Rechtliche Herausforderungen des Cloud Computings

Vertragliche Reglungen für Cloud Computing

Verträge über IT-Dienstleistungen definieren grundsätzlich die zu erbringenden Leistungen und die wechselseitigen Rechte und Pflichten der Vertragsparteien. Sie sollten alle vertraglichen Regelungen enthalten, die erforderlich sind, um Cloud Computing in dem gesetzlich zulässigen Rahmen durchzuführen.

Die Einordnung des Vertrags über Cloud Computing-Leistungen in einer dem Bürgerlichen Gesetzbuch (BGB) bekannten Vertragsform (Miete, Leihe, Werkvertrag, Dienstvertrag) ist nicht zweifelsfrei möglich. Umso wichtiger ist es, die Anforderungen an die Cloud Computing-Leistungen sowie die Folgen einer Abweichung, wie zum Beispiel Schlechtleistung, detailliert im Vertrag zu regeln. Die genaue Leistungsbeschreibung mit KPI (Key Performance Indicator) ist dabei ein zentraler Inhalt des Vertrags. Denn die Art der vereinbarten Leistungen entscheidet darüber, welcher gesetzliche Vertragstyp zur Anwendung kommt. Im Vertrag über Cloud Computing-Leistungen werden dabei regelmäßig Leistungen unterschiedlicher gesetzlicher Vertragstypen kombiniert.

Ebenso müssen im Cloud Computing-Vertrag die Schnittstellen der Leistungsübergabe, die Soll-Größen für KPI mit Messintervallen und die Qualität der Leistung, wie zum Beispiel Verfügbarkeit und Antwortzeiten, genau festgelegt werden. Hierbei werden zwischen den Parteien regelmäßig Service-Level-Agreements (SLA) vereinbart, durch die die vertragliche Leistung gesteuert und Sanktionen festgelegt werden. Die Service-Level-Agreements sollten eine abschließende Regelung treffen, da sich die gesetzliche Gewährleistung für Cloud Computing oft nicht praxistauglich erweist.

Wichtig ist in dem Cloud-Vertrag ein Notfallmanagement zu etablieren, was in der Praxis leider häufig vergessen wird. Es muss im Vertrag detailliert geregelt werden, was passiert, wenn die Internet-Anbindung ausfällt und der Auftraggeber von Leistungen aus der Cloud abgeschnitten ist. Stichwörter sind hier: Vereinbarung von Alternativlösungen und ein detailliert geregelter Notfallplan.

Unerlässlich für jeden Cloud Computing-Vertrag ist auch eine klare Regelung über das zur Anwendung kommende Recht. Ausländische Rechtsordnungen sehen gesetzliche Regelungen vor, die teilweise erheblich von dem deutschen Recht abweichen. Zu empfehlen sind darüber hinaus auch Konfliktlösungsmechanismen bei auftretenden Meinungsverschiedenheiten über die Leistungserbringung und Gerichtsstandvereinbarungen oder alternativ Schiedsgerichtsvereinbarungen, die bereits im Vorfeld klar und unmissverständlich regeln, welches Gericht beziehungsweise welches Schiedsgericht im Streitfall angerufen werden kann.

Datenschutz

Bei der personenbezogenen Datenverarbeitung im Rahmen des Cloud Computing treten rechtliche und technische Fragestellungen auf, die einer Lösung zugeführt werden müssen. Die zwingenden Regelungen der einschlägigen Datenschutzgesetze, insbesondere des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG) sind strikt einzuhalten.

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten unterliegt den strengen datenschutzrechtlichen Vorschriften des BDSG. Hierfür ist stets die Zustimmung des Betroffenen einzuholen, was in der Praxis bei Cloud Computing praktisch nicht möglich ist.

Einen Ausweg kann die Verarbeitung von personenbezogenen Daten im Wege der Auftragsdatenverarbeitung nach § 11 BDSG bieten. Dafür muss der Cloud-Anwender die personenbezogenen Daten im Auftrag des beauftragten IT-Dienstleisters verarbeiten. Der Cloud-Anwender als Auftraggeber bleibt bei einer Auftragsdatenverarbeitung dafür verantwortlich, dass die datenschutzrechtlichen Vorschriften bei der Datenverarbeitung in der Cloud zwingend eingehalten werden. Zu beachten ist, dass der Cloud-Anwender dieses Privileg nur dann für sich in Anspruch nehmen kann, wenn die Anforderungen einer Auftragsdatenverarbeitung nach § 11 BDSG erfüllt sind. Diese Anforderungen wurden im Jahr 2009 um Kontrollen des Auftraggebers für Datenschutzmaßnahmen des Serviceproviders ergänzt. Der Vertrag zur Auftragsdatenverarbeitung muss schriftlich vereinbart werden und die 10 Pflichtinhalte, die gesetzlich in § 11 BDSG vorgegeben sind, aufweisen. So muss unter anderem vertraglich geregelt werden, wie und in welchem Umfang die Datenverarbeitung in der Cloud erfolgen soll, welche Weisungs- und Kontrollrechte der Auftraggeber hat und was mit den ausgelagerten personenbezogenen Daten bei Beendigung des Vertragsverhältnisses zur Auftragsdatenverarbeitung passiert.

