Vertragsrechtliche Fragen des Cloud Computing

InhaltsVerZeichnis

I. Einführung Cloud Computing
1. Grundlagen des Cloud Computings
a. Technische Grundlagen
b. Formen des Cloud Computings
c. Private und Public Cloud
d. Unterschied zum klassischen IT-Outsourcing

II. Vertragsrechtliche Probleme beim Cloud Computing
1. Allgemeine Probleme
a. Anwendbares Recht
b. Vertragstypologie
c. SLAs – Besonderheiten im Cloud Computing?
d. Datensicherheit und Datenschutz; Vertraulichkeit
e. Eskalation, Notfall und Exit Management
f. Verträge des Anbieters mit Zulieferern
2. Urheberrechtliche Probleme
a. Internationales Urheberrecht
b. Handlungen des Cloud Anbieters
c. Handlungen des Nutzers
3. Datenschutzrechtliche Probleme
a. Anwendbares Recht
b. Auftragsdatenverarbeitung
c. Funktionsübertragung
d. EU-Cloud
e. Weltweite Cloud
4. IT-Sicherheit
5. Compliance
a. Organisationspflichten
b. Investigative Unterstützung
c. Steuerrechtliche Buchführungspflicht
d. Handelsrechtliche Buchführungspflicht
6. Regulatorische Vorgaben in Spezialgebieten
a. Finanzdienstleistungen
b. Berufsgeheimnisträger

III. Ausblick / Fazit

I. Einführung Cloud Computing

Cloud Computing – dem Rechnen in der Wolke – begegnet nicht nur Zuspruch seitens Unternehmen die ihre IT, oder Teile hieraus, in die Cloud verlagern möchten um somit Kosten einsparen zu können, sondern auch rechtliche und sicherheitstechnische Bedenken^[1]. Bestehende deutsche Gesetze erschweren derzeit die rechtskonforme Umsetzung von Cloud-Diensten. Ob und inwieweit Cloud Computing tatsächlich nach derzeitigem Stand für Unternehmen rechtlich nutzbar gemacht werden kann, soll im Folgenden erörtert werden. Insbesondere soll hierbei das Augenmerk auf die vertragsrechtlichen Probleme beim Cloud Computing gerichtet werden.

1. Grundlagen des Cloud Computings

Zunächst einmal ist fraglich, was unter dem Begriff Cloud Computing zu verstehen ist. In der Literatur wird Cloud Computing häufig als IT-Angebot umschrieben, welches es ermöglicht, eine oder mehrere IT-Dienstleistungen wie Rechenleistung, Hintergrundspeicher, Entwicklungsumgebungen, Anwendungssoftware oder gar komplette Arbeitsumgebungen jederzeit, netzbasiert, schnell und dem tatsächlichen Bedarf angepasst sowie nach tatsächlicher Nutzung abrechenbar zu beziehen^[2].

a. Technische Grundlagen

Für den Anbieter von Cloud-Diensten stellt das Angebot erhebliche technische Herausforderungen an diesen. Dabei greift der Anbieter auf eine Vielzahl von virtualisierten Rechnersystemen zu und verwaltet die Verteilung an die einzelnen Nutzer. Buyya/Yeo/Venugopal^[3] definieren daher die Cloud wie folgt:

„A Cloud is a type of parallel and distributed system consisting of a collection of interconnected and virtualized computers that are dynamically provisioned and presented as one or more unified computing resources based on service-level agreements established through negotiation between the service provider and consumers”

Die Einzelheiten der Verteilungsprozesse soll hier jedoch nicht weiter vertieft werden. Beispiele für Cloud Computing sind zum Beispiel Amazon EC2^[4], Microsoft Azure^[5] und die Google AppEngine^[6].

