Rechtliche Anforderungen an Cloud Computing Sichere Cloud-Dienste

Transkript

1 Rechtliche Anforderungen an Cloud Computing Sichere Cloud-Dienste Version 1.0 vom 15. November 2011 IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 1

2 Inhaltsverzeichnis Management Summary 4 1.Einleitung Ziel des Leitfadens Definition Allgemein Cloud Dienste (Services) Cloud Betriebsmodelle Eigenschaften eines echten Cloud-Dienstes Anwendungsbeispiele Deutsche Wolke Anwendungsbeispiele der öffentlichen Hand Trusted German Insurance Cloud der Deutschen Versicherungswirtschaft Frankfurt Cloud eruiert Potenziale und Risiken Die FI-TS Finance Cloud GAD und IBM präsentieren auf der CeBIT erstes Cloud-Bankenverfahren 18 2.Rechtliche Anforderungen Zivilrecht Gestaltung der Vertragsbeziehung zwischen Nutzer und Anbieter Allgemein Vertragstyp Vertragspartner Inhalt der vertraglichen Dienstleistung Plichten des Cloud-Anbieters Pflichten und Rechte des Cloud-Nutzers Gewährleistung und Haftung Dokumentation und Nachweisbarkeit Vertragsänderung und Vertragsbeendigung (Exit-Management) Vertragsstatut und Gerichtsstand Datenschutzrecht Anwendungsbereich Personenbezogene Daten als Anwendungsvoraussetzung Relevanz des Datenschutzrechts bei Pseudonymisierung oder Anonymisierung Relevanz des deutschen Datenschutzrechts bei Clod-Anbietern im Ausland Schutzziele des Datenschutzrechts Datenschutzrechtliche Anforderungen an die Auslagerung der Datenverarbeitung in die Cloud Technisch-organisatorischer Datenschutz (Datensicherheit nach 9 BDSG) 35 IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 2

3 Qualifizierung als Auftragsdatenverarbeitung oder Datenübermittlung Auftragsdatenverarbeitung in der Intra-EWR-Cloud Datenübermittlungsmodell in der Intra-EWR-Cloud Drittstaaten-Cloud Informationspflichten gegenüber Betroffenen Rechte der Betroffenen Informationspflicht bei Datenpannen (Security Breach Notification) ( 42a BDSG) Rechtsfolgen bei datenschutzwidrigem Vorgehen Patent-, Urheber- und Nutzungsrechte Branchenspezifische Anforderungen Kreditwirtschaft Bankaufsichtsrechtliche Anforderungen ( 25a Absatz 2 KWG) Bankgeheimnis (Nummer 2 AGB-Banken) Versicherungswirtschaft Versicherungsaufsichtsrechtliche Anforderungen Datenschutzrechtliche Anforderungen Besondere Anforderungen an Träger von Berufsgeheimnissen ( 203 StGB) Telekommunikation Steuerrechtliche und handelsrechtliche Anforderungen Anwendungen steuerrelevanter Daten ( 146, 147 AO, GDPdU, 41 EstG) Handelsrechtliche Buchführungspflicht Verantwortung und Haftung von Vorstand und Geschäftsführung (Compliance) 60 3.Thesen zum rechtspolitischen Handlungsbedarf 60 4.Anlagen EU-Datenschutzkonforme Staaten Literaturverzeichnis Autorenverzeichnis 67 IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 3

4 Management Summary Ergebnispapier Cloud Computing der Arbeitsgruppe 4 im nationalen IT-Gipfel Cloud Computing ist derzeit eines der am meisten diskutierten Themen in der Informationstechnik. Hinter diesem Begriff stehen weniger neue Technologien, sondern vielmehr deren Kombination und konsequente Weiterentwicklung. Dadurch werden neue IT-Dienstleistungen und neue Geschäftsmodelle ermöglicht. Zahlreiche Umfragen und Studien zeigen jedoch, dass mögliche Nutzer bei den Themenfeldern Informationssicherheit und Datenschutz Bedenken haben, die dem verstärkten Einsatz von Cloud Computing derzeit noch entgegenstehen. Die durch Cloud Computing entstehenden Skaleneffekte sind für den Industriestandort Deutschland zentral: Sowohl von der Anwender- als auch von der Herstellerseite können substantielle Potentiale erschlossen werden. Es kommt daher darauf an, sowohl in technologischer als auch in rechtlicher Hinsicht den Nutzer- und Anwendergruppen Handreichungen zur Informations- und Datensicherheit bereitzustellen. In Anbetracht dieser Entwicklung hat daher die Arbeitsgruppe 4 als ein Schwerpunktthema Cloud Computing ausgewählt. Durch das Zusammenspiel der im Bereich Cloud Computing kompetenten Akteure der Arbeitsgruppe 4 und deren Expertise für den deutschen und internationalen Markt wird sichergestellt, zeitnah relevante Lösungen und Publikationen bereitzustellen. Das Thema Cloud Computing wird durch zwei Unterarbeitsgruppen (UAG) bearbeitet: UAG 1 Definition von technischen Anforderungen zur Nutzung von Cloud-Services UAG 2 Rechtliche Anforderungen an Cloud Computing Sichere Cloud-Dienste Schwerpunkt der UAG 1 ist die Herausarbeitung von technischen Anforderungen, die aus Sicherheitssicht beim Einsatz von Cloud Computing beachtet werden sollten. Diese richten sich an Cloud-Service-Provider (CSP), die diese Dienste für Unternehmen und Behörden zur Verfügung stellen sowie an professionelle Anwender. Mit diesen Empfehlungen zur Konzeption einer sogenannten Trusted Cloud erfolgt der Übergang von der allgemeinen Idee einer Cloud zu einer für den Anwender akzeptablen und vertrauenswürdigen Cloud-Technologie. Das Konzept der Trusted Cloud schafft den Rahmen zur Verbreitung von Cloud-Systemen und der Steigerung der Nutzungsakzeptanz. Um dies zu erreichen, sind erweiterte technische Anforderungen, qualifizierte und überprüfbare Entwicklungs-, Zulassungs- und Nutzungsprozesse sowie moderne Sicherheitsstandards erforderlich. In den technischen Rahmenbedingungen wurden diese Anforderungen für den Aufbau und Betrieb von Trusted Clouds herausgearbeitet. Trusted Cloud orientiert sich an der Bereitstellung unterschiedlicher Servicemodelle (SaaS, PaaS, IaaS). Trusted Cloud bedeutet die Schaffung von Kontrollfähigkeit und Einflussnahme für den Cloud-Anwender bei der Ausführung von IT-Verarbeitungsprozessen und die Sicherstellung von Compliance-Anforderungen im Umgang mit Cloud-Anwenderdaten. IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 4

