Cloud Computing aus juristischer Perspektive

Transkript

1 Cloud Computing aus juristischer Perspektive Grundlagen Dipl.-Jur. Jörn Wittmann Lehrstuhl Prof. Dr. Gerald Spindler Seite 1

2 Begriff Der Begriff des Cloud Computing ist juristisch nicht exakt definiert Vielmehr muss bei der juristischen Bewertung eines Angebots die konkrete Erscheinungsform im Einzelfall Beachtung finden: SaaS (Software as a Service) PaaS (Platform as a Service) IaaS (Infrastructure as a Service) Private Cloud / Public Cloud Nationales / Internationales Angebot Seite 2

3 Grundsätzliches / Überblick Cloud Computing stellt das Recht vor zahlreiche Herausforderungen. U.a. aus den Bereichen: Vertragsrecht Urheberrecht Straf- und Strafprozessrecht Insb. Datenschutzrecht Hauptgründe: Komplexität der Datenverteilung / Überwiegende Internationalität der Cloud-Angebote Seite 3

4 Vertragsrecht (1/8) Unterscheidung der Vertragsbeziehungen: Subunternehmer Cloud Anbieter Kunde Unternehmer / Verbraucher Seite 4

5 Vertragsrecht (2/8) Anwendbares Recht Verhältnis Kunde / Cloud-Anbieter Kunde Anbieter Ausnahme: Ausländisches Recht vereinbart Seite 5

6 Vertragsrecht (3/8) Anwendbares Recht Verhältnis Kunde / Cloud-Anbieter Kunde Anbieter Seite 6

7 Vertragsrecht (4/8) Anwendbares Recht Es existiert kein globales oder europäisches IT-Recht Anwendbares nationales Recht muss ermittelt werden Seite 7

8 Vertragsrecht (5/8) Anwendbares Recht Kunde ist Unternehmer: Rechtswahlvertragsklauseln zulässig (Art. 3 Abs. 1 Rom I-VO) Ohne Rechtswahlklausel erfolgt eine objektive Anknüpfung: Cloud-Anbieter erbringt die vertragscharakteristische Leistung; daher in aller Regel das Recht des gewöhnliche Aufenthaltsorts der Hauptverwaltung des Cloud-Anbieters anwendbar (Art. 4 Abs. 2 Rom I-VO und Art. 4 Abs. 1 lit. b) Rom I-VO) Seite 8

9 Vertragsrecht (6/8) Anwendbares Recht Kunde ist Verbraucher: Ohne Rechtswahl gilt das Recht des gewöhnlichen Aufenthalts des Verbrauchers (Art. 6 Abs. 1 Rom I-VO) Rechtswahlklauseln grds. möglich, aber eingeschränkt Es bleiben die Verbraucherschutzvorschriften des Rechts des gewöhnlichen Aufenthalts des Verbrauchers bestehen, von denen nach dem ohne Rechtswahl geltenden Recht nicht durch Vereinbarung abgewichen werden darf (Art. 6 Abs. Rom I-VO) Rechtswahl in AGB i.d.r. unzulässig, weil überraschend Seite 9

10 Vertragsrecht (7/8) Anwendbares Recht Grundsatz: Findet keine Rechtswahl statt, kommt in der Regel im Verhältnis Cloud-Anbieter/Nutzer das Recht des gewöhnlichen Aufenthalts des Cloud-Anbieters zur Anwendung, es sei denn, bei dem Nutzer handelt es sich um einen Verbraucher Seite 10

11 Vertragsrecht (8/8) Vertragstypus Verhältnis Kunde / Cloud-Anbieter Von Bedeutung, da damit der Rahmen für die rechtliche Bewertung des Vertrages vorgegeben wird (Bspw. im Bereich der Gewährleistungsrechte, der Vertragsauslegung bei Lücken, der AGB-Kontrolle, der Haftung usw.) Abhängig vom konkreten Cloud-Angebot Zumeist typengemischter Vertrag, da häufig sehr unterschiedliche Leistungsbestandteile vorliegen. Z.B.: Miet- oder Leihvertrag (z.b. Überlassung von Speicherplatz) Dienstvertrag (z.b. Softwarepflege, Bereitstellung bestimmter Bandbreite) Werkvertrag (z.b. Backuperstellung, Softwareinstallationen / -anpassungen) Seite 11

