18. April 2023Datenschutz, Informationstechnologie

Einsatz cloudbasierter Softwarelösungen: rechtliche Dos & Don’ts

Es ist eine beispiellose Entwicklung: Innerhalb von nur 10 Jahren hat sich die Anzahl der Unternehmen, die das Cloud-Computing zum Einsatz bringen, fast verdreifacht. Der Zuwachs der vergangenen Jahre ist ungebrochen und hat im Corona-Jahr 2020 noch einmal einen kräftigen Schub erfahren. Mittlerweile nutzen 8 von 10 Unternehmen ab einer Größe von 20 Mitarbeitenden Rechenleistungen aus einer Cloud. Das geht aus einer 2021 veröffentlichten repräsentativen Befragung hervor, die Bitkom Research & KPMG bei über 550 Unternehmen durchgeführt hatten (Cloud-Monitor 2021). Weitere 15% der Unternehmen haben die Cloud-Nutzung zum Zeitpunkt der Befragung diskutiert oder fest eingeplant.

So verwundert es nicht, dass mittlerweile 88% der befragten Unternehmen dem Cloud-Computing große Bedeutung vor allem bei der Digitalisierung und Automatisierung interner Prozesse und Arbeitsabläufe zuschreiben. Aber was genau ist Cloud-Computing? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt Cloud-Computing als „ein Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können.“

Bei allem praktischen Nutzen des Cloud-Computings müssen sich Unternehmen jedoch auch mit den rechtlichen Besonderheiten und Herausforderungen auseinandersetzen. Welche rechtlichen Risiken birgt der Einsatz von Cloud-Computing? Welche Arten von IT-Verträgen gibt es und um welche Vertragstypen handelt es sich? Welche besonderen datenschutzrechtlichen Bestimmungen müssen Unternehmen beachten? Auf all diese Fragen geben wir in diesem Beitrag Antworten!

Digitale Sprechstunde zu KI as a Service KIaaS

Vorteile und Risiken des Cloud-Computing

Das Wachstum im Bereich von Cloud-Computing und die zunehmende Beliebtheit bei Unternehmen resultiert aus den vielfachen Vorteilen, die die Technologie bietet. Zunächst ermöglicht das Cloud-Computing eine zeitnahe Skalierbarkeit der IT-Leistung und kann dadurch schnell auf den individuellen Bedarf angepasst werden. Die Cloud-Anwender reduzieren durch die Auslagerung und Nutzung fremden Know-hows den eigenen IT-Administrationsaufwand ohne mit zusätzlichen Kosten wie z.B. für Server belastet zu werden, was Kapital für die Entwicklung und Investition in andere Bereiche freisetzt. Ein weiterer Vorteil besteht darin, dass auf die in der Cloud migrierten Daten ortsunabhängig zugegriffen werden kann, wenn gewünscht auch von mehreren Mitarbeitenden zur selben Zeit. Das Cloud-Computing ermöglicht dem Anwender so in verschiedener Hinsicht eine erhöhte Flexibilität und schafft dadurch gegenüber anderen Unternehmen einen Wettbewerbsvorteil.

Die Nutzung des Cloud-Computing birgt zugleich klassische und cloudspezifische Risiken. Bei der Inanspruchnahme von Dienstleistungen Dritter können fehlendes Verantwortungsbewusstsein auf Seiten des Anbieters bzw. seiner Mitarbeitenden im Umgang mit Daten sowie unzureichende technische und organisatorische Maßnahmen Sicherheitsrisiken darstellen. Die Nutzung einer Cloud zieht für den Anwender zudem eine mehr oder minder ausgeprägte Abhängigkeit vom Anbieter nach sich. 64 Prozent der Cloud-Nutzenden verzeichneten im Jahr 2020 Ausfallzeiten ihrer Cloud-Leistungen. Ein besonderes Risiko besteht für die Datensicherheit in Hinblick auf folgende klassische Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit. Datenverlust und Datenmanipulation sind Szenarien, die bedacht werden sollten, aber auch minimiert werden können. Bei der Auswahl des Anbieters sollte ein entscheidendes Kriterium die zur Prävention von Gefahren getroffenen Maßnahmen sein. Das BSI hat einen im Jahr 2020 aktualisierten Anforderungskatalog zur Beurteilung der Informationssicherheit von Cloud-Diensten veröffentlicht, der zur Entscheidungsfindung herangezogen werden kann.

