Cloud Computing ist Schlagwort in aller Munde. Als wirtschaftliches Konzept beginnt es, sich immer schneller durchzusetzen. Da es sich aber um ein verhältnismäßig neues Geschäftsmodell handelt, sind viele seiner rechtlichen Aspekte noch unbeleuchtet oder deren Klärung im ständigen Fluss. Dies gilt insbesondere, da die Rechtsprechung zum Thema noch sehr überschaubar ist. Dieser Beitrag unseres Mitarbeiters Ass.jur. Malte Wirtz gibt einen Überblick über die wichtigsten rechtlich relevanten Fragen des Cloud Computing.
Cloud Computing – Begriff
Unter Cloud Computing versteht man die flexibel auf den jeweiligen Bedarf des Auftraggebers abgestimmte Bereitstellung von IT-Services in Netzwerken. Der Netzwerkbegriff geht hierbei über das Internet hinaus, da Cloud Computing auch in internen Netzwerken stattfinden kann (Private Cloud). Die typische und für die meisten Auftraggeber relevante Konstellation ist jedoch die Auslagerung und Nutzung von klar definierten Kapazitäten wie Speicherplatz, Rechenleistung oder Soft- und Hardware ins Internet (Public Cloud). Die Anbieter können dies gewährleisten, da sie dynamisch auf über das gesamte Internet verstreute Ressourcen zugreifen. Eine Vergütung erfolgt beim Cloud Computing ausschließlich für die erfolgte Nutzung.
Abgrenzung
Das Cloud Computing muss von den klassischen Modellen des Drittbetriebes unterschieden werden. Vom Outsourcing unterscheidet es sich durch das Fehlen einer festen Zuordnung physischer Ressourcen. Vom Application Service Management (ASP) ist es abzugrenzen, da es im Gegensatz zu diesem keine separaten Infrastrukturen für die konkreten Auftraggeber bereit hält, sondern mehrere Auftraggeber auf derselben Plattform arbeiten können. Auch über die reine Bereitstellung von Software als Service (SaaS) geht das Cloud Computing insoweit hinaus, als es nicht nur die Nutzung einer bestimmten Applikation ermöglicht, sondern zusätzlich u.a. die Softwareumgebung (PaaS/IaaS) oder sogar Hardware (HaaS) zur Verfügung stellt.
Anwendbares Recht
Territoriale Grenzen spielen in technischer Hinsicht keine Rolle. Auftraggeber können daher unproblematisch auch Cloud-Dienste ausländischer Anbieter in Anspruch nehmen. Es stellt sich dann aus Sicht des Rechtsanwaltes die Frage, welche Rechtsordnung Anwendung findet. Schließt der Auftraggeber mit einem ausländischen Anbieter einen Vertrag ohne Rechtswahlregelung, kann dies dazu führen, dass dessen fremde nationale Rechtsordnung gilt. Um dies zu verhindern muss im Vertrag unbedingt deutsches Recht für anwendbar erklärt werden. Der Passus muss auch außervertragliche Ansprüche umfassen, da nur so das Risiko der Geltung fremden Rechts auf solche ausgeschlossen werden kann.
Vertragsform
Das Cloud Computing beinhaltet ein besonders weites Leistungsspektrum. Durch die Vielzahl der einzelnen Services und die weitere Möglichkeit ihrer flexiblen Kombination, kann es kompliziert sein, die Services einem bestimmten Vertragstyp zuzuordnen. Die Zuordnung ist für die Vertragsparteien aber von eminenter Wichtigkeit. Im Gesetz sind die einzelnen Standard-Vertragstypen geregelt. Ihre Regelung umfasst die spezifischen Gewährleistungsrechte. Kommt es bei der Durchführung des Vertrags zu Leistungsstörungen, so bestimmen sich die dadurch entstehenden Gewährleistungsrechte nach dem jeweils von der Störung betroffenen Vertragstypus. Ferner werden vom Anbieter meist Standardverträge mit AGB verwendet. Diese AGB unterliegen einer rechtlichen Inhaltskontrolle. Sind in den AGB Gewährleistungsrechte vereinbart, die zu weit vom gesetzlichen Leitbild divergieren, ist die vereinbarte Gewährleistung nichtig. Für den Auftraggeber ist es demnach wichtig einordnen zu können, welchem Vertragstypus die Leistung entspricht, um abschätzen zu können, welche Gewährleistungsrechte ihm zustehen. Für die Anbieter ist das Wissen um den Vertragstyp wichtig, weil er die Gestaltung der AGB an dessen Leitbild zu orientieren hat und nur so optimale Verträge gestalten kann. Insbesondere verbietet es sich, einfach die Verträge anderer Outsourcing-Modelle zu übernehmen. Im Folgenden werden daher kurz die denkbaren Services den einzelnen Vertragstypen zugeordnet.
