172 45 4MB
German Pages 845 [846] Year 2014
Hilber Handbuch Cloud Computing
Handbuch Cloud Computing herausgegeben von
Dr. Marc Hilber, LL.M. (Illinois) Rechtsanwalt Köln
Bearbeiter siehe nächste Seite
2014
Bearbeiter Dr. Dirk Bieresborn Richter am Bundessozialgericht, Kassel
Prof. Dr. Marco Mansdörfer Universität des Saarlandes, Saarbrücken
Martin Erben Rechtsanwalt, SAP Deutschland AG & Co. KG, Walldorf
Stephan Müller Rechtsanwalt, Köln
Alexander Glaus Rechtsanwalt, Frankfurt a.M. Dr. Jürgen Hartung Rechtsanwalt, Köln Christoph Hexel Rechtsanwalt, Düsseldorf Dr. Marc Hilber, LL.M. (Illinois) Rechtsanwalt, Köln Susanne Horras, LL.M. Rechtsanwältin, Singapur Dr. Carsten Intveen Rechtsanwalt, Köln Hans-Bernd Kittlaus InnoTivum Consulting, Rheinbreitbach
Dr. Fabian Niemann Rechtsanwalt, Frankfurt a.M. Jörg-Alexander Paul Rechtsanwalt, Frankfurt a.M. Dr. Johannes Rabus Rechtsanwalt, Köln Matthias Schorer Senior Manager, VMware Global Inc., München Nicholas Storm Rechtsanwalt, SAP Deutschland AG & Co. KG, Walldorf Privatdozent Dr. Gerson Trüg Rechtsanwalt, Freiburg/Karlsruhe
Dr. Gunnar Knorr Rechtsanwalt, Steuerberater, Köln
Dr. Claus-Dieter Ulmer Rechtsanwalt, Konzernbeauftragter für den Datenschutz, Deutsche Telekom AG, Bonn
Evangelos Kopanakis best-practice innovations GmbH, Köln
Andreas Weiss Eurocloud Deutschland_eco e.V., Köln
Geleitwort Dem Cloud Computing wird heute zu Recht viel zugetraut. Fest steht, dass die vielfältigen Einsatzformen der Cloud die IT-Landschaft derzeit radikal verändern. Damit einher geht auch eine radikale Veränderung der Art und Weise, wie wir IT nutzen. Privatanwender und Unternehmen sind gleichermaßen von der Entwicklung betroffen. Die zuvor intern betriebene Datenverarbeitung wird zunehmend in die Hände externer Anbieter überführt. Basis dieser Entwicklung ist in allererster Linie das Vertrauen in die technischen Fertigkeiten des Providers, aber auch in den Datenschutz und die Datensicherheit in der Cloud. Unbestritten bietet die Nutzung von Cloud-Diensten eine ganze Reihe von Vorteilen für Kunden, seien sie Privatpersonen oder Unternehmen: Aktualität der Daten, jederzeitige Verfügbarkeit, verringerte Komplexität, hohe Sicherheit und nicht zuletzt ein erhebliches finanzielles Einsparpotential. Cloud-Angebote für Privatpersonen sind auf einfache Bedienung ausgelegt, Cloud-Dienste für Unternehmen adressieren die zum Teil hoch komplexen Anforderungen an IT-Leistungen. Die Möglichkeiten sind vielfältig, und dabei steht die Nutzung der Cloud erst am Anfang. Soweit die Verheißung. In der Realität ist das Bild (noch) etwas differenzierter. Fragte man IT-Nutzer nach „Cloud Computing“, wird man – so vermute ich – ein dreigeteiltes Echo hören. Die erste Gruppe von Befragten wird vermutlich gar nicht wissen, was die Cloud ist und was sie kann. Die zweite Gruppe wird begeistert sein von den technischen Möglichkeiten und praktischen Anwendungen, z.B. von überall verfügbaren Fotos, die man mit Freunden teilen kann. Andere werden auf ihre Nutzererfahrungen mit Cloud-Diensten zurückgreifen können und die deutlich vereinfachten IT-Prozesse im Unternehmen herausheben. Die letzte Gruppe von Befragten weiß um die Vorteile, sieht aber auch die mannigfaltigen und zum Teil sehr komplexen rechtlichen Aspekte, die sich bei Cloud-Lösungen stellen. Das vorliegende Buch wird vor allem für die zweite und dritte Gruppe vielfältige Hilfestellungen geben können. Denn für an der Cloud interessierte Unternehmen und deren Berater stellen sich eine ganze Reihe rechtlicher Fallstricke. Fragen der Vertragsgestaltung, urheberrechtliche Fragestellungen und nicht zuletzt Themen des Datenschutzes müssen gelöst werden. Die oft internationale Ausrichtung von Cloud-Anbietern wirft zudem Fragen der grenzüberschreitenden Rechtsanwendung auf. Gleichzeitig ist unabweisbar: Rechtlich klare Regeln für die Anwendung in der Praxis sind unverzichtbare Voraussetzung für den allseits vorausgesagten massenhaften und weitverbreiteten Einsatz des Produkts „Cloud Computing“. Das vorliegende Werk ist daher für die Praxis besonders wichtig. Die Cloud wird hier umfangreich und aus allen erdenklichen rechtlichen Blickwinkeln, national und international, beleuchtet. Die Autoren sind VII
Geleitwort
dabei ausgewiesene Experten auf ihrem jeweiligen Fachgebiet. Der praktische Nutzen einer solchen Zusammenstellung wird sich in der täglichen Arbeit erweisen. Das Piktogramm für die Cloud ist unter Meteorologen als Cumuluswolke bekannt, im Volksmund auch Schönwetterwolke genannt. Die Lektüre soll sicherstellen, dass Schönwetterwolken bei Cloud-Anwendungen in der Praxis auch wirklich die einzigen Wolken am Himmel sind. Bonn, im Januar 2014
VIII
Dr. Thomas Kremer Mitglied des Vorstands Deutsche Telekom AG
Vorwort Als Thomas Edison im Jahre 1881 in New York das erste Kraftwerk für zentrale Stromerzeugung in Betrieb setzte, schlugen ihm vermutlich viele Bedenken potentieller Kunden entgegen. Eine so wichtige Ressource wie Elektrizität könne nicht aus fremder Hand bezogen werden. Dies erinnert an die heutige Diskussion zum Cloud Computing. Bedenken insbesondere im Hinblick auf rechtliche Aspekte sind – gerade bei kleineren und mittelständischen Unternehmen – weit verbreitet; dabei werden allerdings konkrete Risiken häufig gar nicht benannt, sondern lediglich pauschal z.B. auf den Datenschutz angebracht. Den Risiken des Cloud Computing stehen jedoch auch dessen Chancen gegenüber. Ähnlich wie beim Outsourcing geht es um Kostensenkung, Flexibilisierung der Kosten, Verbesserung der Leistungsqualität, Konzentration auf das Kerngeschäft sowie – in stärkerem Maß als beim Outsourcing – um die Standardisierung IT-unterstützter Prozesse. Um Unternehmen in die Lage zu versetzen, eine konkretere Risiko-Chancen-Abwägung vorzunehmen, und dies besonders mit Blick auf die rechtlichen Risiken, will dieses Handbuch eine umfassende Darstellung der beim Cloud Computing zu beachtenden rechtlichen Aspekte bieten. Das Handbuch soll Unternehmen, die Cloud Computing-Leistungen einkaufen oder anbieten, eine umfassende Orientierung geben: Zum einen geht es darum, einen ausgewogenen Cloud Computing-Vertrag zu schließen. Hier besteht naturgemäß Gestaltungs- und dementsprechend auch Verhandlungsspielraum. Die Aspekte der Vertragsgestaltung werden – ausgehend von den in Teil 1 erläuterten technischen und wirtschaftlichen Grundlagen – in Teil 2 ausführlich behandelt, einschließlich fernabsatzrechtlicher Anforderungen beim Online-Vertrieb von Cloud-Leistungen. Cloud-Leistungen betreffen zudem in vielfacher Hinsicht urheberrechtlich geschütztes Material, insbesondere in Bezug auf die verwendete Software. Die sich daraus ergebenden urheberrechtlichen Themen werden in Teil 3 beleuchtet. Zum anderen ist von den Beteiligten das zwingende Recht in den Bereichen des Datenschutz-, Steuer- und Arbeitsrechts einzuhalten. Die sich hieraus ergebenden Anforderungen werden in den Teilen 4 bis 6 dargestellt. In Teil 7 werden die möglichen straf- und strafprozessualen Implikationen des Cloud Computing erläutert, insbesondere mögliche Zugriffsrechte der Behörden. Schließlich geht es in Teil 8 um die besonderen regulatorischen Anforderungen, die von Unternehmen in bestimmten Branchen zu berücksichtigen sind. Derartige Sonderbestimmungen gelten für Dienstleistungen auf dem Gebiet von Telekommunikation und Telemedien sowie für solche im Bereich des Finanzsektors. Auch für die öffentliche Verwaltung, für gesetzlich Geheimnisverpflichtete (§ 203 StGB), im Sozialwesen sowie im Anwendungsbereich der Exportkontrolle können spezifische Besonderheiten eine Rolle spielen. Von Bedeutung für die rechtliche Bewertung des Cloud Computing sind die zum Outsourcing vorliegenden Erkenntnisse. Outsourcing ist in geIX
Vorwort
wisser Weise der Vorreiter des Cloud Computing. Beim Outsourcing in seiner klassischen Form wird ein bestehender Betriebsteil unter Veräußerung der Vermögensgegenstände an einen Dienstleister ausgelagert. Dies kommt naturgemäß eher für größere Unternehmen in Betracht. Auch beim Cloud Computing wird die Leistung von einem externen Anbieter bezogen, weswegen auch hierbei von einer (funktionalen) Auslagerung gesprochen werden kann. Im Unterschied zum Outsourcing werden dabei jedoch regelmäßig keine Vermögensgegenstände veräußert. Die Bandbreite von Cloud Computing reicht von Leistungen für Verbraucher, über das standardisierte Massengeschäft bis hin zu großvolumigen CloudTransaktionen, die dem klassischen Outsourcing durchaus nahe kommen können. Dass die Grenzen zwischen Outsourcing und Cloud Computing verschwimmen, zeigt sich auch daran, dass in den Shared Service Center der Outsourcing-Dienstleister ebenso wie in internen Rechenzentren der Outsourcing-Kunden bereits häufig Cloud-Technologien zum Einsatz kommen. Daher behandelt dieses Handbuch viele Fragen unter Einbeziehung der Outsourcing-Perspektive. Dabei darf nicht verkannt werden, dass viele Themen zwar ähnlich, aber eben auch nicht gleich gelagert sind: – So stellen sich z.B. Haftungsrisiken der Cloud Computing-Anbieter, die auf einer sog. multi tennancy Architektur arbeiten, anders dar als für Outsourcing-Dienstleister, die eine individuelle Lösung für einen Kunden bereitstellen. Bei einem Problem des Cloud Computing-Anbieters im Bereich der multi tennancy Architektur sind alle Kunden betroffen, was dann zu einem entsprechend gesteigerten Haftungspotential führt. – Auch die Exit-Szenarien bei Vertragsende sind unterschiedlich. Im Vergleich zu einem Outsourcing-Dienstleister dürfte sich ein Cloud Computing-Anbieter in der Regel noch schwerer damit tun, sein Know-how über eine Standardlösung im Rahmen der Beendigungsunterstützung offenzulegen, nur damit der Kunde die Leistungen durch einen Dritten weitererbringen lassen kann. Ferner besteht die Option, ausgelagerte Vermögensteile bei Vertragsende zurück zu kaufen (Call Option), in der Regel beim Cloud Computing nicht. – Mit am gravierendsten sind die Unterschiede im Bereich der Leistungsänderungen (Change Requests). Während beim klassischen 1:1-Outsourcing Änderungen möglich sind, hat ein Cloud-Anbieter architekturbedingt nur geringen (bis gar keinen) Spielraum, auf Änderungswünsche des Kunden einzugehen. Dies ist vor allem dann problematisch, wenn der Kunde aus regulatorischen Gründen Änderungsrechte benötigt, wie es z.B. im Bereich des Finanzwesens der Fall sein kann. Diese Beispiele machen deutlich, dass gerade angesichts der vielfältigen Erscheinungsformen des Cloud Computing eine Betrachtung des Einzelfalls notwendig ist, um zu angemessenen Ergebnissen zu kommen. Die Grundlage dafür wird in diesem Handbuch gelegt. X
Vorwort
Dieses Handbuch beruht auf der Mitarbeit vieler. Besonderer Dank gilt meinen Mitautoren, die sich neben erheblicher Belastung im Tagesgeschäft in außerordentlicher Weise bei der Abfassung ihrer Beiträge engagiert haben, und Frau Dr. Julia Beck vom Dr. Otto Schmidt Verlag für die umsichtige Betreuung des Handbuchs. Des Weiteren danke ich Herrn Heiko Schmitt für gute Gespräche zu technischen und wirtschaftlichen Aspekten des Cloud Computing und für die Unterstützung bei der Durchsicht der Manuskripte sowie Rechtsreferendarin Christiane Bachmann für ihre unermüdliche Hilfe bei der Prüfung der Beiträge und Druckfahnen. Schließlich geht mein ganz persönlicher Dank an Familie, Freunde und Kollegen, die an der Entstehung dieses Werks teilgenommen haben, ganz besonders an meine Frau Nhu-Ly. Die in diesem Handbuch zitierte Rechtsprechung und Literatur ist weitgehend auf dem Stand Herbst 2013. Die Entwicklung des Cloud Computing schreitet rasant voran. Dies gilt zuvorderst für das Datenschutzrecht, das möglicherweise zukünftig von der EU-Datenschutz-Grundverordnung neu geprägt werden wird. Zum Redaktionsschluss war nicht absehbar, ob die Grundverordnung noch in dieser Legislaturperiode des europäischen Parlaments zustande kommt und damit noch in 2016 in Kraft treten könnte. Daher sollten die aktuellen Entwicklungen weiterhin von allen, die sich mit den rechtlichen Aspekten des Cloud Computing auseinandersetzen, aufmerksam verfolgt werden. Nicht nur wegen dieser ständigen Weiterentwicklung ist es mir ein besonderes Anliegen, die Leser dieses Handbuches um konstruktive Kritik und Hinweise zur Verbesserung zu bitten, gerne gerichtet an [email protected]. Ich wünsche mir, dass sich Cloud Computing weiterhin positiv entwickelt und dabei auch die Durchdringung der rechtlichen Aspekte an Tiefe gewinnt. Sollten wir – ich denke ich kann für alle Autoren sprechen – mit diesem Handbuch hierzu etwas beitragen, würden wir uns sehr freuen. Köln, im Januar 2014
Marc Hilber
XI
Inhaltsübersicht Seite
Geleitwort . . . . . . . . . Vorwort . . . . . . . . . . Abkürzungsverzeichnis. Literaturverzeichnis . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
Teil 1 Technische und wirtschaftliche Grundlagen A. Einführung, Begrifflichkeiten und Marktentwicklung . . . . B. Geschäftsmodelle . . . . . . . . . . . . . . . . . . . . . . . . . . C. IT-Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . D. Service-Beschreibungen in Cloud Computing-Verträgen aus technischer und operationeller Sicht . . . . . . . . . . . . . .
. . . .
. VII . IX . XV . XXIII
. . . . . .
1 29 54
. .
89
Teil 2 Vertragsgestaltung . . . . . . . . . . . . . . . . . . . . . . . . . .
131
Teil 3 Urheberrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
257
Teil 4 Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
321
Teil 5 Arbeitsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
433
Teil 6 Steuerrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
483
Teil 7 Strafrecht und Strafprozessrecht . . . . . . . . . . . . . . . . .
545
Teil 8 Regulierte Märkte A. Telekommunikations- und Telemedienrecht B. Regulierte Finanzdienstleister . . . . . . . . . C. Öffentliche Verwaltung . . . . . . . . . . . . . D. Geheimnisverpflichtete . . . . . . . . . . . . . E. Sozialdaten . . . . . . . . . . . . . . . . . . . . . F. Exportkontrolle . . . . . . . . . . . . . . . . . .
. . . . . .
577 612 657 701 731 761
Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . .
787
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
XIII
Abkürzungsverzeichnis a.A. Abl. Abs. Abschn. AcP ACTA a.E. AE AEUV AG AGB AiB AktG Alt. AnwBl AO AP ArbG ArbNErfG ArbRAktuell ArbRB ArbSchG ArbuR ArbZG Art. ASP AuA Aufl. AWG AWV
anderer Ansicht Amtsblatt Absatz Abschnitt Archiv für die civilistische Praxis (Zeitschrift) Anti-Produktpiraterie-Handelsabkommen am Ende Arbeitsrechtliche Entscheidungen (Zeitschrift) Vertrag über die Arbeitsweise der Europäischen Union Amtsgericht; Aktiengesellschaft Allgemeine Geschäftsbedingungen Arbeitsrecht im Betrieb (Zeitschrift) Aktiengesetz Alternative Anwaltsblatt Abgabenordnung Arbeitsrechtliche Praxis Arbeitsgericht Gesetz über Arbeitnehmererfindungen Arbeitsrecht Aktuell (Zeitschrift) Der Arbeits-Rechts-Berater (Zeitschrift) Arbeitsschutzgesetz Arbeit und Recht (Zeitschrift) Arbeitszeitgesetz Artikel Application Service Providing Arbeit und Arbeitsrecht (Zeitschrift) Auflage Außenwirtschaftsgesetz Außenwirtschaftsverordnung
B2B B2C BABl. BAFA BaFin BAG BAnz. BAT BB BCR BDSG BeckRS BetrVG
Business-to-business Business-to-customer Bundesarbeitsblatt Bundesamt für Wirtschaft und Ausfuhrkontrolle Bundesanstalt für Finanzdienstleistungsaufsicht Bundesarbeitsgericht Bundesanzeiger Bundesangestelltentarifvertrag Betriebs-Berater (Zeitschrift) Binding Corporate Rules Bundesdatenschutzgesetz Beck-Rechtsprechung Betriebsverfassungsgesetz
XV
Abkrzungsverzeichnis
BfDI
BVerfG BVerfGE BYOD bzgl. bzw.
Bundesbeauftragter für Datenschutz und die Informationsfreiheit Bundesfinanzhof Bürgerliches Gesetzbuch Bundesgesetzblatt Bundesgerichtshof Entscheidungen des Bundesgerichtshofs in Strafsachen Bundeshaushaltsordnung Business Intelligence Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. Blätter für Steuerrecht, Sozialversicherung und Arbeitsrecht (Zeitschrift) Bundesministerium der Finanzen Bundesministerium der Justiz Bundesnotarordnung Berufsordnung der Rechtsanwälte Bundessteuerberaterkammer Business Process as a Service Bundespersonalvertretungsgesetz Bundesrechtsanwaltsordnung Bonner Rechtsjournal (Zeitschrift) Bundessozialgericht Entscheidungen des Bundessozialgerichts Bundesamt für Sicherheit in der Informationstechnik Bundessteuerblatt beispielsweise Bundestagsdrucksache Buchstabe Besondere Vertragsbedingungen für die Beschaffung von DVAnlagen und Geräten Bundesverfassungsgericht Sammlung der Entscheidungen des BVerfG Bring Your Own Device bezüglich beziehungsweise
CAD CapEx CCZ CEBS CISG COBIT COPE CPU CR CRM
computer-aided design Capital Expenditures Corporate Compliance Zeitschrift Committee of European Banking Supervisors Convention on Contracts for the International Sale of Goods Control Objectives for Information and Related Technology Corporate Owned, Personally Enabled central processing unit Computer und Recht (Zeitschrift) Costumer Relationship Management
BFH BGB BGBl. BGH BGHSt BHO BI BITKOM BlStSozArbR BMF BMJ BNotO BORA BOStB BPaaS BPersVG BRAO BRJ BSG BSGE BSI BStBl. bspw. BT-Drucks. Buchst. BVB
XVI
Abkrzungsverzeichnis
CRi CuA CYOD
Computer Law Review International (Zeitschrift) Computer und Arbeit (Zeitschrift) Choose Your Own Device
DaaS DAngVers DB DBA DBaaS dbr DCSA DDoS d.h. DMZ DOK
Desktop as a Service Deutsche Angestelltenversicherung (Zeitschrift) Der Betrieb (Zeitschrift) Doppelbesteuerungsabkommen Databases as a Software der betriebsrat (Zeitschrift) Datacenter Star Audit Distributed Denial of Service das heißt Demilitarisierte Zone Technologien, Strategien & Services für das digitale Dokument Deutsche Richterzeitung Deutsche Rentenversicherung (Zeitschrift) Datenschutz-Berater (Zeitschrift) Datenverarbeitung Steuer Wirtschaft Recht (Zeitschrift) Datenschutz und Datensicherheit (Zeitschrift)
DRiZ DRV DSB DSWR DuD EAL EBA ECP EDI EEA EFZG EG EGBGB EMRK ENISA ERP EStDV EStG etc. EU EU-DSGVO-E EuGH EuGVVO
EuZW e.V. EVB-IT EWG
Evaluation Assurance Level Europäische Beweisanordnung Europäische Cloud-Partnerschaft Electronic Data Interchange Europäische Ermittlungsanordnung Entgeltfortzahlungsgesetz Europäische Gemeinschaft Einführungsgesetz zum Bürgerlichen Gesetzbuch Europäische Menschenrechtskonvention European Network and Information Security Agency enterprise resource planning Einkommensteuer-Durchführungsverordnung Einkommensteuergesetz et cetera Europäische Union Vorschlag für EU-Datenschutzgrundverordnung Gerichtshof der Europäischen Union Verordnung des Rates über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelsrechtssachen Europäische Zeitschrift für Wirtschaftsrecht eingetragener Verein Ergänzende Vertragsbedingungen für die Beschaffung von Informationstechnik Europäische Wirtschaftsgemeinschaft
XVII
Abkrzungsverzeichnis
EWR
Europäischer Wirtschaftsraum
f., ff. FamFG
folgende, fortfolgende Gesetz über das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit Fußnote Festschrift File Transfer Protocol
Fn. FS FTP GAufZV GDD GDPdU
GUI GWB GwG GWR
Gewinnabgrenzungsaufzeichnungsverordnung Gesellschaft für Datenschutz und Datensicherheit e.V. Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen Gesamtverband der Deutschen Versicherungswirtschaft gemäß Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte Gewerbearchiv (Zeitschrift) Gewerbeordnung Grundgesetz gegebenenfalls Gesellschaft mit beschränkter Haftung GmbH-Gesetz Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme Government Procurement Agreement GNU General Public License Zeitschrift der Deutschen Vereinigung für Gewerblichen Rechtsschutz und Urheberrecht Gewerblicher Rechtsschutz und Urheberrecht, Praxis im Immaterialgüter- und Wettbewerbsrecht (Zeitschrift) Graphical User Interface Gesetz gegen Wettbewerbsbeschränkungen Geldwäschegesetz Gesellschafts- und Wirtschaftsrecht (Zeitschrift)
Halbs. HGB h.M. HuaaS HW
Halbsatz Handelsgesetzbuch herrschende Meinung Humans as a Service Hardware
IaaS i.d.R. IDS i.Erg. IFRS
Infrastructure as a Service in der Regel Intrusion-Detection-System im Ergebnis International Financial Reporting Standards
GDV gem. GEMA GewA GewO GG ggf. GmbH GmbHG GoBS GPA GPL GRUR GRUR-Prax
XVIII
Abkrzungsverzeichnis
ILM IMAC InsO IP IPrax i.S.d. IStR i.S.v. ITIL ITRB i.V.m.
Information Lifecycle Management Installations, Moves, Additions, Changes Insolvenzordnung Internet Protocol Praxis des Internationalen Privat- und Verfahrensrechts (Zeitschrift) im Sinne des/der Internationales Steuerrecht (Zeitschrift) im Sinne von IT Infrastructure Library Der IT-Rechts-Berater (Zeitschrift) in Verbindung mit
JarbSchG
Jugendarbeitsschutzgesetz
K&R KAGB Kap. KG KOM KonTraG
KWG
Kommunikation & Recht (Zeitschrift) Kapitalanlagegesetzbuch Kapitel Kammergericht; Kommanditgesellschaft Dokument der EG-Kommission Gesetz zur Kontrolle und Transparenz im Unternehmensbereich kritisch Kündigungsschutzgesetz Körperschaftsteuergesetz Körperschaftsteuer-Richtlinie Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie Kreditwesengesetz
LAG LG LHO LOI
Landesarbeitsgericht Landgericht Landeshaushaltsordnung Letter of Intent
m. Anm. MaRisk BA
mit Anmerkungen Mindestanforderungen an das Risikomanagement für Kreditinstitute Mindestanforderungen an das Risikomanagement für Versicherungsunternehmen Monetary Authority of Singapore Mobile-Device-Management Monatsschrift für Deutsches Recht (Zeitschrift) Medizinrecht (Zeitschrift) Finanzmarkt-Richtlinie MultiMedia und Recht (Zeitschrift) Multiprotocol Label Switching
krit. KSchG KStG KStR KUG
MaRisk VA MAS MDM MDR MedR MIFID MMR MPLS
XIX
Abkrzungsverzeichnis
MuSchG m.w.N.
Mutterschutzgesetz mit weiteren Nachweisen
NDA NIST NJ NJOZ NJW noeP Nr. NStZ NZA NZBau NZI NZG NZS
Non-Disclosure Agreement National Institute of Standards and Technology Neue Justiz (Zeitschrift) Neue Juristische Online Zeitschrift Neue Juristische Wochenschrift nicht öffentlich ermittelnde Polizeibeamte Nummer Neue Zeitschrift für Strafrecht Neue Zeitschrift für Arbeitsrecht Neue Zeitschrift für Baurecht und Vergaberecht Neue Zeitschrift für das Recht der Insolvenz und Sanierung Neue Zeitschrift für Gesellschaftsrecht Neue Zeitschrift für Sozialrecht
o.Ä. OCCI OECD o.g. OLG OpEx OSS OVF OWiG
oder Ähnliches Open Cloud Computing Interface Organisation für wirtschaftliche Zusammenarbeit und Entwicklung oben genannte/n/r Oberlandesgericht Operational Expenditures Open Source Software Open Virtualization Format Ordnungswidrigkeitengesetz
PaaS PAO PBCR PbD PCI DSS PDCA PreisAngV PrKlG
Platform as Service Patentanwaltsordnung Processor Binding Corporate Rules Privacy by Design Payment Card Industry Data Security Standard Plan-Do-Check-Act Preisangabenverordnung Preisklauselgesetz
RaaS RAID RAM RBÜ
Resource as a Software Redundant Array of Independent Disks Random-Access Memory Revidierte Berner Übereinkunft zum Schutz von Werken der Literatur und Kunst Recht der Arbeit (Zeitschrift) Rechtsdienstleistungsgesetz Recht der Datenverarbeitung (Zeitschrift) Ressourceneinheiten radio-frequency identification
RdA RDG RDV RE RFID
XX
Abkrzungsverzeichnis
RFP RIW RStV Rz.
Request for Proposal Recht der internationalen Wirtschaft (Zeitschrift) Rundfunkstaatsvertrag Randzahl
s./S. s.a. SaaS SchiedsVZ SektVO SGB SGb SLAs s.o. SOA sog. SOX SSAE SSC SSL SSLA StGB StPO StV s.u.
siehe; Seite siehe auch Software as a Service Zeitschrift für Schiedsverfahren Sektorenverordnung Sozialgesetzbuch Die Sozialgerichtsbarkeit (Zeitschrift) Service Level Agreements siehe oben Service-orientierte Architekturen so genannte/r Sarbanes-Oxley-Act Statements on Standards for Attestation Engagements Shared Service Center Secure Socket Layer (Codierungssystem) Security Service Level Agreements Strafgesetzbuch Strafprozessordnung Strafverteidiger (Zeitschrift) siehe unten
TCP/IP TDDSG TGIC TKG TLS TMG TRIPS
Transmission Control Protocol/Internet Protocol Teledienstdatenschutzgesetz Trusted German Insurance Cloud Telekommunikationsgesetz Transport Layer Security (Codierungssystem) Telemediengesetz Übereinkommen über handelsbezogene Aspekte der Rechte am geistigen Eigentum Time to Market Teilziffer Teilzeit- und Befristungsgesetz
TTM Tz. TzBfG u.a. UfAB UrhG UrhWG US-GAAP UStG usw. u.U. UWG
unter anderem Unterlage für Ausschreibung und Bewertung von IT-Leistungen Urheberrechtsgesetz Urheberrechtswahrnehmungsgesetz United States Generally Accepted Accounting Principles Umsatzsteuergesetz und so weiter unter Umständen Gesetz gegen den unlauteren Wettbewerb
XXI
Abkrzungsverzeichnis
v. v.a. VAG VBlBW VersR VG VGH vgl. VgV VM VO VOF VOL/A VOL/B vPK VPN VuR VwVfG WAN WCT wistra WM
vom vor allem Gesetz über die Beaufsichtigung der Versicherungsunternehmen Verwaltungsblätter für Baden-Württemberg Zeitschrift für Versicherungsrecht Verwaltungsgericht Verwaltungsgerichtshof vergleiche Vergabeverordnung Virtuelle Maschine Verordnung Vergabeordnung für freiberufliche Leistungen Allgemeine Bestimmungen für die Vergabe von Leistungen Allgemeine Vertragsbedingungen für die Ausführung von Leistungen virtueller Prozessorkern Virtual Private Network Verbraucher und Recht (Zeitschrift) Verwaltungsverfahrensgesetz
WP WpHG WRP WTO
Wide Area Network WIPO-Urheberrechtsvertrag Zeitschrift für Wirtschafts- und Steuerstrafrecht Wertpapier-Mitteilungen (Zeitschrift für Wirtschaftsund Bankrecht) Workingpaper Gesetz über den Wertpapierhandel Wettbewerb in Recht und Praxis (Zeitschrift) Welthandelsabkommen
XaaS
Everything as a Service
ZAG z.B. ZBB/JBB
Zahlungsdiensteaufsichtsgesetz zum Beispiel Zeitschrift für Bankrecht und Bankwirtschaft/Journal of Banking Law and Banking Zeitschrift für Datenschutz Zeitschrift für die sozialrechtliche Praxis Ziffer Zeitschrift für das gesamte Insolvenzrecht Zeitschrift für Wirtschaftsrecht Zeitschrift für Internationale Strafrechtsdogmatik Zivilprozessordnung Zeitschrift für Tarifrecht Zeitschrift für Urheber- und Medienrecht
ZD ZFSH/SGB Ziff. ZinsO ZIP ZIS ZPO ZTR ZUM
XXII
Literaturverzeichnis Abel, Praxiskommentar Telemediengesetz, Telekommunikationsgesetz und Telekommunikations-Überwachungsverordnung, 2. Aufl. 2011 Abels/Lieb (Hrsg.), AGB im Spannungsfeld zwischen Kautelarpraxis und Rechtsprechung, 2007 Achtelik, Die neuen Regelungen zum Outsourcing, BankPraktiker 1/2008, 14 Aghamiri, Beteiligungsrechte des Betriebsrats bei Einführung neuer Softwareanwendungen, ITRB 2008, 21 Ahlberg, Die Kündigung – Rechtmäßigkeit und Reaktionsmöglichkeiten von Betroffenen und Betriebsräten, AiB 2013, 176 Amelung, Erweitern allgemeine Rechtfertigungsgründe, insbesondere § 34 StGB, hoheitliche Eingriffsbefugnisse des Staates?, NJW 1977, 833 André, Sozialdatenschutz neu geregelt, BArBl 1994, 12 Arning/Forgól/Krügel, Datenschutzrechtliche Aspekte der Forschung mit genetischen Daten, DuD 2006, 700 Auernhammer, Bundesdatenschutzgesetz, 3. Aufl. 1993 Auer-Reinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, 2011 Baldamus, Neues zur Betriebsstättengewinnermittlung, IStR 2012, 317 Bamberger/Roth (Hrsg.), Beck’scher Onlinekommentar BGB, Stand Februar 2013 Bär, EDV-Beweissicherung im Strafverfahrensrecht, CR 1998, 434 Bär, Handbuch zur EDV-Beweissicherung im Strafverfahren, 2007 Bär, Transnationaler Zugriff auf Computerdaten, ZIS 2011, 52 Barnitzke, Microsoft: Zugriff auf personenbezogene Daten in EU-Cloud auf Grund US Patriot Act möglich, MMR-Aktuell 2011, 321103 Barnitzke/Möller/Nordmeyer, Die Schutzfähigkeit graphischer Benutzeroberflächen nach europäischem und deutschem Recht, CR 2011, 277 Beck/Dauber/Eberl u.a., MaRisk-Umsetzungsleitfaden, 2006 Beck’scher TKG Kommentar, 4. Aufl. 2013 Becker, Virtuelle Festplatten als Sharehoster – Prüfungspflichten im Spannungsfeld zwischen Urheberrecht, Datenschutz und legitimen Nutzerinteressen, WRP 2013, 41 Becker/Berndt/Klein (Hrsg.), Neue MaRisk – Bearbeitungs- und Prüfungsleitfaden, 2. Aufl. 2011 Becker/Hecht, Auswirkungen des Preisklauselgesetzes auf die IT-Vertragsgestaltung, ITRB 2008, 251 Becker/Nikolaeva, Das Dilemma der Cloud-Anbieter zwischen US Patriot Act und BDSG – Zur Unmöglichkeit rechtskonformer Datenübermittlung für gleichzeitig in USA und Deutschland operierende CloudAnbieter, CR 2012, 170 Bedner, Rechtmäßigkeit der „Deep Packet Inspection“, 2009 Behrens/Froede, Beweisverwertungsverbot aufgrund unterlassener Gutachterwahl im sozialgerichtlichen Verfahren, NZS 2009, 128 XXIII
Literaturverzeichnis
Beisel/Gimmy/Andreas/et al., Beck’sches Mandatshandbuch Due Diligence, 2010 Bell, Der Transfersozialplan – Ein Auslaufmodell?, AiB 2013, 117 Bergmann, Cloud Computing – Eine Datenwolke im betriebsratsfreien Raum?, dbr 2011, 26 Bergmann, Funktionsauslagerung bei Kreditinstituten, Berlin 2010 Bergmann/Möhrle/Herb, Datenschutzrecht, Loseblatt Bergt, Datenschutzrechtliche Erstkontrolle durch vertrauenswürdige Dritte – „Überzeugung“ von der Datensicherheit beim Auftragsdatenverarbeiter, ITRB 2012, 45 Bergwitz, Der besondere Gerichtsstand des Arbeitsortes (§ 48 I a ArbGG), NZA 2008, 443 Berndt (Hrsg.), Outsourcing in Kreditinstituten – Regulatorische Vorgaben – erfolgreiche Umsetzung – effektive Prüfung, 2009 Beyerle, Rechtsfragen medizinischer Qualitätskontrolle, 2004 Bierekoven, Die „Button-Lösung“ – ein Überblick zu den ersten Anforderungen, ITRB 2012, 186 Bierekoven, Lizenzierung in der Cloud – Neue Formen der Vertragsgestaltung, ITRB 2010, 42 Bieresborn, Aktuelle Probleme des Sozialdatenschutzes in aktueller Darstellung, ZFSH 2010, 193 Bieresborn, Datenschutz bei sozialrichterlicher Tätigkeit, SGb 2010, 501 Binne, Das neue Recht des Sozialdatenschutzes, NZS 1995, 99 Birk/Burk, Die Dokumentation einer wirksamen betriebsbedingten Kündigung, BB-Special 2006, Nr. 5, 2–14 Birk/Heinson/Wegener, Virtuelle Spurensuche – Digitale Forensik in Cloud-Umgebungen, DuD 2011, 329 Birk/Wegener, Über den Wolken: Cloud Computing im Überblick, DuD 2010, 641 Blöse/Pechardscheck, Die rechtliche Absicherung von IT-OutsourcingProjekten, CR 2002, 785 Blume, Data Protection in the Cloud – Should the law change when it conflicts with a creative business model?, CRi 2011, 76 Blümich, Einkommensteuergesetz, Körperschaftsteuergesetz, Gewerbesteuergesetz, Loseblatt Böken, Zugriff auf Zuruf? Patriot Act und Cloud Computing, http:// www.heise.de/ix/artikel/Zugriff-auf-Zuruf-1394430.html Boos/Fischer/Schulte-Mattler (Hrsg.), Kreditwesengesetz Kommentar zu KWG und Ausführungsvorschriften, 4. Aufl. 2012 Boos/Kroschwald/Wicker, Datenschutz bei Cloud Computing zwischen TKG, TMG und BDSG – Datenkategorien bei der Nutzung von CloudDiensten, ZD 2013, 205 Bosesky/Hoffmann/Schulz, Datenhoheit im Cloud-Umfeld, DuD 2013, 95 Braunschweig/Geis/Tolksdorf/Hansen, DACS – Data Archiving and Communication Services, MedR 2004, 353 Bräutigam (Hrsg.), IT-Outsourcing, 2. Aufl. 2009 XXIV
Literaturverzeichnis
Bräutigam, IT-Outsourcing und Cloud-Computing, 3. Aufl. 2013 Bräutigam, § 203 StGB und der funktionale Unternehmensbegriff, CR 2011, 411 Bräutigam, IT-Outsourcing und Reform des § 203 StGB – Weg der Isolation?, AnwBl. 2012, 487 Breyer, Tracking und Gesetz: Spuren im Netz, NJW-Aktuell 2010, Nr. 11 S. 18 Brisch/Laue, E-Discovery und Datenschutz, RDV 2010, 1 Brisch/Laue, Unified Communications – Rechtliche Stolpersteine auf dem Weg zur einheitlichen Unternehmenskommunikation, MMR 2009, 813 Brisch/Laue, Zur Weitergabe von Patientendaten an private Abrechnungsstellen als Verletzung der Verschwiegenheitspflicht, CR 2009, 465 Brödermann, Paradigmenwechsel im Internationalen Privatrecht – Zum Beginn einer neuen Ära seit 17.12.2009, NJW 2010, 807 Brodowski, Strafrechtsrelevante Entwicklungen in der Europäischen Union, ZIS 2011, 940 u. 2012, 558 Brodowski/Freiling, Cyberkriminalität, Computerstrafrecht und digitale Schattenwirtschaft, 2011 Büchting/Heussen, Beck’sches Rechtsanwalts-Handbuch, 10. Aufl. 2011 Bultmann, Aussonderung von Daten in der Insolvenz, ZinsO 2011, 992 Bunjes, Umsatzsteuergesetz: UStG, 12. Aufl. 2013 Çekin, Strafbarkeitsrisiken beim IT-Outsourcing, Zum externen ITDienstleister als Gehilfen im Sinne des § 203 Abs. 3 S. 2 StGB, ZIS 2012, 425 Christians, Recht der Datenverarbeitung, Sonderdruck zur BDSG-Novellierung, 2000 Coen, Ankauf und Verwertung deliktisch beschaffter Beweismittel in Steuerstrafverfahren aus völkerrechtlicher Sicht, NStZ 2011, 433 Conrad/Fechtner, IT-Outsourcing durch Anwaltskanzleien nach der Inkasso-Entscheidung des EuGH und dem BGH, Urteil vom 7.2.2013, CR 2013, 137 Dahm, Die Übermittlung von Sozialdaten für die Durchführung eines Strafverfahrens, WzS 2008, 44 Däubler/Kittner/Klebe/Wedde (Hrsg.), BetrVG, 13. Aufl. 2012 Däubler/Klebe/Wedde/Weichert, BDSG, 3. Aufl. 2010 Dauner-Lieb/Heidel/Ring, Bürgerliches Gesetzbuch, Band 2, 2. Aufl. 2012 Deister/Degen, Darf der Gerichtsstand noch fliegen? – § 32 ZPO und das Internet, NJOZ 2010, 1 Dieterich/Neef/Schwab, Arbeitsrecht-Blattei Domröse, Der gewöhnliche Arbeitsort des Arbeitnehmers als besonderer Gerichtsstand im arbeitsgerichtlichen Urteilsverfahren, DB 2008, 1626
XXV
Literaturverzeichnis
Dorner, Umfassende Nutzungsrechteeinräumung gegen Pauschalabgeltung – Ende für „Buy-outs“? Aktuelle Entwicklungen der urhebervertragsrechtlichen Rechtsprechung und ihre Relevanz für die IT-rechtliche Vertragspraxis, MMR 2011, 780 Dreier/Schulze, Urheberrechtsgesetz, 3. Aufl. 2008 Dreyer/Kotthoff/Meckel, Urheberrecht, 2. Aufl. 2009 Drozd, Wer ist Betroffener iS des § 67 SGB X?, MittLVA Oberfranken und Mittelfranken 1986, 93 Drozd, Zur Offenbarung medizinischer Daten im sozialen Bereich, Mitt LVA Oberfr 1983, 318 Duisberg/Eckhard/Grudzien u.a., Rechtliche Anforderungen an Cloud Computing – Sichere Cloud-Dienste, IT-Gipfel 2011, siehe http:// www.eurocloud.de/wp-content/blogs.dir/5/files/anford_recht_beicloud computing_v1.pdf (zuletzt 1.11.2013) Düwell, Arbeitsrechtliche Chancen und Risiken von Outsourcing, Richterliches Arbeitsrecht 1999, (Festschrift für Thomas Dieterich zum 65. Geburtstag), S. 101 Ebenroth/Boujong/Joost/Strohn, Handelsgesetzbuch, Kommentar, 2. Aufl. 2008 Eckhardt, EU-DatenschutzVO – Ein Schreckgespenst oder Fortschritt?, CR 2012, 195 Eckhardt, IP-Adresse als personenbezogenes Datum – neues Öl ins Feuer – Personenbezug im Datenschutzrecht – Grenzen der Bestimmbarkeit am Beispiel der IP-Adresse, CR 2011, 339 Eckhardt, Rechtliche Grundlagen der IT-Sicherheit, DuD 2008, 330 Ehmann, Strafbare Fernwartung in der Arztpraxis, CR 1991, 293 Ehmann, Zur ärztlichen Schweigepflicht und der externen Archivierung von Patientenunterlagen bei Krankenhäusern, CR 1997, 540 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Kommentar, 1999 Eller/Heinrich/Perrot/Reif (Hrsg.), MaRisk in der Praxis, 2006 Elmauer/Schindler, Datenschutzfragen freier Träger im Verhältnis zu öffentlichen Kostenträgern – speziell bei der Umsetzung der § 8a SGB VIII, Sozialrecht aktuell 2007, 81 Elsing, Streitverkündung und Schiedsverfahren, SchiedsVZ 2004, 88 Emrich, Die Tätigkeit der Gerichte und der Sozialdatenschutz, Zum Verhältnis des § 35 SGB I zu den Verfahrensordnungen, Sozialdatenschutz, Arbeitshilfen Heft 24, 1985, 113 Endler, Rechtsprechungsübersicht zu Dokumentationsmängeln, CR 1995, 7 Engels, Datenschutz in der Cloud – Ist hierbei immer eine Auftragsdatenverarbeitung anzunehmen?, K&R 2011, 548 Erbs/Kohlhaas, Strafrechtliche Nebengesetze, Loseblatt Erd, Auftragsdatenverarbeitung in sicheren Drittstaaten – Plädoyer für eine Reform von § 3 Abs. 8 Satz 3 BDSG, DuD 2011, 275 Erman, Bürgerliches Gesetzbuch, Kommentar, 13. Aufl. 2011 Eul, Sozialdatenschutz, DOK 1995, 307. XXVI
Literaturverzeichnis
Eul, Verwaltungsverfahren, Die Neuregelungen des Zweiten Kapitels des SGB X – Datenschutz im Sozialbereich, DOK 1981, 453 Ewer, Outsourcing in Kanzleien und Verschwiegenheit – wie geht es weiter? DAV-Initiative zur gesetzlichen Absicherung der Einbeziehung externer Dienstleister, AnwBl 2011, 476 Eylert/Sänger, Verstöße von Arbeitnehmern der Sozialleistungsträger gegen den Sozialdatenschutz und ihre arbeitsrechtlichen Folgen, ZTR 2009, 398 Fanselow, Datenschutz – über 2000 Jahre alt und noch immer aktuell, DAngVers 2003, 24 Färber, Die Beteiligungsrechte des Betriebsrats bei der Einführung neuer Techniken, Festschrift für Dieter Gaul zum 70. Geburtstag, 1992, S. 57 Fischer, Strafgesetzbuch, 60. Aufl. 2013 Fitting/Engels/Schmidt/Trebinger/Linsenmaier, BetrVG, Kommentar, 26. Aufl. 2012 Förschle/Grottel/Schmidt/Schubert/Winkeljohann, Beck’scher BilanzKommentar, 8. Aufl. 2012 Fromm/Nordemann, Urheberrecht, 10. Aufl. 2008 Fuhlrott/Ritz, Anforderungen an Unterrichtungsschreiben bei Betriebsübergängen, BB 2012, 2689 Funke/Wittmann, Cloud Computing – ein klassischer Fall der Auftragsdatenverarbeitung? Anforderungen an die verantwortliche Stelle, ZD 2013, 221 Gabel, Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten, BB 2009, 2045 Gaul/Hiebert, Das Phantom lebt – Die ordnungsgemäße Unterrichtung über den Betriebsübergang, ArbRB 2012, 183 Gaul/Koehler, Mitarbeiterdaten in der Computer Cloud: Datenschutzrechtliche Grenzen des Outsourcing, BB 2011, 2229 Geercken/Holden/Rath/Surguy/Stretton, Irreconcilable Differences? Navigating Cross-Border E-Discovery, CRi 2013, 44 Gehlhaar, Widerspruch gegen Betriebsübergang nach Verfügung über das Arbeitsverhältnis, BB 2009, 1182 Gemeinschaftskommentar zum Betriebsverfassungsgesetz, 9. Aufl. 2010 Gemeinschaftskommentar zum Kündigungsschutzgesetz und zu sonstigen kündigungsschutzrechtlichen Vorschriften (KR), 9. Aufl. 2009 Gennen, Outsourcing und § 613a BGB, ITRB 2002, 291 Gennen/Schreiner, Neue Anforderungen für das Outsourcing im Finanzdienstleistungssektor, CR 2007, 757 Geppert/Piepenbrock/Schütz/Schuster, Beck’scher TKG-Kommentar, 3. Aufl. 2006 Gercke, Straftaten und Strafverfolgung im Internet, GA 2012, 474 Gercke, Strafrechtliche und strafprozessuale Aspekte des Cloud Computing und des Cloud Storage, CR 2010, 345
XXVII
Literaturverzeichnis
Gercke, Cybersecurity Strategy – Why it is necessary to move from Cybersecurity philosophies to true Cybersecurity strategies, CRi 2013, 136 Germelmann/Matthes/Prütting, Arbeitsgerichtsgesetz, 8. Aufl. 2013 Geschwinder, Beweisverwertungsverbot für rechtswidrig erlangte Beweismittel, SozVers 1981, 137 Giebichenstein, Zertifizierte Cloud durch das EuroCloud Star Audit SaaS, DuD 2011, 338 Giesen, Datenverarbeitung im Auftrag in Drittstaaten – eine misslungene Gesetzgebung: Das deutsche Modell der Auftragsdatenverarbeitung im Konflikt mit den Vorgaben der EU-Datenschutzrichtlinie, CR 2007, 543 Giesen, Zum Begriff des Offenbarens nach § 203 StGB im Falle der Einschaltung privatärztlicher Verrechnungsstellen, NStZ 2012, 122 Glaser/Gedeon, Dissonante Harmonie: Zu einem zukünftigen „System“ strafprozessualer verdeckter Ermittlungsmaßnahmen, GA 2007, 415 Gless, Strafverfolgung im Internet, ZStrR 130 (2012), 3 Gödeke/Ingwersen, Die Auslagerung von Unternehmensfunktionen, VersR 2010, 1153 Gola, Die Entwicklung des Datenschutzrechts im Jahre 1993/94, NJW 1994, 3143 Gola, Die Entwicklung des Datenschutzrechts in den Jahren 1999/2000, NJW 2000, 3749 Gola/Schomerus, Bundesdatenschutzgesetz, Kommentar, 10. Aufl. 2010 Graf von Westphalen, Das faktische Ende von Preisanpassungsklauseln, MDR 2008, 424 Graf von Westphalen, Misslungene Umsetzung der ZahlungsverzugsRichtlinie – § 271a BGB-E BB 2013, 515 Graf von Westphalen, Vertragsrecht und AGB-Klauselwerke, 33. Aufl. 2013 Graf, Beck’scher Online-Kommentar Strafprozessordnung, 14. Edition Stand 1.6.2012 Gramlich, Mietrecht, 12. Aufl. 2013 Grapentin, Datenschutz und Globalisierung – Binding Corporate Rules als Lösung?, CR 2009, 693 Graßl/Weigert, Die Neuregelung des Sozialdatenschutzes, DSWR 1981, 143 Greveler/Wegener, Ein Ansatz zur Umsetzung von Löschvorschriften mittels Verschlüsselung, DuD 2010, 467 Grieser/Heemann (Hrsg.), Bankaufsichtsrecht – Entwicklungen und Perspektiven, 2010 Groß, Kapitalmarktrecht, 5. Aufl. 2012 Gruber, Der abgeleitete Unterlassungsanspruch – Ein Instrument der Sicherung des Unterrichtungs- und Beratungsanspruchs des Betriebsrats, NZA 2011, 1011 Grunwald, Datenerhebung durch das Federal Bureau of Investigation, 2007 XXVIII
Literaturverzeichnis
Grünwald/Döpkens, Cloud Control? Regulierung von Cloud ComputingAngeboten, MMR 2011, 287 Grützmacher, Außervertragliche Ansprüche auf Herausgabe von Daten gegenüber dem Outsourcing-Anbieter, ITRB 2004, 282 Grützmacher, Lizenzgestaltung für neue Nutzungsformen im Lichte von § 69d UrhG (Teil 2) – Die urheber- und die vertragliche Ebene bei Core, Cluster, Cloud & Co., CR 2011, 697 Grützmacher, Teilkündigungen bei Softwarepflege- und Softwarelizenzverträgen, ITRB 2011, 133 Gurlit/Zander, Verfassungs- und europarechtliche Grundlagen des Anwaltsgeheimnisses, BRAK-Mitt. 1/2012, 4 Hallaschka/Jandt, Standortbezogene Dienste im Unternehmen, MMR 2006, 436 Hamm, Massenentlassung – Das kann der Betriebsrat tun!, AiB 2009, 641 Hanloser, Europäische Security Breach Notification, MMR 2010, 300 Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), 3. Aufl. 2011 Hannich, Karlsruher Kommentar zur Strafprozessordnung, 6. Aufl. 2008 Hansen, Vertraulichkeit und Integrität von Daten und IT-Systemen im Cloud-Zeitalter, DuD 2012, 407 Hanten/Görke/Ketessidis (Hrsg.), Outsourcing im Finanzsektor, 2011 Härting, Anwalt in der Wolke: Realität, Berufsethos, Rechtssicherheit, AnwBl 2012, 486 Härting, Internetrecht, 5. Aufl. 2014 Härting, Schutz von IP-Adressen – Praxisfolgen der BVerfG-Rechtsprechung zu Onlinedurchsuchung und Vorratsdatenspeicherung, ITRB 2009, 35 Hartmann, Outsourcing in der Sozialverwaltung und Sozialdatenschutz, Diss. 2002 Hartung, Datenschutz und Verschwiegenheit bei Auslagerungen durch Versicherungsunternehmen, VersR 2012, 400 Hartung/Stiemerling, Effektive Service-Level-Kriterien, CR 2011, 617 Hauck/Noftz, SGB X, Loseblatt Hauschka, Corporate Compliance – Handbuch der Haftungsvermeidung im Unternehmen, 2. Aufl. 2010 Heberlein, Krankenversicherung – Weitergabe von Patientendaten durch Leistungserbringer an private Dienstleistungsunternehmen zwecks Leistungsabrechnung, SGb 2009, 724 Hecht, Schiedsgutachtenklauseln in IT-Verträgen, ITRB 2008, 184 Heckmann, Rechtspflichten zur Gewährleistung von IT-Sicherheit im Unternehmen, MMR 2006, 280 Heckmann, jurisPK-Internetrecht, 2. Aufl. 2009 Heghmanns/Niehaus, Datenschutz und strafrechtliche Risiken beim Outsourcing durch private Versicherungen, wistra 2008, 161
XXIX
Literaturverzeichnis
Heghmanns/Niehaus, Outsourcing im Versicherungswesen und der Gehilfenbegriff des § 203 III 2 StGB, NStZ 2008, 57 Heidrich/Wegener, Sichere Datenwolken – Cloud Computing und Datenschutz, MMR 2010, 803 Heinig, Verbraucherschutz – Schwerpunkte der EU-VerbraucherrechteRichtlinie, MDR 2012, 323 Heinrichs/Wilhelm, Polizeiliche Ermittlungen in sozialen Netzwerken, Kriminalistik 2010, 30 Heinsen/Voß, Ertragsteuerliche Aspekte von Cloud Computing, DB 2012, 1231 v. Heintschel-Heinegg (Hrsg.), Beck’scher Online-Kommentar, StGB, Stand 2013 Hellwig, Non-legal Outsourcing und Anwaltsgeheimnis, AnwBl 2012, 590 Hellwig, Perspektiven der deutschen Anwaltschaft ex Europa, NJW 2005, 1217 Hennrich, Compliance in Clouds – Datenschutz und Datensicherheit in Datenwolken, CR 2011, 546 Hensen, Shared Service Center für die Bundesverwaltung, VM 2006, 177 Henssler/Willemsen/Kalb, Arbeitsrecht, Kommentar, 5. Aufl. 2012 Herrmann/Heuer/Raupach, Einkommensteuer- und Körperschaftsteuergesetz, 258. EL, Stand: August 2013 Herrmann/Soiné, Durchsuchung persönlicher Datenspeicher und Grundrechtsschutz, NJW 2011, 2922 Hilber, Die Übertragbarkeit von Softwarerechten im Kontext einer Outsourcingtransaktion, CR 2008, 749 Hilber, Preisanpassungsklauseln im unternehmerischen Verkehr – Rechtliche Grenzen und Möglichkeiten, BB 2011, 2691 Hilber/Knorr/Müller, Serververlagerungen im Konzern – Rechtliche Konsequenzen in export-, steuer-, datenschutz- und lizenzrechtlicher Hinsicht, CR 2011, 417 Hilber/Rabus, Zur Frage der vertragstypologischen Einordnung des Internet-System-Vertrages als Werkvertrag und der Zulässigkeit der formularmäßigen Vereinbarung von Vorleistungspflichten, CR 2010, 331 Hilgendorf, Strafbarkeitsrisiken nach § 203 StGB bei Offenbarungsketten im Kontext des IT-Outsourcing, in Festschrift für Tiedemann, 2008, S. 1125 Hilgendorf, Strafrechtliche Probleme beim Outsourcing von Versicherungsdaten, in Hilgendorf (Hrsg.), Informationsstrafrecht und Rechtsinformatik, 2004, S. 81 Hilgendorf/Valerius, Computer- und Internetstrafrecht, 2. Aufl. 2012 Hoenike/Hülsdunk, Outsourcing im Versicherungs- und Gesundheitswesen ohne Einwilligung?, MMR 2004, 788 Hoeren, Internetrecht, Stand Oktober 2012, abrufbar unter: http://www. uni-muenster.de/Jura.itm/hoeren/materialien/Skript/Skript_Internet recht_Oktober_2012.pdf Hoeren/Sieber, Handbuch Multimedia-Recht, Loseblatt XXX
