Fehler vermeiden

Vertragsrisiken im Cloud Computing

04.02.2010
Von Stefan Wendt

Verantwortung für Datenschutz bleibt beim Kunden

Personen- wie unternehmensbezogene Daten werden in der Wolke nur noch auf virtuellen Servern des Providers verarbeitet und gespeichert. Mitunter werden sie dann quer über die Welt verteilt. Auch wenn es damit im Gegensatz zu ASP und Outsourcing keine Hard- und Softwarestruktur mehr gibt, die dem Kunden physisch zugeordnet werden kann, bleiben die gesetzlichen Anforderungen zum Datenschutz bestehen. Als "Herr der Daten", wie es das Bundesdatenschutzgesetz formuliert, ist der Kunde in letzter Konsequenz für die Authentizität, Integrität, Verfügbarkeit und Vertraulichkeit der Daten voll verantwortlich. Das verpflichtet ihn per se zur "sorgfältigen Auswahl" seines Cloud-Providers, so die Gesetzesvorgabe - wie übrigens die Datenschutznovelle vom 1. September 2009 nochmals bestätigt hat.

Aufträge für das Cloud Computing sollten daher zumindest rudimentär beschreiben, wie die konkreten Datenverarbeitungsprozesse des Providers aussehen, technische und organisatorische Maßnahmen zum Datenschutz beschreiben und im Einzelnen festlegen, ob und unter welchen Bedingungen gegebenenfalls Dritte zum Zuge kommen. Vor allem mit Blick auf den letzten Punkt zeigt die Praxis, dass die Konzern- und Gesellschaftsstrukturen der einzelnen Provider dem Kunden häufig nicht transparent vermitteln, wo und von wem seine Daten letztlich verarbeitet werden.

In jedem Fall sollte der Vertrag ausdrücklich die Weisungsbefugnis des Kunden formulieren und absichern. So könnte beispielsweise festgelegt sein, dass ein Datentransfer über die EU-Landesgrenzen hinaus nur dann gestattet ist, wenn in dem betreffenden Drittstaat ein mit den EU-Vorgaben vergleichbares "angemessenes Datenschutzniveau" besteht. Denn auch hier sind Cloud-Kunden keinesfalls vor Überraschungen geschützt: Die USA zum Beispiel erfüllen diese Anforderungen aus datenschutzrechtlicher Sicht zunächst nicht. Amerikanische Provider können dieses Defizit jedoch wettmachen, indem sie sich mit ihren Cloud Services den so genannten Safe-Harbour-Bestimmungen unterwerfen.

Die mit dem Cloud Computing verbundene Internationalität provoziert aber auch die Frage, welche Rechtsordnung und welcher Gerichtsstand im Streitfalle gelten sollen. Wer sein Recht durchsetzen will, sollte den Service-Provider - schon aus Kostengründen - in Deutschland verklagen können. Lässt sich das deutsche Recht nicht als das für den Vertrag gültige Recht vereinbaren, so sollte der Kunde wenigstens versuchen, den Partner auf das UN-Kaufrecht festzulegen.