Cloud-Dienste beeinhalten die entgeltliche befristete Überlassung von Kapazitäten und damit verbundene Services. Die entgeltliche zeitweilige Überlassung von Sachen gilt als Mietvertrag.
Die Gerichte begreifen auch Software als Sache. Ihr spezifischer Charakter steht der Einordnung als Miete nicht entgegen. Unentgeltliche Dienste gelten hingegen als Leihe. Überdies werden im Rahmen des Cloud Computings weitere Leistungen angeboten, wie z.B. Pflege und Anpassungen der Software. Insofern ist vom Rechtsanwalt zu differenzieren: Erschöpft sich die Pflege in der bloßen Erhaltung der Nutzungsmöglichkeit, ist sie Teil der vom Anbieter geschuldeten mietrechtlichen Leistung. Geht sie darüber hinaus, so handelt es sich um einen Werkvertrag, da der Anbieter die Aufrüstung oder Umgestaltung des Systems schuldet. Softwareschulungen des Anbieters sind wiederum Dienstverträge. Cloud-Dienste sind somit regelmäßig typengemischte Verträge, deren Schwerpunkt im Mietrecht liegt. Dies kann aber nicht generalisiert werden. Im Einzelfall kann der Schwerpunkt durchaus bei anderen Vertragstypen liegen. Hinsichtlich der Miete ist darauf hinzuweisen, dass die Mietsache vom Vermieter in einem zum Gebrauch geeigneten Zustand zu halten ist. Dies käme bei Cloud-Diensten einer Garantie gleich, deren Inhalt die ständige Verfügbarkeit ist. Anbieter müssen in den AGB also darauf achten realistische Systemverfügbarkeiten durch Service Level Agreements (SLAs) in die Leistungsbeschreibung aufzunehmen.
Lizenzen
Häufig ist beim Cloud Computing von Lizenzerwerb die Rede. Dieser Terminus hat sich eingebürgert, ist rechtlich aber ungenau. Lizenzen sind absolute Nutzungsrechte, die endgültig oder vorübergehend übertragen werden können. Sie sind z.B. im Urheber- oder Patentrecht relevant. Ein Mietverhältnis hat keine Rechteübertragung zum Inhalt. Lizenzrechtliche Aspekte sind beim Cloud Computing aber insofern relevant, als Software vom Anbieter zum Auftraggeber gestreamt werden kann. Damit findet eine Speicherung im Arbeitsspeicher des Auftraggebers statt. Er nimmt so eine urheberrechtlich relevante Verfielfältigungshandlung vor. Diese ist erlaubt, wenn sie nur vorübergehend oder zum Zwecke der bestimmungsgemäßen Nutzung der Applikation erfolgt. Voraussetzung ist jedoch, dass der Anbieter die Lizenz für die gestreamte Software besitzt. Eine dahingehende Zusicherung sollte also in den Vertrag aufgenommen werden bzw. ein Nachweis verlangt werden. Hierauf hat Ihr Anwalt zu achten.
Datenschutz
Cloud Computing ermöglicht die Datenverarbeitung in öffentlichen Netzen. Wählt der Auftraggeber diese Option, so sind davon meist auch Arbeitnehmer- oder Kundendaten betroffen.