Es ist offensichtlich, dass diese strengen Voraussetzungen in einer Vielzahl von Fällen beim Cloud Computing, insbesondere bei Public Clouds, nicht einzuhalten sind. Denn der Cloud-Anwender weiß in der Regel nicht, wo seine Daten liegen.

Zur Einhaltung der datenschutzrechtlichen Vorgaben hat daher der Cloud-Anwender ein besonderes Augenmerk darauf zu richten, wo sich seine personenbezogenen Daten befinden. Ebenso ist der Vertragspraxis zu empfehlen eine räumliche Einschränkung im Cloud Computing-Vertrag aufzunehmen.

Es ist zu berücksichtigen, dass eine Auftragsdatenverarbeitung nur innerhalb der Europäischen Union und des Europäischen Wirtschaftsraums möglich ist. Verlassen personenbezogene Daten den Europäischen Wirtschaftsraum, ist besondere Vorsicht geboten. Für eine gesetzeskonforme Verarbeitung personenbezogener Daten in Ländern außerhalb des Europäischen Wirtschaftsraums, die aus Sicht der Europäischen Union ein niedrigeres Datenschutzniveau aufweisen (zum Beispiel Indien oder USA), müssen weitere Schutzmechanismen ergriffen werden. Aber auch hier gibt es Lösungsmöglichkeiten: Die Parteien eines Cloud Computing-Vertrages können beispielsweise die neuen Standardvertragsklauseln für die Weitergabe personenbezogener Daten an Auftragsdatenverarbeiter in Drittländer (vgl. Richtlinie 95/46/EG) verwenden. Anders als in der Vorfassung aus dem Jahre 2001 enthalten diese Klauseln nunmehr auch Regelungen über die Vergabe eines Unterauftrags eines Datenverarbeiters mit Sitz in einem Drittland an einen weiteren Datenverarbeiter mit Sitz in einem Drittland. Zu beachten ist, dass ein solcher Subunternehmer-Vertrag nur dann abgeschlossen werden darf, wenn der im Europäischen Wirtschaftsraum ansässige Auftraggeber dieser Unterbeauftragung vorher schriftlich zugestimmt hat.

Datensicherheit/IT-Sicherheit

Die Gewährleistung der Datensicherheit/IT-Sicherheit gehört zu den allgemeinen Organisationspflichten eines jeden Unternehmens (vgl. zum Beispiel §§ 91 Abs. 2, 93 Aktiengesetz (AktG). Hier kommt es vor allem darauf an, wie sicher die Daten des Unternehmens bei dem Cloud Dienstleister aufgehoben sind. Da sich die Datenströme in der Cloud nicht an nationale Grenzen halten, ist es wichtig, vertragliche Regelungen zur Verfügbarkeit und Zugangskontrolle konkret im Vertrag festzulegen. Wichtig für den Cloud-Anwender ist schließlich, welche Zugriffsrechte öffentliche und private Stellen im Zielland haben oder ob nationale Gesetze den Cloud Dienstleister sogar verpflichten, die bei ihm verarbeiteten Stellen selbst inhaltlicht zu prüfen. Bei der Frage, welche Daten in die Cloud geschickt werden, sollten diese Aspekte von dem Cloud-Anwender beachtet werden.

Praxistipps

Bei der personenbezogenen Datenverarbeitung im Rahmen des Cloud Computing müssen Anwender entscheiden, ob die Nutzung von Cloud-Services für sie in Betracht kommt. Hierbei ist in der Praxis eine Einzelfallentscheidung vorzunehmen. Es ist zu prüfen, ob und unter welchen Voraussetzungen die Speicherung von personenbezogenen Daten in einer Cloud erlaubt ist. Wichtig ist zudem, dass Transparenz über die »in der Wolke« ablaufenden Datenverarbeitungen vorhanden ist und vertrauenswürdige IT-Dienstleister beauftragt werden. Auftraggeber haben dabei die Datenschutzanforderungen zu kennen und müssen bei der Ausgestaltung der Verträge zum Cloud Computing auf die Einhaltung der Anforderungen zum Datenschutz und zur Datensicherheit achten. Eine Vielzahl von Rechtsfragen zum Cloud Computing lassen sich über sorgfältig ausgearbeitete Verträge zum Cloud Computing lösen. Mit dieser Vorgehensweise können etwaige rechtliche Risiken bewusst begrenzt werden.

Dr. Oliver Hornung ist Rechtsanwalt und Partner bei SKW Schwarz einer der marktführenden Rechtsanwaltskanzleien im IT- und Medienrecht. Dr. Hornung berät über aktuelle Rechtsfragen zum IT-Recht, Datenschutzrecht, IT-Compliance sowie zu Rechtsfragen im Internet und E-Business.