Cloud Computing Geklärte und offene Rechtsfragen

Transkript

1 Cloud Computing Geklärte und offene Rechtsfragen 20. März 2010 Dr. Marc Strittmatter, MDE IBM Deutschland GmbH Dr. Fabian Niemann & Jörg-Alexander Paul Bird & Bird LLP Frankfurt

2 Agenda Einführung Thesen Definitionen, Modelle und Metriken Zivilrechtliche Fragestellungen Geklärte Rechtsfragen Ungeklärte Rechtsfragen Regulatorische Rahmenbedingungen Geklärte Rechtsfragen Ungeklärte Rechtsfragen 2

3 IBM Presentation Vorbemerkungen Wenn Cloud Computing die Antwort ist, wie lautet das Problem? FAZ vom : Cloud Computing: Zwischen Wolkenhimmel und Haftungshölle. Begriffsbildung ist nicht abgeschlossen, juristische Diskussion ist tastend. Nicht alle Rechtsfragen sind neu, einige sind aber neu zu diskutieren. Test & Developer Cloud: IBM Corporation

4 IBM Presentation Thesen 1. Cloud ist ein Geschäftsmodell, das Nutzen potenziert, kein Technologiesprung (neues Abrechnungs- und Delivery Modell) 2. Cloud Computing bringt einen Quantensprung im Business Modell. 3. Viele Rechtsfragen sind aus existierenden Geschäftsmodellen abgeleitete und damit weitgehend geklärte Rechtsfragen, einige (wenige) Rechtsfragen sind im Lichte der neuen Geschäftsmodelle neu zu diskutieren. Die juristischen Themen sind u.a. - Vertragstypologie und Gestaltungsfragen - Urheberrecht - IT-Sicherheit (Compliance) - Schutz personenbezogener Daten - Vertraulichkeit, Spezialdatenschutz ( 203 StGB) - 613a BGB - Telekommunikationsrecht - Zurechnungsfragen Bedenken und Vorbehalte sind denen der Diskussion über die Risiken von Outsourcing vor Jahren ähnlich: Beherrschbarkeit, Sicherheit, Zuverlässigkeit, Verantwortung IBM Corporation

5 IBM Presentation Ontologie von Cloud Entwicklung: Konsolidierung -> Virtualisierung ->Automatisierung -> Standardisierung Service Produkte werden über ein Portal per Browser aus einem IT-Services Katalog bezogen IBM Corporation

6 IBM Presentation Unternehmernutzen von Cloud Services Funktion Von Nach Server/Storage Utilization Self service Test Provisioning 10-20% None Weeks 70-90% Unlimited Minutes Change Management Release Management Metering/Billing Standardization Months Weeks Fixed cost model Complex Days/Hours Minutes Granular Self-Service Payback period for new services Years Months IBM Corporation

7 IBM Presentation Der Grad der Kostenvorteile hängt vom gewählten Delivery Modell ab Enterprise Data Center Private Cloud Private Cloud Customer/IBM Owned and IBM Enterprise Owned Enterprise Owned; Operated 1 And Operated 2 IBM Operated 3 (single tenant) 4 Enterprise Data Center Managed Private Cloud IBM Operated Enterprise Shared Private Cloud IBM owned and operated (multi-tenant) Enterprise A Enterprise B Enterprise C 5 Public Cloud IBM owned and operated (multi-tenant) User A User B User C User D User... Hosted Private Cloud Shared Private Cloud Public Cloud Hosting Center Cloud Cloud Customer owns and pays for infrastructure and has unlimited exclusive access Cloud Services delivered privately to Enterprises / virtual separation of tenants Cloud Services delivered publicly to end users / secure, enterprise-class Service provider owns infrastructure and customer has shared access and pays by usage IBM Corporation

