Probeexemplar. Aktuelles IT- und Internet-Recht AIR Schnellinformation für die Praxis. Januar Ausgabe 1/2011

Transkript

1 Probeexemplar Aktuelles IT- und Internet-Recht AIR Schnellinformation für die Praxis Januar Ausgabe 1/2011 Editorial IT- und Internet-Recht entwickeln sich mit zunehmender Geschwindigkeit. Sich über die jeweils aktuellen rechtlichen Anforderungen zu orientieren, erfordert zunehmenden Zeitaufwand. Der Informationsdienst AIR fasst deshalb für die Praxis monatlich aus den einschlägigen Fachzeitschriften die wichtigsten Urteile zusammen, enthält Originalbeiträge und gibt Hinweise auf Aufsätze und Rechtsentwicklungen. Im Vordergrund stehen in der IT-Praxis verwertbare Informationen. Compliance-Pflichten von CIOs werden besonders berücksichtigt. Die Form der Online-Publikation ermöglicht erhöhte Aktualität und damit einen Informationsvorsprung. Inhalt Urteile EuGH,Urt.v C-393/09 2 BGH, Urt.v VIII ZR 346/09 2 BGH, Urt.v I ZR 66/08, Holzhocker, mit Anmerkung 2 BGH, Urt.v I ZR 178/08 Half-Life 2, mit Anm. 2 BGH, Urt.v I ZR 39/08 Session-ID, mit Anm. 4 BAG, Beschl.v ABR 80/08 4 OLG Frankfurt/M., Urt.v U 13/10, mit Anm. 4 OLG Düsseldorf, Urt.v U 247/08 5 OLG Karlsruhe, Urt.v U 46/09 6 OLG Celle, Urt.v U 38/09 6 Themen Cloud Computing Verträge und Datenschutz 7 Die wichtigsten Compliance-Prüfpunkte für Unternehmer und deren CIOs 19 Erscheinungsweise AIR monatlich online als PDF Bezugspreis pro Exemplar Euro 9,90, Jahresabonnement Euro 98,00 jeweils inkl. Mwst Bestellung bei und Lieferung mit Rechnung durch: Rechtsanwalt Dr. Frank A. Koch, Maximilianstr. 54, München, Tel. 089/ , 089/ , Fax: 089/ Deutsche Bank Konto: BLZ: koch@anwaltskanzlei-koch.de, Website:

2 Urteile EuGH, Urt.v C-393/09 (BeckRS 2010, 91497) Eine grafische Benutzeroberflächen von Computerprogrammen ist aus Urheberrecht nur als eigenständige Schöpfung schutzfähig, nicht als Ausdrucksform von Computerprogrammen. 1 BGH, Urt.v VIII ZR 346/09 (Pressemitt. 3/2011) Das Gericht sieht auch in einer Fotografie von einem Fahrzeug, die in einer Internet-Tauschbörse präsentiert wird (und die eine Standheizung im Fahrzeug zeigt, die aber dann ausgebaut wurde), eine bindende Beschaffenheitsangabe, deren Nichteinhaltung einen Nacherfüllungsanspruch begünden kann. BGH, Urt.v I ZR 66/08, CR 2010, 804 Holzhocker Der Unternehmer muss dem Verbraucher die bei Fernabsatzverträgen zu erteilenden Informationen ( 312c, 355 BGB) in einer zur dauerhaften Wiedergabe geeigneten Weise abgeben und diese Informationen außerdem dem Verbraucher in einer zur dauerhaften Weise geeigneten Weise zugehen lassen. Die Widerrufsfrist des 355 Abs. 1 Satz 2 BGB von zwei Wochen läuft nicht bereits, wenn diese Informationen auf der Website des Unternehmers nur abrufbar sind, sondern erst ab Zugang. Anmerkung: Maßgeblich ist nach Auffassung des I. Senats damit nicht, ob die Informationen abrufbar sind, sondern, ob sie dem Verbraucher tatsächlich übermittelt wurden. BGH, Urt.v I ZR 178/08, MMR 2010, 771 = NJW 2010, 2661 Half- Life 2 Der Anbieter eines urheberrechtlich geschützten Werkstücks (hier: eines Computerspiels auf DVD) ist berechtigt, das Werk(stück) so zu gestalten, dass es nur in einer bestimmten Art und Weise genutzt werden kann, also etwa vorzusehen, dass die Nutzung erst nach Einrichten eines Benutzerkontos mit individueller Kennung über eine Online-Verbindung zum Hersteller möglich ist. Der Anbieter ist weiter berechtigt, nur die einmalige Einrichtung eines Benutzerkontos zu gestatten und im Lizenzvertrag die Veräußerung des Benutzerkontos oder die Überlassung gegen Vergütung zu untersagen. Diese technische Gestaltung und vertraglichen Regelungen sind zulässig, da sie sich nicht aus dem Verbreitungsrecht ergeben. Wesentlicher Erwägungsgrund des Gerichts ist, dass zwar eine Erschöpfung des Verbreitungsrechts an einem (auf Datenträger) verkörperten Werkexemplar mit dessen Veräußerung eintritt (Randziff. 21, 22 des Urteils) und der Anbieter die Weiterveräußerung deshalb nicht wirksam untersagen kann. Jedoch kann der 1 S. auch unten OLG Karlsruhe, Urt.v IT- und Internet-Recht aktuell 1/2011 2

3 Anbieter das Werkstück technisch so ausgestalten, dass seine Nutzung nur über die Online-Registrierung möglich ist. Nach Auffassung des Gerichts ist der Anbieter nämlich nur verpflichtet, die Weiterveräußerung eines verkehrsfähigen Werkexemplars nicht zu verbieten, damit es im freien Warenverkehr (weiter) gehandelt werden kann. Er ist aber nicht verpflichtet, es technisch so zu gestalten, dass es frei gehandelt werden kann. Er darf also die Weiterveräußerung nicht im Vertrag mit dem Käufer untersagen und ist auch gehindert, dem Folgeerwerber am Erwerb aus Urheberrecht zu hindern. Er darf aber eine Produktaktivierungsroutine vorsehen und vertraglich regeln, dass das durch die Aktivierung eingeräumte Nutzungsrecht nicht auf Dritte übertragen werden darf, denn er sei frei, ob und in welcher Form er das Werkstück zugänglich macht. Anmerkung: Diese BGH-Entscheidung hat für das Urheberrecht zentrale Bedeutung. Hierin wurde bereits ein Paradigmenwechsel der Softwarelizenzierung gesehen, der den Weg für eine dauerhaft personengebundene Softwarelizenzierung ebne. 2 Der BGH beschränkt seine Ausführungen nicht ausdrücklich auf einen besonderen Sachverhalt (Vertrieb des Computerspiels), sondern bezieht sie generell auf urheberrechtlich geschützte Werke, damit auch auf Computerprogramme. Im Einzelfall bleibt deshalb zu prüfen, ob der Käufer der Software in der Lage ist, die Software in bestimmungsgemäßer Weise zu benutzen ( 69 d Abs. 1 UrhG). Erhält er (im Rahmen des Kaufpreises) ein Benutzerkonto mit individueller Kennung eingerichtet, so ist für ihn die Benutzbarkeit nicht beeinträchtigt. Dritte können andererseits frei das Programmexemplar auf Datenträger vom Käufer erwerben, aber nicht nutzen, womit es im Ergebnis wirtschaftlich nicht verkehrsfähig ist. Mit diesem Ansatz wird freilich das Risiko begründet, dass Anbieter generell durch solche Personalisierungen mittelfristig jede freie Weiterverbreitung ihrer Software unterbinden und damit insoweit den Erschöpfungsgrundsatz und zugleich in diesem Marktsegment den freien Warenverkehr leerlaufen lassen. Zudem ist dieser Ansatz vom Sachverhalt her nicht zwingend erforderlich. Aus diesem ergibt sich nämlich, dass der Erwerber nicht nur einfach eine Nutzungskennung zugewiesen erhält, um dann das Spiel isoliert auf seinem Rechner zu nutzen. Vielmehr ist mit dem Computerspiel ein interaktives Spielen im Internet mit anderen Teilnehmern möglich. Jeder dieser Teinehmer muss hierfür ein Benutzerkonto zugewiesen erhalten, um mit anderen online (im Multiplayer- Modus ) spielen zu können. Das Benutzerkonto bezieht sich damit wesentlich auf eine internetgestützte Nutzung. Diese Nutzungsmöglichkeit des interaktiven Spiels besteht nur mit Online-Anbindung. Die Spielzüge der anderen Teilnehmer können nur über das Internet verfolgt und erwidert werden. Vor diesem Hintergrund stellt sich die Frage, ob die auf das Benutzerkonto bezogene Vertragsregelung nicht eigentlich eine Regelung des Rechts der öffentlichen Zugänglichmachung darstellt ( 19 a, 69 c Nr. 4 UrhG). Allerdings hilft dies insoweit nicht weiter, als nach wohl überwiegender Auffassung dieses Recht der öffentlichen Zugänglichmachung nur vom Anbieter gegenüber möglichen Urhebern der Spielesoftware benötigt wird. Er muss ihnen gegenüber berechtigt sein, das Spiel ins Netz zu stellen. Die 19 a, 69 c Nr. 4 UrhG erfassen aber nicht das Vertragsverhältnis des Anbieters zu seinen online nutzenden Kunden, in dem diesen Online-Zugangsrechte eingeräumt werden. Aus Urheberrecht besteht 2 Rössel, Urteilsanmerkung, IT-Rechtsberater 10/2010, 223. IT- und Internet-Recht aktuell 1/2011 3