Literaturverzeichnis
Höfling, Zur verfassungsrechtlichen Beurteilung der Einschaltung privater Dienstleistungsunternehmen zwecks Leistungsabrechnung bei der Durchführung von Selektivverträgen, veröffentlicht unter http:// www.hausaerzteverband.de/cms/fileadmin/user_upload/redaktion/bun desverband/news/berufspolitik-aktuell/einstweilige_Verfuegung/200905-29_gutachten_hoefling.pdf, S. 32 ff. Höllwarth, Der Weg in die Cloud, 2011 Hornung, Eine Datenschutz – Grundverordnung für Europa? Licht und Schatten im Kommissionsentwurf vom 25.1.2012, ZD 2012, 99 Hornung/Sädtler, Eitel Sonnenschein oder Wolken am Horizont? Cloud Computing im Gesundheitswesen und die rechtlichen Schutzinstrumente der Telematik-Infrastruktur, DuD 2013, 148 v. Hoyningen-Huene, Betriebsverfassungsrecht, 6. Aufl. 2007 Hübschmann/Hepp/Spitaler, Abgabenordnung – Finanzgerichtsordnung, Loseblatt Hunold, Arbeitsrechtliche Probleme bei verändertem Anforderungsprofil einer Stelle, DB 2009, 846 Hustinx, Data Protection and Cloud Computing under EU law, http:// www.edps.europa.eu/EDPSWEB/webdav/shared/Documents/EDPS/Pub lications/Speeches/2010/10-04-13_Speech_Cloud_Computing_EN.pdf Immenga/Mestmäcker, Wettbewerbsrecht, Kommentar zum Deutschen Kartellrecht, 4. Aufl. 2007 Intveen/Lohmann, Die Haftung des Providers bei ASP-Verträgen, ITRB 2002, 210 Jäätmaa, Jaakko, Financial Aspects of Cloud Computing Business Models, 2010, Master Thesis, Aalto University, Finland (https://aaltodoc. aalto.fi/bitstream/handle/123456789/567/hse_ethesis_12435.pdf) Jaeger/Metzger, Die neue Version 3 der GNU General Public License, GRUR 2008, 130 Jaeger/Metzger, Open Source Software, 3. Aufl. 2011 Jähnke/Laufhütte/Odersky, Strafgesetzbuch Leipziger Kommentar, Band 5, 11. Aufl. 2005 Jarass/Pieroth, Grundgesetz für die Bundesrepublik Deutschland: GG, Kommentar, 10. Aufl. 2009 Jauernig, Bürgerliches Gesetzbuch, Kommentar, 14. Aufl. 2011 Joecks/Miebach (Hrsg.), Münchener Kommentar zum Strafgesetzbuch Band 1 §§ 1–37 StGB, 2. Aufl. 2008, Band 3 §§ 185–262 StGB, 1. Aufl. 2003 (zit.: MüKoStGB/Bearbeiter) Junker, Der Reformbedarf im Internationalen Deliktsrecht der Rom IIVerordnung drei Jahre nach ihrer Verabschiedung, RIW 2010, 257 Kadner Graziano, Das auf außervertragliche Schuldverhältnisse anzuwendende Recht nach Inkrafttreten der Rom II-Verordnung, RabelsZ 73 (2009), 1
XXXI
Literaturverzeichnis
Kahler, Auftragsdatenverarbeitung im Drittstaat: europarechtskonform! – Unmittelbare Anwendung der Datenschutzrichtlinie 95/46/EG in Deutschland, RDV 2012, 167 Kaiser, Zulässigkeit des Ankaufs deliktisch erlangter Steuerdaten, NStZ 2011, 383 Karg, IP-Adressen sind personenbezogene Verkehrsdaten, MMR-Aktuell 2011, 315811 Kazemi/Leopold, Datenschutzrecht in der anwaltlichen Beratung, 2011 Kessler/Kröner/Köhler, Konzernsteuerrecht, 2. Aufl. 2008 Kilian, Hilfspersonal in Anwaltskanzleien – Empirische Ergebnisse: nonlegal Outsourcing und Verschwiegenheitsverpflichtung, AnwBl 2012, 798 Kilian, Rechtliche Aspekte der digitalen medizinischen Archivierung von Röntgenunterlagen, NJW 1987, 697 Kilian/Heussen, Computerrechts-Handbuch, Loseblatt Kindhäuser/Neumann/Paeffgen, Strafgesetzbuch, 3. Aufl. 2010 und 4. Aufl. 2013 Kirchberg-Lennartz/Weber, Ist die IP-Adresse ein personenbezogenes Datum?, DuD 2010, 479 Kirchhof, Polizeiliche Eingriffsbefugnisse und private Nothilfe, NJW 1978, 969 Kirchhof/Söhn/Mellinghoff, Einkommensteuergesetz, Loseblatt Kittlaus/Clough, Software Product Management and Pricing – Key Success Factors for All Software Organizations, 2009 Klässer, Sozialgeheimnis – Neu gefaßt, DRV 1994, 413 Kleinebrink, Die Regelungsabrede als betriebsverfassungsrechtliches Gestaltungsmittel, ArbRB 2012, 27 Klinkert, IT-Outsourcing für Kreditinstitute – neuere Entwicklungen, bedeutsame Regelungsbereiche, Kreditwesen – Ausgabe Technik 2/2004, 29 Kluge, Wertsicherungsklauseln in der notariellen Praxis, MittRhNotK 2000, 409 Kock/Simon, Aktuelle Probleme beim Out- und Insourcing, ArbRB 2005, 115 Kokert/Held, IT-Sicherheit – Erwartungen der Bankenaufsicht, BaFin Journal 11/2013, 22 König, Nichtige Abtretung zahnärztlicher Honorarforderungen an Factoring-Unternehmen, NJW 1991, 753 Königshofen/Ulmer, Datenschutz-Handbuch Telekommunikation, 2006 Konschalla, BaFin-Mitteilung vom 1.8.2013 „Outsourcing: BaFin vergleicht Auslagerungen bei Instituten“, siehe http://www.bafin.de/ SharedDocs/Veroeffentlichungen/DE/Fachartikel/2013/fa_bj_2013_08_ outsourcing_institute.html (Stand 31.10.2013) Köpke, Die Bedeutung des § 203 Abs. 1 Nr. 6 StGB für Private Krankenversicherer, insbesondere bei der innerorganisatorischen Geheimnisweitergabe, 2003
XXXII
Literaturverzeichnis
Koreng/Feldmann, Das „Recht auf Vergessen“ – Überlegungen zum Konflikt zwischen Datenschutz und Meinungsfreiheit, ZD 2012, 311 Kort, Strafbarkeitsrisiken des Datenschutzbeauftragten nach § 203 StGB beim IT-Outsourcing, insbesondere in datenschutzrechtlich „sichere“ Drittstaaten, NStZ 2011, 193 Kotthoff, Grenzüberschreitendes Outsourcing durch Sozietäten: „Wie die Welt aussieht“, AnwBl 2012, 482 Krahmer, Sozialdatenschutz nach SGB I und X, 3. Aufl. 2011 Kramer/Herrmann, Auftragsdatenverarbeitung – Zur Reichweite der Privilegierung durch den Tatbestand des § 11 Bundesdatenschutzgesetz, CR 2003, 938 Krahmer/Trenk-Hinterberger, Sozialgesetzbuch I, Lehr- und Praxiskommentar, 3. Aufl. (zit.: LPK-SGB I) Kraus/Tiedemann, Outsourcing – Beteiligung des Betriebsrates und Überblick über Datenschutz-Fragen, ArbRB 2007, 207 Krauß, Datenschutzmanagment in der Praxis, MedSach 2011, 236 Kronthaler, Änderung der Versicherungsnummer bei in der Türkei geborenen Versicherten, DRV 1997, 377 Kroschwald, Kollektive Verantwortung für den Datenschutz in der Cloud – Datenschutzrechtliche Folgen einer geteilten Verantwortlichkeit beim Cloud Computing, ZD 2013, 388 Kroschwald/Wicker, Kanzleien und Praxen in der Cloud – Strafbakeit nach § 203 StGB, CR 2012, 758 Kudlich, Straftaten und Strafverfolgung im Internet – Zum strafrechtlichen Gutachten für den 69. Deutschen Juristentag 2012, StV 2012, 560 Kudlich, Strafverfolgung im Internet – Bestandsaufnahme und aktuelle Probleme, GA 2011, 193 Kühn, IT-Strategien in Kreditinstituten, BankPraktiker 2/2013, 30 Kuner, Privacy and Security Law Report Nr. 11 (2012) Kunkel, Ist das Sozialgeheimnis justizfest?, ZFSH/SGB 2000, 648. Kunkel, Kinderschutz und Datenschutz, NDV 2008, 415 Kunkel, Probleme des Sozialdatenschutzes in der Praxis der Sozialämter, ZFSH/SGB 1985, 49 Kunkel, Sanktionen bei Verletzung des Sozialdatenschutzes, ZfSH/SGH 1990, 337 Kunz/Niehues/Waldmann, Technische Unterstützung von Audits bei Cloud-Betreibern, DuD 2013, 521 Küttner (Hrsg.), Personalhandbuch 2013, 20. Aufl. 2013 Lackner/Kühl, Strafgesetzbuch, 26. Aufl. 2007 Lang, Das Recht auf informationelleSelbstbestimmung des Patienten und die ärztliche Schweigepflicht in der gesetzlichen Krankenversicherung, 1997 Lang, Filesharing und Strafrecht, 2009 Langkeit, Umfang und Grenzen der ärztlichen Schweigepflicht gemäß § 203 I Nr. 1 StGB, NStZ 1994, 6 XXXIII
Literaturverzeichnis
Laucken/Oehler, Fliegender Gerichtsstand mit gestutzten Flügeln, ZUM 2009, 824 Laufs/Kern, Handbuch des Arztrechtes, 4. Aufl. 2010 Lehmann/Draisbach/Koll/Buxmann/Diefenbach, Preisgestaltung für Software-as-a-Service, 2010, in Multikonferenz Wirtschaftsinformatik 2010, 505 Lehmann/Giedke, Cloud Computing – technische Hintergründe für die territorial gebundene rechtliche Analyse, CR 2013, 608 Leible, Rechtswahl im IPR der außervertraglichen Schuldverhältnisse nach der Rom II-Verordnung, RIW 2008, 257 Lejeune, Schiedsgerichtsklauseln in nationalen und internationalen Verträgen, ITRB 2008, 116 Lensdorf, IT-Compliance – Maßnahmen zur Reduzierung von Haftungsrisiken von IT-Verantwortlichen, CR 2007, 413 Lensdorf/Mayer-Wegelin/Mantz, Outsourcing unter Wahrung von Privatgeheimnissen, CR 2009, 62 Lensdorf/Steger, IT-Compliance im Unternehmen, ITRB 2006, 206 Leowsky, Befugnisse der Aufsichtsbehörde gegenüber Rechtsanwälten – Eine Auseinandersetzung mit dem Beschluss des KG Berlin vom 20.8.2010, 1 Ws (B) 51/07 - 2 Ss 23/07; 317 OWi 3235/05, DuD 2011, 412 Leupold/Glossner (Hrsg.), Münchener Anwaltshandbuch IT-Recht, 2. Aufl. 2011 Leutheusser-Schnarrenberger, Regelungsbedarf bei Cloud Computing in Kanzleien – Überflüssige Bürokratie und Belastungen für Anwaltskanzleien vermeiden, AnwBl 2012, 477 Lilie, Datenfernwartung durch Geheimnisträger – Ein Beitrag zur Reform des § 203 StGB, in Festschrift für Harro Otto, 2007, S. 673 Lilie, Medizinische Datenverarbeitung, Schweigepflicht und Persönlichkeitsrecht im deutschen und amerikanischen Recht, 1980 Lindner, Sozialdatenschutz – Wie ein Grundrecht ausgehöhlt wird, DuD 1993, 666 Linsenmaier, Normsetzung der Betriebsparteien und Individualrechte der Arbeitnehmer, RdA 2008, 1 Lipinski, Keine Unwirksamkeit der Kündigung bei fehlender oder fehlerhafter Massenentlassungsanzeige gem. § 17 KSchG auch unter Berücksichtigung der Richtlinie 98/59/EG, BB 2004, 1790 Lipinski/Melms, Kein Unterlassungsanspruch des Betriebsrats zur Verhinderung der Durchführung einer Betriebsänderung ohne Versuch eines Interessenausgleichs nach In-Kraft-Treten des BetrVG-Reformgesetzes, BB 2002, 2226 Loewenheim, Handbuch des Urheberrechts, 2. Aufl. 2010 Löwisch, Novellierung des Mitbestimmungsrechts, BB 1988, 1953 Lüdemann, Umsatzsteuerliche Behandlung der grenzüberschreitenden Überlassung von Software, UR 2000, 497 Luthe, Hausbesuch als Inaugenscheinnahme im Rahmen der Amtsermittlung, juris-PR-SozR 14/2007 Anm. 3 XXXIV
Literaturverzeichnis
Maier, Der Datenschutz im Medizinbetrieb der gesetzlichen Rentenversicherung, SozVers 1986, 311 Maier, Die Sphinx des Sozialgeheimnisses bei besonders schutzwürdigen personenbezogenen Daten, SGb 1983, 89 Maier/Gebele, Shared Service Center und das Ressortprinzip des Art. 65 S. 2 GG, DVP 2007, 270 Maisch, Cloud Computing: Datenschutz in der Wolke, AnwZert ITR 15/2009, Anm. 4 Maisch/Seidl, Cloud Government: Rechtliche Herausforderungen beim Cloud Computing in der öffentlichen Verwaltung, VBlBW 2012, 7 Maisch/Seidl, Cloud-Nutzung für Berufsgeheimnisträger – § 203 StGB als „Showstopper“?, DSB 2012, 127 Mallmann/Walz, Schutz der Sozialdaten nach dem neuen Sozialgesetzbuch, NJW 1981, 1024 Mankowski, Ausgewählte Einzelfragen zur Rom II-VO: Internationales Umwelthaftungsrecht, internationales Kartellrecht, renvoi, Parteiautonomie, IPRax 2010, 389 Mann, Vertragsgestaltung beim IT-Outsourcing – Besonderheiten und Fallstricke, MMR 2012, 499 Mansdörfer/Habetha, Das strafrechtliche Risikoprofil des Unternehmers, 2014 Marly, Praxishandbuch Softwarerecht, 5. Aufl. 2009 Marnau/Schlehahn, Cloud Computing und Safe Harbor, DuD 2011, 311 Maunz/Dürig/Herzog/Scholz, Grundgesetz, Loseblatt Mavany, Die Europäische Beweisanordnung und das Prinzip der gegenseitigen Anerkennung, 2012 Meier, Der rechtliche Schutz patientenbezogener Gesundheitskarten, 2003 (zit.: Meier, Gesundheitskarten) Meier, Vergütungspflicht und Widerruf bei der Online-Partnerschaftsvermittlung, NJW 2011, 2396 Meier/Wehlau, Die zivilrechtliche Haftung für Datenlöschung, Datenverlust und Datenzerstörung, NJW 1998, 1585 Messner, Auf dem Weg zur globalen Optimierung, die bank 3/2012, 38 Meydam, Die Regelung des Sozialdatenschutzes im Sozialgesetzbuch – Verwaltungsverfahren (SGB X), BlStSozArbR 1980, 283 Meyer/Röger, Mitbestimmung des Betriebsrates bei Bagatellausgründungen: Auf die Grüße kommt es nicht an?, BB 2009, 894 Meyerdierks, Sind IP-Adressen personenbezogene Daten?, MMR 2009, 8 Meyer-Goßner, Strafprozessordnung, 56. Aufl. 2013 Möhlenbruch, Die Neuregelung des Sozialgeheimnisses im 10. Buch des SGB – aus der Sicht eines Rehabilitationsträgers, AmtlMitt LVA Rheinprovinz 1981, 536 Mrozynski, Zum Schutz von Sozialdaten im Recht der Leistungserbringer, NZS 1996, 545 Müller-Glöge/Preis/Schmidt (Hrsg.), Erfurter Kommentar zum Arbeitsrecht, 13. Aufl. 2013
XXXV
Literaturverzeichnis
Müller-Thele, Hartz IV – Eine datenschutzrechtliche Risikoanalyse, NJW 2005, 1541 Münch/Doubrava/Essoh, Eine Gefährdungsanalyse von Private Clouds – Sichere Virtualisierung als Grundlage für sichere Private Cloud-Umgebungen, DuD 2011, 322 Nägele/Jacobs, Rechtsfragen des Cloud Computing, ZUM 2010, 281 Neumann-Duesberg, Sozialrechtliche Verwaltungsverfahren und Schutz der Sozialdaten neu geregelt, BKK 1981, 27 Neumann-Duesberg, Sozialgesetzbuch mit großem Sprung nach vorn, ErsK 1980, 517. Niedermeier/Schröcker, Ersatzfähigkeit immaterieller Schäden aufgrund rechtswidriger Datenverarbeitung, RDV 2002, 217 Nielen/Thum, Auftragsdatenverarbeitung durch Unternehmen im NichtEU-Ausland, K&R 2006, 171 Niemann, Shift der urheberrechtlichen Verwertungsrechte in der arbeitsteiligen digitalen Welt, CR 2009, 661 Niemann/Hennrich, Kontrolle in den Wolken? Auftragsdatenverarbeitung in Zeiten des Cloud Computings, CR 2010, 686 Niemann/Paul, Bewölkt oder wolkenlos – rechtliche Herausforderungen des Cloud Computings, K&R 2009, 444 Nolte, Benchmarking in IT-Outsourcing-Verträgen, CR 2004, 81 Nordmeier, Cloud Computing und Internationales Privatrecht – Anwendbares Recht bei der Schädigung von in Datenwolken gespeicherten Daten, MMR 2010, 151 Obenhaus, Cloud Computing als neue Herausforderung für Strafverfolgungsbehörden und Rechtsanwaltschaft, NJW 2010, 651 Oelsner, Auswirkungen des Umsetzungsverzugs bei der Zahlungsverzugsrichtlinie, NJW 2013, 2469 Ohlendorf/Fuhlrott, Interessenausgleichsfreie Umstrukturierungen?, ArbR 2011, 654 Opfermann, Datenschutzkonforme Vertragsgestaltung im „Cloud Computing“, ZEuS 2012, 121 Opolony, Annahmeverzugslohn im Kündigungsschutzprozess, AuA 2007, 86 Osterwalder, The Business Model Ontology – A Proposition In A Design Science Approach, 2004, Doctoral Thesis, University of Lausanne (http://www.hec.unil.ch/aosterwa/PhD/Osterwalder_PhD_BM_Ontology .pdf) Osterwalder/Pigneur e.a., Business Model Generation: A Handbook for Visionaries, Game Changers and Challengers, 2010 Otto, Strafrechtliche Konsequenzen aus der Ermöglichung der Kenntnisnahme von Bankgeheimnissen in einem öffentlich-rechtlichen Kreditinstitut durch Wartungs- und Servicepersonal eines Computer-Netzwerkes, wistra 1999, 203
XXXVI
Literaturverzeichnis
Paal/Hennemann, Schutz von Urheberrechten im Internet; ACTA, Warnhinweismodell und Europarecht, MMR 2012, 288 Pahlen-Brandt, Datenschutz braucht scharfe Instrumente – Beitrag zur Diskussion um „personenbezogene Daten“, DuD 2008, 34 Pahlke/König, Abgabenordnung: AO, 2. Aufl. 2009 Palandt, Bürgerliches Gesetzbuch, Kommentar, 72. Aufl. 2013 Pappai, Schutz der Sozialdaten nach dem Zehnten Buch des Sozialgesetzbuches, KrV 1980, 255 Paul/Gendelev, Outsourcing von Krankenhausinformationssystemen, Praxishinweise zur rechtskonformen Umsetzung, ZD 2012, 315 Paulus, Das neue Bundesdatenschutzgesetz und die entsprechenden Änderungen im SGB X, DAngVers 2001, 405 Paulus, Standards für Trusted Clouds – Anforderungen an Standards und aktuelle Entwicklungen, DuD 2011, 317 Pfeiffer, Formularmäßige Zahlungsfristen nach künftigem Recht, BB 2013, 323 Pickel, Die Zulässigkeit der Übermittlung von Sozialdaten und ihre Einschränkungen, SGb 1999, 493 Pickel, Organisatorische Vorkehrungen zum Schutz der Sozialdaten und besondere Datenverarbeitungsarten, SGb 2000, 198 Plagemann, Zusammenarbeit der Leistungsträger und ihre Beziehungen zu Dritten, NJW 1983, 426 Plath, BDSG, Kommentar zum BDSG sowie den datenschutzrechtlichen Regelungen des TMG und des TKG, 2013 Plocher, Betriebliche Einigung – Update zum Abschluss von Betriebsvereinbarungen, DB 2013, 1485 Pohle/Ammann, Software as a Service – auch rechtlich eine Evolution?, K&R 2009, 625 Pohle/Ammann, Über den Wolken … – Chancen und Risiken des Cloud Computing, CR 2009, 273 Polaszek, Über den Wolken kann die Freiheit nicht grenzenlos sein, Die BKK 2011, 534 Popp/Meyer, Profit from Software Ecosystems, 2010 Prütting/Wegen/Weinreich, Bürgerliches Gesetzbuch, Kommentar, 7. Aufl. 2012 Rammos/Vonhoff, Cloud Computing und Sozialdatenschutz, CR 2013, 265 Rasmussen, Der Schutz medizinischer Daten im Sozialdatenschutz, NZS 1998, 67 Rath, „Corporate Awareness“ und Mandantentrennung – Gemeinsame Strukturen – Getrennte Daten, 21.1.2013 unter www.computerwo che.de/a/gemeinsame-strukturen-getrennte-daten,2531043# (Stand 26.10.2013) Rath/Rothe, Cloud Computing: Ein datenschutzrechtliches Update, K&R 2013, 623 Rather, Datenschutz und Outsourcing, DuD 2005, 461 XXXVII
Literaturverzeichnis
Rau/Dürrwächter, Umsatzsteuergesetz, Loseblatt Rauschenbach, Leitfaden für die Sozialmedizinische Begutachtung in der gesetzlichen Rentenversicherung 1986, 77 Rauscher, Europäisches Zivilprozess- und Kollisionsrecht, Kommentar, Stand Mai 2011 Rauscher, Internationales Privatrecht, 3. Aufl. 2009 Rauscher/Wax/Wenzel, Münchener Kommentar zur Zivilprozessordnung, Band 3, 3. Aufl. 2008 und 4. Aufl. 2013 (zit.: MüKo-ZPO) Recktenwald, Von der Sozialadäquanz zum Verschwiegenheitskodex?, AnwBl. 2012, 488 Redeker, Handbuch der IT-Verträge, Loseblatt Redeker, IT-Recht, 5. Aufl. 2012 Reichow/Hartleb/Schmidt, Möglichkeiten medizinischer Datenverarbeitung und Datenschutz, MedR 1998, 165 Rein, Die Bedeutung der §§ 203 ff. StGB n.F. für priv. Personenversicherung, VersR 1976, 117 Reintzsch, Cloud Computing in der anwaltlichen Beratungspraxis, BRJ 2013, 23 Reuse, MaRisk 5.0, BankPraktiker 2/2013, 8 Rheinhardt, Datenschutz in der Adoptionsvermittlung: Sozialdatenschutz und Vermittlungsarbeit, JAmt 2008, 401 Rieble, Kompensation der Betriebsspaltung durch den Gemeinschaftsbetrieb mehrerer Unternehmen (§ 322 UmwG), Festschrift für Günther Wiese zum 70. Geburtstag, 1998, S. 453 Rische, Die Neuregelung des Sozialgeheimnisses in § 35 SGB I und der Schutz der Sozialdaten im SGB X, DRV 1980, 384 Robbers, Der Grundrechtsverzicht, JuS 1985, 925 Rogall, Die Verletzung von Privatgeheimnissen (§ 203 StGB) – Aktuelle Probleme und ungelöste Fragen, NStZ 1983, 1 Rössel, Filterpflichten in der Cloud – Vom Wortfilter der Sharehoster zum Crawler für Linkportale, CR 2013, 229 Roßnagel (Hrsg.), Recht der Multimedia-Dienste, Loseblatt Roßnagel, Handbuch Datenschutzrecht, 2003 Roßnagel/Richter/Nebel, Besserer Internetdatenschutz für Europa – Vorschläge zur Spezifizierung der DS-GVO, ZD 2013, 103 Roßnagel/Scholz, Datenschutz durch Anonymität und Pseudonymität – Rechtsfolgen der Verwendung anonymer und pseudonymer Daten, MMR 2000, 721 Roth-Neuschild, Cloud way out, ITRB 2013, 213 Roth-Neuschild, Vertragliche Absicherung der Verfügbarkeit bei Software as a Service, ITBR 2012, 67 Rudolphi/Horn/Samson u.a., Systematischer Kommentar zum Strafgesetzbuch, Loseblatt (zit.: SK/Bearbeiter) Rudolphi/Wolter, Systematischer Kommentar zur Strafprozessordnung, Band II, 4. Aufl. 2010 Rüßmann (Gesamthrsg.), Bürgerliches Gesetzbuch, Juris Praxiskommentar, 6. Aufl. 2012 XXXVIII
Literaturverzeichnis
Sachs, Grundgesetz, Kommentar, 6. Aufl. 2011 Säcker/Rixecker/Oetker, Münchener Kommentar, Bürgerliches Gesetzbuch, 6. Aufl. 2012 (zit.: MüKoBGB/Bearbeiter) Sänger, Zivilprozessordnung, Kommentar, 4. Aufl. 2011 Schaar, Datenschutz im Internet, 2002 Schaar/Onstein, Datenschutzrecht in der vernetzten Welt des 21. Jahrhunderts, BRJ 2011, 126 Schäfer, Der virale Effekt, Entwicklungsrisiken im Umfeld von Open Source Software, 2007 Schaffland/Wiltfang, Bundesdatenschutzgesetz, 2011 Schatzschneider, Die Neuregelung des Schutzes von Sozialdaten im Sozialgesetzbuch, MDR 1982, 9 Schaumburg, Internationales Steuerrecht, 3. Aufl. 2011 Scheja/Schmidt, Vorvertragliche Pflichten bei der privaten Ausschreibung von Outsourcing-Vorhaben, CR 2005, 321 Scheriau, Personalplanung – Der Schlüssel zur erfolgreichen Betriebsratsarbeit!, AiB 2009, 3 Schimansky/Bunte/Lwowski (Hrsg.), Bankrechts-Handbuch, 4. Aufl. 2011 Schmeh, Kryptographie, 5. Aufl. 2013 Schmidt, Einkommensteuergesetz, 32. Aufl. 2013 Schmidt-Wehrmann, GDV schickt Branchennetz in die Datenwolke, VW 2012, 511 Schmitz, Dienstleistungspartnerschaften – sinnvoll und rechtlich durchsetzbar?, VW 2011, 812 Schmitz, Vertraulichkeitsklauseln und Outsourcing, CR 2012, 557 Schneider, Handbuch des EDV-Rechts, 4. Aufl. 2009 Schneider/Sittard, Annahmeverzug des Arbeitgebers bei Widerspruch gegen den Betriebsübergang, BB 2007, 2230 Schneier, Angewandte Kryptographie, 2005 Schoch, Datenschutz in der Sozialhilfe und der Grundsicherung für Arbeitsuchende, ZFSH/SGB 2005, 67 Scholl/Lutz, Standardvertragsklauseln für Auftragsverarbeiter und § 11 BDSG – Ein Plädoyer für die Unanwendbarkeit der §§ 11 Abs. 2, 43 Abs. 1 Nr. 2b) BDSG auf die Auftragsverarbeitung außerhalb des EWR, CR 2011, 424 Schomburg/Lagodny/Gleß/Hackner, Internationale Rechtshilfe in Strafsachen, 5. Aufl. 2012 Schöning, Der neue Sozialdatenschutz, DAngVers 1994, 201 Schönke/Schröder, Strafgesetzbuch, 28. Aufl. 2010 Schrader/Schaub/Neef, Arbeitsrechtliches Formular- und Verfahrenshandbuch, 9. Aufl. 2008 Schricker/Loewenheim, Urheberrecht, 4. Aufl. 2010 Schröder/Haag, Internationale Anforderungen an Cloud Computing – Zusammenfassung und Bewertung der Best Business-Empfehlungen der Berlin Group, ZD 2012, 362
XXXIX
Literaturverzeichnis
Schröder/Haag, Neue Anforderungen an Cloud Computing für die Praxis – Zusammenfassung und erste Bewertung der „Orientierungshilfe – Cloud Computing“, ZD 2011, 147 Schröder/Haag, Stellungnahme der Art. 29-Datenschutzgruppe zum Cloud Computing – Gibt es neue datenschutzrechtliche Anforderungen für Cloud Computing?, ZD 2012, 495 Schultze-Melling, Public Cloud – quo vadis? Gedanken zum Umgang mit der Wolke, ITRB 2011, 239 Schulz, Cloud Computing in der öffentlichen Verwaltung Chancen – Risiken – Modelle, MMR 2010, 75 Schulze, Die Einigungsstelle – Voraussetzungen und Ablauf, ArbR 2013, 321 Schulze/Dörner/u.a., Bürgerliches Gesetzbuch, Handkommentar, 7. Aufl. 2012 Schumacher, Service Level Agreements: Schwerpunkt bei IT- und Telekommunikationsverträgen, MMR 2006, 12 Schünemann, Die Liechtensteiner Steueraffäre als Menetekel des Rechtsstaats, NStZ 2008, 305 Schuppert/von Reden, Einsatz internationaler Cloud-Anbieter: Entkräftung der Mythen – Rechtlich zulässige Einschaltung von zertifizierten Cloud-Diensten in Deutschland möglich, ZD 2013, 210 Schüren, Arbeitnehmerüberlassungsgesetz, 4. Aufl. 2010 Schuster, Rechtsnatur der Service Level bei IT-Verträgen, CR 2009, 205 Schuster/Reichl, Cloud Computing & SaaS: Was sind die wirklich neuen Fragen, CR 2010, 38 Schwabenbauer, Verwertung von Zufallsfunden einer verfassungswidrigen Durchsuchung, NJW 2009, 3207 Schwarzburg, Einsatzbedingte Straftaten Verdeckter Ermittler, NStZ 95, 472 Schwirten, Outsourcing – Flexibilisierung im Aufsichtsrecht, die bank 2008, 61 Seel, Betriebsänderung – Inhalt und Abschluss eines Sozialplans, MDR 2010, 241 Seel, Betriebsänderungen – Pflichten und Strategien des Arbeitgebers, MDR 2010, 7 Seelos, Reaktion auf Datenschutzverletzungen beim Cloud Computing, VW 2012, 308 Seffer/Horter, Datenschutzrechtliche Aspekte des EDV-Outsourcing privater Versicherungsunternehmen, ITRB 2004, 165 Selzer, Die Kontrollpflicht nach § 11 Abs. 2 Satz 4 BDSG im Zeitalter des Cloud Computing – Alternativen zur Vor-Ort-Kontrolle des Auftragnehmers durch den Auftraggeber, DuD 2013, 215 Sieber, Straftaten und Strafverfolgung im Internet, Gutachten C zum 69. Deutschen Juristentag, 2012 Simitis, Bundesdatenschutzgesetz, 7. Aufl. 2011 Simitis, Die informationelle Selbstbestimmung – Grundbedingungen einer verfassungskonformen Informationsordnung, NJW 1984, 398 XL
Literaturverzeichnis
Sinewe/Frase, Steuerrechtliche Aspekte des Cloud Computing, BB 2011, 2198 Söbbing, Auswirkungen der BDSG-Novelle II auf die Outsourcingprojekte – Folgen der Änderung des § 11 BDSG, ITRB 2010, 36 Söbbing, Banken und Cloud Computing – Die bankaufsichtsrechtliche Zulässigkeit von Cloud Computing, ZBB/JBB 2013, 364 Söbbing, Die Zulässigkeit von sog. „Hostingklauseln“ in Lizenzbedingungen, MMR 2007, 479 Söbbing, IT-Outsourcing, 3. Aufl. 2006 Söbbing/Weinbrenner, Die Zulässigkeit der Auslagerung von IT-Dienstleistungen durch Institute in sog. Offshore-Regionen, WM 2006, 165 Sölch/Ringleb, Umsatzsteuergesetz, 69. EL, Stand: April 2013 Sowa, Prüfung des IT-Sicherheitsmanagements (ISMS) bei Kreditinstituten, DuD 2007, 835 Spatscheck, Outsourcing trotz Anwaltsgeheimnis: Nationale Lösung, AnwBl 2012, 478 Spies, Cloud Computing: Keine personenbezogenen Daten bei Verschlüsselung, MMR-Aktuell 2011, 313727 Spies, USA: Cloud Computing – Schwarze Löcher im Datenschutzrecht, MMR 2009, IX Spies, USA: Neues zur Breitband- und Medienpolitik der Obama-Administration, MMR 2009, XI Spies/Schröder, Auswirkungen der elektronischen Beweiserhebung (eDiscovery) in den USA auf deutsche Unternehmen, MMR 2008, 275 Spindler/Schuster, Recht der elektronischen Medien, Kommentar, 2. Aufl. 2011 Splittgerber/Rockstroh, Sicher durch die Cloud navigieren – Vertragsgestaltung beim Cloud Computing, BB 2011, 2179 Spoenle, Cloud Computing and cybercrime investigations, 2010 Stadie, Umsatzsteuergesetz, 2009 Stahlmann, Sozialdatenschutz bei Eingliederung nach dem SGB II, info also 2006, 10 Staudinger, Bürgerliches Gesetzbuch, Kommentar, Neubearbeitungen 2009-2013 Staudinger/Steinrötter, Europäisches Internationales Privatrecht: Die Rom-Verordnungen, JA 2011, 246 Steding/Meyer, Outsourcing von Bankdienstleistungen: Bank- und datenschutzrechtliche Probleme der Aufgabenverlagerung von Kreditinstituten auf Tochtergesellschaften und sonstige Dritte, BB 2001, 1693 Steger, Rechtliche Verpflichtungen zur Notfallplanung im IT-Bereich, CR 2007, 137 Steinbach, Die Umsetzung der EG-Richtlinie Datenschutz im Sozialgesetzbuch, NZS 2002, 15 Stern, Staatsrecht, Bd III/2, 1994 Stiemerling/Hartung, Datenschutz und Verschlüsselung – Wie belastbar ist Verschlüsselung gegenüber dem Anwendungsbereich des Datenschutzes?, CR 2012, 60 XLI
Literaturverzeichnis
Stieper, Das Anti-Counterfeiting Trade Agreement (ACTA) – wo bleibt der Interessenausgleich im Urheberrecht?, GRUR Int 2011, 124 Stimmel, Die Beurteilung von Lizenzverträgen unter der Rom I-Verordnung, GRUR Int 2010, 783 Stoll, Zur Verschwiegenheitspflicht des Wirtschaftsprüfers gegenüber Auftraggebern und geprüften Unternehmen, BB 1998, 785 Stück, Betriebsverlegung – Arbeits- und sozialrechtliche Aspekte, MDR 2001, 312 Stuckenberg, Zur Strafbarkeit von „Pishing“, ZStW 118 (2006), 878 Stüwe, Elektronischer Entgeltnachweis (ELENA) kommt 2010, steuerjournal.de, 2009, Nr. 18, 45–47 Sujecki, Internationales Privatrecht und Cloud Computing aus europäischer Perspektive, K&R 2012, 312 Süptitz/Utz/Eymann, State-of-the-Art: Ermittlungen in der Cloud – Sicherstellung und Beschlagnahme von Daten bei Cloud Storage-Betreibern, DuD 2013, 307 Sutschet, Auftragsdatenverarbeitung und Funktionsübertragung, RDV 2004, 97 Szalai/Kopf, Verrat von Mandanten-Geheimnissen – Ist Outsourcing strafbar nach § 203 StGB?, ZD 2012, 462 Taeger/Gabel, BDSG und zu den Datenschutzvorschriften des TKG und TMG, Kommentar, 2010 Taeger/Wiebe (Hrsg.), Inside the Cloud – Neue Herausforderungen für das Informationsrecht, Tagungsband Herbstakademie 2009, 2009. Tappe, Steuerliche Betriebstätten in der „Cloud“, IStR 2011, 870 Thalhofer, Grenzenlos: Compliance bei Cloud Computing, CCZ 2011, 222 Thalhofer, Handbuch IT-Litigation, 2012 Thomas, Preisfreiheit im Recht der Allgemeinen Geschäftsbedingungen – Begrenzungserfordernisse und Unwirksamkeitsfolgen formularmäßiger Kostenelemente- und Preisvorbehaltsklauseln, AcP 2009, 84 Tipke/Kruse, Abgabenordnung – Finanzgerichtsordnung, Loseblatt Trüg, Steuerdaten-CDs und die Verwertung im Strafprozess, StV 2011, 111 Trüg/Habetha, „Liechtensteiner Steueraffäre“ – Strafverfolgung durch Begehung von Straftaten?, NJW 2008, 887 Tschöpe (Hrsg.), Anwalts-Handbuch Arbeitsrecht, 8. Aufl. 2013 Ulber, AÜG Arbeitnehmerüberlassungsgesetz, 3. Aufl. 2006 Ulmer, Datenverarbeitung und Datenschutz im Gesundheitswesen – technische Möglichkeiten und rechtliche Grundlagen, RDG 2012, 272 Ulmer/Brandner/Hensen, AGB-Recht, Kommentar, 11. Aufl. 2011 Umnuß, Corporate Compliance Checklisten, 2. Aufl. 2012 Valerius, Der Weg zu einem sicheren Internet? – Zum in-Kraft-treten der Convention on Cybercrime, K&R 2004, 513 XLII
Literaturverzeichnis
van der Meulen, Financial Indentity Theft – Context, Challenges and Countermeasures, 2011 Vander, Auftragsdatenverarbeitung 2.0? Neuregelungen der Datenschutznovelle II im Kontext von § 11 BDSG, K&R 2010, 292 Vassilaki, Kriminalität im World Wide Web – Erscheinungsformen der „Post-Computerkriminalität“ der zweiten Generation, MMR 2006, 212 Velten, Verkehrsdaten in der Strafverfolgung, in Festschrift für Fezer, 2008, S. 87 Venzke, Die Personenbezogenheit der IP-Adresse – Lange diskutiert und immer noch umstritten?, ZD 2011, 114 Vogel/Lehner, Doppelbesteuerungsabkommen: DBA, 5. Aufl. 2008 Voigt, Orientierungshilfe zum Cloud Computing, ZD-Aktuell 2011, 30 Wagner, Die neue Rom II-Verordnung, IPRax 2008, 1 Wagner/Blaufuß, Datenexport als juristische Herausforderung: Cloud Computing, BB 2012, 1751 Waibl, Zur Anwendbarkeit des SGB X auf das SGB XII, Viertes Kapitel, ZFSH/SGB 2004, 647 Walcher, Sozialdatenschutz, Arbeitshilfen Heft 24, 1985, 102 Wandtke, Urheberrecht, 3. Aufl. 2012 Wandtke/Bullinger, Praxiskommentar zum Urheberrecht, 3. Aufl. 2009 Weber, Information Security Protection as Legal Topic, CRi 2007, 13 Weber/Thouvenin, Neuer Regulierungsschub im Datenschutzrecht?, 2012 Weber/Voigt, Internationale Auftragsdatenverarbeitung – Praxisempfehlungen für die Auslagerung von IT-Systemen in Drittstaaten mittels Standardvertragsklauseln, ZD 2011, 74 Weber/Weber, Zur Dogmatik eines allgemeinen Beschäftigungsanspruchs im Arbeitsverhältnis, RdA 2007, 344 Wehrmann/Wellbrock, Datenschutzrechtliche Anforderungen an die Datenverarbeitung und Kommunikation im medizinischen Bereich, CR 1997, 759 Weichert, Cloud Computing & Data Privacy, https://www.datenschutz zentrum.de/cloud-computing/20100617-cloud-computing-and-data-pri vacy.pdf Weichert, Cloud Computing und Datenschutz, DuD 2010, 679 Weidhaas/Swoboda, Schiedsgerichtsbarkeit und EDV-Verträge, CR 1988, 104 Weise/Krauß, Beck’sche Online-Formulare Vertragsrecht, 25. Edition 2013 Weitnauer/Auer-Reinsdorff/Baumann/et al., Beck’sches Formularhandbuch IT-Recht, 3. Aufl. 2012 Wenner, Wie weit die Sozialbehörden Bankkonten überprüfen können und dürfen, SozSich 2005, 102 Wicker, Vertragstypologische Einordnung von Cloud Computing-Verträgen, MMR 2012, 783 XLIII
Literaturverzeichnis
Widmaier, Münchener Anwaltshandbuch Strafverteidigung, 2006 Wienke/Sauerborn, EDV-gestützte Patientendokumentation und Datenschutz in der Arztpraxis, MedR 2000, 519 Wiese, Beteiligungsrechte des Betriebsrats bei Drittbeziehungen des Arbeitgebers, NZA 2003, 1113 Wiese, Der Schutz der Sozialdaten, DRV 1980, 372 Willemsen/Hohenstatt/Schweibert/Seibt, Umstrukturierung und Übertragung von Unternehmen, 4. Aufl. 2011 Winkler, Sozialgesetzbuch IV, Lehr- und Praxiskommentar, 2007 (zit.: LPK-SGB IV) Winnefeld, Bilanz-Handbuch, 4. Aufl. 2006 Wolf/Lindacher/Pfeiffer, AGB-Recht, Kommentar, 6. Aufl. 2013 Wronka, Zur Interessenlage bei der Auftragsdatenverarbeitung, RDV 2003, 132 Wuermeling, Beschäftigtendatenschutz auf der europäischen Achterbahn, NZA 2012, 368 v. Wulffen, SGB X, 7. Aufl 2010 Wybitul/Patzak, Neue Anforderungen beim grenzüberschreitenden Datenverkehr, RDV 2011, 11 Zöller, Zivilprozessordnung, 30. Aufl. 2014
XLIV
Teil 1 Technische und wirtschaftliche Grundlagen A. Einführung, Begrifflichkeiten und Marktentwicklung Rz. I. Kurze Einführung in Cloud Computing . . . . . . . . . . . . . . . . . . . . . . .
1
II. Begrifflichkeiten . . . . . . . . . . . . . . 5 1. Bereitstellungs- und Bezugsfunktionen von Cloud-Services . . . . . . 5 a) Bereitstellung . . . . . . . . . . . . . . 6 b) Bezug . . . . . . . . . . . . . . . . . . . . . 8 2. Cloud-Services, Betriebsmodelle und Vertriebskanäle . . . . . . . . . . . 9 a) Cloud-Services . . . . . . . . . . . . . 10 b) Cloud-Betriebsmodelle. . . . . . . 14 c) Vertriebskanäle . . . . . . . . . . . . . 19 III. Veränderung in der IT durch Cloud Computing . . . . . . . . . . . . . 1. Ausgangssituation. . . . . . . . . . . . . 2. Private Nutzer als Vorreiter . . . . . 3. Entwicklung und Trends . . . . . . . a) Industrialisierung der IT . . . . . aa) Personen . . . . . . . . . . . . . . . bb) Prozesse. . . . . . . . . . . . . . . . cc) Technologie . . . . . . . . . . . .
21 21 23 25 26 27 27 27
Rz. b) Verhundertfachung des Datenbestandes in den kommenden 8–10 Jahren . . . . . . . . . . . . . . . . 28 c) Bildung eines vernetzten Ecosystems . . . . . . . . . . . . . . . . 30 IV. Veränderung der Geschäftswelt durch Cloud Computing . . . . . . . . 36 V. Akteptanzbetrachtung . . . . . . . . . 39 VI. Cloud-Services und deren Nutzung (international und national) 1. Typische Cloud-Services. . . . . . . . 2. Internationale Adaption . . . . . . . . 3. Anwendungsbeispiele . . . . . . . . . . VII. Marktchancen . . . . . . . . . . . . . . . . 1. Zukünftige Entwicklungen und deren Auswirkungen . . . . . . . . . . . 2. Softwareanbieter, ISVs und Integrationspartnern . . . . . . . . . . . 3. Cloud-Nutzer. . . . . . . . . . . . . . . . .
43 45 46 47 48 48 51 54
I. Kurze Einführung in Cloud Computing Cloud Computing ist keine Technologie, sondern eine weitgefasste Be- 1 zeichnung für eine IT-Architektur zur verteilten Bereitstellung von ITbasierten Diensten. Cloud Computing kann definiert werden als ein Bereitstellungsmodell für skalierbare IT-Leistungen über Netzwerke als im Kern standardisierte Dienstleistung1. Wichtige Ausprägungen sind hierbei die Merkmale skalierbar und stan- 2 dardisiert. Mit der Einführung der Virtualisierung von Rechnersystemen im Massenmarkt wurde die Grundlage geschaffen, technische Systemkapazitäten mit wesentlich besserer Auslastung zu verwenden. Bis dahin wurden häufig individuelle Rechnersysteme (vergleichbar mit einem privaten Desktoprechner) als physische Einheit jeweils pro Anwendungszweck zum Einsatz gebracht. Oftmals lag die Auslastung bei weniger als 10 % der Kapazitäten der jeweiligen Einheit. Durch die Virtualisierung können mehrere virtuelle Rechner skalierbar auf einem physischen
1 Zu weiteren gängigen Definitionen s. Teil 1 C Rz. 7 ff. (II. 1.). Weiss
1
Teil 1 A
Rz. 3
Einfhrung, Begrifflichkeiten und Marktentwicklung
Rechner eingerichtet werden, die ganz unterschiedliche Software auf verschiedenen Betriebssystemen (z.B. Windows, Unix etc.) bereitstellen. Damit lässt sich die Auslastung auf über 70 % im Standardbetrieb steigern (mit kleinen Reserven für normale Schwankungen)1. Nun ist Cloud Computing nicht auf einige wenige Hardwareeinheiten begrenzt, sondern es werden oftmals mehrere tausend, standardisiert konfigurierte Systeme zusammengefasst, auf denen einzelne virtuelle Rechner auch auf viele parallele physische Rechner verteilt werden können, die bei Bedarf zu- oder wieder abgeschaltet werden. Hiermit wird eine weitreichende dynamische Skalierung ermöglicht. Die schnelle Zu- und Abschaltung virtueller Rechner, die auch virtuelle Maschinen genannt werden, setzt jedoch standardisierte Konfigurationen voraus, die auf Abruf zur Verfügung stehen. Eine individuelle Konfiguration auf Kundenwunsch ist zwar bei Cloud Computing nicht ausgeschlossen, verlangsamte den Prozess aber erheblich. Außerdem lassen sich die mit Cloud Computing einhergehenden Kostenvorteile weitgehend nur durch standardisierte Lösungen realisieren. 3
Dies hat auch Auswirkung auf die Abrechnungsmodelle. Da der physische Server nicht mehr als Bezugsgröße relevant ist, erfolgt die Abrechnung nach Verbrauch von Leistungseinheiten wie zum Beispiel CPU, Speicherplatz, Arbeitsspeicher und Datenvolumen der Übertragungen, sofern es sich um einen Infrastrukturservice (IaaS) handelt. Bei der Bereitstellung von Anwendungssoftware ist eine solche Zuordnung auf einzelne Mandanten und Nutzer komplex und für den Kunden schwer kontrollierbar. Daher wird hier oftmals ein pauschalisiertes Subskriptionsmodell pro Nutzer (ähnlich einer Mobilfunkflatrate) angeboten, teilweise auch unter Differenzierung je nach konkreter Nutzungsintensität. In die Kalkulation dieser Preise fließt neben der Vergütung für die Software selbst auch der gesamte technische Betrieb, die Netzwerkanbindung, die Organisation, das Betriebspersonal und die notwendigen Maßnahmen für die Sicherstellung einer zuverlässigen Bereitstellung dazu2.
4
Als weitere typische Eigenschaften für einen Cloud-Service treten häufig die folgenden Merkmale auf3: 1. Selbstverwaltung des Service und der damit verbundenen Leistungen durch den Anwender.
1 AK Data Center – eco e.V., Analyse Hosteurope, aufrufbar unter http://datacen ter.eco.de/files/2011/04/Effizienz_Hosteurope2.pdf (zuletzt besucht am 11.12.2012). 2 Zu den Geschäfts- und Preismodellen beim Cloud Computing näher Teil 1 B Rz. 5 ff., 19 ff. 3 S. insofern vor allem die Definition des National Institute of Technology (NIST), Special Publication 800-145, September 2011, S. 2 abrufbar unter http://csrc.nist. gov/publications/nistpubs/800-145/SP800-145.pdf (zuletzt besucht am 11.12.2012). S. ferner BSI, Cloud Computing Grundlagen, https://www.bsi.bund.de/DE/The men/CloudComputing/Grundlagen/Grundlagen_node.html.
2
Weiss
II. Begrifflichkeiten
Rz. 6
Teil 1 A
2. Technisch uneingeschränkter Netzwerkzugriff mit Standardanwendungen (z.B. Webbrowser) des Anwendergerätes (z.B. Notebook, Smartphone). 3. Multimandantennutzung der technischen Ressourcen, zumeist über ganze Rechenzentrumsbereiche oder mehrere verteilte Rechenzentren als Ressourcenpool. 4. Unmittelbare Elastizität, das heißt die automatische Bereitstellung von technischen Ressourcen aus dem Ressourcenpool bei Spitzenanforderungen oder Erweiterung der Zahl der Benutzer. 5. Kontinuierliche Messung der tatsächlichen Nutzung pro Mandant und leistungsgerechte Abrechnung. 6. Hoher Grad an Standardisierung bei den Betriebsprozessen. Nähere Ausführungen zu diesen Merkmalen findet sich im Teil 1 C Rz. 8 f.
II. Begrifflichkeiten 1. Bereitstellungs- und Bezugsfunktionen von Cloud-Services Es existieren vielfältige Möglichkeiten der Bereitstellung und des Bezugs 5 von Cloud Computing-Leistungen. Daher ist zwischen den folgenden Rollen auf Seiten des Anbieters (Bereitstellung) sowie des Kunden (Bezug) zu differenzieren: a) Bereitstellung Bei der Bereitstellung von Cloud Computing-Leistungen kann zwischen 6 den folgenden Beteiligten unterschieden werden: – Cloud-Service-Anbieter – Unternehmen, das die Cloud-Leistungen gegenüber dem Kunden als Vertragsgeber anbietet. – Cloud-Service-Subunternehmer – Vorlieferant der Cloud-Services, die vom Cloud-Service-Anbieter als Teilfunktion integriert werden. – (Managed) Hosting-Provider – Cloud-Service-Subunternehmer, der technische IT-Leistungen, die dem klassischen IT-Outsourcing entsprechen (Rechner, Speicher, Netzwerk) erbringt. – Co-Location-Provider – Vorlieferant von Infrasturkturkomponenten, der Gebäude, Strom, Klima, Kommunikation etc. als Grundversorgung bereitstellt. – Cloud-Service-Vermittler – Unternehmen, das für den Cloud-ServiceAnbieter Kunden wirbt (und rechtlich die Stellung eines Handelsvertreters einnimmt).
Weiss
3
Teil 1 A
Rz. 7
Einfhrung, Begrifflichkeiten und Marktentwicklung
– Cloud-Service-Reseller – Wiederverkäufer von Cloud-Services, der selbst keine eigene Leistung erbringt, sondern sämtliche Leistungen der Service-Erbringung vom Cloud-Service-Anbieter bezieht (und rechtlich als Vertragshändler zu qualifizieren ist). – Cloud-Lösungsanbieter – Cloud-Service-Reseller, der mehrere CloudServices bündelt und als integriertes Paket weiterverkauft. – Cloud-Portalanbieter – Betreiber eines Cloud-Service-Portals, das grundlegende Teilfunktionen (Verwaltung von Identitäten, Abrechnungsfunktionen, Cloud-Service-Zugänge) integriert und klassische Softwareanwendungen mit Browserunterstützung in einer Cloud-ähnlichen Bereitstellung ermöglicht. 7
Der Begriff „Broker“ taucht zwar häufig im Zusammenhang mit Cloud Computing auf, wird hier aber bewusst nicht verwendet, da er in unterschiedlichen Bedeutungen verwendet wird, d.h. sowohl i.S.v. Vermittler, als auch i.S.v. Lösungsanbieter. Auch der Begriff „Marktplatz“ wird im Markt in unterschiedlichen Bedeutungen verwendet, d.h. i.S.v. „Vermittler“ oder „Reseller“. b) Bezug
8
Auf Seiten des Abnehmers von Cloud Computing-Leistungen kann wie folgt unterschieden werden: – Cloud-Service-Abnehmer oder Kunde – Vertragspartner des Cloud-Service-Anbieters, der als Unternehmen den Service nutzen will. – Cloud-Service-Nutzer – Einzelner Benutzer eines Cloud-Services, in der Regel ein Arbeitnehmer des Cloud-Service-Abnehmers. – Cloud-Service-Administrator – Fachbereich des Cloud-Service-Abnehmers, der mit der Verwaltung von Identitäten und Nutzungsoptionen des Cloud-Services betraut ist. Teilweise wird der Begriff „Broker“ auch verwendet als Bezeichnung einer internen Funktion im IT-Bereich des Cloud-Service-Abnehmers, die den Cloud-Service-Nutzern Cloud-basierte Lösungen bereitstellt. Für diese Funktion wird hier der Begriff Cloud-Service-Administrator verwendet. Nachfolgend werden die Beteiligten in den inhaltlichen Beiträgen gemäß dieser Definitionen bezeichnet, sofern es der Kontext nicht anders erfordert, allerdings jeweils ohne den Zusatz „Cloud-Service“. 2. Cloud-Services, Betriebsmodelle und Vertriebskanäle
9
Bei der Bereitstellung von Cloud-Services kann unterschieden werden zwischen der Art der Cloud-Services, d.h. dem Leistungsgegenstand, und den verschiedenen Betriebsmodellen, d.h. dem Kreis der Leistungsempfänger, die in freier Kombination verwendet werden können.
4
Weiss
II. Begrifflichkeiten
Teil 1 A
Rz. 12
a) Cloud-Services In der Regel werden drei Arten von Cloud-Services unterschieden: – SaaS – Software as a Service
10
Sämtliche Angebote von Anwendungssoftware, die den Kriterien des Cloud Computing entsprechen, fallen in diese Kategorie. Dem Angebotsspektrum sind hierbei keine Grenzen gesetzt. Als Beispiele seien Kontaktdatenmanagement, Finanzbuchhaltung, Textverarbeitung oder Kollaborationsanwendungen genannt. – PaaS – Platform as a Service
11
Ein PaaS-Anbieter stellt eine komplette Infrastruktur bereit und bietet dem Kunden auf der Plattform standardisierte Schnittstellen an, die von Diensten des Kunden genutzt werden. So kann die Plattform z.B. Mandantenfähigkeit, Skalierbarkeit, Zugriffskontrolle, Datenbankzugriffe etc. als Service zur Verfügung stellen. Der Kunde hat keinen Zugriff auf die darunterliegenden Schichten (Betriebssystem, Hardware), er kann aber auf der Plattform eigene Anwendungen laufen lassen, für deren Entwicklung der PaaS-Anbieter in der Regel spezielle Softwarekomponenten anbietet. Somit kann im Baukastenprinzip auf der Grundlage stabiler und erprobter Funktionen eine Anpassung der zur Verfügung gestellten Plattform an spezielle Anforderungen (z.B. für verschiedene Branchen) entwickelt werden, die dann als Variante eines Basissystems verwendet werden kann. – IaaS – Infrastructure as a Service
12
Bei IaaS werden IT-Ressourcen wie z.B. Rechenleistung, Datenspeicher oder Netze als Service angeboten. Ein Cloud-Service-Abnehmer kauft diese virtualisierten und in hohem Maß standardisierten Services und baut darauf eigene Services zum internen oder externen Gebrauch auf. So kann ein Cloud-Service-Abnehmer z.B. Rechenleistung, Arbeitsspeicher und Datenspeicher anmieten und darauf ein Betriebssystem mit Anwendungen seiner Wahl laufen lassen. Siehe auch Abb. 1 auf nächster Seite.
