Lösungen für Unternehmen bei der Vertragsgestaltung von Cloud-Computing-Verträgen
Mit dem Begriff „Cloud-Computing“ (auch „Rechnerwolke“ genannt) wird der technische Ansatz umschrieben, mit dem IT-Infrastruktur (z.B. Software, aber auch Rechen- und Datenspeicher-, aber auch Netzwerk-Kapazitäten) dynamisch über ein Netzwerk zur Verfügung gestellt werden können. Anstatt Software an jedem einzelnen Arbeitsplatz-Rechner vor Ort bereitzuhalten und von dort aus zu betreiben, kann diese nach dem Cloud-Computing-Konzept auch in einem weit entfernt liegenden Rechenzentrum bereitgestellt werden. Die Trennung von Arbeitsplatz und der benötigten IT-Infrastruktur kann dabei so organisiert werden, dass die IT-Infrastruktur sich hunderte von Kilometern vom Arbeitsplatz des Nutzers entfernt befindet. In der Folge befinden sich Firmendaten nicht mehr auf dem lokalen Rechner oder im Firmenrechenzentrum, sondern in der (metaphorischen) Wolke (engl.: „Cloud“). Mit der rechtlichen Umsetzung derartiger IT-System sind seit geraumer Zeit auch spezialisiert arbeitende Juristen beschäftigt. Die in Potsdam ansässige Sozietät ilex Rechtsanwälte, die über Fachanwälte im Bereich IT-Recht und im Bankrecht verfügt, erläutert das Tätigkeitsfeld.
Übersicht:
- Wo liegen die juristischen Problemfelder?
- Mit welchen Fragen muss sich der „Cloud“ nutzende Unternehmer befassen?
- Welche Folgeprobleme sind mit dem internationalen Datentransfer verbunden?
- Wo stecken die Rechtsprobleme im internationalen Datenverkehr?
- Wo herrscht striktes Datenschutzrecht?
- Wo befinden sich die Cloud-Rechenzentren?
- Welche Verpflichtung folgt aus dem Begriff der Auftragsdatenverarbeitung?
- Welche Praxisrelevanz hat die Auftragsdatenverarbeitung über Cloud-Systeme hinaus?
Wo liegen die juristischen Problemfelder?
Die technische Umsetzung von Cloud-Computing setzt voraus, dass Ressourcen, wie Software oder Hardware nicht mehr lokal auf dem eigenen Rechner bereitgehalten wird, sondern davon getrennt in ggf. weit entfernt liegenden Rechenzentren. Auf diese Weise lassen sich Kostenvorteile realisieren; etwa dann, wenn sich die Bezahlung der genutzten Ressource (Software oder Hardware) nach der Dauer der Nutzung des Dienstes richtet und der Dienst nur gelegentlich genutzt wird. Die technischen Voraussetzungen von Cloud-Computing bedingen aber zugleich, dass die benötigten Ressourcen vom eigenen Rechner ausgelagert werden. Da auf diese Weise aber nicht nur Software und Hardware ausgelagert wird, sondern gerade auch die vom Nutzer verwalteten Daten, entsteht auf Seitendes Nutzers nicht gerade unerheblicher Rechtsberatungsbedarf im Hinblick auf den Datenschutz und die Datensicherheit. Selbst bei so genannten „Private Clouds“, bei denen im Vordergrund steht, dass sich sowohl der Anbieter der „Cloud“, als auch der Nutzer der „Cloud“ im selben Unternehmen befindet, existieren bereits erste Fragen zur Datensicherheit. In diesem Fall der Schaffung einer „Cloud“, die nur innerhalb des eigenen Unternehmens existiert, haben regelmäßig mehrere Personen innerhalb des gleichen Unternehmens Zugriff auf die Daten. Insofern stellen sich im Rahmen der Rechteverwaltung innerhalb des Unternehmens Fragen zur Einhaltung der datenschutzrechtlichen Anforderungen an die Datensicherheit. „Wesentlich komplexer sind aber die Fälle einer Public Cloud“, erläutert der in der Potsdamer Sozietät ilex Rechtsanwälte tätige Rechtsanwalt Dr. Ulrich Schulte am Hülse und ergänzt: „Gemeint ist damit eine „Cloud“, die öffentlich ist, d. h. von beliebigen Personen und Unternehmen genutzt werden kann und nicht auf interne Anwendungen beschränkt ist“. In diesem Bereich, so Rechtsanwalt Schulte am Hülse, falle auch die sogenannte „Exclusive Cloud“, bei der sich der Anbieter und Nutzer kennen und über eine Vertragsbeziehung verbunden sind oder gar der „Open Cloud“, bei der sich der Anbieter und der Nutzer der Cloud zunächst nicht kennen, die Konditionen aber im Rahmen von „Service-Level-Agreements“ (SLA) im Vorfeld definiert werden.
Mit welchen Fragen muss sich der „Cloud“ nutzende Unternehmer befassen?
