Cloud Computing

Cloud Computing ist derzeit ein wichtiger Trends in der Informations- und Kommunikationstechnologie (IKT). Cloud Computing bietet Unternehmen die Möglichkeit, Software, Speicherkapazitäten und Rechenleistung kundenspezifisch über das Internet zu beziehen. Das ist an sich (technisch) nichts Neues.

Mit Cloud Computing ist eine bedarfsgerechte und flexible Software-/daten-Nutzung möglich, bei der nach Funktionsumfang, Nutzungsdauer und Anzahl der Nutzer abgerechnet wird. Der ortsunabhängige Zugang wird durch verschiedene Endgeräte (z. B. Laptop, Tablet-PC, Smart Phone) ermöglicht. Damit kann jederzeit auf die erforderlichen Informationen (z. B. E-Mails, Geschäftsanwendungen) zugegriffen werden. Für IT-Anbieter ergeben sich hieraus neue Geschäftsmodelle.

Die rechtlichen Aspekte des Cloud Computing umfassen Vertragsrecht (Gewährleistung, Haftung, Vertragsschluss, AGB), Wettbewerbsrecht, Datenschutzrecht sowie weitere Besonderheiten bezüglich einzelner Cloud-Computing Modelle.

Cloud Computing bringt erhebliche rechtliche Anforderungen mit sich, die sowohl Anbieter als auch Nutzer betreffen. Im Folgenden werden die zentralen Aspekte von Cloud Computing sowie die Nutzung von Cloud-Diensten dargestellt, einschließlich der Rechte und Pflichten, datenschutzrechtlicher Anforderungen, des Umgangs mit sensiblen Daten und der besonderen rechtlichen Herausforderungen bei internationalen Clouds.

1. Rechte und Pflichten der Beteiligten

1.1. Anbieter von Cloud-Diensten

Rechte:

• Vertragliche Gestaltung: Anbieter können die Bedingungen für die Nutzung der Cloud-Dienste in den Allgemeinen Geschäftsbedingungen (AGB) definieren.
• Vergütung: Anspruch auf Zahlung gemäß dem vereinbarten Vertrag.
• Eingeschränkte Haftung: Anbieter dürfen ihre Haftung im Rahmen des rechtlich Zulässigen einschränken, insbesondere für Datenverluste durch höhere Gewalt.

Pflichten:

• Datensicherheit: Anbieter sind verpflichtet, angemessene technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO zu treffen, um Daten vor Verlust oder unbefugtem Zugriff zu schützen.
• Einhaltung des Datenschutzrechts: Anbieter müssen die DSGVO, nationale Datenschutzgesetze und ggf. branchenspezifische Regelungen (z. B. Gesundheitsdatenschutz) beachten.
• Transparenz: Verpflichtung, Nutzer über die Datenverarbeitung zu informieren (z. B. durch Datenschutzerklärungen).

1.2. Nutzer von Cloud-Diensten

Rechte:

• Datenverfügbarkeit: Nutzer haben Anspruch auf die Verfügbarkeit und Integrität der gespeicherten Daten, soweit vertraglich vereinbart.
• Datenschutzrechte: Nutzer können Rechte wie Auskunft, Berichtigung und Löschung personenbezogener Daten geltend machen.

Pflichten:

• Verantwortung für eigene Daten: Nutzer müssen sicherstellen, dass die Daten, die sie in die Cloud hochladen, nicht gegen Gesetze (z. B. Urheberrechte oder Datenschutzgesetze) verstoßen.
• Vertragstreue: Einhaltung der vertraglich vereinbarten Bedingungen zur Nutzung der Cloud-Dienste.

2. Datenschutz

2.1. Anforderungen der DSGVO

• Rechtsgrundlage für die Datenverarbeitung (Art. 6 DSGVO): Die Verarbeitung personenbezogener Daten muss auf einer rechtlichen Grundlage beruhen, z. B. Einwilligung oder Vertragserfüllung.
• Auftragsverarbeitungsvertrag (Art. 28 DSGVO): Wenn der Cloud-Anbieter personenbezogene Daten im Auftrag des Nutzers verarbeitet, muss ein Vertrag über die Auftragsverarbeitung abgeschlossen werden.
• Ãœbertragung in Drittländer (Art. 44 ff. DSGVO): Datenübermittlungen in Länder außerhalb der EU sind nur zulässig, wenn ein angemessenes Datenschutzniveau gewährleistet ist (z. B. Standardvertragsklauseln, Angemessenheitsbeschlüsse).

