nächstes Kapitel: Auskunftspflichten
Die Verzückung von CTOs und CFOs anhand dieser Merkmale wird freilich nicht von IT-Juristen geteilt, welche angesichts grenzüberschreitender Übertragungswege und oft unklaren Umständen der Datenaufbewahrung irgendwo auf einem Server ggf. außerhalb der Rechtsordnung des Nutzers auf Fragen nach Compliance und Rechtsrahmen ad hoc keine schlüssige Antwort finden. Sie müssen ihren Mandanten mitteilen, dass auch hier zunächst die gleichen Grundsätze wie beim Outsourcing gelten: Die Delegierung von bestimmten technisch-administrativen Leistungen an den externen Anbieter führt ohne Weiteres nicht auch gleichzeitig zu einer juristischen Verantwortlichkeitsverlagerung.
Der „Qualität" des Cloud Service Provider (CSP) und der hinreichenden Bestimmtheit seiner vertraglichen Leistungen kommt hier eine entscheidende Rolle zu. Dabei sind sowohl die vertragstypologische Einordnung wie auch das anwendbare Recht häufig fraglich und einzelfallbezogen. In der Regel übernimmt der CSP die Speicherung von Daten, die er selbst nicht kennt - oder besser gesagt: nicht kennen sollte. Die „selbstbestimmte" Nutzung fremder Speicherinfrastruktur durch den Kunden unterfällt in Deutschland charakteristischer Weise dem Telemediengesetz (TMG). Das Zurverfügungstellen von abrufbaren Applikationen (Software, Betriebssysteme) als „SaaS" in der Wolke macht aus dem CSP überdies einen „Content Provider", so dass auch insofern der Anwendungsrahmen des TMG eröffnet ist (andere Ansichten werden indes in der juristischen Fachliteratur vertreten).
Dies ist schon deshalb von Bedeutung, da dann zunächst die datenschutzrechtlichen Spezialregelungen §§ 11 ff. TMG greifen. Regelungsgegenständlich ist insoweit aber nur das Rechtsverhältnis zwischen dem CSP und dem Nutzer bei Anwendung des „Cloud Dienstes" selbst - das Schicksal der Daten des Nutzers ist aber hier weit weniger interessant als das der Daten Dritter (also z. B. Kunden des Nutzers), die aber grade regelmäßig zuhauf durch den Nutzer in die Cloud „verschoben" werden sollen. Hier greifen dann das Bundesdatenschutzgesetz (BDSG) sowie die Vorschriften der Europäischen Datenschutzrichtlinie (EU-DSRL). Zumindest bei Cloud Diensten in Form der „Infrastructure as a Service" (IaaS), d. h. regelmäßig bei einem Leistungspaket aus Betriebssoftware, Speicherplatz und ggf. Netzwerk, wird man dann wohl auch von einer klassischen, d. h. weisungsabhängigen Auftragsdatenverarbeitung ausgehen müssen (§ 11 BDSG). Das aber dürfte die meisten Nutzer derzeitiger Cloud Services vor ein Problem stellen, denn die dann zur Rechtskonformität unbedingt zu beachtenden Voraussetzungen unter § 11 BDSG sind atemberaubend umfangreich; schon bei der Gestaltungsfreiheit des Vertragsverhältnisses unter § 11 Abs. 2 Nrn. 1 bis 10 BDSG hat der Nutzer als Vertragspartner vieler, meist ja großer und international agierender CSP keine nennenswerten Einflussmöglichkeiten. Auch kann sich der Nutzer schwerlich selbst „vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen", geschweige wird er das „das Ergebnis dokumentieren" können, siehe aber § 11 Abs. 2, Satz 3 BDSG.
Schon aufgrund dieser „Cloud"-charakteristischen Problematik werden sich zukünftig CSP auf den jeweiligen vertraglichen „Gestaltungsbedarf" gewerblicher Wolkennutzer genauer einstellen, d. h. über besondere und transparente Geschäftsbedingungen rechtsichere Verarbeitungsprozesse (§ 9 BDSG, RMS & IKS) bestimmen müssen, welche über die vorbeschriebenen rein technisch-wirtschaftlichen Vorteilen hinaus einen weitergehenden „Compliance"-Bedarf zu decken haben - und der Nutzer wird über „drittzertifizierte" CSP seiner eigenen Kontroll- und Überwachungspflicht nachkommen können.
Wir bieten Ihnen bereits heute die Technik, welche diesen Anforderungen gerecht werden wird.
nächstes Kapitel: Auskunftspflichten
IT und Datenschutz
Cloud Computing - Datenschutz und Datensicherheit?
Allein schon der „wolkige" Begriff steht in gewissem Sinne synonym für gewisse Definitionsschwierigkeiten: Herhalten muss dieses Schlagwort letztlich für ganz unterschiedlich ausgestaltete Angebote, um Daten und Datenverarbeitungsprozesse auf IT-Infrastrukturen, Plattformen und Zentralserver externer Dienstleister zu verlagern. So nebulös dieser breite Begriff ist, so deutlich sind zunächst seine grundsätzlichen technisch-wirtschaftlichen Vorteile:
- Anwender können mit Kunden, mit Mitarbeitern und Partnern über Virtualisierungsebenen untereinander vernetzt werden und praktisch jederzeit und von überall auf benötigte Unternehmensdaten zugreifen.