12 Urheberrecht (1/6) Anwendbares Urheberrecht Auch hier zu beachten: Internationalität und konkrete Ausprägung (IaaS, PaaS, SaaS) der Cloud-Angebote Territorialprinzip: Urheberrechtliche Ausschließlichkeitsrechte sind auf das Territorium des Staates begrenzt, der diese verleiht bzw. anerkennt Das jeweilige Recht kann nur durch in dem jeweiligen Territorium begangene oder drohende Handlungen verletzt werden Rechtswahl ist hier ausgeschlossen (Art. 8 Abs. 3 Rom II-VO) Seite 12

13 Urheberrecht (2/6) Mögliche Anknüpfungspunkte für geltendes Urh-Recht: Serverstandort Probleme: Bei globalen Cloud-Netzwerken kann der Ort der konkreten Datenverarbeitung zufällig sein Der Anbieter könnte seine Server in Staaten mit für ihn günstigen Urheberrechtsregelungen platzieren H.M.: Bogsch-Theorie Der Erfolgsort richtet sich nach der bestimmungsgemäßen Abruf- und Nutzungsmöglichkeit des Angebots Seite 13

14 Urheberrecht (3/6) Daher ist für Cloud-Anbieter zu beachten: Je nachdem, in welchen Territorien der angebotene Dienst bestimmungsgemäß nutzbar ist, hat der Cloud- Anbieter zuvor die rechtsraumspezifischen Rechte nach dem dort geltenden Urhebergesetz von möglicherweise dritten Rechteinhabern einzuholen Seite 14

15 Urheberrecht (4/6) Nutzungsrechte Cloud-Anbieter hat dem Nutzer vertraglich alle Nutzungsrechte einzuräumen, die für die vereinbarte Leistung erforderlich sind Auch der Nutzer muss ggf. dem Cloud-Anbieter Nutzungsrechte einräumen (etwa für das Speichern und urheberrechtlich geschützten Bildern) Reine Nutzung eines Werkes stellt keine urheberrechtlich relevante Handlung dar Seite 15

16 Urheberrecht (5/6) Beispiel SaaS Vervielfältigungsrecht gegenüber dem Cloud-Nutzer Eine Meinung: Vervielfältigungshandlung bzgl. der Software im Cache und Arbeitsspeicher des Nutzers, dann aber zulässig nach 44a bzw. 69d Abs. 1 UrhG, da lediglich technisch begleitender Natur bzw. zur bestimmungsgemäßen Nutzung des Computerprogramms erforderlich Hier vertretende Auffassung: Technisch wird beim Cloud- Computing (SaaS) der Programmcode nicht auf Nutzerseite vervielfältigt, sondern nur auf Seiten des Anbieters. Die technische Bewerkstelligung der Vervielfältigung liegt beim Anbieter (Aber: An den Nutzer übertragene Grafiken bei der Darstellung der Benutzeroberfläche können eigenständigen Schutz genießen) Seite 16

17 Urheberrecht (6/6) Cloud-Anbieter muss in jeden Fall von möglicherweise Dritten die erforderlichen Nutzungsrechte einholen Bspw.: 69c Nr. 1 UrhG Software-Vervielfältigungsrecht 69c Nr. 4 UrhG Recht der öffentlichen Zugänglichmachung (umstritten, ob hierzu eine Übertragung wesentlicher Teile des Programmcodes erforderlich ist, oder bereits die Onlinenutzbarkeit genügt) Ggf. 69c Nr. 2 UrhG Software-Bearbeitungsrecht Seite 17

