Auch die Cloud ist kein rechtsfreier Raum

27.05.2015  — Online-Redaktion Verlag Dashöfer.  Quelle: Julius-Maximilians-Universität Würzburg.

Das "Internet der Dinge", "Industrie 4.0" und ähnliche Konzepte haben gemein, dass große Mengen von sensiblen Daten dezentral im Internet, in der so genannten "Cloud" gespeichert und verarbeitet werden. Die rechtlichen Herausforderungen und mögliche Lösungen loten nun Würzburger Juristen aus.

Der Begriff Cloud Computing umschreibt eine große Menge an Dienstleistungen und Produkten. Viele davon nutzen Privatpersonen und Unternehmen bereits täglich ¬– oft sogar, ohne es zu wissen. Beispielsweise zur Ablage von Bildern auf Internetfestplatten oder aber bereits bei der Nutzung der E-Mail-Dienstleistungen von Google oder auch der Telekom. Allgemein versteht man darunter das Speichern von Daten in einem entfernten Rechenzentrum, aber auch die Ausführung und Nutzung von Softwareprogrammen, die nicht auf dem lokalen PC, sondern eben entfernt in der Cloud (englisch für "Wolke") vorhanden sind.

Bei der Nutzung dieser Dienste ergeben sich eine Vielzahl von rechtlichen Fragen. Es geht dabei um Datenschutz und Speicherorte, strafrechtliche Aspekte und in Teilen auch um das Wettbewerbsrecht. Viel bedeutender aber: Aufgrund der internationalen Datenverbindungen und verschiedener rechtlicher Rahmenbedingungen in einzelnen Ländern kann es zu Konflikten kommen.

Diese Konflikte vorauszusehen und juristisch Lösungen zu erarbeiten, bevor es zu spät ist: das ist das Ziel des vom Bundesministerium für Bildung und Forschung (BMBF) mit 250.000 Euro geförderten Projekts "Sicheres Cloud Computing - Rechtliche Herausforderungen und Lösungsmöglichkeiten (SCC-jur)". Es ist angegliedert an die Forschungsstelle "Robotrecht" von Professor Eric Hilgendorf, Lehrstuhlinhaber für Strafrecht, Strafprozessrecht, Rechtstheorie, Informationsrecht und Rechtsinformatik.

Begleitforschung zu Programmen, die sich der Cloud von technischer Seite aus nähern

SCC-jur fügt sich in den Gesamtkontext bereits bestehender BMBF-Programme ein. "Verschiedene Unternehmen und Institutionen arbeiten bereits an der Entwicklung einer sicheren Cloud", sagt Hilgendorf. Der Hintergrund: Die Regierung möchte, dass beispielsweise deutsche Mittelständler in Zukunft unabhängiger von den bisher oft in den USA ansässigen Großunternehmen und Cloud-Anbietern wie Amazon, Google, Microsoft oder Oracle werden.

Die Spannweite der im Rahmen des Cloud Computings angebotenen Dienstleistungen umfasst das gesamte Spektrum der Informationstechnik und beinhaltet neben Infrastruktur wie Rechenleistung und Speicherplatz auch Plattformen und Software. Schnell wurde auch den eher technisch orientierten Entwicklern klar, dass rechtliche Fragestellungen eine wichtige Rolle bei den umfangreichen Möglichkeiten der Cloud-Dienstleistungen spielen, weswegen Hilgendorf und Kollegen nun die Begleitforschung betreiben.

Begutachtung und Zertifizierung

In einem ersten Schritt begutachtet Hilgendorf, der gemeinsam mit Professor Frank Schuster vom Lehrstuhl für Strafrecht das Projekt leitet, die bestehenden technischen Ideen: Gibt es bei den Dienstleistungen und Produkten Punkte, die nicht mehr rechtskonform sind oder haftungsrechtliche und datenschutzrechtliche Aspekte tangieren?

"Wir sind sozusagen beauftragt, in die Zukunft zu blicken: Wo könnten später einmal Probleme entstehen und was könnten Lösungsvorschläge sein", sagt Jurist Hilgendorf. Diese Begutachtung soll zudem zur Entstehung einer Art Checkliste mit relevanten juristischen Fragen führen, anhand derer Unternehmen zukünftige Projekte leicht überprüfen können. Dies könnte auch in eine Zertifizierung münden.

Schwierige Vertragsgestaltung

Die international nicht einheitlichen rechtlichen Bestimmungen erschweren es deutschen Unternehmen, Cloud-Anbieter zu beauftragen. "US-Unternehmen erwarten in der Regel, dass Kooperationen nach ihren Bedingungen ablaufen und ihre Vertragsvorschläge unterzeichnet werden. Diese können das deutsche Recht aber nicht aushebeln", erklärt Hilgendorf und ergänzt: "Rechtlich unterliegen wir in Deutschland Beschränkungen, die die Amerikaner schlicht nicht kennen."