5 Unter Berücksichtigung der Differenzierung der Servicearten und der Betrachtung unterschiedlicher Schutzbedürfnisse im Umgang mit Daten der Cloud-Anwender wird eine skalierbare sowie technisch angemessene Beschreibung von Anforderungen an die Entwicklung, die Bereitstellung und die Betriebsprozesse von Cloud-Systemarchitekturen möglich. Als Ergebnis erhält man, je nach Art der Nutzung, eine Auswahl an technischen Anforderungen: Technische Konzepte zur Bereitstellung von Software Nutzungsrechten Die Arbeitsgruppe beschreibt Anforderungen an verlässliche Cloud-Architekturen. Die Verlässlichkeit bildet den Anker für die Gewinnung von Vertrauenswürdigkeit in der Nutzung von Cloud- Technologien und bildet einen wesentlichen Teil der Trusted Cloud Strategie. Im Mittelpunkt stehen die technischen Anforderungen, wie Zuverlässigkeit, Verfügbarkeit und Sicherheit, wobei ebenso die Betriebssicherheit der angebotenen IT-Ressourcen und Dienstleistungsanwendungen gewährleistet werden muss. Technische Konzepte zur Sicherstellung der IT-Ressourcenbereitstellung und Software- Verteilung Die Bereitstellung sowie technische Umsetzung von Software-Nutzungsrechten ist ein weiteres Kernkonzept der Trusted Cloud Strategie. Die Durchsetzung von Nutzungsrechten stellt hohe Anforderungen an die sichere Identifizierbarkeit von Akteuren und Geschäftsobjekten. Die Einbeziehung von Cloud-Lösungen für die Umsetzung von Geschäftsstrategien wird ohne eine sichere Bestimmung der Prozessbeteiligten und deren Befugnisse nur auf geringe Akzeptanz stoßen. Im Mittelpunkt dieser Themengruppe stehen technische Anforderungen, die eine Vergabe, Nutzung und Abkündigung von Nutzungsrechten auf Grundlage vertrauenswürdiger elektronischer Identitäten beschreiben. Technische Konzepte zur Sicherstellung der vertraulichen Datenspeicherung, Weitergabe und Kenntnisnahme Die Absicherung von Unternehmensdaten und die Wahrung der Anforderungen an die Vertraulichkeit stellen hohe technische Ansprüche an zukünftige Cloud-Technologien. Das Themengebiet beschäftigt sich mit technischen Anforderungen, damit die Vertraulichkeit unter Einbeziehung des Cloud-Anwenders für alle Prozessphasen der Datennutzung auf Grundlage moderner Verschlüsselungstechnologien gewährleistet wird. Neben den technischen Anforderungen an die Identifizierbarkeit der Prozessbeteiligten nimmt dieser Themenbereich ein weiteres Kernkonzept der Trusted-Cloud-Strategie auf, die sichere Nachweisführung. Das Zusammenspiel moderner Verschlüsselungstechnologien mit Anforderungen an eine sichere Nachweisführung schafft den Rahmen für eine Kontrollfähigkeit im Bereich der sicheren Verarbeitung von Daten in der Cloud. IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 5

6 Konzepte zur Definition und technischen Umsetzung zu Compliance sowie Gewährleistung des Datenschutzes Aus Sicht der Compliance spricht bei Vorhandensein der richtigen Sicherheitsfunktionen nichts gegen die Nutzung von Cloud Computing. Da die Datenhoheit im Regelfall beim Cloud-Anwender liegt, ist dieser verpflichtet, exakte Richtlinien zu definieren, wo z.b. ausgewählte Daten wie in einem Cloud-Service abgespeichert und verarbeitet werden dürfen. Auch aus rechtlicher Sicht sollte im Einzelfall überprüft werden, welche Einschränkungen bei bestimmten Daten gelten und ob die Verwendung eines Cloud-Services in Betracht gezogen werden kann. Technische Konzepte zur Wahrung der Datenhoheit Der Verlust der Datenhoheit steht als eines der großen Hindernisse bei der Verbreitung von Cloud Computing im Raum. Die Konzepte dieser Rubrik beschreiben technische Anforderungen an die Datenhoheit, jedoch ohne Einschränkung des flexiblen Cloud-Serviceangebotes. Unter anderem werden technische Konzeptionen zur Trennung von Verarbeitungsleistung und Datenhaltung aufgenommen. Neben technischen Anforderungen an eine redundante und verteilte Datenhaltung, werden auch Forderungen an Schnittstellen für Cloud-Anwender beschrieben. Diese sollen eine leichtere Integration bestehender IT-Systeme in Cloud-Architekturen ermöglichen. Technische Regelungen und Konzepte für den Umzug von Daten bei Cloud- Providerwechsel Damit die Daten bei einem Provider-Wechsel rückstandsfrei aus der Datenwolke entfernt und in eine andere eingefügt werden können, werden hier die notwendigen Prozesse konform zur Compliance beschrieben. Die technischen Anforderungen berücksichtigen sowohl Aspekte der Bereitstellung von Ressourcen für die Ausführung, wie auch der Kontrolle des Datentransfers zwischen unterschiedlichen Cloud-Providern. In allen Fällen gilt es, die Kontrollfähigkeit durch den Cloud- Anwender sicherzustellen. Ein weiterer Schwerpunkt umfasst die Einhaltung von technischen Nachbedingungen nach Beendigung der Vertragsbeziehung. Hierzu werden Forderungen formuliert, die eine Sicherstellung der erforderlichen Maßnahmen, wie z.b. die vollständige Löschung bestehender Geschäfts- bzw. Identitätsdaten, gewährleisten. Die UAG 2 hat die rechtlichen Rahmenbedingungen für die Nutzung und das Angebot von Cloud- Diensten durch Unternehmen dargestellt. Neben der Darstellung der für jede Art von Unternehmen als Nutzer und Anbieter von Cloud-Dienstleistungen allgemein gültigen rechtlichen Rahmenbedingungen werden anhand der drei Beispielbranchen Versicherungswirtschaft, Kreditwirtschaft und Telekommunikation die ergänzenden branchenspezifischen rechtlichen Anforderungen untersucht. Die Abhandlung zur Versicherungswirtschaft beinhaltet auch die Träger von Berufsgeheimnissen (Ärzte, Anwälte, Lebens-, Kranken- oder Unfallversicherer). IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 6