8 IBM Presentation Beispiel für SaaS: IBM LotusLive Collaboration Plattform ( , Conferencing Chat, Netmeeting) LotusLive t s and c s: Content! 11. Ownership of Content [...] You confirm that you have all necessary authorities to allow IBM to host, cache, record, copy, and display Content solely for the purpose of providing the Service to you. [...] If you choose to transmit your Content to a third party site which may be linked to or accessible by the Service, you are providing IBM with the consent to enable such transmission of Content, and you remain liable for such transmission. 12. Representations and Warranties About Content You represent and warrant that you: (i) are the owner or authorized licensee of any and all Content; and [...] (iii) that you have all required permissions and consents from any third party whose personal information you may have posted or uploaded to the Service IBM Corporation

9 Zivilrecht 9

10 Internationaler Rahmen (1) Überblick Ausgangspunkt: Kein globales (IT-) Recht Nationales Recht gilt Grundsatz der freien Rechtswahl, Art. 3 Abs.1 S.1 Rom I VO Mangels Rechtswahl: Differenzierter Katalog, ansonsten: Recht des Staates mit den engsten Verbindungen zum Vertrag, Art. 4 Rom I VO Beachte: Zwingendes deutsches Recht, Art 9 Abs. 2, 3 Rom I VO, insbesondere bei Verbraucherverträgen, Art. 6 Abs. 2 Rom I VO und Art. 46b EGBGB 10

11 Internationaler Rahmen (2) Keine Rechtswahl Nach Katalog, Art. 4 Abs. 1 Rom I VO Cloud: Sitz des Dienstleisters, Art. 4 Abs. 1 b) Aber: Bei Vermietung unbeweglicher Sachen - Ort der Belegenheit, Art. 4 Abs. 1 c) Mehrere Katalogtatbestände oder nicht enthalten: Sitz des Leistungserbringers, Art. 4 Abs. 2 Rom I VO Ausnahme Verbraucherverträge: grundsätzlich gewöhnlicher Aufenthalt des Verbrauchers, Art. 6 Abs.1 Rom I VO Widerlegung der Vermutung: nach Gesamtheit der Umstände offensichtlich engere Verbindung mit anderem Staat, Art. 4 Abs. 3 Rom I VO 11

12 IBM Presentation Weitgehend geklärte Rechtsfragen: Vertragsmodell, Vertragsfragen Vertragsmodell 1. Typologisch: Elemente aus Miete und Dienstvertrag, teilweise Werkvertrag 2. Rückgriff auf ASP- und Outsourcingtypologien und vertragskonstrukte (BGH Entscheidung zum ASP) 3. Bereitstellung und Verfügbarkeit wird über Leistungsbeschreibung und SLA Konzepte beschrieben 4. Schlechterfüllung wird über SLC Konzept und Haftungsregelung abgebildet. Breite Varianz der im Markt anzutreffenden SLA Zusagen. Vertragsgestaltung: Grundsätzlich analog klassisches Outsourcing 1. Keine grundlegenden Andersartigkeiten, Betonung der managed services Aspekte. 2. Step-in rights, Termination assistance, Transition, Migration. 3. Asset Übernahme: Capex [Reduzierung beim Nutzer, Aufbau bei Cloud Betreiber, wenn er die Infrastruktur selbst hat] wird nicht mehr von Bedeutung sein a BGB ist zu überdenken: Was ist die aufnehmende Entität bei Übergang von klass. Delivery in die Cloud? Wie erfolgt die Übertragung des Services auf den Cloud Provider tatsächlich? 5. Customizing gering wegen Standardisierung: Kaum projektähnliche Regelungen nötig IBM Corporation

13 IBM Presentation Weitgehend geklärte Rechtsfragen: Urheberrecht Relevante Handlungen des Cloud Anbieters: - 69c Nr. 1 UrhG durch Installieren und Speichern, ggf. Umarbeitung 69c Nr. 2 UrhG. - Keine Vermietung, da keine Überlassung eines Vervielfältigungsstücks - 19a UrhG Recht der öffentlichen Zugänglichmachung jedenfalls bei Public Cloud (Begriff der Öffentlichkeit, 15 Abs. 3 UrhG) Relevante Handlungen des Cloud Kunden: - Anwender nimmt bei Zugriff über Browser keine urheberrechtlich relevante Handlung insb. keine Vervielfältigung auf seinem PC vor (=Terminalbetrieb). - Keine mittelbare Vervielfältigung durch den Kunden, da er sie nicht technisch bewerkstelligt: Kein Widerspruch zur BGH Entscheidung digitaler Videorekorder (BGH shift.tv), in der auf die individuelle Steuerung des Kopiervorgangs durch den Kunden abgestellt wurde. Open Source Software: - Zu den Aspekten der Nutzung von Open Source Software: RA de Nicolo Weitergabe/ Vervielfältigungshandlungen der Nutzer in der Cloud IBM Corporation

