Besonders internationale Cloud-Dienste bergen reichlich rechtlichen Zündstof. Ein Kontakt in der Cloud oder ein Google-Kalender scheint auf den ersten Blick recht harmlos. Für deutsche Unternehmen birgt die Nutzung solcher Dienste jedoch ernsthafte Rechtsprobleme. Selbst Privatleute kann es teuer zu stehen kommen, wenn sie fremde (personenbezogene) Daten bei einem unsicheren Dienst parken und diese als Folge daraus in unbefugte Hände geraten.
Gerade Unternehmen sollten besonders gründlich prüfen, wem sie personenbezogene Daten anvertrauen. Ihnen droht nach § 43 des Bundesdatenschutzgesetzes (BDSG) für jeden Datenschutzverstoß im Extremfall ein Bußgeld bis zu 300 000 Euro.Darüber hinaus kann jeder mit zivilrechtlichen Unterlassungs- und gegebenenfalls Schadenersatzansprüchen konfrontiert werden, wenn ein Datenverlust oder -missbrauch durch die Nutzung eines unsicheren Dienstes zu beklagen ist.
Die Cloud-Dienst-Nutzung wird regelmäßig vertraglich geregelt – das betrifft natürlich auch die Haftung des jeweiligen Diensteanbieters. Gerade bei Gratisdiensten, wie sie z.B. Apple und Google anbieten, ist es oft nicht möglich, individuelle Verträge auszuhandeln. Entweder akzeptiert man die allgemeinen Geschäftsbedingungen (AGB) des Anbieters oder man verzichtet auf die Nutzung der Dienste. Beim Thema Datenschutz hat sich in den letzten Jahren einiges getan. Doch gerade wenn es um US-Cloud-Anbieter geht, schwebt trotz einer verbesserten Rechtslage immer noch ein Damoklesschwert über den Nutzern (vgl. Privacy Shield Artikel).
Sollten sie also über Formulierungen stolpern wie z.B.: „Daher verarbeiten wir Ihre personenbezogenen Daten gegebenenfalls auf einem Server, der sich außerhalb des Landes befindet, in dem Sie leben“, dann sollten Sie hellhörig werden, denn die Datenverarbeitung im Ausland unterliegt in Deutschland und in der europäischen Union besonderen Bestimmungen.

Für Firmen bildet das Bundesdatenschutzgesetz (BDSG) bereits die kritische Hürde bei der Entscheidung für einen Cloud-Dienst. Unter dieses Gesetz fallen personenbezogene (wie auch „personenbeziehbare“) Daten natürlicher Personen, sofern diese Daten nicht ausschließlich für persönliche oder familiäre Zwecke genutzt werden. Ebenso wie in der übrigen EU (mit Ausnahme Österreichs) üblich, bezieht sich dieser gesetzliche Datenschutz auch in Deutschland nicht auf Daten juristischer Personen (etwa Gesellschaften und Vereine).
Das BDSG schützt das Grundrecht auf informationelle Selbstbestimmung, d.h., jeder entscheidet selbst, welche persönlichen Daten wann, wo und für wen zugänglich sind. Sie dürfen also nur erhoben werden, wenn es gesetzlich ausdrücklich erlaubt ist oder der Betroffene seine Einwilligung erteilt hat (§ 4 Abs. 1 BDSG). Zusätzlich gilt es, sich bei der Datenerhebung auf das nötige Minimum zu beschränken und möglichst von Anonymisierung und Pseudonymisierung erhobener Daten Gebrauch zu machen.

Insel der Datenschutz-Seligkeit: Das “grüne Licht” für einen aus deutscher Sicht optimalen Datenschutzstandard herrscht nur in einem sehr kleinen Bereich der Welt.

In Deutschland definiert § 3 Abs. 1 BDSG personenbezogene Daten als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Darunter fallen neben Namen und Anschriften auch Telefonnummern, E-Mail- oder IP-Adressen. Besonders geschützt sind nach § 3 Abs. 9 BDSG Informationen über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit und das Sexualleben.
Cloud-Dienste, die Daten im Ausland speichern, machen die datenschutzrechtliche Situation kompliziert. Übertragungen geschützter Daten in Länder ohne angemessenes Datenschutzniveau sind nach deutschem Recht nämlich grundsätzlich unzulässig!

Für die Mitgliedsstaaten der EU wird ein angemessenes Datenschutzniveau unterstellt. Problematisch ist aber die Übermittlung in andere Länder. Die Europäische Kommission kann Länder bezeichnen, in denen das Datenschutzniveau angemessen ist. Das betrifft laut der Kommission derzeit nur Andorra, Argentinien, Canada (eingeschränkt), die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Jersey, Neu Seeland , die Schweiz und Uruguay. Dasselbe Niveau gesteht die EU Anbietern in den USA zu, sofern sie sich den Regeln des EU-US-Privacy-Shield unterworfen haben.
Eine aktuelle Liste solcher Unternehmen finden Sie hier: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