7 Die Untersuchung des Rechtsrahmens umfasst das Zivilrecht für die Gestaltung der Vertragsbeziehung, das Datenschutzrecht als mögliches Alleinstellungsmerkmal der Cloud Security Made in Germany, ferner das Patent-, Urheber- und Nutzungsrecht, besondere Aufsichtsregelungen der betrachteten Branchen sowie die steuerrechtlichen und handelsrechtlichen Anforderungen. Abgerundet wird der Rechtsrahmen für Cloud Computing mit einem Blick auf die Verantwortung und Haftung auf Vorstand und Geschäftsführung. Als Resümee wurde der für ein zukünftig erfolgreiches Cloud Computing erforderliche Handlungsbedarf für den Gesetzgeber in Form rechtspolitischer Thesen herausgearbeitet. Diese umfassen: Flexibilisierung des AGB-Rechts Die Arbeitsgruppe empfiehlt eine Flexibilisierung des AGB-Rechts im unternehmerischen Verkehr mit Blick auf die folgenden zwei Punkte: (a) Es muss dem Cloud-Anbieter (= Verwender der AGB) ermöglicht werden, bei einer typengemischten Leistung nach dem Schwerpunkt der geschuldeten Leistung das ihm angemessen erscheinende Vertragsregime einschließlich zugehöriger Sekundäransprüche (Haftung und Gewährleistung) abschließend in den AGB zu bestimmen, die Anwendbarkeit der Regelungen für andere Vertragstypen abzubedingen und im Rahmen des für den gewählten Vertragstyp AGB-rechtlich Zulässigen wirksam zu modifizieren. (b) Es muss dem Cloud-Anbieter ermöglicht werden, in AGB die Haftung und Gewährleistung im unternehmerischen Verkehr auf das industrieübliche Maß wirksam zu beschränken, insbesondere für einfache Fahrlässigkeit Haftungsobergrenzen ( caps ) festzulegen und bestimmte Schadensarten (insbesondere indirekte und Folgeschäden) von der Haftung auszunehmen. Modernisierung des Datenschutzrechts Das Cloud Computing lässt sich zwar unter dem Rechtsrahmen des Bundesdatenschutzgesetzes einordnen und bewerten, doch wird hierbei deutlich, dass das in seinen Grundzügen aus den 70er Jahren des letzten Jahrhunderts stammende Datenschutzgesetz nicht mehr auf der Höhe der informationstechnischen Entwicklung ist und gerade einer Internetgestützten Datenverarbeitung nur bedingt den Interessen von Unternehmen und Betroffenen gerecht wird. Das Cloud Computing zeigt exemplarisch die Notwendigkeit, das Datenschutzrecht zu modernisieren, um die richtigen und angemessenen Rahmenbedingungen für die Technik des 21. Jahrhunderts zu setzen. Zulassung weiterer elektronischer Unterschriftsmechanismen Der Gesetzgeber wird aufgefordert, in 11 Abs. 2 Satz 2 BDSG neben dem bisherigen Schriftformerfordernis alternative elektronische Mechanismen neben der qualifizierten elektronischen Signatur zuzulassen, um mittels starker Authentifizierung die elektronischen Prozesse medienbruchfrei zu gestalten. IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 7

8 Aufhebung telekommunikations- und telemedienspezifischer Ungleichbehandlungen An der Streichung des 92 TKG ist im Rahmen der TKG-Novelle festzuhalten. Denn aufgrund der Abgrenzungsschwierigkeiten zwischen TKG und TMG führt die Regelung in 92 TKG zu einer unnötigen Verkomplizierung und zusätzlicher Rechtsunsicherheit im Kontext der ohnehin schwierigen Abgrenzung zwischen TKG und TMG. Schaffung einer Einheitlichkeit der Informationspflicht bei Datenpannen Im Rahmen der für 2011 anstehenden TKG-Novelle soll in 109a TKG-E einer Sonderregelung für die bereits heute in 42a BDSG, 15a TMG und 93 Abs. 3 TKG einheitlich geregelten Fälle der Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten - auch bezeichnet als Security Breach Notification - eingefügt werden. Sowohl in ihren Voraussetzungen als auch in ihren Rechtsfolgen weichen 109a TKG und die unverändert bleibenden 42a BDSG, 15a TMG von einander ab. Eine solche Divergenz ist im Interesse der Rechtsanwendungssicherheit nicht hinnehmbar. Denn die Abgrenzung der Anwendungsbereiche des BDSG, TMG und des TKG sind gerade bei Online-Sachverhalten nicht abschließend eindeutig. Da die zukünftige Regelung in 109a TKG der Umsetzung einer EU-Richtlinie dient und daher hierauf nicht vollständig verzichten werden kann, ist dringend eine gleichzeitige oder kurzfristig nachfolgende Anpassung der 42a BDSG, 15 TMG geboten. Ermöglichung der Auftragsdatenverarbeitung in Drittstaaten bei Gewährleistung eines angemessenen Schutzniveaus Die für den Anwendungsbereich der Auftragsdatenverarbeitung bedeutende Abgrenzung zwischen Dritten und den der verarbeitenden Stelle zuzuordnenden Empfängern von Daten in 3 Abs. 8 BDSG sollte angesichts der Richtlinie 95/46/EG (EU-Datenschutzrichtlinie) und der von der EU- Kommission für Drittstaatenverarbeitungen entwickelten Instrumente dahingehend ausgeweitet werden, dass eine Auftragsdatenverarbeitung auch in außerhalb der EU und des EWR möglich ist, wenn ein angemessenes Datenschutzniveau sichergestellt ist. Anpassung der Bestimmungen zum Schutz von Berufsgeheimnissen ( 203 StGB) Um sicherzustellen, dass auch Träger von Berufsgeheimnissen, wie z. B. Ärzte und Unternehmen der Lebens-, Kranken- und Unfallversicherung, in einem geschützten Rahmen, wie z.b. innerhalb der Unternehmensgruppe oder in einem anderen gesicherten Bereich, Cloud-Technologien nutzen können, sollte 203 StGB angepasst werden. Es sollte geregelt werden, dass ein unbefugtes Offenbaren von Privatgeheimnissen nicht vorliegt, wenn der Geheimnisträger im Rahmen des ordnungsgemäßen Geschäftsbetriebs rechtlich selbstständige Stellen hinzuzieht, denen geschützte Daten zur Kenntnis gelangen, wenn die Stellen unter Berücksichtigung der von ihnen zum Geheimnisschutz getroffenen Maßnahmen sorgfältig ausgewählt wurden und der Geheimnisschutz IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 8