Weiss
5
Teil 1 A
Rz. 13
Fachbezogen
Einfhrung, Begrifflichkeiten und Marktentwicklung
SaaS – Software als Dienst (Kollaboration, Fachanwendungen, Unternehmenssteuerung)
Vorlagen Geschäftslogik und Anwendungsmodule
PaaS – Plattform als Dienst (Entwicklungssysteme, Datenbanken, Basisprozesse)
Management als Dienst (Anmeldung, Archivierung, Überwachung, Abrechnung)
Betriebssystem, Basissoftware für Anwendungen (Web, FTP, Identity)
Generisch
IaaS – Infrastruktur als Dienst (Datenspeicher, Rechenleistung, Netzwerk als virtualisierte Systeme)
Abb. 1: Quelle: Fraunhofer Fokus – ISPRAT Studie1
13
Daneben gibt es weitere Ausprägungen als Sonderform, wie zum Beispiel Security-, Business Process –, Storage-, Monitoring-, Communication – as a Service, die zusammenfassend oftmals auch als XaaS benannt werden. Nähere Ausführungen finden sich unter nachfolgender Rz. 30 ff.) zum Thema vernetzter Cloud-Ecosysteme. b) Cloud-Betriebsmodelle Bei den Betriebsmodellen ist zu unterscheiden, wer Zugriff auf die Services hat:
14
– Private Cloud: Dedizierte Bereitstellung der Services für einen definierten Kunden unter Verwendung von abgrenzbaren Hardwareressourcen (also in der Regel Rechenzentren, abgeschlossene Bereiche innerhalb des Rechenzentrums) und Netzwerkbereiche, die nicht von Dritten genutzt werden.
1 http://www.fokus.fraunhofer.de/de/elan/_docs/isprat_cloud_studie_20110106. pdf.
6
Weiss
II. Begrifflichkeiten
Rz. 17
Teil 1 A
Private Dienstnutzer
Cloud
Abb. 2
– Virtual Private Cloud: Im Gegensatz zur Private Cloud erfolgt die 15 Mandantenabgrenzung lediglich auf der logischen Netzwerkebene in einer Public Cloud, bei gleichzeitiger Nutzung der Hardware über mehrere Kunden. Üblicherweise erhält der Kunde einen definierten IPAdressbereich und kann die Sicherheitsfunktionen (z.B. Firewall, Intrusion-Detection) selbst verwalten1. – Public Cloud: Bereitstellung der Services für einen unbeschränkten 16 Kundenkreis, der Hardwareressourcen gemeinschaftlich nutzt. Die von den Kunden in Anspruch genommenen Cloud-Leistungen werden mittels logischer Mandantenzuordnung separiert.
Dienstnutzer Dienstnutzer
Öffentliche Cloud
Dienstnutzer
Abb. 3
Daneben existieren noch Sonderformen wie – Community Cloud: Kombination mehrerer Cloud-Services für be- 17 stimmte Anwendergruppen. Der Zugang ist nicht öffentlich, sondern erfordert zusätzliche Autorisierung durch die Betreiber der Community Cloud. Die an einer Community Cloud teilnehmenden Unternehmen haben meist ähnliche Anforderungen an Verfügbarkeit, Compliance, Betriebsprozessen und Sicherheit der bereitgestellten Ressourcen. Dies 1 Siehe auch AWS VPC unter http://aws.amazon.com/de/vpc/ (zuletzt aufgerufen am 11.1.2013) und auch Gabler Wirtschaftslexikon unter http://wirtschaftslexi kon.gabler.de/Archiv/1057714/virtual-private-cloud-v1.html (zueletzt aufgerufen am 11.1.2013). Weiss
7
Teil 1 A
Rz. 18
Einfhrung, Begrifflichkeiten und Marktentwicklung
kann zum Beispiel im Bereich Logistik, Fertigung, Forschung oder bei Branchenvereinigungen und Regierungsstellen eine Grundanforderung sein. 18
– Hybrid Cloud: Kombination von Private und Public Cloud. Hierbei erfolgt ein kombinierter Betrieb von Cloud-Services, bei denen ein Teil in einer privaten Umgebung (zum Beispiel ein ERP-System) und ein Teil aus einem öffentlichen Bereich (z.B. CRM) technisch und logisch zusammengeführt werden. Ein Beispiel für die Entstehung einer Hybrid Cloud ist die Verlagerung einer öffentlichen Firmenwebseite aus der Private Cloud in die Public Cloud. Da die Firmenwebseite ohnehin aus dem Internet erreichbar sein muss, kann einer Verlagerung in die Public Cloud unter Umständen sogar für höhere Sicherheit des Gesamtsystems sorgen.
Private Dienstnutzer
Cloud
Dienstnutzer Dienstnutzer
Öffentliche Cloud
Dienstnutzer
Abb. 4
c) Vertriebskanäle 19
Für den Vertrieb von Cloud Computing-Leistungen haben sich einige typische Kanäle eingebürgert. Tätig werden neben dem Anbieter selbst dabei z.B. Cloud-Service-Vermittler, Cloud-Service-Reseller, Lösungsanbieter oder Portalanbieter (näher dazu oben Rz. 6). Deren Ausrichtung lässt sich generell als Cloud-Service-Marktplatz charakterisieren:
8
Weiss
III. Vernderung in der IT durch Cloud Computing
Rz. 21
Teil 1 A
Betreiber
Anbieter
Entwickler
Prozess
Anwender
Prozessdesigner
Abb. 5: Quelle: Fraunhofer ISST CSMP1 Whitepaper
Unterschiedliche Institutionen bieten ihre Leistungen über einen gemein- 20 samen Marktplatz und ggf. auch eine gemeinsame Ausführungs-Plattform in der Cloud an. Diese Dienste können wiederum zur Unterstützung von Geschäftsprozessen zu komplexeren Mehrwert-Dienstleistungen gebündelt werden. Neben den Anbietern und Abnehmern von diesen Diensten, sowie den Entwicklern der Dienste und den Prozessdesignern, die die Mehrwert-Dienstleistungen zusammenstellen, kommt dem Betreiber des Marktplatzes als Lösungsanbieter oder Cloud-Service-Reseller eine zentrale Rolle zu.
III. Veränderung in der IT durch Cloud Computing 1. Ausgangssituation Bei der Frage, wie sich Cloud Computing in den kommenden Jahren ent- 21 wickelt, kann man derzeit auf eine Vielzahl Studien zurückgreifen, die quantitativ (also in der absoluten Betrachtung der Umsatzentwicklung und der Nutzungsbreite) zum Teil erhebliche Abweichungen darstellen, 1 Fraunhofer ISST – CLOUD-ORIENTIERTE SERVICE-MARKTPLÄTZE unter http://www.isst.fraunhofer.de/Images/Fraunhofer-ISST_CSMP-Whitepaper_www _tcm81-98065.pdf (zuletzt besucht am 11.12.2012). Weiss
9
Teil 1 A
Rz. 22
Einfhrung, Begrifflichkeiten und Marktentwicklung
in der Grundtendenz aber durchweg bestätigen, dass Cloud-Services integraler Bestandteil zukünftiger IT-Bereitstellung im geschäftlichen und privaten Umfeld sein werden. Der Umsetzungsgrad ist dabei in hohem Maße von kulturellen, ökonomischen und regulatorischen Rahmenbedingungen beeinflusst. Zudem hat der Reifegrad der Automatisierung bestehender Systeme für die Abbildung von Geschäftsprozessen in den größeren Unternehmen Einfluss auf die Motivation, eine Änderung herbeizuführen. Die hier aufgebauten Abhängigkeiten können eine Integration einer externen Anwendung aus der Cloud erschweren. Generell ist allerdings der Einsatz von Cloud Computing in größeren Unternehmen schon fester Bestandteil der Bedarfsplanung, sei es durch unabhängige (stand-alone) Systeme aus der Cloud oder aber durch Integration in die bestehende Systemlandschaft über (standardisierte) Schnittstellen. Bei den kleineren und mittleren Unternehmen (KMU) ist dagegen gerade in Deutschland eine gewisse Zurückhaltung bei der Nutzung von CloudServices externer Anbieter festzustellen. Dies wird häufig begründet mit mangelnder Transparenz, Zweifeln, ob rechtliche Anforderungen eingehalten werden, und dem mit der Übertragung der Verantwortung an den Cloud-Service-Anbieter einhergehenden „gefühlten“ Kontrollverlust. 22
Treiber der zunehmenden Nachfrage von Cloud Computing-Diensten sind aber nicht nur Kosteneffekte (Reduzierung und Flexibilisierung der Kosten). Hinzu kommt, dass bereits heute die Arbeit für viele Berufsgruppen nicht mehr zwingend an den Büro-Arbeitsplatz gebunden ist. Der frühere, starre Bezug zu einem Ort, an dem gearbeitet wird, und die damit verbundene IT-Infrastruktur ist bereits heute nicht mehr zeitgerecht. Ganz im Interesse der Mitarbeiter treten Mobilität und Flexibilität in den Fokus. Remotearbeitsplätze haben in der Berufswelt schon seit geraumer Zeit Einzug gehalten. Cloud Computing ermöglicht nunmehr einen weiteren Schritt zur Unabhängigkeit von Ort, Zeit und Endgerät. 2. Private Nutzer als Vorreiter
23
Angesichts dieser Zurückhaltung überrascht es nicht, dass die Anwendung von Cloud Computing eines der wenigen Beispiele im IT-Bereich ist, bei dem Innovation initial durch den privaten Anwender forciert wurde und erst zeitversetzt als Konzept für die geschäftliche Verwendung übernommen wurde. Im privaten Umfeld ist es schon längst Alltag: Mit dem Internet verbundene Fernseher, das Telefonieren über PCs und Notebooks, das Mobiltelefon als kleiner tragbarer Taschencomputer, mit dem man zu jeder Zeit und von jedem Ort Nachrichten sendet und empfängt, über soziale Netzwerke kommuniziert und auf Daten und Filme zugreifen kann. Fast ist das Telefon in diesem Gerät zur Nebensache geworden. Unbemerkt sind unterschiedliche Technologien zusammengewachsen und haben uns eine Vielzahl neuer Anwendungen erschlossen, die fast ausschließlich aus dem Internet als Service bereitgestellt werden. Die vielfältigen Angebote zur Nutzung kostenfreier E-Mail-Dienste, die intensive Verbreitung von Blogs, Twitter und Facebook sind einige Bei10
Weiss
III. Vernderung in der IT durch Cloud Computing
Rz. 26
Teil 1 A
spiele für vernetzte Kommunikation mittels öffentlich verfügbarer Dienste. Gerade die beiden letztgenannten Dienste haben eine Geschäftsrelevanz erfahren, weil sie eine riesige weltweite aktive Benutzergruppe haben und somit auch für kommerzielle Kommunikation interessant sind. Dennoch handelt es sich hierbei nicht um Cloud Computing im eigentlichen Sinne, sondern Sonderformen mit hoher Verbreitung im privaten Bereich aufgrund der für den Nutzer kostenfreien (werbefinanzierten) Verwendung. In der Folge wurden eine Vielzahl weiterer Service Angebote entwickelt, z.B. Online-Datenspeicher, virtualisierte Server, webbasierte öffentlich zugängliche Anwendungen, die schon eher in die Definition von Cloud Computing als standardisierte Leistung passen. Mit der Einführung des IPhones und der Bereitstellung unzähliger Apps mit den zugrundeliegenden Diensten für den privaten Anwender, die öffentlich über das Internet für alle Anwender genutzt werden können, erfolgte ein weiterer Innovationsschub, begünstigt oder sogar verursacht durch Cloud Computing. Das, was im privaten Umfeld längst etabliert und akzeptiert ist, drängt nun massiv in die geschäftliche Nutzung und wird durch weitere Effekte unterstützt. Maschinen, Autos, Geräte, allesamt mit prozessorgestützten Steuerungen, werden an das Internet angeschlossen. Diese zunehmende Internetfähigkeit von Geräten und Maschinen bedingt einen stark wachsenden Bedarf an spezieller, ebenfalls internetfähiger Software, die nicht zuletzt aus Opportunitäts- und Kostengründen zum überwiegenden Teil in der Cloud entwickelt wird. In diesem Umfeld entstehen zusätzliche Anforderungen, die bisher kate- 24 gorisch ausgeschlossen waren. Ein Beispiel ist die gemischte Nutzung von Endgeräten (Notebook, Smartphone, Tablets) im privaten und beruflichen Bereich. Durch die Verlagerung von IT-Systemen in die Cloud haben sich die Grenzen aufgeweicht. Dies ermöglicht auch den Einsatz persönlicher Geräte für den Zugang zu den IT-Systemen der Unternehmen. Unter dem Begriff BYOD (Bring your own device) wird dieser Ansatz sukzessive Teil der Firmenkultur. Aus IT-Sicht birgt dieser Ansatz allerdings erhebliche Herausforderungen zur Absicherung der IT-Systeme, da nahezu keine Kontrolle der Endgeräte zur Absicherung gegen Malware möglich ist. Es ist daher notwendig, durch Schulungsmaßnahmen und technische Unterstützung die Benutzer zu sensibilisieren und die Sicherheitssysteme auf dieses Bedrohungspotential kontinuierlich anzupassen. 3. Entwicklung und Trends Die folgenden Thesen formulieren Entwicklungen und Trends, die einen 25 Einfluss auf die zukünftige Gestaltung der IT durch die Einbeziehung externer Service-Angebote aus den Cloud Computing-Bezugsformen haben. a) Industrialisierung der IT Die Informationstechnologie ist bei nahezu allen Unternehmen integra- 26 ler Bestandteil der Wertschöpfungsprozesse, gehört aber bei den wenigsWeiss
11
Teil 1 A
Rz. 27
Einfhrung, Begrifflichkeiten und Marktentwicklung
ten zum eigentlichen Kerngeschäft. Die Notwendigkeit zur Nutzung von IT-Ressourcen in Verbund mit den zunehmenden Anforderungen zu Systemsicherheit, kontinuierlich wachsendem Datenbestand und Vorhaltung von Reservekapazitäten für periodisch auftretenden Sonderbedarf führt zu einem signifikanten Kostenanteil der eigengeführten IT bei gleichzeitig ineffizienter Nutzung und Auslastung. So liegt es nahe, externe Cloud-Service-Anbieter in Anspruch zu nehmen, die Cloud-Services offerieren und durch die Menge der Nutzer bessere Skaleneffekte und günstigere Umlagekosten für Gebäude, Technik und Personal erzielen. 27
Diese Entwicklung, die in Teilen Parallelen zur Massenproduktion von Automobilen aufweist, hat unterschiedliche Auswirkungen auf Personen, Prozesse und Technologie: aa) Personen – Verbesserter und flexiblerer Zugang zu Informationen und vereinfachte Verarbeitung: Für die am Prozess beteiligten Personen ist der Zugriff auf Informationssysteme wesentlich flexibler (keine Ortseinschränkung, keine speziellen Installationsanforderungen auf den Zugangsgeräten). – Wechsel von reaktiver zu proaktiver Tätigkeit: Eine intelligente und prozessorientierte Zusammenführung von Services ermöglicht eine bessere Steuerung unerwarteter Situationen. So können zum Beispiel durch die Verknüpfung von Help-Desk mit Social-Media-Systemen Supportanfragen durch konsolidierte vorgeschaltete Auswertungen aus Blogs und Foren besser bewältigt werden, indem zielgenaue Informationen in diese Kanäle übermittelt werden. – Schnellerer Zugriff auf Innovation: Durch die zentrale und standardisierte Bereitstellung von Cloud-Services sind Updates und funktionale Erweiterungen üblicherweise im laufenden Betrieb möglich. Zudem können durch Verknüpfung einzelner Services völlig neue Prozessabläufe etabliert werden, die bisher am Integrationsaufwand gescheitert sind. – Fokus auf Wertschöpfung: Generelle Zielsetzung ist es, Mitarbeiter bei ihrer Kerntätigkeit zu unterstützen und nicht mit Koordinierungstätigkeiten zu belasten, die nicht in das Aufgabengebiet gehören. bb) Prozesse – Standardisierte und reproduzierbare Prozesse: Im Sinne der ökonomischen Betrachtung und der Einhaltung von Qualitätsanforderungen sind Cloud-Prozesse notwendigerweise zu standardisieren und nach Best-Practice-Betrachtungen als Basismuster zu konfigurieren. – Strukturierte Service-Ebenen: Aus der Diskussion von Service-orientierten Architekturen (SOA), haben sich Methoden entwickelt, die 12
Weiss
III. Vernderung in der IT durch Cloud Computing
Rz. 28
Teil 1 A
Service-Modellierung an den Realanforderungen zu orientieren und nicht umgekehrt. Eine Zulieferkette im Lebensmittelhandel hat im Vergleich zur Automobilproduktion sowohl Gemeinsamkeiten in den übergeordneten Abläufen aber auch große Unterschiede bei den Detailanforderungen. Dies muss entsprechend abstrahiert werden und durch alternative Inkludierung von Spezialprozessen berücksichtigt werden. – Erhöhte Integration: Der Erfolgsfaktor für ERP-Systeme ist die durchgängige Integration aller Kernprozesse. In ähnlicher Weise (aber viel flexibler ausgestaltet) werden sich Cloud-Services auf diese Anforderung ausrichten. cc) Technologie – Konsolidierung und Rationalisierung (Software und Hardware): Die Ausweitung der IT-Ressourcen bei gleichzeitigem Kostendruck (Investitionen, Energie, Betrieb) zwingt zur Optimierung von Bestandsressourcen und zur Erweiterung entsprechend zeitlich abgegrenzter ITRessourcen. – Zunehmende Automation zur Steigerung der Produktivität: Mit der Phase der Plattform Services werden Erfahrungen der Rationalisierung und der Prozessoptimierung als Standardvorlagen für die Bereitstellung von komplexen Systemen zur Verfügung gestellt. b) Verhundertfachung des Datenbestandes in den kommenden 8–10 Jahren 28
1,8
320
ZB
ZB
2011
2020
Abb. 6: Quelle: IDC Digital Universe 1 Zettabyte: 1 000 000 000 000 000 000 000 bytes (= 1 Trillion Gigabytes)
Weiss
13
Teil 1 A
29
Rz. 29
Einfhrung, Begrifflichkeiten und Marktentwicklung
Die zunehmende Onlinefähigkeit von nicht benutzergeführten Endgeräten, Einführung von gemeinsamen Arbeitsplattformen, Social Media, Bildübertragung und ein generelles erweitertes Datenaufkommen bei der betrieblichen Nutzung von Online-Diensten und nicht zuletzt die Auslagerung von Betriebsanwendungen in die Cloud führt zu einem immer steigenden Datenübertragungs- und Datenspeicherungsbedarf. Die damit verbundenen Analyseanforderungen zu Datenverdichtung und Auswertung müssen auch nach logistischen Kriterien optimiert werden. Es wird auf Dauer nicht mehr möglich sein, alle Quelldaten zentral zusammenzuführen, sondern es erfolgt eine dezentrale Vorverarbeitung, jeweils im Umfeld der Netzbereiche, in denen die Daten anfallen. So werden zunehmend intelligente Routing- und Caching-Mechanismen eingesetzt, um zum Beispiel Videostreamdaten möglichst nahe an den Abnehmer-Netzwerken zu platzieren und nicht aus vom Quellanbieter immer wieder neu anzufordern. Solche Beschleuniger („Accelorator-Services“) dienen bei komplexen SaaS-Anwendungen dazu, den Bildschirmaufbau für immer wiederkehrende Datenanfragen zu optimieren. Diese Technik in Kombination mit modernen Browseranwendungen (HTML5) vermittelt dem Anwender eine schnelle Ansicht von Primärinformationen, die im Hintergrund mit weiteren Sekundärinformationen leicht verzögert zur Anzeige kommen. In vielen Fällen ist die Verarbeitung solcher Massendaten aus ökonomischer Betrachtung nur über Cloud-Dienste zu bewältigen. Nehmen wir das Beispiel die Buchungsportale für Flugreisen. Zunächst müssen die Flugdaten und Konditionen aller relevanten Fluggesellschaften tagesgenau abgerufen werden und dann für ein übergreifendes Buchungssystem vereinheitlicht und indiziert werden. Für solche Prozesse werden für wenige Stunden umfangreiche Rechner und Speicherkapazitäten benötigt und diese auch sehr dynamisch, da das Datenvolumen nur bedingt planbar ist. Durch die Nutzung eines Cloud-Service mit hoher Bandbreite, variabler Skalierung und nutzungsabhängiger Abrechnung sind die Durchsatzraten wesentlich höher und somit die Verarbeitungszeiten wesentlich geringer. Beides führt zu einer effizienteren Umsetzung als die Durchführung auf eigenen Systemen mit nur temporärer Auslastung und eingeschränkten Übertragungsmöglichkeiten. c) Bildung eines vernetzten Ecosystems
30
Mit der Vernetzung von Wertschöpfungsketten erfolgt auch eine Vernetzung der Cloud-Services, die für die zugrundeliegenden Prozesse Dialogschnittstellen, Datenerhebung, Datenaufbereitung und Übermittlung bereitstellen. Monolithische Anwendungsstrukturen ohne modulare Komponenten werden ersetzt durch feinkörnige, bedarfsgerechte Anwendungen, die durch entsprechende Technologien zu einem für den Benutzer transparenten Prozess verbunden werden.
14
Weiss
III. Vernderung in der IT durch Cloud Computing Cloud Ebene Level Cloud Business 4 Services und Operations
Rz. 31
Teil 1 A
Funktionsbereich
Typische Anbieter (Auszug)
Geschftsprozess, Outsourcing, Managed-Services, System-Integration, verwandte Dienste
Accenture, Appirio, Cognizant, Comcast, Dell Services, IBM, Infosys, SAP, Symantec, Tenzing, Verizon, Wipro
Level 3
CloudGeschftslçsungen
Software as a Service (SaaS)
ADP, Ariba, Adaptive Planning, Dell, Host Analytics, Intacct, Microsoft, NetSuite, Oracle, salesforce, SAP, SuccessFactors, Symantec, Taleo, Workday
Level 2
CloudPlattformen
Platform as a Service (PaaS), Hosted Services (z.B. Analysen, Business Services, Entwicklung, Integration, Sicherheit)
Accenture, Amazon, Apprenda, Dell Boomi, GoodData, Google, HP, IBM, Joyent, Microsoft, OPSource/ Dimension Data, Oracle, Progress, Rackspace, SafeNet, salesforce, Savvis, Sevroy, Scribe, VMware, Wipro
Level 1
Cloud-Infrastruktur
Infrastructure as a Service (IaaS), „Cloud Computing“ (z.B. Computing, Storage)
Amazon, AT&T, HP, IBM, Joyent, Latisys, Microsoft, Navisite, NTT, OpSource/ Dimension Data, Peer 1, Rackspace, Savvis, Verizon, VMware, Wipro
Hardware, Software, Networking und Services
Cisco, Dell, HP, IBM, Intel, Microsoft, OpenStack, Oracle, RedHat, Unbuntu, VMware
Level Cloud-Techno0 logien
Abb. 7: Cloud Stack: Quelle Saugatuck Research, 20121
Die Gesamtheit der Cloud-Service-Erbringung lässt sich – wie die obige 31 tabellarische Darstellung im Überblick zeigt – in verschiedenen aufeinander aufbauenden Ebenen darstellen. Der Level 0 ist die klassische Ebene, die im klassischen IT-Outsourcing schon seit langer Zeit als externe Service-Leistung erbracht wird. Mit Einzug der Virtualisierung und der Bereitstellung einer abstrahierten Administrationsumgebung ist die Infrastruktur as a Service auf Level 1 zu sehen. Sofern der darauf aufbauende Basisdienst eine generische Service-Ebene für die Bereitstellung von Softwarediensten darstellt, handelt es sich um eine Platform as a Service auf Level 2. Das Hauptaugenmerk liegt dann auf Level 3 in der Bereitstellung von Anwendungen als Software as a Service. Die große Herausforderung ist in Zukunft die ganzheitliche Umsetzung der Geschäftsprozesse 1 Saugatuck Research http://ecd-conference.de/wp-content/blogs.dir/46/files/2011/ 03/Sempert_saugatuck_1115.pdf (zuletzt besucht am 11.12.2012). Weiss
15
Teil 1 A
Rz. 32
Einfhrung, Begrifflichkeiten und Marktentwicklung
unter Einbeziehung der unterliegenden Ebenen, zumeist auch in Kombination mit lokal bereitgestellten Systemen, Datenbanken und Anwendungen als hybrider Cloud Computing-Ansatz. In der kombinierten Darstellung sind dann Cloud-Services, On-premisesServices und funktionale Anforderungen als kombinierte IT-Services im Sinne eines Cloud-Ecosystems relativ losgelöst von der konkreten IT-Erbringung aus eigenem Betrieb im Unternehmen im Fokus. 32
Dabei wird im Bereich der Infrastruktur (IaaS) zunehmend eine Vermittler Funktion zum Einsatz kommen. Online-Speicher ist zunehmend standardisiert verfügbar. Eine Reihe von Lösungsanbietern bieten schon Services, solche Infrastrukturressourcen dynamisch bei Bedarf von unterschiedlichen Anbietern anzumieten. Dabei sind Kriterien wie Örtlichkeit der Datenhaltung, Sicherheitsanforderungen, Verfügbarkeit und effektive Geschwindigkeit beim Zugriff neben der reinen Kostenbetrachtung zunehmend relevant.
33
In gleicher Art und Weise können ganze Anwendungen bei unterschiedlichen Cloud-Anbietern automatisch eingerichtet und bei Bedarf aktiviert werden. Beispielsweise könnte ein Unternehmen, welches einen TV-Spot in der Fernsehwerbung zeigt, für 2 Stunden 50 identische Webserver aktivieren, um die Anzahl der ausgelösten Anfragen ohne Probleme bedienen zu können. Die technischen Ressourcen für einen solchen kurzen Zeitraum bei vielleicht 12 Werbeschaltungen im Jahr selber vorzuhalten ist ökonomisch nicht vertretbar. Darum erleben wir auch immer wieder Meldungen, dass die Webseiten dem Ansturm nicht gewachsen sind. Dieser Umstand kann durch die hochskalierte Bereitstellung von Webservern zu dem Zeitpunkt und in der Dauer des zu erwartenden Anfragezeitraums vermieden werden. Dazu bedarf es lediglich fertig konfigurierter virtueller Server, die nur dann Kosten verursachen, wenn sie aktiv geschaltet werden. Der Vorgang des An- und Abschaltens erfolgt in wenigen Minuten und kann zudem automatisiert werden.
34
Es wird aber noch um einiges schwieriger, wenn es um die Vernetzung von komplexen Anwendungen (SaaS) geht. Es lassen sich ERP-Systeme im Eigenbetrieb und CRM-Systeme aus der Cloud mit überschaubarem Aufwand verbinden, wenn ein ausreichender Reifegrad der Datenschnittstellen gegeben ist (z.B. ein SAP-System mit einer Salesforce- oder Microsoft-Cloud-Lösung). Bei der Verkettung ganzer Wertschöpfungsketten, z.B. im Produktions- oder Logistikablauf, ist die Anzahl der Schnittstellen um Einiges höher. Wenn wir uns vergegenwärtigen, dass EDI (Electronic Data Interchange), also der Austausch von Geschäftsvorfällen in standardisierter Form, nun schon seit mehr als 30 Jahren thematisiert wird und es bis heute trotz intensiver Unterstützung von Standarisierungsorganisationen schwierig ist, eine reibungslose Anbindung durchzuführen, wird das Ausmaß der Problematik deutlich. Schon ein auch
16
Weiss
III. Vernderung in der IT durch Cloud Computing
Rz. 35
Teil 1 A
durch regulatorische Anforderungen klar definierter Vorgang wie eine Handelsrechnung, bedarf immer einer bilateralen Abstimmung und Konfiguration der Sende- und Empfangssysteme. Das Thema Interoperabilität wird die größte Herausforderung zur Bildung effizienter und betriebssicherer vernetzter Anwendungen.
Mobile
Social TM
Cloud Ecostack Services
Business Solutions Data Analytics
Platforms & Hubs
Collaboration
Infrastructure Solutions Technology Integration
On Premesis Data Assets
Abb. 8: Quelle: Saugatuck Research, 20121 IT Wandel
Die Herausforderungen für die IT-Abteilungen bei der Berücksichtigung 35 von Cloud-Services sind enorm. Es wird sich ein Wandel von ausschließlich selbstbetriebener Technik hin zum Management von Services aus verschiedensten Quellen (selbstbetrieben, d.h. On Premise, Private Cloud, Public Cloud, klassisch Outsourcing-Anteile) zeigen, bei der die Bereitstellung, die Messung der Servicequalität (Verfügbarkeit, Performance), Integration und die rollenbasierte Verwaltung der Daten mit den notwendigen Sicherheitsanforderungen im Vordergrund stehen. Damit verbunden ist eine noch engere Zusammenarbeit von Fachabteilungen (die einen funktionalen Bedarf haben), IT (Sicherstellung der IT-Policies, Sicherheits- und Integrationsprüfung) und Einkauf (Vertragsgestaltung, Haftungsvereinbarungen) notwendig, um allen Aspekten gerecht zu werden.
1 Saugatuck Research http://ecd-conference.de/wp-content/blogs.dir/46/files/ 2011/03/Sempert_saugatuck_1115.pdf (zuletzt besucht am 11.12.2012). Weiss
17
Teil 1 A
Rz. 36
Einfhrung, Begrifflichkeiten und Marktentwicklung
IV. Veränderung der Geschäftswelt durch Cloud Computing 36
– Wertschöpfung durch Optimierung, weniger durch Wachstum Viele Befürworter von Cloud Computing haben zunächst den möglichen Kostenvorteil durch ein effizienteres Betriebsmodell mit wesentlich besseren Umlagemöglichkeiten der fixen und variablen Kosten als Hauptargument kommuniziert. Es zeigt sich aber zunehmend, dass die Verbesserung der Betriebsprozesse und die Einbindung neuer Bereiche (z.B. CRM, Collaboration) einen wesentlich höheren Effekt für die Wirtschaftlichkeit und die Wettbewerbsfähigkeit im Unternehmen ausmachen.
37
– Marktbeeinflussende Faktoren Regulatorisch: Generell sind Sicherheitsfragen, Datenschutzbestimmungen und ein fragmentierter Rechtsrahmen im europäischen Markt ein Problemfaktor für die internationale Bereitstellung standardisierter Cloud-Services. Das deutsche und auch das europäische Datenschutzrecht orientieren sich nicht angemessen an der Weiterentwicklung sowie dem heutigen Stand der Technik und führen in vielen Bereichen zu Rechtsunsicherheiten. Verfügbarkeit und Performance von Datenleitungen: Für das zu erwartende Datenaufkommen, den ortsunabhängigen Zugriff auf die CloudServices und Synchronisation der Services untereinander sind die derzeitigen Netzinfrastrukturen nur eingeschränkt geeignet und müssen kontinuierlich erweitert und flächendeckend auch über Mobilfunknetze eingebunden werden. Unternehmensstrukturen: Cloud Computing ist in seiner Bereitstellungsform ideal für mittelständische Unternehmen, die im Wettlauf der Sicherheitsanforderungen und der Innovationgeschwindigkeit der Technologien vor hohen Herausforderungen stehen und in den klassischen Betriebsformen kontinuierlich Investitionen in Bereichen außerhalb der eigentlichen Kernkompetenz leisten müssen.
38
– Ökonomischer Einfluss Für die fünf größten Volkwirtschaften (D, FR, ES, UK, I) in Europa wird ein Effizienzzugewinn von bis zu 750 Milliarden Euro durch Cloud Computing bis 2015 prognostiziert: Ranking by Vertical Distribution, retail & hotels
233,418
Banking, financial & business services
183,566
Government, education & health
112,539
Manufacuring
18
Euro/million
Weiss
98,504
V. Akteptanzbetrachtung Ranking by Vertical
Rz. 39
Teil 1 A
Euro/million
Other sectors*
135,271
TOTAL
763,298
* Includes business in agriculture, Forestry & fishing, energy & utilities, construction, transport and communication Abb. 9: Quelle: The Cloud Dividend – Centre for Economics and Business Research Ltd, 20111
Diese Angaben resultieren aus der Betrachtung von Einsparungspotentialen, dem Wechsel von CapEx zu OpEx und der gesteigerten Wettbewerbsfähigkeit im internationalen Vergleich. Damit einhergehend werden auch Arbeitsplätze im Umfeld der zunehmenden Verwendung und Bereitstellung von Cloud-Services in signifikanter Höhe erwartet: Country
Total economic benefit (Euro million)
Germany
221,239
France
162,749
Italy
150,770
UK
117,989
Spain
110,550
TOTAL
763,297
* Source Cloud Dividend Report 2011 Abb. 10: Quelle: The Cloud Dividend – Centre for Economics and Business Research Ltd, 20112
V. Akteptanzbetrachtung Cloud Computing vermittelt zunächst im Kern eine einfache und klar 39 definierte Leistung als Service. Bei genauerer Betrachtung liegt aber eine komplexe Lieferkette zugrunde, an der eine Reihe rechtlich unabhängiger Leistungserbringer als Subunternehmer des Anbieters beteiligt sind. In dieser Hinsicht mangelt es oftmals an ausreichender Transparenz, um den Nutzern eine angemessene Entscheidungsgrundlage zu vermitteln. Das Bezugsmodell ist neu und der Kunde muss sicher sein, bei Nichterfüllung der vereinbarten Leistung einen umgehenden Wechsel zu ei-
1 EMC Research http://uk.emc.com/microsites/2010/cloud-dividend/index.htm (zuletzt besucht am 11.12.2012). 2 EMC Research http://uk.emc.com/microsites/2010/cloud-dividend/index.htm (zuletzt besucht am 11.12.2012). Weiss
19
Teil 1 A
Rz. 40
Einfhrung, Begrifflichkeiten und Marktentwicklung
nem anderen Anbieter vollziehen oder die Leistungen re-integrieren zu können. Hierzu müssen klar definierte Ausstiegsvereinbarungen vorhanden sein, die es dem Kunden ermöglichen, seine Daten ohne Einschränkungen und zu klar definierten Regeln verlustfrei in eine andere Betriebsumgebung zu überführen. 40
Generell stehen die Unternehmen, die Cloud-Services nutzen möchten, vor der Aufgabe, Transparenz bzgl. der Leistungsfähigkeit und Zuverlässigkeit eines Anbieters zu erhalten. Ergänzend ist zu prüfen, ob die technische Leistungserbringung mit den regulatorischen Anforderungen und den internen Compliance Vorschriften in Einklang zu bringen ist. In der Summe sind alle Kriterien unter Berücksichtigung der besonderen Datenschutz- und Sicherheitsanforderungen auf der vertraglichen Ebene eindeutig zu definieren. Themen wie professionelles IT-Management, transparente und nachvollziehbare Prozesse, Verschlüsselung, Backup und Archivierung, Exit-Strategie, Service-Level-Agreements, Performance und viele weitere treten hier in den Vordergrund.
41
Zur konkreten Prüfung solcher Anforderungen bedarf es speziell ausgebildeter Fachleute, die in den jeweiligen Funktionsbereichen qualifizierte und objektive Auditierungen durchführen, die als Entscheidungsgrundlage und Nachweis der korrekten Gestaltung des Service Angebotes dienen. Aus diesem Grund hat der internationale Cloud Computing-Fachverband EuroCloud durch seine deutsche Vertretung ein Gütesiegel für die Cloud-Funktionen IaaS, PaaS und SaaS entwickelt. Konkret werden im „EuroCloud Star Audit“ folgende Kategorien erfasst: – Anbieterprofil – Vertrag und Compliance – Sicherheit – Betrieb der Infrastruktur – Betriebsprozesse – Anwendung – Implementierung
42
Durch ein Punktesystem und die Vorgabe von Mindestkriterien kann ein Anbieter Gütestufen von ein bis fünf Sternen erreichen. Im Kern geht es um rechtliche Aspekte, die auf Dokumentenbasis geprüft werden, zuverlässige Bereitstellung von technischen Dienstleistungen sowie Datenschutz, Datensicherheit und Einhaltung grundlegender Qualitätsstandards für Betriebsprozesse und Anwendungsgestaltung. Für seine Angaben im Audit muss der Anbieter konkrete Nachweise vorlegen; zudem
20
Weiss
VI. Cloud-Services und deren Nutzung
Rz. 45
Teil 1 A
verpflichtet er sich, signifikante Änderungen der Rahmenbedingungen (z.B. Ort der Leistungserbringung, Änderung der Subunternehmervereinbarungen) und kritische Vorfälle unverzüglich zu melden.
VI. Cloud-Services und deren Nutzung (international und national) Die Auswahl an Cloud-Services, besonders im Bereich Software as a Ser- 43 vice ist sehr umfangreich. In Bezug auf die Adaption werden primär Anwendungen genutzt, die auf Kollaboration und Nachrichtenaustausch ausgerichtet sind oder eine spezielle Fachfunktion einführen, die mittels der bisherigen Softwareausstattung nicht abgedeckt wurden (z.B. CRM). Bei der Auswahl der konkreten Bereitstellung (public, private) und der 44 Ausprägung (SaaS, PaaS, IaaS) sind Unterschiede nach regionaler Betrachtung im internationalen Markt zu erkennen. Generell ist zu erwarten, dass sich ein sehr umfangreiches Angebot von zum Teil sehr spezialisierten Lösungen entwickelt, die zunehmend als Public-Cloud-Angebote verwendet werden. 1. Typische Cloud-Services Es ist wenig überraschend, dass Anwendungen, die auf unternehmens- 45 übergreifende Kommunikation und Zusammenarbeit ausgerichtet sind, die häufigsten Anwendungsfälle darstellen. Zum Großteil wurden solche Systeme eingerichtet, als der Begriff Cloud Computing noch gar nicht in der heutigen Form wahrgenommen wurde. Im Folgenden werden infrastrukturnahe Services für das technische Management, Datenbanken und Sicherheit häufig verwendet. Auf ähnlichem Niveau sind Anwendungen eingeordnet, die als Ergänzung zu bestenenden selbstbetriebenen Anwendungen eingeordnet werden (CRM, BI). Siehe auch Abb. 11 auf nächster Seite.
Weiss
21
Teil 1 A
Rz. 46
Einfhrung, Begrifflichkeiten und Marktentwicklung
In welchem der folgenden Bereiche nutzen Sie bereits Public bzw. Private Cloud-Services?
80 70 60
Nutzung Private Cloud Nutzung Public Cloud
50 (%)
40 30 20 10
M
CM H
BI
St
CR
e a el g op e m O Inf e r ff ic ast nt e r u Pr od ktu uc r tiv ity
ff ic O
ck
ev
Ba
n
D
tM
at
io
en
A
pp
lic
nt Co
or
t
y
en
rit
em
cu
ag
Se
IT
an
.
nk
gt
ba en
k or
at D
w et
en
n
M
tio
ra
bo +N
lla em
Co
Sy
st
E-
M
ai
l/K
al
en
de
r
0
Abb. 11: Quelle: IDC Studie 2011 – Cloud Computing in Deutschland1
2. Internationale Adaption 46
Im internationalen Vergleich ist die Adaption von Cloud-Services in seinen verschiedenen Bezugsformen unterschiedlich gewichtet. Die Integration von Cloud-Services in die Unternehmens-IT ist im asiatischen Markt am weitesten vorangeschritten und signifikant höher als in Amerika und Europa. Gerade im Bereich Software as a Service sind die Planungen in Europa am unteren Ende zu sehen und in den weiteren Service-Ebenen IaaS und PaaS unterdurchschnittlich im globalen Vergleich.
1 IDC/Microsoft White Paper 2011 http://download.microsoft.com/download/8/ E/B/8EBF4F98-C62A-4414-A474-8B691A90E981/IDC_MS_Cloud_Whitepaper_fi nal_Web.pdf (zuletzt aufgerufen am 11.1.2013).
22
Weiss
VI. Cloud-Services und deren Nutzung
Rz. 47
Teil 1 A
45 47
SaaS
38 55 35 29
IaaS
33 49 34 33
PaaS
27 44
My organisation does not have plans to invest in a cloud environment
9 10 11 7 14 16 16
Don’t know 9
0
10 Global
20
30
Americas
40 EMA
50
60 ASPAC
Abb. 12: Quelle: KPMG Studie, Clarity in the cloud1
3. Anwendungsbeispiele Die folgenden Kurzbeispiele stellen exemplarisch die Überleitung von 47 Anwendungsfällen aus der täglichen Arbeitsumgebung in Cloud-basierte Lösungen dar. Die Bandbreite an Anwendungen wird sich in den kommenden Jahren enorm vergrößern und trotz der Standardisierung von Funktionalitäten auch zunehmend feinkörniger gestalten, um individuelle Anforderungen besser zu unterstützen. Diese Entwicklung tritt den monolithischen ERP-Anwendungen entgegen, sofern die Integrationsfähigkeit in einen Gesamtablauf ermöglicht wird. – Das Whiteboard in der Cloud Aus vielen Meetings ist uns das Whiteboard (neben der Flip Chart) sehr geläufig. Diese Funktion als Cloud-Service, angereichert mit einer Vielzahl von weiteren Möglichkeiten (Verlinkung, Remote Zugriff, Versionierung, …), zeigt recht einfach die Möglichkeiten. Es ist naheliegend, dass auch in persönlichen Meetings in Zukunft eher auf die voll digitale Variante zurückgegriffen wird, als das klassischen Wandobjekt zu verwenden.
1 http://www.kpmg.com/Global/en/IssuesAndInsights/ArticlesPublications/Docu ments/cloud-clarity.pdf. Weiss
23
Teil 1 A
Rz. 47
Einfhrung, Begrifflichkeiten und Marktentwicklung
– Serienbriefe in der Cloud erstellen Viele Anwender haben sich schon an Serienbriefen mit Textverarbeitungssoftware und Tabellenkalkulation versucht. Der Aufwand für die Erstellung personalisierter Mailings ist relativ hoch und bedarf einer immer wiederkehrenden Abfolge manueller Tätigkeiten mit speziellen Anforderungen an den IT-Arbeitsplatz.
Customer adresses Content elements Pictures, Logos Documents Templates
SSL
PDF
Adresses text, pictures
Adresses text, pictures
Abb. 13
Die Verlagerung in die Cloud ermöglicht eine standardisierte Verwaltung von Vorlagen und Adressbeständen und zudem eine verteilte Bearbeitung ohne spezielle Software und Konfigurationsanforderungen. – Infrastruktur as a Service Cloud-Anbieter im Bereich IaaS gehen schon über die Betrachtung einzelner virtualiserter Ressourcen hinaus und bieten Funktionen zur Verwaltung kompletter virtueller Rechenzentren an, die nach Bedarf mit Servern, Speicher, Loadbalancer und Firewalls ausgestattet werden können – wie in einem „realen“ Rechenzentrum. Doch im Gegensatz zu „realer“ Hardware lassen sich die hier eingesetzten virtuellen Hardware-Einheiten jederzeit an die Bedürfnisse anpassen. Dadurch wird der Wunsch der IT-Fachabteilung zur Gesamtadministration der Infrastrukturkomponenten erfüllt.
24
Weiss
VII. Marktchancen
Rz. 50
Teil 1 A
– Integrierte Kommunikation Die zunehmende Erweiterung der Kommunikationskanäle (Telefon stationär und Mobil, E-Mail, Twitter, Facebook, LifeChat, …) erfordert eine Kanalisierung für eingehende Mitteilungen und einen intelligenten Verteilmechanismus für ausgehende Kommunikation. In Kombination mit Profilservices wie z.B. Xing und LinkedIn ist es für einen Sender der Nachricht wichtig, die präferierte Kommunikationsadresse zu erkennen und einfach in diese Richtung eine Mitteilung zu senden. Durch die Kombination von Sprach- und Nachrichtendiensten lassen sich auch Umsetzung zwischen Textnachrichten und gesprochenen Nachrichten ermöglichen und dies mit automatischen Übersetzungsservies verbinden. Weitere Beispiele können aus den verschiedenen Cloud-Award-Programmen und Best-Practice-Veröffentlichungen herangezogen werden1.
VII. Marktchancen 1. Zukünftige Entwicklungen und deren Auswirkungen Bei nüchterner Betrachtung der weiteren Durchdringung von Cloud-Ser- 48 vices im privaten und betrieblichen Bereich ist eine Aussage naheliegend: „Die Cloud ist das Betriebssystem der Zukunft“. Netbooks, Smartphones und Tablets sind auf den Zugang zu Cloud-Ser- 49 vices optimiert und dienen nicht mehr der lokalen Datenverarbeitung. Installierbare Applikationen dienen nur noch der optimierten Darstellung und für externe Funktionszugriffe. Der lokale Speicher ist reduziert auf einen Zwischenspeicher für aktuell benötigte Informationen. Somit sind wesentliche Funktionen eines Betriebssystems auf die Cloud verlagert. Es wird auf Dauer auch nicht mehr praktikabel sein, parallele Daten- 50 bestände im Unternehmen und in der Cloud zu verwalten. Auch bei hoher Bandbreite ist das jetzt schon zu verwaltende Datenvolumen nicht beliebig transferierbar. Dies betrifft derzeit sogar schon den Austausch innerhalb der Cloud und führt zu signifikanten Investitionsanforderungen in die Netzwerkinfrastrukturen. Generell wird der weitere Ausbau der mobilen und stationären Netzzugänge und deren Bandbreite eine entscheidende Rolle bei der weiteren Ausgestaltung und Nutzung von Cloud-Services darstellen. Hier sind aus wirtschaftspolitischer Sicht Investitionen dringend notwendig.
1 http://www.best-in-cloud.de/ bzw. http://www.eurocloud.org/events-euro-cloud/ award-program/. Weiss
25
Teil 1 A
Rz. 51
Einfhrung, Begrifflichkeiten und Marktentwicklung
2. Softwareanbieter, ISVs und Integrationspartnern 51
Vor dem Hintergrund, dass Cloud Computing kein singuläres Bezugsmodell darstellt, sondern sich zu einer komplexen Lieferkette auf allen Ebenen entwickelt, bietet sich ein lukrativer Markt für spezialisierte Services und Dienstleistungen im Rahmen der Umsetzung und Integration. Basisdienste, vorrangig im Bereich Infrastruktur und Plattform werden in erster Linie von global agierenden Unternehmen zu attraktiven Konditionen angeboten. Im Bereich der Software steht aber ein Branchenfokus und auch eine funktionale Spezialisierung im Vordergrund. Zudem benötigen Unternehmen intensive Unterstützung bei der fachlichen Planung und Umsetzung von Projekten für den Weg in die Cloud. Hier entwickelt sich ein höchst attraktiver Markt für spezialisierte Softwareanbieter und Systemhäuser.
52
Nicht zuletzt wegen der besonderen Anforderungen im Bereich Sicherheit und Datenschutz werden zudem lokal agierende Anbieter von Basisdiensten noch eine lange Zeit einen Wettbewerbsvorteil ausnutzen können, der aber als differenzierendes Kriterium an Stärke verliert und durch weitere Spezialisierung zu kompensieren ist.
53
In Deutschland hat sich laut Experton Studie Cloud Vendor Benchmark die Anzahl der relevanten Cloud-Anbieter von zehn im Jahre 2010 auf ca. 110 im Jahre 2012 vervielfacht. Insgesamt sind Mitte 2012 ca. 350 Anbieter am Markt präsent. Davon wird aber derzeit nur ein Drittel bezüglich Wettbewerbsfähigkeit und finanzieller Stabilität als langfristig relevant gesehen. Um diese Quote zu erhöhen hat das Bundeswirtschaftsministerium in 2010 das Förderprojekt „Trusted Cloud“ mit einem Volumen von 50 Millionen Euro auf drei Jahre ins Leben gerufen. Gerade mit den Themen Sicherheit und Zuverlässigkeit unter besonderer Berücksichtigung des Datenschutzes wird eine künftige Wettbewerbsfähigkeit gegenüber globalen Cloud-Anbietern erwartet. 3. Cloud-Nutzer
54
Die Bündelung aller Leistungselemente für die Bereitstellung einer komplexen Anwendung (Konfiguration, technischer Betrieb, Support und Wartung, Releasemanagement, Ressourcenplanung, …) ermöglicht es auch Unternehmen, die weder die personellen noch technischen Kapazitäten zum Betrieb einer solchen Anwendung besitzen, die gleiche Funktionalität als Cloud-Service zu moderaten Kosten zu erhalten. Ein gutes Beispiel ist die Nutzung von SAP Business by Design als ERP-System aus der Cloud.
55
Zudem wird Open Source weiterhin einen wichtigen Beitrag leisten. Schon heute sind bei vielen kommerziellen Produkten bis zu 80 % Open Source-Funktionalitäten integriert mit einem Marktanteil von ca. 35 % in der kommerziellen Nutzung, was die Werthaltigkeit belegt. Daher wird dieser Bereich auch einen erheblichen Einfluss auf die Interoperabi26
Weiss
VII. Marktchancen
Teil 1 A
Rz. 56
lität und den damit vereinfachten standardisierten Zugang und die Integration von Cloud-Services haben. Durch die quelloffene Verfügbarkeit solcher Funktionen reduziert sich das Abhängigkeitsverhältnis zum Anbieter und ermöglicht bei ausreichender Standardisierung von Schnittstellen und Funktionen einen Wechsel zum jeweilig ökonomisch vorteilhaftesten Anbieter. Die derzeit formulierte Erwartungshaltung der Nutzer bei der Anwendung von Cloud Computing:
Wir erwarten Kosteneinsparungen durch Cloud Computing.
83
Cloud Computing erfordert keine hohen Vorab-Investitionen in teure Infrastruktur.
78
Cloud Computing ermöglicht weltweiten Zugriff der Nutzer auf die Daten, auch von mobilen Endgeräten.
78
Wir zahlen nur das, was wir tatsächlich brauchen (Pay-per-use-Prinzip).
78
Mittels Cloud Computing können wir Innovationen schneller und besser umsetzen, z.B. kann man für geänderte Prozesse und Geschäftsmodelle schnell neue Cloud-Services beziehen.
67
IT ist keine Kernkompetenz unseres Unternehmens und Cloud Computing ist eine effiziente und kostengünstige Alternative unsere IT „outzusourcen“.
56
Lastspitzen oder saison- und konjunkturabhängige Geschäftsentwicklungen können durch Cloud Services abgefedert werden.
42
Bessere Time-to-Market: kürzere Laufzeiten von IT-Projekten.
42
0
20
40
60
80
100
Abb. 14: Quelle: PwC – Cloud Computing im Mittelstand1
Die hier genannten Aussagen werden sich über die Zeit in der Gewich- 56 tung verändern, aber weiterhin die primären Anlässe zur Einbindung von Cloud-Services darstellen. Es ist zu erwarten, dass bei fortschreitender Adaption die Integrationsfähigkeit und generelle Interoperabilität in Ver1 Studie PwC http://www.pwc.de/de_DE/de/mittelstand/assets/Cloud_Compu ting_Mittelstand.pdf (zuletzt aufgerufen am 13.1.2013). Weiss
27
Teil 1 A
Rz. 57
Einfhrung, Begrifflichkeiten und Marktentwicklung
bindung mit dem Nachweis einer sicheren und zuverlässigen Bereitstellung für die weitere Betrachtung die höchste Relevanz erfahren wird. 57
In diesem Umfeld ermöglicht die Konzentration auf das Kerngeschäft bei zunehmend verbesserter Agilität die Steigerung der Wettbewerbsfähigkeit, sofern man sich dem Thema Cloud Computing bei aller notwendigen Umsicht nicht verschließt.
28
Weiss
B. Geschäftsmodelle Rz.
Rz.
I. Einleitung . . . . . . . . . . . . . . . . . . . 2 1. Kostenstrukturen in der IT-Wertschöpfungskette . . . . . . . . . . . . . . 5 2. Die Strukturelemente des Cloud Computing-Geschäftsmodells. . . . . . . . . . . . . . . . . . . . . . 19
3. Preismodelle . . . . . . . . . . . . . . . . . 48
II. 1. 2. 3.
IaaS . . . . . . . . . . . . . . . . . . . . . . . . . Szenarien . . . . . . . . . . . . . . . . . . . . Geschäftsmodell . . . . . . . . . . . . . . Preismodelle . . . . . . . . . . . . . . . . .
27 27 30 32
III. PaaS/SaaS . . . . . . . . . . . . . . . . . . . . 38 1. Szenarien . . . . . . . . . . . . . . . . . . . . 38 2. Geschäftsmodell . . . . . . . . . . . . . . 45
IV. 1. 2. 3.
Hosting-Provider . . . . . . . . . . . . . . Szenarien . . . . . . . . . . . . . . . . . . . . Geschäftsmodell . . . . . . . . . . . . . . Preismodelle . . . . . . . . . . . . . . . . .
52 52 53 55
V. Cloud-Service-Reseller/Vermittler/Lösungsanbieter. . . . . . . . . . . . 1. Szenarien . . . . . . . . . . . . . . . . . . . . 2. Geschäftsmodelle . . . . . . . . . . . . . 3. Preismodelle . . . . . . . . . . . . . . . . .
56 56 60 63
VI. Zusammenfassung . . . . . . . . . . . . 66
Dieser Teil 1 B erläutert typische Geschäftsmodelle des Cloud Compu- 1 ting. Nach einer ausführlichen Einleitung (Kapitel I), welche grundsätzliche ökonomische Überlegungen zum Cloud Computing anstellt, werden die konkreten Geschäftsmodelle der einzelnen Beteiligten dargestellt. Dies betrifft den IaaS-Anbieter (Kapitel II), den Paas- und SaaS-Anbieter (Kapitel III), den für den Betrieb der Infrastruktur zuständigen HostingProvider (Kapitel IV) sowie schließlich im Überblick den Cloud-ServiceReseller, -Vermittler und -Lösungsanbieter (Kapitel V). Am Ende folgt eine kurze Zusammenfassung (Kapitel VI).
