Cloud-basierte Dienste stoßen in Zeiten enger Budgets und stetigen Kostendrucks bei Unternehmen auf wachsendes Interesse. Die Industrie reagiert mit Angeboten für den kommenden Massenmarkt. Die "Azure"-Plattform von Microsoft ist nur ein Beispiel. Allerdings bewegen sich Dienste aus der Private oder Public Cloud in einem Rechtsrahmen, der auf ihre Besonderheiten nicht ausgerichtet ist. Vor allem in einem internationalen Leistungsumfeld entstehen dadurch eine Vielzahl von rechtlichen Fragen zu Vertragsgestaltung, Urheberrecht, Datenschutz, IT-Sicherheit und Compliance.

Für Cloud-Dienste gilt Mietrecht

Cloud-basierte Dienste werden unter Nutzung vieler, meist weltweit verteilter Dienstleister erbracht. Verträge, die solche Angebote zum Gegenstand haben, sollten daher ausdrücklich einer bestimmten Rechtsordnung unterstellt werden. Anderenfalls drohen Anbieter wie Anwender im Dickicht uneinheitlicher internationaler Regelungen unterzugehen. Dies gilt auch für die Rechtsdurchsetzung. Erforderlich sind klare Vereinbarungen zu Schiedsgericht oder Gerichtsstand und vor allem von Service Level Agreements (SLAs). Inhaltlich geht es dabei nicht nur um die Vereinbarung eines spezifischen Sanktionssystems (Vertragsstrafen, Kündigung), sondern auch um eine sorgfältige Beschreibung der vertraglichen Leistung.

Nach deutschem Recht werden cloud-basierte Dienste in wesentlichen Teilen nach dem Mietrecht beurteilt. Das ergibt sich aus der Rechtssprechung des Bundesgerichtshofes zum Application Service Providing (ASP). Dementsprechend schuldet der Cloud-Anbieter seinem Kunden eine hundertprozentige Verfügbarkeit, was allerdings in der Realität selten der Fall ist. Daher kann nur eine detaillierte Leistungsbeschreibung die Gesetzeslage an die faktischen Gegebenheiten anpassen. Ungeklärt ist, ob sich dies auch in Standardverträgen rechtswirksam gewährleisten lässt. Bislang hat die Rechtssprechung hier tendenziell ablehnend reagiert, das Risiko für den Massenmarkt ist erheblich.

Urheberrecht und Datenschutz

Ähnlich schwierig zu beantworten ist die Frage, ob ein Anwender bei der Nutzung cloud-basierter Dienste urheberrechtlich relevante Handlungen vornimmt. Anbieter wie Anwender riskieren, die Urheberrechte Dritter - etwa der Softwarehersteller - zu verletzen. Dies kann empfindliche Rechtsfolgen nach sich ziehen. Auch vor diesem Hintergrund sind beide Parteien gut beraten, sich entsprechende Rechte ausdrücklich vertraglich einräumen zu lassen.

Vor allem die Rechtsfragen des Datenschutzes sind beim Thema Cloud Computing sehr komplex. Im internationalen Leistungsgeflecht bereitet schon die Bestimmung des jeweils anwendbaren nationalen Datenschutzrechts im Einzelfall Probleme. In Deutschland beurteilt sich die Rechtmäßigkeit von Datenverarbeitungsvorgängen nach den Bestimmungen zur Auftragsdatenverarbeitung. Paragraph 11 des Bundesdatenschutzgesetzes (BDSG) enthält nach der jüngsten Änderung konkretere Anhaltspunkte für die vertraglichen Inhalte. Rechtlich besonders schwierig in den Griff zu bekommen ist aber nach wie vor das weltweite Verteilen von Daten als immanenter Bestandteil cloud-basierter Dienste (siehe auch "SaaS - worauf bei Verträgen zu achten ist"). Daten dürfen in Staaten außerhalb der Europäischen Union nur übermittelt werden, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Aus deutscher Sicht ist dies selbst in den USA nicht ohne weiteres gewährleistet, aber erst recht nicht in Staaten wie Indien, China oder Vietnam. Abhilfe kann hier nur die flächendeckende Vereinbarung von Binding Corporate Rules oder der EU-Vertragsklauseln schaffen. Im Rechtsverkehr mit den USA besteht zudem die Option der Safe Harbor Rules. Ähnlich schwierig ist die vertragliche Sicherstellung der datenschutzrechtlich notwendigen Kontrolle des Providers.

Geheimnisschutz

Das Datenschutzrecht betrifft den Schutz personenbezogener Daten. Werden cloud-basierte Dienste in Anspruch genommen, lagert der Anwender aber auch andere, für das Unternehmen wesentliche Daten aus. Häufig weiß er nicht einmal, auf welchen Servern, an welchen Orten und zu welcher Zeit welche Informationen verarbeitet werden. Die Unternehmensführung ist jedoch dafür verantwortlich, für einen angemessenen Schutz dieser Daten zu sorgen. Das gilt vor allem beim Einsatz von Virtualisierungstechniken bei cloud-basierten Diensten. Die Festlegung von angemessenen und detaillierten vertragliche Regelungen sind daher unbedingt notwendig.

IT-Sicherheit und Compliance

Vorstand und Geschäftsführung sind verpflichtet, bei der Inanspruchnahme cloud-basierter Dienste die IT-Sicherheit gemäß den Vorgaben des Paragrafen 9 BDSG zu garantieren. Außerdem müssen die SLAs eine hinreichende Systemverfügbarkeit gewährleisten. Darüber hinaus hat das jeweilige Angebot cloud-basierter Dienste die steuerrechtlichen Vorgaben zur Führung von Büchern und Aufzeichnungen zu erfüllen. Auch hier tritt der zwangsläufige Konflikt der gesetzlichen Vorgaben mit dem Grundprinzip des Cloud Computing, der internationalen Flexibilität der Leistungserbringung auf. Entsprechendes gilt für die handelsrechtlichen Grundsätze ordnungsgemäßer Buchführung. Spezifische vertragliche Vorkehrungen versprechen Abhilfe. In Einzelfällen ist das konkrete Leistungsangebot auch mit regulatorischen Vorgaben für den Finanzbereich beziehungsweise für Berufsgeheimnisträger aus Bereichen wie Rechtsberatung, Gesundheitswesen oder Versicherungen abzugleichen. Ähnlich wie die steuerrechtlichen Vorgaben können diese der Nutzung cloud-basierter Dienste entgegenstehen. (sp)