Rechtsfragen beim Cloud Computing

Wer von Cloud Computing spricht, meint – mangels allgemein gültiger Definition – meist etwas anderes als sein Gegenüber. Die Cloud heißt für Kunden in erster Linie Outsourcing, für Anbieter eine Erweiterung des Dienstleistungsangebots. Das Outsourcing von Infrastruktur in Form von Hardware, ein Server-basiertes Angebot von Anwendungen und die Auslagerung der Datenspeicherung im Rahmen von Storage-Diensten zählen zu den meistgenannten Säulen.

Die dabei auftretenden Rechtsfragen sind vielfältig. Zunächst ist zu prüfen, um welche Vertragsart es sich beim typischen Clouding handelt, richten sich doch die Rechtsfolgen danach.

Was läuft hier eigentlich?

Soweit es um die Auslagerung von Infrastruktur geht, also der Hardware, aus der Rechenleistung und Speicherkapazität erwachsen, unterscheidet sich die Cloud in einem wesentlichen Punkt von der herkömmlichen Server- oder Storage-Farm: Der Kunde und teils auch der Anbieter wissen nicht mehr, auf welcher Maschine die Berechnungen erfolgen oder die Daten gespeichert sind, weil eine Logik die Ressourcen dynamisch verteilt. Der Kunde zahlt also nicht (mehr) für einen bestimmten, dedizierten Server, sondern für die Möglichkeit, Berechnungen ausführen oder Daten halten zu lassen. Aus der Gerätemiete wird damit eine abstraktere Dienstleistung, die den Regeln des Werkvertrages folgt.

Zur genaueren Abgrenzung: Bei einem Dienstvertrag schuldet der Verpflichtete das bloße Bemühen, beim Werkvertrag schuldet er den vereinbarten Erfolg. Hier also zum Beispiel den effektiv verfügbaren, jederzeit abrufbaren Speicherplatz von 50 Petabyte, die gleichzeitige Ausführung eines CRM-Tools durch 22 Sales-Agenten oder eine 24/7 abrufbare Rechenleistung von 12 Flops.

Für Cloud Computing ist also grundsätzlich Werkvertragsrecht anwendbar, soweit tatsächlich mehrere Beteiligte als Vertragsparteien auftreten und nicht bloßes innerbetriebliches (Private) Clouding als technische Variante der Ressourcenbündelung vorliegt.

Die Einteilung ist aber weder absolut noch final. Ähnlich wie beim Besuch einer Gaststätte wird meist ein gemischter Vertrag vorliegen, dessen einzelne Bestandteile spezialisierten Rechtsnormen unterliegen. Wo dort der Aufenthalt im Gastraum als Beherbergungsvertrag, der Bezug des Tafelweins als Kauf und die Zubereitung des Mahls als Werkvertrag eingeordnet wird, mag hier beim Bezug von Software-Benutzungslizenzen oder beim Installieren separater Zugangsoberflächen eigenes, individuelleres Recht vorrangig sein.

Gerade bei der Komponente Software as a Service (SaaS) stellen sich noch weitere Rechtsfragen: Bei Massensoftware von der Stange, die man über die Ladentheke kauft oder vom Distributor für die ganze Firmengruppe lizenziert, gilt das Kaufvertragsrecht. Damit ist es bei Mängeln ziemlich einfach, etwa fehlerfreie Nachlieferung oder Schadensersatz zu verlangen.

Bei Individualsoftware, die im Kundenauftrag erstellt oder angepasst wird, gilt dagegen Werkvertragsrecht mit bisweilen langwierigen Nachbesserungsfristen und zeitaufwändigen Aufforderungs- und Friststellungs-Formalien. Anbieter werden deshalb stets versuchen Standardprogramme als Individualsoftware zu bezeichnen.

Damit sind Probleme programmiert: Während Standardsoftware unmittelbar auf dem Betriebssystem des Anwender-Rechners abläuft, kommt bei SaaS auch bei Standardsoftware zumindest noch eine Vermittlungsschicht des Cloud-Anbieters dazwischen. Noch komplizierter wird es bei Individualsoftware, sei es echter, für den einzelnen Kunden erstellter, oder bei bloß modularen, aus Standardkomponenten an die Anforderungen eines Kunden angepassten Programmen oder Oberflächen.