Solche Daten werden als personenbezogene Daten bezeichnet. Die Übermittlung dieser Daten in eine unternehmensfremde Infrastruktur ist nur unter sehr engen Voraussetzungen möglich. Diese sind im Bundesdatenschutzgesetz geregelt. Auftraggeber und Anbieter haben sich bei bei einem Cloud-Service, der die Speicherung personenbezogener Daten umfasst, an die dort normierten Pflichten zu halten. Das Bundesdatenschutzgesetz regelt, dass die Verarbeitung personenbezogener Daten durch Dritte – hier also den Anbieter- nur dann erlaubt ist, wenn eine so genannte Auftragsdatenverarbeitung vorliegt. Diese setzt voraus, dass der Auftraggeber trotz deren Auslagerung als „Herr über die Daten“ verantwortlich bleibt. Dies ist nur dann gewährleistet, wenn der Auftraggeber den Anbieter sorgfältig unter Überprüfung der technischen und organisatorischen Maßnahmen auswählt. Diese Voraussetzung hat der beauftragte Anwalt zu prüfen. Überdies hat er einen schriftlichen Vertrag zu schließen, der die Aspekte der Datenverarbeitung sowie die Pflichten des Anbieters explizit regelt. Schließlich muss dem Auftraggeber die regelmäßige Überprüfung der Einhaltung der im Vertrag beschrieben Anbieterpflichten möglich sein. Insbesondere die letztgenannte Anforderung kann im Einzelfall gerade für kleine Unternehmen schwer realisierbar sein. Dem Cloud Computing ist gerade systemimmanent, dass Ressourcen grenzüberschreitend dynamisch auf eine Vielzahl von Servern gestreut werden. Die Kenntnis über die geographische Lokalisierung und den Ort der physischen Speicherung ist nur schwer zu erlangen. Erschwerend tritt hinzu, dass eine Datenverarbeitung grundsätzlich nur innerhalb der EU zulässig ist. Nur wenn das Datenschutzniveau eines Drittstaates dem der EU entspricht, dürfen auch dort Daten verarbeitet werden. Die meisten Staaten erreichen das geforderte Schutzniveau jedoch nicht. Dem Cloud Computing sind in technischer Hinsicht territoriale Beschränkungen auf die EU indes typischerweise fremd. Durch eine Verschlüsselung verlieren Daten jedoch ihren persönlichen Charakter. Sie könnten in der Cloud gespeichert werden. Ihre Verarbeitung aus der Cloud heraus setzt jedoch eine Entschlüsselung voraus. Ob es sich bei der Verschlüsselung um ein allein tragfähiges Konzept handelt, ist somit fraglich. Jedenfalls sollten Auftraggeber darauf achten personenbezogene Daten nicht unverschlüsselt und ohne vertragliche Zusicherung, dass diese in einer EU-internen Cloud verbleiben, auszulagern. Dies sind die Mindestvoraussetzungen einer Verarbeitung personenbezogener Daten in der Public Cloud..
Eine ausführliche datenschutzrechtliche Auseinandersetzung mit dem Thema Cloud Computing finden Sie beim Datenschutzzentrum Schleswig-Holstein.
Fazit
Es bleibt festzuhalten, dass Cloud Computing Unternehmen die Möglichkeit bietet, ihre IT-Strukturen auszulagern. Sie können Ressourcen sparen und sich auf ihr Kerngeschäft fokussieren. Im Gegensatz zu früheren Outsourcing-Modellen wird ein Cloud-Dienst nur nach Bedarf abgerufen und vergütet. Darin liegt die größtmögliche Optimierung der IT-Nutzung. Ökonomisch ist das Cloud Computing daher sinnvoll. Mittelfristig wird es die etablierten Modelle weitgehend ablösen. Ermöglicht wird dies durch die koordinierte Nutzung weltweit verstreuter IT-Infrastrukturen durch die Anbieter. In juristischer Hinsicht entstehen so jedoch auch neue, vormals unbekannte Risiken. Deren Beherrschung erfordert Expertise. Zur Vermeidung böser Überraschungen ist Auftraggebern und Anbietern die professionelle Beratung durch einen Fachanwalt IT-Recht unbedingt zu empfehlen.