14 IBM Presentation Zu klären: Schlechtleistung, Haftung, Zurechnung Schlechtleistung: SLA/ SLC Konzept, Haftung für Pflichtverletzung, 280, 281 ff. BGB Sorgfaltsmaßstab und Zurechnung von Handlungen der Erfüllungsgehilfen nach 278 BGB - Bez. des anzulegenden Sorgfaltsmaßstabs ist auf den Provider, nicht evtl. Subunternehmer abzustellen (richtet sich nach Kundenvertrag). - Es muß die im der Auswahl des Dienstes ausgedrückte Risikobereitschaft des Nutzers in Betracht gezogen werden 241 Abs. 2 BGB: ( Geiz ist geil ). - Haftungserleichterung wenn der Nutzer ein der Kritikalität des Dienstes bzw. der Daten unangemessen niedriges Sicherheitsniveau gebucht hat. - Zurechnung von Mißbrauch durch Sub/ Mitarbeiter: Vorsatz wird bei Verletzung von Leistungspflichten unproblematisch zugerechnet (Hotelier haftet für Schwarzfahrten seiner Angestellten). - Bei Schutz- und Obhutspflichten wird differenziert: i) wird zugerechnet, wenn die Handlungen des Geschäftsherrn die Handlung erleichtert haben, ii) wird nicht zugerechnet, wenn Mißbrauch nur nur gelegentlich der Ausführung erfolgt. (Installateur stiehlt Goldkette) Haftung des Cloudproviders 7 Abs. 2 TMG - Analog Haftung Hostprovider Haftung nach TMG, keine neuen Aspekte durch Cloud bez. der Haftungsprivilegierung durch 10 TMG gegenüber den existierenden Diensten, sofern Cloud Anbieter Telediensteanbieter ist (str.) Zurechnung von Handlungen Dritter an Anbieter und Provider (Beispiel: E2C/ Amazon Bot-Netz)? - Eröffnung einer Gefahrenquelle durch Anonymität? IBM Corporation

15 Vertragstypologie (1) Rechtliche Beziehungen Differenzierte Betrachtung der Leistungsbeziehungen Kunde Anbieter Generalunternehmer (Single Point of Contact) Multi-Vendor-Strategie Anbieter Anbieter (Verhältnisse innerhalb der Cloud) Je mehr / internationaler Vertragsbeziehungen, desto höher Komplexität der Verträge Risiko mangelnder Kongruenz und Kompatibilität der vertraglichen Vereinbarungen, Systeme und / oder Services Absicherung regulatorischer Vorgaben, Datensicherheit Abwicklungsprobleme, z.b. Mängelgewährleistung 15

16 Vertragstypologie (2) Gemischter Vertrag Typenkombinationsvertrag Aus mehreren Leistungsbestandteilen zusammengesetzter Vertrag Mangels prägender Leistung: rechtliche Einordnung je Leistungsbestandteil Für Software überlassung : Mietrecht* Regelmäßig auch dienstvertragliche und werkvertragliche Komponenten * BGH-Urteil zu ASP-Vertrag: Zur-Verfügung-Stellen von (beim Anbieter verkörperter) Software zur Nutzung über Telekommunikation gegen Entgelt im Rahmen von ASP / SaaS = Miete (Urteil vom XII ZR 120/04) 16