9 bei ihnen aufgrund vertraglicher Vereinbarungen oder gesetzlicher Bestimmungen ebenso gewährleistet ist, wie bei dem Geheimnisverpflichteten selbst. Anpassungen der Bestimmungen zum Schutz besonderer Arten personenbezogener Daten Im Hinblick auf die gerade bei der Verwendung von Cloud-Technologien nicht einfache Abgrenzung zwischen Auftragsdatenverarbeitung und Datenübermittlung sollte eine Übermittlung von besonderen Arten personenbezogener Daten, insbesondere Gesundheitsdaten, unter eng gezogenen Grenzen legitimiert werden. Voraussetzung sollte in Anlehnung an 11 BDSG sein, dass der Dienstleister unter Berücksichtigung der zu Datenschutz und Datensicherheit getroffenen Maßnahmen sorgfältig ausgewählt wurde und der Datenschutz in gleicher Weise gewährleistet ist, wie es bei dem Auftraggeber selbst der Fall sein muss. Mitwirkende der UAG 1: Mitwirkende der UAG 2: - Bundesamt für Sicherheit in der Informationstechnik - Bird & Bird LLP - Bundesverband deutscher Banken e.v. - BITKOM - Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit - Bundesverband deutscher Banken e.v. (Federführung) - Gesamtverband der Deutschen Versicherungswirtschaft e.v. - Büro Bundesbeauftragter für den Datenschutz und die Informationsfreiheit - T-Systems International GmbH - Eurocloud Deutschland_eco e.v. - secunet Security Networks AG (Federführung) - Gesamtverband der Deutschen Versicherungswirtschaft e.v - JUCONOMY Rechtsanwälte - secunet Security Networks AG 1. Einleitung Die Arbeitsgruppe 4 Vertrauen, Datenschutz und Sicherheit im Internet des Fünften IT-Gipfels der Bundesregierung hat zwei Schwerpunktthemen bestimmt, die bis zum 6. IT-Gipfel Ende 2011 entscheidend vorangebracht werden sollen: - Sichere Identitäten und - Cloud Computing. Das erst genannte Thema ist Gegenstand separater Arbeitsgruppen. Am Thema Cloud Computing wird in den folgenden vier Unterarbeitsgruppen (UAG) der Arbeitsgruppe 4 gearbeitet: 1) Definition technischer Anforderungen an Datenschutz und Informationssicherheit 2) Definition rechtlicher Anforderungen an Datenschutz und Informationssicherheit 3) Unterstützung von Projekten und Best Practice-Lösungen zur Sicheren Cloud 4) Formulierung von Forschungsbedarf für das IT-Sicherheitsforschungsprogramm der Bundesregierung Ziel der ersten UAG ist die Darstellung technischer Gefahren und Anforderungen. Das vorliegende Dokument stellt die Ergebnisse der Arbeiten zum zweiten Themenkreis zusammen. Es werden IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 9

10 Bestimmungen zur vertraglichen Gestaltung, zum Datenschutzrecht und zum branchenspezifischen Aufsichtsrecht betrachtet. Das Thema Cloud Computing ist nach Outsourcing/Offshoring eines der Hype-Themen, das die deutsche Wirtschaft in den nächsten Jahren intensiv beschäftigen wird. Eine Analystenschätzung der Experton-Group auf Basis von Anwenderbefragungen aus 2010 sieht hierbei folgendes Potential: IN MIO EUR SaaS PaaS IaaS Enabling GESAMT Im Ergebnis geht auch die Studie des Münchner Kreises aus 2009 davon aus, dass spätestens ab 2025 mehr als 75% der privaten und geschäftlichen Daten im Internet liegen werden. Dazu gehören beispielsweise Dokumente, Fotos, Videos und Unternehmensdaten. Auch werben bereits mehrere Anbieter für ihre Clouds im Consumer-Bereich. Cloud Computing muss sichere Dienstleistungen ermöglichen. Sicher im technischen, organisatorischen aber auch rechtlichen Sinne. Es gilt, immer und über die gesamte Cloud-Kette hinweg die grundlegenden Sicherheitsziele Integrität, Verfügbarkeit und Vertraulichkeit von Informationen zu gewährleisten. Hierfür müssen Mindestanforderungen definiert werden, die sowohl durch Anbieter als auch Nutzer von Cloud Services nachweisbar eingehalten werden müssen. Sichere, auf Mindestanforderungen basierende Cloud-Services stellen aufgrund der erzielten Skalen-Effekte einen enormen Wettbewerbsvorteil dar. Sicherheit wird transparent. Und Transparenz schafft Vertrauen in leistungsfähige sichere Cloud-Dienste Ziel des Leitfadens Das Ziel der Unterarbeitsgruppe Rechtliche Anforderungen an Cloud Computing Sichere Cloud- Dienste besteht in der Darstellung der rechtliche Rahmenbedingungen für die Nutzung und des Angebots von Cloud-Diensten durch Unternehmen. Die Nutzung des Cloud Computing durch Verbraucher ist nicht Gegenstand des Leitfadens. Cloud Computing wird als eine besondere Ausprägung des Outsourcings von IT-Prozessen unter Nutzung des Internets verstanden. Die schon seit Jahrzehnten von Unternehmen praktizierte Auslagerungen von IT-Prozessen auf externe Dienstleister dagegen, wie z.b. Servicerechenzentren, werden im Leitfaden nicht betrachtet. Der Begriff Cloud Computing selbst wird in Kapitel 1.2 definiert. IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 10