18 Straf- und Strafprozessrecht (1/3) Es existieren erhebliche Unterschiede bei der Strafbarkeit im internationalen Vergleich So kann etwa eine in Deutschland legale Datenspeicherung im Ausland auf einem dort lokalisierten Cloud-Server ggf. illegal sein (und vice versa) Problem bei der Auslieferung von Straftätern: Die zur Last gelegte Tat muss grds. in beiden Ländern unter Strafe gestellt sein Durch die globale Datenverteilung wird bereits bei den Ermittlungen von Straftaten eine enge Zusammenarbeit mit anderen Staaten notwendig Seite 18

19 Straf- und Strafprozessrecht (2/3) Transnationalität: Ein Täter muss sich zur Tatbegehung nicht am Tatort befinden, sondern kann beinahe von und an jedem Ort auf der Welt strafrechtlich relevante Handlungen durchführen Beim Cloud-Computing ist es in der Regel extrem schwierig (und damit zeitaufwendig) den Standort der Server zu ermitteln, auf denen sich die strafrechtlich relevanten Daten befinden; die Daten können technisch bedingt auch auf viele Server in unterschiedlichen Staatsgebieten verteilt sein Seite 19

20 Straf- und Strafprozessrecht (3/3) Ist der Standort der Daten ermittelt, ergibt sich ein weiteres Problem: Nach dem völkerrechtlichen Souveränitätsprinzip sind die Ermittlungsmöglichkeiten nationaler Strafverfolgungsbehörden im Ausland begrenzt Notwendigkeit der Zusammenarbeit der Staaten: Zeitaufwendiges, formales Verfahren; gerade außerhalb der EU Eilmaßnahmen nur sehr eingeschränkt möglich (Cybercrime Convention von 2001 wurde erst von 29 Staaten unterzeichnet) Angeforderte Daten werden dann zumeist nur in Kopie übermittelt, was die digitale Forensik stark erschwert Seite 20

21 Datenschutzrecht (1/10) Konstellationen Betroffener Daten Cloud- Nutzer Daten der Betroffenen Daten der Betroffenen Intern. Cloud- Anbieter Nation. Cloud- Anbieter Seite 21

22 Datenschutzrecht (2/10) Anwendbares Datenschutzrecht Datenverarbeitung innerhalb der EU/des EWR: Sitzprinzip: Es findet das Datenschutzrecht des Staates der verantwortlichen Stelle Anwendung ( 1 Abs. 5 BDSG) (Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt - 3 Abs. 7 BDSG) Datenverarbeitung außerhalb der EU/des EWR: Territorialprinzip: Datenschutzrechtliche Verantwortlichkeit richtet sich nach dem Recht des Staates, in dem die relevanten Daten erhoben oder verarbeitet werden ( 1 Abs. 5 BDSG) Seite 22

23 Datenschutzrecht (3/10) Grundsätze Das Datenschutzrecht verbietet grds. das Erheben, Speichern und Verarbeiten personenbezogener Daten durch Dritte ( 4 Abs. 1 BDSG) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) ( 3 Abs. 1 BDSG) Ausnahmen bei Rechtfertigung: Einwilligung des/der Betroffenen Gesetzlicher Erlaubnistatbestand Seite 23

24 Datenschutzrecht (4/10) Europäische Clouds Auftragsdatenverarbeitung ( 11 BDSG) Cloud-Nutzer bleibt Herr der Daten und damit die verantwortliche Stelle; Cloud-Anbieter ist weisungsgebunden rein unterstützend tätig ( 11 Abs. 1 S. 1, 3 Abs. 7 BDSG) Umfangreicher Katalog an Voraussetzungen vertraglich vollständig sicherzustellen ( 11 i.v.m. 9 BDSG + Anlage). Bspw.: Anbieter ist sorgfältig auszuwählen Technische und organisatorische Maßnahmen für die Datensicherheit sind zu gewährleisten Kontrollrechte des Cloud-Nutzers Löschungspflicht nach Auftragsbeendigung Seite 24

