Der Reiz, Kosten zu senken, ist verlockend und zwingt immer mehr IT-Verantwortliche dazu, Applikationen, Services und die Infrastruktur über einen Cloud-Computing-Provider zu betreiben. Während die Anbieter das neue Modewort "Cloud Computing" rege vermarkten, sind viele CIOs angesichts der in den Medien geführten Sicherheitsdiskussion verunsichert. Skepsis ist berechtigt, sagen Rechtsexperten, denn ohne ausreichende Vorbereitung verfängt man sich schnell in einem der vielen rechtlichen Fallstricke.
"Das zentrale Stichwort heißt Compliance", sagt Jan Pohle, Rechtsanwalt und Partner beim Düsseldorfer Büro von Taylor Wessing. Wer etwas in die Cloud auslagert, muss den gesetzlichen und auch den vom Unternehmen definierten Rechtsrahmen berücksichtigen. Das betrifft den Schutz von personenbezogenen Daten ebenso wie den Geheimnisschutz, also die Sicherung von Unternehmensinformationen, sowie die Verfügbarkeit und Sicherheit der Systeme und Anwendungen.
Bei Cloud Computing besteht generell ein gesteigertes Risiko gegenüber anderen Arten der Auslagerung wie Managed Services, Offshoring und Outsourcing, weil die Steuerung des Providers nicht mehr möglich ist und sich "die Anforderungen zur Einhaltung gesetzlicher und unternehmsinterner Compliancevorgaben damit graduell erhöhen", so Pohle.
Von der Wunschliste zum Vertrag
Was bedeutet das für die Vorgehensweise in der Praxis? "Zunächst einmal sollte jeder IT-Verantwortliche eine Art Wunschliste erstellen, welche IT-Anwendungen aus wirtschaftlichen und technischen Gründen zur Auslagerung für sein Unternehmen überhaupt in Frage kommen", sagt Rechtsanwalt Pohle. An dieser Stelle wird spätestens definiert, welche Daten und Informationen als kritisch eingestuft werden. Im zweiten Schritt wird - idealerweise unter Einbeziehung eines Rechtsexperten - überprüft, ob die Wunschliste aus Sicht realisierbar ist und inwiefern die Umsetzung im Zusammenhang mit den Kosten, dem Nutzen und dem Risiko opportun ist.
Im nächsten Schritt wird schließlich geprüft, wie sich das damit entstandene Grobkonzept in die Praxis umsetzen lässt. Die Suche nach einem passenden Dienstleister kann beginnen.
Pohle rät dazu, einen Provider zu wählen, der dem Unternehmen garantiert, dass seine Daten auf Servern in Deutschland oder innerhalb der EU bleiben. Einige Provider bieten das an. Bei der Vorhaltung der Daten außerhalb der EU bestehen gesteigerte Risiken des Datenverlustes, der Spionage, und es können Probleme bei der Verfügbarkeit der Daten auftreten.
Die EU-weite Einschränkung entspricht auch der Auffassung des deutschen Datenschutzes: In seinem Jahresbericht "Datenschutz und Informationsfreiheit" stellt der Berliner Datenschutzbeauftragte Alexander Dix fest, dass die Cloud-basierte Verarbeitung von Personendaten außerhalb der EU nach deutschem Datenschutzrecht nicht zulässig ist. "Die datenschutzrechtlich für die Datenverarbeitung verantwortlichen, z. B. deutschen Kundinnen und Kunden, müssen sich davon überzeugen, dass die Datenverarbeitung nicht in einem Drittland ohne angemessenes Datenschutzniveau, z. B. in den USA, China oder Japan, stattfindet".
Doch auch das Steuerrecht schränkt die weltweite Auslagerung der Daten durch den Provider ein, indem es fordert, dass Finanzbehörden ein sofortiger Zugriff auf Daten ermöglicht werden muss. Bei Servern außerhalb der EU kann das nicht hinreichend gewährleistet werden.
Standardverträge für den Mittelstand
Während große, vorwiegend börsennotierte Unternehmen über eigene Rechtsabteilungen verfügen, die in der Lage sind, individuelle Verträge mit den Providern auszuhandeln, laufen mittelständische Unternehmen Gefahr, Cloud Computing ohne die notwendige Sorgfalt einzuführen. "Noch hat kaum ein mittelständischer IT-Leiter das Thema Cloud Computing rechtlich auf dem Schirm", so Pohle, doch der Markt wächst und der wirtschaftliche Druck auf den Mittelstand zwingt diesen, flexiblere und wirtschaftlich sinnvollere IT-Lösungen einzusetzen. Eine individuelle Vertragsgestaltung ist meist zu aufwändig und weder vom Unternehmen noch vom Anbieter realisierbar. Ähnlich wie beim Outsourcing haben einige Provider daher inzwischen vertragliche Standards entwickelt und bieten diese für gängige Anwendungen an. Wer individuelle Anwendungen betreibt, muss im Zweifelsfall einige Punkte von der Wunschliste streichen.
Was aus rechtlicher Sicht in jedem Fall im Vertrag nicht fehlen darf, ist die Sicherstellung notwendiger Nutzungsrechte von urheberrechtlich geschützten Programmen und Inhalten. Pohle: "Das ist im internationalen Umfeld ein erhebliches, aber lösbares Problem".
Was kostet die Rechtsberatung für Cloud Computing?
Entscheidet sich ein Unternehmen für Cloud Computing, will es in erster Linie Kosten reduzieren. Verzichtet es bei der Vorbereitung auf die Rechtsberatung, riskiert es im Konfliktfall empfindliche Verluste. Dies können finanzielle Einbußen durch Systemausfälle oder Lieferverzögerungen sein, aber auch Ansprüche aus Klagen bei Rechtsverletzungen sowie Imageschäden, wenn beispielsweise personenbezogene Daten verloren gehen oder über Dritte öffentlich gemacht werden.
"Die Kosten für eine Rechtsberatung kann man nur anhand von Erfahrungswerten schätzen", sagt Jan Pohle. Sie liegen in der Regel zwischen einem und drei Prozent des Transaktionsvolumens und werden normalerweise nach Zeitaufwand honoriert. Die Erfahrung zeige: "Je früher ein Jurist in den Prozess einbezogen wird, desto günstiger wird es für das Unternehmen".
"Den Kopf nicht in den Sand stecken"
Trotz der vielen Fallstricke bei Cloud Computing gibt es bislang kaum gerichtliche Auseinandersetzungen und einschlägige Urteile dazu. "Das liegt einerseits daran, dass es sich um ein relativ junges Geschäftsmodell handelt und die Bereitschaft zu streiten bei IT-Projekten in der Schieflage ohnehin gering ist", so Pohle. Bei einer "vernünftigen vertraglichen Vorbereitung", komme es andererseits aber auch seltener zu Konflikten. "Im Fall eines Falles versuchen die Betroffenen das Thema meist kaufmännisch zu lösen".
Cloud Computing ist nach Ansicht der großen Marktforschungsinstitute ein Zukunftsmarkt mit weiterhin starkem Wachstum. Wer die Vorteile nutzen will, muss die Relevanz für sein Unternehmen prüfen. Auch wenn die Rechtslage äußerst komplex ist, rät Pohle, "nicht den Kopf in den Sand zu stecken" und damit die wirtschaftlichen Vorteile für sein Unternehmen zu verspielen. Aus rechtlicher Sicht gibt es, so Pohle weiter, fast immer eine Lösung. Und sollte ein Vertragswerk mal "nicht passend sein, so wird es passend gemacht".