Key Player der IT-Branche wie Amazon, Google, Microsoft aber auch Sun (vor dem Merger mit Orcale) verkünden schon länger, dass sie im Cloud Computing die Zukunft sehen. Doch stellt sich hinsichtlich solcher Visionen immer die Frage nach der juristischen Umsetzbarkeit und den damit verbundenen Risiken.
Die Definition von Cloud Computing (siehe Kasten) klingt zunächst nach einem ASP-Modell (Application Service Providing). Hier kauft der Kunde nicht mehr seine Softwareanwendung, sondern bezahlt nur noch deren zeitlich begrenzte Nutzung - wie beipielsweise bei der "Google App Engine". Doch Cloud Computing geht viel weiter. Vom Cloud-Anbieter werden nicht nur die Lizenzen zur Verfügung gestellt, sondern auch Filespace und Datenbanken.
Der eigentliche Unterschied spielt sich innerhalb der Wolke ab. Hier kommen die Leistungen nicht wie beim ASP von einem Server oder einer Server-Farm, sondern von mehreren unterschiedlichen Servern beziehungsweise Server-Farmen. Diese Server können einem oder auch unterschiedlichen Anbietern gehören. Vor allem aber können sie überall auf der Welt verteilt sein und zusammen ein "Grid" (Rechnernetz) bilden. Das Rechenzentrum verwendet die weltweit verteilten Server durch Virtualisierungstechniken wie eigene Maschinen. Der Kunde oder Enduser merkt hiervon nichts, wenn er die Performance des Cloud-IT-Anbieters am vereinbarten Service Level Agreement (SLA) misst.
Cloud Computing - eine Definition
Im Regelfall gibt es beim Cloud Computing einen externen Betreiber, der Applikationen, Filespace und/oder Datenbanken für Dritte bereitstellt.
Die Basis des Cloud Computing ist ein leistungsfähiges Netz, das die Instanzen des Konzepts miteinander verbinden, die von verschiedenen Dienstanbietern (Clouds) stammen können.
Insofern geht Cloud Computing über andere gegenwärtig diskutierte Ansätze wie ASP oder Software as a Service (SaaS) sowie über Konzepte wie die Virtualisierung hinaus.
Die Bezahlung für den Dienst richtet sich in der Regel nach Art und Dauer der Nutzung.
Zu den Techniken für dieses Konzept gehören Grid-Computing und Virtualisierung.
In einem weit entfernten Rechenzentrum werden parallelisierte Rechner bereitgestellt, die gemeinsam eine hohe Leistung liefern.
Aus dieser "Wolke" heraus können viele Anwendungen (meist Rich Internet Applications mit Ajax-Technik) von vielen Nutzern gleichzeitig genutzt werden.
Das Konzept verspricht Unternehmen, aber auch Universitäten die Möglichkeit, Ressourcen gemeinsam zu nutzen, statt die teuren eigenen Rechenzentren immer weiter auszubauen.
Die Kehrseite der Medaille bilden Fragen nach Sicherheit, Verfügbarkeit und Benutzerfreundlichkeit.
Beziehung zwischen Kunde und Cloud
Angesichts dieser komplexen Strukturen stellen Vertragsmodelle, rechtliche Fragen und Datenschutzanforderungen Anwender und Anbieter vor neue Herausforderungen. Grundsätzlich sollte zwischen der Beziehung von Endkunde und Cloud-IT-Anbieter einerseits sowie den Verflechtungen innerhalb der Clouds andererseits unterschieden werden.
Ein Kunde geht also eine vertragliche Bindung mit einem (a) oder mehreren (b) Cloud-IT-Anbietern ein. Hierbei stellt der Anbieter unterschiedliche Leistungen wie den Betrieb von Applikationen (c), die Bereitstellung von File- oder Webspace (d) oder die Verfügung über Datenbankkapazitäten (e) zur Verfügung. Die Unterschiede zwischen diesen Leistungen sind juristisch zu würdigen.