I. Einleitung Der Begriff des Geschäftsmodells (englisch: business model) ist eigent- 2 lich branchenneutral. Seine zunehmende Verbreitung hängt aber zeitlich und inhaltlich mit dem Siegeszug des Internets zusammen1. Er wird vor allem in Bezug auf Unternehmen verwendet, deren Geschäftsmodell durch das Internet überhaupt erst entsteht oder sich drastisch verändert. Es gibt in der Literatur unterschiedliche Definitionen des Begriffs Geschäftsmodell2. Hier wird die Definition von Osterwalder3 zu Grunde gelegt: „Ein Geschäftsmodell ist ein abstraktes konzeptuelles Werkzeug […], um die Geschäftslogik eines Unternehmens zu beschreiben. Es ist eine Beschreibung des Wertes, der […] Kunden geboten wird, und der Architektur des Unternehmens und 1 Jäätmaa, Financial Aspects of Cloud Computing Business Models, Master Thesis 2010, S. 20 (Aalto University, Finland). 2 Jäatmaa, Financial Aspects of Cloud Computing Business Models, Master Thesis 2010, S. 20 (Aalto University, Finland). 3 Osterwalder, The Business Model Ontology – A Proposition In A Design Science Approach, Doctoral Thesis 2004, S. 15 (University of Lausanne). Kittlaus
29
3
Teil 1 B
Rz. 4
Geschftsmodelle
seines Partnernetzwerks zur Schaffung, Vermarktung und Bereitstellung dieses Wertes […], um profitable dauerhafte Umsätze zu generieren.“
4
Die Ausprägungen des Cloud Computing (vgl. Teil 1 A Rz. 9 ff.) unterscheiden sich nicht nur inhaltlich und technisch, sondern auch in ihren wirtschaftlichen bzw. rechtlichen Konstellationen. Im Rahmen von Cloud Computing wird die bisher übliche IT-Wertschöpfungskette aufgebrochen und ihre Elemente werden neu zugeordnet. Dadurch entstehen neue bzw. veränderte Geschäftsmodelle, die in diesem Kapitel dargestellt werden. 1. Kostenstrukturen in der IT-Wertschöpfungskette
5
Die IT-Wertschöpfungskette lässt sich in die Bestandteile Entwicklung/ Produktion, Einrichtung, Betrieb und Wartung zerlegen. Der Begriff „Produktion“ bezieht sich hier auf die Herstellung von Gegenständen, nicht auf den Rechenzentrumsbetrieb, der mit „Betrieb“ bezeichnet ist.
6
Auf Basis der IT-Wertschöpfungskette lässt sich nun vergleichen, wie sich die Kostenstrukturen für unterschiedliche Szenarien und Rollen darstellen. Als Szenarien und Rollen sollen betrachtet werden: – das traditionelle On-premises-Szenario, in dem ein Kundenunternehmen sein eigenes Rechenzentrum betreibt und Hardware, Middleware und Software von Herstellern bezieht, – das Cloud Computing-Szenario, in dem ein Kundenunternehmen Cloud-Services (SaaS, PaaS oder IaaS) nutzt, die ein Cloud-Service-Anbieter bereitstellt, der wiederum die notwendige Hardware, Middleware und/oder Software von Herstellern bezieht.
7
Die Kostenstrukturen lassen sich unterteilen in Investitionskosten (Capital Expenditures, CapEx) und laufende Betriebskosten (Operational Expenditures, OpEx). Für Unternehmen sind vor allem wegen der zeitlich verteilt anfallenden Ausgaben laufende Betriebskosten im Allgemeinen vorteilhafter als Investitionskosten. Zudem muss bedacht werden, dass aus Sicht der bilanziellen Kennzahlenanalyse Investitionskosten negativen Einfluss auf diverse finanzielle Kennzahlen haben (z.B. Eigenkapitalquote).
8
In Abb. 1 ist die Kostenstruktur für Hersteller bzw. Cloud-Service-Anbieter und deren Kunden dargestellt. Im On-Premise-Szenario hat der Hersteller Investitionskosten in Entwicklung und Produktion, nämlich für die für die Entwicklung/Produktion erforderlichen Betriebsmittel und bspw. Kosten für das Personal, die über die betriebsgewöhnliche Nutzungsdauer verteilt werden. Hierbei ist zwischen Investitionskosten zu unterscheiden, die eine einmalige Investition/Finanzierung erfordern (bspw. Erwerb von Hardware) und solchen, die über einen längeren Zeitraum verteilt anfallen, gleichwohl zu den Investitionskosten zählen (bspw. Kosten für Personalressourcen). Der Hersteller kann die finanziel30
Kittlaus
Rz. 10 Teil 1 B
I. Einleitung
le Last zu Beginn der Entwicklungs-/Produktionsphase durch Finanzierungsinstrumente gestalten. In jedem Fall wird er bemüht sein, die finanzielle Last langfristig zu verteilen und seine Investitionskosten möglichst niedrig zu halten, ohne den Markterfolg zu gefährden. Er hat Einfluss auf seine Investitionskosten, zum Beispiel durch Einsatz von standardisierten Bauteilen für Hardware oder von Open Source-Software. Die Kosten eines Herstellers in den Bereichen Einrichtung und Wartung sind im Wesentlichen laufende Kosten in Form von Personalkosten; für Wartung können Investitionskosten für den Aufbau einer Wartungsumgebung notwendig sein. Szenario
On Premise
Cloud Computing
Rolle
Entwicklung/ Produktion
Einrichtung (Installation, Schulung etc.)
Betrieb
Wartung
Hersteller
CapEx
OpEx
–
OpEx/ CapEx
Kunde
CapEx/OpEx (Kauf/Miete)
OpEx/ CapEx
OpEx
OpEx
Anbieter
CapEx
OpEx
OpEx
OpEx/ CapEx
Kunde
–
OpEx/ CapEx
OpEx
–
Abb. 1: Kostenstrukturen fr unterschiedliche Szenarien und Rollen in der IT-Wertschçpfungskette
Die Kostenstruktur des Kundenunternehmens weicht in diesem Szenario 9 nicht sehr stark von der des Herstellers ab. Der Kauf von Software und Hardware bedeutet Investitionskosten, im Bereich der Einrichtung können Investitionskosten für eine Migration bzw. Integration in die bestehende Systemlandschaft anfallen. Für die Deckung der Investitionskosten hat das Kundenunternehmen Finanzierungsinstrumente zur Auswahl, wie Kredite oder Leasing. Im Gegensatz zum Hersteller, der die Software und Hardware nur veräußert, hat das Kundenunternehmen laufende Kosten für den Betrieb. Optimierungsmöglichkeiten des traditionellen On-Premise-Szenarios im 10 Bereich der Software ergeben sich für das Kundenunternehmen dadurch, dass eigenentwickelte Software vielfach durch Standardsoftware abgelöst werden kann. Dies senkt die Investitionskosten des Kundenunternehmens im Bereich der Entwicklung auf die Kosten der Softwarelizenz, für die es zudem eine Auswahl unterschiedlicher Preismodelle und Finanzierungsmöglichkeiten gibt. Im Betriebsbereich eröffnet Outsourcing dem Kundenunternehmen die Möglichkeit, seine laufenden Kosten durch Zusammenarbeit mit einem Dienstleister zu senken, dessen eigene Kostenstruktur aufgrund der Skaleneffekte besser ist als die des Kundenunternehmens.
Kittlaus
31
Teil 1 B
11
Rz. 11
Geschftsmodelle
Mit Cloud Computing bieten sich nun neuartige Möglichkeiten, – die IT-Wertschöpfungskette weiter aufzubrechen; – dadurch neue Bündelungen zu ermöglichen, die zu einer weiteren Verbesserung der Skaleneffekte führen und sich damit positiv auf die Kosten auswirken; – als Kundenunternehmen seine Investitionskosten im Bereich der Entwicklung und Produktion vollständig in laufende Betriebskosten umzuwandeln; – als Anbieter durch Preismodelle mit periodischen (meist monatlichen) Zahlungen eine stetigere Umsatzentwicklung zu erzielen, wobei allerdings ein höheres Maß an Vorfinanzierung in Kauf genommen werden muss; – als (Software-)Unternehmen durch Nutzung von Cloud Computing-Plattformen wie Amazon oder Apple AppStore ohne nennenswerte Infrastruktur-Investitionen einen weltweiten Markt erobern und bedienen zu können.
12
Das Cloud Computing-Szenario ist ebenfalls in Abb. 1 dargestellt. Die Kostenstruktur des Cloud-Service-Anbieters unterscheidet sich insofern von der des Herstellers, als die laufenden Kosten für den Betrieb hinzukommen. Des Weiteren kann der Anbieter die Software auch erwerben, statt sie selbst zu entwickeln, und dabei häufig auch zwischen verschiedenen Preismodellen und Finanzierungsmöglichkeiten wählen. Für ein Kundenunternehmen ist der Unterschied noch gravierender. Bei der Einrichtung können im Einzelfall wie im On-Premise-Szenario Investitionskosten für eine Migration bzw. Integration in die bestehende Systemlandschaft entstehen, die nicht zu unterschätzen sind. Denn die Daten müssen aus der vorhandenen Struktur in die Cloud überführt werden. Anschließend hat das Kundenunternehmen im Wesentlichen aber nur noch laufende Kosten entsprechend dem Preismodell des Cloud-ServiceAnbieters. Die Kosten- und ggf. Finanzierungsstruktur wird also gravierend geändert und dabei vereinfacht.
13
Alle Investitionskosten, die für die Bereitstellung des jeweiligen CloudService anfallen, müssen zunächst auf Anbieterseite getragen und vorfinanziert werden. Damit stehen Anbieter vor der unternehmerischen Herausforderung, dass ihre Kosten- und damit Finanzierungsstruktur mit ihrem hohen Anteil an Investitionskosten sich deutlich unterscheidet von ihrer Umsatz- und Einnahmenstruktur, die von laufenden Serviceentgelten geprägt ist.
32
Kittlaus
Rz. 15 Teil 1 B
I. Einleitung IT-Stack
Inhalt
Cloud Computing Ausprgung
Software
Anwendungssoftware
SaaS
Middleware
Betriebssystem (manchmal Bestandteil von IaaS-Angeboten), Datenbank, File System, Anwendungsentwicklungsumgebung etc.
PaaS
Hardware
CPU, Speicher, Netzwerk-Hardware, Devices etc.
IaaS
Basis-Infrastruktur
Gebude, Energie, Khlung, externe Netzwerkverbindung etc.
Co-Location
Abb. 2: IT-Stack
Das Ausmaß der Bündelung und damit auch der Skaleneffekte, die ein 14 Cloud-Service-Anbieter erzielen kann, ist unmittelbar abhängig von der Frage, auf welcher Ebene des IT-Stacks (Abb. 2) Mandantenfähigkeit implementiert ist. Besteht das Kundenunternehmen auf physischer Separierung seiner Server, oder ist dies technisch bedingt die einzige Möglichkeit, entstehen Skaleneffekte nur auf der Co-Location-Ebene sowie bei den menschlichen Dienstleistungen im Rechenzentrumsbetrieb. Diese Konstellation ist dem herkömmlichen Outsourcing dedizierter Infrastrukturen vergleichbar. Ohne physische Separierung kann auf Hardwareebene unter Nutzung von Virtualisierungsansätzen gebündelt werden, ebenso auf der Middleware-Ebene. Wird Mandantenfähigkeit in der Anwendungssoftware implementiert, treten Skaleneffekte auf allen Ebenen des IT-Stacks auf, d.h. die auf den einzelnen Abnehmer entfallenden Betriebskosten werden besonders günstig, die Entwicklungskosten der Software sind hingegen höher. Das machen sich SaaS-Anbieter wie Salesforce oder Google bei Public-Cloud-Angeboten zunutze, wo mit sehr großen Nutzerzahlen und Skaleneffekten kalkuliert werden kann, die niedrige Preise erlauben. Die Vorteile der Bündelung entstehen nicht nur durch mengenabhängige 15 Skaleneffekte, sondern auch durch unterschiedliche Lastprofile der Abnehmer im Zeitablauf. Bündelt der Anbieter zum Beispiel Kundenunternehmen mit starkem Jahresendgeschäft mit solchen mit stark saisonalem Geschäft im Frühjahr, Sommer oder Herbst, so wird im Jahresverlauf eine besser ausgeglichene Lastverteilung in Summe erreicht. Der Anbieter muss also keine im Jahresmittel kaum genutzten Kapazitäten in Höhe der Summe der Spitzenanforderungen aller Kundenunternehmen vorhalten und erreicht zugleich eine gute Auslastung seiner vorhandenen Kapazität. Solche Überlegungen motivierten zum Beispiel Amazon, als IaaS-Anbieter tätig zu werden. Ähnliche Ziele haben Anbieter mit „Follow the Sun“-Ansätzen, die durch Bündelung von Kundenunternehmen aus unterschiedlichen Zeitzonen eine günstige Lastverteilung in Summe im Tagesverlauf erzielen wollen. Dieser Ansatz hat sich allerdings (bisKittlaus
33
Teil 1 B
Rz. 16
Geschftsmodelle
her) am Markt nicht durchgesetzt, sei es wegen unzureichender Übertragungskapazitäten oder wegen der Zurückhaltung der Kundenunternehmen, die davor zurückschrecken, ihre Daten weit entfernt in anderen Jurisdiktionen verarbeiten zu lassen. 16
Die Vorteile aus Sicht des Kundenunternehmens fallen umso größer aus, je mehr die beteiligten Cloud-Service-Anbieter zu unternehmerischem Risiko bereit sind. Sah sich der Outsourcing Anbieter eher in der Rolle des Dienstleisters, der seine Preise häufig als Kosten plus Gewinnmarge kalkulierte (beim sog. First Generation Outsourcing vor allem, weil es an einer zuverlässigen Aufwand- und Kostendokumentation fehlte), so muss sich der Cloud-Service-Anbieter in seiner Preisgestaltung stärker am Markt orientieren und darauf bauen, dass er durch Gewinnung und Bündelung einer größeren Zahl von Kunden Skaleneffekte erzielt, die sein Geschäft profitabel machen. Dies gilt jedenfalls im Bereich IaaS, der auf Grund der benötigten Hardware und Middleware besonders investitionsintensiv ist. So ist es nicht verwunderlich, dass vielfach sehr große Anbieter von IBM oder HP bis Amazon oder Google dabei Vorreiter und Marktführer sind. Im Bereich SaaS zeigt sich dagegen, dass auch kleine innovative Unternehmen unter Nutzung von kostengünstigen und schnell verfügbaren IaaS-Resourcen Ihre Softwarelösungen anbieten können.
17
Auf der Anbieterseite bietet Cloud Computing die Möglichkeit einer recht tief gestaffelten Aufspaltung der Wertschöpfungskette. Ein SaaSAnbieter kann alle Anbieterleistungen selbst erbringen oder – im anderen Extrem – sein Software-basiertes Angebot auf den Diensten eines PaaSAnbieters aufbauen, der seinerseits ein IaaS-Angebot in Anspruch nimmt, das wiederum mittels eines Co-Location-Providers realisiert wird. Es sind aber auch andere Aufspaltungen möglich, wie etwa die Zusammenarbeit des SaaS-Anbieters mit einem Hosting-Provider, der PaaS, IaaS und Co-Location bündelt (siehe nachfolgend Rz. 52 ff.). Auf der Vertriebsseite kann der Cloud-Service-Anbieter ebenfalls Partner einbeziehen wie etwa Reseller. Damit entsteht eine Vielzahl von denkbaren Konstellationen. In den folgenden Abschnitten werden die in der Praxis typischen Szenarien und Geschäftsmodelle erläutert. Charakteristisch für den Anbieter ist dabei, dass er Besitzer und Manager der Brand ist, also der Marke, unter der das Angebot vertrieben wird, und dass er in der Management-Verantwortung für die gesamte Kette auf der Vertriebs- wie auf der Leistungserbringungsseite steht, was insbesondere das Vertragsmanagement umfasst.
18
XaaS steht für „Everything as a Service“ und drückt aus, dass über die beschriebenen Kategorien IaaS, PaaS und SaaS hinaus weitergehende Bündel von Leistungen als Cloud-Services angeboten werden können. Beispiele sind BPaaS (Business Process as a Service) oder HUaaS (Humans as a Service), womit Crowdsourcing-Angebote gemeint sind. Dabei übernehmen Menschen an ihrem (Heim-)Computer Dienstleistungen für den 34
Kittlaus
I. Einleitung
Rz. 20 Teil 1 B
Auftraggeber gegen (meist geringe) Bezahlung. Dies wird zum Beispiel für die Klassifizierung von Foto-Inhalten genutzt. Angesichts der Vielzahl und Unterschiedlichkeit möglicher derartiger Services und der noch recht ausgeprägten Unreife des Cloud Computing-Marktes haben sich hier noch keine typischen Szenarien und Geschäftsmodelle herausgebildet. 2. Die Strukturelemente des Cloud Computing-Geschäftsmodells Die Erläuterung der typischen Cloud Computing-Szenarien erfolgt auf 19 der Grundlage der Beschreibungsstruktur für Geschäftsmodelle nach Osterwalder/Pigneur1, welche die in der oben dargestellten Geschäftsmodell-Definition genannten Elemente aufgreift: – Wertangebot – Hauptfaktoren der Leistungserbringung – Aktivitten – Ressourcen – Partner – Hauptfaktoren der Kundenseite – Kundensegmente – Gestaltung der Kundenbeziehungen – Vertriebskanle – Finanzielle Aspekte – Kostenstruktur – Umsatzstrçme Abb. 3: Geschftsmodell-Beschreibungsstruktur
Damit die Beschreibung von Geschäftsmodellen zu einer gewissen Ver- 20 gleichbarkeit führt, sind Typisierungen hilfreich. In Popp/Meyer2 wird dafür eine Geschäftsmodellmatrix mit folgenden Dimensionen vorgeschlagen: – Typ des Wertangebots, also der Produkte bzw. Dienstleistungen – Geschäftsmodellarchetyp der Leistungserbringung
1 Osterwalder/Pigneur, Business Model Generation: A Handbook for Visionaries, Game Changers, and Challengers, 2010. 2 Popp/Meyer, Profit from Software Ecosystems, 2010, S. 36. Kittlaus
35
Teil 1 B
21
Rz. 21
Geschftsmodelle
Daraus ergibt sich folgende Matrix:
Geschftsmodell-Archetyp
Geschftsmodellmatrix
Typ der Produkte und Dienstleistungen Finanziell
Materiell, physisch
Immateriell
Menschlich
Schçpfer
Unternehmer
Hersteller
Erfinder
./.
Distributor
Finanzhndler
Großhndler, Einzelhndler
Hndler fr immaterielle Gter
./.
berlasser
Kreditgeber Bereitsteller zur Nutzung, Leasinggeber
Bereitsteller zur Nutzung, Lizenzgeber
Auftragnehmer, Personalberlasser
Vermittler
Finanzvermittler
Vermittler fr immaterielle Gter
Personalvermittler
Warenvermittler
Abb. 4: Geschftsmodellmatrix
22
Das Geschäftsmodell eines Unternehmens lässt sich nun dahingehend kategorisieren, welche Felder der Geschäftsmodellmatrix das Unternehmen abdeckt (hellgrau unterlegt). Für einen Softwarehersteller ergibt sich typischerweise dieses Bild:
Geschftsmodell-Archetyp
Geschftsmodellmatrix Software Hersteller
Typ der Produkte und Dienstleistungen Finanziell
Materiell, physisch
Immateriell
Menschlich
Schçpfer
Unternehmer
Erfinder, Designer, Hersteller
Entwickler, Autor
./.
Distributor
Finanzhndler
Großhndler, Einzelhndler
Hndler fr immaterielle Gter
./.
berlasser
Kreditgeber Bereitsteller zur Nutzung, Leasinggeber
Bereitsteller zur Nutzung, Lizenzgeber
Auftragnehmer, Personalberlasser
Broker
Finanzvermittler
Vermittler fr immaterielle Gter
Personalvermittler
Warenvermittler
Abb. 5: Geschftsmodellmatrix fr Softwarehersteller
23
Auf Softwarehersteller, die SaaS anbieten und im Rahmen des damit verbundenen Hosting die Nutzung von Hardware ermöglichen und Dienst-
36
Kittlaus
Rz. 27 Teil 1 B
II. IaaS
leistungen erbringen, treffen auch die Rollen als Bereitsteller zur Nutzung physischer Güter und als Auftragnehmer zu. Auf der Kundenseite lässt sich die grundsätzliche Unterscheidung in An- 24 gebote für Geschäftskunden (B2B) und Privatkunden (B2C) machen, die sich in wesentlichen Elementen des Geschäftsmodells erheblich unterscheiden. Vor allem beim Vertrieb von Cloud Computing-Angeboten bestehen Unterschiede. Im B2C-Geschäft kommt primär das Internet als Vertriebskanal in Frage, eventuell auch ein Call Center. Im B2B-Geschäft kommen auch andere Kanäle in Frage, wie etwa ein Direktvertrieb. Zu den finanziellen Aspekten sind unter Rz. 7 ff. schon grundsätzliche 25 Aussagen getroffen worden. Diese sollen im Folgenden für die einzelnen Geschäftsmodelle detailliert werden. Auch wenn Preismodelle nicht als Bestandteil eines Geschäftsmodells betrachtet werden, sondern als Teil von dessen Implementierung, wird dieses Thema ebenfalls behandelt. Im Folgenden werden für jede Ebene der Cloud Computing-Wertschöp- 26 fungskette die typischen Szenarien, Geschäfts- und Preismodelle beschrieben, insbesondere also die Frage beantwortet, welche Geschäftspartner in welchen Rollen zueinander in Beziehung treten und wie sich die Beziehung genauer einordnen lässt, wo es also Vertragsbeziehungen gibt und wo Geld und/oder Waren bzw. Leistungen fließen. Die grafischen Darstellungen bauen auf der Darstellung in nachfolgender Abb. 6 auf.
II. IaaS 1. Szenarien Bei IaaS (Infrastructure as a Service) geht es um die Bereitstellung von In- 27 frastruktur, also Prozessorkapazität, Speicherplatz, Netzwerkübertragungskapazität und Ähnliches. Die nachfolgende Abb. 6 zeigt ein typisches IaaS-Szenario.
Hardware Hardwareanbieter
Vertrag Geld
Service IaaSAnbieter + HostingProvider
Vertrag
Abnehmer
Geld
Abb. 6: IaaS-Szenario A
Kittlaus
37
Teil 1 B
Rz. 28
Geschftsmodelle
28
Der IaaS-Anbieter ist gleichzeitig der Hosting-Provider, der dem Abnehmer den Service liefert (siehe Rz. 52 ff.). Er bezieht die dafür notwendige Hardware von einem oder mehreren Hardwareanbietern auf Basis entsprechender Bezugsverträge. Falls ein Betriebssystem und Middleware Bestandteile eines Cloud Computing-Angebots sind, fällt das Angebot nach der hier genutzten Definition unter PaaS. Im Markt werden solche Kombinationen aber mitunter als IaaS bezeichnet. In jedem Fall bedarf es dann Verträgen mit den jeweiligen Softwareherstellern. Außerdem besteht eine Vertragsbeziehung zwischen IaaS-Anbieter und Abnehmer.
29
In Szenario B (Abb. 7) ist die Rolle des IaaS-Anbieters von derjenigen des Hosting-Providers getrennt. Daher gibt es zwischen diesen beiden Anbietern eine zusätzliche Vertragsbeziehung. Der Hosting-Provider erbringt den Service, also die Leistung auf technischer Ebene gegenüber dem Abnehmer insofern, als er die vom Abnehmer aufgerufene Internetseite auf seinem Server hostet und die vom Abnehmer genutzte Infrastruktur betreibt. Die Leistung im rechtlichen Sinn wird hier aber vom Hosting-Provider gegenüber dem IaaS-Anbieter erbracht, der seinerseits gegenüber dem Abnehmer leistet.
Infrastruktur Hosting+ Geld Provider IaaSAnbieter
Service
Vertrag Abnehmer Vertrag Geld
Abb. 7: IaaS-Szenario B
Wie in IaaS-Szenario A wird es auch hier Hardware-Anbieter geben. Aus Vereinfachungsgründen wurden diese in Abb. 7 nicht aufgenommen. 2. Geschäftsmodell 30
Der IaaS-Anbieter stellt physische Produkte, nämlich die IT-Infrastruktur, zur Nutzung bereit. Der dazu notwendige Betrieb eines Rechenzentrums beinhaltet auch menschliche Dienstleistungen.
38
Kittlaus
Rz. 33 Teil 1 B
II. IaaS
Geschftsmodell-Archetyp
Geschftsmodellmatrix IaaS-Anbieter
Typ der Produkte und Dienstleistungen Finanziell
Materiell, physisch
Immateriell
Menschlich
Schçpfer
Unternehmer
Erfinder, Designer, Hersteller
Entwickler, Autor
./.
Distributor
Finanzhndler
Großhndler, Einzelhndler
Hndler fr immaterielle Gter
./.
berlasser
Kreditgeber Bereitsteller zur Nutzung, Leasinggeber
Bereitsteller zur Nutzung, Lizenzgeber
Auftragnehmer, Personalberlasser
Broker
Finanzvermittler
Vermittler fr immaterielle Gter
Personalvermittler
Warenvermittler
Abb. 8: Geschftsmodellmatrix IaaS-Anbieter
Das Interesse des Abnehmers liegt neben der höheren Flexibilität in der 31 Ersetzung von Investitionskosten durch laufende Kosten bei geringerer Personalbindung gegenüber dem Betrieb eigener Ressourcen. Der IaaSAnbieter hingegen muss sein Preismodell so gestalten, dass es die Interessen der Abnehmer adressiert und er gleichzeitig in der Summe über alle Abnehmer Gewinn erzielt, also einen über seinen Investitions-, Raum-, Energie- und laufenden Personalkosten hinausgehenden Betrag erwirtschaftet. 3. Preismodelle IaaS-Anbieter, deren Geschäft sich ausgehend vom dedizierten Outsour- 32 cing ganzer Rechenzentren zu IaaS-Angeboten weiterentwickelt, tendieren mitunter dazu, etablierte Preisstrukturen auf Cloud Computing zu übertragen. Sie bieten häufig die Nutzung eines physischen oder virtuellen Systems mit fester Kapazität zu einem festen Preis pro Zeiteinheit (meist einen Monat) an, häufig mit einer längerfristigen Vertragsbindung. Diese Angebote mögen den Interessen eines Teils der potentiellen Abnehmer entsprechen und reduzieren die betriebswirtschaftlichen Risiken des IaaS-Anbieters, aber sie treffen nicht die Flexibilitätsanforderungen vieler anderer potentieller Abnehmer. Will der IaaS-Anbieter den Ansprüchen an Cloud Computing hinsicht- 33 lich Flexibilität und nutzungsbasierter Bepreisung entsprechen, so muss das Preismodell an der tatsächlichen Nutzung durch den Abnehmer und wesentlich kürzeren Zeitspannen festgemacht werden. Da der Anbieter dabei mit schwer kalkulierbaren Nachfrageschwankungen rechnen muss, also zeitweise ungenutzte und damit unbezahlte Kapazitäten haKittlaus
39
Teil 1 B
Rz. 34
Geschftsmodelle
ben wird, sind die Preise hier im Verhältnis zu längerfristigen Bindungen deutlich höher. Als Beispiel sei ein für größere IaaS-Anbieter typisches Preismodell beschrieben: 34
Der Anbieter bietet Prozessorkapazität in Verbindung mit einem Betriebssystem an, also als kombiniertes IaaS/PaaS-Angebot. Dafür stehen wahlweise unterschiedliche Betriebssysteme, überwiegend Windows und Linux, in unterschiedlichen Versionen zur Verfügung. Es gibt alternative Preismodelle für unterschiedliche Nutzungsanforderungen, die jeweils gestaffelt sind nach Leistungsbereichen: – Reserviert: Kombination aus Fixpreis für ein oder drei Jahre mit Bindung und Preis pro Stunde (tatsächliche Nutzung) mit Bereitstellungsgarantie – On Demand: Preis pro Stunde, ohne Bindung und ohne Bereitstellungsgarantie – Spot: variabler Preis pro Stunde nach Bieterverfahren, ohne Bindung und ohne Bereitstellungsgarantie Dazu kommt jeweils ein Preis pro Gigabyte für die Datenübertragung über das Internet, der nach dem gesamten Datenvolumen pro Monat gestaffelt ist.
35
Ferner wird Speicherkapazität angeboten. Dafür wird ein Preis pro Gigabyte berechnet, der nach dem maximal belegten Speichervolumen pro Monat gestaffelt ist. Hinzu kommt ein Preis, der sich nach der Zahl der Datenabrufe richtet, sowie ein Preis pro Gigabyte für die Datenübertragung über das Internet, der nach dem gesamten Datenvolumen pro Monat gestaffelt ist.
36
Für Angebote, die mit Preismodellen wie dem oben beschriebenen „Spot“ verbunden sind, wird auch der Begriff Resource as a Service (RaaS) verwendet. Es gibt bereits Ansätze, für den Handel mit solchen Ressourcen öffentliche Börsenplätze zu etablieren, deren Gestaltung sich an Börsen im Energiebereich orientiert.
37
Viele Anbieter von Cloud Computing versuchen, einen Teil der Fixkosten und das betriebswirtschaftliche Risiko an den Kunden mittels fester Gebühren für den Eintritt (Beginn der Nutzung der Services) bzw. Austritt (Beendigung der Nutzung der Services) weiterzugeben. Diese ‚Entry-/Exit-Cost‘-Barrieren stehen im Konflikt zu den Kundeninteressen und können auch den Interessen des Anbieters schaden, wenn sie potentielle ernsthafte Kunden abschrecken.
40
Kittlaus
Rz. 40 Teil 1 B
III. PaaS/SaaS
III. PaaS/SaaS 1. Szenarien Bei PaaS (Platform as a Service) geht es um die Bereitstellung von Be- 38 triebssystem und Middleware wie z.B. Datenbank-Software. Bei SaaS (Software as a Service) geht es um die Bereitstellung von Anwendungssoftware. Da die Geschäftsmodelle und Szenarien in beiden Fällen ähnlich sind, werden PaaS und SaaS hier gemeinsam behandelt. Abb. 9 zeigt das Basis-Szenario. Software Softwareanbieter
Hardwareanbieter
Vertrag
Softwarehersteller + Geld PaaS-/SaaSHardware Anbieter + HostingVertrag Provider
Service Vertrag Abnehmer Geld
Geld
Abb. 9: PaaS/SaaS-Szenario A
Der PaaS/SaaS-Anbieter ist gleichzeitig Hersteller der Software und Hos- 39 ting-Provider, der dem Abnehmer den Service liefert. Er bezieht die dafür notwendige Hardware von einem oder mehreren Hardwareanbietern und zusätzlich benötigte Software von einem oder mehreren Software-Anbietern auf Basis entsprechender Verträge. Ein typisches Beispiel für zusätzlich benötigte Software ist Datenbank-Software. Außerdem besteht eine Vertragsbeziehung zwischen PaaS/SaaS-Anbieter und -Abnehmer. PaaSAngebote umfassen ferner zumeist auch Hosting-Angebote für SaaS-Anbieter, die auf der Plattform ihr SaaS-Angebot entwickelt haben. In PaaS/SaaS-Szenario B (Abb. 10) ist die Rolle des PaaS/SaaS-Anbieters 40 von der des Hosting-Providers (siehe Rz. 52 ff.) getrennt. Daher gibt es zwischen diesen beiden eine zusätzliche Vertragsbeziehung. Diese Konstellation findet in der Praxis häufig, da die meisten Software-Anbieter keine Erfahrung mit dem Rechenzentrumsbetrieb für Dritte haben.
Kittlaus
41
Teil 1 B
Rz. 41
Software Hersteller + PaaS-/ SaaSAnbieter
Geschftsmodelle
Software + HostingGeld Provider
Service
Vertrag Abnehmer Vertrag Geld
Abb. 10: PaaS/SaaS-Szenario B
41
Wie in PaaS/SaaS-Szenario A, wird es auch hier Hardware- und SoftwareAnbieter geben, die aus Vereinfachungsgründen in Abb. 10, 11 und 12 nicht eingezeichnet sind. Sie haben entsprechende Vertragsbeziehungen mit dem PaaS/SaaS-Anbieter.
Software PaaS/SaaS Softwarehersteller
Vertrag
Geld
Service HostingProvider + PaaS/SaaS Reseller
Vertrag
Abnehmer
Geld
Abb. 11: PaaS/SaaS-Szenario C
42
Im PaaS/SaaS-Szenario C (Abb. 11) übernimmt der Hosting-Provider zusätzlich die Rolle des Resellers, d.h. es bestehen ein vertrieblicher Kontakt und eine Vertragsbeziehung zwischen ihm und dem Abnehmer sowie eine Vertragsbeziehung mit dem Softwarehersteller. In diesem Szenario kann die Rolle des PaaS/SaaS-Anbieters beim Hosting-Provider liegen (das entspricht PaaS/SaaS-Szenario A) oder beim Softwarehersteller.
42
Kittlaus
Rz. 45 Teil 1 B
III. PaaS/SaaS
Geld Software PaaS/SaaS Software Hersteller + PaaS-/SaaSAnbieter
Vertrag
Service HostingProvider Abnehmer
Vertrag Geld
PaaS/SaaS Reseller
Vertrag Geld
Abb. 12: PaaS/SaaS-Szenario D
In PaaS/SaaS-Szenario D (Abb. 12) sind die Rollen des Hosting-Providers 43 und des Resellers getrennt. Einige SaaS-Anbieter verfolgen hybride Ansätze, die aus einer Kombina- 44 tion aus SaaS-Angebot und herkömmlicher Softwarelizenz bestehen. Mit der Softwarelizenz erhält der Abnehmer bzw. Nutzer eine Software, die er auf eigenen Geräten installiert und die mit der SaaS-Lösung kommuniziert. Dadurch wird es dem Nutzer ermöglicht, auch dann mit der Software zu arbeiten, wenn er offline ist, also keine Verbindung zur SaaS-Lösung besteht. Nach diesem Prinzip richtet sich z.B. auch Cloudbursting. Darunter werden Lösungen verstanden, bei denen eine lokal installierte Software bei Bedarf automatisch auf Netzwerkressourcen zugreift. Dies ist vor allem dann interessant, wenn die lokale Rechenkapazität für rechenintensive Anwendungen nicht ausreicht oder nicht belastet werden soll, zum Beispiel im Bereich der Bildverarbeitung. 2. Geschäftsmodell Der PaaS/SaaS-Anbieter übernimmt die Rolle des Bereitstellers zur Nut- 45 zung für immaterielle Produkte, für das Hosting kommt dazu die Rolle des Bereitstellers zur Nutzung für physische Produkte sowie die Rolle des Auftragnehmers für menschliche Dienstleistungen, nämlich den Betrieb des Rechenzentrums. Da der PaaS/SaaS-Anbieter zumeist auch der Softwarehersteller ist, kommt die Rolle des Entwicklers hinzu.
Kittlaus
43
Teil 1 B
Rz. 46
Geschftsmodell-Archetyp
Geschftsmodellmatrix PaaS/SaaS Anbieter
Geschftsmodelle Typ der Produkte und Dienstleistungen Finanziell
Materiell, physisch
Immateriell
Menschlich
Schçpfer
Unternehmer
Erfinder, Designer, Hersteller
Entwickler, Autor
./.
Distributor
Finanzhndler
Großhndler, Einzelhndler
Hndler fr immaterielle Gter
./.
berlasser
Kreditgeber Bereitsteller zur Nutzung, Leasinggeber
Bereitsteller zur Nutzung, Lizenzgeber
Auftragnehmer, Personalberlasser
Broker
Finanzvermittler
Vermittler fr immaterielle Gter
Personalvermittler
Warenvermittler
Abb. 13: Geschftsmodellmatrix PaaS/SaaS-Anbieter
46
Bei SaaS-Angeboten – insbesondere im B2C-Bereich – muss der Umsatz nicht unbedingt durch die Erhebung eines Nutzungsentgelts für den Service generiert werden. Stattdessen kann die Nutzung kostenlos, dafür aber mit Werbeeinblendungen verbunden sein, über die der Anbieter Umsatz generiert. Zudem werden über die Nutzer des Angebots Informationen gesammelt (u.a. mittels Cookies), die zur Optimierung der Werbung und damit zur Steigerung der Werbeumsätze genutzt werden können. Ein anderer Ansatz sind die weit verbreiteten Freemium-Angebote, welche zwar die kostenlose Nutzung einer Basisversion erlauben, aber für die Nutzung der Vollversion ein Entgelt verlangen.
47
Das Interesse des Abnehmers liegt, wie oben unter Rz. 7 ff. ausgeführt, neben der höheren Flexibilität in der Ersetzung von Investitionskosten durch laufende Kosten bei geringerer Personalbindung gegenüber dem Betrieb in einem eigenen Rechenzentrum. Der PaaS/SaaS-Anbieter hingegen muss – genau wie der IaaS-Anbieter – sein Preismodell so gestalten, dass es die Interessen der Abnehmer adressiert und er zugleich in der Summe über alle Abnehmer Gewinn erzielt, also mehr Einnahmen erwirtschaftet als seine Investitions-, Raum-, Energie- und laufende Personalkosten betragen. Auch hier ist eine Fristentransformation Bestandteil des Angebots, deren Kosten ebenfalls betrachtet werden müssen. 3. Preismodelle
48
Schon bei der Preisgestaltung im traditionellen Softwarelizenz-Geschäft versuchen Anbieter seit langem, ihre Preisstruktur an dem Wert aus-
44
Kittlaus
III. PaaS/SaaS
Rz. 50 Teil 1 B
zurichten, den die Nutzung der Software beim Abnehmer generiert1. Dies führte zu Preisstrukturen, die als Parameter Größen verwendeten, die als ungefähr proportional zur Nutzengenerierung betrachtet wurden und relativ leicht feststellbar oder messbar waren. Beispiele sind die Kapazität des Rechners, auf dem die Software läuft, die Zahl der Nutzer oder die Zahl der Transaktionen. Eine besonders starke Orientierung an der tatsächlichen Nutzung der Software, etwa durch die Zahl der Transaktionen, bedeutet aber, dass die Messung zur Laufzeit der Software in der Betriebsumgebung erfolgen muss, die herkömmlich in der Hoheit des Abnehmers liegt. Das ändert sich mit Cloud Computing, da hier der Anbieter die Hoheit über die Betriebsumgebung hat. Damit wird es für den Anbieter wesentlich einfacher, solche Messungen vorzunehmen (wenngleich für den Kunden auch schwieriger, die Richtigkeit der Messergebnisse zu überprüfen). Deshalb wurde und wird insbesondere für SaaS eine feingranulare nutzungsorientierte Bepreisung erwartet. Tatsächlich ist dies im Markt aber – zumindest bisher – eher die Ausnah- 49 me. PaaS/SaaS-Anbieter bieten meist feste Preise pro Benutzer und Zeiteinheit (meist Monat) an, die unabhängig von der tatsächlichen Nutzung sind, häufig mit einer längerfristigen Vertragsbindung. So verlangen SaaSAnbieter häufig sowohl für ihre Anwendung als auch für die Plattform jeweils einen festen Preis pro Benutzer und Monat, der nach dem gewählten Leistungsumfang gestaffelt ist. Eine Untersuchung der Universität Darmstadt2 bestätigt die vorherrschende Stellung der nutzungsunabhängigen Bepreisung. Die Gründe hierfür liegen zum einen in dem erhöhten Aufwand, den ein Anbieter betreiben muss, um seine Software mit feingranularen Messpunkten auszustatten, die Messungen während des Betriebs der Software kontinuierlich vorzunehmen und die Messergebnisse in seinen Abwicklungssystemen in die Rechnungsstellung einfließen zu lassen. Zum anderen sind solche feingranularen Messergebnisse für den Abnehmer oft nicht oder nur bedingt überprüfbar und führen daher häufiger zu Konflikten im Verhältnis zwischen Anbieter und Abnehmer. Außerdem ist ein überwiegend statisches Preismodell für den Abnehmer besser kalkulierbar und budgetierbar. Selbst wenn derartige Messungen der Nutzung überprüfbar möglich sind, kann die Berechnung der Vergütung auf dieser Grundlage für den Kunden nachteilig sein. Vor allem wenn er keine genauen Informationen über die Art und Intensität der Nutzung einer Anwendung durch seine Mitarbeiter hat, kann ein Preis, der abhängig ist von einzelnen, eng definierten Nutzungshandlungen zu höheren Kosten als erwartet führen. Trotzdem gibt es Anbieter, die das Preismodell an der tatsächlichen Nut- 50 zung durch den Abnehmer und an wesentlich kürzeren Zeitspannen fest1 Kittlaus/Clough, Software Product Management and Pricing – Key Success Factors for All Software Organizations, 2009. 2 Lehmann/Draisbach/Koll/Buxmann/Diefenbach, Preisgestaltung für Softwareas-a-Service, Multikonferenz Wirtschaftsinformatik 2010, S. 505. Kittlaus
45
Teil 1 B
Rz. 51
Geschftsmodelle
machen. Ein PaaS-Beispiel ist das oben unter Rz. 34 beschriebene Beispiel der IaaS-Preisstruktur. Im SaaS-Bereich berechnen zum Beispiel E-Mail-Marketing-Unternehmen jeweils ein Entgelt pro versandter Nachricht, gestaffelt nach dem Gesamtvolumen der versandten Nachrichten pro Zeiteinheit, meist Monat oder Jahr. Bei allem anwendungsbezogenen Gestaltungsspielraum, den es für nutzungsbasierte Bepreisung gibt, müssen die oben dargestellten kritischen Aspekte Berücksichtigung finden, damit Streitigkeiten im Zusammenhang mit der Rechnungsstellung vorgebeugt wird. Erste Online-Handelsplattformen gehen deshalb dazu über, den Preis als Prozentsatz des Umsatzes zu berechnen, den der Händler über die Plattform erzielt. 51
Daneben gibt es auch – vorrangig im Consumer-Bereich – SaaS-Angebote, die für den Abnehmer bzw. Nutzer kostenlos sind. Ein Beispiel ist Google. Der Anbieter macht hier seinen Umsatz über eingeblendete Werbung, oft verbunden mit der Gewinnung von Informationen über den Nutzer, mittels derer der Anbieter zu einem späteren Zeitpunkt Umsatz generieren kann.
IV. Hosting-Provider 1. Szenarien 52
Bei einem Hosting-Provider handelt es sich um ein Unternehmen, das als Subunternehmer eines Iaas/PaaS/SaaS-Anbieters tätig wird und für diesen den Service operativ durchführt, also ein Rechenzentrum betreibt.
Hard/Soft Hostingware + Geld Provider IaaS-/ PaaS-/ SaaSAnbieter
Vertrag Abnehmer Vertrag Geld
Abb. 14: Hosting-Provider-Szenario
46
Kittlaus
Service
Rz. 55 Teil 1 B
IV. Hosting-Provider
Der Hosting-Provider hat eine Vertragsbeziehung mit dem IaaS/PaaS/ SaaS-Anbieter und stellt den Abnehmern seine Leistungen zur Nutzung zur Verfügung. 2. Geschäftsmodell Der Hosting-Provider hat die Rolle des Bereitstellers zur Nutzung von In- 53 frastruktur bzw. Software sowie des Auftragnehmers für Dienstleistungen im Zusammenhang mit dieser Bereitstellung.
Geschftsmodell-Archetyp
Geschftsmodellmatrix Hosting-Provider
Typ der Produkte und Dienstleistungen Finanziell
Materiell, physisch
Immateriell
Menschlich
Schçpfer
Unternehmer
Erfinder, Designer, Hersteller
Entwickler, Autor
./.
Distributor
Finanzhndler
Großhndler, Einzelhndler
Hndler fr immaterielle Gter
./.
berlasser
Kreditgeber Bereitsteller zur Nutzung, Leasinggeber
Bereitsteller zur Nutzung, Lizenzgeber
Auftragnehmer, Personalberlasser
Broker
Finanzvermittler
Vermittler fr immaterielle Gter
Personalvermittler
Warenvermittler
Abb. 15: Geschftsmodellmatrix Hosting-Provider
Der Hosting-Provider hat das Interesse, eine angemessene Marge auf sei- 54 ne Infrastrukturkosten und eine angemessene Vergütung für seine Dienstleistungen zu erzielen und dabei sein Risiko möglichst gering zu halten. Auch hier ist eine Fristentransformation Bestandteil des Angebots, deren Kosten ebenfalls betrachtet werden müssen. 3. Preismodelle Der Hosting-Provider versucht typischerweise, sein Risiko dadurch zu 55 reduzieren, dass er es teilweise auf den IaaS/PaaS/SaaS-Anbieter abwälzt, indem er Sockelpreise und/oder Mindestvolumen monatlich oder jährlich verlangt. Der IaaS/PaaS/SaaS-Anbieter hingegen ist daran interessiert, dass die Preisstruktur im Vertrag mit dem Hosting-Provider möglichst genau der seines IaaS/PaaS/SaaS-Angebots entspricht.
Kittlaus
47
Teil 1 B
Rz. 56
Geschftsmodelle
V. Cloud-Service-Reseller/Vermittler/Lösungsanbieter 1. Szenarien 56
Bei einem Reseller oder Wiederverkäufer handelt es sich um ein Unternehmen, das Leistungen eines IaaS/PaaS/SaaS-Anbieters einkauft und an einen Abnehmer weiterverkauft. Geld Hard-/ Software IaaS-/ PaaS-/ SaaSAnbieter
HostingProvider
Service
Vertrag
Vertrag
Geld
Abnehmer
IaaS/PaaS/ SaaS Reseller
Vertrag
Geld
Abb. 16: Reseller-Szenario
Der Reseller hat Vertragsbeziehungen mit dem Abnehmer und mit dem IaaS/PaaS/SaaS-Anbieter. 57
Bei einem Cloud-Service-Vermittler handelt es sich um ein Unternehmen, das zwischen IaaS/PaaS/SaaS-Anbietern und -Abnehmern mit dem Ziel eines Vertragsabschlusses vermittelt. Das kann zum Beispiel der Betreiber eines Internet-Marktplatzes sein, der keine eigene Ausführungsplattform betreibt.
48
Kittlaus
Rz. 59 Teil 1 B
V. Cloud-Service-Reseller/Vermittler/Lçsungsanbieter
Geld Software PaaS-/ SaaSAnbieter 1
Vertrag
Service HostingProvider 1
Service
Geld Software PaaS-/ SaaSAnbieter 2
Vertrag
Abnehmer
HostingProvider 2 Vermittler
Service
Vertrag Geld Vertrag Geld
Abb. 17: Vermittler-Szenario
Ein Vermittler hat Vertragsbeziehungen mit den IaaS/PaaS/SaaS-Anbie- 58 tern, deren Angebote er vermittelt. Er schließt aber selbst keinen Vertrag über ein IaaS/PaaS/SaaS-Angebot mit dem Abnehmer, sondern der Abnehmer schließt den Vertrag direkt mit dem IaaS/PaaS/SaaS-Anbieter. Bei einem Lösungsanbieter handelt es sich um einen Reseller, der IaaS/ 59 PaaS/SaaS-Angebote unterschiedlicher Anbieter bündelt und integriert und das resultierende Paket an den Abnehmer verkauft. Das kann zum Beispiel der Betreiber eines Internet-Marktplatzes sein, der eine eigene Ausführungsplattform betreibt. Dies kann auch ein abnehmerspezifisches Customizing beinhalten, also eine Anpassung an konkrete individuelle Kundenbedürfnisse. Mit seiner Dienstleistung liefert der Lösungsanbieter also einen Mehrwert. Siehe auch Abb. 18 auf nächster Seite.
Kittlaus
49
Teil 1 B
Rz. 59
Geschftsmodelle
Geld Hardware IaaSAnbieter 1
Vertrag
Service HostingProvider 1
Service
Geld Software PaaS-/ SaaSAnbieter 2
Vertrag
HostingProvider 2
Abnehmer Integration
Vertrag
Lösungsanbieter Vertrag
Geld
Geld
Abb. 18: Lçsungsanbieter-Szenario
Der Lösungsanbieter hat Vertragsbeziehungen sowohl mit dem Abnehmer wie auch mit allen IaaS/PaaS/SaaS-Anbietern, deren Services er integriert und als Paket verkauft.
50
Kittlaus
Rz. 61 Teil 1 B
V. Cloud-Service-Reseller/Vermittler/Lçsungsanbieter
2. Geschäftsmodelle Der Reseller hat die Rolle des Händlers für immaterielle Güter, nämlich 60 die IaaS/PaaS/SaaS-Services.
Geschftsmodell-Archetyp
Geschftsmodellmatrix Reseller
Typ der Produkte und Dienstleistungen Finanziell
Materiell, physisch
Immateriell
Menschlich
Schçpfer
Unternehmer
Erfinder, Designer, Hersteller
Entwickler, Autor
./.
Distributor
Finanzhndler
Großhndler, Einzelhndler
Hndler fr immaterielle Gter
./.
berlasser
Kreditgeber Bereitsteller zur Nutzung, Leasinggeber
Bereitsteller zur Nutzung, Lizenzgeber
Auftragnehmer, Personalberlasser
Broker
Finanzvermittler
Vermittler fr immaterielle Gter
Personalvermittler
Warenvermittler
Abb. 19: Geschftsmodellmatrix Reseller
Wie bei jedem Händler, besteht das Interesse des Resellers in der Erzielung einer Marge zwischen Einkaufs- und Verkaufspreis. Der Vermittler hat die Rolle des Vermittlers für immaterielle Güter, 61 nämlich die IaaS/PaaS/SaaS-Services.
Geschftsmodell-Archetyp
Geschftsmodellmatrix Vermittler
Typ der Produkte und Dienstleistungen Finanziell
Materiell, physisch
Immateriell
Menschlich
Schçpfer
Unternehmer
Erfinder, Designer, Hersteller
Entwickler, Autor
./.
Distributor
Finanzhndler
Großhndler, Einzelhndler
Hndler fr immaterielle Gter
./.
berlasser
Kreditgeber Bereitsteller zur Nutzung, Leasinggeber
Bereitsteller zur Nutzung, Lizenzgeber
Auftragnehmer, Personalberlasser
Broker
Finanzvermittler
Vermittler fr immaterielle Gter
Personalvermittler
Warenvermittler
Abb. 20: Geschftsmodellmatrix Vermittler
Kittlaus
51
Teil 1 B
Rz. 62
Geschftsmodelle
Wie bei jedem Vermittler, besteht auch hier das Interesse in der Erzielung einer Provision. Bei der Festlegung der Provision kann man sich an Modellen orientieren, die aus dem Versicherungsbereich bekannt sind, d.h. die Provision kann eine einmalige Zahlung sein, eine periodische Zahlung als Prozentsatz der erzielten Umsätze oder eine Kombination aus beidem. 62
Der Lösungsanbieter hat die Rolle des Händlers für immaterielle Güter, nämlich die IaaS/PaaS/SaaS-Services. Außerdem übernimmt er als Auftragnehmer die Dienstleistung und stellt das Ergebnis zur Nutzung bereit.
Geschftsmodell-Archetyp
Geschftsmodellmatrix Lçsungsanbieter
Typ der Produkte und Dienstleistungen Finanziell
Materiell, physisch
Immateriell
Menschlich
Schçpfer
Unternehmer
Erfinder, Designer, Hersteller
Entwickler, Autor
./.
Distributor
Finanzhndler
Großhndler, Einzelhndler
Hndler fr immaterielle Gter
./.
berlasser
Kreditgeber Bereitsteller zur Nutzung, Leasinggeber
Bereitsteller zur Nutzung, Lizenzgeber
Auftragnehmer, Personalberlasser
Broker
Finanzvermittler
Vermittler fr immaterielle Gter
Personalvermittler
Warenvermittler
Abb. 21: Geschftsmodellmatrix Lçsungsanbieter
Wie bei jedem Händler, besteht das Interesse des Lösungsanbieters in der Erzielung einer Marge zwischen Einkaufs- und Verkaufspreis. Außerdem erwartet er eine angemessene Kompensation für seine Dienstleistung. 3. Preismodelle 63
Der Reseller wird in seiner Preisstruktur typischerweise die Preisstruktur des IaaS/PaaS/SaaS-Anbieters nachbilden, dessen Services er weiterverkauft. Die Höhe des Preises wird berechnet aus dem Preis, der zwischen IaaS/PaaS/SaaS-Anbieter und dem Reseller vereinbart wird, zuzüglich eines Aufschlags. Bei längerlaufenden Verträgen, muss der Reseller sicherstellen, dass er Preiserhöhungen des IaaS/PaaS/SaaS-Anbieters entweder ausschließen oder an den Abnehmer weitergeben kann.
64
Der Vermittler hat häufig keine feste eigene Preisstruktur, sondern handelt mit den IaaS/PaaS/SaaS-Anbietern jeweils im Rahmen der Vertragsverhandlung die Berechnungsgrundlage seiner Provision aus. Die Provisi52
Kittlaus
VI. Zusammenfassung
Rz. 66 Teil 1 B
on kann eine Einmalzahlung bei Vertragsabschluss zwischen IaaS/PaaS/ SaaS-Anbieter und -Abnehmer sein, die sich am finanziellen Volumen des Vertrags orientiert. Bei längerlaufenden Verträgen kann die Provision aber auch als Anteil an den Zahlungen des Abnehmers an den IaaS/PaaS/ SaaS-Anbieter während der Vertragslaufzeit vereinbart werden. Alternativ kann der Vermittler – bei starker Marktposition – auch eine eigene Preisstruktur festlegen, typischerweise als Prozentsatz des Vertragsvolumens. Der Lösungsanbieter legt seine Preisstruktur ähnlich fest wie oben 65 Rz. 32 ff. und 48 ff. für IaaS/PaaS/SaaS-Anbieter beschrieben. Dabei muss er darauf achten, dass seine Preisstruktur kompatibel zu seinen Einkaufspreisen für die Services ist, die er integriert. Bei starker Marktposition kann er möglicherweise Sonderkonditionen mit den IaaS/PaaS/SaaS-Anbietern aushandeln, die ihm einen attraktiven Paketpreis für die Lösung ermöglichen. Wenn seine Dienstleistungen stark abnehmerspezifisch sind, kann er zusätzlich einen Einmalpreis bei Vertragsabschluss oder Nutzungsbeginn durch den Abnehmer verlangen.
VI. Zusammenfassung In diesem Beitrag wurden die wirtschaftlichen Aspekte des Cloud Compu- 66 ting für Anbieter und Abnehmer analysiert. Es besteht eine Vielzahl von neuartigen Möglichkeiten der Aufspaltung und erneuten Zusammensetzung der Elemente der IT-Wertschöpfungskette. Daraus haben sich auf dem Markt einige Geschäftsmodelle auf Anbieterseite herausgebildet, die hier dargestellt und analysiert wurden. Da der Cloud Computing Markt insgesamt sehr dynamisch und noch recht unausgereift ist, sind im Bereich der Geschäftsmodelle in den nächsten Jahren viele Innovationen zu erwarten.
Kittlaus
53
C. IT-Grundlagen Rz. I. Historie des Cloud Computing . . II. Heutige Definition von Cloud Computing . . . . . . . . . . . . . 1. Definition nach BITKOM und NIST . . . . . . . . . . . . . . . . . . . . . . . . 2. Private, public, hybrid, community clouds . . . . . . . . . . . . . . . . . . . a) Private Cloud . . . . . . . . . . . . . . b) Public Cloud . . . . . . . . . . . . . . . c) Hybrid Cloud. . . . . . . . . . . . . . . d) Community Cloud . . . . . . . . . . 3. Definition von IaaS, PaaS, DBaaS, SaaS und DaaS . . . . . . . . . a) IaaS. . . . . . . . . . . . . . . . . . . . . . . b) PaaS . . . . . . . . . . . . . . . . . . . . . . c) DBaaS. . . . . . . . . . . . . . . . . . . . . d) SaaS . . . . . . . . . . . . . . . . . . . . . . e) DaaS . . . . . . . . . . . . . . . . . . . . . . III. Zugrunde liegende IT-Technologien und Infrastrukturen . . . . . . 1. TCP/IP . . . . . . . . . . . . . . . . . . . . . . 2. VPN . . . . . . . . . . . . . . . . . . . . . . . . 3. Clients . . . . . . . . . . . . . . . . . . . . . . 4. Betriebssysteme (Operating System, OS) . . . . . . . . . . . . . . . . . . 5. Multicore-Prozessoren . . . . . . . . . 6. Pooling . . . . . . . . . . . . . . . . . . . . . . 7. Virtualisierung. . . . . . . . . . . . . . . . 8. Mandantentrennung . . . . . . . . . . . 9. Replikation von Daten (engl. Mirroring). . . . . . . . . . . . . . . . . . . .