4 deshalb kein Anspruch von Folgeerwerbern, diesen Zugang zum Online-Spiel eingeräumt zu erhalten. Das betrifft aber eben den Zugang zum Online-Spiel, nicht notwendig generell jede Benutzung von Software. Zu weitgehend erscheint deshalb die Formulierung eines redaktionellen Leitsatzes Nr. 3 in der Fundstelle MMR, wonach generell kein Anspruch eines Software- Erwerbers darauf bestehe, mit dem Erwerb des urheberrechtlich geschützten Computerprogramms auch eine Nutzungsmöglichkeit eingeräumt zu erhalten. Der BGH hatte sich nur mit der netzbasierten interaktiven Nutzung zu befassen, nicht mit jeder beliebigen Benutzung auf einzelnen Rechnern. Im Gegenteil wird zumindest der Ersterwerber durchaus beanspruchen können, auch die beschriebene Nutzungsmöglichkeit und sogar die Einräumung eines Benutzerkontos eingeräumt zu erhalten. BGH, Urt.v I ZR 39/08, GRUR 2011, 56 Session-ID Macht ein Berechtigter durch eine technische Schutzmaßnahme i.s.v. 95 a UrhG (Zuweisung einer Session-ID) erkennbar, dass der öffentliche Zugang zu seiner Website nur über deren Startseite erfolgen soll, verletzt das Setzen eines Links direkt auf eine nachgeordnete Seite ( Deep Link ) das Recht des Berechtigten zur öffentlichen Zugänglichmachung ( 19 a UrhG). Das gilt auch, wenn die Schutzmaßnahme nicht wirksam, aber erkennbar ist. Der Beklagte hatte sich mittels eines von ihm geschriebenen Skripts den direkten Zugang eröffnet. Anmerkung: In seiner Entscheidung BGHZ 156, 1 = GRUR 2003, 958 Paperboy hatte der BGH festgehalten, dass das Setzen eines Deep Link auf eine frei zugreifbare Seite keine unzulässige urheberrechtliche Nutzungshandlung darstellt. Der Linksetzer verweist nur auf die Seite, hält sie aber nicht selbst zum Abruf bereit und übermittelt sie auch nicht. Er haftet auch nicht als Störer. Das gilt nicht, wenn der Zugang durch eine technische Schutzmaßnahme über die Startseite ( Homepage ) leitet. Das Setzen eines Deep Link stellt dann ein unzulässiges Umgehen dieser Schutzmaßnahme dar. Allerdings muss es sich um eine technische Schutzmaßnahme handeln. Nicht ausreichend dürfte sein, auf einer der Startseite vorgeschalteten Seite einfach nur einen Hinweis zu geben, dass der Zugang nur über die Startseite zulässig sein soll. BAG, Beschl.v ABR 80/08 EBE/BAG 15,12, 2010 Der Betriebsrat kann, sofern berechtigte Belange des Arbeitgebers nicht entgegenstehen, von diesem die Eröffnung eines Internetzugangs und die Einrichtung eigener -Adressen auch für einzelne Betriebsratsmitglieder verlangen. OLG Frankfurt/M., Urt.v U 13/10, MMR 2010, 681 Der Anbieter einer Software kann im Volumenlizenzvertrag die Übertragbarkeit der eingeräumten Nutzungsrechte wirksam ausschließen und den Ersterwerber außerdem verpflichten, einen Zweiterwerber auf die Bedingungen des Volumenlizenzvertrags zu verpflichten. Wirksam kann weiter vereinbart werden, IT- und Internet-Recht aktuell 1/2011 4

5 dass die Software nur an Endbenutzer weitergegeben und nur zu diesem Zweck vervielfältigt werden darf. An unter Verletzung des Vertrags erstellten Programmkopien auf Datenträger kann anderen kein Nutzungsrecht eingeräumt werden. Das gilt auch, wenn notarielle Bestätigungen zum Lizenzerwerb beigebracht werden. Anmerkung: Das Urteil schränkt das Weiterverbreitungsrecht der Ersterwerbers einer Software auf den ersten Blick deutlich ein. Er soll nämlich Folgeerwerber verpflichten, die vertraglichen Nutzungsbedingungen des Anbieters einhalten zu müssen. Außerdem soll der Ersterwerber nur mit Endbenutzern einen Vertrag zur Weiterveräußerung schließen dürfen. Wenn der Ersterwerber aber ein Programmexemplar auf Datenträger erworben hat, erschöpft sich an diesem Exemplar das Verbreitungsrecht des Anbieters. Der Eintritt der Erschöpfungswirkung des Verbreitungsrechts aus Urheberrecht kann nicht davon abhängen, dass der Ersterwerber später bestimmte Verträge mit Folgeerwerbern schließt. Die Erschöpfungswirkung tritt nämlich sofort mit Veräußerung an den Ersterwerber ein. Eine andere Frage ist, ob der Ersterwerber schuldrechtlich gegenüber dem Anbieter zur Einhaltung bestimmter Pflichten verpflichtet ist. Auch bei Verletzung dieser Pflichten durch den Ersterwerber kann aber der Folgeerwerber dinglich wirksam das Vervielfältigungsstück erwerben, wiederum weiterveräußern und bestimmungsgemäß benutzen. Von diesem Erwerb eines Programmexemplars zu unterscheiden ist freilich das einzelne Recht zur Nutzung der Software. Unternehmen erwerben oft für eine bestimmte Anzahl gleichzeitig nutzender Mitarbeiter Nutzungsrechte. Diese Rechte sind als solche nicht isoliert übertragbar. Der Ersterwerber kann nur das erworbene Software-Exemplar als solches mit allen zugehörigen Nutzungsrechten weiterübertragen. Keinesfalls darf er Programmkopien auf Datenträger brennen und nur mit einem Teil der Nutzungsrechte weiterveräußern und die restlichen, von ihm nicht benötigten Nutzungsrechte weiter ausüben. An solchen selbstgebrannten Kopien tritt keine Erschöpfung des Verbreitungsrechts des Anbieters ein. Das muss erst recht gelten, wenn ein Mitarbeiter des Ersterwerbers ohne dessen Wissen Kopien brennt. Hier erwirbt der Folgeerwerber kein Nutzungsrecht. Nicht entscheidend ist, ob er einer vorgelegten (unzutreffenden) notariellen Bestätigung Glauben schenkte, dass das Programm beim Ersterwerber gelöscht wurde, denn auf guten Glauben kommt es im Urheberrecht nicht an. OLG Düsseldorf, Urt.v U 247/08, GRUR-RR 2010, 4 Wird ein auf einem Computer vorinstalliertes Computerprogramm veräußert, tritt die Erschöpfung des Verbreitungsrecht auch an diesem Programmexemplar ein, aber nur in dieser besonderen Verkörperungsform des Programms auf der Hardware. Der Erwerber darf hier das Programmexemplar nur zusammen mit dem Rechner weiterveräußern. Unzulässig ist es, eine Sicherungskopie zu erstellen und diese getrennt zu veräußern. Dies gilt auch dann, wenn der Anbieter dem Sicherungskopieren zugestimmt hat und sogar, wenn der Erwerber die Software auf dem Rechner gelöscht hat. Anmerkung: Das Programmexemplar ist hier nicht auf separatem Datenträger IT- und Internet-Recht aktuell 1/2011 5