a) Ein Cloud-ITAnbieter
Bezieht ein Kunde seine Leistungen von einem einzigen Cloud-IT-Anbieter, so ergibt sich daraus zunächst auch nur ein einfaches Vertragsverhältnis. Hierbei lassen sich die üblichen Regelungen wie bei einem normalen Outsourcing-/Hosting-Vertrag zu Grunde legen. Auch wenn es heißt, die IT-Services könnten wie Strom aus der Steckdose bezogen werden, werden die Anwender wohl kaum ständig ihren Cloud-IT-Anbieter wechseln. Deshalb muss der häufige, schnelle Wechsel auch nicht explizit in den Verträgen berücksichtigt werden. Wichtiger ist es zu regeln, ob sich der Cloud-IT-Anbieter auch anderer Clouds als Subunternehmer bedienen darf und wie dieser Sachverhalt rechtlich zu behandeln ist.
b) Mehrere Cloud IT Anbieter
Foto: Söbbing/Deutsche Leasing
Nimmt das Unternehmen Leistungen von mehreren Cloud-IT-Anbietern in Anspruch, so stellt sich die Frage nach der Konstellation: Bedient es sich eines Generalunterneh-mers (GU), der andere Cloud-IT-Anbieter als Subunternehmer beschäftigt? Oder organisiert es selbst die unterschiedlichen Anbieter im Rahmen eines Vendor-Management?
Auf den ersten Blick erscheint das GU-Modell sinnvoller, weil es hier einen einzigen Ansprechparter oder Single Point of Contact (Spoc) für alle Fragen gibt. Er haftet nach Paragraf 276 BGB für sich selbst beziehungsweise nach Paragraf 278 BGB auch für seine Subunternehmer ("Verrichtungsgehilfen"). Aufgrund der Vertragsbeziehung zwischen GU und Subunternehmer ist auch eine Haftung über das Dienstvertragsrecht möglich.
Besonderes Augenmerk muss der GU darauf legen, dass Sicherheits- und Qualitätsstandards (insbesondere hinsichtlich Datensicherheit und -schutz) auch von den Subunternehmern beachtet werden. Gegebenenfalls hat er sie durch Audits zu überprüfen und nachzuweisen. Das wird sich der GU allerdings vergüten lassen. Zudem kann sich der Kunde in vielen Bereichen nicht gänzlich seiner Audit- und Überwachungspflichten entledigen; das gilt vor allem für den Datenschutz oder einige sektorspezifische Regelungen, beispielsweise für Finanzinstitute. Hier muss sich der Kunde über den GU ein Durchgriffsrecht auf den jeweiligen Subunternehmer einräumen lassen.
Aber auch der Einzelbezug der Leistungen von unterschiedlichen Cloud-IT-Anbietern (Multivendor-Strategie) weist Nachteile auf. Der Kunde muss hier vor allem darauf achten, dass die einzeln eingekauften IT-Services miteinander harmonieren. Insbesondere könnte es im Falle von Minderleistungen dazu kommen, dass keiner der Anbieter einen Fehler einräumen will, sondern immer auf den jeweils anderen verweist.
Unterschiedliche Arten von Services
c) Bereitstellung von Web- oder Filespace
Web- oder Filespace zur Verfügung zu stellen ist in der IT-Branche nichts Neues. Diese Dienstleistung wird meist mit dem Begriff Hosting bezeichnet. Beim Web-Hosting sind die Daten auf den Host des Providers gespeichert. In der Regel wird dieses Verhältnis nicht etwa wie ein Mietvertrag nach Paragraf 535 BGB behandelt, sondern wie ein Werkvertrag nach Paragraf 631 BGB. Der Hosting-Provider schuldet dem Kunden, dafür zu sorgen, dass dessen Website gespeichert wird und im Internet aufgerufen werden kann. Für den Kunden ist vor allem wichtig, dass die Inhalte dauernd abrufbar sind. Wie der Hosting-Provider oder Cloud-IT-Anbieter diese Leistung erbringt, ist ihm gleichgültig. Ihm geht es also nicht primär um das Überlassen von Speicherplatz, sondern um den Erfolg der Aufrufbarkeit, für den das Einspeichern nur die technische Voraussetzung ist. Hierzu werden in der juristischen Praxis allerdings auch abweichende Meinungen vertreten. Deshalb sollte sich der Kunde beim Hosting nicht auf die gesetzlichen Regelungen verlassen, sondern einen individuellen Vertrag gestalten.