2 7 7 13 13 17 20 21 22 22 23 24 25 27 29 30 31 32 35 37 38 40 43
Rz. 1. IaaS für professionelle und Großkunden. . . . . . . . . . . . . . . . . . 2. Virtuelle Festplatte . . . . . . . . . . . . 3. Stets verfügbare Notizen. . . . . . . . 4. Bürosoftware als SaaS . . . . . . . . . . 5. Plattformen für Softwareentwickler . . . . . . . . . . . . . . . . . . . . . . 6. CRM-Anwendungen . . . . . . . . . . . 7. Soziale Netzwerke für Unternehmen . . . . . . . . . . . . . . . . . . . . . 8. Bürosoftware . . . . . . . . . . . . . . . . . 9. Cloud-Ökosysteme . . . . . . . . . . . . 10. Deutsche Anbieter folgen . . . . . . .
49 52 53 54 56 58 59 61 62 65
V. IT-Prozesse, die sich durch Einführung von Cloud Computing ändern. . . . . . . . . . . . . . . . . . . . . . . 66 1. Projektbudgetierung und Controlling. . . . . . . . . . . . . . . . . . . 70 2. Providerüberwachung und SLA-Management . . . . . . . . . . . . . 72 VI. Sicherheitsanforderungen an Cloud Computing . . . . . . . . . . . . . 75 1. Aus technischer Sicht für den Betrieb in der Public Cloud geeignete Anwendungen . . . . . . . . 78 2. Daten-Lebenszyklus . . . . . . . . . . . 81 VII. Ansätze zur Auswahl von Cloud-Anbietern . . . . . . . . . . . . . . 87 VIII. Mobile Geräte . . . . . . . . . . . . . . . . 91
47
IX. Ausblick . . . . . . . . . . . . . . . . . . . . . 94
IV. Anbieter von Cloud-Services und deren Bereitstellungsmodelle. . . . 48
1
Im ersten Teil dieses Kapitels wird die Historie des Cloud Computing, die verschiedenen Definitionen, Ausprägungen und verfügbaren Dienste beleuchtet. Es folgt eine Betrachtung gängiger Definitionen von Cloud Computing (Ziffer II.), der technologischen Grundlagen (Ziffer III.), konkreter marktüblicher Cloud-Service-Angebote (Ziffer IV.), von Cloud Computing betroffene Prozesse (Ziffer V.) sowie der Sicherheitsfragen, einschließlich des Datenzyklusmanagements (Ziffer VI.). Des Weiteren werden Ansätze zur richtigen Auswahl von Cloud Computing-Anbietern vorgestellt (Ziffer VII.) und die Zusammenhänge zwischen Cloud Computing und mobilen Endgeräten dargestellt (Ziffer VIII.). Es folgt ein Ausblick in Ziffer IX.
54
Schorer
I. Historie des Cloud Computing
Rz. 3 Teil 1 C
I. Historie des Cloud Computing Entgegen vieler Annahmen ist Cloud Computing kein neues Konzept. 2 Auch die IT-Grundlagen von Cloud Computing, also die zu Grunde liegenden Technologien, sind nichts Neues. Vielmehr gab es in der Geschichte der IT immer wieder vergleichbare Ansätze mit unterschiedlichen Namen. Es war jedoch der kanadische Forscher und Wissenschaftsminister Douglas Parkhill1, der 1966 in seinem Buch „The Challenge of the Computer Utility“ die Grundlagen dessen beschrieb, was wir heute Cloud Computing nennen. Parkhill stellte in seinem Buch dar, dass es möglich sein sollte, Ressourcen der IT wie Strom aus der Steckdose zu beziehen. Die Abrechnung sollte verbrauchsabhängig erfolgen. Das heißt, man sollte als Benutzer einer solchen Ressource – Parkhill führte hier sowohl Hardware als auch Software an – nur dann bezahlen, wenn man diese nutzte. Genauso wie beim Strom würde dies zu einem Modell führen, das am ehesten mit dem der Elektrizitätsanbieter vergleichbar wäre. Deshalb prägte Parkhill den Begriff Utility-Computing, denn Utility ist im englischsprachigen Raum die Bezeichnung für zentrale Versorgungsunternehmen, wie sie Wasser- oder Elektrizitätsversorger darstellen. Weiterhin stellte Parkhill fest, dass es verschiedene Ausprägungen für das Utility-Computing geben müsse. Er unterschied hierbei zwischen privaten (private), öffentlich zugänglichen (public), von Gemeinschaften nutzbaren (community) und speziell für Regierungsorganisationen verfügbaren Ressourcen (government). Zu der Zeit, als Parkhill sein Buch schrieb, waren seine Gedanken mehr 3 als revolutionär, denn damals füllte ein Computer, wie z.B. das IBM System/3602, noch ganze Werkshallen und kostete viele Millionen Dollar. Noch dazu war man damals der Auffassung, dass Computer nur für einen eingeschränkten Benutzerkreis in Industrie, Militär und Forschung interessant wären. Dies änderte sich erst zehn Jahre später 1976 mit der Einführung des Apple I, dem ersten Personal Computer. Trotzdem wurde Parkhills Idee erst viel später in den Jahren 2002 bis 2003 zum ersten Mal umgesetzt. Damals gingen die drei IT-Schwergewichte HP, IBM und Sun mit unterschiedlichen Lösungen an den Markt. Während IBM mit On-Demand-Computing bereits erste Ansätze des Utility-Computing verwirklichte, indem es Kunden erlaubte, Ressourcen zum Teil aus IBMs Rechenzentren zu beziehen, fokussierten sich Sun mit N1 und HP mit Adaptive Computing auf die Optimierung der vorhandenen Infrastrukturen im Kundenrechenzentrum. Sowohl IBM als auch HP zielten jedoch 1 Vgl. Wikipedia, http://en.wikipedia.org/wiki/Douglas_Parkhill (zuletzt besucht am 11.1.2013). 2 Vgl. Wikipedia, http://de.wikipedia.org/wiki/System/360 (zuletzt besucht am 11.1.2013); IBM Archives, Mainframe Introduction 2, http://www-03.ibm.com/ ibm/history/exhibits/mainframe/mainframe_intro2.html (zuletzt besucht am 11.1.2013); Zeit Online/Wissen, Das Hardwaremuseum (XIV): die IBM/360, http://www.zeit.de/1997/03/hwm0397.txt.19970110.xml (zuletzt besucht am 11.1.2013). Schorer
55
Teil 1 C
Rz. 4
IT-Grundlagen
mit ihren Initiativen eigentlich darauf ab, mehr Outsourcing-Geschäft zu gewinnen. Keine der drei Initiativen war von großem Erfolg gekrönt, denn die Zeit war noch nicht reif. 4
Dies wirft die berechtigte Frage auf, warum die Zeit nun reif ist und Cloud Computing in aller Munde. Ab dem Jahr 2006 tauchte der Begriff Cloud Computing häufiger in IT-Publikationen auf. Das beschriebene Cloud Computing brachte aber keine radikal neuen Konzepte, es handelte sich vielmehr um eine simple Namensänderung, wie sie in der ITIndustrie häufig vorgenommen werden, um das Interesse für bereits bekannte Konzepte neu zu entfachen. Cloud Computing ist also UtilityComputing. Der Grund warum das Konzept nun aber auch in den Chefetagen vieler Unternehmen bekannt wurde, ist die Tatsache, dass ein gravierendes Umdenken eingesetzt hatte, unter anderem getrieben durch die Aussagen von Nicolas Carr in seinem Artikel „IT doesn’t matter“1. In Essenz sagte Carrs Artikel aus, dass sich IT immer mehr zu einem austauschbaren Massenprodukt entwickelte und somit wenig zur Wertschöpfung eines Unternehmens beitrug. Budgetkürzungen und Verlust an Ansehen der IT waren die Folge. Gleichzeitig wurde die Bereitschaft von Geschäftsführern, IT-Services durch klassisches Outsourcing nach Außen zu geben größer. Outsourcing verwandelt die IT-Kosten in reine Betriebskosten, da sowohl Hardware, vor allem aber das Betriebspersonal zum Outsourcing-Provider übergehen.
5
Viele Unternehmen haben zwar zunächst von dem neuen Modell profitiert; es wurde aber meist schnell klar, dass mit dem Personal auch das Know-how abgewandert war. Ist die ganze IT ausgelagert, muss zudem jede Änderung an den IT-Systemen mit dem Outsourcer besprochen werden. Diesem ist wiederum daran gelegen, möglichst nichts an den Systemen zu ändern, denn nur dann kann er sie preisgünstig betreiben. Vertragsverhandlungen für die Einbringungen von Änderungen können sich über Monate hinziehen. Als die IT noch selbst betrieben wurde, hatte es in der Regel nur einiger weniger, interner Besprechungen bedurft, um dasselbe Ergebnis zu erreichen. Diese, durch das Outsourcing herbeigeführten, Änderungen werden oft als Agilitätsverlust wahrgenommen. Somit ist es wenig verwunderlich, dass viele Firmen wieder an Insourcing denken, also das Zurückholen der vormals outgesourcten IT. Und genau hier kann Cloud Computing eine Brücke schlagen, indem es erlaubt, benötigte Ressourcen mittels eines nutzungsbasierten Abrechnungsmodells von einem Cloud-Provider zu beziehen. Die Neuinvestitionen sind somit viel überschaubarer als früher, als sämtliche Hardware für den IT-Betrieb gekauft oder geleast werden musste. Viel entscheidender ist jedoch, dass – entsprechende Vertragsgestaltung, z.B. im Bereich der Kündigungs- und Exitregelungen, vorausgesetzt – die Agilität wieder zurückgewonnen wird, weil die für den Betrieb der Anwendungen Ver1 Nicholas G. Carr, IT Doesn’t Matter, http://hbr.org/product/it-doesn-t-matter/ an/R0305B-PDF-ENG (zuletzt besucht am 11.1.2013).
56
Schorer
II. Heutige Definition von Cloud Computing
Rz. 8 Teil 1 C
antwortlichen wieder im eigenen Haus sitzen. Dies setzt allerdings voraus, dass die Anwendungen hardware- und betriebssystemunabhängig betrieben werden können. Dann ist es grundsätzlich möglich, die Anwendung bei verschiedenen Cloud-Anbietern zu betreiben und ein Anbieter-Lock-in zu vermeiden. Die Gefahr eines Lock-in ist bei Nutzung von Standardsoftware as a Service-Angeboten in der Regel größer, weil diese Lösungen häufig nicht portabel ausgelegt sind, man als Kunden also nicht zwischen mehreren Anbietern wechseln kann. Einzig ein kompletter Export der Daten und Import dieser in ein anderes System könnte vom Kunden vorgenommen werden. Der Aufwand und die Kosten die mit einem solchen Migrationsprojekt einhergehen sind jedoch in der Regel prohibitiv. Deshalb ist hier der Auswahlprozess genauso wichtig wie bei im eigenen Rechenzentrum (on-premises) betriebenen Lösungen – beispielhaft sei hier SAP genannt. Viele Outsourcer bieten mittlerweile auch Cloud-Leistungen an. Dies ist 6 ein weiteres Indiz dafür, dass das Cloud Computing-Modell über kurz oder lang das klassische Outsourcing ersetzen wird.
II. Heutige Definition von Cloud Computing 1. Definition nach BITKOM und NIST Die IT-Grundlagen des Cloud Computing prägen auch die gängigen Defi- 7 nitionen. Der Branchenverband BITKOM definierte1 Cloud Computing in dem im Oktober 2009 erschienen Leitfaden „Cloud Computing Evolution in der Technik, Revolution im Business“ wie folgt: „Cloud Computing ist eine Form der bedarfsgerechten und flexiblen Nutzung von IT-Leistungen. Diese werden in Echtzeit als Service über das Internet bereitgestellt und nach Nutzung abgerechnet. Damit ermöglicht Cloud Computing den Nutzern eine Umverteilung von Investitions- zu Betriebsaufwand.“ Sie definiert weiter: „Die fachliche Auseinandersetzung mit Cloud Computing setzt voraus, dass ein klarer Bezug zu den Ebenen von Cloud-Services, den Organisationsformen von Clouds und zur betrachteten Nutzergruppe hergestellt wird. Die Einteilung der Services in die drei Ebenen „Infrastructure as a Service“, „Platform as a Service“ sowie „Software as a Service“ hat sich weitgehend durchgesetzt. Das gilt auch für die Unterscheidung zwischen Public, Private und Hybrid Clouds.“ Das National Institute of Technology, kurz NIST, hat im September 2011 8 in seiner Spezialpublikation mit dem Titel „The NIST Definition of
1 BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 14, http://www.bitkom.org/files/documents/BITKOM-Leitfaden-Cloud Computing_Web.pdf (zuletzt besucht am 11.1.2013). Schorer
57
Teil 1 C
Rz. 8
IT-Grundlagen
Cloud Computing“ Nr. 800-1451 folgende Kriterien definiert, die durch eine Cloud Computing-Lösung essentiell erfüllt werden müssen: – On-Demand self-service: A consumer can unilaterally provision computing capabilities, such as server time and network storage, as needed automatically without requiring human interaction with each service provider. Übersetzung: Ein Nutzer kann von sich aus benötigte Computerressourcen wie z.B. Rechenleistung und Netzwerkspeicher automatisiert ohne Interaktion mit dem Serviceanbieter provisionieren2. – Broad network access: Capabilities are available over the network and accessed through standard mechanisms that promote use by heterogeneous thin or thick client platforms (e.g., mobile phones, tablets, laptops, and workstations). Übersetzung: Die Leistungen stehen über ein Netzwerk zur Verfügung und können mittels Standardmechanismen bezogen werden, welche die Nutzung von unterschiedlichen Thin- und Thick-Client Plattformen, wie z.B. Mobiltelefone, Tablets, Laptops und Workstations, unterstützen. – Resource pooling. The provider’s computing resources are pooled to serve multiple consumers using a multi-tenant model, with different physical and virtual resources dynamically assigned and reassigned according to consumer demand. There is a sense of location independence in that the customer generally has no control or knowledge over the exact location of the provided resources but may be able to specify location at a higher level of abstraction (e.g., country, state, or datacenter). Examples of resources include storage, processing, memory, and network bandwidth. Übersetzung: Die Computerressourcen des Anbieters sind gebündelt, um mehrere Benutzer durch ein Multimandanten-Modell zu bedienen, das verschiedene physikalische und virtuelle Ressourcen je nach Kundenanforderung dynamisch zuweist und freigibt. Es besteht die Wahrnehmung der Ortsunabhängigkeit insofern, als der Kunde in der Regel keine Kontrolle oder Wissen über den Ort der bereitgestellten Ressourcen hat, aber unter Umständen den Ort auf einer höheren Abstraktionsebene festzulegen (z.B. Land, Staat oder Rechenzen-
1 Mell/Grance (NIST), The NIST Definition of Cloud Computing, Special Publication 800-145, S. 2, http://csrc.nist.gov/publications/nistpubs/800-145/SP800145.pdf (zuletzt besucht am 11.1.2013). 2 Vgl. BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 24, Tabelle 5, http://www.bitkom.org/files/documents/BITKOMLeitfaden-CloudComputing_Web.pdf (zuletzt besucht am 11.1.2013): „In der Regel provisioniert der Nutzer die komplette Software in die genutzte Cloud-Instanz. Dafür erhält der Nutzer die notwendigen administrativen Zugriffsrechte.“
58
Schorer
II. Heutige Definition von Cloud Computing
Rz. 8 Teil 1 C
trum). Beispiele solcher Ressourcen umfassen Speicherplatz, Rechenzeit, Arbeitsspeicher und Konnektivität1. – Rapid elasticity. Capabilities can be elastically provisioned and released, in some cases automatically, to scale rapidly outward and inward commensurate with demand. To the consumer, the capabilities available for provisioning often appear to be unlimited and can be appropriated in any quantity at any time. Übersetzung: Leistungen können elastisch angefordert und freigegeben werden, teilweise automatisch, um schnell dem Bedarf entsprechend nach oben und unten zu skalieren. Für den Nutzer erscheinen die Leistungen, die zum Abruf zur Verfügung stehen, unlimitiert und sie können jeder Zeit in beliebiger Größenordnung genutzt werden2. – Measured service. Cloud systems automatically control and optimize resource use by leveraging a metering capability at some level of abstraction appropriate to the type of service (e.g., storage, processing, bandwidth, and active user accounts). Resource usage can be monitored, controlled, and reported, providing transparency for both the provider and consumer of the utilized service. Übersetzung: Cloud Systeme kontrollieren und optimieren den Ressourcenverbrauch automatisch mittels einer Messfunktion auf einer dem Dienst angemessenen Abstraktionsebene (z.B. Speicherplatz, Rechenleistung, Konnektivität und/oder aktiven Benutzerkonten). Der Ressourcenverbrauch kann überwacht, kontrolliert und berichtet werden, was sowohl für den Serviceanbieter als auch den Nutzer Transparenz schafft3. 1 Vgl. BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 24, Tabelle 4, http://www.bitkom.org/files/documents/BITKOMLeitfaden-CloudComputing_Web.pdf (zuletzt besucht am 11.1.2013): „Einzelne Instanzen (Hardware bzw. Software) bedienen in einer gemeinsam genutzten Umgebung viele Nutzer. Dies ist Voraussetzung für den Anbieter, um Nutzen aus unterschiedlichen Lastverhalten zu ziehen und kostengünstige Angebote für Nutzer zu ermöglichen.“, „Nutzer sehen die Services als virtuelle Ressourcen, die physikalische Realisierung der Services ist dem Nutzer komplett verborgen. Dies ermöglicht dem Betreiber die Optimierung der Infrastruktur hinsichtlich maximaler Effizienz und Standardisierung.“ 2 Vgl. BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 24, Tabelle 5, http://www.bitkom.org/files/documents/BITKOMLeitfaden-CloudComputing_Web.pdf (zuletzt besucht am 11.1.2013): „Elastizität ermöglicht es, spontan und flexibel auch auf starke Last-Veränderungen zu reagieren – ein wesentliches Merkmal von IaaS.“ „Traditionelle Hosting-Angebote stellen in der Regel nur eine begrenzte Menge an Ressourcen zu einem bestimmten Zeitpunkt zur Verfügung.“ 3 Vgl. BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 24, Tabelle 4, http://www.bitkom.org/files/documents/BITKOMLeitfaden-CloudComputing_Web.pdf (zuletzt besucht am 11.1.2013): „Der Nutzer bezahlt abhängig vom Verbrauch, wobei er gleichzeitig seinen Verbrauch gemäß seinem Geschäftsmodell an die aktuellen Erfordernisse anpassen kann; dabei kann er beliebig nach oben und unten skalieren.“ Schorer
59
Teil 1 C
9
Rz. 9
IT-Grundlagen
Zusätzlich zu diesen von dem NIST aufgestellten Merkmalen von Cloud Computing verlangt der BITKOM1: – „Programmatische Kontrolle: Der Kunde verfügt über eine ProgrammierSchnittstelle, um Ressourcen zu konfigurieren, zu nutzen und zu steuern. Dies ermöglicht es, dem Nutzer, den Ressourcen-Verbrauch durch die Anwendung dynamisch zu steuern, dem Betreiber, das Ressourcen-Management hochgradig zu automatisieren.“
10
Das NIST definiert genauso wie der BITKOM die vier Ausbringungsmodelle „private cloud“, „public cloud“, „community cloud“ und „hybrid cloud“. Diese werden im Folgenden (Rz. 13 ff.) näher betrachtet.
11
Den Unterschied zwischen Cloud-Services und klassischen Ansätzen der IT-Bereitstellung wird im BITKOM Leitfaden wie folgt beschrieben2: „Bei den traditionellen Formen der Leistungserbringung im Hosting-Bereich stehen Kunden dezidierte IT-Ressourcen exklusiv zur Verfügung. Sie entscheiden über den Einsatz von Virtualisierungstechnologien und nutzen die IT-Ressourcen nach ihren Anforderungen, können diese Ressourcen jedoch nicht kurzfristig erweitern. Ein Kapazitätsausbau ist nur mit einem Zeitverzug möglich, der für die Bereitstellung neuer Hardware benötigt wird. Cloud Computing flexibilisiert die IT-Bereitstellung in vielen Bereichen. […] Durch die Verlagerung der Kosten für IT-Infrastruktur in die Nutzung von Services aus einer Public Cloud fallen im Unternehmen keine Investitionskosten für Infrastruktur an, d.h. Investitionskosten werden in nutzungsabhängige Betriebskosten gewandelt. […]“
12
Zusammengefasst betrachtet basieren beide Definition jedoch auf den Grundsätzen, die Douglas Parkhill in seinem Buch beschrieben hat (vgl. Rz. 2 f.). 2. Private, public, hybrid, community clouds a) Private Cloud
13
Private Clouds sind, wie es der Name bereits ausdrückt, privat und werden i.d.R. im eigenen Rechenzentrum des Kunden aufgebaut. Von einer Cloud im privaten Rechenzentrum kann aber erst dann die Rede sein, wenn die Cloud-spezifischen Merkmale vorliegen, z.B. gemäß der oben beschriebenen Defintion des NIST. Dies unterscheidet eine private Cloud auch von reiner Server-Virtualisierung. Virtualisierung, also das Betreiben von mehreren Server-Instanzen auf einer physikalischen Hardware, ist eine unverzichtbare Grundlage für das Cloud Computing. Aber erst durch die Implementierung von Pooling (vgl. Rz. 38 f.), die Einfüh1 Vgl. BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 24, Tabelle 5, http://www.bitkom.org/files/documents/BITKOMLeitfaden-CloudComputing_Web.pdf (zuletzt besucht am 11.1.2013). 2 Vgl. BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 23, http://www.bitkom.org/files/documents/BITKOM-LeitfadenCloudComputing_Web.pdf (zuletzt besucht am 11.1.2013).
60
Schorer
II. Heutige Definition von Cloud Computing
Rz. 16 Teil 1 C
rung der mandantengetrennten Abrechnung der genutzten Leistung – wobei es sich bei den Mandanten dann um firmeneigene Abteilungen, wie z.B. Entwicklung, Lohnbuchhaltung oder Marketing, handelt –, die Möglichkeit der Selbstbedienung und der Fähigkeit schnell zu skalieren entsteht eine Private Cloud. Das Modell der privaten Cloud ist für viele Unternehmen der erste Schritt in Richtung Cloud Computing, weil der privaten Cloud weniger Sicherheitsbedenken entgegenstehen, denn es werden ja lediglich Änderungen an der internen IT-Landschaft vorgenommen und die Datenhaltung wird nach wie vor im eigenen Rechenzentrum belassen. Zwingend zu betrachten sind hier jedoch zwei Sonderformen der Private 14 Cloud. Beide sind sog. Virtual Private Clouds: einmal als „on premises, managed service, private cloud“ und einmal als „off premises cloud“. Bei der „on premises, managed service, private cloud“ stellt ein Provider die für die Cloud benötigte Hard- und Software als schlüsselfertige Lösung in das Rechenzentrum des Kunden. Der Kunde stellt nur Strom und Netzwerkanschluss bereit, betrachtet die Hardware aber sonst als „cloud-ina-box“ – im Folgenden als System bezeichnet. Die Daten verbleiben in der Regel auf den Datenhaltungssystemen des Kunden, allerdings erfolgen nun Zugriffe aus dem Black-box-System heraus auf diese Daten. Der Kunde kann nun über ein Selbsbedienungsportal aus dem System Services – i.d.R. IaaS (vgl. Rz. 22) – beziehen, hat jedoch selbst keinen Einfluss auf dem Betrieb des Systems. Der Betrieb wird vom Provider per Fernwartung durchgeführt. Und hier liegt nun auch eine weitere Besonderheit. Wird rund um die Uhr Betrieb benötigt (24 Stunden, an 7 Tagen die Woche), dann wird die Betreuung i.d.R. nicht im Dreischichtbetrieb aus Deutschland sichergestellt, sondern sie kommt morgens z.B. aus Indien, mittags aus Deutschland und abends aus den U.S.A. oder Kanada – die Betreuung folgt somit gewissermaßen der Sonne („follow the sun“). Bei der Off-premises-Variante steht das System im Rechenzentrum des 15 Providers und der Kunde stellt lediglich eine seinen Bedürfnissen genügende Internetverbindung zum Provider sicher. Da einige Provider auch Telekommunikationsdienstleistungen bereitstellen, kann es sich bei der Leitung neben normalen Internetverbindungen auch um private Netzwerke handeln, wie z.B. Multiprotocol Label Switching (MPLS). Im Gegensatz zu den on-premises betriebenen Systemen müssen die Daten im Off-premises-Modell aus Performancegründen nun i.d.R. auch zum Provider verlagert werden. Zum Betrieb des Systems gilt das für die On-premises-Variante gesagte. Sowohl beim On-premises- als auch beim Off-premises-Modell hat der 16 Kunde i.d.R. sicherzustellen, dass die erforderlichen Nutzungsrechte (Lizenzen) für die von ihm eingesetzte Software vorliegen. Vom Provider werden lediglich die für seine Diensterbringung notwendigen Lizenzen, z.B. für die Virtualisierung bereitgestellt. Näher hierzu unter Teil 3 Rz. 158 ff. Schorer
61
Teil 1 C
Rz. 17
IT-Grundlagen
b) Public Cloud 17
Für Public Clouds gilt, dass sie immer von einem Provider bereitgestellt werden und dass es sich um mehrmandantenfähige Systeme handelt. Der Provider hat hierbei sicher zu stellen, dass auch bei Nutzung derselben physikalischen Ressourcen – also Prozessor, Speicher und Festplatten – durch mehrere Mandanten, es ausgeschlossen ist, dass ein Mandant versehentlich oder mit Absicht auf Daten eines anderen Mandanten zugreifen kann. Ebenso sollte der Provider sicherstellen, dass ein Mandant weder versehentlich, noch gezielt durch den Betrieb seiner Software die Systeme anderer Mandanten in Mitleidenschaft ziehen kann.
18
Prinzipiell kann man zwei Arten des Vertragsschlusses unterscheiden. Am ältesten und am weitesten verbreitet ist ein Vertragsabschluss durch ein sog. „click-through statement“. Hierbei akzeptiert der Kunde online die Vertragsbedingungen des Anbieters (die häufig den Vertrag ausländischem Rechts unterwerfen) durch Setzen eines Hakens auf der Webpage des Anbieters. Nach Setzen des Hakens auf der Webpage des Anbieters kann der Kunden sofort Ressourcen beziehen. Die Abrechnung erfolgt meist anhand verbrauchter CPU-Zeit (sekunden-, minuten- oder stundengenau). Alternativ oder zusätzlich können auch verbrauchter Speicherplatz und die Netzwerkbandbreitennutzung in Rechnung gestellt werden. Im Regelfall erfolgt die Abrechnung durch die Belastung der Kreditkarte des Kunden. Typische Vertreter dieser Art eines Public-CloudAngebotes sind Amazon und Google. Die einfache Art und Weise des Vertragsabschlusses und des Servicebezugs stellt eine Gefahr für Unternehmen dar. Die für den Einkauf von IT-Leistungen im Unternehmen Verantwortlichen selbst werden zwar i.d.R. keine Verträge auf Basis eines Click-through-Vertrags schließen, sehr wohl aber einzelne Mitarbeiter der Unternehmen. Vor allem dann, wenn die Bereitstellung von Ressourcen (Rechenleistung) durch die Unternehmens-IT als zu langsam und bürokratisch empfunden wird, greifen Mitarbeiter gerne temporär auf Angebote aus der Public Cloud zurück, z.B. von Amazon. Die entstehenden Kosten sind so gering, dass Mitarbeiter sogar in Kauf nehmen, dass die eigene Kreditkarte belastet wird. Und da die zur Verfügung gestellte Rechenleistung über einen Browser und das Internet bezogen werden, fällt die Nutzung von solchen Diensten auch meist nicht auf. Ein gerne genutzter Begriff hierfür ist Schatten-IT. So einfach die Nutzung auch ist, desto problematischer stellt sich das ganze unter Sicherheits- und Compliance-Gesichtspunkten für das Unternehmen dar, wenn der Mitarbeiter z.B. nicht anonymisierte Testdaten in der durch den Anbieter bereitgestellten Infrastruktur verarbeitet. In vielen Fällen landen diese Daten dann in einem U.S.-Rechenzentrum. Eine berechtigte Frage ist auch, was passiert, wenn der Mitarbeiter das Unternehmen verlässt. Wie kann sichergestellt werden, dass weder Software noch Daten auf der von Ihm genutzten virtuellen Infrastruktur verbleiben?
62
Schorer
II. Heutige Definition von Cloud Computing
Rz. 22 Teil 1 C
Die zweite Art der Public Clouds wird meist von nationalen Anbietern 19 angeboten. Sie gehorchen vom technischen Prinzip her den Angeboten der großen Anbieter, wie z.B. Amazon, jedoch liegt der Service-Erbringung ein, auf deutschem Recht beruhendes schriftliches Vertragswerk zugrunde, das von beiden Parteien, dem Kunden und dem Provider, unterzeichnet wird. Die Abrechnung erfolgt nicht über eine Kreditkarte, sondern durch Rechnungsstellung zum Ende des Monats. Das Vertragswerk erlaubt in der Regel wesentlich größere Gestaltungsspielräume als es ein Click-through-Vertrag ermöglicht. So können z.B. dedizierte Service-Level-Agreements (SLA) bestimmt werden und auch eine Wartung der Systeme ausschließlich aus Deutschland heraus festgelegt werden. c) Hybrid Cloud Unter Hybrid Cloud versteht man die Erweiterung einer Private Cloud 20 um Ressourcen, die von einem Public-Cloud-Anbieter bereitgestellt werden. Sie vereint die Vorteile der Private Cloud, wie z.B. hohe Datensicherheit mit der günstigen Servicebereitstellung der Public Cloud. Von Kundenseite erfordert es Augenmaß zu entscheiden, welche Services aus der Private Cloud bereitgestellt und welche in die Public Cloud verlagert werden, ohne dass Compliance und Sicherheit kompromittiert werden. Ein positives Beispiel ist die Verlagerung der öffentlichen Firmenwebseite aus der Private Cloud in die Public Cloud. Da die Firmenwebseite ohnehin aus dem Internet erreichbar sein muss, kann einer Verlagerung in die Public Cloud sogar für höhere Sicherheit sorgen. Denn da die Website nun nicht mehr in der sog. demilitarisierten Zone (DMZ) des eigenen Rechenzentrums betrieben wird, sondern in der Public Cloud, haben Angreifer weniger Chancen, in das Firmennetzwerk einzubrechen. d) Community Cloud Eine Sonderform der Hybrid Cloud stellt die Community Cloud dar. An- 21 statt der Erweiterung einer Private Cloud mit Ressourcen eines PublicCloud-Anbieters werden bei der Community Cloud entweder Private Clouds mehrerer Unternehmen oder Organisationen einer Interessengruppe zu einer großen Cloud zusammenschaltet oder aber die Interessengruppe bestimmt ein Unternehmen der Gruppe, das die Leistung für alle Mitglieder der Gruppe bereitstellt. Die Unternehmen haben meist ähnliche Anforderungen an Verfügbarkeit, Compliance und Sicherheit der bereitgestellten Ressourcen. Als Beispiel seien hier Banken oder Regierungsstellen genannt. 3. Definition von IaaS, PaaS, DBaaS, SaaS und DaaS a) IaaS Unter Infrastructure as a Service – kurz IaaS – versteht man die Bereit- 22 stellung von virtuellen Ressourcen wie Rechenleistung (vCPU), ArbeitsSchorer
63
Teil 1 C
Rz. 23
IT-Grundlagen
speicher (vRAM) und Speicherplatz (vDisk). Meist kann der Kunde sich aus dem o.a. Komponenten über ein Webportal virtuelle Server zusammenstellen, indem er eine Anzahl von vCPUs mit einer in Gigabyte (GB) gemessenen Größe an Arbeitsspeicher und Speicherplatz kombiniert. Viele Anbieter stellen auch vorkonfektionierte Systeme anhand eines Katalogs bereit, aus dem der Kunde wählen kann. Je nach Anbieter kann der Kunde auch wählen, ob die Ressourcen dediziert für ihn bereitgestellt werden sollen; die Rechenleistung ist in diesem Fall garantiert und entsprechend teurer ist der Service. Die Alternative ist, die Ressourcen nicht dediziert zuzuordnen (on demand); dies ist der Normalfall, weil deutlich preiswerter. Wichtig zu wissen ist, dass im letzteren Fall Ressourcen überbucht werden und, dass es dadurch zu Beeinträchtigungen bei der Servicebereitstellung kommen kann, wenn doch alle Kunden, die ihnen zugeteilten Ressourcen in vollem Umfang nutzen. Die Abrechnung erfolgt z.B. anhand der monatlich genutzten Anzahl von vCPUs, der genutzten Anzahl von CPU-Sekunden bzw. -Minuten, dem genutztem vRAM, dem belegtem Speicherplatz und der genutzten Netzwerkbandbreite. Die benötigten Betriebssystemlizenzen für die konfigurierten Server und Lizenzen für evtl. genutzte Middleware wie Datenbanken muss der Kunde i.d.R. selbst mitbringen. Es gibt aber auch Komplettangebote, bei denen die Lizenzen im Grundpreis des virtuellen Servers beinhaltet sind. Bekannte Anbieter von IaaS sind die Amazon Elastic Compute Cloud (EC2)1 und VMware vCloud Hybrid Service2. b) PaaS 23
Als Platform as a Service (PaaS) bezeichnet man die abstrahierte Bereitstellung von Ressourcen. Auf der Plattform können Kunden des Providers eigene Software entwickeln und diese auch als SaaS (vgl. Teil 1 B Rz. 38 ff. u. unten Rz. 56) bereitstellen, ohne sich im Vorfeld Gedanken darüber machen zu müssen, wie viel Rechenleistung (CPU/RAM/Disk) hierfür benötigt wird. Die unter dem PaaS liegenden IaaS-Komponenten sorgen automatisch für flexible Skalierbarkeit. Die Abrechnung erfolgt z.B. nach genutzter Netzwerkbandbreite, der Anzahl von Zugriffen auf die Software und nach belegtem Speicherplatz. Zwei bekannte Anbieter von PaaS sind die Google App Engine3 und CloudFoundry4.
1 Amazon-Web-Services, Amazon Elastic Compute Cloud (Amazon EC2), http:// aws.amazon.com/de/ec2/ (zuletzt besucht am 11.1.2013). 2 VMware vCloud Hybrid Service, http://vcloud.vmware.com (zuletzt besucht am 25.10.2013). 3 Google Developers, Google App Engine, https://developers.google.com/appen gine/ (zuletzt besucht am 11.1.2013). 4 VMware, CloudFoundry, http://www.cloudfoundry.com/about (zuletzt besucht am 11.1.2013).
64
Schorer
II. Heutige Definition von Cloud Computing
Rz. 26 Teil 1 C
c) DBaaS Einen relativ neuen Vertreter in der „as a Service“-Riege stellt die Bereit- 24 stellung von Datenbanken oder kurz DBaaS dar. Hierbei werden über ein Webinterface Datenbanken konfiguriert, die dann wiederum aus PaaSAnwendungen heraus oder direkt von auf IaaS laufenden Anwendungen konsumiert werden. Oft ist der DBaaS-Anbieter nicht identisch mit dem PaaS- oder IaaS-Anbieter, was dann sehr schnell zu technisch und damit auch datenschutzrechtlich komplexen Konstrukten führt1, weil z.B. der Anbieter der Datenbankdienste die benötigte Infrastruktur nicht selbst betreibt, sondern bei einem dritten IaaS-Anbieter mietet. Bekannte Anbieter für DBaaS sind Database.com2 und Microsofts SQLAzure3. d) SaaS Am häufigsten wird Cloud Computing als Software as a Service (SaaS) ge- 25 nutzt. Jeder, der ein privates E-Mail-Konto bei web.de, Google oder gmx hat, nutzt SaaS, ohne sich Gedanken darüber zu machen. Das entscheidende Merkmal von SaaS ist, dass für die Nutzung der Software lediglich ein Webbrowser (oder ein anderer Client) notwendig ist und die Software sowohl von einem Desktop-PC aus als auch mittels Smartphone bzw. Tablet-PC genutzt werden kann. Dies liegt daran, dass die Anwendungssoftware (abgesehen vom lokalen Client) vollumfänglich auf dem Rechnersystem des SaaS-Anbieters, also in der Cloud, abläuft. Durch die Nutzung des Browsers als Client wird zudem eine weitreichende Betriebssystemunabhängigkeit erzielt. Während web.de und gmx mit ihren Angeboten nur auf die E-Mail des 26 Privatanwenders abzielen, decken etwa die Angebote von Google die Bedürfnisse von Firmenkunden ab. Google bietet neben der klassischen E-Mail-Anwendung auch ein SaaS-Paket mit Tabellenkalkulations-, Textverarbeitungs- und Präsentationssoftware an. Neben der Bereitstellung von klassischen Funktionen rückt seit ein paar Jahren, vor allem getrieben durch Facebook4, immer mehr auch die Bereitstellung von sozialen Kollaborationstools in den Vordergrund – auch für die geschäftliche Nutzung durch Unternehmen. Bekannte Vertreter dieser Kategorie sind Jive5 und Socialcast6.
1 Vgl. Teil 5. S. auch Grafik „Fiktives Reiseportal“, unten Rz. 73. 2 Salesforce, Database.com, http://www.database.com (zuletzt besucht am 11.1.2013). 3 Microsoft, Windows Azure, Data Management, http://www.windowsazure. com/en-us/home/features/sql-azure/ (zuletzt besucht am 11.1.2013). 4 Facebook, http://www.facebook.com/ (zuletzt besucht am 11.1.2013). 5 Jive Software, Products, http://www.jivesoftware.com/social-business/ (zuletzt besucht am 11.1.2013). 6 VWware, Socialcast, IT Platform Overview, http://www.socialcast.com/it-plat form (zuletzt besucht am 11.1.2013). Schorer
65
Teil 1 C
Rz. 27
IT-Grundlagen
e) DaaS 27
Eine Sonderform von IaaS stellt Desktop as a Service (DaaS) dar. Beim DaaS werden vom Provider komplette Desktops bereitgestellt. In der Regel basieren diese auf Microsoft Windows und beinhalten alle für den Nutzer notwendigen Programme wie E-Mail, eine Office Suite und weitere u.U. firmenspezifische Programme. Diese Desktops werden dann mittels geeigneten Technologien wie Citrix oder VMware View auf Thin Clients gestreamt. Diese Technologie ist nicht ungleich den im Mainframezeitalter verwendeten „dummen“ Terminals, nur dass anstatt reinem Text mittlerweile auch grafische Oberflächen übertragen werden können.
28
Für die, in den Abschnitten Rz. 49 bis Rz. 58 angesprochenen „as a Service“-Modelle gilt, dass sie sowohl on-premises als auch off-premises bereitgestellt werden können. Viele der größeren Anbieter, wie z.B. Amazon, Google und Microsoft stellen die Dienste ausschließlich offpremises zur Verfügung. Bei einem Off-premises-Betrieb kommen auf das den Service nutzende Unternehmen allerdings vor allem Fragen bzgl. Sicherheit und Datenschutz zu (s. Teil 4), die für den Einzelfall bewertet und beantwortet werden müssen. Je nach Art der Daten können aufsichtsrechtliche, steuerrechtliche, arbeitsrechtliche und andere Compliance-Aspekte problematisch werden; siehe hierzu die rechtlichen Ausführungen in Teil 8 (Regulierte Märkte), Teil 6 (Steuerrecht), Teil 5 (Arbeitsrecht) und Teil 4 (Datenschutzrecht).
III. Zugrunde liegende IT-Technologien und Infrastrukturen 29
Wie oben bereits ausgeführt baut Cloud Computing auf Technologien auf, die bereits seit vielen Jahren in der IT etabliert sind. In der Tat sind durch Cloud Computing auch keine neuen Technologien hinzugekommen. Dies führt dazu, dass die Technologie als sehr beherrschbar gilt. Vielmehr sind es Prozess- und Organisationsstrukturen innerhalb von Unternehmen, die sich durch Cloud Computing ändern (vgl. Rz. 66 ff.). Cloud Computing basiert im Wesentlichen auf folgenden Technologien: Siehe auch Abb. 1 auf nächster Seite.
66
Schorer
Rz. 29 Teil 1 C
III. Zugrunde liegende IT-Technologien und Infrastrukturen
Endbenutzer (Browser)
Mandant A
VPN
Mandant N
VPN
HTTP/S
Load Balancer
Load Balancer OS
OS
OS
OS
VM
VM
... VM
Cloud Mandant A
Cloud Mandant N Kommunikation TCP/IP
virtuell
VM
Cloud-Verwaltungssoftware
Speicherpool 12 TB
Rechenleistungspool 216 virtuelle CPUs 512 GB RAM Speicher
Portpool 24 Ports
Ressourcen-Verwaltungssoftware
physikalisch
Virtualisierungs-Software (Hypervisor
4 TB 4 TB 4 TB Festspeicher Harddisks oder Solid State Disks
4 × 24 128 GB
2 × 12 256 GB
4 × 24 128 GB
Rechenleistung Server mit Multicore Prozessoren und RAM-Speicher
8
8
8
Netzwerk Switches mit z.B. je 8 Ports
Abb. 1
Schorer
67
Teil 1 C
Rz. 30
IT-Grundlagen
1. TCP/IP 30
Auf dem TCP/IP1-Protokoll, das auch Internetprotokoll genannt wird, bauen alle weiteren, für Cloud Computing verwendeten Protokolle2 wie z.B. HTTP3 und dessen sichere Variante HTTPS4 auf. 2. VPN
31
Für die Herstellung von sicheren Verbindungen zwischen einem PublicCloud-Anbieter und dem Kunden, kommt oft ein Virtuelles Privates Netzwerk – kurz VPN5 – zum Einsatz. Hierbei wird die komplette Kommunikation zwischen den beiden Endpunkten verschlüsselt, und es entsteht trotz Nutzung des Internets eine private Verbindung, die nur mit hohem Aufwand abgehört werden kann. Der Vorteil ist, dass innerhalb der VPN-Verbindung auch Kommunikationsprotokolle verwendet werden können, die selbst nicht abhörsicher sind, dies aber durch die „Tunnelung“ durch VPN werden. Als Beispiel nicht sicherer Protokolle seien hier HTTP und FTP genannt. 3. Clients
32
SaaS-Angebote werden häufig über normale Webbrowser konsumiert. Hierfür können alle gängigen Browser wie z.B. Internet Explorer, Safari, Firefox oder Google Chrome, eingesetzt werden. Viele Angebote setzen voraus, dass der eingesetzt Browser HTML5 und/oder Flash unterstützt. Bei HTML56 handelt es sich um eine Weiterentwicklung der HTML7-Sprache (Hypertext Markup Language), die für die Erstellung von Webseiten verwendet wird. Bei Flash8 hingegen handelt es sich um eine proprietäre Technologie der Forma Adobe, die vor der Einführung von HTML5 starke Verbreitung fand. Seit der Vorstellung des iPad durch Apple, das kein Flash unterstützt, verliert diese Technologie an Bedeutung, weil sehr viele Webseiten zur iPad Unterstützung mittlerweile von Flash auf HTML5 umgestellt wurden. 1 Vgl. Wikipedia, http://de.wikipedia.org/wiki/Transmission_Control_Protocol/ Internet_Protocol (zuletzt besucht am 11.1.2013). 2 Als Protokoll wird in der IT ein Verfahren zur Reglementierung der Datenübermittlung zwischen zwei oder mehreren Kommunikationspunkten bezeichnet. 3 Vgl. Wikipedia, http://de.wikipedia.org/wiki/Http (zuletzt besucht am 11.1.2013). 4 Vgl. Wikipedia, http://de.wikipedia.org/wiki/Https (zuletzt besucht am 11.1.2013). 5 Vgl. Wikipedia, http://de.wikipedia.org/wiki/Virtual_Private_Network (zuletzt besucht am 11.1.2013). 6 Vgl. Wikipedia, http://de.wikipedia.org/wiki/HTML5 (zuletzt besucht am 11.1.2013). 7 Vgl. Wikipedia, http://de.wikipedia.org/wiki/HTML (zuletzt besucht am 11.1.2013). 8 Vgl. Wikipedia, http://de.wikipedia.org/wiki/Adobe_Flash (zuletzt besucht am 11.1.2013).
68
Schorer
III. Zugrunde liegende IT-Technologien und Infrastrukturen
Rz. 37 Teil 1 C
Browser werden aber auch benötigt, um die Portale von IaaS- and PaaS- 33 Anbietern zu nutzen, wenn man dort z.B. virtuelle Maschinen erstellen möchte. Manche SaaS-Angebote (vgl. Rz. 25) nutzen aber auch spezielle Clients 34 die auf dem Endgerät installiert werden müssen um den Dienst zu nutzen. Der eigentliche Dienst wird aus dem Rechenzentrum des Providers geliefert, jedoch findet die Visualisierung und bestimmte Logik in der Clientsoftware statt. Aus diesem Grund spricht man hier auch von FatClients. 4. Betriebssysteme (Operating System, OS) Als Anbieter von Betriebssystemen kommen kommerzielle wie Micro- 35 soft Windows1, aber auch freie wie Linux2 in Betracht. Interessanterweise führt der Cloud-Gedanke dazu, dass die Bedeutung der Betriebssysteme aus Kundensicht immer mehr in den Hintergrund rückt, denn letztendlich geht es ja darum eine Anwendung oder einen Service bereitzustellen, die bzw. der möglichst betriebssystemunabhängig ist. Nutzt der Kunde die Anwendung oder den Dienst über den Internetbrowser, spielt das Betriebssystem nur insofern eine Rolle, als es den Betrieb des Browser ermöglichen muss. Auf Anbieterseite können mit marktgängigen Hypervisoren virtuelle Ser- 36 vereinheiten auf verschiedenen Betriebssystemen betrieben und auf dieser Grundlage Cloud-Lösungen angeboten werden. Da Cloud-Anwendungen auf den virtuellen Servereinheiten und damit den Hypervisoren – und nicht den Betriebssystemen – aufsetzen, entsteht auch auf Anbieterseite eine Unabhängigkeit vom Betriebssystem. Um diesem – aus Sicht der Betriebssystem-Anbieter – unerwünschtem Ergebnis entgegenzutreten, haben sowohl Microsoft als auch alle Linuxdistributoren in den aktuellen Versionen ihrer Betriebssysteme eingebaute Hypervisoren vorgesehen (vgl. Rz. 40). 5. Multicore-Prozessoren Ohne die Erfindung der Multicore-Prozessoren wäre eine preisgünstige 37 Bereitstellung von Rechenleistung über die Virtualisierungstechnologie nicht möglich gewesen. Der Multicore-Prozessor ist damit eine Basistechnologie des Cloud Computing. Unter einem Multicore-Prozessor3 versteht man einen Prozessor, der auf einem Chip nicht nur eine, sondern viele Recheneinheiten (Kerne) vereint. Typische Multicore-Prozes1 Microsoft, Windows, Windows Products, http://windows.microsoft.com/en-US/ windows/products (zuletzt besucht am 11.1.2013). 2 Linux.org, Distributions, http://www.linux.org/ (zuletzt besucht am 11.1.2013). 3 Vgl. Focus Online, Technik-Lexikon, Multicore-Prozessor, http://www.focus. de/digital/computer/technik-lexikon/multicore-prozessor_aid_604582.html (zuletzt besucht am 11.1.2013). Schorer
69
Teil 1 C
Rz. 38
IT-Grundlagen
soren haben 4, 8, 16, 24, 32 Kerne oder ein Vielfaches davon. Die Kerne arbeiten unabhängig voneinander und können somit als einzelne Prozessoren genutzt werden. Heutzutage eingesetzte Server beherbergen meist mehrere Multicore-Prozessoren die auf sog. Sockeln befestigt sind. Ein Server mit vier Sockeln à 24 Kernen stellt somit insgesamt 96 Kerne zur Verfügung. Mittels eines Hypervisors (vgl. Rz. 40) können diese Kerne gemeinsam verwaltet, und als virtuelle CPU (vCPU) an mehrere auf der Hardware laufende Betriebssysteme verteilt werden. Als Prozessorarchitektur kommt heute die sog. x86-Architektur von Intel zum Einsatz. Alle o.a. Hypervisor-Technologien sind ausschließlich für x86 verfügbar. Anderen Prozessorarchitekturen wie z.B. Power, SPARC oder Itanium fallen wegen der hohen Kosten und der immer geringer werdenden Verbreitung beim Cloud Computing nicht ins Gewicht. 6. Pooling 38
Nur durch Pooling kann erreicht werden, dass Ressourcen dynamisch, automatisiert an den jeweiligen Verbrauch angepasst werden können. Im Detail werden beim Pooling die Ressourcen Rechenleistung (CPU), Arbeitsspeicher (RAM) und Festplattenplatz (Disk) weiter abstrahiert und zu sog. Ressourcenpools zusammengefasst. Dies ermöglicht es, einem virtuellen Server ad hoc mehr CPUs und mehr Speicher zuordnen zu können, ohne dass der Server neu gestartet werden muss. Allerdings heißt Pooling auch, dass sich mehrere Benutzer denselben Hauptspeicher und denselben Festplattenplatz teilen. Aus diesem Grund kommt der Mandantentrennung in solchen Systemen ganz besonderer Bedeutung zu (vgl. Rz. 43).
39
Mittels eines Lastverteilers (eng. Load Balancer) werden von den virtuellen Maschinen eingehende Anfragen nach Ressourcen gleichmäßig auf die zur Verfügung stehende Infrastruktur verteilt. Der Lastverteiler sorgt auch dafür, dass Anfragen umgeleitet werden, sollte ein Server ausfallen. Lastverteiler können sowohl als Hardware ausgeführt sein oder als Software in einer sog. virtuellen Appliance, die ihrerseits wieder virtuelle Ressourcen nutzt. 7. Virtualisierung
40
Ressourcen für die Bereitstellung von Cloud Computing-Diensten werden i.d.R. immer virtuell, also von der Hardware abstrahiert bereitgestellt. Die Schlüsseltechnologie für Cloud Computing-Angebote nennt sich Hypervisor und ermöglicht es, auf einem Hardwaresystem mehrere Betriebssystem-Instanzen laufen zu lassen1. Bei Hypervisoren wird unterschieden zwischen solchen, die direkt auf der Hardware laufen, sog. „bare metal hypervisor“, und solchen, die ein Betriebsystem benötigen. 1 Vgl. Wikipedia, http://de.wikipedia.org/wiki/Hypervisor (zuletzt besucht am 11.1.2013).
70
Schorer
III. Zugrunde liegende IT-Technologien und Infrastrukturen
Rz. 42 Teil 1 C
Bekanntester Vertreter der „bare metal“ Hypervisor-Technologie ist ESX von VMware. Microsoft stellt mit Hyper-V einen Hypervisor her, der nur in Verbindung mit dem Betriebssystem Windows funktioniert. Die meisten Linux-Betriebssysteme werden heute direkt mit eingebauter Hypervisor-Technologie geliefert1. Bekannte Vertreter sind Xen und KVM (Kernel Based Virtual Machine). Durch Virtualisierung wird erreicht, dass auf einer Hardware nicht nur 41 ein, sondern mehrere Betriebssysteme parallel betrieben werden können. Jeder laufenden Betriebssysteminstanz wird durch den Hypervisor vorgespiegelt, dass sie sich alleine auf einer Hardware befindet. Um dies zu bewerkstelligen, muss der Hypervisor virtuelle Hardwareeinheiten, sog. Maschinen, – kurz VM – bereitstellen. Dabei handelt es sich aus Sicht des Betriebssystems um einen ganz normalen x86 Rechner, also einen Computer mit BIOS, Intel kompatibler CPU, einem Hauptspeicher (RAM) und einer oder mehreren Festplatten. Ebenso werden Peripherieanschlüsse wie USB-Ports und ein Bildschirmanschluss emuliert. Der Unterschied zu physikalischer Hardware ist allerdings, dass der Hypervisor mittels der Poolingfunktion jeder VM im laufenden Betrieb mehr oder weniger CPUs, Hauptspeicher und Festplattenplatz zuordnen kann. Außerdem setzt die dynamische Zuordnung von Ressourcen voraus, dass das virtuelle Betriebssystem – der sog. Guest – damit umgehen kann. Die Serverhardware, auf welcher der Hypervisor samt VMs betrieben wird, ist gewissermaßen der Gastgeber und wird dementsprechend wie im Englischen als Host bezeichnet. Die ist nicht zu verwechseln mit Mainframes (Großrechnern)2, die umgangssprachlich auch Host genannt werden. Einer der wesentlichen Vorteile virtualisiert betriebener Systeme ist, 42 dass sich dadurch Kosteneinsparungen erzielen lassen, da einerseits weniger Serverhardware beschafft werden muss, was sich positiv auf die Investitionskosten auswirkt, andererseits die virtuellen Systeme weniger Pflegeaufwand benötigen und somit weniger Betriebskosten anfallen. Hierbei macht man sich die Tatsache zu nutze, dass die Systeme in einer Beschreibungsdatei definiert werden. Diese Beschreibungsdatei wird durch das Virtualisierungssystem interpretiert und erzeugt daraus einen virtuellen Server. Der Aufwand besteht darin, diese Beschreibung einmal zu erstellen. Anschließend können aus ihr beliebig viele, gleichartige Server erzeugt werden. In der physikalischen Welt hingegen müsste jeder Server gekauft, im Rechenzentrum installiert und mit dem Betriebssys1 Linux macht dabei z.B. von der Virtualisierungslösung der Firma Red Hat gebrauch. Vgl. RedHat, Virtualisierung, http://de.redhat.com/solutions/it/virtua lization (zuletzt besucht am 11.1.2013). Ferner kommen auch Open Source-Hypervisoren zum Einsatz, vgl. SuSE https://www.suse.com/de-de/products/ser ver/features unter Verweis auf den im SUSE Linux Enterprise Server integrierten Open Source-Hypervisor. Xen 4.1. 2 Vgl. Wikipedia, http://de.wikipedia.org/wiki/Großrechner (zuletzt besucht am 11.1.2013). Schorer
71
Teil 1 C
Rz. 43
IT-Grundlagen
tem und der Anwendungssoftware bespielt werden. Schließlich müssen die Server noch physikalisch, per Kabel mit dem Netzwerk verbunden werden. Diese Vorgänge werden in der Regel von mehreren Personen durchgeführt und ziehen sich über Tage oder Wochen hinweg. Demgegenüber dauert die Bereitstellung eines virtuellen Servers nur wenige Minuten oder Wochen. 8. Mandantentrennung 43
Wie bereits oben (vgl. Rz. 17) im Hinblick auf die Public Cloud erläutert, muss in einem mandantenfähigen IT-System gewährleistet sein, dass die Datenbestände unterschiedlicher Mandanten getrennt sind und die Systeme unabhängig von einander ablaufen, so dass sich z.B. Fehler im System eines Mandanten nicht auf das System anderer Mandanten auswirken. Mandanten können unterschiedliche Abteilungen einer Firma sein, wie z.B. Personalwesen und Vertrieb, oder aber unterschiedliche Unternehmen, deren IT-Systeme bei einem Public-Cloud-Anbieter betrieben werden.