6 verkörpert, sondern im Rechner selbst. Der Erwerber darf das Programm mit dem Datenträger veräußern, aber nicht auf Datenträger kopieren und diese Kopie getrennt weiterveräußern. Diese Kopie ist nämlich nicht die vom Anbieter verbreitete Kopie. Das Erstellen der Sicherungskopie ist zwar nach 69 d Abs. 2 UrhG zustimmungsunabgängig zulässig, sofern es für die Sicherung zukünftige Benutzung erforderlich ist. Die Weiterveräußerung ist aber keine solche Benutzung, sondern das Ausüben eines (dem Erwerber nicht eingeräumten) Verwertungsrecht. Das Löschen des Programms beim Ersterwerber muss erfolgen, wenn er einen Originaldatenträger weiterveräußert, damit weitere Nutzung durch den Ersterwerber ausgeschlossen ist. Das Löschen hilft hingegen nicht, wenn nicht die auf dem Rechner vorinstallierte Programmkopie mit diesem weiterveräußert, sondern eine selbsterstellte Kopie. Das Problem stellt sich nur in den Fällen, in denen jeweils eine Sicherungskopie vom vollständigen Programm erstellt wird. Eigenständig weiter veräußerbar sind hingegen nicht bloße funktional eingeschränkte Recovery-Versionen. OLG Karlsruhe, Urt.v U 46/09, GRUR-RR 2010, 234 Das Gericht gibt die bisherige Rechtsprechung auf und verneint die urheberrechtliche Schutzfähigkeit von Bildschirmmasken als Computerprogramm, bejaht aber die Möglichkeit eines Schutzes als Darstellung wissenschaftlicher oder technischer Art bei Vorliegen der erforderlichen Schöpfungshöhe ( 2 Abs. 1 Nr. 7 UrhG). Die Bildschirmoberfläche werde durch das Computerprogramm erzeugt, sei aber kein Teil von diesem. Sie könne durch unterschiedliche Programme erzeugt werden. Anmerkung: Die Entscheidung entspricht wesentlich den Erwägungen des EuGH,Urt.v OLG Celle, Urt.v U 38/09, GRUR-RR 2010, 282 Das rechtwidrige Herunterladen von Hacker software durch den Geschäftsführer einer GmbH berechtigt das Unternehmen zur fristlosen Kündigung, da es das Unternehmen einer Gefahr strafrechtlicher Ermittlungen und einer Rufschädigung aussetzt. IT- und Internet-Recht aktuell 1/2011 6

7 Themen Cloud Computing Verträge und Datenschutz Der Begriff Cloud Computing ist im IT-Bereich in aller Munde. Genaue Definitionen fehlen. Die ENISA 3 hat eine offizielle Definition des Begriffs Cloud Computing erarbeitet: Cloud Computing is an on-demand service model for IT-provision, often based on virtualization and distributed computing technologies. Cloud computing architectures have: - highly abstracted resources, - near instant scalability and flexibility, - near instantaneous provisioning, - shared resources (hardware, database, memory, etc). - service on demand, usually with a pay as you go billing system, - programmable management. Der Anwender kann nicht einfach mit Anbietern einen Vertrag über die Leistung Cloud Computing schließen. Vielmehr muss die vom Anbieter geschuldete Leistung in jedem Einzelfall beschrieben und vereinbart werden. Einfach scheint dies zunächst bei standardisierten Angeboten großer Provider, die etwa Mail- oder Textverarbeitungsservices anbieten. Aber bereits hier müssen eine Reihe von Punkten vertraglich so konkret geregelt werden, dass ihre Einhaltung überprüfbar ist. Das gilt z.b. für Leistungsmerkmale wie Systemverfügbarkeit, Zwischenspeicherung zu verarbeitender und verarbeiteter Daten des Kunden und Datenschutz. Die wichtigsten Regelungselement werden nachfolgend zusammengefasst. I. Cloud Computing-Verträge 1. Vertragsinhalt 1. 1 Kontrollfähige Beschreibung der geschuldeten Leistung. Die Leistungsbeschreibung muss so konkret gefasst sein, dass der Auftraggeber feststellen kann, welche Leistungen er erwarten kann und ob sie termingerecht vollständig erbracht sind, und der beauftragte Dienstleister beweisen kann, dass er die vereinbarte Leistung tatsächlich erbracht hat und die vereinbarte Vergütung fällig geworden ist. Regelungspunkte sind insbesondere: Bezeichnung der Applikation oder Applikationen, die der Kunde nutzen können soll (s.unten Cloud-Typen ). Anzahl der gleichzeitigen Zugriffsberechtigungen des Kunden (für dessen Mitarbeiter). Festlegung, zu welchen Zeiten der Online-Zugang möglich ist (wichtig, wenn 3 European Network and Information Security Agency, IT- und Internet-Recht aktuell 1/2011 7

8 der Auftraggeber schnell Daten seiner Kunden beauskunften oder korrigieren soll). Zulässige Dateiformate. Verwendung nur von Standardschnittstellen (bei Web Services XML). Einsatz ausreichender Verschlüsselungsverfahren und sonstiger erforderlicher Sicherheitsmaßnahmen wie Anonymisierung (die aber ausscheiden muss, wenn der Dienstleister Daten mit Personenbezug verarbeiten muss). Festlegung, welche maximalen Datenvolumina übertragen werden dürfen. Systemverfügbarkeit mit zulässigen Wartungsfenstern, Performanz, jeweils nach Service Levels gestaffelt. Verfügbare Speicherkapazität für Daten des Kunden, Datensicherung beim Anbieter. Ausfallsichere Datenverbindungen. Absicherung gegen netzbasierte Angriffe. Besonders die cloud-typische Virtualisierungsschicht und der zugehörige Virtual Machine 4 Motor stellen eine Schwachstelle der Angriffssicherheit dar. 5 Zusicherung des Anbieters, die Anforderungen nach ISO und des BSI-Grundschutzes zu erfüllen. Wenn möglich ISO-Zertifizierung des Anbieters. 6 Recht des Kunden (als Auftraggeber), die Einhaltung dieser Anforderungen beim Dienstleister zu kontrollieren. Wirksames Monitoring- und Security-Incident-Management (z.b. mit 24/7- Überwachung der Cloud und -Reaktionsmöglichkeiten, Einbindung in CERT- Strukturen, Logfatenerfassung und Auswertung). Notfall-Management (nach BSI-Standard 100-4) und hierbei möglichst direkter Zugriff auf Subunternehmer, regelmäßige Sicherheitsüberprüfung mit Nachweis. Portabilität der Daten, damit der Auftraggeber jederzeit wieder aus der Cloud exportieren und den Dienstleister wechseln kann (kein vendor lock-in 7 ) Vergütung pro Zeiteinheit oder pauschal. Möglichst sollte nur die tatsächliche Nutzung bezahlt werden müssen. Rechte des Kunden bei Leistungsstörungen, z.b. Wiederherstellung von unvollständig oder falsch bearbeiteten Daten, Eskalationsverfahren, Schlichtungsverfahren. Sieht der Anbieter Gewährleistung vor? Sind Mängelbeseitigungen technisch möglich? In welcher Zeit? Vertragslaufzeit. Exit Support bei der Rückführung von Datenbeständen bei Vertragsende. Zugriff auf Datenbestände des Kunden bei Einstellung der Anbieterleistung etwa wegen Insolvenz oder aus anderen Gründen. Escrow des Software as a Service -Image, um den Kunden bei Anbieterinsolvenz abzusichern. Haftung des Anbieter bei Ausfall seiner IT-Systeme. (Ausschluss der) Zulässigkeit der Unterbeauftragung von Subdienstleistern. Diese Subbeauftragung ist gerade im Cloud Computing problematisch, da der Kunde diese Subunternehmen oft nicht kennt, aber für deren Fehler etwa 4 Wikipedia, Stichwort Virtual Machine, 5 Heidrich/Wegener, MMR 12/2010, Müller, Risiken beim Cloud Computing, mueller_cloud.pdf., 2 7 Gesellschaft für Informatik: Zehn Thesen zu Sicherheit und Datenschutz im Cloud Computing, These 8. IT- und Internet-Recht aktuell 1/2011 8

