Der Wunsch vieler Unternehmen, nicht mehr viel Geld in Hard- und Software stecken zu müssen, aber dennoch auf aktuelle und schnell skalierbare Systeme zurückgreifen zu können, führte Ende der neunziger Jahre zunächst zum Angebot des Application Service Providing (ASP). Anstatt Applikationen und Plattenplatz zu kaufen, mieteten die Unternehmen diese und konnten je nach Bedarf mehr oder weniger Lizenzen sowie mehr oder weniger Speicherplatz in Anspruch nehmen. Das war die Theorie – die Praxis zeigte, dass kaum jemand sich für das Angebot interessierte. Zu gering war das Vertrauen in die noch in der Entstehung befindlichen Breitbandnetze, zu hoch war die Furcht vor der Auslagerung geschäftskritischer Daten. Daten- und Ausfallsicherheit – zwei wesentliche Faktoren, die schließlich zum Scheitern der Idee führten.

Aber ist die Idee wirklich gescheitert? Noch nicht, denn als "Software as a Service" (SaaS) und damit als ein Teil beziehungsweise eine Ausprägung des Cloud Computing steht sie heute (neben Infrastructure und Platform as a Service, IaaS oder PaaS) wieder in leicht veränderter Form in den Startlöchern. Das Problem der Ausfallsicherheit hat sich, wenn auch nicht ganz erledigt, so doch wenigstens stark verringert. Die Netze sind wesentlich belastbarer, redundanter und schneller geworden, so dass Schwierigkeiten mit der Infrastruktur seltener geworden sind. Das Problem der Datensicherheit hingegen ist nicht gelöst und hat sich dank Ländergrenzen überschreitender IT-Strukturen der Cloud sogar noch verschärft. Hinzu kommen aus demselben Grund Probleme bei der Frage, welches Recht denn eigentlich auf Verträge oder in Haftungsfällen anzuwenden ist. Das seit jeher ländergebundene Urheberrecht wirft ähnliche Fragen auf – und zuletzt stehen noch IT-Sicherheit und Compliance auf dem Prüfstand. Aus der Feststellung, dass diese Themen nicht oder nur in geringem Umfang durch international gültige Rechtsnormen geregelt sind, ergeben sich Fragen, denen nachfolgend auf den Grund gegangen werden soll.

Nicht immer freie Wahl bei anwendbarem Recht
Kommt eigentlich deutsches Recht zur Anwendung, wenn ein deutscher Verbraucher oder ein deutsches Unternehmen mit einem ausländischen Cloud-Anbieter einen Vertrag schließt? Die typische Juristenantwort auf diese Frage lautet: Es kommt drauf an. So steht es den Parteien zunächst frei, sich für eine Rechtsordnung zu entscheiden. Das wird bei auf Augenhöhe verhandelnden Partnern, Unternehmer, die beispielsweise gemeinsam Cloud-Dienste anbieten wollen, Verhandlungssache sein. Hier können die Vertragspartner frei wählen – und das sollten sie auch, um möglichst große Rechtssicherheit zu erreichen.

Bei den häufig anzutreffenden Diensten jedoch, die sich an Verbraucher wenden – zum Beispiel Freemail-Dienste, Blogs oder die Google Apps – hat dieser kaum eine Chance, auf dieses Thema Einfluss zu nehmen, schon gar nicht, wenn diese kostenfrei erbracht werden. Der Kunde hat lediglich die Wahl, die standardisierten AGB anzunehmen oder sich einen anderen Anbieter zu suchen. Dennoch steht ihm hier das deutsche Recht bei: Nach der nunmehr anzuwendenden EG-Verordnung “Rom I”, die seit Kurzem die bisherigen Regelungen des Einführungsgesetzes zum Bürgerlichen Gesetzbuch (EGBGB) ersetzt, können Verbraucher und Unternehmer das anwendbare Rechte zwar ebenso wählen. Jedoch darf dem Verbraucher damit kein wesentliches Schutzrecht genommen werden. Da das deutsche Recht zahlreiche Regelungen kennt, von denen zu Lasten des Verbrauchers nicht abgewichen werden darf, und zudem einen recht hohen Schutzstandard aufweist, ist davon ausgehen, dass zumindest auf dem Gebiet der Rechtswahl ein wirksamer Schutz zugunsten des Verbrauchers besteht.

Heikles Thema Datenschutz
Die Daten in der Wolke können theoretisch im einen Moment hier, im nächsten Moment in den USA und einen Moment später auf den niederländischen Antillen abgespeichert sein. Eine noch nicht gelöste Herausforderung für das Datenschutzrecht, das grundsätzlich davon ausgeht, dass genau bestimmbar ist, wo die Daten gespeichert sind – denn davon ist abhängig, das Recht welchen Staates zu Beurteilung von Datenschutzverstößen anwendbar ist. Interessant ist auch die Vorstellung, dass personenbezogene Daten, für die in Deutschland besonders rigide Regelungen bestehen, möglicherweise durch eine Trennung voneinander gar nicht mehr personenbezogen sind: Das Datum “Vorname” befindet sich in Deutschland, der Nachname in den USA und die Postadresse auf den niederländischen Antillen: Sind diese einzelnen Datensätze überhaupt noch personenbezogen?

Auch der Ansatz, nach dem Sitz des verarbeitenden Unternehmens über das anwendbare Datenschutzrecht zu entscheiden, ist nicht unbedingt gut gewählt: Denn der Sitz kann frei gewählt, verändert und möglicherweise vollständig "internationalisiert" werden, auch während laufender Geschäftsbeziehungen. So kann aus einem sicheren ganz schnell ein unsicherer Anbieter werden. Möglich erscheinen hier vor allen Dingen zwei Regelungen:

• Zum einen könnten Unternehmen, deren Daten dem Datenschutz unterliegen, weg von den Public, hin zu den so genannten Private Clouds gehen. Hier werden innerhalb einer Unternehmensfirewall Server, Anwendungen und Daten miteinander vernetzt und bilden so eine Wolke, die unter der Kontrolle des Unternehmens steht.
• Oder es werden Vereinbarungen mit dem in der EU ansässigen Cloud-Anbieter geschlossen, nach denen die Daten beispielsweise nur innerhalb der EU gespeichert ("EU-Clouds") und der Speicherort jederzeit nachvollziehbar gestaltet werden muss.

Beide Konzepte nehmen der Grundidee natürlich den Charme und widersprechen besonders den Zielen, Kosten einzusparen und flexibel zu sein.

                                                Seite 1 von 2                     Nächste Seite>>