Dos:

  • Bestimmung von Notwendigkeit und Umfang der Auslagerung externer IT-Strukturen
  • Prüfung von Zertifizierungen des Cloud-Anbieters in Bezug auf Datensicherheit
  • Beurteilung des Cloud-Computing nach lang-, mittel- oder nur kurzfristigem Nutzen für das Unternehmen
  • Entwicklung von Notfallplänen für mögliche Cloud-Ausfälle

Dont´s:

  • absolute Abhängigkeit zum Anbieter
  • Vernachlässigung firmeninterner Sicherheitsstandards

IT- Verträge und Vertragstypen im Cloud-Computing

Die im Rahmen des Cloud-Computing etablierte Serverstruktur ermöglicht die Auslagerung einer Vielzahl verschiedener IT-Ressourcen in die Cloud. Ausgehend davon wird das Cloud-Computing in verschiedenen Formen angeboten:

  • Infrastructure as a Service (IaaS),
  • Platform as a Service (PaaS) und
  • Software as a Service (SaaS).

IaaS, PaaS oder SaaS – womit habe ich es zu tun?

Beim IaaS stellt der Cloud-Provider den Nutzern Hardware-Ressourcen über die Cloud zur Verfügung. Dies können beispielsweise Rechenleistung, Datenspeicher oder Netze sein. Es kann eine Differenzierung nach dem Inhalt des IaaS vorgenommen werden, sodass z.B. die zur Verfügungstellung von Speicherkapazitäten als Datastorage as a Service selbständig als IT-Vertrag besteht, jedoch stellt er lediglich einen speziellen Fall des IaaS dar.

Verschiedene Anwendungen beruhen auch auf dem SaaS als Lizenz- und Vertriebsmodell, mit dem Softwareangebote durch Kunden für einen vereinbarten Zeitraum entgeltlich genutzt werden können, ohne dass die Software auf dem Endgerät des Nutzers installiert werden muss.

Beim PaaS hingegen wird dem Kunden eine komplette Infrastruktur bzw. Entwicklungsumgebung zur eigenen Softwareprogrammierung zur Verfügung gestellt, sodass der Kunde eigene Softwareprogramme entwickeln und ausführen kann.

Die Bestimmung des Vertragstyps ist wichtig

Doch damit noch nicht genug der Kategorisierung. Über die Einteilung in IaaS, PaaS und SaaS hinaus ist es für Unternehmen wichtig, den jeweiligen Vertrag auch zivilrechtlich einzuordnen. Denn dies hat Einfluss auf etwaige Gewährleistungs- und Haftungsansprüche der Vertragsparteien. Allgemein gibt es im deutschen Zivilrecht sog. Vertragstypen bzw. typisierte Verträge, die im BGB mit entsprechenden Hauptpflichten der Vertragsparteien gesetzlich niedergelegt sind, wie beispielsweise der Kaufvertrag, der Mietvertrag oder der Werkvertrag. Wegen der im Zivilrecht geltenden Vertragsfreiheit ist es möglich, einen Vertrag frei zu gestalten und Pflichten verschiedener Vertragstypen zu kombinieren. Auch bei IT-Verträgen handelt es sich in der Regel um solche typengemischten bzw. atypischen Verträge, die nicht ohne Weiteres dem Regime typisierter Verträge zugeordnet werden können. Ihre vertragstypologische Einordnung hängt dann vom jeweiligen Inhalt im Einzelfall, insbesondere dem Schwerpunkt des Leistungsgegenstands ab.