9 beim Datenschutz gegenüber den Betroffenen haften muss. Beim (meist) grenzüberschreitenden Computing Festlegung, das Recht welchen Staates anwendbar sein soll. Einhalten des Datenschutzes nach den Anforderungen des Bundesdatenschutzgesetzes (BDSG). Das Bundesamt für Sicherheit in der Informationsverarbeitung (BSI) hat außerdem als Stand der Technik Mindestanforderungen an Cloud- Computing-Anbieter definiert 8 Zu prüfen sind: - Rechenzentrumssicherheit, - Netzsicherheit, - Host- und Servervirtualisierung, - Anwendungs- und Plattformsicherheit, - Ressourcen- und Patch-Management, - Datenspeicherung, Speichervirtialisierung und Datensicherheit, - Verschlüsselung und Schlüsselmanagement, - ID- und Rechtemanagement, - Monitoring und Security-Incident-Management, - Notfallmanagement, - Sicherheitsprüfung und nachweis, - Transparenz der Standorte der Verarbeitung, der Subunternehmer, regelmäßige Unterrichtung über Änderungen, welche Software der Anbieter auf Kundenrechnern installiert, Rechts- und Besitzverhältnisse des Cloud-Anbieters, - Portabilität von Daten und Anwendungen, - Interoperabilität, - Cloud-Zertifizierung Cloud Computing 9 weist einige technische Besonderheiten auf, die auch rechtliche Bedeutung haben. Durch Cloud Computing (die Datenverarbeitung in der Wolke ) wird das Internet zum Rechner. Die Rechner stehen nicht mehr beim Anwender, sondern bei den Providern. Der Anwender kann auf immer mehr Anwendungen einfach über die bei ihm ohnehin vorhandene Browser-Software zugreifen. Er erhält auch keine Anwendungssoftware auf Datenträger oder durch Download, sondern nutzt die bei den Providern bereitgehaltene und verbleibende Software jeweils nach Bedarf. Nur Speicherkapazität zum Heraufladen zu verarbeitender und für das Herunterladen bereitzuhaltender Daten muss er bei einem Provider anmieten. Ermöglicht wird dies durch Virtualisierungstechniken 10, die mehreren Nutzern gleichzeitige Nutzung von Anwendungen auf fremder Hardware (unter Trennung von Applikation und Betriebssystem) ermöglichen. Zunächst ist zu unterscheiden, welche Art von Cloud Computing geschuldet sein 8 BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter (Stand ) Mindestsicherheitsanforderungen.pdf 9 Zum Begriff s. Wikipedia Stichwort Cloud Computing, 10 Wikipedia Stichwort Virtualization, Erläuterungen bei Braun/Kunze/Ludwig. Servervirtualisierung, Informatik_Spektrum_32_3_2009, 197. IT- und Internet-Recht aktuell 1/2011 9

10 soll Die Public Cloud ist ein Service auf pay per use -Basis für jedermann. - Die Private Cloud ist ein nichtöffentlicher Service (wie Intranets), der nur für vorab definierte Nutzer zugänglich ist, vom Kunden (Auftraggeber) selbst betrieben und hauptsächlich für unternehmensspezifische Anwendungen eingesetzt wird 12. Hier erhält jeder Auftraggeber jeweils erforderliche Ressourcen meist individuell fest zugewiesen. In Hybrid Clouds werden Public und Private Cloud kombiniert und durch interne und/oder externe Provider betrieben. Community Clouds können von verschiedenen Einrichtungen betrieben werden. Die Leistungen sind je nach Typ des Cloud Computing sehr unterschiedlich. 13 Soweit personenbezogene Daten des Kunden vom Dienstleister verarbeitet werden, sind auch die datenschutzrechtlichen Verantwortlichkeiten zu beachten. (a) Unter Software as a Service (SaaS, Application Cloud) fallen alle Anwendungen (z.b. Salesforce, Wikis, Blogs), die auf Rechnern des Dienstleisters (oder von ihm unterbeauftragter Dienstleister) als laufende Leistung gefahren werden (etwa Lohnbuchhaltung für Unternehmen). Wenn der Anbieter die personenbezogenen Daten des Kunden verarbeitet, muss der Vertrag Kunde - Anbieter alle Regelungspunkte enthalten, die 11 BDSG (2009) im Zehn-Punkte-Katalog vorschreibt (s. unten), so etwa die Vorab- Kontrolle ( 11 II 4 BDSG) und Dokumentationspflicht ( 11 II 5 BDSG). Der Dienstleister muss außerdem ein Verfahren zur Bearbeitung von auftraggeberseitigen Abfragen implementiert haben. 11 BDSG ist auch bei Private Clouds einzuhalten. (b) Bei Platform as a Service (PaaS, Platform Cloud) bietet der Dienstleister dem Auftraggeber Laufzeit seines IT-Systems und ggf. die Nutzung einer Entwicklungsumgebung an (z.b. Google Apps), damit der Auftraggeber selbst Applikationen entwickeln, kompilieren und ausführen kann (z.b. Datenbanken und deren Integration, Security). Der Dienstleister schuldet hier i.d.r. keine Personendatenverarbeitung im Auftrag. Jedoch können angebotene Anwendungen auch Personendaten umfassen, etwa beim Customer-Relationship-Management (CRM) oder bei der Replikation ganzer Datenbestände. Geschäftsprozesse können als einheitlich auf unterschiedlicher Hardware abgebildete angeboten werden ( Service oriented architecture, SOA) Die Ausführung der Applikation wird vom Auftraggeber selbst administriert. Der Dienstleister kann aber mit seinem System selbst bestimmte Funktionalitäten unterstützen, etwa Mandantenfähigkeit, Skalierbarkeit, Zugriffskontrolle, Datenbankzugriffe etc. Hier muss jeweils geprüft werden, ob insoweit doch 11 Zur Abgrenzung s. etwa Nägele/ Jacobs, ZUM 2010, 281ff; Birk/Wegener, DuD 9/2010, 641; Eymann, Cloud Computing, Enzyklopädie der Wirtschaftsinformatik, Geschaeftsmodell/Cloud-Computing 12 Stichwort Cloud Computing, 13 Zur Abgrenzung s. etwa BSI Mindestsicherheitsanforderungen (Stand ) IT- und Internet-Recht aktuell 1/