d) Application Service Providing
Beim ASP oder SaaS (Software as a Service) stellt der Anbieter einem Kunden die temporäre Nutzung von Applikationen zur Verfügung. In Deutschland hat sich das höchste Zivilgericht, der Bundesgerichtshof (BGH), bereits hierzu geäußert. Es hat entschieden, dass auf ASP-Verträge grundsätzlich die Vorschriften des Mietrechts Anwendung finden. Aber selbst beim Rückgriff auf mietrechtliche Regelungen aus den BGB-Paragrafen 535 und folgende bedarf es doch einer genaueren vertraglichen Gestaltung, insbesondere hinsichtlich der Service Levels.
e) Hosting von Datenbanken
Die vertragstypologische Einordnung von Hosting-Verträgen für Datenbanken richtet sich nach der geschuldeten Leistung. Hierbei ist grundsätzlich zu unterscheiden, ob der Provider Filespace zur Verfügung stellt (Datenbank-Hosting) oder aber eine Applikation, beispielsweise eine Oracle-Datenbank, zur zeitlich begrenzten Nutzung anbietet.
Beziehungen innerhalb der Clouds
Foto: Fotolia/Frank-Peter Funke
Die Rechtslage innerhalb der Clouds ist selbstverständlich davon geprägt, wie sich ein einzelner Anbieter innerhalb eines Clouds aufstellt und wie unterschiedliche Anbieter miteinander agieren. Bedient sich ein einzelner Cloud-IT-Anbieter weltweit verstreuter Server-Farmen, so dürften hierfür wohl nur interne Vereinbarungen notwendig sein. Eine bedeutende Rolle spielt hierbei der Datenschutz. Generell muss auch ein weltweit agierender Anbieter die hierzulande gültigen Qualitäts- und Sicherheitsstandards (Datensicherung, Desaster Recovery etc.) einhalten.
Nutzt ein Cloud-IT-Anbieter hingegen Ressourcen, die ihm andere Unternehmen zur Verfügung stellen, so hat er dafür zu sorgen, dass er in "Back-to-back-Agreements" mit seinen Subunternehmern die notwendigen Qualitäts- und Sicherheitsstandards vereinbart. Vom Kunden wird sich der Anbieter das Recht einräumen lassen, dass er seine IT-Services auch aus dem Ausland oder von einem anderen Cloud-IT-Anbieter beziehen darf.
Heißes Thema Datenschutz
Die Vorschriften des Datenschutzes stellen die Virtualisie-rungsbestrebungen des Cloud Computing vor hohe Anforderungen - vor allem dann, wenn personenbezogene Daten jenseits der deutschen Grenzen übertragen werden. Gemäß Paragraf 4b Absatz 2 Satz 2 BDSG setzt die Übermittlung personenbezogener Daten in einen Drittstaat voraus, dass dieser ein "angemessenes" Schutzniveau gewährleistet. Sollten die gesetzlichen Regelungen dies gewährleisten, ist noch zu fragen, ob das jeweilige Unternehmen den gesetzlichen Normen Folge leistet oder nicht.
Ergibt die Prüfung hingegen, dass diese Region kein angemessenes Schutzniveau hat, greift der Paragraf 4c BDSG ein. Dort ist eine Reihe von Ausnahmen aufgeführt, die eine Übermittlung auch an Stellen zulassen, die kein ausreichendes Datenschutzniveau gewährleisten. Werden Daten ins Ausland übertragen oder ausgelagert, obwohl die Empfangsstelle weder über ein angemessenes Datenschutzniveau verfügt noch eine Ausnahme für sich reklamieren kann, so begeht der Anbieter eine Ordnungswidrigkeit. Darüber hinaus kann sogar der Tatbestand einer Straftat nach Paragraf 44 BDSG erfüllt sein.