44
Historisch wurde die Mandantentrennung durch eine physikalische Trennung der Systeme erreicht – der Fachbegriff hierfür ist „air gapped“. Die physikalische Trennung bringt zwar ein Höchstmaß an Sicherheit, ist jedoch ökonomisch gesehen ungünstig, da mehrere vollständig ausgebaute und für die maximale Belastung ausgelegte Systeme parallel betrieben werden müssen, obwohl diese i.d.R. nie gleichzeitig voll belastet werden. Auf Grundlage virtualisierter Servereinheiten werden (vgl. Rz. 40) hingegen mehrere Mandanten effizient parallel auf einem Hardwaresystem betrieben und teilen sich somit CPU, RAM und Speicherplatz.
45
Die Mandantentrennung kann durch den Hypervisor und die benötigte Peripherie wie z.B. angeschlossene Speichersysteme gewährleistet werden. Meist kommt noch eine zusätzliche Verwaltungssoftware für die eigentliche Cloud-Bereitstellung zum Einsatz. Diese erlaubt es den Mandanten Ressourcen aus den Pools (vgl. Rz. 38 f.) zuzuordnen.
46
Moderne Hypervisoren gewährleisten bestimmte Performancewerte für alle laufenden virtuellen Maschinen, also VMs, und verhindern somit, dass eine einzelne VM immer mehr Ressourcen abziehen kann. Ist dies nicht der Fall kann dies, insbesondere bei automatisierten Systemen, von Angreifern ausgenutzt werden, um durch das bewusste Abziehen von Ressourcen andere Softwareanwendungen stillzulegen. 9. Replikation von Daten (engl. Mirroring)
47
Unter Replikation versteht man das redundante (mindestens eine Kopie, oft mehrere) Speichern von Daten, um Ausfallsicherheit zu gewährleisten. Sie kommt immer dann zum Einsatz, wenn IT-Systeme über mehrere Rechenzentren verteilt betrieben werden. Sollte ein Rechenzentrum 72
Schorer
IV. Anbieter von Cloud-Services und Bereitstellungsmodelle
Rz. 50 Teil 1 C
ausfallen, müssen die Systeme des zweiten den Betrieb aufrechterhalten. Dies geht nur dann, wenn die benötigten Daten synchron an beiden Orten vorhanden sind. Meist wird die Replikation direkt von der Steuersoftware der Speichersysteme übernommen, aber es gibt auch Software, die unabhängig vom darunterliegenden Speichersystem repliziert. Diese kommt immer dann zum Einsatz, wenn die benutzten Speichersysteme keine eigenen Replikationsmechanismen unterstützen. Generell muss entschieden werden, ob die Daten synchron oder asynchron geschrieben werden sollen, wobei synchron bedeutet, dass eine Transaktion erst dann als abgeschlossen gilt, wenn die Daten sowohl in der einen, als auch in der anderen „Location“ geschrieben, d.h. gespeichert, wurden. Dies ist der sicherste Weg, der allerdings mit Performanceeinbußen einher geht. Im asynchronen Fall wird nicht auf eine Bestätigung der Gegenseite, d.h. der zweiten „Location“, gewartet. Dies verhindert zwar Leistungseinbußen, kann allerdings kurzfristige Dateninkonsistenzen verursachen. In Banken kommt z.B. in der Regel die synchrone Replikation zum Einsatz. Der Warenkorb einer Internetverkaufsplattform könnte aber z.B. asynchron repliziert werden, um eine hohe Klickgeschwindigkeit für den Benutzer zu ermöglichen. Erst bei der eigentlichen Bestellung, also wenn Adress- und Kreditkartendaten eingegeben werden, macht die synchrone Replikation wieder Sinn.
IV. Anbieter von Cloud-Services und deren Bereitstellungsmodelle Da in den letzten Jahren die Anzahl von Anbietern im Cloud Compu- 48 ting-Bereich explodiert ist, werden im Folgenden nur die wichtigsten Bereiche dargestellt, in denen sich Cloud-Angebote etabliert haben. 1. IaaS für professionelle und Großkunden Der bekannteste Anbieter von Cloud-Dienstleistungen ist seit dem Jahr 49 2006 der Online-Buchhändler Amazon. Die bekanntesten Produkte sind die Speicherplattform Amazon Simple Storage Service (S3), der IaaS Service Amazon Elastic Compute Cloud (EC2) und der PaaS Service Amazon-Web-Services (AWS), der seinerseits S3 und EC2 nutzt, selbst aber auch weitere Dienste, wie z.B. DBaaS, anbietet. Die Hauptrechenzentren von Amazon befinden sich in den U.S.A., wo 50 der Großteil der verfügbaren Rechenleistung abgebildet wird. Es gibt weitere Rechenzentren in Europa und Asien. Amazon gibt die genaue Örtlichkeit der Rechenzentren aus Sicherheitsgründen nicht preis. Es wird vermutet, dass sich auch in Dublin, London, Amsterdam und Frankfurt Rechenzentren von Amazon befinden. Bei der Nutzung von EC2 kann der Kunde nur wählen aus welcher der Regionen (U.S.A., Europa, Asien oder Südamerika) der Service erbracht wird, jedoch nicht aus welchem
Schorer
73
Teil 1 C
Rz. 51
IT-Grundlagen
Land in der Region. Auch die Preisgestaltung ändert sich je nach ausgewählter Region. 51
Ein wichtiges Merkmal der Amazon-Web-Services ist, dass die Ausfallsicherheit durch sog. dynamisches Loadbalancing abgebildet wird. Sollte ein Rechenzentrum ausfallen, wird automatisch und ohne Unterbrechung des Services auf ein anderes Rechenzentrum in der Region umgeschaltet. Sollte eine ganze Region ausfallen, so wird der Service unterbrechungsfrei aus einer anderen Region weiter erbracht. Dies heißt aber auch, dass bei einem Ausfall des Rechenzentrums in Irland der Service u.U. ad hoc aus den U.S.A. oder Asien erbracht wird. Damit dieses Umschalten reibungslos funktioniert, müssen auch die Daten über die Regionen repliziert (vgl. Rz. 47) werden. Dies übernehmen die von Amazon bereitgestellten Datendienste. Trotz dieser ausgeklügelten Sicherheitsmechanismen kam es am 21.4.2011 zu einem Totalausfall des EC2-Services an der Ostküste der U.S.A., der auch zu Datenverlust für einzelne Kunden führte. Amazon konnte die Daten nicht wiederherstellen und bot den betroffenen Kunden lediglich eine Vergütung der für den Ausfallzeitraum angefallenen Kosten an. 2. Virtuelle Festplatte
52
Über den seit 2007 bestehenden Dienst Dropbox wird online Speicher zur Verfügung gestellt. Der Dienst erfreut sich besonders bei Nutzern von Smartphones und Tablet-Computern großer Beliebtheit. Mittels des Dienstes lassen sich beliebige Dateien zwischen herkömmlichen Computern und mobilen Geräten austauschen. Als Datenspeicher kommt Amazon S3 (vgl. Rz. 49) zum Einsatz. Der Nutzer von Dropbox hat keine Möglichkeit zu beeinflussen, in welcher Region oder welchem Land die Daten abgelegt werden. Unternehmen stehen dem Einsatz dieses Dienstes skeptisch gegenüber, insbesondere sofern dies unkontrolliert durch die Mitarbeiter geschieht. Ähnliche Services werden mittlerweile auch von anderen Anbietern bereitgestellt, z.B. Box.net und Google Drive. 3. Stets verfügbare Notizen
53
Ein ebenfalls bei Nutzern von Smartphones und Tablet-Computern beliebter Dienst ist seit 2008 Evernote. Der Service synchronisiert Notizen und deren Dateianhänge wie Fotos, Präsentationen und andere elektronische Dokumente zwischen allen Geräten des Nutzers. Es gibt sowohl ein klassisches SaaS-Frontend für den Browser als auch Apps für verschiedene mobile Betriebssysteme. Auch bei Evernote kann der Nutzer nicht wählen in welcher Region oder welchem Land die Daten abgelegt werden. Unternehmen dulden meist die Benutzung von Evernote in Ermangelung von Alternativen. Die Rechenzentren von Evernote befinden sich ausschließlich in den U.S.A.
74
Schorer
IV. Anbieter von Cloud-Services und Bereitstellungsmodelle
Rz. 56 Teil 1 C
4. Bürosoftware als SaaS Das bekannteste Produkt von Google ist mit Abstand die Suchmaschine. 54 Mit Google Apps stellt Google jedoch auch eine rein als SaaS bereitgestellte Bürosoftware, die über die Jahre mit Funktionen wie Chat, Videokonferenz u.v.a. erweitert wurde, zur Verfügung. Google Apps steht sowohl als freie, werbefinanzierte Version für Privatkunden zur Verfügung, als auch als kostenpflichtige Version für Unternehmen. Das Google-Datenmodell sieht vor, dass Daten bzw. deren Bruchstücke weltweit und transparent für den Nutzer abgespeichert werden. Dies impliziert aber gleichzeitig, dass der Kunde nicht wählen kann in welcher Region bzw. welchem Land die Daten liegen. Google behauptet selbst nicht zu wissen, wo wessen Daten genau liegen1. Wegen des sehr günstigen Preises ist die Anwendung vor allem bei kleinen und mittelständischen Unternehmen im europäischen Ausland beliebt. Deutsche Unternehmen haben wegen der unklaren Datenablage Vorbehalte gegen die Nutzung. Ein weiteres Produkt ist die Google App Engine, ein PaaS-Dienst der sich an Softwareentwickler richtet. Auch die App Engine nutzt die skalierbare, weltumspannende Infrastruktur von Google. Seit 2011 betreibt das Unternehmen auch einen Kollaborationsdienst. Die Lage der Rechenzentren hält man geheim. Aber auch herkömmliche, sehr verbreitete Büroanwendungen werden in- 55 zwischen im Rahmen eines SaaS angeboten, wobei allerdings nicht immer gänzlich auf die Installation bestimmter Komponenten auf dem Clientrechner verzichtet werden kann2. 5. Plattformen für Softwareentwickler Des Weiteren gibt es PaaS-Lösungen, z.B. den seit 2011 verfügbaren PaaS- 56 Dienst Cloudfoundry, mit denen Unternehmen Software entwickeln und auf einer skalierbaren Infrastruktur betreiben können. Cloudfoundry steht als Open Source-Lösung Cloudfoundry.org und als kommerzielle Lösung Cloudfoundry.com zur Verfügung. Im Hintergrund stehen wiederum häufig Cloud-Lösungen von Großanbietern auf einem höheren Abstraktionsniveau (IaaS). Ein Beispiel hierfür ist Heroku, die den IaaS Dienst EC2 von Amazon (vgl. Rz. 49) zur Bereitstellung eines PaaSDienstes für Softwareentwickler nutzen. Auf Heroko kann Software entwickelt und auch betrieben werden. Hierfür werden die Skalierungsmechanismen von Amazons EC2-Cloud genutzt. Bezüglich der Lokation der Rechenzentren gilt das für Amazon gesagte. Heroku ist ein Tochterunternehmen von Salesforce.com (vgl. Abschnitt 6).
1 Google Developers, Data Storage and Replication, Where is my data stored? https://developers.google.com/cloud-sql/faq#data_location (zuletzt besucht am 11.1.2013). 2 Microsoft Office 365, http://office.microsoft.com (zuletzt besucht am 25.10.2013). Schorer
75
Teil 1 C
57
Rz. 57
IT-Grundlagen
Ein weiteres Angebot für softwareentwickelnde Unternehmen ist die seit 2010 von Microsoft betriebene Cloud-Plattform Azure, aus der sowohl IaaS-Dienste, als auch PaaS und DBaaS bereitgestellt werden. Azure richtet sich vornehmlich an Unternehmen mit eigener Software-Entwicklung denen die Plattform die Möglichkeit bieten soll, bisher on-premises betriebene Software in die Cloud zu verlagern. Beim Design von Azure wurde besonderes Augenmerk darauf gerichtet, dass eine einfache Verbindung von on-premises betriebenen Softwaresystemen mit in der Azure Cloud betriebenen Systemen möglich ist. Windows Azure ist auch onpremises als sog. Azure Appliance verfügbar. Über die Standorte der Rechenzentren gibt Microsoft Auskunft. Diese befinden sich im Norden und Süden der U.S.A., in Irland und Amsterdam für Europa und in Asien. 6. CRM-Anwendungen
58
Die im Jahre 1999 gegründete Firma Salesforce.com stellt als wichtigstes Produkt die gleichnamige Customer Relationship Management (CRM) Software im Rahmen eines SaaS-Dienstes zur Verfügung. Salesforce.com gilt als der Urvater des SaaS-Gedankens. Das Unternehmen betreibt neben dem SaaS-Dienst den oben erwähnten PaaS-Dienst Heroku und auch die Plattform Force.com, auf der Softwarehäuser und unabhängige Entwickler Zusatzmodule für das CRM-System entwickeln können. Diese Zusatzprogramme werden über den ebenfalls von von diesem Unternehmen betriebenen online Marktplatz vertrieben. Ein sehr neues Produkt im Portfolio ist ein Dienst, der Online-Datenbanken (DBaaS) zur Verfügung stellt. Das Unternehmen macht offiziell keine Angaben über den Standort der Rechenzentren, jedoch gilt als sicher, dass der Großteil der Dienste aus U.S.-Rechenzentren erbracht wird. 7. Soziale Netzwerke für Unternehmen
59
Das im Jahre 2001 gegründete Unternehmen Jive liefert durch die gleichnamige Kollaborationslösung ein soziales Netzwerk speziell für Unternehmen. Das Unternehmen hat hierfür den Begriff Wissensmanagement-Lösung geprägt. Die Software ist sowohl als reine SaaS-Lösung off-premises als auch als on-premises Lösung verfügbar. Ein weiteres Beispiel ist die Kollaborationssoftware von Socialcast, die in drei Bereitstellungsmodelle angeboten wird, von denen zwei off-premises sind und eines on-premises als sog. VMware virtual appliance. Über die genauen Standorte der Rechenzentren in den U.S.A. und der EU schweigt sich Socialcast aus1.
60
Die zunehmende Verbreitung derartiger Lösungen ist der Tatsache geschuldet, dass immer mehr Menschen Facebook im Privatleben nutzen
1 http://www.socialcast.com/administration (zuletzt besucht am 14.1.2013).
76
Schorer
IV. Anbieter von Cloud-Services und Bereitstellungsmodelle
Rz. 63 Teil 1 C
und wissen, wie man mit der Software umgeht. Dies stellt auch für Unternehmen eine ernste Gefahr dar, denn wenn im Unternehmen selbst keine Möglichkeit besteht, „facebookartig“, also kollaborativ zu arbeiten, könnten Mitarbeiter auf ihren privaten Facebook-Account ausweichen, um sich mit Kollegen über Firmenangelegenheiten auszutauschen. 8. Bürosoftware Auch Bürosoftware kann aus der Cloud als SaaS-Dienst bezogen werden. 61 Prominentes Beispiel ist Microsoft Office 365. Dabei handelt es sich nicht um ein komplett neues Produkt, sondern es ist der neue Name für das Produkt Microsoft Business Productivity Online Services (BPOS). Office 365 richtet sich vor allem an Unternehmen kleinerer und mittlerer Größe. Über Office 365 werden Dienste wie Bürokommunikation und eMail bereitgestellt (vgl. Rz. 55). Zur Nutzung der Dienste müssen nach wie vor Microsoft-Office-Komponenten auf dem Arbeitsplatz installiert sein. Es handelt sich also nicht um eine reine SaaS-Lösung gemäß Definition (vgl. Rz. 25). Ferner wird nur das Windows-Betriebssystem unterstützt. Die ebenfalls erhältliche Browserversion Office Web Apps stellt eine Software für die Bearbeitung von Textdokumenten, Tabellenkalkulationen und Präsentationen im bekannten Microsoft-Office-Format zur Verfügung, die jedoch auch nur mit Browsern, die auf dem Windows Betriebssystem laufen, harmoniert. Office 365 und Office Web Apps werden aus den bekannten Microsoft-Rechenzentren bereitgestellt. 9. Cloud-Ökosysteme IBM stellt aus der sog. SmartCloud1 verschiedene Dienste zur Verfügung. 62 Neben klassischen IaaS-Diensten für Entwicklungs- und Testzwecke findet sich ein eMail SaaS-Dienst (LotusLive), aber auch Sicherheitssoftware zum Schutz vor Schadprogrammen. Als einer der ersten Anbieter am Markt liefert das Unternehmen auch komplette virtuelle Desktopumgebungen (vgl. Rz. 27) aus der Cloud. Es betreibt zudem ein großes deustches Rechenzentrum in Böblingen. Es ist jedoch im Einzelfall zu prüfen welcher der o.a. Dienste direkt aus Böblingen angeboten wird und welche in den internationalen Rechenzentren von IBM betrieben werden. Auch bei der VMware vCloud2 handelt es sich nicht um eine einzelne 63 Lösung, sondern vielmehr um eine Cloud, die von internationalen
1 http://www-935.ibm.com/services/de/de/cloud-enterprise/ (zuletzt besucht am 14.1.2013). 2 VMware, vCloud-Services, http://vcloud.vmware.com/ (zuletzt besucht am 11.1.2013). Schorer
77
Teil 1 C
Rz. 64
IT-Grundlagen
VMware Partnern wie z.B. Atos1, CSC2, Colt Telecom3 aber auch vielen deutschen Rechenzentrums-Partnern wie Dunkel, T-Systems4 oder WuSys5 betrieben wird. Im Jahr 2013 eröffnete VMware auch selbst Rechenzentren in den USA und Europa aus denen der sog. vCloud Hybrid Service bereitgestellt wird6. Die Partner in diesem Ökosystem haben sich verpflichtet, IaaS-Dienste auf einem kompatiblen Softwarestack anzubieten und es so zu ermöglichen, dass Kunden die bereits eine Private Cloud mit VMware Technologie aufgebaut haben, ihre Anwendungen aus dem eigenen Rechenzentrum in eine der vielen Partner Clouds verschieben können. Die Interoperabilität wird durch Nutzung eines gemeinsamen, offenen Formats, des Open Virtualization Formats7 (OVF) gewährleistet. 64
Der vCloud Partner CSC bietet die Cloud-Lösung sowohl off-premises als auch on-premises als Managed-Service an. 10. Deutsche Anbieter folgen
65
Auch deutsche Anbieter haben sich zunehmend am Markt etabliert. Entstanden aus dem Outsourcing-Geschäft liefert z.B. T-Systems heute aus der Cloud sowohl Basisdienste wie IaaS, betreibt für Kunden aber auch komplexe SAP-Systeme. Im Juni 2012 hat T-Systems vCloud (vgl. Rz. 22 a.E.) kompatible Dienste angekündigt. Der Fokus von T-Systems liegt auf Managed-Private-Cloud-Lösungen. T-Systems betreibt Rechenzentren in Deutschland. Die Anbindung an diese Rechenzentren erfolgt i.d.R. nicht über das Internet, sondern über das selbst betriebene MPLSNetzwerk.
V. IT-Prozesse, die sich durch Einführung von Cloud Computing ändern 66
Wie bereits oben erwähnt, basiert Cloud Computing auf bekannten, marktgängigen Technologien. Allerdings müssen zum Teil über lange 1 Atos, Cloud-Services, http://atos.net/en-us/solutions/cloud-services/default. htm (zuletzt besucht am 11.1.2013). 2 CSC, Cloud Computing Services, http://www.csc.com/cloud (zuletzt besucht am 11.1.2013). 3 Colt, Cloud-Dienste, http://www.colt.net/de/de/products-services/cloud-servi ces/index.htm (zuletzt besucht am 11.1.2013). 4 T-Systems, Cloud Readiness Services, http://www.t-systems.de/loesungen/ cloud-readiness-services-geplant-und-strukturiert-in-die-wolke/753094 (zuletzt besucht am 11.1.2013). 5 WuSys, Cloud, http://www.wusys.com/leistungen/cloud.html (zuletzt besucht am 11.1.2013). 6 VMware vCloud Hybrid Service, http://vcloud.vmware.com (zuletzt besucht am 25.10.2013). 7 Vgl. Wikipedia, http://de.wikipedia.org/wiki/Open_Virtualization_Format (zuletzt besucht am 11.1.2013).
78
Schorer
V. IT-Prozesse
Rz. 68 Teil 1 C
Jahre etablierte Prozesse angepasst oder abgeschafft und neue Prozess eingeführt werden, wenn Cloud-Services in Anspruch genommen werden. Getrieben durch den Selbstbedienungansatz sind hierdurch neben Prozessen im IT-Management und IT-Sicherheit (s.u. VII Rz. 75 ff.) vor allem Prozesse im Bereich Beschaffungs- und Genehmigungswesen betroffen. Zur Erläuterung sei hier beispielhaft der Beschaffungsprozess für einen 67 Server als Entwicklungs- und Testsystem genannt. Der normale Beschaffungsprozess könnte in etwa wie folgt ablaufen: 1. Ein Entwickler hat den Bedarf für einen zusätzlichen Server erkannt. 2. Ein Beschaffungsantrag (Papier oder elektronisch) wird ausgefüllt und die benötigte Leistung des Servers darin beschrieben. 3. Der zuständige Projektleiter zeichnet den Antrag ab. 4. Der Antrag wird an die zuständige IT-Abteilung weitergeleitet. 5. Die IT-Abteilung überprüft, ob ein Server mit der geforderten Leistung vorhanden ist. Wir nehmen für das Beispiel an, dass dies nicht der Fall ist. 6. Die IT-Abteilung stößt den Beschaffungsprozess an. 7. Der Einkauf erhält den Beschaffungsantrag und fordert i.d.R. bei drei Herstellern Angebote an. 8. Der Einkauf erhält die Angebote und sichtet diese. 9. Nach Rücksprache mit der IT-Abteilung wird i.d.R. der preiswerteste Server bestellt. 10. Nach Lieferung des Servers wird dieser von der IT-Abteilung installiert und in den Bestand aufgenommen. Wir nehmen für diese Beispiel an, dass sowohl die Betriebssysteminstallation als auch die Netzwerkkonfiguration in diesem Schritt enthalten sind. 11. Der Server wird dem Projekt in Form eines elektronischen Zugangs übergeben. 12. Die Beschaffungskosten werden dem Projekt in Rechnung gestellt. Dem entgegen kann sich ein Cloud-basierter Prozess wie folgt darstellen, 68 wobei es für den Beispielsprozess unerheblich ist, ob die Ressourcen für den Server aus einer privaten oder einer öffentlichen Cloud bereitgestellt werden. 1. Ein Entwickler hat den Bedarf für einen zusätzlichen Server erkannt. 2. Der Entwickler konfiguriert den virtuellen Server gemäß seinen Anforderungen über ein Webportal der IT-Abteilung und bestellt diesen dann per Mausklick. 3. Der zuständige Projektleiter gibt die Bestellung frei – dieser Schritt ist optional. Schorer
79
Teil 1 C
Rz. 69
IT-Grundlagen
4. Der zuständige Abteilungsleiter gibt die Bestellung frei – dieser Schritt ist optional. 5. Der Server wird automatisch über einen Ressourcenpool (vgl. Rz. 8 u. Rz. 38) bereitgestellt. 6. Die tatsächlichen Nutzungskosten werden dem Projekt monatlich in Rechnung gestellt. 69
An o.a. Beispiel wird deutlich, worin für Unternehmen der Reiz von Cloud Computing besteht: Prozesse können deutlich verschlankt und dadurch effektiver gemacht werden. Wartezeiten für notwendige Ressourcen werden minimiert, wodurch sich Projekte schneller umsetzen lassen, was wiederum zu verbesserter „Time To Market“ (kurz TTM) führt. 1. Projektbudgetierung und Controlling
70
Die Belastung tatsächlicher Nutzungskosten (Betriebskosten) an Stelle von Beschaffungskosten stellt allerdings sowohl die Projektleitung als auch den IT-Betrieb vor Probleme was die Budgetberechnung vor Projektbeginn angeht. Wo bisher mit Personal- und einmaligen Beschaffungskosten gerechnet wurde, müssen nun Betriebskosten über die Projektlaufzeit kalkuliert werden. Dies setzt aber erstens voraus, dass bekannt ist, was der Betrieb eines virtuellen Servers einer bestimmten Leistungsklasse pro Stunde oder Tag kostet und zweitens, dass abgeschätzt werden kann, welche Ressourcen wie lange benötigt werden.
71
Auch das Projektcontrolling wird wegen der notwendigen Berechnung von bereitgestellten und tatsächlich genutzten Ressourcen anspruchsvoller. Sind virtuelle Server zwar bestellt, aber nicht genutzt worden, so belasten sie das Projektbudget unnötig. Dies macht deutlich, warum die o.a. als optional gekennzeichneten Kontrollschritte Nr. 3 und 4 des Cloud-Beschaffungsprozesses durchaus Sinn machen, denn sie erlauben es der durch die Selbstbedienung möglichen Ressourcenverschwendung Einhalt zu gebieten. 2. Providerüberwachung und SLA-Management
72
Beim Betrieb aller Bestandteile eines Services im eigenen Rechenzentrum ist die Überwachung der geforderten Service-Level-Agreements (SLA) wesentlich einfacher als bei der Orchestrierung eines Services, der sich aus selbst erbrachten und einem oder mehreren Cloud-Diensten zusammensetzt.
73
Dies soll am Beispiel eines Reisebuchungsportal erläutert werden, das es den Mitarbeitern eines Unternehmens ermöglicht, selbständig eine Dienstreise zu buchen. Es sei angenommen, dass im Pflichtenheft für dieses Portal definiert wurde, dass die maximale Antwortzeit 3 Sekunden betragen soll. Weiter sei angenommen, dass lediglich die Webseite des 80
Schorer
Rz. 74 Teil 1 C
V. IT-Prozesse
Portals im Rechenzentrum des Unternehmens betrieben wird und dass alle anderen Services aus der Cloud kommen. Im Folgenden bucht ein Mitarbeiter eine Reise mit Flug, Bahn, Mietwagen und Hotelübernachtung. Für den Mitarbeiter ist es nicht ersichtlich, wo die einzelnen Services erbracht werden, da er nur die Webseite des internen Reiseportals sieht. Meldet dieser Mitarbeiter nun an seine interne IT-Abteilung, dass der Service nicht in gewohnter Weise zur Verfügung steht („Buchung ist langsam“), dann wird die Fehlersuche mit der Länge der Abhängigkeitskette immer schwieriger. Vor allem dann, wenn die Dienstleister ihrerseits wiederum Leistungen anderer Cloud-Service-Anbieter nutzen. In der u.a. Grafik nutzt z.B. der Flugbuchungsprovider (Provider B) und der Mietwagenbuchungsprovider (Provider E) zum Betrieb und Ablage der Daten einen IaaS-Anbieter (Provider C). Sollte Provider C Performanceprobleme in seiner Infrastruktur haben, so wird sich dies sowohl auf die Flugbuchung (Provider B) als auch auf die Mietwagenbuchung (Provider E) auswirken. Noch komplexer wäre es, wenn bei der Hotelbuchung (Provider F) Probleme auftreten, weil insofern nicht nur eine Abhängigkeit von Provider G besteht, bei dem der Provider G IaaS-Dienste bezieht, sondern auch noch von den Providern H, I, und J, die Provider F Hoteldaten liefern. Reiseportal Architektur Vertragsnehmer
Unternehmen
InfrastrukturDatenbetrieb bereitstellung
Webseite des Portals
Eigenbetrieb
Service – Single Sign on
Provider A
Service Bahnbuchung Service Autobuchung
Provider B SLA Vertrag
Service Flugbuchung
Provider C Provider D
Provider E
Provider C Provider H
Service Hotelbuchung
Provider F
Provider G
Provider I Provider J
Abhängigkeit
Abb. 2: Fiktives Reiseportal eines Unternehmens
Dieses Beispiel verdeutlicht, dass dem Providermanagement eine viel 74 stärkere Rolle zukommt als bisher. In vielen Unternehmen muss es verSchorer
81
Teil 1 C
Rz. 75
IT-Grundlagen
mutlich sogar erst im Zusammenhang mit der Nutzung von Cloud-Services eingeführt werden.
VI. Sicherheitsanforderungen an Cloud Computing 75
Die Frage der Erfüllung von Sicherheitsanforderungen stellt in besonderem Maße im Falle von Public oder Community Clouds und dem Sonderfall der Managed-Private-Cloud. Generell gilt, dass die Sicherheitsanforderungen anwendungsbezogen sehr unterschiedlich ausfallen können. So hat z.B. eine öffentlich zugängliche Webseite eines Unternehmens i.d.R. geringere Sicherheitsanforderungen als der E-Mail-Server, dessen Sicherheitsanforderungen aber wiederum geringer sind als die des ERP-Systems oder anderen Systemen, mit denen das Kerngeschäft des Unternehmens betrieben wird.
76
Bei der Einführung von Cloud Computing geht es nun darum festzulegen, welches System sich anhand der Sicherheitsanforderungen für den Betrieb in der Public Cloud eignet und welches besser im eigenen Rechenzentrum (z.B. in einer Private Cloud) betrieben werden sollte. Auf keinen Fall dürfen notwendige Sicherheits- und Compliance-Standards durch den Betrieb einer Anwendung in der öffentlichen Cloud kompromittiert werden. Ist dies der Fall, so ist entweder die Eignung der Anwendung unter o.a. Aspekten grundsätzlich zu überprüfen oder ein Anbieter von Cloud-Diensten vorzuziehen, der höhere Sicherheitsstandards gewährleisten kann.
77
Im Folgenden werden einige Anregungen zur Auswahl von Anwendungen für den Betrieb in der Public Cloud gegeben. 1. Aus technischer Sicht für den Betrieb in der Public Cloud geeignete Anwendungen
78
Generell sind all die Anwendungen für den Betrieb in der Public Cloud geeignet, auf die von externer Seite über das Internet zugegriffen wird. Diese Anwendungen werden regelmäßig in einer demilitarisierten Zone (DMZ) betrieben, also abgeschottet vom internen Firmennetzwerk (Intranet). Hierzu zählen Webauftritte des Unternehmens, Webshops und auch Collaboration-Server. Teilweise werden auch E-Mail-Server in der Public Cloud betrieben, obwohl E-Mails personenbezogene Daten und geheime Informationen enthalten. Sollten aber diese in der Public Cloud liegenden Systeme von außen angegriffen werden, so wird die Sicherheit durch den Betrieb in der Public Cloud sogar erhöht, weil die Angreifer zwar theoretisch Zugriff auf die Systeme des Cloud-Anbieters erreichen können, es jedoch sehr viel schwerer wird die internen Systeme des CloudKunden zu erreichen.
82
Schorer
VI. Sicherheitsanforderungen an Cloud Computing
Rz. 82 Teil 1 C
Ferner sind hier nicht unternehmenskritische Systeme zu nennen, wie 79 etwa Test- und Entwicklungssysteme, die nur eine kurze Lebensdauer haben und auf denen aus datenschutzrechtlichen Gründen auch nur anonymisierte Daten gehalten werden. Für den Betrieb in der Public Cloud eingeschränkt geeignete Anwendun- 80 gen sind grundsätzlich diejenigen, die sensible personenbezogene Daten oder sonst aus betrieblicher Sicht sensible Daten, wie z.B. Geschäftsgeheimnisse verarbeiten. Systeme zur Produktionsüberwachung und -Steuerung sind genauso wie Zugangskontrollsysteme ebenfalls nicht für den Betrieb in der Public Cloud geeignet. Sollen solche System bei einem Cloud-Anbieter (also sozusagen off-premises) betrieben werden, so ist zu prüfen, ob der Cloud-Anbieter für Kunden dedizierte Systeme bereitstellt oder ob er Möglichkeiten bietet, die Systeme so voneinander zu trennen, dass der Zugriff eines Mandanten auf Daten eines anderen Mandanten ausgeschlossen ist. Des Weiteren muss der Cloud-Anbieter Angriffe auf die Daten durch Angreifer von Außen durch entsprechende Schutzvorkehrungen wie Firewalls und Intrusion-Detection-Systeme1 sicherstellen. 2. Daten-Lebenszyklus Das traditionelle Daten-Lebenszyklus-Management definiert die folgen- 81 den sechs Lebensabschnitte: 1. Erzeugung 2. Speichern 3. Nutzung 4. Verteilen 5. Archivierung 6. Löschung Hierbei wurde bislang davon ausgegangen, dass die Daten sich nur an 82 einer Lokation – i.d.R. im eigenen Rechenzentrum befinden. Mit Cloud Computing muss der Daten-Zyklus für alle möglichen Lokationen bestimmt werden, insbesondere für in der Public Cloud gespeicherte Daten. Ebenso sind mobile Geräte die Smartphones und Tablets, auf denen ebenfalls Daten gespeichert werden können, in diese Überlegung miteinzubeziehen.
1 Vgl. Wikipedia: http://de.wikipedia.org/wiki/Intrusion_Detection_System (zuletzt besucht am 11.1.2013); zum Unterschied zur Firewall: OmniSecu.com, Difference between Firewall and Intrusion-Detection System, http://www.omnise cu.com/security/infrastructure-and-email-security/difference-between-firewalland-intrusion-detection-system.htm (zuletzt besucht am 11.1.2013). Schorer
83
Teil 1 C
83
Rz. 83
IT-Grundlagen
Die bisherige Definition für das Management des Daten-Lebenszyklus genügt den Anforderungen von Cloud Computing also nicht mehr, da sie folgende Fragen unbeantwortet lässt: – Was sind mögliche Daten-Lokationen (private, public, hybrid)? – Was ist der Lebenszyklus und mögliche Kontrollmöglichkeiten in diesen Lokationen? – Zwischen welchen Lokationen können Daten in welchem Teil des Lebenszyklus wandern? – Über welche Kanäle wandern die Daten zwischen den Lokationen? – Wer kann auf den verschiedenen Lokationen auf die Daten zugreifen? – Über welches Gerät und welchen Kanal wird zugegriffen?
84
Die Public-Cloud-Anbieter sehen in der Regel den Nutzer des Services in der Pflicht, sich um das Daten-Lebenszyklus-Management zu kümmern. Dies ist jedoch nur zum Teil möglich, denn sobald der Anbieter die Daten aus Hochverfügbarkeitsgründen in der von ihm betriebenen Infrastruktur repliziert (vgl. Rz. 47 ff.), muss der Nutzer sich darauf verlassen, dass die replizierten Daten gelöscht werden, wenn er das Original löscht. Genauso muss der Anbieter sicherstellen, dass alle Daten gelöscht werden, wenn der Nutzer den Dienst nicht mehr länger nutzt.
85
Außerdem stellt sich die Frage, wie der Anbieter sicherstellt, dass keiner seiner Mitarbeiter auf die Daten der Nutzer zugreifen kann. Die sicherste Methode ist es, die Daten zu verschlüsseln, bevor sie an den Anbieter übermittelt und bei diesem gespeichert werden. Nur so kann gewährleitet werden, dass die Daten auch dann nicht gelesen werden können, wenn ein Mitarbeiter des Anbieters Zugriff auf die Festplatten erlangt oder wenn defekte Festplatten ausgetauscht aber nicht ordnungsgemäß zerstört werden. Da die Verarbeitung verschlüsselter Daten jedoch bisher nur sehr eingeschränkt möglich ist (nämlich nur bei sog. homomorpher Verschlüsselung), kommt eine Verschlüsselung in der Regel nur in Betracht, wenn der Dienstleister die Daten nur speichert (IaaS) und keine Verarbeitungsschritte durchführt.
86
Die Erweiterung des Daten-Managements auf mobile Geräte steckt noch in den Kinderschuhen und erfordert individuelle Lösungen. Wie kann z.B. gewährleistet werden, dass Daten auf mobilen Geräten zerstört werden, wenn die Daten auch im Zentralsystem zerstört werden?
84
Schorer
Rz. 88 Teil 1 C
VII. Anstze zur Auswahl von Cloud-Anbietern
Cloud- und Hosting-Anbieter
Erzeugen
Traditionelle IT Zerstören
Speichern
Archivieren
Nutzen
Verteilen
Endgerät
Endgerät
Endgerät
Endgerät
Abb. 3: Daten-Lebenszyklus
VII. Ansätze zur Auswahl von Cloud-Anbietern Bei der Auswahl eines Cloud-Anbieters sollte darauf geachtet werden, 87 dass dessen Prozesse und das Rechenzentrum selbst zertifiziert sind. Welche Zertifizierungen für den Betrieb einer Unternehmensanwendung in der Cloud notwendig sind, kann nicht generell festgestellt werden, da die sinnvollen Zertifizierungen von den Anforderungen eines jeden Unternehmens abhängen. Als Leitfaden kann aber das Eckpunktpapier Cloud Computing des BSI1 dienen, das sich an Kunden wie Anbieter von Cloud Computing-Leistungen richtet. Grundsätzlich kommen die folgenden, am Markt gängigen Zertifizierun- 88 gen in Betracht: – ISO/IEC 27001: Die internationale Norm ISO/IEC 27001 „Information technology – Security techniques – Information security management systems – Requirements“ spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung 1 BSI, Sicherheitsempfehlungen für Cloud Computing-Anbieter, https://www.bsi. bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepa pier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publica tionFile (zuletzt besucht am 11.1.2013). Schorer
85
Teil 1 C
Rz. 89
IT-Grundlagen
eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation. Hierbei werden sämtliche Arten von Organisationen (z.B. Handelsunternehmen, staatliche Organisationen, Non-Profit-Organisationen) berücksichtigt. Die Norm wurde auch als DIN-Norm veröffentlicht1. – PCI DSS: Der „Payment Card Industry Data Security Standard“, üblicherweise abgekürzt mit PCI bzw. PCI-DSS, ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird2. Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen abwickeln, müssen die Regelungen erfüllen und durch entsprechende Zertifizierungen nachweisen3. Halten sie sich nicht daran, können Strafgebühren verhängt, Einschränkungen ausgesprochen, oder ihnen letztlich die Akzeptanz von Kreditkarten untersagt werden. Die Einhaltung der Regeln wird üblicherweise in Abhängigkeit vom Umsatzvolumen des Unternehmens überprüft. – DCSA: Das „Datacenter Star Audit“4 existiert seit 2005 und befasst sich mit den Kriterien Gebäude (Zugangskontrolle, Wachschutz, Brandschutz, etc.), Technik (Energieversorgung, Blitzschutz, Luftfilterung, etc.), Prozesse (ITIL5-Konformität, Datensicherheit, etc.) und Personal (Verfügbarkeit, Qualifikation, Qualitätssicherung, etc), 89
Rechenzentren sind die technische Basis von Cloud Computing6. Insofern ist es wichtig, dass jeder Anbieter, der selbst ein Rechenzentrum betreibt, die Sicherheit seiner Anlagen nach dem aktuellen Stand der Technik gewährleistet. Dazu zählen eine permanente Überwachung der Zugänge, etwa durch Videoüberwachungssysteme, Bewegungssensoren, Alarmsysteme und geschultes Sicherheitspersonal. Versorgungskomponenten, die für den Betrieb unverzichtbar sind, sollten redundant ausgelegt sein, so z.B. die Stromversorgung, Klimatisierung und Internetan1 Vgl. Wikipedia, http://de.wikipedia.org/wiki/ISO/IEC_27001 (zuletzt besucht am 11.1.13); DIN/NIA, DIN ISO/IEC 27001, http://www.nia.din.de/cmd?le vel=tpl-art-detailansicht&committeeid=54738935&subcommitteeid=54770248& artid=103960154&bcrumblevel=3&languageid=de (zuletzt besucht am 11.1.2013). 2 PCI Security Standards Counsil, https://www.pcisecuritystandards.org/ (zuletzt besucht am 11.1.2013). 3 http://www.elavon.com/acquiring/germany-de/service/pci-dss.aspx (zuletzt besucht am 14.1.2013). 4 Datacenter Star Audit eco, http://www.dcaudit.de/ (zuletzt besucht am 11.1.2013). 5 Vgl. Wikipedia, http://de.wikipedia.org/wiki/ITIL (zuletzt besucht am 11.1.2013). 6 BSI, Sicherheitsempfehlungen für Cloud Computing-Anbieter, S. 28, https:// www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eck punktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob= publicationFile (zuletzt besucht am 11.1.2013).
86
Schorer
VIII. Mobile Gerte
Rz. 93 Teil 1 C
bindung. Auch zeitgemäße Vorkehrungen für den Brandschutz müssen umgesetzt sein und regelmäßig getestet werden. Ein Rechenzentrum sollte insgesamt einen Sicherheitsbereich bilden, der sowohl ausreichend vor Elementarschäden, z.B. durch Gewitter oder Hochwasser, als auch vor unbefugtem Eindringen geschützt ist. Um die Integration in die Prozesse des Kunden zur vereinfachen, sollten 90 die Cloud-Anbieter für das Management von Patches und Änderungen, für das Management von Netzen, Systemen, Applikationen und für das Reporting zwingend standardisierte Vorgehensmodelle wie z.B. ITIL nutzen.
VIII. Mobile Geräte Cloud Computing führt auch dazu, dass der klassische PC zunehmend 91 an Bedeutung verliert und immer häufiger durch mobile Geräte wie Tablets und Smartphones ersetzt wird. Durch die Nutzung von Cloud Computing-Diensten, sind Anwendungen häufig mit dem Internetbrowser abrufbar. Es bedarf also keiner Installation von zusätzlicher Software auf dem Endgerät. Außerdem findet die Rechenleistung auf dem Server des Anbieters und nicht auf dem Endgerät statt. Aus diesen Gründen bedarf die Nutzung von Cloud Computing-Diensten keines PCs, vielmehr genügen sog. Thin Clients oder auch mobile Endgeräte. Diese für den Mitarbeiter sehr angenehmen, jederzeit verfügbaren und einfach zu nutzenden Geräte stellen jedoch die Sicherheitsabteilungen von Unternehmen vor neue Herausforderungen. Waren es auf den ersten Blackberries lediglich E-Mails, die abgerufen werden konnten, erwarten Nutzer von Smartphones und Tablets heute, dass Sie auch auf Unternehmensanwendungen und deren Daten zugreifen können. Dies wird durch Cloud Computing-Dienste gewissermaßen en passant erreicht. Eine weitere Facette, die zwar unmittelbar nichts mit Cloud Computing 92 zu tun hat, aber doch mittelbar von Cloud Computing getrieben wird, stellt der Trend dar, dass Mitarbeiter ihre eigenen Geräte, sei es nun Laptop oder Smartphone, auch geschäftlich nutzen (sog. Bring Your Own Device – BYOD). Dies spart den Unternehmen auf der einen Seite zwar Beschaffungs- und Betriebskosten ein, macht es aber auch schwerer, diese Geräte entsprechend abzusichern. Dies liegt daran, dass es sich um private Geräte handelt und der Mitarbeiter es z.B. nicht gerne sieht, wenn ein Administrator eine Fernwartung auf seinem Gerät durchführt und dadurch die Privatsphäre verletzt wird. Dies ist zudem datenschutzrechtlich problematisch, da die personenbezogenen Daten des Unternehmens auf einem Privatgerät des Mitarbeiters verarbeitet werden. Ebenso problematisch ist das sog. „Hardening“ der Geräte. Hierunter fal- 93 len z.B. das Sperren der USB-Ports an Notebooks oder das Verhindern von Downloads von Apps, den beliebten kleinen Applikationen für MoSchorer
87
Teil 1 C
Rz. 94
IT-Grundlagen
biltelefone. Eine gangbare technische Lösung hierfür ist die Einführung von sog. „Personas“ auf den Geräten. Diese ermöglichen dann die Verwaltung von zwei unterschiedlichen Accounts. Die private Persona des Nutzers bleibt dann abgeschottet von den Zugriffen des Administrators, während die Persona des Unternehmens gemäß den Sicherheitsrichtlinien verwaltet werden kann. Eine weitere Möglichkeit bietet das sog. AppSandboxing bei dem einzelne Unternehmensanwendungen von der restlichen Umgebung so abgeschottet werden, dass Daten vom Benutzer nicht aus den geschützten Anwendungen in eine ungeschützte Anwendung kopiert werden können. Dem sog. Mobile-Device-Management (MDM) wird in Zukunft eine immer wichtigere Rolle zufallen.
IX. Ausblick 94
Cloud Computing ist keine Technologie, sondern ein Paradigmenwechsel in der IT-Industrie, ähnlich wie ihn seinerzeit die Verfügbarkeit des freien, öffentlichen Internets dargestellt hat. Cloud Computing wird vor allem auch durch die Konsumenten getrieben, die Cloud-Leistungen wie z.B. E-Mail, Speicherplatz oder soziale Netzwerke ganz selbstverständlich nutzen und erwarten, dass ähnliche Services auch im Unternehmen bereitstehen. Sie (werden) fordern, dass sie auf Daten von überall und jederzeit zugreifen können. So wie es die Generation Internet geschafft hat, dass heute in allen Unternehmen der Internetzugriff am Arbeitsplatz ermöglicht ist, so wird es die Generation Facebook schaffen, dass wir in Zukunft in Unternehmen genauso selbstverständlich kollaborativ zusammenarbeiten, wie wir es von Facebook und Twitter kennen. Unternehmen, die sich hiergegen sträuben, werden es in ein paar Jahren schwer haben, qualifizierte Arbeitskräfte von den Universitäten anzuziehen.
95
Die preiswerte Bereitstellung von Infrastructure as a Service wird die Gründung von neuen, innovativen Unternehmen begünstigen. Diese Unternehmen werden, getrieben durch Cloud Computing, Produkte an den Markt bringen, die heute noch als völlig undenkbar gelten.
88
Schorer
D. Service-Beschreibungen in Cloud Computing-Verträgen aus technischer und operationeller Sicht Rz. I. Zweck der Service-Beschreibung als Vertragsbestandteil . . . . . . . . . 1. Definition des Umfanges der Service-Lösung und der zu liefernden Services . . . . . . . . . . . . . . . . . . 2. Leistungsscheine, Leistungsmodule und Service-Levels als wesentliche Bestandteile von Leistungsbeschreibungen . . . . . . . 3. Definition von Leistungsscheinen . . . . . . . . . . . . . . . . . . . . . 4. Definition von Leistungsmodulen . . . . . . . . . . . . . . . . . . . . . 5. Definition von Service-Levels . . . 6. Definition von Ressourceneinheiten und Preisen . . . . . . . . . . II. Beschreibung der Service-Lösung III. Leistungsmodule am Beispiel eines Private Compute Cloud IaaS . 1. Beschreibung von Kernleistungen . . . . . . . . . . . . . . . . . . . a) Virtuelle Instanzen (vollständiges Beispiel) . . . . . . . . . . . . . . b) Storage (Besprechung wichtiger Aspekte). . . . . . . . . . . . . . . . c) Netzwerk (Besprechung wichtiger Aspekte) . . . . . . . . . . d) Image Repository (Besprechung wichtiger Aspekte) . . . . e) Management-Interface (Besprechung wichtiger Aspekte) . 2. Beschreibung von IMAC-Leistungen . . . . . . . . . . . . . . . . . . . . . . a) Kommissionierung einer neuen virtuellen Instanz (vollständiges Beispiel) . . . . . . . b) Kommissionierung eines neuen virtuellen Systems (vollständiges Beispiel). . . . . . . . . . .
4 8
14 20 23 26 30 34 42 43 47 51 53 54 55 56 56 60
Rz. c) De-Kommissionierung einer virtuellen Instanz (vollständiges Beispiel) . . . . . . . . . . . . . . . . d) Konfigurations-Änderung (vollständiges Beispiel) . . . . . . . e) Parken einer virtuellen Instanz (vollständiges Beispiel) . . f) De-Parken einer virtuellen Instanz (vollständiges Beispiel) . . 3. Beschreibung von Service-Management-Leistungen . . . . . . . . . . IV. Service-Levels . . . . . . . . . . . . . . . . 1. Anforderungen an Verfügbarkeit . a) Verfügbarkeit von virtuellen Instanzen, Storage und Netzwerk . . . . . . . . . . . . . . . . . . . . . . b) Verfügbarkeit des Image Repository . . . . . . . . . . . . . . . . . c) Verfügbarkeit des Management-Interfaces . . . . . . . . . . . . . 2. Anforderungen an Kapazität . . . . . 3. Anforderungen an Sicherheit . . . . 4. Anforderungen an Kontinuität . . . 5. Service-Levels für IMAC-Leistungen . . . . . . . . . . . . . . . . . . . . . . 6. Service-Levels für ServiceManagement-Leistungen . . . . . . . V. Ressourceneinheiten und Preise . 1. Virtuelle-Instanz . . . . . . . . . . . . . . a) Standard V-Instanzen . . . . . . . . b) Premium V-Instanzen. . . . . . . . 2. Storage-Einheiten . . . . . . . . . . . . . a) Standard Storage . . . . . . . . . . . . b) Premium Storage . . . . . . . . . . . 3. Preismodell . . . . . . . . . . . . . . . . . .
64 68 72 76 80 87 88 89 90 91 92 95 100 102 104 106 110 111 112 113 114 115 116
VI. Herausforderungen bei Vertragsverhandlungen . . . . . . . . . . . . . . . . 120 VII. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 128
Service-Beschreibungen in Cloud Computing-Verträgen regeln Rechte 1 und Pflichten von Kunde und Anbieter aus IT-fachlicher Sicht im Hinblick auf die Cloud Computing-Leistungen. Dieser Beitrag widmet sich diesem Thema, indem er zunächst die allgemeinen definitorischen Grundlagen für Inhalte und Strukturen von Service-Beschreibungen erarbeitet (siehe Rz. 4 ff.), im Weiteren die Wichtigkeit der Beschreibung von Service-Bestandteilen als einheitliche Service-Lösung betont (siehe Rz. 34 ff.) und anschließend die konkrete Ausgestaltung einer Service-BeKopanakis
89
Teil 1 D
Rz. 2
Service-Beschreibungen
schreibung in Form von Leistungsmodulen (siehe Rz. 42 ff.), Service-Levels (siehe Rz. 87 ff.) sowie Ressourceneinheiten und Preisen (siehe Rz. 106 ff. am Beispiel eines Private Compute Cloud IaaS diskutiert. In Rz. 120 ff. werden die wichtigsten Herausforderungen bei Vertragsverhandlungen erläutert und in Rz. 128 ff. Fazit gezogen basierend auf den Erfahrungen des Autors aus einem Private Compute Cloud IaaS Outsourcing-Projekt und den gemachten Schlussfolgerungen aus den vorhergehenden Kapiteln. 2
Kapitel I ist bewusst allgemein gehalten, da die dort vorgenommenen Definitionen und Strukturen von Service-Beschreibungen für alle Arten von IT-Services genutzt werden können. In den anderen Kapiteln werden diese allgemeinen Elemente für das Cloud Computing am Beispiel Private Compute Cloud IaaS ausgestaltet.
3
In diesem Teil 1 D geht es darum, die Anforderungen aus IT-fachlicher (nicht aus rechtlicher) Sicht an Cloud Computing-Verträgen darzulegen. Dabei ist zu berücksichtigen, dass jede Leistungsbeschreibung in einem Cloud-Vertrag im Einzelfall auf die Angemessenheit für die konkrete Transaktion zu überprüfen ist und über verschiedene Schnittstellen zu rechtlichen Inhalten verfügt. Daher können die folgenden Ausführungen nur exemplarisch denkbare Inhalte und Strukturen aufzeigen.
I. Zweck der Service-Beschreibung als Vertragsbestandteil 4
Aus der Perspektive des IT-Service-Management ist ein Service „ein Mittel, dem Kunden einen (Mehr-)Wert zu liefern, indem es den Kunden dabei unterstützt und fördert, seine Ergebnisse zu erreichen, ohne dass dieser dafür spezifische Kosten und Risiken selbst tragen muss“1. Hierbei wird ein Wert nur dann geliefert, wenn der Service für den Anwender sowohl nützlich als auch nutzbar ist. Daher werden im Kunden-/Lieferantenverhältnis sowohl Nützlichkeiten als auch Gewährleistungen vereinbart. Die Gewährleistungen definieren die Verfügbarkeits-, Performance-, Kontinuitäts-, und Sicherheitsvereinbarungen, gemäß denen ein Service nutzbar ist.
5
Die Begriffe Nützlichkeit und Gewährleistung sind die Übersetzungen der englischen Originalbegriffe „Utility“ und „Warranty“ die durch ITIL® (IT Infrastructure Library)2 wie folgt definiert werden: Utility (Nützlichkeit): Die Funktionalität, die von einem Produkt oder Service angeboten wird, um einem bestimmten Bedürfnis gerecht zu werden. „Utility“ wird häufig auch bezeichnet als „das, was ein Service 1 Definition nach ITIL® (IT Infrastructure Library), ITIL® ist ein eingetragenes Warenzeichen des Cabinet Office. 2 Die IT Infrastructure Library ist die weltweit anerkannte beste Industriepraxis im IT-Service-Management.
90
Kopanakis
I. Zweck der Service-Beschreibung als Vertragsbestandteil
Rz. 7
Teil 1 D
tut“, und kann genutzt werden, um zu bestimmen, ob ein Service in der Lage ist, die erforderlichen Ergebnisse zu liefern, oder anders, ob er zweckmäßig ist. Warranty (Gewährleistung): Die Zusicherung, dass ein Produkt oder Service den vereinbarten Anforderungen entspricht. „Warranty“ wird häufig auch bezeichnet als „die Art und Weise, wie der Service bereitgestellt wird“, und kann genutzt werden, um zu bestimmen, ob ein Service einsatzfähig ist. Ein IT-Service unterscheidet sich von einem IT-System (die Einheit aus 6 HW und SW, die eine bestimmte Funktionalität bereitstellt, die z.B. im Rahmen eines Geschäftsprozesses genutzt werden kann), das insbesondere Technologie bereitstellt, durch seine zusätzlichen immateriellen Eigenschaften Nützlichkeiten und Gewährleistungen, spezifische Kosten und spezifische Risiken. Darüber hinaus gleicht ein Service einer verderblichen Ware: die bereitgestellte Kapazität verdirbt, wenn der Bedarf diese nicht unmittelbar konsumiert, da überschüssige Service-Kapazität nicht gelagert werden kann, um zu einem späteren Zeitpunkt konsumiert zu werden. Die Herausforderung auf Seiten des Service-Lieferanten ist daher, die Service-Kapazität so bereitzustellen, dass der vereinbarte Bedarf des Kunden gedeckt ist und zugleich in Summe Überkapazitäten minimiert werden. Service-Beschreibungen in Verträgen definieren die Rechte und Pflichten 7 der Vertragsparteien in Bezug auf den Kernbereich der Leistungserbringung. Inhaltlich regeln die Service-Beschreibungen genau die oben diskutierten Interessen der Vertragsparteien.
