google-AGB die Haftung der Dienstbetreiber unter „Gewährleistung und Haftungsausschluss“ auf das gesetzliche Minimum.

Wer das Rechtsrisiko nicht eingehen will, einen nach dem deutschen Datenschutzrecht nicht geeigneten Anbieter zu nutzen, muss ein nur national oder nur innerhalb der EU operierendes Unternehmen wie beispielsweise Strato oder T-Systems wählen. Wenn es mit einem solchen Cloud-Diensteanbieter zu Problemen kommt, ist zumindest gewährleistet, dass man gerichtlich gegen ihn vorgehen kann und außerdem leichter Zugriff auf die beim Anbieter gespeicherten Daten bekommt. (gs)