© photo-base.de, Photocase.com

Cloud Computing bedeutet in erster Linie Auslagern. Aber niemand weiß mit Sicherheit zu sagen, wohin der Cloud-Anbieter auslagert. Das wirft Fragen auf, vom Datenschutz bis zur Lizenzierung.

Wer von Cloud Computing spricht, meint – mangels allgemein gültiger Definition – meist etwas anderes als sein Gegenüber. Die Cloud heißt für Kunden in erster Linie Outsourcing, für Anbieter eine Erweiterung des Dienstleistungsangebots. Das Outsourcing von Infrastruktur in Form von Hardware, ein Server-basiertes Angebot von Anwendungen und die Auslagerung der Datenspeicherung im Rahmen von Storage-Diensten zählen zu den meistgenannten Säulen.

Die dabei auftretenden Rechtsfragen sind vielfältig. Zunächst ist zu prüfen, um welche Vertragsart es sich beim typischen Clouding handelt, richten sich doch die Rechtsfolgen danach.

Was läuft hier eigentlich?

Soweit es um die Auslagerung von Infrastruktur geht, also der Hardware, aus der Rechenleistung und Speicherkapazität erwachsen, unterscheidet sich die Cloud in einem wesentlichen Punkt von der herkömmlichen Server- oder Storage-Farm: Der Kunde und teils auch der Anbieter wissen nicht mehr, auf welcher Maschine die Berechnungen erfolgen oder die Daten gespeichert sind, weil eine Logik die Ressourcen dynamisch verteilt. Der Kunde zahlt also nicht (mehr) für einen bestimmten, dedizierten Server, sondern für die Möglichkeit, Berechnungen ausführen oder Daten halten zu lassen. Aus der Gerätemiete wird damit eine abstraktere Dienstleistung, die den Regeln des Werkvertrages folgt.

Zur genaueren Abgrenzung: Bei einem Dienstvertrag schuldet der Verpflichtete das bloße Bemühen, beim Werkvertrag schuldet er den vereinbarten Erfolg. Hier also zum Beispiel den effektiv verfügbaren, jederzeit abrufbaren Speicherplatz von 50 Petabyte, die gleichzeitige Ausführung eines CRM-Tools durch 22 Sales-Agenten oder eine 24/7 abrufbare Rechenleistung von 12 Flops.

Für Cloud Computing ist also grundsätzlich Werkvertragsrecht anwendbar, soweit tatsächlich mehrere Beteiligte als Vertragsparteien auftreten und nicht bloßes innerbetriebliches (Private) Clouding als technische Variante der Ressourcenbündelung vorliegt.

Die Einteilung ist aber weder absolut noch final. Ähnlich wie beim Besuch einer Gaststätte wird meist ein gemischter Vertrag vorliegen, dessen einzelne Bestandteile spezialisierten Rechtsnormen unterliegen. Wo dort der Aufenthalt im Gastraum als Beherbergungsvertrag, der Bezug des Tafelweins als Kauf und die Zubereitung des Mahls als Werkvertrag eingeordnet wird, mag hier beim Bezug von Software-Benutzungslizenzen oder beim Installieren separater Zugangsoberflächen eigenes, individuelleres Recht vorrangig sein.

Gerade bei der Komponente Software as a Service (SaaS) stellen sich noch weitere Rechtsfragen: Bei Massensoftware von der Stange, die man über die Ladentheke kauft oder vom Distributor für die ganze Firmengruppe lizenziert, gilt das Kaufvertragsrecht. Damit ist es bei Mängeln ziemlich einfach, etwa fehlerfreie Nachlieferung oder Schadensersatz zu verlangen.

Bei Individualsoftware, die im Kundenauftrag erstellt oder angepasst wird, gilt dagegen Werkvertragsrecht mit bisweilen langwierigen Nachbesserungsfristen und zeitaufwändigen Aufforderungs- und Friststellungs-Formalien. Anbieter werden deshalb stets versuchen Standardprogramme als Individualsoftware zu bezeichnen.

Damit sind Probleme programmiert: Während Standardsoftware unmittelbar auf dem Betriebssystem des Anwender-Rechners abläuft, kommt bei SaaS auch bei Standardsoftware zumindest noch eine Vermittlungsschicht des Cloud-Anbieters dazwischen. Noch komplizierter wird es bei Individualsoftware, sei es echter, für den einzelnen Kunden erstellter, oder bei bloß modularen, aus Standardkomponenten an die Anforderungen eines Kunden angepassten Programmen oder Oberflächen.

Wichtig für Kunden wie für seriöse Anbieter wird sein, dass die Verträge keine Vermittlerstellung für den Cloud-Anbieter konstituieren, in der er etwa nur Zugriffsmöglichkeiten auf die Angebote weiterer Dienstleister in eigene Oberflächen packt, die der Kunde bei diesem Dritten auf eigene Gefahr lizenzieren soll. Vielmehr wird der seriöse Anbieter auch für die Dienstleistungen Dritter haften, die er ins eigene Angebot integriert.

