Rechtliche Fallstricke und Lösungsansätze des Cloud Computing … so lautete der Titel des Kurzvortrags, den Rechtanwalt Jan Pohle von der Kanzlei TaylorWessing in Düsseldorf im Rahmen des Executive Briefing Cloud Computing des Cluster IKT.NRW hielt. Das Netzwerk hatte seine Mitglieder dazu in das Microsoft RheinauArtOffice in Köln geladen. Aus juristischer Sicht ist das Thema Cloud Computing für mehrere Rechtbereiche relevant, doch gerade die Bereiche Vertragsrecht, IT-Sicherheit und Datenschutz spielen dabei eine zentrale Rolle.
Im Bereich des Vertragsrechts wies Herr Pohle insbesondere auf den Grundsatz der Garantieverpflichtung hin. Er erklärte, dass die Bereitstellung von Hard- und Software im Rahmen eines Cloud Computing-Angebots im Allgemeinen mietrechtlichen Regeln unterliegt, was für den Serviceprovider das Risiko birgt, dass die Garantieverpflichtung nach § 535, Abs, 1 S.2 BGB anwendbar ist. In der Rechtsprechung bedeutet dies, dass der Provider als verpflichtet angesehen wird, sein Leistungsangebot stets und unterbrechungsfrei verfügbar zu halten. Dies widerspricht natürlich der Praxis, in der Wartungsfenster und kurzzeitige Systemunterbrechungen gerade notwendig sind, um die Verfügbarkeit und Sicherheit des Dienstes zu gewährleisten. Als Lösung empfiehlt der Jurist den Abschluss von Service Level Agreements (SLA).
Zum Thema IT-Sicherheit erklärte Herr Pohle, dass ein sehr differenziertes System von Rechtsquellen bestehend aus Aktien-Gesetz (AktG), GmbH-Gesetz (GmbH), Strafgesetzbuch (StGB) und Gesetz gegen den unlauteren Wettbewerb (UWG) existiert, das ein ebenso differenziertes Sanktionssystem bereit hält. Im Rahmen der Gewährleistung von IT-Sicherheit sind die Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität und Zurechenbarkeit technischer Informationen sicher zu stellen. Bei Nichtbeachtung haften dann„der/die Sicherheitsverantwortliche/n“. Dies trifft damit nicht nur die Geschäftsleitung, sondern auch Mitarbeiter wie IT-Sicherheitsbeauftragte oder Datenschutzbeauftragte.
Von besonderer Relevanz im Cloud Computing ist natürlich das Thema Datenschutz, da es im Rahmen der Nutzung cloud-basierter Dienste in der Regel auch zur Speicherung von personenbezogenen Daten auf den Systemen des Dienstleisters kommt (z.B. Arbeitnehmer-, Kundendaten), die entsprechend des Grundgedankens des Cloud Computing weltweit verteilt abgespeichert sein können. Da in diesem Fall von einer Auftragsdatenverarbeitung nach § 11 BDSG ausgegangen werden kann, bleibt der Anwender „Herr der Daten“ und damit auch datenschutzrechtlich verantwortlich. In der Regel weiß der Cloud Computing-Anwender aber nicht, wo seine Daten gespeichert werden.
Dieser letzte Aspekt führte abschließend zu einem, die gesamte rechtliche Würdigung überlagerndem Thema, der Internationalität. Nicht nur Bereich Datenschutz bewegt sich Cloud Computing laut Rechtsanwalt Pohle in einem Spannungsfeld nationaler Rechtsordnungen, auch im Vertragsrecht spielt die Internationalität eine übergeordnete Bedeutung. Dazu kommt natürlich die Problematik der Rechtsdurchsetzung, insbesondere in Staaten mit einem völlig anderen Rechtssystem.
Die Vortragsunterlagen des Executive Briefing Cloud Computing des Cluster IKT.NRW finden Sie im Internet unter http://www.ikt-nrw.de/downloads
Ein umfassender Fachartikel mit dem Titel „Über den Wolken … – Chancen und Risiken des Cloud Computing“ , der von Herrn Pohle und seinem Kollegen Thorsten Ammann verfasst wurde, wurde in der aktuellen Ausgabe, Heft 5/2009, der Zeitschrift COMPUTER UND RECHT (http://www.computerundrecht.de) veröffentlicht.