Kunde
Kosten
Risiken
Bedarf
Technologie
Nützlichkeiten
Garantien
Lieferant
Abb. 1: Servicerelevante Interessen der Vertragsparteien
Kopanakis
91
Teil 1 D
Rz. 8
Service-Beschreibungen
1. Definition des Umfanges der Service-Lösung und der zu liefernden Services 8
Systematisch unterteilen sich die Service-Beschreibungen in Beschreibungen von Kernleistungen, IMAC1-Leistungen und Service-Management-Leistungen.
re A kt D e-
Kernleistungen
iv ie
rn de Ve r
än
de än Ve r
A kt
iv ie
re
n
rn
n
IMAC-Leistungen (Installations, Moves, Additions, Changes)
Implementierung und Betrieb der Service-Lösung Einhaltung von Technologie-Anforderungen, -Richtlinien, -Standards und -Normen Bereitstellung von Mitarbeitern mit bestimmten Skills und Zertifizierungen InnovationsRoadmap
Interoperabilität & Betriebshandbuch
Funktionen, Prozesse, Schnittstellen & Tools
Reporting & Monitoring
Regulatorische Anforderungen
Service-Management-Leistungen
Abb. 2: Systematik der Service-Bestandteile
9
Beschreibungen von Kernleistungen definieren – die Implementierung und den Betrieb der Service-Lösung, – die Einhaltung von Technologie-Anforderungen, -Richtlinien, -Standards und -Normen, – die Bereitstellung von Mitarbeitern mit bestimmten Skills und Zertifizierungen.
10
Beschreibungen von IMAC-Leistungen definieren Geschäftsvorfälle, die in Bezug auf eine Kernleistung abgerufen werden können und diese Kernleistung für einen bestimmten Anwender oder ein bestimmtes IT-System aktivieren, verändern oder deaktivieren. IMAC-Leistungen regeln somit den Zugang von Individuen oder Objekten zu Kernleistungen.
1 Installations, Moves, Additions, Changes.
92
Kopanakis
I. Zweck der Service-Beschreibung als Vertragsbestandteil
Rz. 14
Teil 1 D
Beschreibungen von Service-Management-Leistungen beziehen sich auf 11 diejenigen Leistungselemente, die für Verwaltung, Überwachung, Steuerung und Optimierung der Kernleistungen und IMAC-Leistungen benötigt werden. Je mehr Verantwortung hierbei der Service-Lieferant übernimmt, desto eher kann von einem „Managed-Service“ gesprochen werden. Beispiele für Service-Management-Leistungen sind Regelungen zu – Kommunikation und Synchronisation der mittelfristigen Service Entwicklungen und Innovationsplanung (Innovations-Roadmap), – Sicherstellung der Interoperabilität sowie Erstellung und Synchronisation des Betriebshandbuches, – Festlegung der Verantwortlichkeiten hinsichtlich Funktionen, Prozess, Schnittstellen und Tools, – Frequenzen, Formaten und Inhalten von Reporting und Monitoring, – Rechten und Pflichten hinsichtlich regulatorischen Anforderungen, Richtlinien, Standards und Normen. Auf Seiten des Kunden sind in Leistungsbeschreibungen Regelungen ent- 12 halten zu – seinen Mitwirkungspflichten in Bezug auf die obigen Punkte und – der Art und Weise wie bestimmte Rechte mit Bezug auf die Leistungserbringung durch den Anbieter ausgeübt werden können. Hierzu zählen z.B. Rechtseinräumungen hinsichtlich – der Abnahme von Leistungen, – dem regelmäßigen Vergleich der Leistung mit Wettbewerbern (Benchmarking) oder – dem Übergang von Know-how vom Anbieter auf den Kunden. Zudem erfolgt in Leistungsbeschreibungen auch die Definitionen von 13 Service-bezogenen Parametern und Metriken, als Grundlage für weiterführende Definitionen und Regelungen zu Service-Levels, Service-Einheiten und Service-Credits. 2. Leistungsscheine, Leistungsmodule und Service-Levels als wesentliche Bestandteile von Leistungsbeschreibungen Leistungsbeschreibungen können effizient erstellt werden, wenn die Be- 14 schreibungen bereits im Vorfeld in modularisierter Form vorliegen und im Einzelfall nur noch entsprechend dem bestellten Leistungsumfang zusammengestellt werden müssen. Dabei ist es optimal, wenn die Unterteilung der Leistungsbeschreibung in Form von Modulen so erfolgt, dass sie den tatsächlich einzeln bestellbaren Leistungselementen entspricht.
Kopanakis
93
Teil 1 D
Rz. 15
Service-Beschreibungen
15
Diese einzeln bestellbaren Leistungselemente sind die Services im Angebotskatalog des Anbieters. Diese Kataloge werden auch Service-Kataloge genannt. Abb. 3 zeigt schematisch einen solchen Service-Katalog. Er besteht aus Leistungsmodulen und Service-Levels. Der Kunde kann nun entsprechend seinem Service-Bedarf aus dem Service-Katalog des Anbieters seine individuell benötigten Services zusammenstellen. Dabei verständigen sich Kunde und Anbieter zum einen auf eine Reihe von Leistungsmodulen, die den Umfang der Nützlichkeit der Leistung festlegen und zum anderen auf verschiedene Service-Levels, die den Umfang der Gewährleistung der Leistung determinieren (Pfeile in Abb. 3). Wenn nun zu den ausgewählten Leistungsmodulen und Service-Levels aus dem Service-Katalog vertraglich verwertbare Beschreibungen vorliegen, kann die Leistungsbeschreibung erstellt werden, indem diese Module zusammengeführt werden.
16
Dieses Zusammenführen der Leistungsmodule und der Service-Levels, die der Auswahl durch den Kunden entsprechen, kann wie in Abb. 3 illustriert z.B. durch einen Leistungsschein geleistet werden.
Kosten
Risiken
Bedarf
Leistungsschein
Leistungsmodule Nützlichkeiten
Technologie
Service Levels Gewährleistung Service Katalog
Abb. 3: Der Service-Katalog und die Beziehungen zwischen Leistungsscheinen, Leistungsmodulen und Service-Levels
17
Sowohl für Leistungsmodule, Service-Levels als auch Leistungsscheine gilt: Haben bestimmte Aspekte übergreifende Gültigkeit, oder stimmen 94
Kopanakis
I. Zweck der Service-Beschreibung als Vertragsbestandteil
Rz. 22
Teil 1 D
sie in vielen verschiedenen Dokumentationen überein, macht es Sinn, diese Aspekte in übergreifend gültige Vertragsbestandteilen auszulagern. Zudem haben Leistungsbeschreibungen immer Schnittstellen zu anderen 18 Teilen des Vertrages, so dass hier in jedem Einzelfall Vorsicht geboten ist und eine Interpretation der Inhalte von Leistungsmodulen, Service-Levels und Leistungsscheinen immer vor dem Hintergrund anderer Vertragsteile erfolgen muss – bei modularen Vertragswerken, insbesondere unter Berücksichtigung allgemeiner rahmenvertraglicher Regelungen. Der detaillierte Aufbau von Leistungsmodulen, Service-Levels und Leis- 19 tungsscheinen wird im Folgenden vorgestellt. 3. Definition von Leistungsscheinen Eine spezifische Leistungskonfiguration (Anzahl zusammenhängender 20 modularer Leistungen, z.B. Kernleistungen, IMAC-Leistungen und Service-Management-Leistungen zu einem Cloud-Hosting-Service, siehe Rz. 42 ff.) zusammen mit den spezifischen Service-Level-Ausprägungen (Service-Levels mit Bezug zu den spezifizierten modularen Leistungen und mit festgelegten Zielwerten, siehe Rz. 87 ff.) und den abrufbaren Ressourceneinheiten und Preisen kann in Form von Leistungsscheinen vereinbart werden. Ein Leistungsschein kann ein zusammenhängendes Element im Rahmen 21 eines einzelnen Service-Vertrages oder ein Einzelvertrag im Rahmen eines modularen Vertragswerkes sein. Ein solches modulares Vertragswerk kann z.B. aus einem Rahmenvertrag und mehreren Einzelverträgen für die unterschiedlichen Servicebereiche bestehen, z.B. ein Rahmenvertrag für Outsourcing-Services und darunter ein Einzelvertrag für traditionelle Hosting-Services, ein Einzelvertrag für Desktop-Services und ein Einzelvertrag für Private-Cloud-Services. Ein Beispiel für die Strukturierung einer spezifischen Leistungskonfigu- 22 ration ist die folgende Definition von Leistungsscheinen1: Struktur von Leistungsscheinen – Leistungsspezifikation, bestehend aus folgenden Elementen: – Die Spezifikation der Leistungen, die in einem Leistungsschein enthalten sind, erfolgt durch die Referenzierung auf Leistungsmodule und ggf. die Festlegung von spezifischen Leistungskonfigurationen je Leistungsmodul, z.B. die Festlegung bestimmter Eskalationsbzw. Kommunikationswege. Die genaue Definition der Leistungen erfolgt in den Leistungsmodulen.
1 Entwickelt in Zusammenarbeit mit Dr. Thomas Söbbing, Corporate Counsel und Bevollmächtigter Recht der Deutschen Leasing IT. Kopanakis
95
Teil 1 D
Rz. 22
Service-Beschreibungen
– Die Spezifikation der vereinbarten Leistungsqualität erfolgt durch die Referenzierung auf die gültigen Service-Levels. Die genaue Definition der Leistungsqualität erfolgt in den jeweiligen Service-Levels. – Die Spezifikation von Laufzeiten/Fristen für den Leistungsschein, z.B. kann eine dreijährige Laufzeit des Leistungsscheines als Einzelvertrag festgelegt werden. In einem modularen Vertragswerk mit Rahmenvertrag und mehreren Einzelverträgen kann die Laufzeit eines Leistungsscheines von der Laufzeit des Rahmenvertrages und anderer Leistungsscheine abweichen. – Die Spezifikation der Service-Zeiten für alle Leistungen, die im Leistungsschein enthalten sind, z.B. 7 × 24 (7 Tage die Woche, 24 Stunden je Tag) oder 5 × 13 (Werktags, Mo.-Fr., von 7:00 bis 20:00 Uhr täglich). – Die Spezifikation der Service-Orte, des geographischen Geltungsbereiches, oder der Standorte an denen der Service erbracht wird. – Ressourceneinheiten (notwendig z.B. für Pay per Use, siehe Rz. 30 ff.): – Die Definition der Ressourceneinheiten nach denen die Bestellung und Abrechnung von Leistungen erfolgt, z.B. GB an Storage, Gbit/s an Netzwerkbandbreite oder Anzahl der Incident-Tickets, User, Desktops, Server etc. – Die Definition von Volumen-Ober-/Untergrenzen für Ressourceneinheiten. Dies kann z.B. wichtig werden, wenn mit dem Über- oder Unterschreiten eines bestimmten Ressourcenvolumens, welches vom Kunden konsumiert wird, sprungfixe Kosten für den Aufbau neuer technischer Kapazitäten auf Seiten des Anbieters entstehen. – Vergütungsmodalitäten, bestehend aus folgenden Elementen: – Vergütungsart (pauschal, fest, variabel) – Abrechnungszeitraum/-punkt – Regelungen zur Abrechnung – Preise, ggf. abhängig von Ressourceneinheiten, Vertragsjahr, Verbrauchsvolumen – Regelungen zu Bonus/Malus und Credits – Sonstige Regelungen, bestehend aus folgenden Elementen: – Kündigungsregelung – Ausnahmen bei der Leistungserbringung und Einhaltung von Service-Levels – Abgrenzungen zu anderen Leistungsscheinen
96
Kopanakis
I. Zweck der Service-Beschreibung als Vertragsbestandteil
Rz. 25
Teil 1 D
4. Definition von Leistungsmodulen Strukturell kann jeder Service-Bestandteil als Teil eines Leistungsportfo- 23 lios, das dem Kunden bei einem Anbieter unter einem Rahmenvertrag zur Verfügung steht, begriffen werden. In Abb. 3 sind daher Leistungsmodule beispielhaft als Module eines übergreifenden Service-Katalogs dargestellt. Je höher der Standardisierungsgrad von IT-Services desto wahrscheinlicher ist es, dass IT-Leistungen tatsächlich auch in modularer Form angeboten und nachgefragt werden. Wendet man diesen Modularisierungs- und Standardisierungsansatz auf die Service-Beschreibungen selbst an, führt das im Ergebnis zu einer harmonisierten inhaltlichen Struktur bei der Beschreibung jedes Service-Bestandteils. Beispiele für Leistungsmodule mit Cloud-Bezug sind:
24
– Virtuelle Instanzen – Storage – Netzwerk – Image Repository – Management-Interface (siehe Rz. 43 ff.) Für jedes dieser Leistungsmodule kann folgende Struktur für eine detail- 25 lierte Definition genutzt werden1: Struktur von Leistungsmodulen – Leistungsbeschreibung Diese regelt den Kernbereich der Leistungserbringung und besteht aus – Einem Leitsatz, der eine Kurzbeschreibung der geschuldeten Leistung ist. Hinweis: Eine Liste aller Leitsätze aus allen Leistungsmodulen zu einem Leistungsschein ergibt eine gute Zusammenfassung der in diesem Leistungsschein vereinbarten Leistungen. – Einer Beschreibung der Leistungsbestandteile aus denen das Leistungsmodul zusammengesetzt ist. Hierbei ist darauf zu achten, das richtige Maß an Detailtiefe für die Beschreibung vertraglich relevanter Sachverhalte zu finden. Es sollte in jedem Falle vermieden werden die Detailtiefe eines Betriebs- oder Verfahrenshandbuches zu erreichen. Die Beschreibung sollte ablauforientiert sein, so dass bei der Definition von Service-Levels auf bestimmte Schritte im Leistungsmodul Bezug genommen werden kann, z.B. bei der Definition von Wiederherstellfristen für die Bearbeitung von Incidents (Störungen). 1 Entwickelt in Zusammenarbeit mit Dr. Thomas Söbbing, Corporate Counsel und Bevollmächtigter Recht der Deutschen Leasing IT. Kopanakis
97
Teil 1 D
Rz. 26
Service-Beschreibungen
Zu beschreiben sind auch alle relevanten Ergebnisse der Leistung, damit möglichst eindeutig bestimmbar wird, welche wesentliche Ergebnisse der Kunde dem Anbieter schuldet. – Leistungserfüllung Diese regelt die Leistungsübergabe und ggf. den Gefahrenübergang, z.B. mit welcher Handlung ein Computer vom Anbieter an den Kunden übergeben wird oder ab welchem Router ein Cloud-Service durch den Anbieter dem Kunden bereitgestellt wird. – Prämissen Diese regeln spezielle Rahmenbedingungen der Leistungserbringung, z.B.: – Absichten der Leistungserbringung – Geltende Konzeptionen, Normen und Standards – Technische/Organisatorische Voraussetzungen – Mitwirkung Dritter bei der Leistungserbringung – Mitwirkungspflichten Diese regeln die Mitwirkung des Kunden und der Anwender, z.B.: – Prozessverantwortung des Kunden – Systemverantwortung des Kunden, z.B. für Softwaretools, die der Anbieder bei der Leistungserbringung zu nutzen hat – Anwenderpflichten der Anwender, z.B. Gewährung des Zugangs für Mitarbeiter des Kunden zu seinem Arbeitsplatz – Leistungsausschlüsse Diese legen Leistungen fest, die eindeutig nicht Bestandteil des Leistungsmoduls sind, z.B. dass ein User-Help-Desk nicht für Aufnahme und Bearbeitung von SAP-Störungen verantwortlich ist. 5. Definition von Service-Levels 26
Service-Levels spezifizieren den geschuldeten Gewährleistungsumfang und können auf Kernleistungen, IMAC-Leistungen und Service-Management-Leistungen gerichtet sein. Sie legen die technischen und operationellen Mindestqualitäten fest, die bei der Leistungserbringung durch den Service-Lieferanten einzuhalten sind.
27
Auch Service-Levels können strukturell als Teil eines Leistungsportfolios begriffen werden, für die eine harmonisierte inhaltliche Struktur festgelegt werden kann.
98
Kopanakis
I. Zweck der Service-Beschreibung als Vertragsbestandteil
Rz. 29
Teil 1 D
Beispiele für Service-Levels mit Cloud-Bezug sind:
28
– Dauer zur Kommissionierung eines neuen virtuellen Systems – Verfügbarkeit der „Virtuelle Instanzen“-Leistungen – Dauer zum Parken eines virtuellen Systems – Dauer der De-Kommissionierung einer virtuellen Instanz – Verfügbarkeit der „Image Repository“-Leistungen (siehe Rz. 87) Für jedes dieser Service-Levels kann folgende Struktur für eine detaillier- 29 te Definition genutzt werden1: Struktur von Service-Levels – Mindestanforderungen – Leistungszeiten Zeiten, innerhalb derer der Service-Level einzuhalten ist, z.B. 7 × 24 (7 Tage die Woche, 24 Stunden je Tag) oder 5 × 13 (werktags, Mo.– Fr., von 7:00 bis 20:00 Uhr täglich). – Leistungskennziffer Definition der Metrik, die dem Service-Level zugrunde liegt. – Leistungsqualität (Optional) Die obere oder untere Grenze, die die Metrik im Einzelfall (je Berichtsvorfall) nicht über- oder unterschreiten darf. – Erfüllungsgrad Der Mindest- oder Höchstwert, den die Metrik im Berichtszeitraum über- oder unterschreiten muss. Wenn eine Leistungsqualität definiert ist, ist der Erfüllungsgrad der Prozentsatz derjenigen Berichtsvorfälle, die im Berichtszeitraum innerhalb der geforderten Leistungsqualität bleiben. – Messung – Methoden und Tool(s) für die Messung der Leistungskennziffer. – Methoden und Tool(s) für die Kalkulation der Zielerreichung der Leistungsqualität und des Erfüllungsgrades. – Berichtswesen – Berichtszeitraum Der Zeitraum, innerhalb dessen der Erfüllungsgrad gemessen wird (i.d.R. 1 Monat).
1 Entwickelt in Zusammenarbeit mit Dr. Thomas Söbbing, Corporate Counsel und Bevollmächtigter Recht der Deutschen Leasing IT. Kopanakis
99
Teil 1 D
Rz. 30
Service-Beschreibungen
– Berichtszeitpunkt Der Tag, an dem die Service-Level-Erreichung zu kommunizieren ist (i.d.R. ein Werktag zu Beginn des Folgemonats). – Berichtsvorfälle Diejenigen Berichtsvorfälle, die abgeschlossen und unstrittig sind und daher für die Messung der Service-Level-Erreichung herangezogen werden können. – Berichterstattung Methoden und Tool(s) für Berichterstattung über die Zielerreichung von Service-Levels. – Besonderheiten Z.B. bestimmte Vorfälle, die nicht berichtsrelevant sind. 6. Definition von Ressourceneinheiten und Preisen 30
Die Definition von zu vergütenden Ressourceneinheiten ist in besonderem Maße empfehlenswert, wenn die Kosten für den Service in Abhängigkeit von dessen Nutzung stehen sollen. Wird für einen Service ein Pauschalpreis vereinbart, der nicht in Relation zu einer Nutzungsintensität steht, kann auf die Festlegung von Ressourceneinheiten als Basis für eine Preisvereinbarung verzichtet werden. Aber selbst in diesem Fall wird es im Interesse des Anbieters sein, Obergrenzen der Nutzungsintensität zu vereinbaren. Aus Sicht des Kunden wiederum ist es empfehlenswert, Untergrenzen der Nutzungsintensität festzulegen, bei deren Unterschreitung es ggf. Rabatte auf den Pauschalpreis gibt.
31
Ein wesentliches Merkmal von Cloud-Leistungen ist die Bezahlung in Abhängigkeit von ihrer Nutzung – Pay per Use. Daher ist es insbesondere für Cloud-Leistungen wichtig festzulegen, in welchen Ressourceneinheiten die Leistung bereitgestellt und fakturiert wird und welche Leistungen in welcher spezifischen Konfiguration mittels einer Ressourceneinheit bereitgestellt werden. Eine besondere Herausforderung ist es hierbei die Ressourceneinheiten so zu fassen, dass sie unabhängig von einer bestimmten Technologie oder einem speziellen Verfahren eines Anbieters sind (siehe Rz. 106 ff., 116).
32
Weiterhin macht es in vielen Fällen Sinn, Cloud-Services auch in unterschiedlichen Service-Level-Ausprägungen bereitzustellen, z.B. unterschiedliche Verfügbarkeits- oder Security-Levels. In vielen Branchen gibt es kritische geschäftliche Informationen, die besonders schützenswert sind und für die höhere Verfügbarkeits- und Security-Anforderungen einzuhalten sind, z.B. Rezepturen bei Speziallacken oder Kontodaten bei
100
Kopanakis
II. Beschreibung der Service-Lçsung
Rz. 35
Teil 1 D
Banken. Unter Rz. 87 ff., 106 ff. ist diesem Umstand Rechnung getragen, indem zwei verschiedene „Qualitäten“ (Standard und Premium) definiert werden, die unterschiedliche Vereinbarungen zu Verfügbarkeit und Security haben. Sollte das Geschäft des Kunden Informationen bedingen, die so kritisch 33 sind, dass sie unter keinen Umständen veröffentlicht werden dürfen, kann die Richtlinie für diese Art von Daten auch sein, dass sie nicht mittels Cloud-Services gehostet werden dürfen.
II. Beschreibung der Service-Lösung Die Service-Lösung beschreibt alle Service-Bestandteile im Zusammen- 34 spiel. Ziel dieser Beschreibung ist es zu definieren, welche Service-Bestandteile es gibt, und festzulegen, wie diese zusammenwirken. Beispielsweise kann ein Service aus folgenden Kernleistungen bestehen: – Betrieb eines Desktop-Arbeitsplatzes – Service-Desk für den Anwender-Support und die Annahme von Service-Requests und Störungsmeldungen – Wiederherstellung von Desktops im Falle von Störungen an HW- oder SW-Komponenten In diesem Fall sollte in der Service-Lösung u.a. erklärt werden, dass Störungsmeldungen zu HW- oder SW-Komponenten über den Service-Desk gemeldet werden und dass der Service-Desk erkennt, ob eine Wiederherstellung notwendig ist, um diese dann anzustoßen und zu überwachen. Bezogen auf Cloud-Services ergeben sich hinsichtlich der Orchestrierung 35 der Service-Lösung 3 wesentlich unterschiedliche Service-Kategorien, Cloud IaaS, Cloud PaaS, Cloud SaaS. Ihre Charakteristika und Orientierung sind in Teil 1 A Rz. 10 ff. und Teil 1 C Rz. 22 ff. beschrieben. Die typischen Kunden-/Lieferantenverhältnisse illustriert die folgende Graphik: Siehe auch Abb. 4 auf nächster Seite.
Kopanakis
101
Teil 1 D
Rz. 36
Service-Beschreibungen
Güter/ Services
Kunden-/Business-Organization
SaaS
ITServices
ITServices
Application-Service-Provider
PaaS Plattform-Service-Provider
ITServices
IaaS Infrastruktur-Service-Provider
Abb. 4: Typische Kunden-/Lieferantenverhltnisse bei Cloud-Services
Im Folgenden sind typische Beispiele für die Orchestrierung der Kernleistungen von Cloud-Services aufgeführt: 36
IaaS, Beispiel: Compute Cloud IaaS Service-Bestandteile: – Virtuelle Instanzen stellen eine bestimmte Kombination von virtueller Compute Power und Memory in einer definierten Konfiguration zur Verfügung, die auf Storage gespeicherte Betriebssysteme ausführen können. – Storage stellt Datenträgerkapazität für das Aufspielen von Betriebssystemen und Speichern von Daten in einer definierten Konfiguration zur Nutzung zur Verfügung.
102
Kopanakis
II. Beschreibung der Service-Lçsung
Rz. 38
Teil 1 D
– Netzwerk ermöglicht den sicheren Zugang zu virtuellen Instanzen und Storage. – Image Repository ermöglicht die Verwaltung von Betriebssystem-Images und erlaubt das Aufspielen zertifizierter Betriebssystem-Images auf Storage. – Management-Interface ermöglicht eine automatisierte Interaktion mit dem Service-Lieferanten mittels IMACs für die eigenverantwortliche Steuerung der ServiceKapazität durch den Service-Kunden, den Zugriff auf Service-Reports und den Austausch von Informationen und Daten. PaaS, Beispiel: Entwicklungsumgebung
37
Service-Bestandteile: – Code-Management-System für die Versionierung und Verwaltung von Softwaremodulen. – Test-Management-System für die Versionierung und Verwaltung von Testfällen und -szenarien, Scripting für die Automatisierung von Codeausführungen und Testdurchführung, Performance Monitoring. – Entwicklungs-System für die Entwicklung von Softwaremodulen, Codeausführung und Debugging und flexibler Allokation von Compute und Storage Resourcen. – Wissensdatenbank enthält ein Wiki für Dokumentation und Verwaltung von Wissensbausteinen und eine Known-Error-Datenbank für Dokumentation und Management von bekannten Software-Fehlern. – Management-Interface (s.o.) Beispiel: Customer Relationship Management
38
Service-Bestandteile: – Kundendatenbank – Vertriebsaufgaben, -kalender und -kommunikation – Lead-Pipeline und Sales Forecast – Vertragsmanagement – Management der Leistungserbringung und Faktura – Kundenzufriedenheitsumfrage – Management-Interface (s.o.)
Kopanakis
103
Teil 1 D
Rz. 39
Service-Beschreibungen
39
Neben der Orchestrierung der Kernleistungen definiert die Service-Lösung auch die Orchestrierung der IMAC-Leistungen und Service-Management-Leistungen.
40
Die Service-Lösung sollte auch Aussagen hinsichtlich des prinzipiellen Cloud-Betriebsmodells enthalten, also festlegen, ob es sich grundsätzlich um eine „Private Cloud“, „Virtual Private Cloud“ oder eine „Öffentliche Cloud“ handelt (siehe dazu Teil 1 A Rz. 14 ff. sowie Teil 1 C Rz. 13 ff.).
41
Die weiteren Ausführungen gehen vom Betriebsmodell Private Cloud aus, für das aus vertraglicher Sicht der größte Umfang an individuellen vertraglichen Regelungen zwischen den Vertragspartnern zu erwarten ist. Der vertragliche Gegenpol zur Private Cloud ist die Public Cloud, für die der Service-Kunde üblicherweise die Vertragsbedingungen des ServiceLieferanten überwiegend akzeptieren muss.
III. Leistungsmodule am Beispiel eines Private Compute Cloud IaaS 42
Im Folgenden werden die wichtigsten Inhalte von Leistungsmodulen am Beispiel der Service-Lösung eines Private Compute Cloud IaaS diskutiert. IMAC-Leistungen
Kernleistungen
Service-Mgmt-Leistungen
Kommissionierung einer neuen virtuellen Instanz
Virtuelle Instanzen
Monitoring & Reporting
Kommissionierung eines neuen virtuellen Systems
Storage
Technologie-Roadmap
Netzwerk
Interoperabilitäts-Matrix
Image Repository
Betriebshandbuch
De-kommissionierung einer virtuellen Instanz Konfigurationsänderung
Management-Interface
Parken eines virtuellen Systems De-Parken eines virtuellen Systems
Technisches Konfigurations-Inventory Prozesse, Funktionen und Schnittstellen
Abb. 5: Umfang der Service-Lçsung am Beispiel eines Private Compute Cloud IaaS
Einige Leistungsmodule werden als vollständige Beispiele vorgestellt, bei anderen Leistungsmodulen werden auszugsweise wichtige Aspekte besprochen. 1. Beschreibung von Kernleistungen 43
Kernleistungen sind die wesentlichen Leistungen, die mit einem IT-Service erbracht werden. Sie sind der Kern der Leistungserbringung, ohne den es weder IMAC-Leistungen noch Service-Management-Leistungen geben kann. Daher sind die Leistungsmodule von Kernleistungen der Be104
Kopanakis
III. Leistungsmodule
Rz. 47
Teil 1 D
reich des Vertragswerkes, in dem im Kern die Nützlichkeit des IT-Services aus Sicht des Kunden beschrieben wird. Zugleich hat der Anbieter oft den Wunsch, in den Leistungsmodulen die genutzte Technologie abzugrenzen oder gar den Einsatz bestimmter Technologien festzuschreiben. Das Interesse des Kunden ist es aber, den IT-Service grundsätzlich unab- 44 hängig von der eingesetzten Technologie zuverlässig und zu wettbewerbsfähigen Konditionen über den gesamten Vertragszeitraum zu erhalten. Bei Anbietern von Private Cloud IaaS ist jedoch der Reflex zu beobachten, die angebotene Leistung als eine Bereitstellung bestimmter Ressourcen zu definieren, z.B. die Bereitstellung konkreter CPUs, Memory oder Storage bestimmten Typs oder von bestimmten Hersteller (vgl. Teil 2 Rz. 196 ff.). Bei einem Private Cloud IaaS liegt die Nützlichkeit des IT-Services gerade in der Bereitstellung von Infrastrukturelementen mit einer definierten Konfiguration und Performance. Daher ist eine Herausforderung für die Erstellung von Leistungsmodulen für Private Cloud IaaS die Definition dieser geschuldeten Konfiguration und Performance ohne dabei die zugrundeliegenden technischen Komponenten im Detail festzuschreiben. Die Hauptleistung innerhalb des Private Compute Cloud IaaS ist die 45 Bereitstellung einer virtuellen Hardware (HW)-Instanz, die es dem Kunden erlaubt, eine Anzahl von zertifizierten Betriebssystem-Images (siehe Rz. 54) auf dieser virtuellen HW-Instanz aufzuspielen und entsprechend seinen Anforderungen anzupassen. Die virtuellen Instanzen können nur dann effektiv genutzt werden, wenn 46 weitere Services verfügbar sind, insbesondere: – ein Storage Service für das Hosting der Daten des Betriebssystems, der Middleware-Komponenten, der Datenbanken und der Applikationen, – ein Netzwerk Service für den sicheren Zugriff auf die virtuelle HW-Instanz über ein Netzwerk, – ein Image Repository Service für das Verwalten der zertifizierten Betriebssystem-Images, – ein Management-Interface Service für die Automatisierung von IMAC-Services und des Reporting. a) Virtuelle Instanzen (vollständiges Beispiel) Leistungsbeschreibung
47
Der Service-Lieferant wird – den Service für virtuelle Instanzen so konstruieren, implementieren, kontinuierlich warten, betreiben und dokumentieren, dass der ServiceKunde in die Lage versetzt wird, alle mittels dem Image-Repository-
Kopanakis
105
Teil 1 D
Rz. 47
Service-Beschreibungen
Service zertifizierten (siehe Rz. 54) Linux-, Solaris- und Windows-Betriebssystem-Images erfolgreich und kontinuierlich mittels der virtuellen Instanz auszuführen, – alle für diesen Service benötigte Hardware, Software und Lizenzen dediziert in seinem XYZ-Rechenzentrum für den Service-Kunden bereitstellen und von den Services anderer Kunden physisch trennen, – alle für diesen Service benötigte Hardware, Software und Lizenzen in Übereinstimmung mit der Interoperabilitäts-Matrix zu aktualisieren und den hierzu notwendigen Technologie-Refresh durchführen, – je virtueller Instanz einen dedizierten Netzwerkzugang mit einer Bandbreite von mindestens 1 Gbit/s in Übereinstimmung mit dem Leistungsschein „Netzwerk“, bereitstellen, – je virtueller Instanz die zugewiesenen Ressourceneinheiten (Compute Power, Memory, Storage) in der spezifizierten Konfiguration in Übereinstimmung mit dem Leistungsschein „Storage“, bereitstellen, – Compute Power in mehreren Konfigurationen bereitstellen, die sich hinsichtlich ihres Überzeichnungsverhältnisses von virtuellen Prozessorkernen zu physischen Prozessorkernen unterscheiden (als Performancegrundlage für 1 physischen Prozessorkern wird hierbei die durchschnittliche Performance eins Prozessorkerns eines Cisco UCS Servers mit 2 Xenon Quad Core 2.93GHz CPUs bestimmt, gemessen in Ideas International RPE2 Benchmark-Punkten), – alle virtuellen Instanzen und die ihnen zugewiesenen Ressourceneinheiten (Compute Power, Memory, Storage) überwachen hinsichtlich Status, Performance, Auslastung und Verbrauch und dem Kunden in Übereinstimmung mit dem Leistungssschein „Monitoring und Reporting“, Zugriff auf diese Informationen ermöglichen, – alle für diesen Service eingesetzte Hardware und Software überwachen hinsichtlich Status, Performance, Auslastung und Verbrauch und dem Service-Kunden in Übereinstimmung mit dem Leistungssschein „Monitoring und Reporting“, Zugriff auf diese Informationen ermöglichen, – den Service für virtuelle Instanzen kontinuierlich verbessern in Übereinstimmung mit dem Leistungsschein „Technologie-Roadmap“, – im Rahmen des Betriebs in Übereinstimmung mit dem Leistungsschein „Prozesse, Funktionen und Schnittstellen“, u.a. folgende Leistungen erbringen: – Starten und Stoppen einer virtuellen Instanz, – Ein- und Ausschalten eines virtuellen Systems, – Neustart eines virtuellen Systems, – Identifizieren, Dokumentieren und Lösen von Störungen und Problemen von virtuellen Instanzen,
106
Kopanakis
III. Leistungsmodule
Rz. 51
Teil 1 D
– Intervention an virtuellen Instanzen im Falle von AusnahmeEvents, Störungen oder Problemen mit dem Ziel, das virtuelle System wiederherzustellen, – präventive Wartung an virtuellen Instanzen, deren Komponenten und der eingesetzten Hardware und Software durchführen, – Implementieren von Emergency Fixes an virtuellen Instanzen, deren Komponenten und der eingesetzten Hardware und Software, – Implementieren von Änderungen am Service für virtuelle Instanzen, deren Komponenten und der eingesetzten Hardware und Software, – für alle Änderungen an virtuellen Instanzen, deren Komponenten und der eingesetzten Hardware und Software das Configuration-Management-System aktualisieren und pflegen, – wenn notwendig, mit Dritten zusammenarbeiten im Falle von Ausnahme-Events, Störungen, Problemen, präventiver Wartung oder Änderungen an virtuellen Instanzen, deren Komponenten und der eingesetzten Hardware und Software. Leistungserfüllung
48
– Der Anbieter stellt dem Kunden den Service für virtuelle Instanzen über den Netzwerk-Service (siehe Rz. 53) zur Nutzung zur Verfügung. Mitwirkungspflichten des Kunden
49
Der Service-Kunde wird – dem Anbieter alle Informationen zur Verfügung stellen, die notwendig sind, um mit Dritten zusammenzuarbeiten. Leistungsausschlüsse/Prämissen
50
– Leistungsausschlüsse und Prämissen sind aus Sicht des Anbieters ein wichtiger Bestandteil der Leistungsbeschreibung und können mit Ergebnissen von Verhandlungen ergänzt werden. b) Storage (Besprechung wichtiger Aspekte) Unabhängig von der verwendeten Technologie sollten bei der Definition 51 des Storage die Performanceanforderungen an die Schreib- und Lesegeschwindigkeiten in Zeit pro Datenvolumen und die maximale Latenzzeit definiert werden. Eine entsprechende Definition kann z.B. folgendermaßen verfasst werden: „Der Kunde soll mit der folgenden technischen Performance als ein 100 % zufälliges Lesen und Input/Output (I/O) per RAIS Gruppe auf Daten zugreifen (IOPS = Input/Outputs Per Second) können:
Kopanakis
107
Teil 1 D
Rz. 52
Service-Beschreibungen
830 IOPS I/O Performance für eine Blockgröße von 4 KB 750 IOPS I/O Performance für eine Blockgröße von 8 KB 555 IOPS I/O Performance für eine Blockgröße von 32 KB mit einer Latenzzeit von maximal 11 Millisekunden“
Die verwendeten technischen Begriffe sind Maße für die Schreib- und Lesegeschwindigkeit von Festplatten 52
Weitere regelungsbedürftige Punkte sind u.a. – die RAID (Redundant Array of Independent Disks) Konfiguration des Storage, z.B.: „RAID 5 mit einer Festplatten-Konfiguration von sieben plus eins oder ähnlich.“ Der RAID Level beschreibt eine bestimmte Konfiguration des RAID Festplatten Arrays, mit der Daten so über verschiedene Festplatten gespiegelt werden, dass es möglich ist einzelne defekte Festplatten auszutauschen, ohne einen Datenverlust zu erleiden. – die Festlegung der Dateisysteme, die vom Storage unterstützt werden, z.B.: „Es werden mindestens folgende Dateisysteme unterstützt: ext3 für Linux, zfs für Solaris, ntfs für Windows.“ – Regelungen rund um die Prinzipien des ILM (Information Lifecycle Management). c) Netzwerk (Besprechung wichtiger Aspekte)
53
Es ist empfehlenswert, die Bestandteile der Netzwerk-Leistung im Einzelnen aufzuführen und die Anforderungen vertraglich zu vereinbaren. Zu diesen Bestandteilen gehören u.a. – Das Lieferanten-Netzwerk, z.B.: „Konzeptionierung und Implementierung der Infrastrukturkomponenten des Lieferanten-Netzwerks entsprechend des 2N Prinzips (2N bedeutet, dass alle benötigten Netzwerk-Komponenten doppelt ausgelegt sind und es dadurch für jede Netzwerk-Komponente im Falle eines Ausfall eine alternative Komponente gibt) und in Übereinstimmung mit den vereinbarten Netzwerk-Bandbreiten je V-Instanz.“ – Die Netzwerk-Verbindung, z.B.: „Verbindung des Lieferanten-Netzwerks über vereinbarte WAN-Verbindungen mit dem Kunden-Netzwerk, getrennt durch Firewalls auf Seiten des Service-Lieferanten. Die Netzwerk-Verbindung ist so zu konfigurieren, dass VPN-Verbindungen zwischen dem Kunden-Netzwerk und dem Lieferanten-Netzwerk eingerichtet werden können.“ – Es ist zu definieren welche Netzwerk-Komponente im Netzwerk des Kunden oder des Lieferanten den Leistungsübergabepunkt ist, ab dem die Leistung für den Kunden zur Nutzung bereitgestellt wird. – Management der Netzwerk-Kapazität, z.B.: „Management der WANVerbindungen und des Supplier-Netzwerks, so dass die genutzte Netz108
Kopanakis
III. Leistungsmodule
Rz. 55
Teil 1 D
werk-Bandbreite in 95 % der Servicezeit nicht 85 % der verfügbaren Bandbreiten übersteigt.“ Hinweis: Dieser Aspekt kann auch als Service-Level vereinbart werden. d) Image Repository (Besprechung wichtiger Aspekte) Das Image Repository ermöglicht die Verwaltung von Betriebssystem- 54 Images und erlaubt das Aufspielen zertifizierter Betriebssystem-Images auf Storage. Zu seinen Bestandteilen gehören u.a.: – Ein Validierungs-Service, z.B.: „Testen von neuen oder aktualisierten Betriebssystem-Images, die vom Service-Kunden zur Zertifizierung eingereicht werden, um ihre Kompatibilität mit dem Private Compute Cloud IaaS, ihre Aufspielbarkeit auf Storage und ihre Ausführbarkeit mittels virtueller Instanzen festzustellen. Dokumentieren der jeweils festgestellten Kompatibilität und Versendung von Nachrichten mit Details der jeweiligen Validierungsergebnisse an den Kunden über das Management-Interface. Berücksichtigen von bereits zertifizierten Betriebssystem-Images als Regressionstest im Rahmen des Testen neuer oder aktualisierter Betriebssystem-Images.“ – Ein Zertifizierungs-Service, z.B.: „Zertifizierung aller erfolgreich getesteter und für kompatibel befundener neuer und aktualisierter Betriebssystem-Images und Hinterlegung dieser zertifizierten BetriebssystemImages im Image Repository zur Verwendung für die Erstellung neuer virtueller Systeme.“ – Ein Image Repository Management-Service, z.B.: „Managen von bis zu 10 Betriebssystem-Images je Linux-, Solaris- und Windows-Betriebssystem. Benachrichtigen des Kunden wenn die Anzahl der Betriebssystem-Images für eines der Betriebssysteme größer als 10 ist. Löschen von durch den Service-Kunden zur Löschung freigegebener Betriebssystem-Images.“ e) Management-Interface (Besprechung wichtiger Aspekte) Das Management-Interface ermöglicht eine automatisierte Interaktion 55 mit dem Service-Lieferanten. Zu seinen Bestandteilen gehören u.a.: – Die Möglichkeit alle spezifizierten IMAC-Leistungen über das Management-Interface zu bestellen/beantragen. – Der Zugriff auf alle vereinbarten Reports und Service-ManagementDokumentationen über das Management-Interface. – Die Möglichkeit weiterer Interaktionen, wie z.B. – die Durchführung von Image Snapshots des Storage von virtuellen Systemen,
Kopanakis
109
Teil 1 D
Rz. 56
Service-Beschreibungen
– den Zugriff auf ein Echtzeit-Reporting hinsichtlich Konfiguration sowie Allokation und Verbrauch von Compute Power, Memory, Storage Backup und Netzwerk durch virtuelle Instanzen. – Die Archivierung aller über das Management-Interface empfangener und ausgeführter Bestellungen/Beantragungen für einen Zeitraum von 6 Monaten. 2. Beschreibung von IMAC-Leistungen a) Kommissionierung einer neuen virtuellen Instanz (vollständiges Beispiel) 56
Leistungsbeschreibung Bestellt der Kunde eine neue virtuelle Instanz über das Management-Interface, wird der Anbieter – diese virtuelle Instanz in der bestellten Konfiguration erstellen und implementieren, – den Zugang zu der neuen virtuellen Instanz über das Netzwerk implementieren und konfigurieren, – die spezifizierten Ressourceneinheiten (Compute Power, Memory, Storage) in der gewählten Konfiguration bereitstellen und dieser virtuellen Instanz zuweisen.
57
Leistungserfüllung – Der Anbieter sendet eine Nachricht an den Kunden, dass die virtuelle Instanz mit den spezifizierten Ressourceneinheiten zur Nutzung bereitsteht.
58
Mitwirkungspflichten des Kunden Der Kunde wird – über das Management-Interface die virtuelle Instanz bestellen sowie die zugehörigen Ressourceneinheiten und das benötigte Betriebssystem-Image spezifizieren.
59
Leistungsausschlüsse/Prämissen – Leistungsausschlüsse und Prämissen sind aus Sicht des Anbieters ein wichtiger Bestandteil der Leistungsbeschreibung und können mit Ergebnissen von Verhandlungen ergänzt werden. b) Kommissionierung eines neuen virtuellen Systems (vollständiges Beispiel)
60
Leistungsbeschreibung Alle Leistungen aus „Kommissionierung einer neuen virtuellen Instanz“, zusätzlich wird der Anbieter 110
Kopanakis
III. Leistungsmodule
Rz. 66
Teil 1 D
– das vom Kunden im Rahmen der Bestellung spezifizierte Betriebssystem-Image aus dem Image Repository auf dem dieser virtuellen Instanz zugewiesenen Storage kopieren, – durch den Start des Betriebssystems dieses neue virtuelle System starten und ihm die vom Kunden spezifizierte IP-Adresse zuweisen. Leistungserfüllung
61
– Der Anbieter sendet eine Nachricht an den Kunden, dass die virtuelle Instanz mit den spezifizierten Ressourceneinheiten und dem spezifizierten Betriebssystem-Image zur Nutzung bereitsteht. Mitwirkungspflichten des Kunden
62
Alle Mitwirkungen aus „Kommissionierung einer neuen virtuellen Instanz ohne Betriebssystem-Image“, zusätzlich wird der Kunde – die IP-Adresse für das zu erstellende virtuelle System übermitteln. Leistungsausschlüsse/Prämissen
63
– Leistungsausschlüsse und Prämissen sind aus Sicht des Anbieters ein wichtiger Bestandteil der Leistungsbeschreibung und können mit Ergebnissen von Verhandlungen ergänzt werden. c) De-Kommissionierung einer virtuellen Instanz (vollständiges Beispiel) Leistungsbeschreibung
64
Beantragt der Kunde die De-Kommissionierung einer virtuellen Instanz über das Management-Interface wird der Anbieter – diese virtuelle Instanz de-kommissionieren, – alle zugewiesenen Ressourceneinheiten (Compute Power, Memory, Storage) zur Verwendung für andere virtuelle Instanzen freigeben, – den Netzwerk-Zugang de-kommissionieren. Leistungserfüllung
65
– Der Anbieter sendet eine Nachricht an den Kunden, dass die virtuelle Instanz und die ihr zugewiesenen Ressourceneinheiten de-kommissioniert sind. Mitwirkungspflichten des Kunden
66
Der Kunde wird – über das Management-Interface die De-Kommissionierung der virtuellen Instanz beantragen.
Kopanakis
111
Teil 1 D
67
Rz. 67
Service-Beschreibungen
Leistungsausschlüsse/Prämissen – Leistungsausschlüsse und Prämissen sind aus Sicht des Anbieters ein wichtiger Bestandteil der Leistungsbeschreibung und können mit Ergebnissen von Verhandlungen ergänzt werden. d) Konfigurations-Änderung (vollständiges Beispiel)
68
Leistungsbeschreibung Beantragt der Kunde eine Konfigurations-Änderung zu einer virtuellen Instanz über das Management-Interface wird der Anbieter – beantragte Konfigurations-Änderung am Netzwerk-Zugang der virtuellen Instanz vornehmen, – beantragte Änderungen an den Ressourceneinheiten (Compute Power, Memory, Storage) dieser virtuellen Instanz vornehmen, – reduzierte Ressourceneinheiten (Compute Power, Memory, Storage) zur Verwendung für andere virtuelle Instanzen freigeben.
69
Leistungserfüllung – Der Anbieter sendet eine Nachricht an den Kunden, dass die Konfigurations-Änderung durchgeführt worden ist.
70
Mitwirkungspflichten des Kunden Der Kunde wird – über das Management-Interface die Konfigurations-Änderung zu einer virtuellen Instanz beantragen.
71
Leistungsausschlüsse/Prämissen – Leistungsausschlüsse und Prämissen sind aus Sicht des Anbieters ein wichtiger Bestandteil der Leistungsbeschreibung und können mit Ergebnissen von Verhandlungen ergänzt werden. e) Parken einer virtuellen Instanz (vollständiges Beispiel)
72
Leistungsbeschreibung Beantragt der Kunde das Parken einer virtuellen Instanz über das Management-Interface wird der Anbieter – diese virtuelle Instanz, ihre Konfiguration und alle zugehörigen Daten archivieren und die Archivdateien auf dem Storage speichern, – diese virtuelle Instanz de-kommissionieren, – alle zugewiesenen Ressourceneinheiten (Compute Power, Memory, Storage) zur Verwendung für andere virtuelle Instanzen freigeben, – den Netzwerk-Zugang de-kommissionieren.
112
Kopanakis
III. Leistungsmodule
Rz. 78
Teil 1 D
Leistungserfüllung
73
– Der Anbieter sendet eine Nachricht an den Kunden, dass die virtuelle Instanz geparkt ist und die ihr zugewiesenen Ressourceneinheiten dekommissioniert sind. Mitwirkungspflichten des Kunden
74
Der Kunde wird – über das Management-Interface das Parken der virtuellen Instanz beantragen. Leistungsausschlüsse/Prämissen
75
– Leistungsausschlüsse und Prämissen sind aus Sicht des Anbieters ein wichtiger Bestandteil der Leistungsbeschreibung und können mit Ergebnissen von Verhandlungen ergänzt werden. f) De-Parken einer virtuellen Instanz (vollständiges Beispiel) Leistungsbeschreibung
76
Beantragt der Kunde das De-Parken einer virtuellen Instanz über das Management-Interface wird der Anbieter – diese virtuelle Instanz in der archivierten Konfiguration erstellen und implementieren, – den Zugang zu dieser virtuellen Instanz über das Netzwerk implementieren und konfigurieren, – die spezifizierten Ressourceneinheiten (Compute Power, Memory, Storage) in der archivierten Konfiguration bereitstellen und dieser virtuellen Instanz zuweisen, – das Archivdateien dieser virtuellen Instanz aus dem Storage auf dem dieser virtuellen Instanz zugewiesenen Storage kopieren, – durch den Start des Betriebssystems dieses virtuelle System starten, – 2 Tage nach Versendung der Nachricht an den Service-Kunden, dass das virtuelle System bereitgestellt wurde, die Archivdateien dieser virtuellen Instanz löschen und den zugehörigen Storage zur Verwendung für andere virtuelle Instanzen freigeben. Leistungserfüllung
77
– Der Anbieter sendet eine Nachricht an den Kunden, dass die archivierte virtuelle Instanz wieder zur Nutzung bereitsteht. Mitwirkungspflichten des Kunden
78
Der Kunde wird – über das Management-Interface das De-Parken der archivierten virtuellen Instanz beantragen. Kopanakis
113
Teil 1 D
79
Rz. 79
Service-Beschreibungen
Leistungsausschlüsse/Prämissen – Leistungsausschlüsse und Prämissen sind aus Sicht des Anbieters ein wichtiger Bestandteil der Leistungsbeschreibung und können mit Ergebnissen von Verhandlungen ergänzt werden. 3. Beschreibung von Service-Management-Leistungen
80
Service-Management-Leistungen legen den Verantwortungsumfang des Anbieters hinsichtlich eines aktiven Managements von Kern- und IMAC-Leistungen fest. Je größer dieser Umfang an Verantwortung ist, desto eher kann der Service als ein „managed“ Service angesehen werden. Die folgende Liste enthält Aspekte von Service-Management-Leistungen durch den Anbieter. Zu jedem dieser Aspekte kann die geschuldete Leistung durch ein oder mehrere Leistungsmodule definiert werden:
81
– Monitoring & Reporting Es werden alle Berichte definiert, die der Anbieter regelmäßig zu erstellen hat, und ihre Frequenz. Der Anbieter wird zusätzlich verpflichtet angemessene Monitoring und Reporting Tools für die automatisierte Überwachung von Service-Levels und Erstellung aller vereinbarten Berichte zu implementieren. Die folgende Liste gibt eine Indikation, welche Berichte vertraglich vereinbart werden können. Report-Name
Freq.
Kundenaktivittsbericht
6M
Fortschrittsbericht
1M
Verbrauch von Ressourceneinheiten
1M
Audit-relevante Vorflle
1M
Technology Roadmap
6M
Service-Katalog
3M
Technisches Konfigurations-Inventory
1W
Major Incident Report
ad hoc
Security Incident Report
ad hoc
IMAC Report
1M
Service Level Erreichung
1M
Service Management Report
1M
Compliance & Security Report
1M
Interoperabilitts-Matrix
3M
Legende: M-Monat(e), W-Woche(n)
114
Kopanakis
III. Leistungsmodule
Rz. 86
Teil 1 D
– Technologie-Roadmap
82
Die Technologie-Roadmap stellt sicher, dass die strategische technologische Planung des Anbieters für die nächsten 12–24 Monate mindestens 1 × alle 6 Monate dem Kunden bereitgestellt wird. Über dieses Instrument kann der Anbieter dazu angehalten werden, regelmäßig technologische Verbesserungen und beste Industriepraxis in den vereinbarten Service einfließen zu lassen. Zudem wird der Kunde frühzeitig über neue Entwicklungen und Trends informiert und wird so in die Lage versetzt, diese hinsichtlich ihrer Nützlichkeit zu würdigen und ggf. Vertragsanpassungen zu initiieren. – Interoperabilitäts-Matrix
83
Die Interoperabilitäts-Matrix definiert als allein gültige Quelle die für den Service gültigen Hardware und Software und verpflichtet den Anbieter alle für den Service eingesetzten Komponenten jederzeit in Übereinstimmung mit der Interoperabilitäts-Matrix zu halten. Änderungen an der Interoperabilitäts-Matrix werden so vorgenommen, dass die veränderten Komponenten kompatibel zu der jeweils gültigen Hardware und Software auf beiden Seiten bleibt – beim Anbieter und beim Kunden. – Betriebshandbuch
84
Das Betriebshandbuch dokumentiert auf Ebene von Arbeitsanweisungen die operationellen Verfahren für den täglichen Betrieb des Services und ist eine Verantwortung des Anbieters. Die Bereitstellung und das Recht, das Betriebshandbuch für eigene Zwecke zu verwenden, macht den Kunden unabhängiger vom Anbieter und erleichtert die Migration des Services zu einem anderen Anbieter, z.B. im Falle von Schlechtleistung. – Technisches Konfigurations-Inventory
85
Das technische Konfigurations-Inventory dokumentiert als allein gültige Quelle alle für den Service implementierten Hardware- und Softwarekomponenten, ihre Eigenschaften und Status und Informationen hinsichtlich ihrer historischen Konfiguration. Auch das technische Konfigurations-Inventory macht den unabhängiger vom Anbieter. – Prozesse, Funktionen und Schnittstellen
86
Der Umfang an Prozessverantwortung für das Managen des Services sowie der Umfang an Funktionen und Schnittstellen, die in der Verantwortung des Anbieters liegen, definieren den zusätzlichen Managementaufwand des Anbieters. Ein Framework, das für die Definition der Managementverantwortlichkeiten von Kunde und Anbieter ge-
Kopanakis
115
Teil 1 D
Rz. 86
Service-Beschreibungen
nutzt werden kann, ist ITIL®. Es definiert aus Sicht eines Serviceanbieters 27 spezialisierte Prozesse sowie die wichtigsten organisatorischen Funktionen und Kundenschnittstellen (z.B. Service-Desk, Operation Management, Technical Management etc.). Die folgende Graphik gibt einen Überblick über die ITIL® Prozesse und illustriert die Unterteilung des Frameworks den Lebenszyklus von Services.
