Rechtsfragen des Cloud Computing

Aus Linux-Magazin 05/2010

Rechtsfragen des Cloud Computing

Von

Copyright: Sanjarok, Photocase.com

Public Cloud Computing ist angesagt und die Vorteile, insbesondere für gewerbliche Nutzer, liegen auf der Hand: Hardware und Software als externe IT-Dienste zu nutzen bedeutet gerade für Unternehmer mit vielen Beschäftigten, dass die Kosten nicht mehr auf einen Schlag anfallen und dann nur im Laufe mehrerer Jahre steuerlich und betriebswirtschaftlich abschreibbar sind. Das verringert die Kapitalbindung.

Das Prinzip ist seit ewigen IT-Zeiten bekannt und bewährt. Früher führte die unerschwingliche Rechenleistung zu zentralen Rechenanlagen mit vielen Nutzern, die sich dort Rechenzeit kauften. Heute sind es die vergleichsweise teuren Softwarelizenzen, aber auch die nötige Wartungs- und Support-Dienstleistung, die zu einem verstärktem Outsourcing führen. Dank mehr und mehr verfügbarer Internetbandbreite braucht der Unternehmer weniger betriebsinternen IT-Aufwand und lässt wieder verstärkt außer Haus “computen”, nur bei Bedarf und nur so teuer, wie es sein muss.

Herr im Haus

Die Nachteile einer solchen Lösung sind ebenso offenkundig: Weil der Unternehmer nicht mehr Herr seiner IT ist – und der damit verbundenen Anwendungs- und Datenintegrität -, muss er seinem Service-Anbieter vertrauen. In Bezug auf die Nachhaltigkeit der Dienstleistung ebenso wie in Bezug auf konstant kalkulierbare Kosten und Wahrung seiner Betriebs- und Geschäftsgeheimnisse. Im Vertragsbereich kommt es daher zwischen den Parteien auf Datenschutz, jederzeitige Zugriffsmöglichkeit, Datensicherung, aber auch auf das Lizenzierungsmodell an.

Die Grenzen zwischen Application Service Providing (ASP), Software as a Service und Cloud Computing verschwimmen beziehungsweise waren nie klar definiert (Abbildung 1). Das Marketing-Buzzword “Cloud Computing” fußt eben auf den modernen Möglichkeiten, die, neben den leistungsfähigen Internetverbindungen, auch die aktuelle Virtualisierungstechnik bietet (siehe den Schwerpunkt dieser Ausgabe).

Juristen unterteilen die Cloud-Services derzeit in drei Bereiche: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) sowie Software as a Service (SaaS). IaaS bezeichnet dabei nur die Bereitstellung von Rechnerleistung, Speicherplatz und Anbindung. PaaS definiert die Bereitstellung einer (Entwickler-)Plattform. Hinter SaaS steht die Nutzung einer Software-Applikation, also eines oder mehrerer Programme durch den Unternehmer oder seine Beschäftigten auf dem Rechner des Anbieters. SaaS ist auch dem Consumer-Bereich geöffnet und findet im Endkunden-Bereich eine wachsende Zahl von Anhängern.

Letztere beschränken sich aber meist auf Angebote großer Dienstleister wie Google. Im Businesskunden-Bereich sind – bedingt durch besondere Individualanforderungen – auch die Entwicklungen kleinerer bis mittlerer Anbieter von Spezial- oder Nischenlösungen gefragt.

Vertragliche Einordnung

Weil bei den Modellen IaaS und PaaS dem Kunden regelmäßig Rechner- und Speicherplatz und Datentransfer sowie eng damit zusammenhängende Dienstleistungen des Anbieters zur Verfügung stehen und die Abrechnung vorrangig für feste Zeiträume oder übertragenes Datenvolumen erfolgt, handelt es sich dabei meist um Mietverträge beziehungsweise reine Vermittlungs- und Zugangsdienstleistungen. Entscheidend dabei ist, dass urheberrechtlich relevante Handlungen des Anbieters nicht vorkommen und die Daten lediglich in der Sphäre des Kunden bearbeitet und gespeichert werden.

SaaS stellt dagegen Software-Applikationen zur Verfügung, die die bearbeiteten Daten zudem auf den Servern des Anbieters speichert. Das bedeutet, dass zumindest Software-lizenzrechtliche Urheberrechtsfragen, aber auch Fragen des Datenschutzes berührt sind.

Bei SaaS greift der Benutzer in der Regel über seinen Internetbrowser auf den Applikationsserver des Anbieters zu. Dabei lassen sich einerseits Daten durchschleusen, die ausschließlich auf dem Server des Anbieters verarbeitet werden, ohne Teile der Anwendung oder ganze Programme auch nur auf dem Rechner des Benutzers zwischenzuspeichern.