Der Potsdamer Fachanwalt für Bank- und Kapitalmarktrecht Dr. Schulte am Hülse, der vor allem Banken in dem dort aufgrund des Bankgeheimnisses besonders datensensitiven Bereich berät, ergänzt: „Die erste Problematik, mit der sich ein „Cloud“ nutzender Unternehmer befassen muss, betrifft die Frage, welchem Cloud-Anbieter er vertrauen möchte? Werden nämlich unternehmensinterne Daten in die „Cloud“ geschickt, sollte der Cloud-Anbieter technisch so gerüstet sein, dass er auch einem Hacker-Angriff standhält.“ Ferner muss, so Dr. Schulte am Hülse, im Rahmen der zu prüfenden und vertraglich zu gestaltenden Datensicherheit gewährleistet sein, dass der Cloud-Anbieter die Daten nicht weiterverkauft und die Datenhoheit vertraglich abgesichert immer beim Unternehmen verbleibt. Das diese Fragestellungen eine erhebliche Praxisrelevanz haben, wird deutlich, wenn ein Unternehmen unbedarft auch Knowhow in die „Cloud“ schickt. Diese Datensätze können missbraucht werden. Ferner ist zu bedenken, dass von den Daten in der „Cloud“ auch die Persönlichkeitsrechte Dritter betroffen sein können. Insofern setzt sich ein Unternehmen möglicherweise Haftungsansprüchen Dritter aus, wenn Datenschutzgesetze verletzt werden. Sodann ist zu prüfen, welche Datenschutzgesetze im Verhältnis des Unternehmens zu seinem Cloud-Anbieter einzuhalten sind. Ein deutsches Unternehmen unterliegt dabei beispielsweise einer Fülle von Regeln, wie er mit Kunden- oder Arbeitnehmerdaten umzugehen hat. Der Datentransfer im Rahmen von Cloud-Systemen findet in der Praxis aber sehr häufig länderübergreifend statt, wenn der Cloud-Anbieter seinen Sitz nicht in Deutschland hat. Der Datentransfer in andere Länder außerhalb von Deutschland ist unter Umständen aber nur dann erlaubt, wenn in dem anderen Land ein EU-adäquates Datenschutzniveau herrscht. Schon daran wird deutlich, dass die „Compliance-Aufgaben“ der rechtsberatenden Berufe in diesem Segment aufwendig sind, die sich hier mit Rechtsfragen unterschiedlicher Staaten auseinandersetzen.
Welche Folgeprobleme sind mit dem internationalen Datentransfer verbunden?
„Die Vorstellung, im Rahmen von Cloud-Lösungen könne es aus Rechtsgründen nur eine nationale Lösung geben, geht indessen fehl“, erläutert der Rechtsanwalt Dr. Stephan Gärtner, der im Bereich des Datenschutzes promovierte. „Schon in international tätigen Konzernen ist es ganz normal, dass Daten über Ländergrenzen hinweg ausgetauscht werden. Ferner geht es bei der Suche nach einer sachgerechten „Cloud-Lösung“ stets darum, dass eine individuell auf die konkreten Bedürfnisse eines Unternehmens zugeschnittene Lösung geschaffen werden soll. Wenn die beste Cloud-Lösung von einem Schweizer Anbieter stammt, muss sich der deutsche Unternehmer, der eine rein nationale Lösung anstrebt, überlegen, ob er sich dann für die zweitbeste Cloud-Lösung entscheidet, weil die beste Lösung in Deutschland gerade nicht angeboten wird. Die Alternative besteht darin, entweder die zweitbeste Cloud-Lösung zu wählen oder die Verträge mit dem Schweizer Anbieter derart wasserdicht zu formulieren, dass keine rechtlichen Probleme in den Bereichen des Datenschutzes und der Datensicherheit bestehen“, ergänzt Rechtsanwalt Dr. Gärtner. Gerade vor dem Hintergrund, dass der Datentransfer im Zeitalter moderner Kommunikationsmittel nicht an Ländergrenzen halt macht, kann es ein Denken in einer nationalen Dateninfrastruktur kaum noch geben.
Wo stecken die Rechtsprobleme im internationalen Datenverkehr?