11 Als Resümee soll auch der für ein zukünftig erfolgreiches Cloud Computing erforderliche Handlungsbedarf für den Gesetzgeber herausgearbeitet werden. Kapitel 3 enthält dazu Thesen zum rechtspolitischen Handlungsbedarf. Neben der Darstellung der für jede Art von Unternehmen als Nutzer und Anbieter von Cloud- Dienstleistungen allgemein gültigen rechtlichen Rahmenbedingungen werden anhand der drei Beispielbranchen - Versicherungswirtschaft, - Kreditwirtschaft und - Telekommunikation die ergänzenden branchenspezifischen rechtlichen Anforderungen untersucht. Die Abhandlung zur Versicherungswirtschaft beinhaltet auch die Träger von Berufsgeheimnissen (Ärzte, Anwälte, Lebens-, Kranken- oder Unfallversicherer). Die rechtlichen Anforderungen beschreiben konkrete Bedingungen und Ansprüche, unter denen eine sichere Nutzung von Cloud Services für unterschiedliche Interessengruppen gewährleistet werden kann. Die Nutzer von Cloud-Diensten müssen sich darauf verlassen können, dass auf Grundlage verlässlicher Cloud-Konzepte ihr eigenes interaktives Vorgehen (Benutzerverhalten) bzw. anderer involvierter Akteure im Rahmen rechtlicher Normen und Vorgaben erfolgt und im Zweifelsfall auch eindeutig nachgewiesen werden kann. Dieser Katalog mit technischen und rechtlichen Anforderungen, die dokumentiert und nachweisbar eingehalten werden, gereicht einer Cloud Security Made in Germany zum Vorteil. Denn Sicherheit ist Qualität. Cloud Computing hat ein enormes Wachstumspotenzial, es wird sich zu einem großen IT-Produkt und somit zu einem Wettbewerbs- und damit Standortfaktor entwickeln. Bezogen auf die Sicherheit allgemein und speziell im Bereich der IT-Sicherheit ist Deutschland ein allseits anerkannter Standort. Diesen privilegierten Status gilt es mit der Bereitstellung von vertrauenswürdigen IT-Konzepten für standardisierte und sichere Cloud-Dienstleistungen zu festigen und auszubauen. Darauf aufbauend können vertrauenswürdige Architekturen, Plattformen und Systeme entwickelt und angeboten werden Definition Allgemein Cloud Computing ist ein Modell, das on-demand und online mittels eines Netzwerks (z.b. des Internets) den Zugriff auf einen gemeinsamen Pool konfigurierbarer Computing-Ressourcen wie Netzwerke, Server, Speichersysteme, Anwendungen und Dienste ermöglicht. Diese können pass- IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 11

12 genau, schnell, kostengünstig und mit minimalem Verwaltungsaufwand bereitgestellt und abgerufen werden. 1 Vom Cloud Computing zu unterscheiden sind die seit Jahrzehnten praktizierten Auslagerungen von IT-Prozessen auf einen externen Dienstleister, wie ein Service-Rechenzentrum. Während bei diesen Vorgängen die Datenverarbeitung beim externen Dienstleister eindeutig lokalisierbar ist, ist das Cloud Computing aufgrund seines Netzwerkbezugs dezentral gestaltet. Der Ort der Verarbeitung ist die Wolke, die aber wegen der Nutzung eines Netzwerks nicht immer so genau eingrenzbar ist, wie die klassische zentrale Auftragsdatenverarbeitung in einem bestimmten Service-Rechenzentrum. Wie beim Strom aus der Steckdose kommt es beim Cloud Computing vom Prinzip her nicht darauf an, wo die Netzleistung tatsächlich erzeugt wird. Allerdings ist nicht zu verkennen, dass die Grenzen fließend sind. Eine private Cloud ähnelt sehr dem klassischen Servicerechenzentrum, die öffentliche Cloud unterscheidet sich davon deutlich. Neben der eigentlichen Begriffsdefinition wird bei der Bereitstellung von Cloud Computing zwischen Cloud Diensten und Cloud Betriebsmodellen unterschieden, die in beliebiger Kombination verwendet werden können Cloud Dienste (Services) Bei der Bereitstellung von Cloud Diensten unterscheidet man in erster Linie drei Ebenen: SaaS Software as a Service Die Anwendungs- oder auch Applikationsebene ist der derzeit am häufigsten angebotene und diskutierte Cloud Service. Das Software as a Service -Vertriebsmodell existiert schon lange am IT Markt, und wurde erst später in das Service-Ebenen-Modell aufgenommen. Diesen Anspruch er- 1 Definition: NIST; National Institute of Standards and Technology, USA IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 12

13 füllt es allerdings nur dann, wenn das Angebot massiv skalierbar, mehr-mandantenfähig, elastisch flexibel ist und auch andere Cloud Computing Attribute entsprechend unterstützt (wie in den verschiedenen Cloud Definitionen ausgeführt). Der Kunde nutzt eine Software nach dem Pay-as-you- Go -Modell und muss sich um zugrunde liegende Basistechnologien (wie Infrastruktur oder Plattform) nicht kümmern. Alle darunter liegenden Komponenten sind mit einem Preis abgedeckt und in der Regel sogar für den Benutzer transparent. Beispiele für SaaS sind die Angebote Google Gmail oder Salesforce.com, Netsuite oder SPScommerce.net. PaaS - Platform as a Service Wie in oben dargestellter Grafik veranschaulicht, baut PaaS auf den Infrastruktur Ressourcen auf und wird in der Literatur entsprechend der Funktion oft auch als Middleware bezeichnet. Man versteht darunter alle notwendigen Laufzeitumgebungen, Anwendungen, Tools, Datenbanken, Webservices usw. Komponenten also, die letztendlich für die eigentlichen zum Einsatz kommenden Anwendungen als standardisierte Basis dienen und modular zusammengestellt werden können. Diese Angebote erlauben es Cloud-Nutzern Individualsoftware zu erstellen oder zu implementieren. Beispiele für PaaS sind Google s App Engine und Microsoft s Azure. IaaS Infrastructure as a Service Der Kunde kann auf Subskriptionsbasis die IT-Infrastruktur wie Platz, Klima, Netzwerk, Server bis zum Betriebssystem und dem zugehörigen Betriebs-Monitoring anmieten. Er kann darauf seine jeweiligen Anwendungsumgebungen frei implementieren. Man könnte IaaS auch als eine im Wesentlichen durch Einsatz von Software abstrahierte und virtualisierte Rechenzentrumsressource auffassen. Virtualisierungstechnologien und große verfügbare Netzwerkbandbreiten haben als die wichtigsten Basistechnologien den Grundstein für die Cloud gelegt. Die Provisionierung und Automatisierung der standardisierten Services sind Basis für die kommerzielle Attraktivität dieses Modells. Ein Bespiel für IaaS ist Amazon's Elastic Compute Cloud (AWS). Daneben gibt es weitere Ausprägungen als Sonderform, wie zum Beispiel Business Process-, Storage-, Monitoring-, Communication as a Service, die zusammenfassend oftmals auch als XaaS benannt werden Cloud Betriebsmodelle IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 13