b. Formen des Cloud Computings

Cloud Computing tritt in unterschiedlichen Formen auf. Unterschieden werden die Cloud-Dienste grundsätzlich in drei Kategorien. Dem Software as a Service (SaaS), Platform as a Service (PaaS) sowie Infrastructure as a Service (IaaS). Hinzu kommt neuerdings noch Data Storage as a Service (DaaS), bei welchem es sich jedoch nach Auffassung des Verfassers um eine Unterart des IaaS handelt.

aa. Software as a Service (SaaS)

Bei Software as a Service handelt es sich um das Anbieten von Programmen und Applikationen über das Internet, ohne dass die jeweiligen Programme bei dem Nutzer lokal gespeichert werden müssen^[7]. Hierbei sind dem Angebot keine Grenzen gesetzt. Als Beispiele seien hier z.B. Google Docs^[8] oder das iWork.com-Modell von Apple^[9] genannt.

bb. Plattform as a Service (PaaS)

Bei PaaS wird Software-Entwicklern eine Laufzeit und gegebenenfalls eine Entwicklungsumgebung zur Verfügung gestellt, die dazu genutzt werden kann, Applikationen auf der Plattform zu entwickeln und auszuführen^[10]. Dabei ist in diesem Zusammenhang besonders vorteilhaft, dass viele Funktionalitäten wie beispielsweise Mandantenfähigkeit, Skalierbarkeit, Zugriffskontrolle, Datenbankzugriffe etc. von der Plattform bereit gestellt werden. Beispiele hierfür sind die eingangs erwähnte Plattform von Microsoft^[11] und force.com von salesforce.com^[12].

cc. Infrastructure as a Service (IaaS) / Data Storage as a Service (DaaS)

Bei IaaS und DaaS warden dem Kunden Hardwarekomponenten, z.B. Speicherplatz, CPU, Netze etc. als Service angeboten^[13]. Bekanntestes Beispiel für die Bereitstellung von Speicherplatz ist Amazons Simple Storage Service^[14] (kurz Amazon S3).

c. Private und Public Cloud

Um später die vertragsrechtlichen Probleme aufzeigen zu können, bedarf es zudem noch der Unterscheidung zwischen Public und Private Cloud. In einer Public Cloud können die angebotenen Services von jedermann genutzt werden wohingegen bei einer Private Cloud die Services als auch die Infrastruktur ausschließlich einer Institution unterstehen und von dieser exklusiv genutzt werden kann^[15]. Sofern aus einer Private Cloud Dienste einer Public Cloud heraus genutzt werden spricht man von einer Hybrid Cloud^[16]. Letztendlich gibt es noch die virtuelle private Cloud. Hierbei werden die Vorteile der privaten Cloud mit den Vorzügen privater Rechenzentren kombiniert^[17].

d. Unterschied zum klassischen IT-Outsourcing

Als letzte Vorfrage ist letztendlich noch zu klären, ob und wenn ja wie sich Cloud Computing von klassischem IT-Outsourcing unterscheidet.

Beim klassischen IT-Outsourcing werden Arbeits- oder Geschäftsprozesse eines Unternehmens entweder komplett oder teilweise zu externen Dienstleistern ausgelagert. Die Nutzung von Cloud Computing gleicht in vielem dem Outsourcing, jedoch kommen hier noch ein paar Besonderheiten hinzu, welche es beim Cloud Computing zu berücksichtigen gilt. So sind Cloud Services innerhalb viel kürzerer Zeit sowohl nach oben als auch nach unten dynamisch skalierbar und können somit auf den tatsächlichen Bedarf relativ schnell angepasst werden. Weiterhin erfolgt die Steuerung der in Anspruch genommenen Dienste in der Regel über eine WebSchnittstelle durch den jeweiligen Cloud-Nutzer selber. Dieser kann daher selbständig die genutzten Dienste auf seinen eigenen Bedarf anpassen. Auch sind durch die beim Cloud-Computing genutzten Techniken neue Möglichkeiten dahingehend eröffnet, die IT-Leistung dynamisch über mehrere Standorte zu verteilen. Dabei kommt eine Verteilung sowohl auf inländischen als auch auf ausländischen Servern in Betracht, was womöglich zu erheblichen rechtlichen Schwierigkeiten führen könnte. Letztendlich nutzen bei einer Public Cloud mehrere Nutzer eine gemeinsame Infrastruktur, weshalb es daher vorkommen kann, dass sich mehrere virtuelle Server eine physische CPU teilen.

