Einsatz cloudbasierter Softwarelösungen: rechtliche Dos & Don’ts
Cloud-Computing
Nach einer im Juni 2018 veröffentlichten Studie von Bitkom nutzen bereits jetzt zwei von drei Unternehmen Cloud-Computing. Bei Großunternehmen (ab einer Mitarbeiteranzahl von 2.000) sind es sogar schon 83 %.
Cloud-Computing nimmt also einen hohen Stellenwert in Unternehmen ein – aber was genau ist Cloud-Computing? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt Cloud-Computing als „ein Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können.“
Der bekannteste Cloud-Computing-Anbieter mit einem Marktanteil von ca. 32% ist Amazon Web Services (AWS), der einen Umsatz von 25,4 Mrd. USD im Jahr 2018 erzielte. Microsoft Azure war im vergangenen Jahr zweitplatzierter mit einem Marktanteil von ca. 17% und einem Umsatz von 13,5 Mrd. USD. Das jährliche Wachstum betrug bei AWS 47% und bei Microsoft Azure sogar 82% im Vergleich zum Vorjahr laut einer Analyse des Unternehmen Canalys aus dem Februar 2019.
Neben dem praktischen Nutzen von Cloud-Computing müssen sich Unternehmen jedoch auch mit den rechtlichen Besonderheiten und Herausforderungen auseinandersetzen. Welche rechtlichen Risiken birgt der Einsatz von Cloud-Computing? Welche Arten von IT-Verträgen gibt es und um welche Vertragstypen handelt es sich? Welche besonderen datenschutzrechtlichen Bestimmungen müssen Unternehmen beachten?
IT- Verträge und Vertragstypen im Cloud-Computing
Cloud-Computing wird in den verschiedenen Formen Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) angeboten.
IaaS, PaaS oder SaaS – womit habe ich es zu tun?
Beim IaaS geht es um das Bereitstellen von IT-Ressourcen. Diese können Rechenleistung, Datenspeicher oder Netze sein. Es kann eine Differenzierung nach dem Inhalt des IaaS vorgenommen werden, sodass z.B. die zur Verfügungstellung von Speicherkapazitäten als Datastorage as a Service selbständig als IT-Vertrag besteht, jedoch stellt er lediglich einen speziellen Fall des IaaS dar.
Ähnlich verhält es sich bei den anderen Cloud-Computing-Gruppen. Beim PaaS wird eine komplette Infrastruktur dem Kunden angeboten, der durch standardisierte Schnittstellen eigene Programme entwickeln und ausführen kann.
Das SaaS ist ein Lizenz- und Vertriebsmodell, mit dem Softwareangebote durch Kunden für einen vereinbarten Zeitraum entgeltlich genutzt werden können, ohne dass die Software auf dem Endgerät des Nutzers installiert werden muss.
Die Bestimmung des Vertragstypes ist wichtig
Die zivilrechtliche Einordnung der Verträge hängt vom jeweiligen Inhalt ab, jedoch ist z.B. bei der Nutzung von Speicherkapazitäten durch Cloud-Computing von einem Mietvertrag auszugehen. Bei dem Erwerb von Standardsoftware handelt es sich für gewöhnlich um einen schlichten Kaufvertrag, wohingegen bei individuell zugeschnitten Softwarelösungen von einem Werkvertrag ausgegangen werden kann. Die zivilrechtliche Einordnung des IT-Vertrags hat Einfluss auf die Gewährleistungs- und Haftungsansprüche der Vertragsparteien.
Bei cloudbasierten Softwareangeboten als SaaS (Software as a Service) sind Elemente aus dem Werk-, Dienst- und Mietvertragsrecht enthalten, die eine einfache Zuordnung zu einem einzelnen Vertragstyp verhindern. Auch der Applications Service Provider (ASP) Vertrag enthält Elemente aus verschiedenen Vertragstypen, jedoch erfolgte eine Zuordnung als Mietvertrag bzgl. der Hauptleistung durch den BGH (Urteil vom 15.11.2006, Az. XII ZR 120/04).
Für die vertragstypologische Zuordnung muss der Schwerpunkt des Leistungsgegenstands des jeweiligen Vertragsteils bestimmt werden. Die Qualifizierung von ASP-Verträgen als Mietvertrag führt zu einem interessengerechten Ergebnis.