11 Personendatenverarbeitung im Auftrag vorliegt. ( c) Bei Infrastructure as a Service (IaaS) erhält der Auftraggeber die eigensteuerte, skalierbare Nutzung von Ressourcen des Dienstleisters angeboten, etwa Speicherplatz, CPUs, Netze. Der Auftraggeber nimmt hier Personendatenverarbeitung ausschließlich selbst vor. 1.2 Anwendbares Vertragsrecht Auch wenn von Web Services oder Software as a Service die Rede ist, darf dies nicht generell mit Dienstverträgen gleichgesetzt werden. Vielmehr können bestimmte Teile der geschuldeten Leistung werkvertraglichen Charakter haben, etwa bezüglich der Verfügbarkeit, des möglichen Datendurchsatzes oder der Durchführung von Plausibilitätsprüfungen. Das gilt erst recht, wenn der Anbieter nicht nur seine Ressourcen zur Online-Nutzung zur Verfügung stellt, sondern bestimmte Aufgaben als solche (z.b. Durchführen einer betrieblichen Lohnbuchhaltung) erfüllen soll (Funktionsübertragung). Die Leistungsmerkmale (z.b. verfügbare Speicherkapazität) können in Service Level Agreements preislich unterschiedlich festgelegt sein. Auch der Ausdruck Service Level führt keineswegs notwendig zur Anwendung von Dienstvertragsrecht. Soll etwa eine Mindestverfügbarkeit geschuldet sein, so ist der Anbieter verpflichtet, diese herbeizuführen und aufrechtzuerhalten. Dieser Leistungserfolg kann nach Werkvertragsrecht zu beurteilen sein. Allgemeine Regeln für die Anwendbarkeit des jeweiligen Vertragsrechts lassen sich hier nicht geben; vielmehr müssen (insbesondere bei Typenkombinationsverträgen) alle Umstände des Einzelfalls berücksichtigt und gewichtet werden. Keine tragfähige Lösung wäre es, wenn der Anbieter in seine AGB die pauschale Regelung aufnimmt, dass für den Vertrag Dienstvertragsrecht gelten solle. Diese Regelung wäre sogar zwischen Kaufleuten unwirksam, wenn hierdurch wesentliche werkvertragliche Kundenrechte eingeschränkt werden. 14 Wirksam sind aber grundsätzlich Vereinbarungen, das Recht welches Staates anwendbar sein soll (Art. 27 Abs. 1 Satz 1 EGBGB). Ist eine solche Rechtswahl nicht getroffen, muss grundsätzlich auf das Recht des Staates abgestellt werden, zu dem der Vertrag die engsten Verbindungen aufweist, hier also meist der Sitz oder die Zweigniederlassung des Cloud-Anbieters, 15 bei Verbraucherverträgen hingegen der Aufenthaltsstaat des Verbrauchers (Art. 29 Abs. 2 EGBGB). II. Datenschutzrechtliche Probleme der Auftragsdatenverarbeitung in der Cloud Vertragsrecht und Datenschutzrecht sind (auch) im Cloud Computing eng verknüpft, das selbst klassische Auftragsdatenverarbeitung darstellt. 16 Immer Ulmer/Brandner/Hensen, ABG-Recht, 307 BGB Randnr. 208, 259. Niemann/Paul, Cloud Computing, K&R 2009, 444, Weichert, Cloud Computing und Datenschutz, DuD 10/2010, 679 mit Nachweisen. IT- und Internet-Recht aktuell 1/

12 dann, wenn in der Cloud personenbezogene Daten verarbeitet werden, müssen nämlich Kunden und Dienstleister zu zehn Regelungsbereichen Vereinbarungen treffen und dokumentieren. Diese in 11 BDSG obligatorisch vorgeschriebenen Vertragsregelungen werden in diesem Abschnitt knapp erläutert. 11 BDSG setzt Art. 17 Abs. 2 EU-Datenschutzrichtlinie um, der Auftraggeber einer personenbezogenen Auftragsdatenverarbeitung verpflichtet, einen Dienstleister auszuwählen, der für die zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichende Gewähr bietet. Diese Pflicht des Auftraggebers wird nicht deshalb reduziert oder gar aufgehoben, weil die Auftragsdatenverarbeitung mittels Cloud Computing stattfindet. Der Auftraggeber muss vielmehr vollständig über die Art und Weise der Datenverarbeitung bestimmen. Dieses Bestimmungsrecht kommt nicht zum Tragen, wenn der Cloud- Anbieter über Art und Ort der Verarbeitung und dort jeweils getroffene Sicherheitsmaßnahmen keine Auskunft geben kann. 17 Das ist insbesondere dann der Fall, wenn die Datenverarbeitung weltweit verteilt erfolgt. So kann es kostengünstig sein, die Daten nicht bei uns am Tage zu verarbeiten, sondern in den USA, solange dort Nacht und die Rechnernutzung entsprechend reduziert ist. Für den Auftraggeber ist es hier meist schon rein technisch bedingt nicht möglich festzustellen, welche seiner Daten wann und wo verarbeitet werden. Vorab ist allgemein festzuhalten, dass diese Regelungspflicht nicht nur dann eingreift, wenn der Anbieter von Web Services ihm von Kunden übertragenen Daten von sich aus mit definierten Applikationen verarbeitet und die verarbeiteten Daten zum Abruf bereithält (wie dies schon bisher beim Rechenzentrumsbetrieb erfolgte). Sie besteht auch schon dann, wenn der Anbieter Daten (etwa in seinem Storage Area Network, SAN) nur speichert, ohne sie in irgendeiner Weise zu verändern. Schon dieses Speichern stellt nämlich einen Verarbeitungsvorgang i.s.v. 4 IV Nr. 1 BDSG dar, der im Auftrag des Kunden erfolgt ( 11 BDSG) Anwendbar ist das deutsche BDSG und EU/EWR-weit das Recht der Europäischen Datenschutzrichtlinie. Drittstaaten außerhalb von EU/EWR weisen nur dann einen ausreichenden Datenschutz auf, wenn dies von der EU festgestellt wurde, so etwa für die Schweiz, Kanada, Argentinien, Guernsey, Isle of Man. 18 Verarbeitet ein Dienstleister die Personendaten in einem Drittstaat bei Cloud Computing wohl eher die Regel als Ausnahme schützt deutsches Datenschutzrecht die Betroffenen nicht. Dies müssen etwa Arbeitgeber beachten, die Personaldatenverarbeitung in die Cloud verlegen wollen. Dies ist jedenfalls immer dann unzulässig, wenn hierdurch Mitarbeiterdaten in Drittstaaten übermittelt werden, in denen die Betroffenenrechte nicht durchsetzbar sind. Der Auftraggeber ist nämlich allein gegenüber seinen Kunden oder gegenüber Dritten zu allfälligen Korrekturmaßnahmen oder zu Schadensersatzleistungen verpflichtet ist. Lücken in Verträgen mit Dienstleistern oder im zwischenstaatlichen Datenschutzrecht können ihn nicht entlasten. Bei personenbezogener Datenverarbeitung sollte deshalb möglichst vermieden werden, Rechner an Standorten außerhalb der EU für beauftragtes Cloud Computing einzusetzen. Auch Subunternehmern in Nicht-EU-Staaten sind 17 Weichert, a.a.o., Müller, a.a.o.,3. IT- und Internet-Recht aktuell 1/

13 entsprechend den Anforderungen der 4 b, 4c, 28 BDSG zu verpflichten und so 11 BDSG (s. Kasten) auf die volle Verarbeitungskette zu verlängern. Vorgeschlagen wird, dass dann, wenn ein cloud-basierter Web Service verschiedene Unternehmen verbinden soll, zwischen den Unternehmen eine Vereinbarung über verbindliche Unternehmensregeln (Binding Corporate Rules) im Sinne der Art. 25 Abs. 1 und 2, 26 Abs. 2 EU-DSRL geschlossen wird (Empfehlung der Art. 29-Datenschutzgruppe der EU). 19 Der Auftraggeber sollte möglichst keine sensitiven Daten (z.b. von Arbeitnehmern und erst recht nicht von Patienten) in der Cloud übermitteln, da das Internet zu unsicher ist und nur äußerst aufwendig angesichert werden kann. 20 Ein Multi-Tenancy-Konzept, 21 nach dem mehrere Abteilungen eines Unternehmens getrennt und voneinander isoliert den Service des Dienstleiste nutzen, kann den Datenschutz unterstützen, da es die Möglichkeiten beliebiger Datenverknüpfungen einschränkt. Mehrere dieser Regelungspunkte des 11 BDSG 2009 (die schon bestehende Pflichten des Auftraggebers nur konkretisieren) können sich in der Praxis als Stolpersteine erweisen, da Vereinbarungen inhaltlich nicht möglich oder kontrollfähig oder gegenüber Dienstleistern nicht durchsetzbar sind. Diese Regelungspunkte werden nachfolgend aufgelistet und es wird (ohne Vollständigkeitsanspruch) für einige Punkte erläutert, weshalb die Vereinbarung einer kontrollfähigen, detaillierte für Cloud Computing-Anwendungen Vereinbarung schwer ist oder gar unmöglich erscheint. Allgemein ist zu beachten, dass die Beauftragung schriftlich erfolgen muss ( 11 Abs. 2 Satz 2 BDSG). Erforderlich ist damit, dass ein Vertrag schriftlich erstellt und eigenhändig unterzeichnet werden muss ( 126 Abs. 1 BGB). Die bloß elektronisch erfolgende Beauftragung (etwa durch ) reicht nicht aus, da die eigenhändige Unterschrift fehlt. Das Schriftformerfordernis greift auch für Subunternehmen ein. Der Auftragnehmer muss also Verträge über Subbeauftragungen eigenhändig unterzeichnen, gleich, ob sich die Subbeauftragten innerhalb oder außerhalb von EU/EWR befinden. Das schnelle Wechseln der Verarbeitung zu Rechnerbetreibern in Übersee ist ohne schriftlichen Vertrag damit generell unzulässig. Dies schränkt die Möglichkeit von Personendatenverarbeitung in der Cloud erheblich ein. 1. Gegenstand und Dauer des Auftrags. Die IT-Ressourcen in der Cloud können (wenn von unternehmensinternen und damit voll kontrollierbaren Private Clouds abgesehen wird) weltweit verteilt sein und binnen Sekunden umverteilt werden, wo immer gerade Rechenkapazität frei wird. Mit einem beauftragten Dienstleister (etwa einem SaaS-Anbieter) können also zwar Vereinbarungen über Inhalt und Dauer des Auftrags getroffen werden. Jedenfalls für dessen subbeauftragte Anbieter (etwa von IaaS-Diensten) können solche Vereinbarungen selten oder gar nicht getroffen werden, wenn ständig 19 Weichert, a.a.o., 683, Unabhängiges Landeszentrum für Datenschutz (ULD) Schleswig-Holstein, Weichert, Cloud Computing und Datenschutz, S So ausdrücklich These 5 der Gesellschaft für Informatik (GI). 21 Coffee, Information Management und Consulting 24 (2009) 2, 24. IT- und Internet-Recht aktuell 1/

