Rechtsrahmen

Forschungsarbeit über die juristischen Aspekte des Cloud Computings

Wie kann der Datenschutz in der Cloud eingehalten werden? Wer haftet, wenn Daten verlorengehen sollten? Was passiert, wenn der Cloud-Dienst nicht zur Verfügung steht? Die Cloud steckt voller juristischer Herausforderungen.

Das Bundesministerium für Wirtschaft und Energie (BMWi) richtete daher im Förderprogramm Trusted Cloud eine eigene Arbeitsgruppe ein. Geleitet wurde sie von Prof. Dr. Georg Borges, Jura-Professor an der Ruhr-Universität Bochum. In der Arbeitsgruppe „Rechtsrahmen des Cloud Computing“ erarbeiteten Experten aus Wirtschaft, Anwaltschaft und Wissenschaft sowie Vertreter aus Datenschutzbehörden gemeinsam mit Experten aus dem Trusted-Cloud-Programm Lösungsansätze für rechtliche Herausforderungen.

Haftung im Cloud Computing

Haftungsfragen sind teilweise noch ungelöst

Wie bei jeder Art der Datenverarbeitung birgt auch Cloud Computing das Risiko eines Datenverlustes oder einer unbefugten Offenbarung von Daten an Dritte. Die Daten sind dabei in besonderem Maße dem Einflussbereich des Nutzers entzogen. Abgesehen von vertraglichen Regelungen zu Datensicherung und Sicherheitsmaßnahmen hat er hier kaum Einflussmöglichkeiten.

Bei einer unbefugten Offenbarung stellen sich überwiegend die gleichen Fragen wie bei jeder anderen Form der externen Datenverarbeitung: Bei personenbezogenen Daten können sich Ansprüche aus dem Datenschutzrecht, bei Geheimnissen aus dem Strafrecht ergeben. Daneben kommt immer eine Haftung wegen Verletzung vertraglicher Pflichten in Betracht.

Schwierige Rechtsprobleme können sich bei Datenverlusten ergeben. Der Anbieter haftet aus dem Vertrag, sofern er die Pflichtverletzung fahrlässig oder vorsätzlich begangen hat. Es stellt sich die Frage nach dem konkreten Wert der Daten: Entstandene Schäden sind vom Geschädigten grundsätzlich unter Angabe der Schadenshöhe festzustellen. Diese lässt sich bei einem Verlust kaum ermitteln. Oftmals wird nicht einmal rekonstruierbar sein, welche Daten genau vorhanden waren. Die unmittelbaren Kosten, zum Beispiel für die Neubeschaffung der Daten oder die erneute Eingabe in die Datenverarbeitungssysteme, können einigermaßen beziffert werden – die Kosten für spätere betriebliche Auswirkungen oder Imageschäden hingegen nicht. Es besteht daher häufig die Notwendigkeit, im Vertrag Pauschalbeträge für bestimmte Schadensszenarien festzusetzen, um wenigstens Kosten und Aufwand für die Schadensermittlung zu begrenzen.

Daneben kommt eine deliktische Haftung für Datenverlust in Betracht. Diese ist vor allem von Bedeutung, wenn zwischen dem Dateninhaber und dem Cloud-Anbieter keine vertragliche Beziehung bestand, etwa wenn Datenbestände des Kunden eines Cloud-Nutzers verlorengehen. Hierbei handelt es sich juristisch gesehen um einen sehr jungen und überaus umstrittenen Bereich, in dem selbst die Frage, ob und unter welchen Umständen Daten überhaupt schutzfähig sind, umstritten ist. Gerade beim Cloud Computing, bei dem die Daten nicht einzelnen physikalischen Datenträgern zugewiesen werden können, stellt sich dabei die Frage, ob ein Datum an sich Eigentumsqualität besitzen kann.