25 Datenschutzrecht (5/10) Europäische Clouds Auftragsdatenverarbeitung ( 11 BDSG) Unterschiedliche Bewertung, unter welchen Bedingungen die Anforderungen des 11 BDSG beim Cloud-Computing überhaupt erfüllbar sind Grds. aber möglich; es muss aber bei der Gestaltung eines Auftragsdatenverarbeitungsvertrages sichergestellt sein, dass jede einzelne Anforderungen des 11 BDSG erfüllt ist Alternativ wäre ggf. neben der Auftragsdatenverarbeitung auch eine Funktionsübertragung möglich (dazu sogleich) Seite 25

26 Datenschutzrecht (6/10) Internationale Clouds Auftragsdatenverarbeitung ( 11 BDSG) Ausgeschlossen, wenn der Empfänger der Daten ein Dritter i.s.d. BDSG ist Dritter ist jede Stelle außerhalb des Inlands bzw. der EU oder des EWR ( 3 Abs. 8 S. 2 BDSG) In diesen Fällen müssen zur Rechtfertigung der datenschutzrelevanten Handlungen die Voraussetzungen einer Datenübermittlung erfüllt sein, sog. Funktionsübertragung ( 3 Abs. 4 Nr. 4 BDSG) Seite 26

27 Datenschutzrecht (7/10) Internationale Clouds Funktionsübertragung Möglich, wenn die Datenverarbeitung in der internationalen Cloud vertraglich zwischen Cloud-Nutzer und den Betroffenen vereinbart ist ( 28 Abs. 1 Nr. 1 BDSG) Liegt keine Vereinbarung vor, bedarf es für die Funktionsübertragung eines berechtigten Interesses der verantwortlichen Stelle, wobei schutzwürde Interessen der Betroffenen nicht überwiegen dürfen ( 28 Abs. 1 Nr. 2 BDSG) Mögl. berechtigtes Interesse: Erhebliche Kostenersparnis für den Cloud-Nutzer durch die Verwendung von Cloud-Angeboten, die außerhalb des EWR kosteneffizienter agieren können Seite 27

28 Datenschutzrecht (8/10) Internationale Clouds Funktionsübertragung Schutzwürden Interessen der Betroffenen sichern: Grundlage: Erfüllung des Anforderungskatalogs der Auftragsdatenverarbeitung nach 11 BDSG Zusätzlich: Ausgleichschaffung für die Verlagerung der Verantwortlichkeit auf einen ausländischen Cloud- Anbieter, wenn in dem Zielland des Datentransfers kein angemessenes Schutzniveau besteht ( 4b Abs. 2 BDSG; bisher etwa anerkannt für die Schweiz, Kanada oder Argentinien. Gerade aber in den USA, wo sich ca. 90% der Cloud-Infrastruktur befindet, wurde kein angemessenes Schutzniveau anerkannt.) Seite 28

29 Datenschutzrecht (9/10) Internationale Clouds Funktionsübertragung Rechtliche Möglichkeiten, wenn in dem Zielland der Datenübermittlung kein angemessenes Schutzniveau besteht: 1. Cloud-Anbieter unterwirft sein Unternehmen sog. genehmigungspflichtigen Binding Corporate Rules, um ein der EU vergleichbares Datenschutzniveau zu gewährleisten 2. Einsatz von durch die EU-Kommission gestellten sog. EU- Standardvertragsklauseln, die umfangreiche Garantien zum Schutz der Interessen der Betroffenen beinhalten Seite 29

30 Datenschutzrecht (10/10) Zusammenfassung Bei der Nutzung europäischer Clouds kann eine Datenverarbeitung mittels eines Auftragsdatenverarbeitungsvertrages gerechtfertigt sein Bei der Nutzung internationaler Clouds ohne angemessenes Datenschutzniveau im Zielland der Datenverarbeitung bedarf es für die datenschutzrechtliche Zulässigkeit des Einsatzes von EU- Standardvertragsklauseln oder der Nutzung von Binding Corporate Rules, sowie zusätzlich der Umsetzung der Anforderungen an eine Auftragsdatenverarbeitung gem. 11 BDSG Seite 30

31 Vielen Dank für Ihre Aufmerksamkeit! Dipl.-Jur. Jörn Wittmann Lehrstuhl Prof. Dr. Gerald Spindler Seite 31