Bei der Einordnung von IaaS, PaaS und SaaS werden in der Regel Elemente aus folgenden Vertragstypen zur berücksichtigen sein: Werkvertrag, Dienstvertrag und Mietvertrag. In einer Entscheidung hatte der Bundesgerichtshof (BGH) bei der Einräumung einer Online-Nutzungsmöglichkeit von Hard- und/oder Software in Form des sogenannten Application Service Providing (ASP) den Schwerpunkt des Vertrags, der ebenfalls Elemente aus verschiedenen Vertragstypen enthält, im Mietrecht gesehen (Urteil vom 15.11.2006, Az. XII ZR 120/04). Es wird von der wohl überwiegenden Meinung vertreten, dass sich diese Rechtsprechung auch auf Cloud-Services übertragen lasse, deren Geschäftsmodell ebenfalls in der Zurverfügungstellung von Hard- und Software besteht. Der Unterschied bestehe lediglich darin, dass beim ASP eine konkrete Hardwareressource zur Verfügung gestellt wird, während Nutzer im Rahmen des Cloud-Computings auf eine Vielzahl von zusammenwirkenden Hardware-Ressourcen zugreifen. Für die Einordnung wird argumentiert, dass sie zu interessensgerechten Ergebnissen führe. Denn für die Nutzer/Nutzerinnen von Cloud-Diensten sei es wichtig, dass sie die zur Verfügung gestellte Hard- bzw. Software auch tatsächlich nutzen können. Eine Einordnung als Dienstvertrag, bei dem nur die Vornahme einer Tätigkeit geschuldet ist, entspreche demnach nicht dem Interesse des Nutzers/der Nutzerin. Die standardisierte Bereitstellung des Dienstes spreche zugleich gegen eine Qualifizierung als Werkvertrag, der eine konkrete Leistung geschuldet ist. Hierfür fehle eine individualisierte Lösung. Mit der entgeltlichen Einräumung einer Nutzungsmöglichkeit sei vielmehr die Charakteristik des Mietvertrags abgebildet.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Andere Stimmen hingegen wollen zwischen den verschiedenen Typen des Cloud-Computings differenzieren. Jedenfalls sollte immer eine Bewertung des Einzelfalls vorgenommen werden. In Hinblick auf die SaaS finden Sie hier noch einen ausführlichen Beitrag zur rechtlichen Einordnung und Möglichkeiten der Vertragsgestaltung.

Für allgemeine Geschäftsbedingungen (AGB) im Bereich von B2C und B2B (unter Beachtung von § 310 Abs.1 BGB) ist die Zuordnung zu einem Vertragstyp essenziell da eine Kontrolle gem. § 307 Abs. 3 BGB nur stattfindet, wenn die AGB von Rechtsvorschriften abweichende oder diese ergänzenden Regelungen enthält; sie ist unwirksam, wenn sie mit wesentlichen Grundgedanken der gesetzlichen Regelung abweicht und unvereinbar ist. Dies richtet sich nach der zuvor bestimmten Vertragstypologie, die als Grundlage für die rechtliche Bewertung dient.

Daneben sind bei der Vertragsgestaltung auch klassische Problemstellungen des Softwarerechts zu lösen, um einen umfassenden Rechtsschutz sicher zu stellen. So unterliegen auch cloudbasierte Anwendungen dem Urheberrecht, weshalb auf die ausreichende Einräumung von Nutzungsrechten bzw. die Wirkung von Open Source Lizenzen zu achten ist. Des Weiteren ist besonderes Augenmerk auf die Definition von Service Leveln und Verfügbarkeiten zu legen, um insoweit auch das Haftungsrisiko einzugrenzen.

Dos:

  • Eindeutige Vereinbarung über den Leistungsinhalt
  • Identifikation des IT-Vertragstyps
  • Zivilrechtliche Bestimmung der Typologie
  • Wirksamkeit von Regelungen und Klauseln prüfen

Dont´s:

  • Verschieben der Terminierung des Vertragstyps auf später
  • Prüfung von Haftungs- und Gewährleistungsansprüchen erst im Leistungsstörungsfall

Datenschutzrechtliche Anforderungen

Rechtliche Herausforderungen stehen Unternehmen, die Rechenleistungen aus einer Cloud nutzen, auch im Bereich des Datenschutzes gegenüber. Bei der Löschung von Daten kann der Anwender nicht nachvollziehen und überprüfen, ob alle Daten gelöscht wurden und keine Daten z.B. im Backup-System verblieben sind. Dem Anwender werden in den wenigsten Fällen System- und Nutzungsprotokolle bereitgestellt, die ihn über Schwierigkeiten oder Vorfälle informieren, es sei denn dies ist vertraglich vereinbart. Vor allem bei großen Cloud-Anbietern ist eine individuelle Ausgestaltung solcher Klauseln in Verträgen meist nicht möglich, was eine weitestgehende Selbstkontrolle des Cloud-Anbieters zur Folge haben kann.

Datenschutzrechtlich problematisch ist auch die meist intransparente Speicherung und Vervielfältigung der Daten auf Servern in verschiedenen Staaten, die unter Umständen verschiedene Datenschutzstandards haben und eine Divergenz zwischen für den Anwender verpflichtenden und den durch den Anbieter gewährten Schutzniveau bewirken kann. In diesen Kontext hat das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2020 zu viel Verunsicherung auch bei den Cloud-nutzenden Unternehmen geführt. In der Entscheidung hatte der EuGH das Privacy-Shield-Abkommen zur Gewährleistung eines der DSGVO gleichwertigen Datenschutzniveaus in den Vereinigten Staaten und damit die Übermittlung personenbezogener Daten von der EU in die USA für ungültig erklärt (mehr zu der Entscheidung finden Sie hier). Da deutsche Unternehmen oftmals US-amerikanische Cloud-Lösungen nutzen, hat das Schrems-II-Urteil eine erhöhte Relevanz für viele Unternehmen im deutschen Wirtschaftsraum. So gibt die Mehrheit der Befragten (58%) aus der bereits genannten Untersuchung an, dass die Entscheidung Auswirkungen auf ihre Cloud-Strategie hat. Am häufigsten reagierten die Unternehmen, die sich betroffen sehen, mit der Anpassung ihrer technischen und organisatorischen Maßnahmen und/oder nehmen eventuell erforderliche Anpassungen in den Verträgen mit den Cloud-Providern an.