14 zwischen verschiedenen und zudem weltweit verteilten Services gewechselt wird, also der Ort der Verarbeitung nicht dauerhaft bestimmbar ist.. 2. Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen. 3. Die (nach 9 BDSG) zu treffenden technischen und organisatorischen Maßnahmen. Die Anlage zu 9 BDSG enthält wiederum in acht Punkten Vorgaben für zu treffende Regelungen, die wesentlich die Sicherheit, Integrität und Vertraulichkeit der Datenverarbeitung betreffen. Hier ist etwa die Verpflichtung problematisch zu gewährleisten, dass nachträglich überprüft und festgestellt werden können muss, ob und von wem personenbezogene Daten in das System des Dienstleisters eingegeben, verändert oder entfernt worden sind (Anlage zu 9, Nr. 5 Eingabekontrolle). Dies würde erfordern, dass der Dienstleister sämtliche DV-Aktivitäten personenbezogen registriert, kontrolliert und dokumentiert sowie dem Auftraggeber auf Anforderungen zur Prüfung offenlegt. Das dürfte bei Systemen großer Dienstleister schon rein technisch kaum möglich sein und von US-Dienstleistern meist verweigert werden. Die Anwendungen und insbesondere Datenbestände auf dem Dienstleister- System müssen wirksam isoliert, d.h. gegen den Zugriff anderer Kunden oder Dritter gesichert sein (z.b. durch Speichervirtualisierung). Die für Netzwerke typische technische Absicherung durch Firewall-Systeme ist in der Cloud nicht möglich; die Absicherung muss am beim Dienstleister angemieteten Service- Container durch einen Paketfilter und ein Intrusion Detection System erfolgen. 22 Da sich das Risikoprofil ändert, sollte die Verlagerung der DV auch mit der Versicherung abgeklärt werden. 4. Die Berichtigung, Löschung und Sperrung von Daten. Die Daten müssen auf jedem IT-System korrigierbar sein. Der Anbieter ist deshalb nicht frei, beliebige Subunternehmer an beliebigen Orten unterzubeauftragen. 5. Die (nach 11 Abs. 4 BDSG) bestehenden Pflichten insbesondere Kontrollpflichten des Auftragnehmers. Für nicht öffentliche Stellen müssen etwa die 4 f und 4 g BDSG (Bestellung und Aufgaben eines Beauftragten für den Datenschutz) beachtet werden. Diese Bestellung müsste auch bei allen subbeauftragten Dienstleistern erfolgen, in der Praxis des Cloud Computing kaum durchsetzbar. 6. Die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen. Diese Regelung findet sich an fast keinem Vertrag mit Cloud-Anbietern, weshalb jede solche Auftragsverarbeitung in der Cloud ohne eine derartige Regelung rechtswidrig ist. Der Dienstleister sollte bei Unterbeauftragung von US-Anbietern ausdrücklich die EU-Standardvertragsklauseln akzeptieren. Der Bezug auf die EU- 22 Birk/Wegener, DuD 9/2010, 641, 643. IT- und Internet-Recht aktuell 1/

15 Safe-Harbor-Regelungen 23 und eine Selbstzertifizierung der US-Unternehmen wird als nicht den EU-Standards entsprechend angesehen, bei sog. SAS-70-Typ- II Zertifizierung nur teilweise, da die materiellen und prozeduralen Betroffeneninteressen nicht berücksichtigt werden Die Kontrollrechte des Auftraggebers und die entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers. Der Auftraggeber muss seine Kontroll-/Auditrechte vertraglich definieren. Bei Leistungsketten sollte sichergestellt sein, dass die Kontrollen nicht nur beim SaaS-Betreiber möglich sind, sondern auch bei unterbeauftragten Dienstleistern, etwa IaaS-Betreibern. Auftraggeber haben schon rein technisch und personell nicht die Möglichkeit, die weltweit verteilten Rechner zu kontrollieren, auf denen zudem ständig wechselnd ihre Personendaten verarbeitet werden. Meist wissen sie nicht einmal, wo ihre Daten gerade verarbeitet werden. Kaum ein Dienstleister wird außerdem bereit sein, Betretungs- und Prüfrechte (Audit) vertraglich einzuräumen, allein schon, weil dies der erforderlichen Absicherung der Rechenzentren zuwiderlaufen würde. Nicht abschließend geklärt scheint, ob der Auftraggeber die erforderlichen Prüfungen persönlich durchführen muss bei Cloud Computing regelmäßig in der Praxis ausgeschlossen. Es wird ersatzweise eine Überprüfung durch Sachverständige vorgeschlagen, 25 in der Cloud ebenfalls kaum praktikabel. Die bloße schriftliche Auskunftserteilung durch den Auftragnehmer wird aber als nicht ausreichend angesehen. 26 Bereits dies wäre in der Cloud eher unüblich. Ein praktikabler Weg kann sein, den Datenschutzbeauftragten des Auftraggebers mit der Prüfung der DV des Auftragnehmers zu beauftragen und bei Verarbeitung in der Cloud zumindest die Möglichkeit einer Überprüfung aller Subbeauftragten zu vereinbaren. Zumindest die erstmalige Kontrolle muss vor Beginn der Datenverarbeitung besonders umfassend erfolgen und geeignet sein, noch Unzulänglichkeiten aufzudecken und abzustellen. 27 Bei längerfristigen Aufträgen soll eine einmalige Kontrolle nicht ausreichend sein, sondern muss die Kontrolle regelmäßig wiederholt werden, ohne dass aber starre Fristen vorgeschrieben sind. 28 Das Ergebnis der Prüfungen ist zu dokumentieren Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen das Datenschutzrecht oder gegen die Vertragsregelungen ( Lederer, Den sicheren Hafen gibt es nicht, Legal Tribune Online, , 24 Weichert, a.a.o., 686 und Unabhängiges Landeszentrum für Datenschutz (ULD) Schleswig-Holstein, Weichert, Cloud Computing und Datenschutz, S. 11f. ausdrücklich auch für Cloud Computing-Verträge Vander, K&R 2010, 292, 295. Vander, a.a.o, 295. BT-Drs. 16/13675, 22. BT-Drs. 16/13675, 18. BT-Drs. 16/13675, 18. IT- und Internet-Recht aktuell 1/