Diese technischen Unterschiede führen möglicherweise zu rechtlichen Problemen, welche beim klassischen IT-Outsourcing so nicht auftreten. Ob man aller Probleme durch vertragliche Vereinbarungen Herr werden kann wird nun folgend untersucht werden.

II. Vertragsrechtliche Probleme beim Cloud Computing

1. Allgemeine Probleme

a. Anwendbares Recht

Aufgrund der oben dargestellten Tatsache, dass sich Cloud-Dienste überall auf der Welt befinden und angeboten werden können, stellt sich die Frage, welches Recht welchen Staates zur Anwendung auf die jeweiligen Verträge kommen soll.

Gemäß Artikel 3 Absatz 1 der Verordnung (EG) Nr. 593/2008 des europäischen Parlaments und des Rates vom 17.6.2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht^[18] unterliegt der Vertrag demjenigen Recht, welches von den Parteien vereinbart wurde. Die Parteien haben demnach eine freie Rechtswahlmöglichkeit, wobei gemäß Artikel 3 Absatz 2 der ROM-I-VO diese einmal getroffene Rechtswahl auch jederzeit wieder geändert werden kann.

Sofern die Parteien keine Rechtswahl getroffen haben, gilt gemäß Artikel 4 Abs. 1 lit. b) der ROM-I-VO das Recht des Staates, in welchem der Dienstleister seinen gewöhnlichen Aufenthalt hat^[19]. Nicht hingegen soll es darauf ankommen, wo die Dienste letztendlich tatsächlich erbracht werden. Demnach spielt es keine Rolle, wo sich die Serverstandorte befinden^[20]. Diese Vermutungsregel kann indes dann schwierig werden, wenn ein oder mehrere Anbieter von Cloud-Dienstleistungen nicht nur diesen Dienst virtuell anbieten, sondern selber zudem lediglich einen virtuellen Firmensitz haben^[21]. Dann muss letztendlich doch geklärt werden, wo die Dienste tatsächlich erbracht werden^[22]. Es ist folglich bei gewerblichen Cloud-Diensten dringend darauf zu achten, vertragliche Regelungen hinsichtlich des anwendbaren Rechts zu treffen.

Gegenüber Verbrauchern ist gemäß Artikel 6 Abs. 1 der ROM-I-VO auf das Recht ihres gewöhnlichen Aufenthaltes abzustellen. Des Weiteren sind die Verbraucherschutzvorschriften des jeweiligen gewählten Rechts und des Staates des gewöhnlichen Aufenthaltes des Verbrauchers dem Günstigkeitsvergleich unterworfen^[23]. Dies bedeutet, dass die Rechtswahl nicht dazu führen darf, dass der Verbraucher benachteiligt wird. Um dies festzustellen, wird das gewählte Recht mit demjenigen Recht verglichen, welches ohne Rechtswahl auf den Vertrag anzuwenden wäre. Ist ein anderes Recht als das des gewöhnlichen Aufenthalts des Verbrauchers gewählt worden, so sind dennoch die Bestimmungen dieses Rechts auf den Vertrag anzuwenden, von denen nicht durch Vereinbarung abgewichen werden darf, Art. 6 Abs. 2 Satz 2 ROM-I-VO. Von diesem Prinzip der Begünstigung des Verbrauchers gibt es jedoch Ausnahmen. Es betrifft z.B. gemäß Art. 6 Abs. IV lit. a) ROM-I-VO solche Dienstleistungsverträge nicht, bei denen die Dienstleistung für den Verbraucher ausschließlich in einem Staat erbracht wird, der nicht der Staat seines gewöhnlichen Aufenthaltes ist. Somit ist auch bei Verbraucherverträgen dazu zu raten, eine wirksame Rechtswahlklausel in die Verträge aufzunehmen.