14 Bei den Betriebsmodellen ist zu unterscheiden, wer der Betreiber ist und wer generell Zugriff auf die Dienste hat: Private Cloud: Dedizierte Bereitstellung der Dienste für einen definierten Mandanten. Private Clouds sind exklusiv verfügbare Ressourcen, unabhängig vom Standort und in Fragen der Sicherheit, des Rechts und der Verfügbarkeit eher der traditionellen IT zuzurechnen. Öffentliche Cloud: Generelle Bereitstellung der Dienste für die gemeinschaftliche Nutzung mit logischer Mandantenzuordnung. Daneben existieren noch Sonderformen wie Community Cloud: Kombination mehrere Cloud Dienste für bestimmte Anwendergruppen. Hybrid Cloud: Kombination von Private und Public Cloud. Nutzung von Diensten einer Public Cloud aus einer Private Cloud. IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 14

15 Eigenschaften eines echten Cloud-Dienstes Folgende Eigenschaften charakterisieren einen echten Cloud-Service 2 : Virtuelle Ressourcen: Physikalische Realisierung des Dienstes ist dem Nutzer verborgen. Dies ermöglicht dem Betreiber die Optimierung des Dienstes hinsichtlich Effizienz und Standardisierung. Mandanten-Fähigkeit: Einzelne Ressourcen bedienen in einer gemeinsam genutzten Umgebung mehrere Benutzer, wobei Mechanismen zum Schutz und Isolierung jedes Mandanten angewendet werden. Ermöglicht dem Anbieter, Nutzen aus den unterschiedlichen Lastverhalten zu ziehen. Verbrauchsabhängige Bezahlung: Nutzer bezahlt nur für Ressourcen, die auch tatsächlich in Anspruch genommen wurden. Nutzer-gesteuerte Bereitstellung: Ressourcen können vom Benutzer selbst angefordert werden, die Bereitstellung läuft dann automatisch ohne Interaktion mit dem Dienst- Anbieter ab. Elastizität: Dienste können spontan und schnell auf Lastveränderungen reagieren. Für den Nutzer scheinen die Ressourcen unendlich zu sein. Programmatische Kontrolle: Der Nutzer kann mittels Programmier-Schnittstelle Ressourcen konfigurieren, nutzen und steuern. Dies ermöglicht dem Nutzer dynamisch den Verbrauch durch die Anwendung zu steuern und dem Anbieter das Ressourcenmanagement zu automatisieren. 2 BITKOM Leitfaden, Cloud Computing Evolution in der Technik, Revolution im Business, 2009 IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 15

16 Quellen: Anwendungsbeispiele Deutsche Wolke Die Deutsche Wolke ist ein gemeinsames Projekt von Unternehmen wie Boston Server & Storage Solutions Group, Equinix, Tarent, SEP und der Linux Solutions Group (Lisog). Die Betreiber garantieren, dass die Server der Cloud alle im Bundesgebiet stehen sowie deutsches Datenschutzrecht befolgen. Für prädestiniert für die Deutsche Wolke gelten Anwendungen aus den Bereichen Customer Relationship Managament, Enterprise Ressource Planning, Groupware, Filesharing, Dokumentenmanagement sowie Archivierungslösungen. Proprietäre Schnittstellen und Technologien werden vermieden. Die Deutsche Wolke verspricht deshalb neben dem Standort in Deutschland auch die Unterstützung von offenem Standards und Schnittstellen sowie den ausschließlichen Einsatz von freier Software. Nicht zuletzt wirbt die Wolke bei ihren Kunden mit deutschsprachigen Ansprechpartnern in den daran beteiligten Firmen. Als zufriedenen Kunden nennt der Anbieter die IT der Stadt Schwäbisch Hall Anwendungsbeispiele 3 der öffentlichen Hand Die Bundesagentur für Arbeit hat die Anzahl der Rechenzentren von 178 auf 11 gesenkt und zieht aus 930 Liegenschaften Server- und Speichersysteme ab. Dabei übernehmen intelligente Netzwerke Aufgaben, für die bisher separate Hardware erforderlich war. Das EDV-Centrum für Kirche und Diakonie (ECKD) nutzt eine Private Cloud. Die Energiekosten konnten um 35% gesenkt, die Nutzfläche gar gedrittelt werden. Die Verfügbarkeit wurde gesteigert, neue Applikationen werden nun in wenigen Stunden statt wie bisher in Wochen bereit gestellt. Anhand eines konkreten Beispiels gibt EMC die folgende Kostenreduktion an: Betriebskosten über fünf Jahre für 12 Server im Vergleich mit einer Cloud-Infrastruktur: 4 Mio. Euro zu Euro, was einer Reduktion um 80% entspricht. Die Einsparung ergibt sich u.a. durch die Reduktion der Server und somit des Raumbedarfs und durch Erhöhung der Auslastung von CPU und Speicher. Das Beispiel gilt für einen Komplettersatz. Bei einem Teilersatz werden diese Werte wohl nicht ganz erreicht. Praxisbeispiele der Finanzwirtschaft: 3 Thomas Mierschke, Mirko Bass, Über das Netzwerk sicher in der Cloud, In: Wege ins smarte (e)government, egovernment Computing, S IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 16

