Rechtliche Aspekte beim Cloud Computing

Bei Cloud Computing wird ein Teil der IT-Landschaft auf Nutzerseite nicht mehr selbst betrieben oder örtlich bereitgestellt, sondern bei einem oder mehreren Anbietern als Dienst gemietet, der meist geographisch fern angesiedelt ist. Dies bringt eine erhebliche Kostenreduktion durch leicht verfügbare Ressourcen, Unabhängigkeit und rasche Verfügbarkeit, einfache Skalierbarkeit, weil die Verantwortlichkeit für Serverkapazität, Performance etc beim Anbieter liegt, und Elastizität der Kapazitäten (pay per use).

All das sind erhebliche Vorteile, die Cloud Computing attraktiv machen. Dem stehen aber auch Nachteile gegenüber. So erfordert Cloud Computing einen hohen Bedarf an technischen Sicherheitsmaßnahmen, die sich auch auf rechtlicher Seite niederschlagen müssen, um den Datenschutzanforderungen gerecht zu werden. Insbesondere die Public Cloud, im Rahmen welcher der Cloud Provider Services öffentlich über ein Webportal anbietet, wobei Daten in der Cloud bei einem oder mehreren Anbietern gespeichert werden, stellt die Rechtsordnung vor nicht zu unterschätzende Herausforderungen. Das ausgelagerte Speichern von Daten im Zusammenhang mit der Virtualisierungstechnologie macht den Cloud User zum „Auftraggeber" und den Cloud Provider zum „Dienstleister" iSd § 4 DSG. Bei der Zurverfügungstellung von Daten an den Provider handelt es sich um eine Datenüberlassung, die keine Verfügungsbefugnis beinhaltet. Der Cloud User ist „Auftraggeber" iSd DSG und hat die Pflicht, Vorkehrungen zur Datensicherheit zu treffen. Weiters unterliegt er einer Informations- und Auskunftspflicht im Hinblick auf die Daten seiner Kunden. Ihn trifft auch die Pflicht zur Offenlegung des Empfängers. Sämtliche Registrierungs- und Meldepflichten bei der Übertragung von Daten ins Ausland treffen den Cloud User.

Der Cloud Provider als Dienstleister muss die Datensicherheitsmaßnahmen des § 14 DSG einhalten (Schutz vor Zerstörung, Verlust bzw nicht ordnungsgemäßer Verwendung, jeweils nach den technischen Möglichkeiten). Die Verwendung von Subdienstleistern in der Cloud stellt ebenfalls eine (weitere) Datenüberlassung dar und ist nur zulässig, wenn der Cloud Provider nachweist, dass eine rechtmäßige und sichere Datenanwendung gewährleistet wird.

Sämtliche dieser Themen müssen daher im Vertrag zwischen dem Cloud User und Cloud Provider abgebildet werden. Um auch dem Cloud Provider als Vertragspartner des Cloud Users Rechtssicherheit zu geben, wird der Cloud Provider angehalten sein, die gegenüber seinem Kunden übernommenen Pflichten vertraglich an die Subdienstleister weiterzugeben. Abgesehen von der Schwierigkeit, seine Subdienstleister genau zu kennen, tritt als zusätzliches Problem hinzu, dass die Subdienstleister wahrscheinlich anderen Rechtsordnungen unterliegen werden, weil Cloud Computing definitiv ein globales Phänomen ist.

Eine Datenübermittlung in das Ausland bedarf grundsätzlich einer Genehmigung, sofern nicht eine gesetzliche Ausnahme vorliegt. Solche Ausnahmen sieht das Gesetz für eine Datenüberlassung innerhalb der EU bzw in solche Länder vor, die ein angemessenes Datenschutzniveau gewährleisten. Dies ist auch im Rahmen der Selbstzertifizierung aufgrund des Safe-Harbor-Abkommens mit den USA möglich bzw bei der Verwendung von EU-Musterklauseln. Zu beachten ist, dass die Genehmigungsfreiheit nicht zur Meldefreiheit führt. Derartige Datenanwendungen in das Ausland sind daher grundsätzlich der Datenschutzkommission zu melden.

Sofern die explizite Zustimmung des Betroffenen zur Datenübermittlung vorliegt, ist darauf hinzuweisen, dass diese Zustimmungserklärung ausdrücklich sein muss, sowie die Namen des Datenempfängers beinhalten muss, da sie ansonsten unwirksam ist. Vertragliche Regelungen mit dem Provider sind aber nicht nur hinsichtlich der Datensicherheit empfehlenswert, sondern auch hinsichtlich der Qualität der Vertragserfüllung (Performance), aber auch im Hinblick auf Haftungsregelungen. Grundsätzlich haften Subprovider nach § 1313a ABGB als Erfüllungsgehilfen. Wenn also der Cloud Provider gegenüber seinem Kunden für Fehlverhalten Dritter einstehen muss, so empfiehlt es sich, die Qualitätsstandards etc mit diesem Dritten auch vertraglich zu regeln.

Cloud Computing ist derzeit wohl deshalb eine rechtliche Herausforderung, weil viele Provider die strengen Vorgaben des Datenschutzgesetzes nicht erfüllen werden. Cloud Computing führt deshalb derzeit noch zu einer Rechtsunsicherheit, da die Gesetzgebung auf die technische Entwicklung noch nicht ausreichend reagiert hat. Weltweit existiert kein einheitlicher Datenschutz. Wie in allen Rechtsgebieten hinkt die rechtliche Entwicklung hinter der technischen Entwicklung her. Cloud Computing ist allerdings eine Tatsache. Die Rechtsordnungen werden daher auf dieses Phänomen reagieren müssen.