Andererseits lagern moderne Ajax-Anwendungen Teile der Bearbeitung in Form von Skripten auf den Benutzerrechner aus. Dabei findet dann gewissermaßen eine Vervielfältigung des Programmcode zumindest im Zwischenspeicher statt. Ob diese Vervielfältigung als vorübergehend und technisch bedingt zulässig sein soll (Paragraf 44a UrhG, [1]) oder für die bestimmungsgemäße Benutzung des Programms legitimiert (Paragraf 69d UrhG, [1]), ist für Juristen nur im Einzelfall entscheidbar. Entscheidend für den Anbieter ist aber in beiden Varianten, dass er selbst dazu berechtigt ist, die Programme als urheberrechtlich geschützte Werke weiterzugeben beziehungsweise zur Verfügung zu stellen.

Mietrecht

Der Bundesgerichtshof hat bereits 2006 entschieden [2], dass die Gewährung des Onlinezugriffs auf ein Programm als Miete im Sinne der Paragrafen 535 ff. BGB [3] anzusehen sei. Die Begründung dazu ist etwas schwer zu verstehen, sieht das Gesetz doch für eine Miete die Gebrauchsüberlassung einer körperlichen Sache vor.

Der BGH ist jedoch der Auffassung, dass die – wenn auch nur vorübergehende – Verkörperung des Programms auf einem Datenträger genügt, selbst wenn dieser Datenträger dann nicht real übergeben wird. Die Zugriffsmöglichkeit auf den Inhalt über das Netz soll in diesem Fall ausreichen, wenn sie der Natur des Vertrags entspricht.

Weil für den BGH sogar ein nur flüchtiges, stromabhängiges Speichermedium genügt und damit selbst der Hauptspeicher eines Applikationsservers unter diese Qualifikation fällt, gelten die Grundsätze der Rechtsprechung zum Application Service Providing auch beim Cloud Computing und ordnen entsprechende Verträge dem Mietrecht unter. Dass die Vergütung für solche Leistungen in der Regel zeit- oder volumenabhängig vereinbart ist, stützt diese Ansicht.

Das Urheberrecht betrachtet das Vermietrecht als Teil des Verbreitungsrechts nach Paragraf 17 UrhG [1] und sieht dort die – ebenfalls körperliche – Überlassung eines Werkstücks voraus. Der BGH hat sich in seiner Entscheidung nicht detailliert mit der Wechselbeziehung zwischen Mietrecht und Urheberrecht auseinandergesetzt. Dennoch ist die Gerichtsmeinung zur Verkörperung und vertragsgemäßen Überlassung ohne Widersprüche auch auf den Bereich des Urheberrechts umzusetzen. Für die Verkörperung eines Werkstücks muss demnach auch die rein vorübergehende Speicherung auf einem flüchtigen Datenträger genügen.

Anbieter von SaaS im Bereich des Cloud Computing müssen daher über die erforderlichen Vermietrechte bezüglich der eingesetzten Software verfügen. Bei selbst erstellten Programmen ist das offensichtlich, bei Open-Source-Programmen, die unter einer freien Lizenz stehen, könnte es problematisch werden. Bei anderen Programmen ist es wiederum entscheidend, ob das Vermietrecht explizit übertragen wird – Anbieter sollten das sicherstellen.

Datenschutz in der Cloud

Cloud Computing ist nichts anderes als Outsourcing. Wenn dies Personendaten betrifft, die nach dem Bundesdatenschutzgesetz unter besonderem Schutz stehen, geht es dabei konkret um Paragraf 11 des BDSG [4], der die Voraussetzungen für die Auftragsdatenverarbeitung nennt. Er sieht vor, dass zum einen der Auftraggeber, also der Cloud-Nutzer, für die Einhaltung des Datenschutzes verantwortlich ist. Er verlangt zum anderen auch, dass der Auftrag schriftlich festzuhalten ist und einen nicht abschließenden Katalog von zehn Detailpunkten enthalten muss.

Nur wenn nicht der Anwender selbst sämtliche Daten ausschließlich durch die zur Verfügung gestellten Applikationen verarbeitet, sondern wenn der Anbieter die Daten des Benutzers ebenfalls verarbeitet, kommt diese Bestimmung zur Wirkung. Die Regelung gilt in diesem Fall nur so weit der Anbieter tätig wird (Abbildung 2).

Im Rahmen des Cloud Computing muss nicht festgelegt sein, wo und auf welche Weise die Speicherung der Benutzerdaten erfolgt. Auch eine möglicherweise dazwischen liegende Virtualisierungsebene ist nicht zu durchgreifen oder zu durchschauen. Damit ist es denkbar, dass hier auch abweichend von den offenkundigen Vereinbarungen eine echte Datenverarbeitung durch den Anbieter vorliegt. Es kommt also auf den Einzelfall beziehungsweise den jeweiligen Cloud-Service an, ob derartige schriftliche Datenverarbeitungsaufträge zu verfassen sind.

Weil nach dem Gesetz aber in jedem Fall der Auftraggeber, also der Cloud-Nutzer, verantwortlich für die Einhaltung der Rechtsbestimmungen ist, sollte dieser sich über Art und Details des Cloud-Service informieren und gegebenenfalls auf Einhaltung der gesetzlichen Schriftform bestehen.