16 a BDSG). 30 Soweit ersichtlich, ist bisher kaum ein Dienstleister vertraglich zu einer Mitteilung von Datenpannen verpflichtet. Die Einhaltung dieser Verpflichtung wäre auch kaum weltweit kontrollierbar. Folge ist freilich, dass Verstöße durch auslänfische Subunternehmer sanktionslos und sogar unentdeckt bleiben können. 9. Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält. Soweit überhaupt Verträge über Beauftragungen geschlossen werden, handelt es sich meist um allgemeine Nutzungsbedingungen, die keine besonderen Weisungsrechte der Auftraggeber vorsehen. Diese Weisungsrechte müssen deshalb i.d.r. gesondert geregelt werden. Das gilt erst recht für Weisungen gegenüber subbeauftragten Dienstleistern. Die Weisungen können insbesondere die Berichtigung, Löschung und Sperrung von personenbezogenen Daten betreffen (s. Nr. 4). Der Auftragnehmer muss jederzeit verpflichtet werden können, bestimmte einzelne Personandaten oder bestimmte Sammlungen von Personendaten zu berichtigen, löschen oder sperren. 10.Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Auch die Löschung von Daten ist in der Praxis des Cloud Computing i.d.r nicht geregelt. Allenfalls findet man interne Regelungen von Dienstleistern zur Löschung, um Speicherkapazität zu behalten. Diese Regelungen begründen aber keine Ansprüche des Auftraggebers Ergänzend ist festzuhalten, dass der Regelungskatalog des 11 BDSG nicht abschließend ist. Der Auftraggeber sollte ergänzend prüfen, ob zusätzlich Vereinbarungen bezüglich der Kündigung bei Datenschutzverstößen, der Haftung und Vertragsstrafen sowie einer Beweislastumkehr erforderlich sind. 31 Man kann die Ergebnisse kurz zusammenfassen: Personendatenverarbeitung und Cloud Computing sind in Public Clouds in vielen Fällen inkompatibel. Vermerkt wurde deshalb, dass die Erfüllung aller Anforderungen des 11 BDSG in der Praxis nicht durchsetzbar sei. 32 Das Sanktionsrisiko (aus Unzulässigkeit der Auftragsdatenverarbeitung) trägt der Auftraggeber, der gegenüber den Betroffenen für die Rechtmäßigkeit der Verarbeitung ihrer Daten einstehen muss. Sollte sich der Befund zu 11 in der Praxis bestätigen, blockiert die Regelung des 11 BDSG jede cloud computing-gestützte Personendatenverarbeitung, allein schon, weil gar regelmäßige Audits und Inspektionen nicht gegenüber größeren Cloud- Dienstleistern durchsetzbar sein werden. Und selbst dann bleiben kaum lösbare Probleme, da der Auftraggeber jederzeit Art und Umfang sowie Ort und Zeit der Personendatenverarbeitung kennen und sogar beherrschen können muss, was nach dem Stand der Technik gegenwärtig als unmöglich angesehen wird, allein schon, weil sich die Orte jederzeit in Sekunden ändern können S. näher Eckhardt/Schmitz, DuD 6/2010, 390. Vander, Auftragsdatenverarbeitung 2.0?, K&R 2010, 292, 294. Heidrich/Wegener, MMR 12/2010, 806. Heidrich/Wegener, MMR 12/2010, 806. IT- und Internet-Recht aktuell 1/

17 Datenschutzrechtlich gilt der Auftragnehmer als Teil der (auftraggebenden) verantwortlichen Stelle. Das gilt auch für subbeauftragte Dienstleister. Der Auftraggeber selbst muss für diese gegenüber Betroffenen mit einstehen. Er bleibt verpflichtet, Ansprüchen auf Auskunft, Berichtigung, Sperrung und Löschung von der Betroffenen nachzukommen. Auch die Mitteilungspflicht bezüglich eingetretener Datenschutzverletzungen trifft den Auftraggeber. Im Auftragsverhältnis muss er deshalb sicherstellen, dass er vom Auftragnehmer über alle datenschutzrechtlichen Datenpannen unverzüglich und in vollem Umfang informiert wird. Die Einschätzungsentscheidung, ob schwerwiegende Beeinträchtigungen drohen könnten, darf nicht vom Auftragnehmer getroffen werden, sondern nur vom Auftraggeber. Erhält dieser keine oder nur unzureichende Kenntnis von Datenpannen im Auftragsbereich, ist dies sein Haftungsrisiko. Ist keine Beauftragung i.s.d. 11 BDSG erfolgt oder möglich, muss der Dienstleister als Dritter ( 3 VIII Satz 2 BDSG) eingestuft werden. Für jede Datenübermittlung müssen dann die gesetzlichen Voraussetzungen des 28 BDSG erfüllt sein. Das gilt für alle (großen) Anbieter von Web Services wie Amazon, Google, Microsoft oder HP, die keine auftragsindividuell ausgehandelten Verträge anbieten (können). Jeder Betroffene (etwa Kunde oder Mitarbeiter des Auftraggebers) muss in diese Übermittlung eingewilligt haben. Ist keine Einwilligung erfolgt, muss die Übermittlung in die Cloud erforderlich sein ( 28 Abs. 1 Satz 1 Nr. 2 BDSG). Jedenfalls für Verarbeitung außerhalb der EU-/EWR- Grenzen wird diese Erforderlichkeit verneint, da es auch adäquate Cloud-Angebote innerhalb dieser Grenzen gebe BDSG greift auch dann ein, wenn die Datenverarbeitung zwar zu persönlichen oder familiären Zwecken, aber in der Cloud erfolgt. Zwar nimmt das BDSG diesen Bereich von seiner Geltung aus, doch nur, wenn sämtliche diesbezüglichen DV-Vorgänge, also der Datenumgang, allein von derselben Privatperson als verantwortliche Stelle durchgeführt werden 35, die Daten also in diesem Privatbereich verbleiben. Das Auslagern von Daten etwa durch das Schreiben von Dokumenten oder s bei Google stellt eine Beauftragung eines Dritten außerhalb des Privatbereichs dar, auf die das BDSG und insbesondere 11 BDSG in vollem Umfange anwendbar ist. Konkrete Folge: Die Nutzung solcher Web-Services ist auch im Privatbereich nur zulässig, wenn alle auch nur im Familienkreis Betroffenen eingewilligt haben, dass ihre Daten über etwa Google Mail (mit)verwaltet und hierbei mitgelesen werden, und wenn die privat verarbeitende Person etwa Google einen schriftlichen Auftrag gemäß 11 BDSG erteilt hat (in der Praxis meist kaum durchsetzbar). wäre nicht ausreichend. Wird diese Vereinbarung aber nicht oder auch nur unvollständig getroffen, droht ein Bußgeld bis zu Euro ( 11, 43 I, III BDSG). Im Falle von Rechtsstreitigkeiten sollte die Anwendung von deutschem Recht (auch von deutschem oder jedenfalls EU-Datenschutzrecht!) und der Sitz des Auftraggebers als Gerichtsstand vereinbart werden. Zwar besteht keine Freiheit der Wahl des anwendbaren Rechts, aber es ist möglich und erforderlich, die Regelungsanforderungen des 11 BDSG ( Zehn-Punkte-Programm ) auch mit Subunternehmern und/oder ausländischen Dienstleistern zu vereinbaren. Diese 34 Weichert, a.a.o., Simitis/Dammann, Komm. zum BDSG, 1 Rdn. 148, 149. IT- und Internet-Recht aktuell 1/

