Rechtsrisiken für Cloud User

Die Cloud ist Realität – rechtlich aber im Detail umstritten. Was also ist für die Zukunft in Hinblick auf Haftungsfragen zu beachten, wenn in absehbarer Zeit kaum praktische Alternativen zur Datenhaltung in der Cloud existieren und schon heute die Cloud wirtschaftlich betrachtet für viele konkurrenzlos günstig erscheint?

Immer wieder, so etwa auch auf den MS Cloud Events in diversen deutschen Städten im Herbst 2014, wird auf die datenschutzrechtliche Problematik der Internationalität der Cloud verwiesen. Jedenfalls in Bezug auf “sensitive Daten”, also z.B. Gesundheitsdaten, sei die Internationalität ein rechtliches Problem bei der Datenhaltung in der Cloud. Diese Problematik wird jedoch nicht einmal von allen Aufsichtsbehörden für Datenschutz so gesehen.

Mitunter unterschätzt hingegen wird der in der Natur der Cloud begründete rechtliche Kritikpunkt an der fehlenden Datenherrschaft des Cloudnutzers und an den fehlenden Kontrollmöglichkeiten gegenüber dem Cloud-Provider. Wo sind die Daten genau jetzt? Werden technisch erforderliche Vervielfältigungen, wie es das Gesetz erfordert, gelöscht? Kann sich der Cloudnutzer von der Datensicherheit bei seinem Provider höchstpersönlich ein Bild machen? Dieses Problemfeld ist klar zu benennen und wenig hilfreich erscheint es, wenn festgehalten wird, dass “klassische Datenschutz-Sichtweisen im Datenschutz in der Cloud nicht funktionieren”. Umgekehrt kommt man der Wahrheit näher: die der Cloud eigenen Funktionsweisen werden vom Gesetz, was die erwähnten Kontrollmöglichkeiten betrifft, jedenfalls in Europa bisher nicht anerkannt. Denn der Gesetzgeber verlangt nun einmal Kontrolle über den Dienstleister, dem man eigene oder fremde Daten anvertraut. Diese Kontrolle funktioniert nur mithilfe von Transparenz in Bezug auf wichtige Fragen: Wer kann auf die Daten aktuell zugreifen? Kann ich diese Punkte vom Cloudanbieter in Erfahrung bringen, wenn mein eigener Kunde dies von mir wissen möchte? Kurz: Bin ich noch Herr der Daten? Kann ich die für die Daten übernommene Verantwortung überhaupt noch übernehmen oder scheitere ich an der faktischen Macht des Cloudanbieters und der technischen Funktionsweise der Cloud?

Bei der Frage der Kontrollmöglichkeiten sollte man Farbe bekennen und den Europäischen Gesetzgeber dazu auffordern, eigene Regelungen für die Cloud zu fordern, die die fehlende Kontrollmöglichkeiten als Kollateralschäden der Cloud anerkennen. Es erscheint denkbar, Cloudanbieter im Gegenzug besonderen Pflichten zu unterwerfen, damit die mit den Kontrollrechten verfolgten Grundkonzepte des Datenschutzes auf alternativem Wege erreicht werden. Sollte eine etablierte Rechtsauffassung – die Notwendigkeit des Kontrollprinzips – aufgegeben werden, um einer modernen Art der Datenhaltung aus der juristischen Problemzone zu verhelfen? Oder wird der Datenschutz seinem Auftrag, den Bürger zu schützen, nur dann gerecht, wenn eine lückenlose Transparenz und Kontrolle weiterhin festgeschrieben ist?

Gelegentlich wird juristisch vertreten, dass man das aktuelle Datenschutzrecht einfach uminterpretieren müsse: Eine technische Auslegung des Datenschutzrechts würde das Problem lösen. Sinngemäß dürfe einer sinnvollen technischen Lösung kein unmodernes, nicht IT-ausgerichtetes Gesetz entgegen stehen. Das klingt verlockend. Eine Revision des Datenschutzgesetzes wäre damit gar nicht nötig. Doch hier ist Vorsicht geboten: Anders als etwas das Urheberrecht ist Datenschutzrecht kein Wirtschaftsrecht. Datenschutzrecht ist Persönlichkeitsrecht. Damit stehen die Interessen des Bürgers am Datenschutz grundsätzlich hinter einer technischen und damit wirtschaftsfreundlichen Interpretation des Gesetzes zurück. Im Ergebnis bleibt das Thema Kontrolle und Datenherrschaft in der Cloud daher aktuell ungelöst.

Das ist der Grund, warum gelegentlich behauptet wird, die Cloud sei “rechtswidrig”. Das trifft so sicherlich nicht zu. Doch haftungsrechtlich sind die Pflichten in Bezug auf eine Datenherrschaft des Cloud-Kunden nicht zu unterschätzen. Als solcher haftet man unter Umständen für eventuelle Mängel des Cloud-Anbieters, obwohl man die Dienstleistung Cloud nur einkauft. Dies betrifft immer die Kette: Cloud Anbieter – Cloud Kunde – Kunde des Cloud Kunden. Als Cloud Kunde steht man in der Mitte und muss ein ordnungsgemäßes Datenschutz-Level gegenüber seinem eigenen Kunden sicher stellen, was aktuell wie dargestellt einfach nicht angeboten wird und was die Kontrolle angeht auch nicht realisierbar erscheint, eben weil die Daten in der Cloud ubiqitär sind und z.B. keine sichere Auskunft über den Datenaufenthaltsort gegeben werden kann.

Selbst, wenn man diese Haftungsproblematik akzeptiert und das Risiko einer Datenschutz-Incompliance eingeht: Weitere Aspekte der Cloud sind datenschutzrechtlich problematisch. Dies betrifft zum Beispiel die Datenqualität. Gerade die bereits erwähnten sensiblen Daten dürfen, wenn überhaupt, nur in die Cloud gebracht werden, wenn eine detaillierte Prüfung des Einzelfalles dies als zulässig erscheinen lässt. Dies hängt von technischen Rahmenbedingungen ab, aber auch von den AGBs der Anbieter.

Weitere Diskussionen betreffend die Rechtmäßigkeit der Cloud sind vor allem:
• Datenzugriff durch Dritte, insbesondere Behörden (Nicht nur Datenschutz, sondern auch Know How Schutz)
• Technisch – organisatorische Maßnahmen (nicht nur vorhanden, sondern auch dokumentiert und kontrollierbar)
• Subdienstleister (Fehlende Transparenz bezüglich deren Einbindung, Technisch Organisatorische Maßnahmen umgesetzt?
• AGB

Dabei gilt immer (wie schon oben): Wenn ich selbst die Cloud “einkaufe” und für Services Dritten gegenüber benutze, kann ich mich i.d.R. schlecht exkulpieren, muss ggf. für die o.g. “eingekauften” Mängel gegenüber meinem Auftragnehmer, meinem Arbeitnehmer etc. haften.

Natürlich lockt die Cloud mit vielen Vorteilen. Haben Sie Ihre Haftung analysiert und gehen Sie Risiken bewusst ein?