Ratgeber Cloud Computing und Recht

Was Cloud-Planer wissen müssen

05.12.2012 | von Marc Strittmatter
Wer sich mit Cloud Computing beschäftigt, sollte die juristischen Aspekte des Konzepts kennen. Wir beantworten die wichtigsten Fragen.
Foto: italianestro, shutterstock.com

Dass Cloud Computing nicht nur IT Fachleute und Anwender, sondern auch Juristen auf den Plan ruft, ist wenig überraschend. Interessant ist aber, dass rechtliche Argumente nicht mehr primär als Begrenzungen des neuen Geschäftsmodells dienen, sondern mitunter sogar vertriebsunterstützend dazu genutzt werden, Lösungen mit hoher Verfügbarkeit und Sicherheit auf den Markt zu bringen.

Typischerweise sind die am Cloud-Computing-Prozess Beteiligten die Cloud-Nutzer (Verbraucher oder Unternehmen), die Cloud-Lösungsanbieter und schliesslich die Infrastrukturbetreiber, von denen die Cloud-Lösungsanbieter Leistungen beziehen. Kern des Cloud-Geschäftsmodells ist der weitgehende Verzicht auf dedizierte eigene Ressourcen und die rein an der tatsächlichen Nutzung orientierte Vergütung (”pay-as-you-go”). Cloud-Angebote werden in Infrastrukturangebote (”IaaS”, Nutzung von virtualisierten Hardware-Ressourcen wie Rechner, Netzwerke und Speicher), Applikationsangebote (”SaaS, Nutzungszugang zu Software-Sammlungen und Anwendungsprogrammen) und Plattformangebote (”PaaS”, Programmierungs- oder Laufzeitumgebungen mit flexiblen, dynamisch anpassbaren Rechen- und Datenkapazitäten) unterschieden.

Weiterhin wird zwischen Public, Private und Hybrid Clouds unterscheiden, was je nach Konstellation zu im Kern ähnlichen Rechtsfragen in unterschiedlicher Ausprägung führt. Neben Resellern wie Dropbox finden sich auch Anbieter wie Amazon Web Services (AWS), die mehrere Rollen gleichzeitig wahrnehmen. Die Grenzen sind also alles andere als trennscharf und es lohnt sich als Nutzer, genau zu prüfen, welche Art von Anbieter oder Betreiber man zum Partner wählt.

Einige der rechtlichen Fragen sind bereits aus der Ära des Outsourcing bekannt, sie stellen sich durch die Möglichkeiten des Cloud Computing nun aber in einer neuen Qualität. Die wichtigsten betroffenen Rechtsbereiche sind der Datenschutz, die Informationssicherheit, lizenzrechtliche Fragen und die Vertragsgestaltung. Nutzer müssen indes nicht bei jeder Cloud-Computing-Lösung die gesamte Bandbreite aller definierten Problemfelder abarbeiten. Vielmehr genügt es, sich die Situation des Unternehmens sorgfältig vorab zu verdeutlichen und die als potentiell problematisch identifizierten Felder dann detailliert abzuprüfen (siehe Checkliste am Ende des Artikels).

Rechtliche Bedenken überlagern allerdings häufig unternehmerische Vorfragen wie die Cloud-Fähigkeit auf Nutzerseite an sich. Eine selbstkritische Bestandsaufnahme der Datensicherheit und der ausreichenden Lizenzierung vor Beginn der Cloud-Nutzung wird wahrscheinlich in nicht wenigen Fällen Defizite im Umgang mit Unternehmensdaten oder dem internen Lizenzmanagement zu Tage fördern. Diese Befunde haben dann nichts mit der Cloud Nutzung zu tun, vielmehr zwingt die Auslagerung von Aufgaben in die Cloud idealerweise sogar dazu, bestehende Unternehmensprozesse auf ein höheres Niveau zu bringen.

Dieser Klärungsprozess umfasst beispielsweise die Einordnung der Daten in Geschäftsgeheimnisse, personenbezogene Daten und besonders sensible Daten im Sinne des Bundesdatenschutzgesetzs (BDSG), die Analyse der Lizenzverträge mit den für die Cloud-Nutzung bestimmten Applikationen und eine Due Diligence der geltenden regulatorischen Anforderungen (Compliance).