17 SLAs (1) Zweck Bedeutung und Zweck der SLAs in der Wolke: Gilt das Gleiche wie beim Outsourcing? Erforderlichkeit? Konkretisierung der geschuldeten Leistung Basis der vertragstypologischen Einordnung Messbarkeit von Qualität und Leistungserfolgen Mängelgewährleistung Weitergehendes Sanktionsregimes für Schlecht- oder Nichtleistung Kontrollverlust durch Fremdbezug der Leistungen minimieren 17

18 SLAs (2) AGB Kontrolle Grundsatz SLAs als Teil der Leistungsbeschreibung Inhaltskontrolle der 307 ff. BGB entzogen Ausnahme Anwendbar, wenn Einschränkung, Modifikation od. Ausgestaltung d. (Haupt-) Leistungsversprechens oder der Konsequenzen bei Schlechtleistung Grund: keine Leistungsbeschreibung, sondern Haftungsbeschränkung 18

19 Urheberrecht Relevante Handlungen des Anbieters Vervielfältigung, 69 c Nr. 1 UrhG Keine Vermietung, 69 c Nr. 3 UrhG Öffentliche Zugänglichmachung? 69 c Nr. 4 UrhG Relevante Handlungen des Kunden urheberrechtlich relevante Handlung hinsichtlich Anwendungssoftware? Keine eigene Vervielfältigung, 69 c Nr.1 UrhG Verantwortlichkeit wegen Auslösens einer Vervielfältigung, 97, 69 c Nr.1 UrhG? (BGH - shift.tv) Vervielfältigung der Client- oder Browser-Software Nutzungsrecht erforderlich, sofern nicht bereits vorhanden, 69 c Nr.1 UrhG 19

20 IBM Presentation Zu klären: 613a BGB bei Übergang von Diensten in die Cloud Second Generation Outsourcing/ Cloud transfer Customer Kunde Funktion Vertrag I Vertrag II Beispiel: Managed storage: Tape/ Data upload Aufnehmende Gesellschaft Funktion Funktion Was wird wie wohin übertragen? Outsourcer I, 613a BGB Problemfelder: Betriebsmittel : Wenn Managed Services in die Cloud übertragen werden (SaaS, PaaS, IaaS): Wie kommen die Applikationen (und Daten) in die Cloud ("Never underestimate the bandwidth of a truck full of tapes hurling down the highway" Andrew S. Tanenbaum) Betriebsidentität (Klarenberg Entscheidung EuGH ), keine Identität): Funktionelle Verknüpfung zwischen den übertragenen Produktionsfaktoren wird beibehalten wird und erlaubt es dem Erwerber, diese Faktoren zu nutzen, um derselben oder einer gleichartigen wirtschaftlichen Tätigkeit nachzugehen IBM Corporation

21 IBM Presentation Regulatorischer Rahmen IBM Corporation

22 IBM Presentation Weitgehend geklärte Rechtsfragen: IT Sicherheit/ Compliance/ Audit IT-Sicherheit - Verantwortlichkeit für IT Sicherheit liegt beim Unternehmen, das einen bestimmten Dienst nutzt. - Anbieter differenzieren sich über Preis und Lösungsangebot, inkl. Sicherheit Preis! - Minimal-Anforderungen: Aussagen zu physischer Sicherheit, Perimeter-Firewalls, Load Balancing und möglicherweise Intrusion Detection und -Prevention. - Wenn Verschlüsselungstechnologien eingesetzt werden (VPN, zertifikatbasierte Technologien, RSA Standards): EG Dual-use VO und US Export Control Regulations. Compliance - SOX Section 404 (analoger Prüfungsstandard in Deutschland PS 951): SAS 70 Report ist als Nachweis, dass ausgelagerte Geschäftsprozesse ordnungsgemäß kontrolliert werden, anerkannt. - SAS70 Prüfungen gemäß Typ I (Kontroll-Design) und Typ II (Kontrolleffektivität) - Wie werden Cloud Audits in der Praxis durchgeführt werden -> Kosten? - Veränderte Sorgfaltsmaßstäbe von CIO und GF? Steuerrecht? MS Azure Blog 2009/ 2010: - Q: Will the Azure Service Platform Undergo a SAS 70 Type I or Type II Audit Prior to Release? If Not, When? - A. We are in the process of evaluating various certification requirements relative to Windows Azure with a goal toward achieving key certifications by commercial launch or shortly thereafter. Posting in 2010: alles ok IBM Corporation

