Der Wunsch vieler Unternehmen, nicht mehr viel Geld in Hard- und Software stecken zu müssen, aber dennoch auf aktuelle und schnell skalierbare Systeme zurückgreifen zu können, führte Ende der neunziger Jahre zunächst zum Angebot des Application Service Providing (ASP). Anstatt Applikationen und Plattenplatz zu kaufen, mieteten die Unternehmen diese und konnten je nach Bedarf mehr oder weniger Lizenzen sowie mehr oder weniger Speicherplatz in Anspruch nehmen. Das war die Theorie – die Praxis zeigte, dass kaum jemand sich für das Angebot interessierte. Zu gering war das Vertrauen in die noch in der Entstehung befindlichen Breitbandnetze, zu hoch war die Furcht vor der Auslagerung geschäftskritischer Daten. Daten- und Ausfallsicherheit – zwei wesentliche Faktoren, die schließlich zum Scheitern der Idee führten.

Aber ist die Idee wirklich gescheitert? Noch nicht, denn als "Software as a Service" (SaaS) und damit als ein Teil beziehungsweise eine Ausprägung des Cloud Computing steht sie heute (neben Infrastructure und Platform as a Service, IaaS oder PaaS) wieder in leicht veränderter Form in den Startlöchern. Das Problem der Ausfallsicherheit hat sich, wenn auch nicht ganz erledigt, so doch wenigstens stark verringert. Die Netze sind wesentlich belastbarer, redundanter und schneller geworden, so dass Schwierigkeiten mit der Infrastruktur seltener geworden sind. Das Problem der Datensicherheit hingegen ist nicht gelöst und hat sich dank Ländergrenzen überschreitender IT-Strukturen der Cloud sogar noch verschärft. Hinzu kommen aus demselben Grund Probleme bei der Frage, welches Recht denn eigentlich auf Verträge oder in Haftungsfällen anzuwenden ist. Das seit jeher ländergebundene Urheberrecht wirft ähnliche Fragen auf – und zuletzt stehen noch IT-Sicherheit und Compliance auf dem Prüfstand. Aus der Feststellung, dass diese Themen nicht oder nur in geringem Umfang durch international gültige Rechtsnormen geregelt sind, ergeben sich Fragen, denen nachfolgend auf den Grund gegangen werden soll.

Nicht immer freie Wahl bei anwendbarem Recht
Kommt eigentlich deutsches Recht zur Anwendung, wenn ein deutscher Verbraucher oder ein deutsches Unternehmen mit einem ausländischen Cloud-Anbieter einen Vertrag schließt? Die typische Juristenantwort auf diese Frage lautet: Es kommt drauf an. So steht es den Parteien zunächst frei, sich für eine Rechtsordnung zu entscheiden. Das wird bei auf Augenhöhe verhandelnden Partnern, Unternehmer, die beispielsweise gemeinsam Cloud-Dienste anbieten wollen, Verhandlungssache sein. Hier können die Vertragspartner frei wählen – und das sollten sie auch, um möglichst große Rechtssicherheit zu erreichen.

Bei den häufig anzutreffenden Diensten jedoch, die sich an Verbraucher wenden – zum Beispiel Freemail-Dienste, Blogs oder die Google Apps – hat dieser kaum eine Chance, auf dieses Thema Einfluss zu nehmen, schon gar nicht, wenn diese kostenfrei erbracht werden. Der Kunde hat lediglich die Wahl, die standardisierten AGB anzunehmen oder sich einen anderen Anbieter zu suchen. Dennoch steht ihm hier das deutsche Recht bei: Nach der nunmehr anzuwendenden EG-Verordnung “Rom I”, die seit Kurzem die bisherigen Regelungen des Einführungsgesetzes zum Bürgerlichen Gesetzbuch (EGBGB) ersetzt, können Verbraucher und Unternehmer das anwendbare Rechte zwar ebenso wählen. Jedoch darf dem Verbraucher damit kein wesentliches Schutzrecht genommen werden. Da das deutsche Recht zahlreiche Regelungen kennt, von denen zu Lasten des Verbrauchers nicht abgewichen werden darf, und zudem einen recht hohen Schutzstandard aufweist, ist davon ausgehen, dass zumindest auf dem Gebiet der Rechtswahl ein wirksamer Schutz zugunsten des Verbrauchers besteht.

Heikles Thema Datenschutz
Die Daten in der Wolke können theoretisch im einen Moment hier, im nächsten Moment in den USA und einen Moment später auf den niederländischen Antillen abgespeichert sein. Eine noch nicht gelöste Herausforderung für das Datenschutzrecht, das grundsätzlich davon ausgeht, dass genau bestimmbar ist, wo die Daten gespeichert sind – denn davon ist abhängig, das Recht welchen Staates zu Beurteilung von Datenschutzverstößen anwendbar ist. Interessant ist auch die Vorstellung, dass personenbezogene Daten, für die in Deutschland besonders rigide Regelungen bestehen, möglicherweise durch eine Trennung voneinander gar nicht mehr personenbezogen sind: Das Datum “Vorname” befindet sich in Deutschland, der Nachname in den USA und die Postadresse auf den niederländischen Antillen: Sind diese einzelnen Datensätze überhaupt noch personenbezogen?

