Juristische Aspekte des Cloud Computing Prof. Dr. Hubertus Gersdorf Universität Rostock Juristische Fakultät Gerd-Bucerius-Stiftungsprofessur für Kommunikationsrecht und Öffentliches Recht
Zivilrechtliche Einordnung I. Anwendbares Recht Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17. Juni 2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht ( Rom I ) Art. 3 freie Rechtswahl Art. 6 Verbraucherverträge Verordnung (EG) Nr. 864/2007 des Europäischen Parlaments und des Rates vom 11. Juli 2007 über das auf außervertragliche Schuldverhältnisse anzuwendende Recht ( Rom II ) insbesondere bzgl. Deliktischer Ansprüche 2
Zivilrechtliche Einordnung II. Vertragstypologie: Vertragsbeziehungen zw. CSP und Nutzer einerseits und jene zwischen CSP und Hersteller der Applikationssoftware andererseits 1. Vertragsbeziehung zwischen CSP und Nutzer a. Grundlage wird meist ein typengemischter Vertrag sein, vgl. Leasing Mietvertragliche Vorschriften/ Leihe bei unentgeltlicher Überlassung Werkvertragliche Elemente nach 631 ff. BGB Dienstleistung i.s.v. 611 BGB 3
Zivilrechtliche Einordnung b. Lizenzvereinbarungen Eingriffe in das Vervielfältigungsrecht nach 69c Nr. 1 UrhG durch den Nutzer? Wo wird die relevante Handlung vorgenommen, auf dem Rechner des CSP, oder auf dem des Anwenders? 44a UrhG 53 I 1 UrhG eigene Anfertigung einer Privatkopie (nur natürliche Personen, nur einzelne Vervielfältigungen) 53 I 2 UrhG Herstellung einer Kopie durch einen anderen (Voraussetzungen des 53 I 1 UrhG gelten hierbei ebenfalls) 4
Zivilrechtliche Einordnung 2. Vertragsbeziehung zwischen CSP und Softwarehersteller Urheberrechtliche Fragestellungen Territorial- und Schutzlandprinzip im Bereich des internationalen Urheberrechts; besondere Schwierigkeit bei Internetsachverhalten eine klare territoriale Zuordnung einer Verletzungshandlung zu treffen Ausschließlichkeitsrechte des Rechtsinhabers nach 69c UrhG berücksichtigen; entsprechend dem Leistungsangebot sind die Lizenzen zu erwerben 69c Nr. 1 - Vervielfältigung (+) 69c Nr. 3 - Präjudiziert die mietvertragliche Ähnlichkeit oben an dieser Stelle die urheberrechtliche Einordnung? Körperliche Überlassung eines Vervielfältigungsstückes erforderlich? 5
Zivilrechtliche Einordnung 69c Nr. 4 öffentliche Zugänglichmachung, wenn lediglich Applets zur Verfügung gestellt werden vom CSP? Ist die Benutzeroberfläche ein eigenständiges Werk isd. Urheberrechts? Begriff der Öffentlichkeit isv. 69c Nr. 4 ivm. 15 III UrhG Cloud Computing als eigenständige Nutzungsart? 6
Öffentlich-rechtliche Problemfelder des Cloud Computing I. Datenschutz und Datensicherheit Anwendung des TMG? Cloud Computing als Telemediendienst? Anwendbarkeit der datenschutzrechtlichen Standards desjenigen Landes, in dem die Daten erhoben oder verarbeitet werden, Territorialprinzip zu beachten sind 4b, 4c BDSG 7
Öffentlich-rechtliche Problemfelder des Cloud Computing Personenbezogene Daten - BDSG Handelt es sich bei verschlüsselten Daten noch um personenbezogene Daten isd. BDSG? 11 ivm. 9 BDSG - Auftragsdatenverarbeitung Privilegierung des 11 BDSG nur, wenn alle dort genannten Voraussetzungen erfüllt Auftragsdatenverarbeitung; wer ist Herr über die Daten? Hat der Anwender noch die erforderliche Kontrolle isv. 11 BDSG? Auch darf der CSP lediglich Hilfsfunktionen wahrnehmen, die im Rahmen der Weisung des Anwenders liegen, d.h. insgesamt kein Spielraum bei der Erledigung der Aufgaben Schriftlicher Vertragsschluss Sorgfältige Auswahl des Anbieters und regelmäßige Kontrolle der technischen und organisatorischen Maßnahmen, ivm. 9 BDSG; vor Ort? Anlage zu 9 BDSG ist zu beachten Zertifizierung von unabhängiger Stelle als Lösung? 8
Öffentlich-rechtliche Problemfelder des Cloud Computing Einwilligung/gesetzlicher Erlaubnistatbestand erforderlich, sofern Voraussetzungen nicht erfüllt Praktikabilität? Auftragsdatenverarbeitung nämlich nur, wenn gemäß 3 VIII BDSG Empfänger der Daten eine Stelle im Inland oder eines Mitgliedstaats der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) ist, andernfalls Dritter (Übermittlungsempfänger ist sodann selbst für die Daten verantwortlich); Voraussetzungen des 28 I 1 Nr. 1, 2 BDSG Schutz Unternehmensbezogener Daten und solche von juristischen Personen? unterfallen nicht dem BDSG 9
Öffentlich-rechtliche Problemfelder des Cloud Computing II. Cloud Computing in der öffentlichen Verwaltung Schutzanspruch jedes einzelnen Bürgers auf Gewährleistung der Vertraulichkeit seiner anvertrauten Daten, weshalb in Frage steht, ob überhaupt eine Public Cloud verwandt werden kann Konkretisierung durch 11 ivm. 9 BDSG, Auftragsdatenverarbeitung Handlungsfähigkeit der Verwaltung (Abhängigkeit von Softwareprogrammen) Gesetzesvollzug contra Effizienzsteigerung, d.h. Datenherrschaft als Grundlage für Gesetzmäßigkeit der Verwaltung Verlagerung von Hoheitsaufgaben und demokratische Legitimation 10