Die Einordnung als Werkvertrag bei Cloud-Computing-Verträgen erscheint bei SaaS nicht passend, da der Leistungsinhalt eines Werkvertrags erfolgsbezogen ist und auf standardisierte Softwareanwendungen mit verteilter Verantwortung nicht übertragbar ist. Die Vorschriften zur Fälligkeit der Vergütung, Abnahme oder Vollendung des Werkes sind unpassend, da der Anbieter nur die Zugriffsmöglichkeit zur Verfügung stellt. Auch den Dienstvertrag (§§ 611 ff. BGB) als zutreffenden Vertragstyp einzustufen erscheint unbillig für den Anwender, denn es wäre lediglich eine Leistung, jedoch nicht der Erfolg geschuldet. Dies würde für den Anwender ggf. eine Entgeltpflicht zur Folge haben ohne, dass die Anwendung genutzt werden kann. Die mit dem Mietrecht vergleichbare Ausgangslage lässt eine zumindest analoge Anwendung der Vorschriften zu, sodass die vom BGH getroffene Aussage auch weiterhin gefolgt werden kann. Gemeinsamkeit besteht darin, dass dem Anwender etwas zur Nutzung überlassen wird. Des Weiteren kommen im Rahmen von Mängeln die Ansprüche aus dem Mietrecht zur Geltung und führen zu einem Ausgleich der Interessen beider Vertragsparteien.
Wichtig ist die Erkenntnis, dass die neue Form von IT- Verträgen nicht starr dem Regime typisierter Verträge des BGB zugeordnet werden können. Für allgemeine Geschäftsbedingungen (AGB) im Bereich von B2C und B2B (unter Beachtung von § 310 Abs.1 BGB) ist die Terminierung zu einem Vertragstyp essenziell da eine Kontrolle gem. § 307 Abs. 3 BGB nur stattfindet, wenn die AGB von Rechtsvorschriften abweichende oder diese ergänzenden Regelungen enthält; sie ist unwirksam wenn sie mit wesentlichen Grundgedanken der gesetzlichen Regelung abweicht und unvereinbar ist. Dies richtet sich nach der zuvor bestimmten Vertragstypologie, die als Grundlage für die rechtliche Bewertung dient.
Daneben sind bei der Vertragsgestaltung natürlich auch klassische Problemstellungen des Softwarerechts zu lösen, um einen umfassenden Rechtsschutz sicher zu stellen. So unterliegen auch cloudbasierte Anwendungen dem Urheberecht, weshalb auf die ausreichende Einräumung von Nutzungsrechten bzw. die Wirksamkeit von Open Source Lizenzen zu achten ist. Des Weiteren ist besonderes Augenmerk auf die Definition von Service Leveln und Verfügbarkeiten zu legen, um insoweit auch das Haftungsrisiko einzugrenzen.
Dos:
- Eindeutige Vereinbarung über den Leistungsinhalt
- Identifikation des IT-Vertragstyps
- Zivilrechtliche Bestimmung der Typologie
- Wirksamkeit von Regelungen und Klauseln prüfen
Dont´s:
- Verschieben der Terminierung des Vertragstyps auf später
- Prüfung von Haftungs- und Gewährleistungsansprüchen erst im Leistungsstörungsfall
Risiken und Vorteile des Cloud-Computing
Das Wachstum im Bereich von Cloud-Computing und die zunehmende Beliebtheit bei Unternehmen resultiert aus verschiedenen Aspekten. Zunächst ermöglicht das Cloud- Computing eine zeitnahe Skalierbarkeit der IT- Leistung und kann dadurch schnell auf den individuellen Bedarf angepasst werden. Die Cloud- Anwender reduzieren durch die Auslagerung und Nutzung fremden Know-Hows den eigenen IT- Administrationsaufwand ohne mit zusätzlichen Kosten wie z.B. für Server belastet zu werden, was Kapital für die Entwicklung und Investition in andere Bereiche freisetzt. Ein weiterer Vorteil besteht im ortsunabhängigen Zugriff auf Daten und die Möglichkeit der gleichzeitigen Bearbeitung von Dokumenten und Prozessen durch mehrere Mitarbeiter. Das Cloud- Computing ermöglicht dem Anwender auf verschiedenen Ebenen eine erhöhte Flexibilität und schafft dadurch gegenüber anderen Unternehmen einen Wettbewerbsvorteil.
Bei den Nachteilen von Cloud-Computing bestehen klassische und cloudspezifischen Risiken. Klassische Risiken sind bei Inanspruchnahme von Dienstleistungen von Dritten z.B. der nicht verantwortungsbewusste Umgang durch Mitarbeiter des Anbieters sowie unzureichende technische und organisatorische Maßnahmen. Cloudspezifische Nachteile für den Cloud-Anwender ist unter anderem die Abhängigkeit vom Anbieter. Ein besonderes Risiko besteht für die Datensicherheit in Hinblick auf folgende klassische Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit. Die Gefahren vor Datenverlust, Datenmanipulation und zumindest vorübergehende Nichtabrufbarkeit der Daten stellen potenzielle Risiken dar. Bei der Auswahl des Anbieters sollte ein entscheidendes Kriterium die zur Prävention von Gefahren getroffenen Maßnahmen sein. Das BSI hat einen Anforderungskatalog zur Beurteilung der Informationssicherheit von Cloud- Diensten veröffentlicht, der zur Entscheidungsfindung herangezogen werden kann.