Auch der Ansatz, nach dem Sitz des verarbeitenden Unternehmens über das anwendbare Datenschutzrecht zu entscheiden, ist nicht unbedingt gut gewählt: Denn der Sitz kann frei gewählt, verändert und möglicherweise vollständig "internationalisiert" werden, auch während laufender Geschäftsbeziehungen. So kann aus einem sicheren ganz schnell ein unsicherer Anbieter werden. Möglich erscheinen hier vor allen Dingen zwei Regelungen:
 

• Zum einen könnten Unternehmen, deren Daten dem Datenschutz unterliegen, weg von den Public, hin zu den so genannten Private Clouds gehen. Hier werden innerhalb einer Unternehmensfirewall Server, Anwendungen und Daten miteinander vernetzt und bilden so eine Wolke, die unter der Kontrolle des Unternehmens steht.
• Oder es werden Vereinbarungen mit dem in der EU ansässigen Cloud-Anbieter geschlossen, nach denen die Daten beispielsweise nur innerhalb der EU gespeichert ("EU-Clouds") und der Speicherort jederzeit nachvollziehbar gestaltet werden muss.

Beide Konzepte nehmen der Grundidee natürlich den Charme und widersprechen besonders den Zielen, Kosten einzusparen und flexibel zu sein.

Die Speicherung und Verarbeitung von Daten durch Cloud-Anbieter wird jedenfalls kaum als Auftragsdatenverarbeitung rechtmäßig im Sinne des § 11 BDSG (Bundesdatenschutzgesetz) sein. Zum einen ist dies ohnehin lediglich in EU-Clouds möglich, zum anderen wird vorausgesetzt, dass der Kunde "Herr der Daten" bleibt – in Public Clouds kaum vorstellbar. Also wird sich die Datenübermittlung – zumindest innerhalb der EU – an § 28 ff. BDSG orientieren müssen. Letztlich wird zu fragen sein, ob es Gründe dafür gibt, dass das Interesse des von der Datenspeicherung Betroffenen überwiegt. Bei besonders sensiblen Daten – beispielsweise die Gesundheit betreffend – wird die Waage wohl zulasten des Geschäftsprinzips "Cloud" ausschlagen. Andere Daten hingegen sind – entsprechende umfassende Dokumentation der Datenverarbeitung vorausgesetzt – wohl in Clouds nutzbar.

Sinnvoll ist in jedem Fall eine Verschlüsselung der Daten, um nicht autorisierten Zugriff zu erschweren, aber auch eine Vereinbarung, nach der die Hardware, auf der die Daten gespeichert werden beziehungsweise werden könnten, am Ende ihrer Nutzungsdauer vernichtet werden, um Datenspuren zu verhindern. Um der Datensicherheit letztlich Genüge zu tun, sind auch Regelungen hinsichtlich der Verfügbarkeit und Integrität der Daten beispielsweise in SLAs zu empfehlen. Zuletzt bleibt noch die Frage, ob Berufsgeheimnisträger wie etwa Ärzte, Anwälte, Sozialarbeiter oder Psychologen Cloud-Dienste überhaupt nutzen dürfen. Eine Strafbarkeit nach § 203 Strafgesetzbuch steht hier im Raum. Nach der derzeitigen Rechtslage ist diesen Berufsgruppen die Nutzung nicht zu empfehlen.

Kaum Bedenken beim Urheberrecht
Bezüglich urheberrechtlicher Fragen ist die Beziehung zwischen Cloud-Anbieter und Kunde nur von untergeordneter Bedeutung: Der Anbieter wird sich um die Lizenzierung kümmern, der Kunde wird davon ausgehen, dass er die Dienste wie angeboten auch nutzen darf. Auch vervielfältigt der Kunde beispielsweise eine Applikation nicht – er greift lediglich durch einen Browser oder einen speziellen Cloud-Client auf sie zu. Die Vervielfältigung findet damit in der Cloud statt. Hierfür spricht auch das Urteil des Bundesgerichtshofs (BGH) zu Online-Videorekordern: Das Gericht sah eine Urheberrechtsverletzung nur dann als gegeben an, wenn der Kunde die Vervielfältigung (in der Entscheidung: eines Fernsehprogramms) nicht nur anstößt, sondern quasi auch selbst technisch steuert. Davon ist in einer Cloud nicht auszugehen, da der Kunde auf die technischen Gegebenheiten keinen Einfluss nehmen kann, die Vervielfältigung also von der Cloud gesteuert und administriert wird.