Wichtig für Kunden wie für seriöse Anbieter wird sein, dass die Verträge keine Vermittlerstellung für den Cloud-Anbieter konstituieren, in der er etwa nur Zugriffsmöglichkeiten auf die Angebote weiterer Dienstleister in eigene Oberflächen packt, die der Kunde bei diesem Dritten auf eigene Gefahr lizenzieren soll. Vielmehr wird der seriöse Anbieter auch für die Dienstleistungen Dritter haften, die er ins eigene Angebot integriert.

Derartige Haftungsdurchgriffe wie etwa bei einem Reiseveranstalter, der gegenüber dem Reisenden auch für Fehler des Hotelbetreibers am Urlaubsort haftet, sind durch Gesetz oder Rechtsprechung für den Rechtsverkehr mit Verbrauchern eingeführt und ausgeweitet, im B2B-Bereich allerdings unüblich. Hier herrscht die Vertragsfreiheit noch weitgehend ohne Einschränkungen. In den nächsten Jahren werden sich die Verbraucher noch nicht allzu stark in den Clouds tummeln, sodass dieser Bereich zunächst Business-Kunden vorbehalten bleibt und noch keine rigide Rechtsprechung erfährt.

Lizenz – ein Thema!

Was bedeutet also das Outsourcing von Software in die Cloud? Die Kunden erwarten, dass sie sich um Lizenzfragen Dritter nicht kümmern müssen. Für die Anbieter gelten bekannte Grundsätze: Programmlizenzen scheren sich üblicherweise nicht darum, ob Kundendaten im Auftrag oder eigene Daten verarbeitet werden. Wer mehr Daten schneller verarbeiten will, braucht leistungsfähigere Hardware. Erst wenn diese ausgereizt ist, wird eine zweite Instanz des laufenden Programms sinnvoll und damit gegebenenfalls eine zweite Lizenz nötig. Für Cloud-Anbieter haben demnach freie und selbst geschriebene Programme Priorität – einfach aus Kostengründen.

Für SaaS sei die AGPL, die GNU Affero General Public License [1], die geeignete, heißt es. Bei der AGPL handelt es sich um die Erweiterung der GPL – ursprünglich von der Firma Affero, inzwischen von der Free Software Foundation verantwortet –, die den Serverbetrieb freier Software regelt. Die AGPL enthält, sonst deckungsgleich mit der GPL, eine Bestimmung über den Betrieb von Programmen auf einem Server, auf den Benutzer zugreifen, ohne eine Kopie des Programms zu beziehen.

Nach dieser Lizenz muss der Server-Betreiber auch diesen Kunden die aktuellen Programmquellen verfügbar machen. Die originäre GPL fordert das nur unter der Voraussetzung, dass das Programm veröffentlicht wird, dass also der Benutzer eine Kopie davon erhält. Bei einem Server, auf dem der Benutzer lediglich Daten eingibt, zum Beispiel über eine Webmaske, und Ausgaben entgegennimmt, ist dies nicht der Fall.

Die AGPL lässt sich auch nicht so einfach durch einen Wrapper umgehen: Die Lizenzbestimmungen fordern in Ziffer 13, dass "all users interacting with it [dem Programm] remotely through a computer network" das Recht auf die Quellen erhalten. Selbst wer auf einem Server nur eine Webmaske zur Dateneingabe bereithält und die Daten dann in eine Datenbank schreibt, die ein anderes Programm auf irgendeinem anderen Rechner verarbeitet, würde eine "Interaktion über ein Computernetz" aufbauen.

Natürlich ließen sich auch die AGPL-Lizenzbestimmungen auf irgendeine komplizierte Art wirksam umgehen, aber die Anforderungen wären hoch, damit das noch als rechtmäßig durchginge. Der Impf-Effekt der AGPL betrifft die Serverprogramme und alle darauf aufbauenden Eigenentwicklungen ebenso wie alle normalen GPL-Programme, die mit ihnen verquickt werden.

Interessant wird die Frage, was in Fällen gilt, in denen der Anbieter eines AGPL-Serverprogramms den Nutzern den Download der Quellen anbietet, ein Cloud-Anbieter, der dessen Dienste (über Schnittstellen) in sein Angebot aufnimmt, diesen Download-Link jedoch unterdrückt oder nicht darauf hinweist. Eine Verletzung der Lizenzbestimmungen ist ihm ja nicht vorzuwerfen.