Derartige Haftungsdurchgriffe wie etwa bei einem Reiseveranstalter, der gegenüber dem Reisenden auch für Fehler des Hotelbetreibers am Urlaubsort haftet, sind durch Gesetz oder Rechtsprechung für den Rechtsverkehr mit Verbrauchern eingeführt und ausgeweitet, im B2B-Bereich allerdings unüblich. Hier herrscht die Vertragsfreiheit noch weitgehend ohne Einschränkungen. In den nächsten Jahren werden sich die Verbraucher noch nicht allzu stark in den Clouds tummeln, sodass dieser Bereich zunächst Business-Kunden vorbehalten bleibt und noch keine rigide Rechtsprechung erfährt.

Lizenz – ein Thema!

Was bedeutet also das Outsourcing von Software in die Cloud? Die Kunden erwarten, dass sie sich um Lizenzfragen Dritter nicht kümmern müssen. Für die Anbieter gelten bekannte Grundsätze: Programmlizenzen scheren sich üblicherweise nicht darum, ob Kundendaten im Auftrag oder eigene Daten verarbeitet werden. Wer mehr Daten schneller verarbeiten will, braucht leistungsfähigere Hardware. Erst wenn diese ausgereizt ist, wird eine zweite Instanz des laufenden Programms sinnvoll und damit gegebenenfalls eine zweite Lizenz nötig. Für Cloud-Anbieter haben demnach freie und selbst geschriebene Programme Priorität – einfach aus Kostengründen.

Für SaaS sei die AGPL, die GNU Affero General Public License [1], die geeignete, heißt es. Bei der AGPL handelt es sich um die Erweiterung der GPL – ursprünglich von der Firma Affero, inzwischen von der Free Software Foundation verantwortet –, die den Serverbetrieb freier Software regelt. Die AGPL enthält, sonst deckungsgleich mit der GPL, eine Bestimmung über den Betrieb von Programmen auf einem Server, auf den Benutzer zugreifen, ohne eine Kopie des Programms zu beziehen.

Nach dieser Lizenz muss der Server-Betreiber auch diesen Kunden die aktuellen Programmquellen verfügbar machen. Die originäre GPL fordert das nur unter der Voraussetzung, dass das Programm veröffentlicht wird, dass also der Benutzer eine Kopie davon erhält. Bei einem Server, auf dem der Benutzer lediglich Daten eingibt, zum Beispiel über eine Webmaske, und Ausgaben entgegennimmt, ist dies nicht der Fall.

Die AGPL lässt sich auch nicht so einfach durch einen Wrapper umgehen: Die Lizenzbestimmungen fordern in Ziffer 13, dass “all users interacting with it [dem Programm] remotely through a computer network” das Recht auf die Quellen erhalten. Selbst wer auf einem Server nur eine Webmaske zur Dateneingabe bereithält und die Daten dann in eine Datenbank schreibt, die ein anderes Programm auf irgendeinem anderen Rechner verarbeitet, würde eine “Interaktion über ein Computernetz” aufbauen.

Natürlich ließen sich auch die AGPL-Lizenzbestimmungen auf irgendeine komplizierte Art wirksam umgehen, aber die Anforderungen wären hoch, damit das noch als rechtmäßig durchginge. Der Impf-Effekt der AGPL betrifft die Serverprogramme und alle darauf aufbauenden Eigenentwicklungen ebenso wie alle normalen GPL-Programme, die mit ihnen verquickt werden.

Interessant wird die Frage, was in Fällen gilt, in denen der Anbieter eines AGPL-Serverprogramms den Nutzern den Download der Quellen anbietet, ein Cloud-Anbieter, der dessen Dienste (über Schnittstellen) in sein Angebot aufnimmt, diesen Download-Link jedoch unterdrückt oder nicht darauf hinweist. Eine Verletzung der Lizenzbestimmungen ist ihm ja nicht vorzuwerfen.

Wo Datenschutz passiert

Der Charakter typischer Cloud-Angebote wirft darüber hinaus auch datenschutzrechtliche Fragen auf. Hier geht es um den Schutz personenbezogener Daten im Sinne des Bundesdatenschutzgesetzes (BDSG, [2]). Es ist erlaubt, personenbezogene Daten durch Dritte, also im Auftrag, verarbeiten zu lassen. Unter welchen Voraussetzungen das für private Stellen (natürliche Personen, Unternehmen, sonstige nicht staatliche Organisationen) zulässig ist, regeln die Bestimmungen des BDSG.