Deliktische Ansprüche richten sich nach Artikel 4 Abs. 2 der Verordnung (EG) Nr. 864/2007 des europäischen Parlaments und des Rates vom 11.7.2007 über das auf außervertragliche Schuldverhältnisse anzuwendende Recht^[24] und somit nach dem Erfolgsort^[25], sofern der Cloud-Anbieter und der Nutzer im selben Staat residieren^[26]. Sofern letzteres der Fall sein sollte, so gilt das Recht des Staates, in welchem beide Vertragsparteien ihren gewöhnlichen Aufenthalt haben.

Sofern auf den Erfolgsort abzustellen ist gilt, dass derjenige Ort als Erfolgsort anzusehen ist, bei welchem in das geschützte Rechtsgut eingegriffen wurde^[27]. Dies dürfte bei Cloud-Diensten jeweils der Serverstandort sein, auf welchem sich die Daten zum Zeitpunkt des Eingriffs befunden haben^[28]. Bei Cloud-Computing Diensten liegen die Daten jedoch nicht auf einem bestimmten Server, so dass der Haupt- oder Zielrechner nicht eindeutig lokalisiert werden kann. Dies kann sodann dazu führen, dass nach der sogenannten „Mosaikbeurteilung“ alle Rechte der Staaten zur Anwendung gelangen, in welchen einer der Server betroffen ist^[29].

Diesem zumeist unglücklichen und unbefriedigenden Ergebnis kann man zumindest bei der gewerblichen Cloud-Nutzung mit einer vorherigen Rechtswahl gemäß Artikel 14 Abs. 1 lit b) ROM-II-VO begegnen. Dies gilt indes nicht für Ansprüche wegen Verletzung geistiger Eigentumsrechte^[30]. Bei diesen geistigen und gewerblichen Schutzrechten gilt das Territorialitätsprinzip. Dies bedeutet letzten Endes, dass Nutzungsrechte für die in der Cloud eingesetzte Software für alle Rechtsordnungen einzuholen sind, in welchen Nutzungshandlungen auftreten können. Bei einer Rechtsverletzung steht es den Rechteinhabern gemäß Artikel 8 ROM-II-VO zudem frei, nach der Rechtsordnung vorzugehen, in welchem eine Nutzungshandlung feststellbar ist (Schutzlandprinzip)^[31]. Da gemäß Artikel 8 Abs. 3 ROM-II-VO eine Rechtswahl bei der Verletzung von Urheberrechten sowie der Verletzung von Patent- und Kennzeichenrechten ausgeschlossen ist, ist es dringend erforderlich bei der Vertragsgestaltung bereits präzise materiell-rechtliche Regelungen aufzunehmen, die den Umfang der Nutzungsrechteübertragung betreffen.

b. Vertragstypologie

Die rechtliche Einordnung der Verträge zwischen Cloud-Anbietern und Nutzern ist ebenfalls von entscheidender Bedeutung. Nicht nur, dass diese Einordnung notwendig dafür ist, welche Mängelgewährleistungsrechte letztendlich anwendbar sind, sondern sie ist auch für die Auslegung des Vertrages und das Ausfüllen von möglichen Lücken im Vertrag mit den gesetzlichen Regelungen entscheidend. Bei der Vertragsgestaltung ist daher das Augenmerk besonders hierauf zu lenken und die passenden Klauseln zu finden.

Bei Cloud-Computing Verträgen wird es sich in aller Regel um Verträge handeln, welche nicht einem bestimmten Vertragstypus zuzuordnen sind – da sich die einzelnen Teilleistungen zu sehr voneinander unterscheiden^[32], so dass es sich um sogenannte typengemischte Verträge handelt^[33]. Daher ist folglich für jeden einzelnen Vertragsteil auf den Vertragstyp abzustellen, welcher den rechtlichen oder wirtschaftlichen Schwerpunkt bildet^[34].