Regelwerk

Im Einzelnen sind bei den Datenverarbeitungsaufträgen folgende Regeln festzuhalten:

  • Gegenstand und Dauer des Auftrags
  • Umfang, Art und Zweck der Erhebung, Verarbeitung oder Nutzung
    von Daten, die Art der Daten und der Kreis der Betroffenen
  • Technische und organisatorische Maßnahmen nach Paragraf 9
    BDSG
  • Berichtigung, Löschung und Sperrung von Daten
  • Pflichten des Auftragnehmers, besonders die vorzunehmenden
    Kontrollen nach Paragraf 11, Absatz 4 BDSG
  • Berechtigung zur Begründung von
    Unterauftragsverhältnissen, sofern vereinbart
  • Die Kontrollrechte des Auftraggebers und die entsprechenden
    Duldungs- und Mitwirkungspflichten des Auftragnehmers
  • Mitzuteilende Verstöße des Auftragnehmers oder der
    bei ihm beschäftigten Personen gegen Vorschriften zum Schutz
    personenbezogener Daten oder gegen die im Auftrag getroffenen
    Festlegungen
  • Umfang der Weisungsbefugnisse, die sich der Auftraggeber
    gegenüber dem Auftragnehmer vorbehält
  • Rückgabe überlassener Datenträger und die
    Löschung beim Auftragnehmer gespeicherter Daten nach
    Beendigung des Auftrags

Zu beachten ist aber, dass es sich bei diesen genannten Punkten nur um Mindestvoraussetzungen handelt, die in jedem Fall im schriftlichen Auftrag enthalten sein müssen. Die Dauer des Auftrags kann dabei für einen festen Zeitraum oder – ebenso zulässig – auf unbestimmte Zeit vereinbart sein. Der tatsächliche Zweck der Auftragsdatenverarbeitung muss präzise beschrieben und nicht zu weit oder verallgemeinernd abgefasst sein.

Grundschutzkatalog

Die technischen und organisatorischen Maßnahmen nach Paragraf 9 sind zwar nur erforderlich, soweit ihr Aufwand in angemessenem Verhältnis zum Schutzzweck steht, doch da der Schutz personenbezogener Daten vermutlich auch künftig noch durch die Rechtsprechung ausgeweitet werden dürfte, empfiehlt es sich zu Absicherung, den IT-Grundschutz-Katalog des Bundesamts für Sicherheit in der Informationstechnologie [5] heranzuziehen. Der Katalog hilft dabei, die Verhältnismäßigkeit zu beurteilen und auch den nötigen Schutzbedarf zu ermitteln.

Soweit es um die Berichtigung, Löschung und Sperrung von Daten geht, betrifft dies nicht die Daten, die der Anwender selbst berichtigen, sperren oder löschen kann, sondern nur jene, die der Anbieter verwaltet.

Ein weiteres, entscheidendes Kriterium sind die Vereinbarungen über die Löschung der beim Cloud-Service-Betreiber gespeicherten Daten nach Beendigung des Auftrags. Hier ist sicherzustellen, dass diese Daten wirklich gelöscht werden und nicht etwa in falsche Hände gelangen können.

Die Vorschriften des BDSG gelten außer für die öffentlichen Stellen auch für alle anderen, die Daten unter dem Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben – es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten. Damit sind heute praktisch alle gewerblichen Nutzer von Cloud Computing erfasst. (uba)

Infos
[1] Gesetz über Urheberrecht und verwandte Schutzrechte: [http://www.gesetze-im-internet.de/urhg/BJNR012730965.html]

[2] BGH, Urteil vom 15.11.2006, XII ZR 120/04

[3] Bürgerliches Gesetzbuch (BGB):[http://www.gesetze-im-internet.de/bundesrecht/bgb/gesamt.pdf]

[4] Bundesdatenschutzgesetz: [http://bundesrecht.juris.de/bdsg_1990/index.html]

[5] BSI: [http://www.bsi.de]
Der Autor
RA Fred Andresen ist Mitglied der Rechtsanwaltskammer München und der Arbeitsgemeinschaft Informationstechnologie im Deutschen Anwaltverein (DAVIT).
DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 3 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo

Verwandte Artikel

Editorial

Eine Studie belegt: KI-Chatbots reden ihren Nutzern nach dem Mund. Das ist gefährlich für den sozialen Zusammenhalt in der Gesellschaft.

KubeCon CloudNativeCon Europe 2026

Rund 13 500 Teilnehmer aus 100 Ländern machen die KubeCon CloudNativeCon Europe 2026 zur bislang größten Open-Source-Konferenz weltweit, berichten die Veranstalter stolz. Künstliche Intelligenz in allen Schattierungen dominiert das Treffen von Anwendern, Projekten, Firmen und Entwicklern aus...

Home Assistant: Open Source trifft Smart Home

Als zentrale Open-Source-Plattform bündelt Home Assistant unterschiedliche Smart-Home-Geräte verschiedener Hersteller, priorisiert die lokale Kontrolle und ist damit eine datenschutzfreundliche Alternative zu Cloud-Hubs. Dank flexibler Architektur und einer schnell wachsenden...

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Inline Feedbacks
Alle Kommentare anzeigen
© COMPUTEC MEDIA GmbH
Nach oben