Internet-Recht
Cloud-Computing aus Sicht eines Rechtsanwalts
Das Cloud Computing ist auf der aktuellen CeBIT eins der wichtigsten Themen, gibt aber immer auch Raum für rechtliche Fallstricke und Unsicherheiten. Rechtsanwalt Christian Solmecke zeigt auf, worauf bei einem Vertragsabschluss zu achten ist - zum eigenen Vorteil.
Cloud Computing klingt zunächst sehr gut: Die eigenen Dateien werden in die Wolke gesichert, also auf zentralen Internet-Computern gespeichert. So lassen sie sich von jedem beliebigen Computer aus abrufen und auf diese Weise auch an Rechnern und auf mobilen Geräten nutzen, auf denen die Daten vorher noch nicht vorhanden waren. Die ständig und überall nutzbaren persönlichen Fotos, Songs und Texte verleiten die Anwender millionenfach dazu, sich der Cloud-Zugang zu besorgen.
Rechtsanwalt Christian Solmecke von der Kölner Kanzlei Wilde, Beuge, Solmecke betreut juristisch eines der größten Cloud-Computing-Projekte in Deutschland. Er gibt die folgenden juristisch relevanten Ratschläge:
Detaillierte Cloud-Verträge sind aus Kundensicht wichtig
Das deutsche Recht ist auf die Rechtsbeziehungen noch nicht eingestellt, wie sie zwischen dem Anwender und einem Cloud-Anbieter entstehen. Aus diesem Grund ist es ganz besonders wichtig, möglichst viele Fragen in den individuellen Verträgen mit dem Cloud-Anbieter zu regeln. Die "Service Level Agreements" definieren die abgesprochenen Leistungen im Detail, sodass es möglich ist, bei einer festgestellten Abweichung auf eine schnelle Lösung zu drängen, um den vertraglich definierten Status Quo wieder zu erreichen.
Nach dem Bürgerlichen Gesetzbuch müsste der Cloud-Anbieter die eigene Anwendung und die Daten der Kunden jederzeit zu 100 Prozent verfügbar halten. Um dieser Haftung zu entgehen, regeln die Cloud-Anbieter die Verfügbarkeit des Dienstes meist anders. Hier muss der Kunde genau schauen, ob ihm die zugesagte Verfügbarkeit ausreicht und welche Rechtsfolgen er ggf. geltend machen kann (z.B. Minderung der Vergütung), wenn diese nicht erreicht wird.
Haftungsfragen und Datensicherung regeln
Wer seine Daten in die Cloud stellt, sollte sich im Vorfeld um die Haftungsfrage kümmern. Das bedeutet: Wer ist für die Datensicherung verantwortlich, wie wird sie geregelt und reicht der Umfang der Sicherung aus? Wichtig ist für den Kunden auch: Kann er alle seine Daten auch wieder aus dem Cloud-Dienst entfernen und wie ist die Migration der Daten hin zu einem anderen Cloud-Anbieter geregelt? Der Nutzer des Cloud-Dienstes sollte auch unbedingt überprüfen oder selbst vertraglich regeln, wie es um die Nutzungsrechte an den eigenen Daten bestellt ist. Kurzum: Es sollte unbedingt vermieden werden, dass der Cloud-Betreiber oder Dritte Nutzungsrechte an den hochgeladenen Dateien erhalten.
Lohnend ist es, auf Zertifizierungen zu achten. Nutzt ein Cloud-Anbieter ein Rechenzentrum mit Zertifizierung, so gilt als sicher, dass bestimmte Standards eingehalten werden.
Ein Problem: Jede vertragliche Absicherung und jedes noch so gute Zertifikat versagt in dem Moment, in dem ein Anbieter insolvent geht. In diesem Fall hat man zwar den Anspruch auf Herausgabe der eigenen Daten. Ist die Cloud aber erst einmal abgeschaltet, kann es - vor allem im Ausland - Jahre dauern, bis die Daten wieder verfügbar gemacht werden. Besser ist es deswegen, die eigenen Daten immer auch lokal zu speichern oder sie redundant auf mehrere Anbieter zu verteilen.
Datenschutz im Ausland
Viele Cloud-Anbieter betreiben ihre Server-Farmen im Ausland. Werden die eigenen Daten ins Ausland übermittelt, muss aus Kundensicht ein angemessenes Datenschutzniveau gewährleistet werden. Hier empfehlen sich bei EU-Standardvertragsklauseln die "Binding Corporate Rules" oder bei Übermittlung in die USA ein "Safe-Harbour-Agreement (USA)". Optimal ist es, auch einen deutschen Gerichtsstand und die Anwendbarkeit deutschen Rechts zu vereinbaren.
Eine Gefahr, die bei Verwendung amerikanischer Cloud-Anbieter droht: Der "Patriot Act" erlaubt es den US-Behörden, bei Verdachtsmomenten auf die Cloud-Daten deutscher Unternehmen zuzugreifen.
Deutscher Datenschutz in der Cloud
Der deutsche Datenschutz ist besonders streng - das kommt dem Anwender sehr entgegen, der einen Cloud-Dienst für sich nutzen möchte. Um sicherzustellen, dass ein Anbieter die einschlägigen datenschutzrechtlichen Bestimmungen und Anforderungen einhält, die insbesondere das Bundesdatenschutzgesetzes (BDSG) bietet, sollte vorrangig eine EU/EWR-Cloud gebucht werden.
Hier greifen dann allgemeine Regeln wie der Grundsatz der Datenvermeidung und Datensparsamkeit, das Anonymisieren und Pseudonymisieren sowie die Einhaltung des Datengeheimnisses. Bei Verstößen gegen das Datenschutzrecht können den Verantwortlichen empfindliche Bußgelder in Höhe von bis zu 50.000,00 Euro pro Verstoß, in besonders eklatanten Fällen der unbefugten Datenverarbeitung sogar Bußgelder bis zu 300.000,00 Euro drohen.
Rechtsanwalt Christian Solmecke rät: "Es lohnt sich für jeden Anwender, vor dem Abschluss eines Cloud-Vertrages genau zu überprüfen, welche Leistungen angeboten werden, in welchem Land der Anbieter arbeitet und wo die Server stehen, und wie es um die Verfügbarkeit, die Datensicherung und den Datenschutz bestellt ist."
Weiter zur Startseite