Somit können bei Cloud Computing Services verschiedene Arten von Verträgen auftauchen. Nach der Rechtsprechung des BGH^[35] ist die Bereitstellung von Softwareanwendungen für den Kunden zur Online-Nutzung über das Internet (Application-Service-Providing (ASP)) als entgeltliche Gebrauchsüberlassung zu qualifizieren und somit dem Mietvertragsrecht unterstellt^[36]. Das Zur-Verfügung-Stellen von Speicherplatz ist ebenfalls als Mietvertrag zu sehen^[37]. Hingegen soll die Bereitstellung einer bestimmten Bandbreite als Dienstvertrag zu qualifizieren sein^[38]. Die Pflege von Software im Sinne der Weiterentwicklung und Aktualisierung – nicht hingegen der Mängelbeseitigung -, die Bereitstellung von Rechenleistung und die Unterstützung bei der Nutzung der Cloud sind ebenfalls dem Dienstvertragsrecht zuzuordnen^[39]. Letztendlich können bei Cloud Computing Services auch Werkverträge auftreten, so z.B. die Installation, Implementierung und Anpassungsleistungen^[40] aber auch Backup-Lösungen und Supportdienste^[41].

Es ist daher genauestens auf den jeweiligen Vertragstyp zu achten und die Klauseln sind entsprechend den gesetzlichen Vorgaben anzupassen. Andernfalls könnte eine Klausel gemäß § 307 Abs. 2 Nr. 1 BGB unwirksam sein, soweit sie mit wesentlichen Grundgedanken der gesetzlichen Regelung, von welcher abgewichen wird, nicht vereinbar ist. Dies wäre z.B. dann der Fall, wenn aufgrund der fehlerhaften Vertragstypisierung ein falsches Mängelgewährleistungsrecht angenommen und in Klauseln umgesetzt wird.

[...]

^[1] http://www.heise.de/newsticker/meldung/Wie-sicher-ist-Cloud-Computing-1103761.html (abgerufen am 12.10.2010)

^[2] Nägele/Jacobs, ZUM 2010, 281 (281); Schulz, in Taeger/Wiebe (Hrsg.), Inside the Cloud, Neue Herausforderungen für das Informationsrecht, S. 404f.

^[3] Buyya/Yeo/Venugopal, Market-Orientated Cloud Computing: Vision, Hype, and Reality for Delivering IT Services as Computing Utilities, S.2 http://arxiv.org/ftp/arxiv/papers/0808/0808.3558.pdf

^[4] Amazon Elastic Compute Cloud; vgl. http://aws.amazon.com/ec2

^[5] Windows Azure Platform (Microsoft’s Cloud Service Platform; vgl: http://www.microsoft.com/windowsazure/ (abgerufen am 12.10.2010)

^[6] http://code.google.com/intl/de/appengine/ (abgerufen am 12.10.2010)

^[7] Nägele/Jacobs, ZUM 2010, 281 (281)

^[8] http://www.google.com/google-d-s/intl/de/documents/ (abgerufen am 12.10.2010)

^[9] http://www.apple.com/de/iwork/?cid=APP-NAUS-IWORK-090702-00005&cp=APP-IWORK-00005&sr=IWORK.COM (abgerufen am 12.10.2010)

^[10] Nägele / Jacobs, ZUM 2010, 281 (282)

^[11] Windows Azure Platform (Microsoft’s Cloud Service Platform; vgl: http://www.microsoft.com/windowsazure/ (abgerufen am 12.10.2010)

^[12] http://www.salesforce.com/de/ (abgerufen am 12.10.2010)

^[13] Nägele/Jacobs, ZUM 281 (282)

^[14] http://aws.amazon.com/de/s3/ (abgerufen am 12.10.2010)

^[15] Nägele/Jacobs, ZUM 2010, 281 (282)

^[16] Michelmann, Anforderungsanalyse und Bewertung von Cloud Computing-Lösungen, S. 5