23 IBM Presentation Zu klären: Auftragsdatenverarbeitung in der Cloud Zulässigkeit der Auftragsdatenverarbeitung nach 11 BDSG - EU-weit unproblematisch, mitunter bieten Anbieter Clouds mit Stationierung innerhalb EU bzw. best. Ländern an. ( Availability Regions ) - Übertragung ausser Landes wenn angemessenes Datenschutzniveau sichergestellt ist (EU und bestimmte Drittländer, Schweiz, Kanada, Argentinien, Kanalinseln) - USA nur wenn sich die jur. Person den Safe Harbour Grundsätzen unterworfen hat oder Model Clauses etabliert sind. IBM ist letzteren Weg gegangen (IBM.com ist auch Safe Harbour zert.). - Neue EU Model Clauses: Neufassung vom für controller-processor Konstellationen. Neufassung tritt ab dem in Kraft: Erleichterung der Einschaltung von Subunternehmern (wenn Einwilligung Datenexporteur, back2back vorliegt) Schiedsklausel gestrichen - Zulässig weiterhin nur, wenn alle Anforderungen in der Anlage zu 9 BDSG erfüllt sind Kontrollen: AG muß Art und Umfang der DV vollständig kennen z.b. Zutritt, Zugang und Zugriffskontrollen in allen beteiligten RZ (Nr. 1-3 Anlage zu 9 BDSG) Detaillierte Festlegung der Unterauftragsverhältnisse 11 Abs. 2 S.4: AG hat sich regelmässig von der Einhaltung der Maßnahmen zu überzeugen (Reicht es aus, Prüfberichte zur Verfügung zu stellen? s.a. BITKOM Leitfaden) Herausgabe/ Vernichtung 667 BGB IBM Corporation

24 IBM Presentation Zu klären: TK-Recht, Sonderdatenschutz (z.b. 203 StGB) Cloud Anbieter als TK Provider gemäß 3 Nr. 24 KG - Falls ja: 88 Abs. 2, 3 Nr. 6 TKG anwendbar ( Fernmeldegeheimnis) und Anwendbarkeit von 91 Abs. 1 TKG (Datenschutzregeln). Nummerzuordnung? - Übertragung von Signalen über Telekommunikationsnetze : Übertragung von Daten von Land A in Land B: Kein TK Provider wenn Schwerpunkt auf der softwarebasierten/ IT-service Leistung (str.) Spezialdatenschutz 203 StGB (Verletzung von Privatgeheimnissen): - Vorsatztat des Geheimnisträgers, Beihilfe des Providers, Gehilfenvorsatz muß sich auf die Haupttat beziehen. - Frage nach der Höhe der Schutzvorkehrungen: Die jur. Diskussion dreht sich u.a. darum, ob normative Schranken beim Provider ausreichen, um 203 (Vorsatzdelikt) zu vermeiden. - Rollenkonzepte, und Empfehlung dass sich von 203 geschützte Daten nicht für public cloud eignen (Gesundheitskarte mit Cloudapplikation, Private Krankenversicherung on demand,, RA Micro aus der Cloud). - Verschlüsselung als Lösung (löst ggf. exportkontrollrechtliche Fragen aus). Einwilligungserklärungen: Strafrecht ist hier nicht mit 11 BDSG synchronisiert, Legal entities müssen genau benannt werden IBM Corporation

25 Datenschutz (1) Überblick Datenschutz 11 BDSG (Auftragsdatenverarbeitung) 28 ff BDSG (Rechtsgrundlagen für Weitergabe) 9 BDSG (technische und organisatorische Maßnahmen) 33 ff. BDSG (Rechte der Betroffenen) 25

26 Datenschutz (2) Auftragsdatenverarbeitung Auftragsdatenverarbeitung, 11 BDSG Public Cloud? Nur in EWR Weisungsbefugnis (+) Kontrolle? 9 BDSG? Private Cloud + (innerhalb EWR) 26