Der Cloud-Monitor 2021 hat offenbart, dass auch der Einsatz von sog. Schatten-IT in Unternehmen ein Datensicherheitsrisiko darstellen kann. Mehr als jedes zweite der befragten Unternehmen (51%) gab an, in den der Befragungen vorangegangenen 12 Monaten die Nutzung unautorisierter Public-Cloud-Lösungen registriert zu haben. Bei Großunternehmen mit 2000 und mehr Beschäftigten liegt sie deutlich höher (72%). Zur Vermeidung von Schatten-IT bieten sich den Unternehmen vielfältige Möglichkeiten, wie die Sperrung unautorisiert genutzter Public-Cloud-Dienste und die Bereitstellung von Alternativen. In jedem Fall aber sollte das Thema Bestandteil der internen IT-Sicherheits-Schulungen sein.

Zwischen dem Anwender (Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO) und Anbieter (Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO) ist ein Auftragsverarbeitungsvertrag gem. Art. 28 Abs. 3 DSGVO abzuschließen. Empfehlenswert ist über den in Abs. 3 aufgelisteten obligatorischen Teil hinaus auch in Hinblick auf die Löschung der Daten nach Vertragsende, Informationspflichten und Beauftragung von Subunternehmern, Kontrollrechten und Verarbeitung von Daten außerhalb der EU/ EWR Regelungen zu treffen.

Dos:

  • Abschluss eines Auftragsverarbeitungsvertrags i.S.d. Art. 28 Abs. 3 DSGVO
  • Vereinbarung von Kontrollrechten
  • Regelungen zur Datenverarbeitung außerhalb der EU/EWR (Berücksichtigung des Schrems-II-Urteils)
  • Implementierung von Regelungen zur Löschung von Daten nach Vertragsende
  • Evaluierung der Auswirkungen des Schrems-II-Urteils und ggf. Ergreifen weitere erforderlicher Maßnahmen (z.B. Anpassung der technischen und organisatorischen Maßnahmen)
  • Ergreifen von Maßnahmen gegen die Nutzung von Schatten-IT

Dont´s:

  • Verstoß gegen Verpflichtungen als Verantwortlicher und DSGVO
  • „Verschieben der Verantwortlichkeit“ auf den Cloud-Anbieter
  • Verarbeitung von Daten in der Cloud ohne lokales Backup
  • Verlust der Kontrolle über Daten

Fazit

Cloud-Computing ist aus dem digitalen Wirtschaftsleben nicht mehr wegzudenken und bereitet Unternehmen eine Vielzahl von Nutzungs- und Entwicklungsmöglichkeiten. Die Sorge um die Datensicherheit ist bei vielen Cloud-Computing-Anwendern der Freude über Flexibilität und Praktikabilität gewichen, sodass auch in den nächsten Jahren mit einem Wachstum der Cloud-Computing-Branche zu rechnen ist. Der praktische Nutzen wird von rechtlichen Fragen begleitet. Die Bestimmung des Vertragstyps und die Einhaltung datenschutzrechtlicher Vorgaben stellen für die Anwender die größten Herausforderungen dar. Wie dargestellt dient der konkrete Vertragsinhalt und der zu bestimmende Leistungsgegenstand als Anknüpfungspunkt, um Cloud-Computing rechtssicher zu nutzen. Insbesondere die vertragstypologische Einordnung kann Anwender, aber auch Anbieter, vor Probleme stellen, sodass Ansprüche nicht oder nicht rechtzeitig geltend gemacht werden. Bei dem Umgang mit diesen Herausforderungen stehen Ihnen unsere Expertinnen und Experten jederzeit zur Verfügung. Sprechen Sie uns an!

Sie haben tiefergehende Fragen zu cloudbasierten Softwarelösungen?

Jetzt unverbindlich anfragen
nach oben
Mehr zum Thema
Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.