Public Cloud: eine Spielwiese für Anwälte

Unternehmen in Deutschland stehen vor Abschluss eines Cloud-Service-Vertrags vor vielen Fragen und großen rechtlichen Herausforderungen. Ein Überblick über die aktuelle Rechtslage.

Ende April 2012 traf sich die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation im polnischen Sopot und formulierte Kriterien zur Informationsverarbeitung in der Cloud. Von Cloud-Service-Anbietern fordern die Experten größtmögliche Transparenz und ein Höchstmaß an Kontrolle für ihre Nutzer. An die Politik appellieren die Datenschützer, die rechtlichen Rahmenbedingungen zu überprüfen und gegebenenfalls notwendige Ergänzungen ins Auge zu fassen. Damit reagierten die Arbeitsgruppe auf die im Januar vorgestellte, geplante Novellierung der EU-Datenschutzrichtlinie. Sie sieht ein einheitliches Datenschutzrecht in Europa vor, das sowohl Privatleuten als auch Unternehmen Verbesserungen bringen.

Es kann nicht sein, dass der Wettbewerbsdruck zwar zu niedrigen Nutzungspreisen führt, auf der anderen Seite aber die Datensicherheit leidet. Diese Kluft hat vor ein paar Wochen dazu geführt, dass der Big Brother Award 2012 in Deutschland unter anderem an die Cloud ging. Gleichzeitig gibt es das Problem, dass die in den USA geltenden Antiterrorgesetze Cloud-Anbieter verpflichten, den Behörden im Bedarfsfall Zugriff auf die Daten ihrer Kunden zu gewähren – selbst wenn die Kunden aus Europa kommen.

Auch wenn die rechtlichen Rahmenbedingungen derzeit noch an die neue Technologie angepasst werden müssen, gibt es keinen Grund auf sie zu verzichten. Die Mindestanforderungen, die Unternehmen bei der Gestaltung von Cloud-Service-Verträgen nach der aktuellen Rechtslage in Deutschland beachten sollten, liegen unter anderem als Empfehlung in einem Eckpunktepapier des Bundesministerium für Sicherheit (BSI) in der Informationstechnik.

Zunächst müssen Cloud-Service-Anbieter ihre Vertrags- und Geschäftsbedingungen in einer Leistungsbeschreibung so detailliert wie nachvollziehbar offenlegen. Vor allem sollte transparent sein, welche Eingriffe der Cloud-Anbieter oder Dritte in Daten und Verfahren der Kunden vornehmen dürfen. Dies schließt die Entscheidung ein, inwieweit er Cloud-Computing-Leistungen in Anspruch nehmen möchte:

  • Benötigt der Kunde die Nutzung einer bestimmten Anwendung – SaaS?
  • Soll eine Laufzeit- und Entwicklungsumgebung genutzt werden – PaaS?
  • Plant der Kunde die Nutzung von IT-Infrastruktur – IaaS?

Je nach Umfang und Ausprägung der Cloud-Computing-Leistungen werden im Regelfall Mischformen aus Miet-, Werk- oder Dienstvertrag vorliegen, was bei Leistungsstörungen unterschiedliche Rechtsfolgen zur Folge hat. Klarheit über die konkreten Rechtsfolgen sollten daher so genannte Service Level Agreements (SLA) schaffen.

In den SLAs werden qualitative und quantitative Leistungsmerkmale sowie spezifische Folgen bei deren Nichteinhaltung vereinbart. Zur Bestimmung (Messung) der Service Levels müssen geeignete Key Performance Indicators (KPI) vereinbart werden, insbesondere:

  • Verfügbarkeit des Systems oder Dienstes in einem bestimmten Messzeitraum,
  • Reaktionszeiten auf Mängelmitteilung,
  • Umgehungs- oder Beseitigungszeiten bei Mängeln.

Interessant wird es dann – wie zu Beginn des Beitrags schon angedeutet – wenn in der Cloud personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Dann muss der Schutz gemäß den datenschutzrechtlichen Bestimmungen gewährleistet sein.

Auf der sicheren Seite hinsichtlich des Bundesdatenschutzgesetzes sind deutsche Unternehmen, wenn die Auftragsdatenverarbeitung innerhalb einer EU/EWR-Cloud stattfindet. Das bedeutet, dass Nutzer und Anbieter vertraglich regeln müssen, dass die Daten nur innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet werden, also innerhalb der EU sowie Island, Liechtenstein und Norwegen. Nur dann erhält der Cloud-Anbieter eine Rechtsstellung, die mit einem internen Rechenzentrum des Unternehmens vergleichbar ist.

Zwar gibt es auch US-Anbieter, die EU/EWR-Clouds anbieten, aber die Verträge enthalten meist keine ausreichenden Regelungen zu einem Verbleib der Daten innerhalb des EWR. Bei einem solchen Vertragsabschluss riskiert das deutsche Unternehmen ein Bußgeld, weil er die Bestimmungen des § 11 BDSG verletzt. Trotzdem kann eine Auslagerung personenbezogener Daten unter bestimmten Voraussetzungen möglich sein:

  • Es muss eine Garantievereinbarung mit dem US-Anbieter oder Unter-Anbieter geschlossen werden, dass die Daten ausschließlich innerhalb des EWR verarbeitet werden. Die Garantien können sich aus Standardvertragsklauseln oder aus Binding Corporate Rules ergeben.
  • Die EU-Standardvertragsklauseln ebenso wie Binding Corporate Rules können entbehrlich sein, wenn sich der Cloud-Anbieter zur Einhaltung der Safe-Habor-Grundsätze verpflichtet hat. Dabei können sich die Cloud-Anbeiter auf freiwilliger Basis gegenüber dem US-Handelsministerium selbst zertifizieren. Nachteil: Solange es aber keine flächendeckende Kontrolle der Zertifikate durch die Behörden gibt, stehen die deutschen Unternehmen in der Verantwortung.
  • Auf keinen Fall dürfen besonders schutzbedürftige Daten, wie Gesundheitsdaten, in die US-Cloud ausgelagert werden.

Eine Orientierungshilfe für deutsche Unternehmen geben die Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder.

Sie sehen, die Entscheider stehen hierzulande bei der Wahl eines Cloud-Dienstes vor großen rechtlichen Herausforderungen – zumindest solange es keine angepassten gesetzlichen Regelungen gibt. Für deutsche Unternehmen ist die Private Cloud innerhalb der EU ist zurzeit die datenschutzfreundlichste Variante des Cloud Computing.