2.2. Umgang mit besonders sensiblen Daten

• Gesundheitsdaten (Art. 9 DSGVO): Verarbeitung nur bei ausdrücklicher Einwilligung oder gesetzlicher Erlaubnis.
• Rechtsdaten und standesrechtliche Daten: Strengste Vertraulichkeitsanforderungen, insbesondere bei Anwälten, Ärzten und anderen Berufsgeheimnisträgern.
• Kryptografische Sicherung: Sensible Daten sollten verschlüsselt gespeichert werden, um Zugriff durch Unbefugte zu verhindern.

3. Urheberrecht und Nutzungsrechte

• Urheberrechte des Nutzers: Daten oder Inhalte, die Nutzer in die Cloud hochladen, bleiben deren geistiges Eigentum.
• Nutzungsrechte des Anbieters: Cloud-Anbieter benötigen in der Regel keine umfassenden Nutzungsrechte, es sei denn, sie bieten Dienste wie Datenanalysen an, die eine entsprechende Lizenz erfordern.
• Lizenzmodelle: Klärung, ob der Nutzer die Rechte an Software oder anderen urheberrechtlich geschützten Werken besitzt, die über die Cloud bereitgestellt werden.

4. Folgen von Datenlecks und deren Vermeidung

4.1. Folgen

• Haftung: Anbieter können haftbar gemacht werden, wenn ein Datenleck auf mangelhafte Sicherheitsmaßnahmen zurückzuführen ist.
• Strafen: DSGVO-Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.
• Reputationsverlust: Datenlecks können erhebliche Imageschäden für Anbieter und Nutzer verursachen.

4.2. Behebung

• Meldung von Datenlecks (Art. 33 DSGVO): Anbieter müssen Datenlecks innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden.
• Benachrichtigung betroffener Personen (Art. 34 DSGVO): Wenn das Leck ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellt.
• Technische Maßnahmen: Sofortige Ãœberarbeitung der Sicherheitsmaßnahmen zur Vermeidung weiterer Datenlecks.

4.3. Vermeidung

• Regelmäßige Audits: Sicherheitsüberprüfungen durch unabhängige Stellen.
• End-to-End-Verschlüsselung: Schutz der Daten während der Ãœbertragung und Speicherung.
• Schulungen: Sensibilisierung der Mitarbeiter für Datensicherheitsrisiken.

5. Clouds außerhalb der EU

• Probleme der Datenübertragung: Strengere Anforderungen durch den Wegfall des EU-US Privacy Shield. Nutzung von Standardvertragsklauseln erforderlich.
• Rechtliche Konflikte: Unterschiedliche Datenschutzstandards können zu rechtlichen Unsicherheiten führen.
• Alternativen: Nutzung europäischer Cloud-Anbieter, die den Anforderungen der DSGVO vollständig entsprechen.

6. Erforderliche Verträge

• Auftragsverarbeitungsvertrag (AVV): Regelung der Verantwortlichkeiten zwischen Nutzer und Anbieter.
• Service-Level-Agreement (SLA): Vereinbarung zu Verfügbarkeit, Sicherheit und Support.
• Vertraulichkeitsvereinbarung (NDA): Schutz sensibler Daten.

7. Beispiele

• Beispiel 1: Gesundheitsdaten: Ein Krankenhaus nutzt eine Cloud zur Speicherung von Patientendaten. Die Daten müssen verschlüsselt und nur mit Zustimmung der Patienten verarbeitet werden.
• Beispiel 2: Internationale Cloud: Ein Unternehmen speichert Daten in einer US-basierten Cloud. Es müssen Standardvertragsklauseln vereinbart und zusätzliche Schutzmaßnahmen ergriffen werden.
• Beispiel 3: Datenleck: Ein Anbieter wird gehackt, und Kundendaten werden veröffentlicht. Das Unternehmen meldet den Vorfall der Datenschutzbehörde und den betroffenen Kunden.

8. Alternativen

• Private Clouds: Unternehmen betreiben eigene Cloud-Umgebungen für maximale Kontrolle.
• Hybride Clouds: Kombination aus öffentlichen und privaten Clouds für spezifische Anwendungsfälle.
• On-Premise-Lösungen: Speicherung und Verarbeitung der Daten vor Ort, ohne Nutzung externer Anbieter.

Cloud Computing bietet enorme Vorteile, erfordert jedoch eine genaue Beachtung rechtlicher Rahmenbedingungen. Insbesondere bei sensiblen Daten ist ein sorgfältiger Umgang unverzichtbar, um rechtliche Risiken zu minimieren.