Wichtiger sind Lizenzverträge zwischen Cloud- und Applikations-Anbietern: Diese müssen regelmäßig auch die Bearbeitungsrechte der Anwendungen umfassen (beispielsweise für das Customizing an die Bedürfnisse von Kunden oder Kundengruppen). Auch das Recht, die Software öffentlich zugänglich zu machen, muss sich der Cloud-Anbieter übertragen lassen. Das gilt auch dann, wenn – etwa in einer privaten Cloud – Abnehmer nur ein einzelnes (größeres) Unternehmen wäre – denn auch eine größere Anzahl nicht miteinander persönlich verbundener Nutzer stellt schon eine “Öffentlichkeit” dar. Das Recht auf Vermietung als Unterform der Verbreitung jedoch wird nicht berührt: In Zeiten von ASP hatte der BGH zwar entschieden, dass Mietrecht auf die ASP-Verträge anzuwenden sei. Jedoch wird überwiegend vertreten, dass bei der alleinigen Online-Übertragung wie beim Cloud-Computing keine Vermietung vorliegt. Zur Frage des anzuwendenden Urheberrechts gilt im Übrigen das oben für den Datenschutz Gesagte.

Weitere rechtliche Besonderheiten
IT-Sicherheit ist für Aktiengesellschaften, aber auch beispielsweise für GmbHs bindend vorgeschrieben aufgrund der Regelungen in § 91 Aktiengesetz (AktG) oder auch § 9 BDSG. Sind die Cloud- Dienste beispielsweise nicht verfügbar und entsteht der Gesellschaft daraus erheblicher Schaden, können Vorstand beziehungsweise Geschäftsführung gegebenenfalls haftbar gemacht werden. Die Auswahl und die vertraglichen Beziehungen zum Cloud-Anbieter sind daher entsprechend gewissenhaft auszugestalten. Dabei ist darauf zu achten, dass dem Kunden ein möglichst großes Maß an Kontrolle über die Daten und eine möglichst hohe Verfügbarkeit zugestanden wird. Auf der anderen Seite kann man die Aufbewahrung von Daten in Clouds auch als Sicherheitsgewinn sehen: Gerade aufgrund der Skalierbarkeit und Flexibilität können Cloud-Anbieter schneller, leichter und effektiver Sicherheitsmaßnahmen ergreifen, indem sie auf die Kapazitäten der Cloud selbst zurückgreifen.

Hingegen stellen Aufbewahrungspflichten für Daten, die sich beispielsweise aus dem Steuer- oder Handelsrecht ergeben, erhöhte Anforderungen: Teilweise müssen Daten bis zu zehn Jahren lesbar aufbewahrt werden. Das stellt schon ohne eine Auslagerung in die Cloud eine Herausforderung dar, muss doch gewährleistet sein, dass die zukünftigen Programmversionen beispielsweise der Textverarbeitung die älteren Daten überhaupt noch lesbar machen können. Hinzu kommt dann das Risiko, dass die Daten in der Cloud verloren gehen – etwa weil der Cloud-Anbieter seine Dienste einstellt oder schlecht erfüllt – oder verändert werden. Das Steuerrecht hält hier noch eine Besonderheit bereit: Gemäß § 146 Abgabenordnung sind “Bücher und die sonst erforderlichen Aufzeichnungen […] im Geltungsbereich dieses Gesetzes zu führen und aufzubewahren”, mithin in Deutschland. Ausnahmen – zumindest für EU-Clouds – sind möglich, müssen aber von den Finanzbehörden abgesegnet werden.

Fazit
Eine Wolke ist ein Versprechen. Erst der Regen ist die Einlösung, sagt ein arabisches Sprichwort. Ob es regnen wird, hängt nicht zuletzt an dem rechtlichen Rahmen, den die Wolken vorfinden. Neue Entwicklungen in der Technik erfordern Anpassungen im Rechtssystem. Viele Unklarheiten lassen sich jedoch schon jetzt mit klaren und vorausschauenden Regelungen beseitigen. Das gilt zumindest für diejenigen Dienste, bei denen sich Unternehmen auf gleicher Augenhöhe gegenüber stehen. Da die wirtschaftlichen und organisatorischen Vorteile des Cloud Computing auf der Hand liegen und hoch einzuschätzen sind, ist davon auszugehen, dass in den nächsten Jahren mehr und mehr Unternehmen diese Dienste nutzen werden. Dies wird hoffentlich den Bestrebungen nach länderübergreifenden Regelungen insbesondere auch auf den Gebieten des Datenschutz- und Urheberrechts Auftrieb geben. Dass dies keine leere Hoffnung ist, zeigt jüngst die Aktualisierung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten ins EU-Ausland. Und auch die am 4. März 2010 vom Deutschen Bundestag eingesetzte Enquete-Kommission "Internet und digitale Gesellschaft" wird sich nach eigenen Aussagen voraussichtlich mit dem Thema Cloud Computing beschäftigen und die Anwendung der neuen Möglichkeiten für den öffentlichen Sektor untersuchen.

dr/ln/Sebastian Dosch