17 Trusted German Insurance Cloud der Deutschen Versicherungswirtschaft Das Cloud Computing weist auch hohe Nutzenpotentiale für Versicherungsunternehmen und ihre verbundenen Kommunikationspartner auf. So kann z.b. durch bedarfsgerechte dynamische Anpassung der IT-Infrastrukturen der angestrebte Skaleneffekt erzielt werden. Weitere Vorteile lassen sich mit den Ausprägungen time to market, Empowerment und Effizienzsteigerung beschreiben. Die Deutsche Versicherungswirtschaft, die heute bereits über ein BSI-zertifiziertes Kommunikationsnetz verfügt, plant deshalb aktuell dieses sichere Branchennetz zu einer künftig BSIzertifizierten Cloud weiter zu entwickeln. Die Kernaufgaben der künftigen Trusted German Insurance Cloud (TGIC) lassen sich wie folgt klassifizieren: - Infrastruktur: Provider einer modernen IT-Infrastruktur bzw. IT-Komponenten insbesondere unter dem Aspekt der Hochsicherheit. - IT-Sicherheit: Bereitgestellt wird eine moderne vom BSI zertifizierte Kommunikations- Infrastruktur der Deutschen Versicherungswirtschaft. - Standards: zentrale Normierungs- bzw. Normenkontrollinstanz wie auch seitens Dritter erarbeitete Normen in die Fach- und Servicearchitektur einbezogen werden. - Services: Entwickler und Betreiber von Services in den Bereichen E-Government und E- Business (sicher, effizient, verlässlich). Mit der Realisierung dieser TGIC durch Nutzung der Cloud-Technologie in einem nationalen und europäischen Rechtsrahmen schafft die Versicherungswirtschaft die erforderlichen Rahmen- Bedingungen, um künftig gleichberechtigt nebeneinander E-Government- und E-Business- Anwendungen vertraulich, sicher und effizient im Sinne seiner Mitgliedsunternehmen abwickeln zu können Frankfurt Cloud eruiert Potenziale und Risiken Bei der so genannten Frankfurt Cloud handelt es sich um eine Cloud-Computing-Infrastruktur, die im Herbst 2010 an Deutschlands zentralem Datenumschlagplatz in Frankfurt in Betrieb genommen wurde. Dabei sind alle Komponenten in der Cloud permanenten, gezielten Belastungen, Attacken und Stresstests ausgesetzt, um die Leistungsfähigkeit und Integrität unter wissenschaftlicher Beobachtung zu testen und Optimierungen vorzunehmen. Der Systemansatz beherbergt dabei zahlreiche Forschungsanwendungen der Universität Frankfurt. Das Spektrum reicht von rechenintensiven wirtschaftlichen Fragestellungen im Bereich Financial Risk Management über wissenschaftliche Simulationen bis hin zum Verständnis von Sternen- IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 17

18 explosionen. Mit diesen auslastungsintensiven Anwendungen sollen zum einen die Grenzen der Belastungsfähigkeit der Cloud ausgelotet und zum anderen unterschiedliche Anforderungsprofile untersucht und ausgewertet werden. Unter den Testanwendern befindet sich auch die Deutsche Bank. Sie erhofft sich als einer der frühen Anwender nicht nur weitere Aufschlüsse zur Implementierung und Kapazitätssteuerung von Anwendungen in der Wolke, sondern möchte außerdem konkrete Ergebnisse zu Abrechnungsund Preismodellen eruieren, bis hin zu rechtlichen, regulatorischen und sicherheitsrelevanten Fragen, die in fortlaufenden Stresstests eingehend unter die Lupe zu nehmen sind Die FI-TS Finance Cloud Das Angebot Finance Cloud der Firma FI-TS 4 basiert auf drei Schichten: Infrastruktur-as-a-Service (IaaS), Platform-as-a-Service (PaaS) sowie Software-as-a-Service (SaaS). Auf diesen Schichten namens FI-TS cloud.base, FI-TS cloud.pla und FI-TS cloud.app offeriert der IT-Service-Partner Cloud Services Made in Germany und betreibt dazu hochsichere Rechenzentren in Deutschland. Als Vorteile der Finance Cloud zu nennen sind Sicherheit und Vertrauen durch langjährige Branchenexpertise und unabhängige Zertifizierungen wie ISO Kostenersparnisse im Vergleich zum herkömmlichen Geschäftsmodell: Kunden bezahlen die Cloud Services nach tatsächlicher Nutzung und können die Leistungen bzw. Kapazitäten nach Bedarf ab- oder aufbauen. Durch eine Einbindung in bestehende Prozesse und Verfahren stehen die FI-TS Cloud Services umgehend und schnell zur Verfügung. Diese Nutzung der Dienste nach individuellem Bedarf bietet den Kunden ein Höchstmaß an Flexibilität und nicht zuletzt Einfachheit, denn die Cloud Services werden bequem über ein Self-Service-Portal verwaltet GAD und IBM präsentieren auf der CeBIT erstes Cloud-Bankenverfahren GAD stellt mit Hilfe von IBM ihr Kernbankenverfahren bank21 auf Browser-Technologie um. Mit diesem Schritt soll für rund 450 Volks- und Raiffeisenbanken, Privatbanken und Spezialbanken im Geschäftsgebiet der GAD der Weg zum Cloud Computing geebnet werden. Perspektivisch sollen nicht nur sämtliche bank21-anwendungen mit insgesamt rund Masken als Cloud-Service im Browserfenster angeboten werden, sondern auch bankspezifische Drittanbieterlösungen sowie Aufgaben-, Kalender- und -Funktionen. 4 FI-TS ist ein Tochterunternehmen der Finanz Informatik (FI) IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 18