- Zeitaufwände für Verwaltung, Wartung und Bereitstellung sinken ebenso wie der Verwaltungsaufwand von Vorausplanung und Aufbau zusätzlicher IT-Infrastrukturen. Zudem lassen sich durch die höhere Skalierbarkeit Bedarfsspitzen einfacher abdecken, bei gleichzeitiger hoher Sicherheit und Zuverlässigkeit.
- Investitions- und Betriebskosten können signifikant gesenkt werden und als Investitionen abgeschrieben oder als Betriebsausgaben verbucht werden.
- Cloud Computing ist „Green IT", da weniger physikalische Ressourcen verbraucht werden als bei unternehmensinternen IT-Systemen.
Die Verzückung von CTOs und CFOs anhand dieser Merkmale wird freilich nicht von IT-Juristen geteilt, welche angesichts grenzüberschreitender Übertragungswege und oft unklaren Umständen der Datenaufbewahrung irgendwo auf einem Server ggf. außerhalb der Rechtsordnung des Nutzers auf Fragen nach Compliance und Rechtsrahmen ad hoc keine schlüssige Antwort finden. Sie müssen ihren Mandanten mitteilen, dass auch hier zunächst die gleichen Grundsätze wie beim Outsourcing gelten: Die Delegierung von bestimmten technisch-administrativen Leistungen an den externen Anbieter führt ohne Weiteres nicht auch gleichzeitig zu einer juristischen Verantwortlichkeitsverlagerung.
Der „Qualität" des Cloud Service Provider (CSP) und der hinreichenden Bestimmtheit seiner vertraglichen Leistungen kommt hier eine entscheidende Rolle zu. Dabei sind sowohl die vertragstypologische Einordnung wie auch das anwendbare Recht häufig fraglich und einzelfallbezogen. In der Regel übernimmt der CSP die Speicherung von Daten, die er selbst nicht kennt - oder besser gesagt: nicht kennen sollte. Die „selbstbestimmte" Nutzung fremder Speicherinfrastruktur durch den Kunden unterfällt in Deutschland charakteristischer Weise dem Telemediengesetz (TMG). Das Zurverfügungstellen von abrufbaren Applikationen (Software, Betriebssysteme) als „SaaS" in der Wolke macht aus dem CSP überdies einen „Content Provider", so dass auch insofern der Anwendungsrahmen des TMG eröffnet ist (andere Ansichten werden indes in der juristischen Fachliteratur vertreten).
Dies ist schon deshalb von Bedeutung, da dann zunächst die datenschutzrechtlichen Spezialregelungen §§ 11 ff. TMG greifen. Regelungsgegenständlich ist insoweit aber nur das Rechtsverhältnis zwischen dem CSP und dem Nutzer bei Anwendung des „Cloud Dienstes" selbst - das Schicksal der Daten des Nutzers ist aber hier weit weniger interessant als das der Daten Dritter (also z. B. Kunden des Nutzers), die aber grade regelmäßig zuhauf durch den Nutzer in die Cloud „verschoben" werden sollen. Hier greifen dann das Bundesdatenschutzgesetz (BDSG) sowie die Vorschriften der Europäischen Datenschutzrichtlinie (EU-DSRL). Zumindest bei Cloud Diensten in Form der „Infrastructure as a Service" (IaaS), d. h. regelmäßig bei einem Leistungspaket aus Betriebssoftware, Speicherplatz und ggf. Netzwerk, wird man dann wohl auch von einer klassischen, d. h. weisungsabhängigen Auftragsdatenverarbeitung ausgehen müssen (§ 11 BDSG). Das aber dürfte die meisten Nutzer derzeitiger Cloud Services vor ein Problem stellen, denn die dann zur Rechtskonformität unbedingt zu beachtenden Voraussetzungen unter § 11 BDSG sind atemberaubend umfangreich; schon bei der Gestaltungsfreiheit des Vertragsverhältnisses unter § 11 Abs. 2 Nrn. 1 bis 10 BDSG hat der Nutzer als Vertragspartner vieler, meist ja großer und international agierender CSP keine nennenswerten Einflussmöglichkeiten. Auch kann sich der Nutzer schwerlich selbst „vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen", geschweige wird er das „das Ergebnis dokumentieren" können, siehe aber § 11 Abs. 2, Satz 3 BDSG.
Schon aufgrund dieser „Cloud"-charakteristischen Problematik werden sich zukünftig CSP auf den jeweiligen vertraglichen „Gestaltungsbedarf" gewerblicher Wolkennutzer genauer einstellen, d. h. über besondere und transparente Geschäftsbedingungen rechtsichere Verarbeitungsprozesse (§ 9 BDSG, RMS & IKS) bestimmen müssen, welche über die vorbeschriebenen rein technisch-wirtschaftlichen Vorteilen hinaus einen weitergehenden „Compliance"-Bedarf zu decken haben - und der Nutzer wird über „drittzertifizierte" CSP seiner eigenen Kontroll- und Überwachungspflicht nachkommen können.
Wir bieten Ihnen bereits heute die Technik, welche diesen Anforderungen gerecht werden wird.
Alle rechtlichen Inhalte auf dieser Seite wurden mitgeteilt von
Rechtsanwalt Henrik Angster