18 Einhaltung muss nach einem Beschluss des Düsseldorfer Kreises v regelmäßig kontrolliert werden. Die einfachere Regelung des 11 BDSG ist auf Nicht-EU/EWR-Dienstleister nicht anwendbar, sondern es müssen in jedem Einzelfall die Voraussetzungen des 28 BDSG erfüllt sein. Das BSI erfasst auch die Datenschutz/Compliance (S. 15): - Gewährleistung des Datenschutzes nach deutschem Recht. - Datenschutzrichtlinien und gesetze, denen der Cloud-Anbieter unterliegt, müssen eingehalten werden. - Speicherung und Verarbeitung der personenbezogenen Daten nur innerhalb der Mitgliedsstaaten der EU oder eines Vetragsstaat des EWR. - Keine Einbindung von Unterauftragnehmern, die eine Verarbeitung der personenbezogenen Daten nur innerhalb der oben genannten Staaten nicht gewährleisten können. - Kontrollrechte des Cloud-Nutzers zur datenschutzkonformen Verarbeitung der personenbezogenen Daten. - Gesetzliche Bestimmungen des Cloud-Nutzers müssen durch den Anbieter eingehalten werden, Die relevante Bestimmungen teilt der Cloud-Nutzer dem Anbieter mit. Telemediendienst Das Hin- und Rückübermitteln der Personendaten durch den ausländischen Cloud- Dienstleister kann als Telemediendienst zu beurteilen sein ( 12 TMG). Dann das ist wohl streitig kann die Übermittlung nicht durch 28 Abs. 1 Satz 2 Nr. 2 BDSG abgestützt sein, da 12 TMG eine Sonderregelung (lex specialis) darstellt. Wenn sich diese Auffassung durchsetzt, bleibt dem Auftraggeber nichts anderes, als von allen durch diese Datenverarbeitung Betroffenen vor deren Beginn die Einwilligung einzuholen ( 12 II TMG). Cloud-Dienstleister im Inland müssen im Internet Namen und Sitz bekanntgeben ( 5 I TMG), ebenso eine Datenschutzerklärung ( 13 II Nr. 1 TMG). Telekommunikationsrecht soll nicht anwendbar sein. 36 Weitere wichtige Links zum Thema: BITKOM Leitfaden: Cloud Computing Was Entscheider wissen müssen (2010) Cloud Computing Evolution in der Technik, Revolution im Business (2009) auch über GI Gesellschaft für Informatik: Zehn Thesen zu Sicherheit und Datenschutz im Cloud Computing mit einer hilfreichen ausführlichen Linkliste. Unabhängiges Landeszentrum für Datenschutz (ULD) Schleswig-Holstein, Weichert, Cloud Computing und Datenschutz cloud-computing 36 Heidrich/Wegener, MMR 12/2010, 805. IT- und Internet-Recht aktuell 1/

19 Die wichtigsten Compliance-Prüfpunkte für Unternehmer und deren CIOs I. Prüfpunkte im Überblick Auch wenn in vielen Bereichen der Wirtschaft die Krise überwunden scheint, bleiben die Anforderungen an die Unternehmen aus den Compliance-Pflichten zur Risikoabwendung bestehen, allein schon im Hinblick auf die technische Absicherung der IT des Unternehmens gegen (immer gezieltere) Angriffe aus dem Internet. In diesem einführenden Beitrag werden zunächst in einer Übersicht die wichtigsten Prüfpunkte aufgelistet. Alle Geschäftsleitungen sind verpflichtet, rechtzeitig sich abzeichnende Risiken zu analysieren, die den Bestand des Unternehmens bedrohen können, und mögliche Vorkehrungen zur Risikoabwendung zu treffen (sog. Bestandssicherungsverantwortung ), insbesondere, wenn kleinere und mittlere Software-Anbieter oder Systemhäuser beauftragt wurden. Anwendende Unternehmen müssen einerseits insbesondere Produktionsunterbrechungen durch Ausfall von IT-Systemen vorbeugen, andererseits aber auch klären, welche Risiken bei Ausfall eines IT-Anbieters (bei Insolvenz oder auch nur Einstellung einer Produktlinie) für das anwendende Unternehmen drohen. Die Geschäftsleitung darf nicht abwarten, bis der Anbieter Insolvenzantrag gestellt hat. Sie muss rechtzeitg vorher Gefährdungslagen analysieren und mögliche Vorkehrungen prüfen, etwa Vorverträge mit anderen Anbietern zur Sicherung eines raschen Wechsels. Prüfliste: Ganz konkret sollten Konfliktfälle und die Compliance-Pflichten der Geschäftsleitung durchgespielt und etwa folgende Fragen gestellt werden: Was ist veranlasst, wenn sich die Insolvenz des beauftragten Anbieters von Enterprise Resource Planning- oder Datenbank-Software abzeichnet, etwa Updates nicht mehr ausgeliefert werden oder die Geschäftstätigkeit ganz eingestellt wird oder vom Anbieter Gewinnwarnungen in den Medien oder im Internet gegeben werden? Dürfen wir in bei Anbieterinsolvenz unsere Anwendung weiter nutzen? Wer könnte sie dann unterstützen (Wartung, Pflege, Hotline-Support)? Kann auf andere Produkte ausgewichen werden? Wie lange würde ein Plattformwechsel dauern? Sind Source Codes verfügbar, mit denen einspringende Drittfirmen die Maintenance weiterführen können? Bestehen Erfüllungsbürgschaften? Sollten wir unsererseits bevorstehende Zahlungen an den Anbieter (z.b. Systemmiete, Wartungs-/Pflegevergütung) besser zurückbehalten, um bevorstehende Leistungen zu sichern? Kann der Anbieter seinerseits laufende Verträge fristgemäß kündigen? Müssen wir bei unklarer Perspektive der weiteren Entwicklung unsererseits eine Gewinnwarnung an unsere Kapitaleigner herausgeben? Sind die möglichen Schäden aus Produktionsunterbrechungen durch das Unternehmen und/oder den Anbieter versichert? Ist auch das Risiko erfasst, dass diese Unterbrechungen durch Nichtleistung des (insolvent gewordenen) IT- Anbieters verursacht wurden? IT- und Internet-Recht aktuell 1/

20 Diese Risikoanalysen sollten zeitnah durchgeführt und regelmäßig aktualisiert werden. Die Ergebnisse sollten dokumentiert werden, um den Beweis der Anwendung der erforderlichen Sorgfalt führen zu können. II. Wichtige Compliance-Grundsätze 1. Begriff der (Corporate) Compliance Der Begriff der (Corporate) Compliance bezeichnet das Einhalten, Befolgen von Gesetzen, Richtlinien und anderen Verhaltensmaßregeln und die Übereinstimmung mit diesen (Hauschka, 1 Rdn. 2.). 37 Durch Mitarbeiter begangene Regelverstöße werden im Compliance-Konzept grundsätzlich als wirtschaftliches Risiko für das Unternehmen und das Management verstanden (Hauschka, 1 Rdn. 3). Hieraus begründete Risiken sollen durch angemessenes Risikomanagement und controlling angewendet werden (so ausdrücklich der Deutschen Corporate Governance Kodex, Nr ). Compliance wird in einer Vielzahl von Rechtsbereichen erfordert, so etwa und insbesondere im Kartell- und Umweltrecht, Steuer- und Sozialversicherungsrecht, Kapitalmarkt- und Datenschutzrecht, im Recht der Arbeitssicherheit, Außenwirtschafts- und Geldwäscherecht, etc. (Schneider, ZIP 2003, 645, 646). Der übergreifende Begriff der Corporate Governance bezeichnet hingegen einen Ordnungsrahmen für die Leistung und Überwachung eines Unternehmens. Für diesen Ordnungsrahmen wurde der Deutschen Corporate Governance Kodex entwickelt jedoch wurde in 161 AktG für börsennotierte Aktiengesellschaften die Verpflichtung von Vorstand und Aufsichtsrat börsennotierter Aktiengesellschaften sind nach 161 AktG verpflichtet, für jedes Geschäftsjahr eine Entsprechenserklärung dahingehend abzugeben, ob den Empfehlungen im Kodex entsprochen wurde und wird oder welche Empfehlungen nicht angewendet wurden oder werden (Hauschka, 1 Rdn. 1). Der Begriff Corporate Compliance bezeichnet freilich nicht nur allgemein die Pflicht, bestehende Gesetze auch tatsächlich einzuhalten. Vielmehr müssen und das ist ein zentrales Merkmal des Compliance -Konzepts bestimmte Vorkehrungen getroffen und Kontrollen der Pflichtenbefolgung durchgeführt werden, um der Gefahr von Rechtsverletzungen und hieraus begründeten operationellen Risiken vorzubeugen. An dieser Stelle wird die Schnittstelle zu den Mitarbeitern deutlich, die an der Pflichtenbefolgung mitwirken müssen. 2. Compliance-Pflichten der Geschäftsleitung Compliance ist Teil eines umfassenderen Pflichtenkatalogs und zentrale Aufgabe für Geschäftsleitungen. So haben Vorstände von Aktiengesellschaften bzw. GmbH- Geschäftsführer bei ihrer Geschäftsführung jederzeit die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters ( 93 Abs. 1 S. 1 AktG) 37 Nachweise s. am Ende. IT- und Internet-Recht aktuell 1/