Ein häufig anzutreffendes Problem bei Cloud-Anbietern besteht darin, dass diese Speicherplatz bei Subunternehmern dazu kaufen müssen, ohne dies ihren Kunden offenzulegen. In diesem Fall muss im Rahmen der Vertragsgestaltung mit Cloud-Anbietern gewährleistet werden, dass der Vertragspartner, der als Unternehmen eine Cloud-Lösung sucht, genau dies erfährt und er weiterhin kontrollieren kann, was mit seinen Daten geschieht. Schon aus § 11 des Bundesdatenschutzgesetzes (kurz: BDSG) ist der Unternehmer verpflichtet, einen Vertrag zur Auftragsdatenverarbeitung zu schließen. Aus den gesetzlichen Vorschriften folgt zwingend, dass die Datenhoheit und damit auch die Datenkontrolle bei dem Unternehmen verbleibt, von dem die Daten ursprünglich stammen. Ferner ist bei den Cloud-Anbietern, die nicht zwingend in Deutschland sitzen, besonders zu beachten, dass über die Ländergrenzen hinweg natürlich auch andere Rechtsregeln gelten, die sich vorteilhaft, aber auch nachteilhaft auswirken können. Während das Datenschutzniveau in den angelsächsisch geprägten Ländern etwas vereinfacht ausgedrückt, eher mittel bis gering ist, gilt das deutsche Datenschutzrecht als streng und das Datenschutzniveau als hoch. Auf der anderen Seite ist in Deutschland aber auch der Schutz der einzelnen Person vor staatlicher Überwachung vergleichsweise weit ausgestaltet und es existieren zahlreiche Datenschutzbehörden, die über die Einhaltung datenschutzrechtlicher Bestimmungen wachen. In Großbritannien dagegen wird der öffentliche Raum klassischerweise intensiv überwacht. Dort hat der Schutz der persönlichen Daten keine verfassungsrechtliche Grundlage. Großbritannien hat sich lediglich in einigen internationalen Abkommen dem Schutz der Privatsphäre verschrieben. Auch in den Vereinigten Staaten steht dem eher geringen Datenschutzniveau eine recht intensive staatliche Überwachung des Datentransfers gegenüber, die durch Gesetze zur Terrorbekämpfung erleichtert werden.
Wo herrscht striktes Datenschutzrecht?
Vereinfacht ausgedrückt lässt sich feststellen, dass Länder wie Deutschland, Finnland, Norwegen, die Baltischen Staaten, aber auch Portugal oder Argentinien vergleichsweise strenge Datenschutzvorschriften kennen, während Ländern wie China, Indien, Südamerika, die Vereinigten Staaten oder Brasilien vergleichsweise geringe Datenschutzvorschriften besitzen.
Wo befinden sich die Cloud-Rechenzentren?
Eine starke Konzentration von Cloud-Rechenzentren befinden sich in Großbritannien, den Vereinigten Staaten und in Singapur. Deutschland nimmt nach einer Untersuchung von Forrester Research, einem börsennotierten Marktforschungsinstitut mit Sitz in Cambridge (Massachusetts), aus dem Dezember 2011 dagegen eine mittlere Stellung bei der Konzentration von Cloud-Rechenzentren ein.
Welche Verpflichtung folgt aus dem Begriff der Auftragsdatenverarbeitung?
Das Rechtsverhältnis zwischen einem Unternehmer, der eine Cloud-Lösung sucht und dem so genannten Cloud-Anbieter stellt einen klassischen Fall der Auftragsdatenverarbeitung dar. Die Auftragsdatenverarbeitung ist ein Begriff, der sich unter anderem in dem § 11 des BDSG findet. Die rechtlichen Vorgaben des Gesetzgebers bei der Auftragsdatenverarbeitung dienen dazu, dass „Outsourcing“ von Datenverarbeitungen datenschutzrechtlich abzusichern. Der Gesetzgeber schreibt dem Unternehmer, von dem die Daten stammen, vor, dass die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Unternehmer als Auftraggeber verbleibt. Voraussetzung einer rechtskonformen Auftragsdatenverarbeitung ist zudem in einem 10-Punkte-Katalog im Unternehmen vorgeschrieben. Voraussetzung für eine rechtskonforme Auftragsdatenverarbeitung ist ein schriftlicher Vertrag, der konkrete Regelungen zum Umfang der Datenverarbeitung, zu den verwendeten Programmen, zu den Datenschutz- und Datensicherheitsmaßnahmen des Auftragnehmers und zu den Weisungsbefugnissen des Auftraggebers bei allen datenschutzrelevanten Sachverhalten enthalten muss.
Welche Praxisrelevanz hat die Auftragsdatenverarbeitung über Cloud-Systeme hinaus?
Fälle der Auftragsdatenverarbeitung bekommen weit über das Anbieten von technischen Cloud-Systemen im Zeitalter der modernen Datenverarbeitung längst eine hervorgehobene Bedeutung. Viele Unternehmen sind sich nicht darüber im Klaren, dass eine ganze Reihe ihrer Vertragsbeziehungen Fälle der „Auftragsdatenverarbeitung“ betreffen. Dies beginnt bei den Verträgen über die Auslagerung der Lohnbuchhaltung und der Gehaltsabrechnungen, dies betrifft Vertragsbeziehungen mit Archivierungs-Dienstleistern, Aktenvernichtungs-Dienstleistern, Call-Centern oder Direktmarketing-Agenturen mit Unternehmen, die HR-Systeme oder Kundenverwaltungs-Systeme (CRM) anbieten bis hin zu externen Prüfern oder Wartungsfirmen. In diesem Zusammenhang ist das so genannte Cloud-Computing letztendlich auch nur ein typischer Vertrag über die Zurverfügungstellung von IT-Ressourcen unter vielen anderen Modellen. Die Auftragsdatenverarbeitung stellt in diesem Zusammenhang auch das „Application-Service-Providing“, sowie die Zurverfügungstellung von „Online-Speicherplatz“ oder der „Software-Service-Vertrag“ dar.