Dies bringe deutsche Firmen mitunter in eine "schizophrene Situation". Einerseits seien sie zur Einhaltung deutscher Datenschutz- und anderer rechtlicher Bestimmungen verpflichtet, andererseits an einen Vertrag gebunden. Im schlimmsten Fall könne das US-Unternehmen bei Nichterfüllung eines Vertrages Schadenersatz fordern, wenn das deutsche Unternehmen aufgrund des deutschen Rechtes den Vertrag kündigen müsste.

Besonders offensichtlich werden solche Probleme beim Datenschutz: "Es herrscht in den USA ein vollkommen anderes Datenschutzverständnis vor als bei deutschen oder europäischen Unternehmen", sagt Hilgendorf. Google und Facebook etwa verstießen regelmäßig und dauerhaft gegen bestehendes Datenschutzrecht. Während sich Google dies in Grenzen leisten könne, könne ein deutsches Unternehmen dies eben nicht.

Wofür darf Cloud Computing überhaupt genutzt werden - und von wem?

Dennoch ist Cloud Computing sehr interessant für Unternehmen. Es verfolgt den Ansatz, IT-Infrastruktur dynamisch per Netzwerk zur Verfügung zu stellen - also nur dann, wenn die Kapazitäten auch gebraucht werden. Es handelt sich also um eine Form des Outsourcings. "Das Besondere ist, dass auch die Auftrag­nehmer aufgrund der Vernetzung von Servern in verschiedenen Ländern weltweit selbst nicht genau wissen, wo denn nun die Daten physisch wirklich sind", sagt Hilgendorf.

Daher schlössen sich einige Daten automatisch für das Cloud-Computing aus. "Bei vielen Daten ist es nicht zulässig, sie außerhalb Europas zu speichern. Einige - wie etwa gewisse Finanzdaten - dürfen Deutschlands Grenzen nicht überschreiten", sagt Hilgendorf.

Das deutsche Datenschutzgesetz schreibt zudem vor, dass der Auftraggeber den Auftragnehmer kontrollieren kann. Das ist schier unmöglich, wenn Dienstleistungsunternehmen ihrerseits Dritte einsetzen, um große Bedarfe an Rechenkapazität abzufedern. "Zudem hat Google kein Interesse daran, einem kleinen deutschen Handwerksbetrieb weisungsgebunden gegenüber zu stehen."

Hilgendorf sieht gute Chancen für "deutsche Cloud"

Obwohl große amerikanische Unternehmen den Markt der Cloud-Dienstleistungen beherrschen, glaubt der Jurist Hilgendorf an gute Chancen für solche Anwendungen "made in Germany". Es sei über den Mittelstand hinaus attraktiv. "Mit der Automobilindustrie im Rücken sind da sicher eine Menge Anwendungen denkbar", sagt Hilgendorf.

Zudem sei das deutsche Rechtsverständnis an sich mittlerweile ein Exportschlager: "Ich höre bei meinen Besuchen im Ausland, dass dem deutschen Recht großer Respekt entgegengebracht wird", sagt Hilgendorf, der vor allem in Asien ein gefragter Gesprächspartner ist und fügt hinzu: "Wir haben die Möglichkeit, zusammen mit europäischen Partnern vieles auf den Weg zu bringen."

Daten sammeln: exzessiv versus zurückhaltend

Für die Zukunft steht auf jeden Fall fest, dass im Rahmen des Cloud Computing die Fragen nicht weniger werden. "Fürsorgliche autonome Systeme etablieren sich im Alltag", sagt Hilgendorf und meint damit die fortschreitende IT-Durchsetzung und Vernetzung aller Lebensbereiche. Ob Arbeitsplatz, Auto oder Smarthome: Immer mehr Systeme erarbeiten selbstständig Vorschläge für die Nutzer. Und diese vermeintlich cleveren Hinweise auf den vielleicht passenden Kinofilm, das nächstbeste Restaurant an der Autobahn oder ähnliches basieren auf vernetzten Daten. Je größer die Datenmenge, desto besser. "Im deutschen Datenschutzrecht steht jedoch, es sollten nur so viele Daten wie absolut notwendig gespeichert werden", sagt Hilgendorf. Ein krasser Gegensatz also.

Auch hier werden sich jedoch Regelungen finden lassen, ist Hilgendorf überzeugt. "Man könnte meinen, Recht hinkt der Technik hinterher. Anders betrachtet könnte man jedoch sagen: Das Recht ist immer auch schon da!", sagt Hilgendorf. Es sei vielleicht nicht immer ganz passend und gelte ab und an als Innovationsbremse – "Das muss aber nicht so sein. Man kann technische Entwicklungen auch ein Stück weit vorhersagen und Herausforderungen frühzeitig angehen", sagt Hilgendorf, der vor gut 20 Jahren im Bereich Internetrecht seine ersten akademischen Schritte gemacht hat.


nach oben