Nächstes Hindernis

Die nächste Hürde für Unternehmen betrifft die zentrale rechtliche Frage des Cloud Computing: Wie wird die Integrität und Vertraulichkeit der von den Nutzern gespeicherten oder bearbeiteten Daten gewährleistet? Diese Frage betrifft außer personenbezogenen Daten natürlich auch Geschäftsgeheimnisse oder Forschungsdaten.
Gibt es keine verpflichtenden internationale Standards zur Gewähr, dann bleiben nur verbindliche Vereinbarungen zwischen Nutzern und Anbietern. Es kommt dann darauf an, wie die Verträge zur Cloud-Nutzung gestaltet sind. Der Rechtscharakter eines Nutzungsvertrags für Cloud-Dienste ist als mögliche Mischung aus Miet-/Leihvertrag sowie Dienst- und/oder Werkvertrag hinreichend komplex einzusortieren. Er muss aber insbesondere Systempflege- und Fehlerbeseitigungsmaßnahmen, ebenso wie Angriffsabwehr und Störungsbehebung regeln. Für den Fall, dass es doch zu einem unberechtigten Zugriff kommt, sollten Details zur Haftung vereinbart werden. Letzteres erfolgt oft durch sogenannte Security-Service-Level-Agreements (SSLA).

Rechtlich gesehen stellen sich bei Cloud-Verträgen unter anderem Fragen nach Gewährleistungs- und Schadenersatzansprüchen. Auch Handhabung und Schutz von Urheberrechten sollten Gegenstand eines Nutzungsvertrags sein. Wer beispielsweise darüber nachdenkt, die Finanzbuchhaltung in einen Cloud-Dienst auszulagern, sollte die steuerrechtlichen Vorschriften im Auge haben.

Kritische Gesetze der Finanzverwaltung

Steuerlich relevante Daten sind nach § 146 Abs. 2 S. 1 der Abgabenordnung (AO) grundsätzlich nur im Inland aufzubewahren und zu führen. Wenn auch der E-Mail-Verkehr steuerlich relevant ist (beispielsweise Vertragsverhandlungen), darf man ihn normalerweise nicht über Dienste wie Google Mail abwickeln.
Nach § 146 Abs. 2a AO kann ein Steuerpflichtiger eine Bewilligung beantragen, die eine Aufbewahrung seiner Unterlagen in der europäischen Union oder im europäischen Wirtschaftsraum mit Amtshilfeabkommen (EWR) gestattet. Die Aufbewahrung außerhalb dieses Raums wird nur erlaubt, wenn es darum geht, unbillige Härten zu vermeiden. Die Voraussetzung ist dann aber, dass die Besteuerung nicht behindert wird und die Finanzbehörden ungehinderten Datenzugriff erhalten.

Auch für Kaufleute bestehen besondere Einschränkungen. So müssen z.B. ihre Buchungsbelege und Handelsbriefe im Inland aufbewahrt werden.
Steuerlich relevante Daten müssen nicht personenbezogen sein und damit dem BDSG unterliegen. Schon die Schwierigkeit, eine drohende, unbillige Härte plausibel zu machen, spricht jedoch dagegen iCloud und Google-Dienste für diese Daten zu nutzen.

Was tun?

Da das Rechtsproblem der grenzübergreifenden Datenauslagerung noch relativ jung ist, verwundert es nicht, dass es dazu noch wenig Rechtsprechung gibt. Insbesondere ist nicht klar, welche Bestimmungen in den AGB von Cloud-Diensteanbietern mit Sicherheit unwirksam sind und welche nicht. Erst in Vertragsverhandlungen mit individuellen Regelungen lässt sich das Risiko auf Seiten aller beteiligten Partner tatsächlich interessengerecht verteilen. Mit großen Cloud-Anbietern wie Google oder Apple ist oft keine individuelle Vertragsvereinbarung möglich. Darüber hinaus offenbart schon ein knapper Blick auf wesentliche Bestimmungen der Datenschutzerklärungen, dass der Dienstbetreiber kein Interesse daran hat, die Lage seiner Nutzer in Bezug auf deren datenschutzrechtliche Haftung gegenüber Dritten zu erleichtern.
Sie werden vielmehr alleingelassen und tragen im Zweifel das alleinige Risiko gegenüber denjenigen, die ihnen schützenswerte Daten anvertraut haben. So wird meist nur auf das gesetzliche Minimum abgestellt.

Risiko Privatsachen…

Vereinsinterne Mitteilungen, Geburtstagskalender, Verabredungen – all das lässt sich über Cloud-Dienste managen, ohne dass das Datenschutzrecht berührt ist. Aber Vorsicht: Auch rein private Datenverarbeitung kann ein zivilrechtliches Haftungsrisiko bedeuten. Wenn etwa eine Bewerbung platzt, weil einem Dritten anvertraute Daten unerlaubt und unerwünscht aufgetaucht sind, kann der Betroffene diesen für den durch das Datenleck entstandenen Schaden verantwortlich machen.
Noch komplizierter liegt die Sache, wenn Dienstenutzer Berufliches in die private Cloud-Anwendung mit hineinweben: Dann entsteht möglicherweise ein Haftungskonflikt zwischen ihnen und ihrem Arbeitgeber. Letzterer muss dann für einen etwaigen Datenschutzverstoß geradestehen.

Fazit

Wer die Rechtsrisiken minimieren will, der setzt auf nur national oder innerhalb der EU operierende Unternehmen. Wenn es mit solchen Cloud-Diensteanbietern zu Problemen kommt, dann ist zumindest gewährleistet, dass man gerichtlich gegen sie vorgehen kann. Außerdem ist so der Zugriff auf die beim Anbieter gespeicherten Daten einfacher möglich.