^[17] Bayer, Amazon oder IBM – wer regiert die Cloud?, Computerwoche 8.10.2010, abrufbar unter http://www.computerwoche.de/management/cloud-computing/1926778/index.html (abgerufen am 12.10.2010)

^[18] Im Folgenden ROM-I-VO

^[19] Schulz/Rosenkranz, ITRB 2009, 232 (236)

^[20] Schulz/Rosenkranz, ITRB 2009, 232 (236); noch zu Artikel 28 EGBGB: Pfeiffer/Weller, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, 2008, Art. 28 EGBGB Rn. 4; Niemann/Paul, K&R 2009, 444 (446); Nordmeier, MMR 2010, 151 (152)

^[21] Niemann/Paul, K&R 2009, 444 (446)

^[22] Niemann/Paul, K&R 2009, 444 (446); noch zu Artikel 28 EGBGB: Pfeiffer/Weller, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, 2008, Art. 28 EGBGB Rn. 4

^[23] Nägele/Jacobs, ZUM 281 (283); Schulz/Rosenkranz, ITRB 2009, 232 (236)

^[24] Im Folgenden ROM-II-VO

^[25] Ausführlich zur Bestimmung des Erfolgsortes bei Internetdelikten unter dem Gesichtspunkt der internationalen Zuständigkeit Pichler, in Hoeren/Sieber (Hrsg.), Handbuch Multimedia-Recht, 23. Auflage 2010, Teil 25 Internationale Gerichtszuständigkeit im Online-Bereich, Rn. 195 ff.

^[26] Schulz/Rosenkranz, ITRB 2009, 232 (236)

^[27] Nordmeier, MMR 2010, 151 (153)

^[28] Nordmeier, MMR 2010, 151 (153)

^[29] Schulz/Rosenkranz, ITRB 2009, 232 (236)

^[30] Schulz/Rosenkranz, ITRB 2009, 232 (236)

^[31] Schulz/Rosenkranz, ITRB 2009, 232 (236)

^[32] Niemann/Paul, K&R 2009, S. 444 (447)

^[33] Niemann/Paul, K&R 2009, 444 (447); Pohle/Ammann, CR 2009, S. 273 (275); Schulz in Taeger/Wiebe (Hrsg.), Inside the cloud, Neue Herausforderungen für das Informationsrecht, S. 406; Zur rechtlichen Behandlung gemischter Verträge siehe MüKo/Emmerich, § 311 Rn. 42ff.

^[34] Palandt-Grüneberg, BGB, 68. Auflage 2009, vor § 311 Rn. 25f

^[35] Überblick zuletzt im BGH, Urteil vom 4.3.2010, AZ III ZR 79/09 = MMR 2010, S. 398 = NJW 2010, 1449

^[36] BGH, Urteil vom 4.3.2010, AZ III ZR 79/09 = MMR 2010, S. 398 (399); BGH Urteil vom 15.11.2006 – XII ZR 120/04 – NJW 2007, 2394 f. RN. 11 ff; Klett/Pohle, DRiZ 2007, S. 198 (203); a.A. Redeker, IT-Recht, 4. Auflage, Rn. 987ff welcher die Einordnung im Dientsvertragsrecht sieht

^[37] Niemann/Paul, K&R 2009, S. 444 (447); Glossner in Bräutigam (Hrsg.), IT-Outsourcing, 2004, S. 203, 229

^[38] Niemann/Paul, K&R 2009, S. 444 (447); Schuppert, CR 2000, S. 227 (229); a.A. Müller/Bohne, Providerverträge, 2005, § 2 Ziffer 2 (für werkvertragliche Elemente)

^[39] Niemann/Paul, K&R 2009, S. 444 (447)

^[40] Niemann/Paul, K&R 2009, S. 444 (447); Nägele/Jacobs, ZUM 2010, S. 281 (284)

^[41] Redeker, IT-Recht, Rn.649