Zwei Aspekte sind hierbei von Bedeutung: Die Verantwortlichkeit für die Einhaltung der datenschutzrechtlichen Vorschriften und der Ort, an dem die Datenverarbeitung tatsächlich erfolgt. Bei Auslagerung der Datenverarbeitung und -speicherung ins Ausland tritt das Problem auf, dass an diesen Orten das bundesdeutsche Gesetz keine Geltung hätte beziehungsweise nicht (mehr) durchsetzbar wäre. Außerdem könnte die Möglichkeit entstehen, dass Verantwortliche versuchen, sich ihrer Verantwortung zu entziehen.

Daher beugen die Gesetze vor: Nach der EU-Datenschutzrichtlinie (EU-DSRL, [3]) ist grenzüberschreitende Verarbeitung personenbezogener Daten zulässig, wenn das jeweils national einschlägige Gesetz hinreichenden Datenschutz gewährleistet. In jedem Fall gilt aber das Recht des Mitgliedsstaats, in dem die datenverarbeitende Niederlassung sitzt.

Das Problem der Cloud ist, dass eventuell nicht annähernd festzustellen ist, wo die Speicherung oder Verarbeitung der Daten erfolgt. Weil für die Cloud territoriale Grenzen keine Bedeutung haben, besteht also die Gefahr, dass der Persönlichkeitsschutz nicht gewährleistet ist – fatal für die nach dem Gesetz verantwortliche Stelle. Das ist zunächst einmal der, der die Daten verarbeitet oder verarbeiten lässt, also der Cloud-Kunde. Er ist und bleibt stets verantwortlich, allenfalls können im Rahmen der Auftragsdatenverarbeitung weitere Verantwortliche entstehen.

Nach den Paragrafen 3 und 7 BDSG haftet jedoch der Cloud-Kunde in jedem Fall als Auftraggeber. Die möglichen Rechtsfolgen einer Gesetzesübertretung reichen von einfachen Bußgeldern über zivilrechtliche Schadensersatzansprüche bis hin zu strafrechtlichen Sanktionen.

Gerade bei Daten, die ins Ausland wandern, sind unberechtigte Zugriffe mit an Sicherheit grenzender Wahrscheinlichkeit als möglich anzunehmen: Es geht nicht nur um den Zugriff ausländischer Sicherheits- oder Finanzbehörden oder um Wirtschaftsspionage, die durchaus auch zum Auftrag der Behörden gehören kann, sondern auch um das Einfallstor für Cybercrime-Attacken.

Grenzwertig

Gerade wo billig verarbeitet wird, fehlt es mitunter an der Einhaltung eines angemessenen Sicherheitsstandards – ideal für den Datenklau. Aber so etwas fällt in der Regel auf: Schon früher nahmen Telefonbuchverlage so genannte U-Boote in ihre Datensätze auf, um Datenklau nachzuweisen, heute gehen immer mehr Verbraucher dazu über, kleine “Rechtschreibfehler” in die Adressdaten ihrer Online- oder Katalogbestellungen einzubauen, die illegalen Adressenverkauf nachvollziehen lassen. Auch Personalabteilungen, die Comicfiguren als fiktive Angestellte mitlaufen lassen, rüsten sich für den Indiziennachweis bei Gerichtsverfahren. Die nach dem BDSG verantwortliche Stelle wird sich immer schwerer herausreden können.

Wichtig ist daher, bei Vertragsverhandlungen mit dem Cloud-Anbieter sicherzustellen, dass die Verarbeitung personenbezogener Daten nur im Inland oder im EU-Raum erfolgt, und zwar möglichst überprüfbar. Oder – auf Seite des Cloud-Anbieters – möglichst schon in die Vertragsbedingungen aufzunehmen, dass eine Datenhaltung oder -verarbeitung auch im Ausland erfolgen kann und daher keine datenschutzrechtliche Verantwortung übernommen werden kann. Auch wenn der Kunde dann abspringt.

Klauselfrage

Wichtig für Kunden: Der Cloud-Anbieter schuldet nur das, was vertraglich vereinbart ist. Im Normalfall betrifft dies – wie bei derartigen Verträgen üblich – alles, was für das Clouding wichtig ist, aber auch nur das. Wer beispielsweise nach gewisser Zeit wieder aus den Wolken heraus möchte, um doch wieder die schnellere und eventuell vertrauenswürdigere eigene Infrastruktur zu nutzen oder um zu einem leistungsfähigeren oder billigeren Cloud-Anbieter zu wechseln, hat normalerweise keinen Anspruch darauf, dass der bisherige Anbieter es ihm leicht macht. Das betrifft etwa Berechnungs-Output, Protokolle oder das (Extraktions-)Format der eigenen Daten. Wer bereits im Voraus für einen späteren Um- oder Ausstieg gerüstet sein will, sollte schon bei der Vertragsgestaltung auf solche Maßnahmen zur Interoperabilität achten – und natürlich auf alle anderen Unwägbarkeiten. (uba)

Für Kommentare