In der von bitkom durchgeführten Studie wurde festgestellt, dass es mehr Datensicherheitsvorfälle bei der internen IT von Unternehmen gab als bei Unternehmen, die Public Cloud Anwendungen nutzten. Damit besteht nicht eine erhöhte Gefahr für die Datensicherheit allein aus dem Umstand der Cloudnutzung. Große Cloud-Anbieter sind zwar öfter Ziel von Hackerangriffen, jedoch legen sie deshalb einen besonders hohen Wert auf den Schutz ihrer Anwendungen und investieren höhere Summen als Unternehmen es bei eigenen IT Systemen tun würden und könnten. 50 % der befragten Unternehmen geben an, dass die Sicherheit ihrer Daten in der Cloud verbessert wurde.
Dos:
- Bestimmung der Notwendigkeit von Auslagerung und Umfang der externen IT-Strukturen
- Zertifizierungen des Cloud- Anbieters in Bezug auf Datensicherheit
- Beurteilung nach lang-, mittel- oder nur kurzfristigen Nutzen von Cloud-Computing
Dont´s:
- absolute Abhängigkeit zum Anbieter
- Vernachlässigung von firmeninternen Sicherheitsstandards
Datenschutzrechtliche Anforderungen
Rechtlichen Herausforderungen steht das Cloud-Computing dem Bereich des Datenschutzes gegenüber. Bei der Löschung von Daten kann der Anwender nicht nachvollziehen und überprüfen, ob alle Daten gelöscht wurden und keine Daten z.B. im Backup-System verblieben sind. Dem Anwender werden in den wenigsten Fällen System- und Nutzungsprotokolle bereitgestellt, die ihn über Schwierigkeiten oder Vorfälle informieren, es sei denn dies ist vertraglich vereinbart. Vor allem bei großen Cloud-Anbietern ist eine individuelle Ausgestaltung solcher Klauseln in Verträgen meist nicht möglich, was eine weitestgehende Selbstkontrolle des Cloud- Anbieters zur Folge haben kann.
Datenschutzrechtlich problematisch ist auch die meist intransparente Speicherung und Vervielfältigung der Daten auf Servern in verschiedenen Staaten, die unter Umständen verschiedene Datenschutzstandards haben und eine Divergenz zwischen für den Anwender verpflichtenden und den durch den Anbieter gewährten Schutzniveau bewirken kann.
Zwischen dem Anwender (Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO) und Anbieter (Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO) ist ein Auftragsverarbeitungsvertrag gem. Art. 28 Abs. 3 DSGVO abzuschließen. Empfehlenswert ist über den in Abs. 3 aufgelisteten obligatorischen Teil hinaus auch in Hinblick auf die Löschung der Daten nach Vertragsende, Informationspflichten und Beauftragung von Subunternehmern, Kontrollrechten und Verarbeitung von Daten außerhalb der EU/ EWR Regelungen zu treffen.
Dos:
- Abschluss eines Auftragsverarbeitungsvertrags i.S.d. Art. 28 Abs.3 DSGVO
- Zusicherung von Kontrollrechten
- Regelungen bzgl. Verarbeitung außerhalb der EU /EWR und Umgang mit Daten nach Vertragsende
Dont´s:
- Verstoß gegen Verpflichtungen als Verantwortlicher und DSGVO
- „Verschieben der Verantwortlichkeit“ auf den Cloud-Anbieter
- Verarbeitung von Daten in der Cloud ohne lokales Backup
- Verlust der Kontrolle über Daten
Fazit
Cloud-Computing ist aus dem digitalen Wirtschaftsleben nicht mehr wegzudenken und bereitet Unternehmen eine Vielzahl von Nutzungs- und Entwicklungsmöglichkeiten. Die Sorge um die Datensicherheit ist bei vielen Cloud-Computing-Anwendern der Freude über Flexibilität und Praktikabilität gewichen, sodass auch in den nächsten Jahren mit einem Wachstum der Cloud-Computing-Branche zu rechnen ist. Der praktische Nutzen wird von rechtlichen Fragen begleitet. Die Bestimmung des Vertragstyps und die Einhaltung datenschutzrechtlicher Vorgaben stellen für die Anwender die größten Herausforderungen dar. Wie dargestellt dient der konkrete Vertragsinhalt und der zu bestimmende Leistungsgegenstand als Anknüpfungspunkt, um Cloud-Computing rechtssicher zu nutzen. Insbesondere die vertragstypologische Einordnung kann Anwender, aber auch Anbieter, vor Probleme stellen, sodass Ansprüche nicht oder nicht rechtzeitig geltend gemacht werden.
Lesen Sie auch folgenden Beitrag: