Will der Auftraggeber gegen seinen Cloud-Anbieter vorgehen und Ansprüche geltend machen, kommt es entscheidend darauf an, welches Recht gilt beziehungsweise was vertraglich vereinbart wurde.
Cloud Computing ist praktisch. Immer mehr Anwender laden ihre Daten in eine Wolke hoch, denn man kann sie – einen Internetzugang vorausgesetzt – dann von überall her abrufen. Das ist gerade für Anwender komfortabel, die mit unterschiedlichen Geräten beziehungsweise Betriebssystemen arbeiten. Neben Komfort birgt Cloud Computing aber auch Risiken. Denn wer seine Daten auf fremden Servern speichert, gibt Kontrolle ab. In diesem Zusammenhang stellt sich die Frage, wer dafür haftet, wenn die Daten verloren gehen oder verändert werden. Der Nutzer oder der Anbieter? Zunächst einmal bleibt festzuhalten, dass der Cloud-Anwender für die übermittelten, personenbezogenen Daten weiterhin verantwortlich ist. Daher sollte man sich bei der Auswahl des Providers davon überzeugen, dass in dessen Rechenzentrum alle gesetzlich vorgeschriebenen Sicherheitsvorkehrungen zum Schutz personen-bezogener Daten umgesetzt sind. Denn die Datensicherheit hat absolute Priorität. Wichtig ist daher zu prüfen, welche Optionen der Cloud-Provider zur Verschlüsselung der Daten anbietet. Bei einigen wird standardmäßig der Datenverkehr zwischen den Unternehmen und den Servern im Cloud-Rechenzentrum verschlüsselt. Eine höhere Sicherheit ist gegeben, wenn das Unternehmen die Daten vor der Übertragung verschlüsselt und zusätzlich der Cloud-Provider auf seinen Speichersystemen eine Verschlüsselung vornimmt. Das Bundesdatenschutzgesetz fordert eine Verschlüsselung nach dem Stand der Technik. Einzelheiten dazu schildert beispielsweise das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner Technischen Richtlinie TR-02102-1.
Vertrag in Schriftform
In jedem Fall zu empfehlen ist, dass Auftraggeber und Provider einen schriftlichen Vertrag zur Auftragsdatenverarbeitung abschließen, der die Pflichten und Rechte beider Vertragspartner enthält; ein solcher Vertrag ist eigentlich ein Muss. Als Mindestvoraussetzung sollte die Vereinbarung eindeutige Angaben zu den angebotenen und genutzten Cloud-Leistungen, zu den zu treffenden technischen und organisatorischen Maßnahmen, den Serviceangeboten, den Sanktionen bei Nichterfüllung, der Art der Abrechnung der einzelnen Leistungen sowie der Laufzeit und den Pflichten des Cloud-Providers bei Vertragsende enthalten. Zudem sollte man vereinbaren, dass der Cloud-Provider nach Vertragsende auch wirklich alle Daten des Anwenderunternehmens löscht. Und dies auch noch sicher sowie datenschutz- beziehungsweise rechtskonform. Ausführliche Hinweise zum Inhalt einer derartigen Vereinbarung bietet Bitkom in seiner Checkliste zur Vertragsgestaltung im Cloud Computing. Laut Bundesdatenschutzgesetz (BDSG) hat der Auftraggeber das Recht, nach Vertragsende die ordnungsgemäße Löschung der Daten durch den Cloud-Provider zu kontrollieren.
Vertragsstrafen
Im Falle einer Haftung kommen zunächst Vertragsstrafen in Betracht. Wurde nichts anderes vereinbart, gilt bei Verträgen mit Cloud-Providern die übliche Haftung im Hinblick auf eine schuldhafte Verletzung vertraglicher und gesetzlicher Pflichten. Darin eingeschlossen sind auch Pflichtverletzungen der Mitarbeiter des Providers. Weitere Regelungen könnte man in sogenannten Service-Level-Agreements vereinbaren. Insoweit geht es dann bei Verstößen gegen die Vereinbarung um Aspekte wie eine geringere Vergütung beziehungsweise Ansprüche auf Mangelbeseitigung oder gar Kündigung. Wird der Vertrag gemäß den Regelungen im BDSG geschlossen, kommt bei Verstößen gegen den Datenschutz auch ein Bußgeld von bis zu 50.000 Euro in Betracht.
Welches Recht gilt?
Bei US-Providern ist auch ohne richterliche Anweisung ein Zugriff auf personenbezogene Daten möglich.
Nicht wenige Anbieter versuchen, jegliche Haftung auszuschließen – selbst im Falle von Datenverlust. In den allgemeinen Geschäftsbedingungen der Anbieter ist dann geregelt, dass man nicht für die Sicherheit des Dienstes garantiere beziehungsweise dass die Kunden ihn auf eigene Gefahr nutzen. Allerdings können Cloud-Anbieter nach deutschem Recht ihre Haftung nur begrenzen, wenn sie frei von Schuld oder leicht fahrlässig handeln. Geschieht etwas absichtlich oder grob fahrlässig, haften sie nach deutschem Recht weiter, auch wenn in den Geschäftsbedingungen etwas anderes steht. Deshalb sollte man einen Cloud-Provider auswählen, der seinen Firmensitz in Deutschland hat und sein Rechenzentrum nur hier betreibt. Schwieriger wird es, wenn Anbieter das deutsche Recht nicht anwenden. Bei einer Firma mit Sitz innerhalb der Europäischen Union gilt vereinfacht das Recht des Landes, in dem der Verbraucher sitzt. Das ergibt sich aus der Rom-I-Verordnung. Allerdings enthält diese Verordnung für Dienstleistungsverträge eine Ausnahme. Sofern die Vereinbarung mit dem Cloud-Anbieter als Dienstleistungsvertrag anzusehen ist, wird es kompliziert. Innerhalb Europas wird es dann entscheidend darauf ankommen, an welchen Verbraucherkreis sich das Cloud-Angebot richtet. Danach bestimmt sich dann der Gerichtsstand. Parkt man seine Daten beispielsweise auf einem belgischen Server, wird man seine Rechte im Zweifel vor einem belgischen Gericht geltend machen müssen. Wer dagegen einen Cloud-Vertrag mit einer US-Firma abschließt, muss seine Ansprüche in der Regel in Amerika durchsetzen. Das ist kompliziert, denn jeder der 50 US-Bundesstaaten hat eigene Gesetze, wie er mit derartigen Streitigkeiten verfährt. Eine Lösung wäre hier eine Vereinbarung in den Geschäftsbedingungen des Anbieters, die auf das Recht des Verbraucherwohnsitzes verweist. Dann könnten die Ansprüche des Cloud-Anwenders vor deutschen Gerichten durchgesetzt werden. Aber selbst wenn deutsches Recht zur Anwendung kommt, ist zu bedenken, dass der amerikanische Provider darüber hinaus auch weiterhin der Gesetzgebung der USA unterliegt, mit der Folge, dass den US-Sicherheitsbehörden auch ohne richterliche Anordnung Zugriff auf personenbezogene Daten zu gewähren ist.
Fazit
So komfortabel Cloud Computing auch sein mag, frei von Risiken ist es nicht. Wer allerdings DATEV-Lösungen als Cloud-Anwender nutzt, profitiert von dem nach ISO 27001 zertifizierten hohen Sicherheitsstandard des DATEV-Rechenzentrums, des Fort Knox in Nürnberg.