Die USA verfügen über kein einheitliches Datenschutzrecht. Vielmehr wurden sporadisch sektorale Datenschutzgesetze erlassen (beispielsweise der Video Protection Act). Insgesamt wird in den USA auf den "Selbstregulierungsansatz" vertraut, der sich auf eine freiwillige Selbstverpflichtungen der Unternehmen stützt. Staatliche Kontrolle findet, von Ausnahmen abgesehen, nicht statt. Im Ergebnis wird man also den USA ein angemessenes Datenschutzniveau absprechen müssen.
Das würde jedoch den transatlantischen Geschäftsverkehr nicht nur im Bereich Cloud Computing erheblich stören. Deshalb wurde ein Dialog zwischen dem amerikanischen Handelsministerium (U.S.DOC) und der EU-Kommission (Generaldirektion XV) initiiert - mit dem Ziel, einen Ausweg aus dieser Zwickmühle zu finden. Ergebnis der Bemühungen ist das "Safe Harbor"-Übereinkommen vom 27. Juli 2000.
Gerichtsstand und Rechtswahl
Die Rechenzentren, von denen aus das Cloud Computing betrieben wird, können weltweit verstreut sein. Sollte es zu Streitigkeiten kommen, ist die Frage nach dem jeweiligen zuständigen Gerichtsstand deshalb von erheblicher Bedeutung. Die rechtlichen Fragen der Cross-Border-Geschäfte werden durch das Internationale Privat Recht (IPR) beantwortet. Das ist der Teil des nationalen Rechts, der entscheidet, welches (materielle) Privatrecht inländische Behörden und Gerichte auf einen Sachverhalt mit Auslandsberührung anzuwenden haben.
Demnach behalten in Deutschland geschlossene Verträge auch im Ausland ihre Gültigkeit - es sei denn, sie verstießen gegen lokales Landesrecht. Davon abgesehen sind die Vertragspartner in Deutschland nach Artikel 27 Absatz 1 Satz 1 EGBGB in ihrer Rechtswahl grundsätzlich frei. Sie können den Vertrag auch wirksam einem anderen Recht unterstellen, zu dem er sonst keine Beziehung aufweist, also beispielsweise einem neutralen Recht wie dem der Schweiz. Eingeschränkt ist die Rechtswahl hingegen bei Verbraucherverträgen (Artikel 29 Absatz 1 EGBGB), und Arbeitsverträgen (Artikel 30 Absatz 1 EGBGB).
Praktisch könnten die Vertragsparteien in den USA einen Cloud-Vertrag schließen und ihn dann dem deutschen Recht unterstellen. Allerdings gelten unabhängig von der Rechtswahl - kraft Sonderanknüpfung nach Artikel 34 EGBGB - in jedem Fall die zwingenden Vorschriften des deutschen Rechts, die den Sachverhalt ohne Rücksicht auf das Vertragsstatut regeln. Zudem kommen nach Artikel 27 Absatz 3 EGBGB auch die zwingenden Vorschriften einer anderen Rechtsordnung zur Anwendung, wenn der Sachverhalt nur zu dieser Rechtsordnung Beziehungen aufweist. Bei einem Konflikt zwischen den verschiedenen zwingenden Vorschriften gehen die des deutschen Rechts vor. (qua)
Fazit
Cloud Computing mag ein neues Geschäftsmodell sein, doch aus rechtlicher Sicht steckt dahinter nur eine Bündelung von bereits heute bekannten technischen Verfahren. Eine Herausforderung stellt die hohe Internationalisierung/Globalisierung der Clouds dar. Deshalb muss bei der Vertragsgestaltung Augenmerk auf die Wahl des Gerichtsstands und des anzuwendenden Rechts gelegt werden. Trotz der freien Wahl des Rechts und des Gerichtsstands ist jeweils das zwingende Recht in dem Land zu berücksichtigen, wo sich die Daten oder einer der Vertragsparteien befinden. Deshalb bedarf es rechtlicher Konzepte, die diesen erhöhten Anforderungen gerecht werden (siehe Datenschutz nach dem Safe-Harbor-Prinzip). Allerdings sollten sich die Kunden an den Gedanken gewöhnen, dass ihre Daten auch auf fremde Server und ins Ausland gelangen. Wenn die Sicherheits- und Qualitätsstandards eingehalten werden, ist dagegen nichts einzuwenden.