27 Datenschutz (3) techn. und org. Maßnahmen 9 BDSG (techn. und org. Maßnahmen), z.b. 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. 27

28 Datenschutz (4) Datenübermittlung Public Cloud Einwilligung 28 ff BDSG Vertragszweck (-) Interessensabwägung Problem: Außerhalb EWR/Sicheres Drittland/Safe Harbour Globaler Ansatz Grid-Gedanke Spiegelung USA (New) Model Clauses Interessensabwägung? Mexiko Deutschland NL Indien Philippinen 28

29 Datenschutz (5) Informationspflichten etc. Rechte der Betroffenen 33 BDSG (Benachrichtigung) Identität der verantwortlichen Stelle Ort der Datenverarbeitung 35 BDSG (Berichtigung, Löschung und Sperrung) World Wide Computing Datenschutz

30 Spezialgebiete 30

31 Spezialgebiete (1) Telekommunikationsrecht Anwendbarkeit TKG, Cloud Anbieter als TK- Dienstleister, 3 Nr. 24 TKG Generell? IT/Software oder TK Dienst? Auslagerung , Telefon Fernmeldegeheimnis, 88 TKG Datenschutzregeln, 91, 92 TKG 92 TKG: Auslagerung ins (EU-)Ausland zulässig? Anwendbarkeit 92 TKG 92 TKG abschließend? (str.) 31

32 Spezialgebiete (2) Finanzdienstleister 25a KWG ( 33 WpHG, 16 InvG, 64a VAG) 25a Abs.1 KWG (allgemeine Pflichten) Private Cloud (+) Public Cloud (+) 25a Abs.2 KWG, MaRisk: (i) Auslagerung (ii) wesentlicher Prozesse Private Cloud (+) Public Cloud (-) 32

33 Spezialgebiete (3) Geheimnisträger, Sozialdaten Geheimnisträger, 203 StGB U.a: Ärzte; Anwälte und Steuerberater; Kranken-, Unfall- und Lebensversicherungen Gehilfe (str.) Maßstab des 11 BDSG? Private Cloud? Public Cloud (-) Sozialdaten, 67 ff. SGB X 80 SGB X (-) 33

34 Spezialgebiete (4) Steuerrecht 146, 147 AO Bücher sind im Geltungsbereich dieses Gesetzes aufzubewahren. Lohn-, Anlagen-, Finanzbuchhaltung Warenwirtschaft, Rechnungssysteme, Geschäftsbriefe Praxis: oft nach 148 AO bewilligt oder de facto geduldet Seit : Regelung für Ausland Antrag auf Genehmigung NUR: EU oder EWR mit Amtshilfe Zugriff der Finanzbehörden muss gesichert sein Verbesserung oder Verschlechterung im Hinblick auf bisherige Praxis? Verlagerung in Clouds außerhalb EWR generell unzulässig? EU-Clouds? vs. 34

35 Exkurs weitere offene Fragen Investigative Unterstützung StPO (Vorratsdatenspeicherung) Pre-trial discovery Datenschutz vs. SOX, USA PATRIOT Act 35

36 IBM Presentation Zusammenfassung 1. Weitgehend geklärt - Vertragstypologie und Gestaltungsfragen - Urheberrecht - IT-Sicherheit, Compliance, Audits 2. Weiter zu klären - Schutz personenbezogener Daten/ Auftragsdatenverarbeitung - Vertraulichkeit, Spezialdatenschutz ( 203 StGB) - Telekommunikationsrecht - Sonstige regulatorische Themen - 613a BGB IBM Corporation

37 Vielen Dank. Dr. Marc Strittmatter, MDE Leiter Recht Global Technology Services IBM Deutschland GmbH Jörg-Alexander Paul Partner, IT & Outsourcing Bird & Bird LLP Kanzlei des Jahres für Informationstechnologie Dr. Fabian Niemann Partner, IT & Outsourcing Bird & Bird LLP Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated businesses. 37