Rechtsrahmen

Forschungsarbeit über die juristischen Aspekte des Cloud Computings

Wie kann der Datenschutz in der Cloud eingehalten werden? Wer haftet, wenn Daten verlorengehen sollten? Was passiert, wenn der Cloud-Dienst nicht zur Verfügung steht? Die Cloud steckt voller juristischer Herausforderungen.

Das Bundesministerium für Wirtschaft und Energie (BMWi) richtete daher im Förderprogramm Trusted Cloud eine eigene Arbeitsgruppe ein. Geleitet wurde sie von Prof. Dr. Georg Borges, Jura-Professor an der Ruhr-Universität Bochum. In der Arbeitsgruppe „Rechtsrahmen des Cloud Computing“ erarbeiteten Experten aus Wirtschaft, Anwaltschaft und Wissenschaft sowie Vertreter aus Datenschutzbehörden gemeinsam mit Experten aus dem Trusted-Cloud-Programm Lösungsansätze für rechtliche Herausforderungen.

Cloud Computing-Verträge

Sicherstellung einer interessengerechten Risikoverteilung

Leistungen aus der Cloud werden im Regelfall nur aufgrund eines Vertrages erbracht. Je nach Cloud-Dienst stellen die Anbieter dazu meist Musterverträge bereit, die die Rechtsbeziehungen zwischen Anbieter und Nutzer regeln sollen. Bei privaten Nutzern besteht wegen der großen Marktmacht der Anbieter häufig keine Möglichkeit, auf die vom Anbieter gestellten Bedingungen Einfluss zu nehmen. Unternehmen, die Teile ihrer IT in die Cloud auslagern, haben dagegen als begehrte Kunden oft deutlich mehr Möglichkeiten auf die Gestaltung des Vertrages einzuwirken. Weil die gesetzlichen Vorschriften nicht konkret auf Cloud-Dienste zugeschnitten sind und sich der Nutzer durch die Auslagerung der eigenen Datenverarbeitung häufig in eine starke Abhängigkeit zu den Diensteanbietern begibt, ist eine interessengerechte und angemessene Risikoverteilung im Vertrag wichtig.

Rechtssicherheit durch detaillierte Leistungsbeschreibung

Die Notwendigkeit einer sorgfältigen Vertragsgestaltung zeigt sich bereits bei der Leistungsbeschreibung. Bei Cloud-Diensten muss diese vertraglich detailliert ausgestaltet werden. Ein Cloud-Dienst lässt sich nicht ohne weiteres in „klassische“ Vertragstypen wie Kauf- oder Mietvertrag einordnen. Zudem können mehrere Leistungen vorgesehen sein, die unterschiedlich zu klassifizieren sind. Während zum Beispiel die Bereitstellung von Speicherplatz oder Rechenleistung meist eher mietvertraglichen Charakter aufweist, wird die Anfertigung von Sicherheitskopien der Kundendaten eher als Werkvertrag anzusehen sein.
Eine Einordnung in die „klassischen“ Vertragstypen des Bürgerlichen Gesetzbuches (BGB) ist aber vorteilhaft, weil sich aus dieser die Rechte der Parteien bei Leistungsstörungen wie zum Beispiel Verzug oder Schlechtleistung ergeben. Auch die Regeln des BGB zu Allgemeinen Geschäftsbedingungen (AGB), denen alle Verträge unterliegen, die für eine mehrfache Verwendung vorgesehen sind, orientieren sich am einschlägigen Vertragstyp.

Leitlinien zur Vertragsgestaltung notwendig

Die Festlegung der zu erbringenden Leistungen erfolgt von Anbieterseite in der Praxis häufig im Rahmen sogenannter Service Level Agreements (SLAs). Die Anbieter staffeln den Umfang und die Qualität der zu erbringenden Leistungen und knüpfen entsprechende Vergütungsregelungen an die Servicequalität.

Auch für die potenziellen Nutzer lassen sich Unwägbarkeiten vor allem durch eine detaillierte Beschreibung der zu erbringenden Leistungen und des jeweils anzuwendenden Mängelrechts beseitigen. So ist jederzeit für die Parteien vorhersehbar, welche Maßnahmen sie zu treffen haben und was vom Vertragspartner erwartet werden kann.

Um Unternehmen hier Hilfestellung zu bieten, werden möglichst differenzierte Leitlinien, ausgearbeitet von unabhängiger Seite, benötigt. Sie sollten für häufig vorkommende vertragliche Konstellationen Hinweise zu Art und Umfang der Leistungsbeschreibung enthalten. Im Fall von Interessenkonflikten zwischen den Vertragsparteien könnten diese Leitlinien auch Grundlage einer Einigung sein.

Checklisten helfen, wichtige Punkte zu beachten

Eine umfängliche Vertragsgestaltung, die alle relevanten Punkte berücksichtigt, kann schnell die im Unternehmen vorhandenen rechtlichen Kenntnisse übersteigen. Deshalb erarbeitete die Arbeitsgruppe „Rechtsrahmen des Cloud Computing“ einen Vorschlag für Checklisten, die Unternehmen einen Überblick über eventuell regelungsbedürftige Punkt ermöglichen. Anhand der Checklisten können Unternehmen außerdem ermitteln, an welchen Punkten sie Beratungs- oder Gestaltungsbedarf haben.

Weiterführende Informationen