19 2. Rechtliche Anforderungen In diesem Kapitel werden Anforderungen von Unternehmen als Nutzer einer Cloud zur Vertragsgestaltung, zum Datenschutzrecht sowie zu speziellen Aufsichtsregelungen der betrachteten Branchen dargestellt: Zivilrecht Datenschutzrecht Patent-, Urheber- und Nutzungsrecht Besondere aufsichtsrechtliche Anforderungen Steuerrechtliche und handelsrechtliche Anforderungen Cloud Computing erfährt auch beim europäischen Gesetzgeber zunehmende Aufmerksamkeit. Beim Weltwirtschaftsforum Ende Januar 2011 in Davos stellte die Vizepräsidentin der Europäischen Kommission Neelie Kroes eine europäische Cloud-Computing-Strategie vor. Ziel ist es, Europa nicht nur cloud-friendly, sondern cloud-active zu machen. Die erste Vorbedingung hierzu sei mit guten Kommunikationsnetzwerken bereits gegeben. Dann solle zunächst ein rechtlicher Rahmen entwickelt werden, der einen robusten Schutz von Daten und Privatsphäre beinhalte. Zweites Element stellen technische und kommerzielle Grundlagen wie beispielsweise Forschung, Sicherheit, Standardisierung, Verfügbarkeit und Vertragsmodelle dar. Das zweite Element solle auch Best Practice-Kataloge für Verträge sowie Service-Level-Agreements enthalten. Drittes Element der Strategie stellt die Entwicklung eines Marktes für Cloud-Services dar. Hierfür wolle die EU Pilotprojekte insbesondere im Öffentlichen Sektor initiieren und fördern. Die Strategie soll in 2012 fertig gestellt vorliegen. Alle hier genannten Gesetze sind unter zu finden. Ausgangspunkt der rechtlichen Betrachtung ist das deutsche Recht Zivilrecht Gestaltung der Vertragsbeziehung zwischen Nutzer und Anbieter Allgemein Die rechtssichere Gestaltung von vertraglichen Leistungsbeziehungen des Cloud Computing steht noch am Anfang. Zwar lässt sich das Cloud Computing wirtschaftlich als eine Sonderform des Outsourcings begreifen und damit an die dort entwickelten Vertragsstrukturen anknüpfen. Im Gegensatz zum herkömmlichen Outsourcing, das sich durch ein hohes Maß an Individualisierung der betreffenden Dienstleistungen auszeichnet, beruht das Cloud Computing in seinen unterschiedlichen Ausprägungen durchaus verschieden auf einem hohen Maß an Standardisierung, um die gewünschten Skaleneffekte und darauf beruhenden Mehrwerte und Kostenvorteile zu erzielen. Das schlägt sich in einer weitaus stärker standardisierten Vertragsdokumentation nieder. Entspre- IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 19

20 chend gering sind die Möglichkeiten individueller Aushandlung vertraglicher Regelungen. Damit findet das Recht der Allgemeinen Geschäftsbedingungen Anwendung. Während Dienstleister im Rahmen der Private Cloud ihren Kunden gewisse Flexibilisierung und Individualisierung bieten können (ob und inwieweit sich dies bei den rechtlichen Rahmenbedingungen niederschlägt, mag allerdings dahinstehen), ist die Einflussnahme des Kunden auf einzelne Vertragsklauseln im Sinne eines individuellen Aushandelns bei Leistungen aus der Public Cloud faktisch weitgehend ausgeschlossen. Bei Cloud-Anwendungen für Unternehmen wird das Recht der Allgemeinen Geschäftsbedingungen ("AGB-Recht") und damit die Inhaltskontrolle bzw. die gerichtliche Überprüfung von Standardklauseln den Gegebenheiten komplexer Technologieverträge in vieler Hinsicht nicht gerecht. Die Bündelung verschiedenartiger IT-Leistungen (z.b. Bereitstellung von Software, Support- und Pflegeleistungen) in einem einheitlichen Leistungsangebot erfordert es, vom herkömmlichen Leitbild der einheitlichen AGB-Kontrolle abzuweichen (nämlich ein einheitliches Vertragswerk an dem gesetzlichen Leitbild des zugrundeliegenden besonderen Schuldverhältnisses gemäß BGB zu messen). Daher sind die Regelungen über typengemischte Verträge anzuwenden 5 ; mit der Folge, dass die AGB-Kontrolle für jede Vertragsbestimmung anhand ihrer jeweiligen Rechtsnatur vorzunehmen ist. Beim Cloud Computing ist jedoch nicht einmal die Einordnung der vertraglichen Hauptleistung bislang geklärt (dazu sogleich unter 2.1.2). Ferner weichen die im Rahmen des AGB-Rechts zulässigen Beschränkungen der Gewährleistung und Haftung für fehlerhafte Leistungen erheblich von dem international üblichen Industriestandard ab. Dies ist zwar gegenüber Privatnutzern aber nicht zwingend gegenüber Unternehmen angemessen, damit die Privatnutzer sich auch bei Cloud- Anwendungen auf das hier geltende Verbraucherschutzniveau verlassen können. Soweit die Möglichkeit einer Aushandlung der Vertragsbedingungen entfällt, sind damit die Anbieter von Cloud Computing jedoch gezwungen, ihre Leistungsangebote im Interesse einer höheren Risikoabsicherung zugunsten der Kunden anders zu kalkulieren. Damit können sie die häufig aus international standardisierten Leistungsangeboten resultierenden Skaleneffekte nur begrenzt an ihre Kunden weiterreichen. Diese Diskrepanz wird nicht zuletzt am Beispiel der öffentlichen Hand deutlich, die schon seit Jahren in ihren diversen Standardvertragsbedingungen zur Beschaffung von IT Leistungen ( EVB-IT ) 5 Bei typengemischten Verträgen sind die einzelnen Vertragsbestandteile verschiedener Vertragstypen (z.b. Kauf, Miete, Werkvertrag) derart verbunden, dass sie nur in ihrer Gesamtheit ein sinnvolles Ganzes ergeben, vgl. Palandt/Grüneberg, BGB Kommentar, 69. Auflage, 2010, Vorb. 311 Rn. 19. Hinsichtlich der einzelnen Leistungen sind die Vorschriften des jeweiligen Vertragstyps heranzuziehen. Bei Kollisionen gilt das Recht des Vertragstyps, bei dem der rechtliche oder wirtschaftliche Schwerpunkt liegt, vgl. Palandt/Grüneberg, wie vor Rn. 25. IT-Gipfel Rechtliche Anforderungen an Cloud Computing Seite 20