– Strategy Management for IT-Services – Service Portfolio Mgmt – Financial Management for IT Services – Demand Management – Business Relationship Management
– Event Management – Incident Management – Request Fulfilment – Problem Management – Access Management – Operational activities
Continual Service Improvement
e vic Ser tion a r e Op
Service Design
Service Service Strategy Strategy
Se Tra rvic ns e itio n
– The 7 Step Improvement Process
– Design Coordination – Service Catalogue Mgmt – Service Level Management – Availability Management – Capacity Management – IT service Continuity Mgmt – Information Security Mgmt – Supplier Management – Transition Planning and Support – Change Management – Service Asset and Configuration Management – Release and Deployment Management – Service Validation and Testing – Change Evaluation – Knowledge management
Abb. 6: Prozesse im Lebenszyklus eines Services nach ITIL v3 ITIL ist ein eingetragenes Warenzeichen des Cabinet Office
116
Kopanakis
IV. Service-Levels
Rz. 88
Teil 1 D
IV. Service-Levels Die folgende Tabelle gibt einen Überblick über mögliche Service-Levels 87 des Private Compute Cloud IaaS. IMAC-Leistungen
Kernleistungen
Service-Mgmt-Leistungen
Leistungsqualität < X m Erfüllungsgrad >Y% Kommissionier< 30m ung einer neuen > 90 % virtuellen Instanz
Verfügbarkeit > Y % je Monat > 99,9 % Virtuelle Standard Instanzen
Test/Überprüfung ≥ 1 x je
Storage
Technisches KonfigurationsInventory
Kommissionier< 120m ung eines neuen > 90 % virtuellen Systems De-Kommissionierung einer virtuellen Instanz
< 10m 100 %
Konfigurationsänderung Parken eines virtuellen Systems De-Parken eines virtuellen Systems
< 120m > 90 % < 240m > 90 % < 240m > 90 %
Netzwerk
> 99,99 % Premium
Image Repository
> 99,5 %
ManagementInterface
> 99,5 %
Leistungszeit: 7 x 24
InteroperabilitätsMatrix
6M
Betriebshandbuch
12 M 6M
Innerhalb von höchstens X m in mindestens Y% aller Fälle Hotline Response < 10m > 80 % Time
Legende: M-Monat(e), m-Minute(n)
Abb. 7: Mçgliche Service-Levels im Rahmen eines Private Compute Cloud IaaS
In diesem Beispiel gilt – bei Service-Levels für IMAC-Leistungen und Kernleistungen: Eigenschaft
Ausprgung
Leistungszeit
7 24 (7 Tage die Woche, 24 Stunden je Tag), außer Sonntags von 0–4 Uhr
– bei Service-Levels für IMAC-Leistungen, Kernleistungen und Hotline Response Time: Eigenschaft
Ausprgung
Berichtszeitraum
1 Kalendermonat
Berichtszeitpunkt
der 5. Werktag im Folgemonat
Berichtsvorflle
diejenigen Berichtsvorflle, die abgeschlossen und unstrittig sind und daher fr die Messung der ServiceLevel-Erreichung herangezogen werden kçnnen
1. Anforderungen an Verfügbarkeit Die Verfügbarkeit ist der wichtigste Gewährleistungsaspekt eines IT-Ser- 88 vices und vor allem auch eines Cloud Computing-Dienstes. Sie stellt si-
Kopanakis
117
Teil 1 D
Rz. 89
Service-Beschreibungen
cher, dass ein IT-Service nicht nur nützlich, sondern auch verfügbar und damit nutzbar bleibt. Im Beispiel des Compute Cloud IaaS werden drei verschiedene Verfügbarkeiten definiert: a) Verfügbarkeit von virtuellen Instanzen, Storage und Netzwerk 89
Eigenschaft
Ausprgung
Leistungskennziffer
Verfgbarkeit = (Leistungszeit – Downtime)/Leistungszeit Als Downtime wird jeder Zeitraum gewertet, fr den eine virtuelle Instanz, der ihr zugewiesene Storage oder der Netzwerkzugang zur virtuellen Instanz nicht verfgbar sind. Downtime = Wiederherstellzeit bei Verfgbarkeitsstçrungen gemessen durch Incident-Tickets
Erfllungsgrad
L 99,9 % fr Standard V-Instanzen L 99,99 % fr Premium V-Instanzen
b) Verfügbarkeit des Image Repository 90
Eigenschaft
Ausprgung
Leistungskennziffer
Verfgbarkeit = (Leistungszeit – Downtime)/Leistungszeit Als Downtime wird jeder Zeitraum gewertet, fr den das Image Repository nicht verfgbar ist und daher keine Kommissionierung von virtuellen Systemen erfolgen kann. Downtime = Wiederherstellzeit bei Verfgbarkeitsstçrungen gemessen durch Incident-Tickets
Erfllungsgrad
L 99,5 %
c) Verfügbarkeit des Management-Interfaces 91
Eigenschaft
Ausprgung
Leistungskennziffer
Verfgbarkeit = (Leistungszeit – Downtime)/Leistungszeit Als Downtime wird jeder Zeitraum gewertet, fr den das Management-Interface nicht verfgbar ist und daher keine IMAC-Leistungen beantragt werden kçnnen. Downtime = Wiederherstellzeit bei Verfgbarkeitsstçrungen gemessen durch Incident-Tickets
Erfllungsgrad
L 99,5 %
2. Anforderungen an Kapazität 92
Die Gewährleistung der Kapazitäten stellt sicher, dass zu jedem Zeitpunkt in der Lebensspanne des IT-Services ausreichend Kapazität bereit 118
Kopanakis
IV. Service-Levels
Rz. 94
Teil 1 D
steht, um den Service-Bedarf (mit ausreichender Performance) zu decken. Sie stellt sicher, dass die Ressourcen eines IT-Service so vom Anbieter gemanagt werden, dass der Service seine Nützlichkeit jederzeit – auch bei Bedarfsspitzen – erfüllen kann. Ein effektives Kapazitäts-Management durch den Anbieter ist insbeson- 93 dere für die Sicherstellung der unmittelbaren Elastizität (d.h. der Anpassungsfähigkeit hinsichtlich eines sich im Tagesgeschäft veränderten Bedarfes) von Cloud-Services wichtig (siehe Teil 1 C Rz. 8). Aus Sicht des Kunden ist es hierbei ausreichend, für jeden Servicebestandteil eine Mindestperformance zu definieren. Im Beispiel eines Private Compute Cloud IaaS erfolgt dies durch folgende Definitionen: – Definition der Compute Power von physischen Prozessorkernen im Leistungsmodul für virtuelle Instanzen und Festlegung der Überzeichnungsmöglichkeit (siehe Rz. 47), Überzeichnung bedeutet hierbei die gleichzeitige Zuweisung von physischen Ressourcen zu verschiedenen virtuellen Instanzen. Teilen sich z.B. 4 virtuelle Instanzen (auf denen jeweils ein Server gehostet wird) einen Prozessorkern, so ist der Prozessorkern 4fach überzeichnet. Benötigt in diesem Fall zu einem bestimmten Zeitpunkt nur einer der 4 Server Rechenkapazität, steht ihm die Leistung des Prozessorkerns in Gänze zur Verfügung. Nutzen alle 4 Server gleichzeitigt den Prozessorkern, steht jedem Server nur 1/4 der Leistung des Prozessorkerns zur Verfügung. – Definition einer maximalen Überzeichnung von 8 virtuellen Prozessorkernen je 1 physischen Prozessorkern für Standard V-Instanzen (siehe Rz. 111). – Definition einer maximalen Überzeichnung von 4 virtuellen Prozessorkernen je 1 physischen Prozessorkern für Premium V-Instanzen mit Load Balancing über mindestens 2 physischen Prozessorkernen (siehe Rz. 112). – Definition der Performanceanforderungen an die Schreib- und Lesegeschwindigkeiten und Latenzzeit des Storage (siehe Rz. 51). – Definition einer Mindestbandbreite von 1 Mbit/s für den Netzwerkzugang je Standard V-Instanz und Premium V-Instanz (siehe Rz. 111 und siehe Rz. 112). Aus der Perspektive des Anbieters ist die Übernahme der Verantwortung 94 für eine unmittelbare Elastizität des Cloud-Services mit dem Risiko verbunden, Überkapazitäten aufzubauen, die nicht konsumiert werden. Dieses Risiko ist bei einer Private Cloud höher als bei einer Public Cloud, da der Anbieter nur vom Bedarf und Nutzungsverhalten eines einzigen Kunden abhängig ist. Daher ist bei Anbietern von Private Clouds der Reflex zu beobachten, die maximalen Kapazitäten auf bestimmte technische Größenordnungen zu beschränken. Zum Beispiel indem der Anbieter die Computer-Kapazität auf die maximale Ausbaustufe eines Blade-Chassis und der darin befindlichen Blade-Server beschränkt und zugleich die VerKopanakis
119
Teil 1 D
Rz. 95
Service-Beschreibungen
antwortung für die Initiierung eines weiteren Ausbaus der Hardwareund Softwarekomponenten der Private Cloud dem Kunden aufbürdet. 3. Anforderungen an Sicherheit 95
Für viele Anwendungen mit geschäftskritischen Daten (z.B. Stammdaten, Rezepturen oder Software-Code) sind nicht erfüllbare Sicherheitsanforderungen in der Cloud die größten Hürden, die einer Nutzung von Cloud-Services entgegenstehen.
96
Bei einer Private Cloud können diese Hürden durch den Abschluss individueller Vereinbarungen zum Schutz von Kunden-Daten reduziert werden. Hierbei kommen viele verschiedene technische Lösungen für Schutzmechanismen zum Einsatz.
97
Schutz vor unerlaubten Zugriff nicht autorisierter Dritter, z.B. durch – physische Segregation der Service-Komponenten von denen anderer Kunden, – logische Segregation der Service-Komponenten von denen anderer Kunden, – Erzwingung einer Autorisierung vor einem physischen oder logischen Zugriffs auf Service-Komponenten und Kunden-Daten, – Überwachung und Protokollierung des physischen und logischen Zugriffs auf Service-Komponenten und Kunden-Daten, – Verschlüsselung der Daten beim Transport über das Netzwerk, – Verschlüsselung der Daten beim Speichern auf Storage und Backup
98
Schutz vor Beeinträchtigung der Integrität von Daten, z.B. durch – Überwachung des Datenverkehrs auf Schadware und ggf. Blockade der Datenübertragung und Beseitigung der Schadware, – Scannen der gespeicherten Daten auf Schadware und ggf. Isolation und Beseitigung der Schadware.
99
Im Beispiel des Private Compute Cloud IaaS erfolgt dies u.a. durch folgende Definitionen: – Physische Trennung aller für virtuelle Instanzen benötigten Hardware und Software von den Services anderer Kunden (siehe Rz. 47). – Konfigurierbares Port Profil ACL für Standard V-Instanzen (siehe Rz. 111). – Perimeter Firewall für Premium V-Instanzen (siehe Rz. 112)
120
Kopanakis
IV. Service-Levels
Rz. 103
Teil 1 D
4. Anforderungen an Kontinuität Die Gewährleistung der Kontinuität ist der Aspekt eines IT-Services, der 100 sicherstellt, dass auch im Katastrophenfall Services innerhalb definierter Zeitspannen wiederhergestellt werden und so für den Service-Kunden auch in einer solchen Extremsituation nutzbar bleiben. Dies ist insbesondere für geschäftskritische Services ein unverzichtbarer Bestandteil von Service-Beschreibungen. Im Beispiel des Private Compute Cloud IaaS ist eine solche Anforderung 101 nicht formuliert. Um Kontinuitätsanforderungen Rechnung zu tragen, müssten folgende Aspekte ergänzt werden: – In allen Leistungsmodulen von Kernleistungen müsste verankert werden, dass die Service-Komponenten (Hardware und Software) redundant in einer active/active- oder active/passive-Konfiguration in zwei verschiedenen Rechenzentren bereitgestellt werden. – Zumindest für virtuelle Instanzen, Storage und Netzwerk müsste ein zusätzlicher Service-Level mit der Definition einer Wiederanlaufzeit im Katastrophenfall vereinbart werden. – Die Service-Management-Leistungen sollten die Erstellung, Aktualisierung und das regelmäßige Testen eines Kontinuitätsplans enthalten. – Zusätzlich sollte ein Service-Level festlegen in welcher Häufigkeit das Testen des Kontinuitätsplans zu erfolgen hat. 5. Service-Levels für IMAC-Leistungen Für jede IMAC-Leistung sollte ein Service-Level definiert werden, der 102 festlegt, wie viel Zeit für dessen Durchführung maximal zur Verfügung steht und in welchem Umfang diese maximale Zeitspanne vom Anbieter einzuhalten ist. In Abb. 7: auf der linken Seite sind Beispielwerte für die Leistungsqualität und den Erfüllungsgrad für jede IMAC-Leistung des Private Compute Cloud IaaS aufgeführt. Das folgende Beispiel zeigt die Detaillierung der in Abbildung 7 aufge- 103 führten Werte anhand des Service-Levels für die IMAC-Leistung „Kommissionierung eines neuen virtuellen Systems“: Eigenschaft
Ausprgung
Leistungszeit
5 13 (werktags, Mo. – Fr., von 7:00 bis 20:00 Uhr tglich)
Leistungskennziffer
Kommissionierung eines neuen virtuellen Systems = Zeit von der Bestellung eines neuen virtuellen Systems bis zur Versendung der Nachricht, dass das virtuelle System zur Verwendung bereit steht.
Leistungsqualitt
Bereitstellungszeit l 120 Minuten
Erfllungsgrad
L 90 % Kopanakis
121
Teil 1 D
Rz. 104
Service-Beschreibungen
6. Service-Levels für Service-Management-Leistungen 104
Viele Service-Management-Leistungen sind auf die Erstellung und Pflege von Dokumentationen gerichtet. Für jede servicerelevante Dokumentation sollte in Form eines Service-Levels vereinbart werden, in welchen zeitlichen Perioden ihre Aktualisierung zu erfolgen hat. Dies ist in Abb. 7: auf der rechten Seite für die Interoperabilitätsmatrix, das Betriebshandbuch, das technische Konfigurations-Inventory und die Dokumentation für Monitoring & Reporting erfolgt.
105
Zusätzlich gibt eine Reihe von operationellen Service-Management-Aktivitäten wie die Bearbeitung von Anfragen, Störungen, Problemen oder Änderungen, für die Service-Levels hinsichtlich Reaktions- und Bearbeitungszeiten definiert werden können. In Abb. 7: ist dies auf der rechten Seite unten für die „Hotline Response Time“ erfolgt. Eigenschaft
Ausprgung
Leistungskennziffer
Hotline Response Time = Zeit vom Absenden der Anfrage mittels einer E-Mail bis zur telefonischen Rckmeldung der Hotline oder Beantwortung der Anfrage durch eine E-Mail.
Leistungsqualitt
Hotline Response Time l 10 Minuten
Erfllungsgrad
L 80 %
V. Ressourceneinheiten und Preise 106
Damit der Bestellprozess im Rahmen eines Private Compute Cloud IaaS vereinfacht ablaufen kann, ist es hilfreich, die auswählbaren Ressourceneinheiten soweit wie möglich zu reduzieren.
107
Die maximale Reduktion und damit das Optimum ist erreicht, wenn eine komplette virtuelle Instanz, samt Compute Power, Memory, Storage und Netzwerk-Zugang mit der Auswahl einer einzigen Option bestellt werden kann. Die Empfehlung ist daher, die Ressourceneinheiten so zu wählen, dass jede Ressourcen-Einheit eine definierte Konfiguration aller für eine virtuelle Instanz notwendiger Ressourcen enthält (siehe Rz. 111 und Rz. 112).
108
Zusätzlich sind für inkrementelle Erweiterungsmöglichkeiten ebenfalls Ressourceneinheiten zu definieren. Ein Beispiel hierfür ist wachsender Storage-Bedarf, der dazu führt, dass die Storage-Kapazität flexibel erweitert werden muss. Auch hierfür wird im Folgenden eine Storage-Ressourcen-Einheit definiert (siehe Rz. 114 und Rz. 115).
122
Kopanakis
V. Ressourceneinheiten und Preise
Rz. 111
Teil 1 D
Kunde und Anbieter müssen sich gemeinsam überlegen, welche ver- 109 schiedenen Konfigurationen an Ressourcen benötigt werden und diese jeweils als Ressourceneinheit definieren. 1. Virtuelle-Instanz Die Ressourcen-Kategorie V-Instanz (virtuelle Instanz) entspricht diesem 110 Ansatz und enthält neben virtuellen Cores und Memory auch Storageund Netzwerk-Leistungen. Diese V-Instanzen werden nun beispielhaft in zwei unterschiedlichen Grundkonfigurationen vorgestellt. a) Standard V-Instanzen 111
Eigenschaft
Konfiguration
berzeichnung (Compute Performance)
Maximal 8 virtuelle Prozessorkerne je 1 physischen Prozessorkern virtuelle Prozessorkerne (vPK)
Compute/Memory Kombinationen
Memory
1 vPK
2 vPK
1 GB
X
X
2 GB
X
X
X
4 GB
X
X
X
X
X
X
X
8 GB
4 vPK
Storage
50 GB SAN Attached 1-Tier ILM (SATA Drives)
Backup
1x tglich Snap Backup, 3 Tage Aufbewahrung 1x tglich Full Backup, 15 Tage Aufbewahrung
NetzwerkBandbreite
Mindestens 1 Gbit/s dediziert per virtueller Instanz
NetzwerkSicherheit
Konfigurierbares Port Profil ACL
Service Level
Konfiguration
Verfgbarkeit virtueller Instanzen sowie Storage und Netzwerk Services
Erfllungsgrad: 99,9 %
8 vPK
Kopanakis
123
Teil 1 D
Rz. 112
Service-Beschreibungen
b) Premium V-Instanzen 112
Eigenschaft
Konfiguration
berzeichnung (Compute Performance)
Maximal 4 virtuelle Prozessorkerne je 1 physischen Prozessorkern Einer virtuellen Instanz sind immer virtuelle Prozessorkerne zugewiesen, die mindestens zwei unterschiedliche physische Prozessorkerne nutzen. virtuelle Prozessorkerne (vPK) Memory
Compute/Memory Kombinationen
1 vPK
2 vPK
4 vPK
1 GB
X
X
2 GB
X
X
X
4 GB
X
X
X
X
X
8 GB
8 vPK
Storage
50 GB SAN Attached 2-Tier ILM (SATA Drives und Fibre Channel)
Backup
3x tglich Snap Backup, 3 Tage Aufbewahrung 1x tglich Full Backup, 15 Tage Aufbewahrung
NetzwerkBandbreite
Mindestens 1 Gbit/s dediziert per virtueller Instanz Server Load Balancing
NetzwerkSicherheit
Perimeter Firewall
Service Level
Konfiguration
Verfgbarkeit virtueller Instanzen sowie Storage und Netzwerk Services
Erfllungsgrad: 99,99 %
2. Storage-Einheiten 113
Verschiedene virtuelle Instanzen beherbergen unterschiedliche Betriebssysteme, Softwarekomponenten und Datenbanken mit einem sehr stark voneinander abweichenden Bedarf an Storage-Kapazität. Daher sind im Folgenden beispielhaft zwei zu den V-Instanzen passende Storage-Kategorien beschrieben, mit deren Hilfe bei Bedarf je V-Instanz Storage auf- oder auch abgerüstet werden kann.
124
Kopanakis
V. Ressourceneinheiten und Preise
Rz. 116
Teil 1 D
a) Standard Storage 114
Eigenschaft
Konfiguration
Storage
50 GB SAN Attached 1-Tier ILM (SATA Drives) Maximal 1000 GB je Virtueller Instanz
Backup
1x tglich Snap Backup, 3 Tage Aufbewahrung 1x tglich Full Backup, 15 Tage Aufbewahrung
Voraussetzung
Nur bestellbar fr Standard V-Instanzen
b) Premium Storage 115
Eigenschaft
Konfiguration
Storage
50 GB SAN Attached 2-Tier ILM (SATA Drives und Fibre Channel) Maximal 1000 GB je Virtueller Instanz
Backup
3x tglich Snap Backup, 3 Tage Aufbewahrung 1x tglich Full Backup, 15 Tage Aufbewahrung
Voraussetzung
Nur bestellbar fr Premium V-Instanzen
3. Preismodell Auf Basis der oben beschriebenen beispielhaften Grundkonfigurationen 116 ergeben sich insgesamt 24 Ressourceneinheiten (RE), für die jeweils ein RE-Preis je Zeiteinheit zu vereinbaren ist. Wegen des starken Preisverfalls von Hardwarekomponenten in der IT ist es zudem ratsam, für jede RE vertraglich eine jährliche Preisanpassung zu vereinbaren – ungeachtet zusätzlicher Benchmarking-Rechte des Kunden, die es erlauben, Nützlichkeiten, Gewährleistungen und Kosten der vertraglich vereinbarten IT-Services mit denen von Wettbewerbern zu vergleichen. Damit ergibt sich für das gewählte Beispiel folgendes Preismodell (vPK = virtueller Prozessorkern(e)): Ressourcen-Einheit
Zeiteinheit
RE-Preis je Zeiteinheit in Euro
Jhrliche PreisPerformance
Standard V-Instanz 1vPK/1GB
1 Stunde
XSV11
– YSV11 %
Standard V-Instanz 1vPK/2GB
1 Stunde
XSV12
– YSV12 %
Standard V-Instanz 1vPK/4GB
1 Stunde
XSV14
– YSV14 %
Standard V-Instanz 2vPK/1GB
1 Stunde
XSV21
– YSV21 %
Standard V-Instanz 2vPK/2GB
1 Stunde
XSV22
– YSV22 %
Standard V-Instanz 2vPK/4GB
1 Stunde
XSV24
– YSV24 %
Standard V-Instanz 2vPK/8GB
1 Stunde
XSV28
– YSV28 % Kopanakis
125
Teil 1 D
Rz. 117
Ressourcen-Einheit
Service-Beschreibungen Zeiteinheit
RE-Preis je Zeiteinheit in Euro
Jhrliche PreisPerformance
Standard V-Instanz 4vPK/2GB
1 Stunde
XSV42
– YSV42 %
Standard V-Instanz 4vPK/4GB
1 Stunde
XSV44
– YSV44 %
Standard V-Instanz 4vPK/8GB
1 Stunde
XSV48
– YSV48 %
Standard V-Instanz 8vPK/4GB
1 Stunde
XSV84
– YSV84 %
Standard V-Instanz 8vPK/8GB
1 Stunde
XSV88
– YSV88 %
Premium V-Instanz 2vPK/1GB
1 Stunde
XPV21
– YPV21 %
Premium V-Instanz 2vPK/2GB
1 Stunde
XPV22
– YPV22 %
Premium V-Instanz 2vPK/4GB
1 Stunde
XPV24
– YPV24 %
Premium V-Instanz 4vPK/1GB
1 Stunde
XPV41
– YPV41 %
Premium V-Instanz 4vPK/2GB
1 Stunde
XPV42
– YPV42 %
Premium V-Instanz 4vPK/4GB
1 Stunde
XPV44
– YPV44 %
Premium V-Instanz 4vPK/8GB
1 Stunde
XPV48
– YPV48 %
Premium V-Instanz 8vPK/2GB
1 Stunde
XPV82
– YPV82 %
Premium V-Instanz 8vPK/4GB
1 Stunde
XPV84
– YPV84 %
Premium V-Instanz 8vPK/8GB
1 Stunde
XPV88
– YPV88 %
Standard Storage 50GB
1 Stunde
XSS50
– YSS50 %
Premium Storage 50GB
1 Stunde
XPS50
– YPS50 %
117
Zusätzlich können volumenbezogene Preisrabatte vereinbart werden z.B. bei Überschreiten einer bestimmten Anzahl von Premium oder Standard vPK, die durchschnittlich in einem Monat genutzt wurden, oder bei Überschreitung eines bestimmten monatlichen Faktura-Betrages.
118
Der Anbieter ist verpflichtet, zumindest im Rhythmus der o.g. Zeiteinheit von einer Stunde auch tatsächlich Messungen über den tatsächlichen Ressourcenverbrauch vorzunehmen. Diese Messungen sind die Basis für die Rechnungsstellung und die Verrechnung der Leistungen auf Seiten des Kunden.
119
Für einen Business Case muss abgeschätzt werden, zu welchem Zeitpunkt welche Menge der Ressourceneinheiten und in welcher Konfiguration verbraucht werden. Die Herausforderung hierbei ist, dass dies vorher festgelegt sein muss. Dies ist für den Kunden eine Herausforderung, da eine Fehleinschätzung der Leistungsinanspruchnahme durch die Anwender dazu führen kann, dass die Leistungen aus der Cloud teurer werden als die vorherige eigene Leistungserbringung.
126
Kopanakis
VI. Herausforderungen bei Vertragsverhandlungen
Rz. 124
Teil 1 D
VI. Herausforderungen bei Vertragsverhandlungen Die folgende Darstellung beschreibt Herausforderungen am Beispiel ei- 120 nes Private-Cloud-Vorhabens, die im Laufe der Vertragserstellung und -verhandlung zu Tage traten und sich aus Sicht des Anbieters als schwer lösbar darstellten. – Integration von Prozessaktivitäten zwischen Anbieter und Kunde
121
Zum Beispiel war es nicht möglich ein gemeinsames operationelles Change Management zu vereinbaren, welches vom standardisierten Change Management des Anbieters abweicht. Insbesondere ein Autorisierungsrecht des Kunden vor der Implementierung von Service-Änderungen wurde vom Anbieter kategorisch abgelehnt. Die einzige Konzession war, dass bei Major Changes der Kunde mit einer Vorlaufzeit von 3 Monaten benachrichtigt werden sollte, ohne jedoch aufschiebend auf einen Change einwirken zu können. – Monitoring und Reporting auf Ebene der virtuellen Instanz – insbeson- 122 dere Allokation und Verbrauch/Auslastung von Compute Power, Memory, Storage und Netzwerk – war nicht von Beginn an möglich und sollte erst 6 Monate nach Implementierung des Cloud-Services verfügbar werden. Hierdurch hätte kein (pro-)aktives Management der Cloud-Services durch den Service-Kunden erfolgen können, da der Anbieter nicht über Allokation und Verbrauch/Auslastung von kostenrelevanten Ressourceneinheiten je virtueller Instanz berichten kann. Weiterhin wäre es nicht möglich gewesen, eingehende Rechnungen sachlich auf ihre Richtigkeit zu prüfen und die Kosten entsprechend dem jeweiligen Verbrauch auf Verbraucher-Kostenstellen zu verteilen. – Dem Anbieter war nicht daran gelegen zu überprüfen, ob die kommis- 123 sionierten virtuellen Instanzen und virtuellen Systeme tatsächlich auch funktionieren und vom Kunden verwendetet werden können. Dadurch war es nicht möglich, die Leistungserfüllung bei der Kommissionierung von virtuellen Instanzen und virtuellen Systemen mit der Nutzbarkeit durch den Kunden zu koppeln. – Pay per Use beschränkte sich grundsätzlich auf Pay per Allocation. Al- 124 le einer virtuellen Instanz zugewiesenen Ressourcen wurden entsprechend ihrer Allokation und nicht entsprechend ihres Verbrauchs oder Auslastung in Rechnung gestellt. Zudem war der Anbieter nicht in der Lage, die allokierten Compute Power und Memory Ressourcen von gestoppten virtuellen Instanzen für die Verwendung durch andere Instanzen freizugeben. Daher sollten in diesem Fall die allokierten Ressourcen weiterhin in Rechnung gestellt werden. Eine Instanz sollte geparkt (archiviert) werden, damit sie nicht mehr in Rechnung gestellt wird.
Kopanakis
127
Teil 1 D
125
Rz. 125
Service-Beschreibungen
– Die Verfügbarkeit konnte nur auf Basis von 7 × 24 gemessen und vereinbart werden, andere Service-Zeiten (z.B. 5 × 13) waren nicht möglich. Zudem benötigte der Service-Lieferant jeden Sonntag von 0–4 Uhr „entschuldigte“ Downtime wegen Wartungsaktivitäten.
126
– Der Private-Cloud-Service erforderte einen Auftrag durch den Kunden, um den Anbieter zu veranlassen, eine neue Baugruppe zu implementieren. Daher wäre eine dynamische Bereitstellung von Compute Power, Memory oder Storage nur im Rahmen der bereits installierten Baugruppen möglich gewesen. Zudem gestaltete es sich schwierig, eine verbindliche Mindestperformance für Standard V-Instanzen und Premium V-Instanzen zu vereinbaren. Da die Überzeichnung der Prozessorkerne vertraglich geregelt war (8fach für Standard V-Instanzen und 4fach für Premium V-Instanzen) sollte im Umkehrschluss vereinbart werden, dass je virtuellen Prozessorkern die Mindestperformance für Standard V-Instanzen 1/8 Prozessorkern und für Premium V-Instanzen 1/4 Prozessorkerne betragen.
127
– Die vereinbarte Service-Performance basierte auf einer konkreten Technologie und die Preisgestaltung war nur in Abhängigkeit einer Anzahl von virtuellen Prozessorkernen möglich. Daher war zu erwarten, dass jeder Technologiewechsel zu einer Neuverhandlung von Preisen geführt hätte und viele verschiedene Preise parallel hätten verwaltet werden müssen. Das Pricing wäre bei Vertragsstart nur für einen Zeitraum von 6 Monaten absehbar gewesen – bei einer beabsichtigten Vertragslaufzeit von 3 Jahren.
VII. Fazit 128
Cloud-Services sind eine Möglichkeit, skalierbare IT-Leistungen über Netzwerke als im Kern standardisierte Dienstleistung zu beziehen und damit die Einschränkungen traditioneller IT-Leistungen zu überwinden. Die Nutzung von Cloud-Services ist umso einfacher, je weniger Rücksicht auf individuelle Service-Anforderungen genommen werden muss und der Kunde sich auf die Vorgaben des Service-Anbieters einlassen kann.
129
Je höher die Sicherheitsanforderungen an den Cloud-Service und je mehr Rücksicht der Anbieter auf individuelle Anforderungen des Kunden nehmen muss und sich dadurch faktisch von seinem eigenen Standard entfernt, desto umfangreicher werden seine Service-Aufwendungen. Bei einer Private Cloud ist i.d.R. ein Höchstmaß an individueller Konfiguration für einen bestimmten Kunden gegeben und üblicherweise auch ein
128
Kopanakis
VII. Fazit
Rz. 132
Teil 1 D
individueller Vertrag notwendig, der stark von den Vertragsbedingungen eines Private-Cloud-Services abweicht. Am Bespiel des Private Compute Cloud IaaS wurde aufgezeigt, dass sol- 130 che individuelle IT-Service-Beschreibungen mittels Leistungsmodulen, Service-Levels und Leistungsscheinen auf die gleiche Art und Weise modularisiert und strukturiert werden können wie Beschreibungen von traditionellen IT-Services. Darüber hinaus wurden zahlreiche Formulierungsbeispiele Leistungsmodule und Service-Levels gegeben sowie Ressourceneinheiten und ein Preismodell für den Private Compute Cloud IaaS vorgestellt. Die Empfehlung bei Formulierungen in Service-Beschreibung ist, so technologie- und herstellerunabhängig wie möglich aber dennoch nachvollziehbar und quantifizierbar zu beschreiben. Auf Basis dieser Erfahrung in einer Private Compute Cloud IaaS-Initiati- 131 ve kann nur dazu geraten werden, im Rahmen von Cloud-Services keine Leistungen als gegeben oder selbstverständlich zu erachten und Marketingaussagen in Prospekten des Herstellers nicht zu vertrauen. Im Laufe der Vertragserstellung und -verhandlung sollten vor allem dann Herausforderungen als für „selbstverständlich“ erachtete Leistungen in den Vertragstext aufgenommen werden. Cloud-Services sind ein noch relativ junges Bereitstellungsmodell für IT- 132 Leistungen und bei weitem noch nicht so ausdifferenziert wie traditionelle IT-Leistungen. Noch bedeutet „Standarisierung“ bei Cloud-Services für jeden Anbieter etwas anderes: Jeder Anbieter hat seine Cloud-Services auf seine jeweils individuelle Art und Weise standardisiert. Daher ist es auch bei Cloud-Services eine Herausforderung den Anbieter zu identifizieren, der technologisch, strategisch, regulatorisch und kulturell am besten zum Kunden passt. Dies wiederum ist nur möglich, wenn der Kunde sich die Mühe macht, seine individuellen Service-Anforderungen auf „traditionelle“ Art zu dokumentieren um damit systematisch nach den passenden Anbietern von Cloud-Services zu fahnden.
Kopanakis
129
Teil 2 Vertragsgestaltung Rz. I. Einleitung . . . . . . . . . . . . . . . . . . . II. Typischer Prozess bis zum Vertragsabschluss . . . . . . . . . . . . . 1. Unterscheidung zwischen Großprojekten und Instant Clouds. . . . 2. Verträge über voll standardisierte Cloud-Leistungen . . . . . . . . . . . . . a) Vertragsschluss im Internet . . . aa) Allgemeines . . . . . . . . . . . . bb) Formerfordernisse . . . . . . . b) Elektronischer Geschäftsverkehr. . . . . . . . . . . . . . . . . . . . c) Verbraucherschutz: Fernabsatzrecht. . . . . . . . . . . . . aa) Einführung . . . . . . . . . . . . . bb) Geltungsbereich . . . . . . . . . cc) Informationspflichten des Unternehmers . . . . . . . . . . dd) Folgen des Verstoßes gegen Informationspflichten . . . . ee) Beschränkung des Anwendungsbereichs des Fernabsatzrechts . . . . . . . . . . . . ff) Widerrufs- und Rückgaberecht . . . . . . . . . . . . . . . gg) Bereichsausnahmen – Nichtbestehen eines Widerrufsrechts . . . . . . . . . d) AGB-Recht gegenüber Verbrauchern. . . . . . . . . . . . . . . aa) Allgemeines . . . . . . . . . . . . bb) Einbeziehung . . . . . . . . . . . cc) Inhaltlicher Überblick . . . . 3. Großprojekte . . . . . . . . . . . . . . . . . a) Interne Entscheidungsfindung b) Vorbereitung . . . . . . . . . . . . . . . c) Request for Proposal, Letter of Intent . . . . . . . . . . . . . . . . . . . . . d) Due Diligence . . . . . . . . . . . . . . e) Vertragsverhandlung und -abschluss . . . . . . . . . . . . . . . . . f) Liste Vertragsmanagement (z.B. Fristen für Kündigungen, Anzeigepflichten) . . . . . . . . . . . III. Grundsätzliches . . . . . . . . . . . . . . 1. Vertragsaufbau . . . . . . . . . . . . . . . . 2. Vertragstypologische Einordnung a) Einführung . . . . . . . . . . . . . . . . b) Einordnung . . . . . . . . . . . . . . . . aa) SaaS – Software as a Service . . . . . . . . . . . . . . . . .
1 6 7 9 12 12 19 23 26 26 33 41 51 55 58 64 103 103 105 112 114 116 118 122 126 128 130 132 132 137 137 141
Rz. bb) PaaS – Platform as a Service . . . . . . . . . . . . . . . . . cc) IaaS – Infrastructure as a Service . . . . . . . . . . . . . . . . . dd) BPaaS – Business Process as a Service . . . . . . . . . . . . . c) Gesamtbetrachtung der Cloud-Services . . . . . . . . . . . . . d) Einzelne Leistungsbestandteile von Cloud-Services. . . . . . aa) Werkvertrag . . . . . . . . . . . . bb) Dienstvertrag . . . . . . . . . . . e) Ergebnis . . . . . . . . . . . . . . . . . . . 3. Gerichtsstand und anwendbares Recht . . . . . . . . . . . . . . . . . . . . . . . a) Gerichtsstand . . . . . . . . . . . . . . aa) Gerichtsstandvereinbarung . . . . . . . . . . . . . . . . . bb) Schiedsvereinbarung . . . . . cc) Zuständiges Gericht ohne Gerichtsstand- oder Schiedsvereinbarung . . . . . b) Anwendbares Vertrags- und Deliktsrecht . . . . . . . . . . . . . . . aa) Anwendbares Vertragsrecht . . . . . . . . . . . . . . . . . . bb) Anwendbares Deliktsrecht . . . . . . . . . . . . . . . . . . c) Ausblick – Folgen für die Praxis? . . . . . . . . . . . . . . . . . . . . IV. Leistung und Schlechtleistung . . . 1. Leistungsabsicherung . . . . . . . . . . 2. Leistungsbeschreibung . . . . . . . . . a) Weitreichende Bedeutung für das Gelingen des Vertrages. . . . b) Leistungsgegenstand als Ausgangspunkt für die Vertragstypologie . . . . . . . . . . . . . . . . . . c) Beschreibung zu Art, Umfang und Güte der Leistungen, Festlegung von Service Levels . . . . d) Allgemeine Gestaltunghinweise . . . . . . . . . . . . . . . . . . . . . e) Unbestimmte Rechtsbegriffe . . 3. Mitwirkungspflichten und Beistellungen durch den Kunden. . . . 4. Schlechtleistung . . . . . . . . . . . . . . a) Mietvertrag . . . . . . . . . . . . . . . . b) Werkvertrag . . . . . . . . . . . . . . . . c) Dienstvertrag. . . . . . . . . . . . . . .
146 147 148 149 161 164 167 168 169 170 171 174 176 181 182 188 192 193 193 196 196 198 200 209 212 214 218 219 221 223
144
Intveen/Hilber/Rabus
131
Teil 2
Rz. 1
Vertragsgestaltung Rz.
5. Haftung . . . . . . . . . . . . . . . . . . . . . 229 6. AGB-Problematik . . . . . . . . . . . . . 235 V. Vergütung . . . . . . . . . . . . . . . . . . . 1. Allgemeines . . . . . . . . . . . . . . . . . . a) Umsatzsteuer . . . . . . . . . . . . . . b) Zahlungsmodalitäten . . . . . . . . c) Ausschlussklausel Zusatzvergütungen . . . . . . . . . . . . . . . 2. Aufrechnungs- und Zurückbehaltungsrechte . . . . . . . . . . . . . . 3. Preismodelle . . . . . . . . . . . . . . . . . 4. Preisanpassungsklauseln . . . . . . . a) Arten von Preisanpassungsmechanismen . . . . . . . . . . . . . . b) Das Preisklauselgesetz . . . . . . . c) AGB-Recht . . . . . . . . . . . . . . . .
240 240 241 242
VI. Governance/Change Requests . . . 1. Einleitung . . . . . . . . . . . . . . . . . . . 2. Interne Organisation und Koordination . . . . . . . . . . . . . . . . . 3. Voll standardisierte Cloud Computing-Angebote . . . . . . . . . . . . . . 4. Governance-Strukturen . . . . . . . . 5. Änderungen . . . . . . . . . . . . . . . . . . a) Gesetzliche Ausgangslage . . . . b) Private Cloud-Transaktionen . c) Standardisierte Cloud-Angebote . . . . . . . . . . . . . . . . . . . . . .
284 284
VII. Absicherung der Leistungserbringung/Business Continuity . . . . . . 1. Rechtliche Ausgangslage . . . . . . . a) Absicherungsmaßnahmen aus Eigeninteresse des Dienstleisters: Vergütungsgefahr . . . . . . . b) Absicherungsmaßnahmen aus Eigeninteresse des Dienstleisters: Schadensersatzpflicht . . . c) Konkludent vereinbarte Absicherungsmaßnahmen . . . . d) Erforderlichkeit der Vereinbarung von Absicherungsmaßnahmen . . . . . . . . . . . . . . . 2. Vertraglicher Regelungsbedarf zur Absicherung von Störungen. .
251 252 256 264 266 268 276
287 290 291 295 295 296 299 302 305 306 309 312 315
Rz. a) Technische Vorkehrungen . . . . aa) Datensicherung (Back-up) . bb) Redundante Betriebsstrukturen . . . . . . . . . . . . . . b) Organisatorische Vorkehrungen . . . . . . . . . . . . . . . . . . . . 3. Insolvenzabsicherung . . . . . . . . . . a) Gesetzliche Ausgangssituation . . . . . . . . . . . . . . . . . . b) Vertragsgestaltung . . . . . . . . . . VIII. Kündigung und Exit-Szenarien. . . 1. Kündigung . . . . . . . . . . . . . . . . . . . a) Gesetzliche Ausgangslage . . . . b) Ausschluss/Modifizierung der ordentlichen Kündigung. . . . . . aa) Werkvertrag . . . . . . . . . . . . bb) Dienstvertrag . . . . . . . . . . . cc) Mietvertrag . . . . . . . . . . . . . c) Ausgestaltung der Kündigung aus wichtigem Grund . . . . . . . . aa) Verstöße gegen Service Level . . . . . . . . . . . . . . . . . . bb) Änderung der Mehrheitsverhältnisse (Change of Control) . . . . . . . . . . . . . . . . cc) Zahlungsverzug . . . . . . . . . dd) Drohende Insolvenz . . . . . . ee) Höhere Gewalt . . . . . . . . . . ff) Sonstige Gründe . . . . . . . . . d) Teilkündigungen . . . . . . . . . . . . 2. Exit-Szenarien . . . . . . . . . . . . . . . . a) Übergangsphase . . . . . . . . . . . . b) Know-how Konservierung . . . . c) Datenmigration (Format, Qualität, Zeitpunkt, Verantwortlichkeiten, Ziel) . . . . . . . . . . . . d) Software (Rechteinhaber, vom Kunden finanzierte Änderungen) . . . . . . . . . . . . . . . . . . . . . . . e) Poison Pills . . . . . . . . . . . . . . . . f) Beratung und Überleitungsunterstützung . . . . . . . . . . . . . . g) Vergütung . . . . . . . . . . . . . . . . .
319 319 322 327 333 334 342 345 345 346 352 353 356 358 362 366 369 370 371 372 373 374 375 378 381 384 391 393 394 395
316
I. Einleitung* 1
Man kann sich berechtigterweise fragen, was die Besonderheiten sind, die bei der Gestaltung eines Cloud Computing-Vertrages zu beachten sind. Die Regelungen, die durch die Aus- oder Verlagerung der IT-Res* Die Verfasser danken für wertvolle Hilfe bei der Verfassung dieses Beitrags: Rechtsreferendarin Christiane Bachmann, Rechtsreferendar Dipl. Kfm. Markus
132
Intveen/Hilber/Rabus
I. Einleitung
Rz. 3
Teil 2
sourcen auf einen externen Dienstleister erforderlich werden, sind z.B. aus Outsourcing- und Application Service Providing-Verträgen bekannt1. Dies trifft etwa mehr oder weniger zu auf die Frage der Messpunkte für Service-Levels, die Maßnahmen zur Leistungsabsicherung (Business Continuity) oder die Regelungen zur Kündigung sowie Reintegration bei Vertragsende. Diese Fragen sind auch bei Cloud Computing-Verträgen zu regeln, vor allem wenn die Cloud-Leistungen unternehmenswichtige Bereiche betreffen. Dennoch ergeben sich auch bei diesen vermeintlich bekannten Fragen beim Cloud Computing neue Perspektiven. So ist – um nur ein Beispiel zu nennen – die Option zum Rückkauf des ausgelagerten Betriebsteils, wie sie häufig beim Outsourcing vereinbart wird, bei einer typischen Cloud Computing-Transaktion nicht möglich, da der CloudAnbieter in der Regel schon gar keine Assets und Arbeitnehmer übernommen hat. Hinzu kommt, dass durch die zunehmende Verbreitung von Cloud Computing vertragsgestalterische Fragen bei Auslagerungen an externe Dienstleister, die bisher nur für einen kleinen Kreis relevant waren, nunmehr für größere Kreise von Interesse sind. Aus diesem Grund und weil die Grenzen zwischen klassischem Outsourcing und Cloud Computing ohnehin verschwimmen, werden hier die bei der Vertragsgestaltung zu berücksichtigenden Aspekte umfassend wiedergegeben. Cloud Computing bedeutet jedoch auch Konzentrierung und Industriali- 2 sierung der IT (vgl. oben Teil 1 C Rz. 7) und führt damit zu einer vermehrt arbeitsteilig erbrachten Wertschöpfung sowie zu einer Standardisierung des Angebots. Aus kautelarjuristischer Sicht zieht dies zum einen die Anforderung nach sich, tief gestaffelte vertragliche Leistungsketten, einschließlich verschiedenster Schnittstellen, zu gestalten. Zum anderen ist vermehrt das Recht der Allgemeinen Geschäftsbedingungen (AGB-Recht) bei der Vertragsgestaltung zu beachten. Es liegt in der Natur der Sache, dass die Vorteile des Cloud Computing 3 nicht nur dazu führen, dass komplexe und skalierbare IT-Leistungen auch kleinen Unternehmen, wie z.B. Start-ups, oder Verbrauchern zugänglich werden, sondern auch dazu, dass Cloud Computing-Ansätze bei großvolumigen Outsourcingtransaktionen verfolgt werden. Cloud Computing-Verträge können daher sowohl einfache Leistungen betreffen, die von Unternehmen nur ergänzend – gewissermaßen nice-to-have – oder auch von Verbrauchern bezogen werden, aber auch komplexe geschäftskritische IT-gestützte Prozesse. Stellt ein Unternehmen seinen Mitarbeitern z.B. eine nicht integrierte, alternative Terminkoordinationsanwendung zur Verfügung, können einfache Standardverträge ausreichend sein. Geht es allerdings etwa darum, eine CRM-Anwendung aus der Cloud zu Lennartz, MBA, Rechtsreferendarin Martina Piaczynski und Rechtsreferendar Jannis Giakomelos. 1 Söbbing, IT-Outsourcing, Rz. 593 ff.; Bräutigam, IT-Outsourcing, Teil 13, Rz. 1 ff.; zur Vertragsgestaltung beim IT-Outsourcing vgl. Mann, MMR 2012, 499 ff. Intveen/Hilber/Rabus
133
Teil 2
Rz. 4
Vertragsgestaltung
beziehen, welche die Steuerung der Vertriebsaktivitäten ermöglicht, sind ganz andere vertragliche Vorkehrungen zu treffen. 4
Im Ergebnis sind bei der Gestaltung von Cloud-Verträgen also viele der aus Outsourcing- und ASP-Verträgen bekannten Regelungsmaterien zu berücksichtigen1. Hinzu kommen einige Besonderheiten, die sich vornehmlich aus der Standardisierung und Verteilung der Beiträge in der Wertschöpfungskette sowie dem angesprochenen Kundenkreis, der beim Cloud Computing zumindest für einzelne Leistungen auch Verbraucher umfasst, ergeben. Die Anforderungen an die Gestaltung von Verträgen über den Bezug bzw. die Erbringung von Cloud-Leistungen werden im Folgenden umfassend dargestellt.
5
Die Darstellung konzentriert sich dabei auf Austauschverträge über Cloud-Leistungen und nimmt andere Vertragstypen nicht oder nur am Rande in den Blick. Wie auch im Zusammenhang mit anderen (IT-)Leistungen existieren darüber hinaus zahlreiche Formen der Kooperation, des arbeitsteiligen Vertriebs etc., wie sie auch in Teil 1 erläutert werden. Exemplarisch sei auf den Cloud-Marktplatz oder die Rolle des bloßen Cloud-Resellers verwiesen (Teil 1 A Rz. 19 und B Rz. 56 ff.). Die bei der Gestaltung dieser Verträge anzustellenden Überlegungen können hier nicht dargestellt werden, um den Rahmen nicht zu sprengen, zumal sich die Gestaltung insofern auch an den existierenden Vertragsmustern zu Handelsvertreter- oder Vertragshändlerverträgen orientieren kann2.
II. Typischer Prozess bis zum Vertragsabschluss 6
Der typische Prozess bis zum Abschluss eines Cloud Computing-Vertrages ist nicht einheitlich, da zwischen Großprojekten und kleineren CloudVerträgen zu unterscheiden ist. 1. Unterscheidung zwischen Großprojekten und Instant Clouds
7
Der typische Prozess bis zum Vertragsabschluss variiert je nach Art und Bedeutung der Cloud Computing-Leistung. Bei voll standardisierten Leistungen sind die (Verhandlungs-)Spielräume für den Kunden gering bis nicht existent. Selbst bei Kunden, die ein erhebliches Volumen zu vergeben haben, sind Anbietern, die standardisierte Leistungen anbieten, von ihrem Geschäftsmodell her Grenzen gesetzt. Dies gilt natürlich erst recht bei kleineren Kunden, wie Start-ups oder Einzelpersonen, die dann von der Vertragsanbahnung bis hin zur Leistungserbringung voll automatisch bedient werden. Zum Vorteil aller Beteiligten sind zumindest 1 Vgl. die Übersicht zu Gemeinsamkeiten und Unterschieden bei Schuster/Reichl, CR 2010, 38 ff. 2 Zum Handelsvertretervertrag: Schrader, Arbeitsrechtliches Formular- und Verfahrenshandbuch § 5 Rz. 1–12; zum Vertragshändlervertrag: Ströbl, Beck’sche Online-Formulare Vertragsrecht Ziffer 23.2.
134
Intveen/Hilber/Rabus
II. Typischer Prozess bis zum Vertragsabschluss
Rz. 10
Teil 2
die Transaktionskosten gering. Möglichkeiten zu einer (technischen) Due Diligence bestehen in diesen Fällen regelmäßig nicht1. Von daher reduziert sich der Prozess bis zum Vertragsabschluss auf einen allgemeinen Vergleich zur Auswahl stehender Angebote auf Grundlage der öffentlichen Informationen sowie den Vertragsabschluss im vom Anbieter vorgegebenen Wege, häufig über das Internet. Siehe zu diesen Konstellationen nachfolgend sogleich Rz. 12 ff. Auf der anderen Seite existieren (Premium-)Cloud-Anbieter, die auf indi- 8 viduelle Bedürfnisse der Kunden zugeschnittene Cloud-Lösungen anbieten und gemäß ihrem Geschäftsmodell auf Kundenwünsche bei der Leistungserbringung ebenso wie bei der Vertragsgestaltung eingehen können. Diese Premium-Leistungen setzen natürlich ein gewisses Volumen und die Bereitschaft des Kunden voraus, für die individuelleren Leistungen und nicht zuletzt auch vertraglichen Zusagen ein im Vergleich zu Standardleistungen erhöhtes Entgelt zu bezahlen2. Diese Art der Cloud-Verträge wird nachfolgend unter Rz. 114 ff. behandelt. 2. Verträge über voll standardisierte Cloud-Leistungen Die Voraussetzungen für den Abschluss eines Vertrages über standardi- 9 sierte Cloud-Leistungen unterscheiden sich nicht von denen über andere Leistungen. Dies gilt auch für Cloud-Leistungen, die im Wege des Fernabsatzes angeboten und vertrieben werden. Die Praxis zeigt, dass es bei standardisierten Cloud-Leistungen, die ein Anbieter sämtlichen Kunden in gleicher Weise zur Verfügung stellt, eher die Regel als die Ausnahme ist, dass der Vertrieb online erfolgt und dementsprechend Verträge über das Internet geschlossen werden. Dabei kommen Leistungen in Betracht, die gemäß der Systematik des BGB insbesondere als Werk-, Miet- oder Dienstleistungsvertrag einzuordnen sind (vgl. Rz. 137 ff.). Ob und inwieweit sich aus dieser Einordnung in einen Vertragstyp Besonderheiten ergeben, wird im Rahmen der nachfolgenden Ausführungen dargestellt. Der Kunde möchte einfach, schnell und unkompliziert eine Leistung in 10 Anspruch nehmen. Er hat dabei in den typischen Fällen weder die Möglichkeit noch ein Interesse daran, Einzelheiten eines von ihm zu schließenden Vertrages zu verhandeln. Ihm wird es häufig auch nicht wichtig sein zu wissen, wie eine eventuelle Leistungskette ausgestaltet ist, die es ihm ermöglicht, die Leistungen im Ergebnis von nur einem, nämlich von seinem Vertragspartner zu beziehen3. Oftmals wird dem Kunden noch
1 Vgl. zur technical Due Diligence: Bräutigam, IT-Outsourcing, Teil 12, Rz. 7; Beisel/Andreas/Hartmann, Due Diligence, § 14 Rz. 97. 2 Vgl. dazu: http://www.cloud-practice.de/know-how/standardisierung-versus-indi vidualisierung (zuletzt aufgerufen am 30.9.2013). 3 Redeker/Gennen/Laue, Handbuch der IT-Verträge, Kap. 1.17 Rz. 41. Intveen/Hilber/Rabus
135
Teil 2
Rz. 11
Vertragsgestaltung
nicht einmal bewusst sein, dass er Leistungen einkauft, die sich im hier verstandenen Sinne als Cloud-Leistungen darstellen. 11
Dem Kunden, insbesondere dem Verbraucher, dürfte es in aller Regel vor allem darum gehen, Leistungen technisch uneingeschränkt über einen Netzwerkzugriff mit Standardanwendungen (z.B. Webbrowser) des Anwendergerätes (z.B. Notebook, Smartphone) nutzen zu können. Die weiteren Aspekte, die Leistungen als Cloud-Services qualifizieren (Selbstverwaltung der Services, Multimandantennutzung der technischen Ressourcen, unmittelbare Elastizität, also automatische Bereitstellung von technischen Ressourcen aus dem Ressourcenpool bei Spitzenanforderungen oder Erweiterung der Zahl der Benutzer sowie Messung der tatsächlichen Nutzung pro Mandant und leistungsgerechte Abrechnung) sind für den Verbraucher mehr noch als bei jedem anderen Vertrag lediglich Mittel zum Zweck. a) Vertragsschluss im Internet aa) Allgemeines
12
Wie ein Vertrag im Internet zustande kommt, ist bereits hinreichend beschrieben worden1. Deshalb soll hier nur ein kursorischer Überblick gegeben werden.
13
Der Kunde kann in einem Online-Shop oder auf einem elektronischen Marktplatz Dienstleistungen in Anspruch nehmen2. Für Cloud-Leistungen ist vor allem der Vertragsschluss über die Internetseite des Anbieters von Cloud-Leistungen relevant (die damit als Online-Shop bezeichnet werden kann).
14
Je nach Fallkonstellation mag vor allem die Frage interessant sein, wann die zum Vertragsschluss führenden Willenserklärungen, also Angebot und Annahme, abgegeben werden, und wann sie rechtstechnisch zugehen3. Für die Frage, welche Erklärung (auch in Form computergenerierter Erklärungen) zum Vertragsschluss führen (soll), hat der Anbieter besondere Informationen vorzuhalten:
15
Denn weil der Anbieter im elektronischen Geschäftsverkehr gemäß § 312g BGB Informationen u.a. dazu bereitstellen muss (dazu im Einzelnen Rz. 41), wie der Vertrag zustande kommt, ist der Anbieter auch verpflichtet, für eine klare und eindeutige Gestaltung seines Online-Angebots zu sorgen. Dies gilt im Verbraucherverkehr sowie beim Vertragsschluss mit unternehmerischen Kunden. Dazu gehört es vor allem, dass 1 Umfassend z.B. Auer-Reinsdorff/Conrad/Bierekoven, Beck’sches Mandatshandbuch IT-Recht, § 23; Leupold/Glossner, Münchener Anwaltshandbuch IT-Recht, Teil 2, Rz. 1 ff. 2 Auer-Reinsdorff/Conrad/Bierekoven, Beck’sches Mandatshandbuch IT-Recht, § 23 Rz. 14. 3 Spindler/Schuster/Anton, § 130 BGB Rz. 1 ff.
136
Intveen/Hilber/Rabus
II. Typischer Prozess bis zum Vertragsabschluss
Rz. 18
Teil 2
er die Gestaltung seines Angebots in Übereinstimmung mit den Vorgaben des Fernabsatzrechts bringt, und die Grundlagen der Rechtsgeschäftslehre im Internet nicht außer Acht lässt. Namentlich darf sich die tatsächliche Gestaltung nicht in Widerspruch zu den dazu bereit gehaltenen Informationen setzen. Soweit es um Verbraucher geht, gibt es für den Anbieter im Rahmen der zwingenden gesetzlichen Vorgaben zum Verbraucherschutz insgesamt nur einen recht geringen Gestaltungsspielraum. Im Zweifel wird man davon ausgehen müssen, dass ein Vertragsschluss 16 nicht schon mit dem Klick des Kunden auf den Button „Jetzt Bestellen“ zustande kommt, weil das entsprechende Angebot des Unternehmers im Zweifel nur eine invitatio ad offerendum darstellt. Im Regelfall wird erst durch die Annahmeerklärung des Anbieters, oder konkludent durch die Erbringung von Leistungen, ein Vertrag zustande kommen1. Für Cloud-Leistungen ergeben sich insgesamt keine Besonderheiten, die 17 hinsichtlich der allgemeinen Regeln der Rechtsgeschäftslehre im Vergleich zu anderen Fernabsatzverträgen zu beachten wären. Denn der Inhalt eines zu schließenden Vertrages beeinflusst diese allgemeinen Regeln nicht. Es können allerdings besondere Informationspflichten für bestimmte Arten von Leistungen bestehen (dazu sogleich Rz. 41 ff.). Bei manchen Online-Angeboten kann unklar sein, wer auf Anbieterseite 18 Vertragspartner des Kunden wird. Der Vertragspartner ist verpflichtet gegenüber dem Kunden, insbesondere gegenüber dem Verbraucher, die gesetzlich vorgegebenen Informationspflichten zu erfüllen und die Hinweispflichten auf das Bestehen eines Widerrufsrechts zu beachten. Dies ist nach dem sogenannten objektivierten Empfängerhorizont zu beantworten. Zweifel dürften jedoch selten aufkommen. Der Anbieter wird in aller Regel Verträge über seine eigene Internetseite abschließen, so dass keine Zweifel an den Vertragsparteien bestehen. Anbieter von virtuellen Marktplätzen und Plattformen müssen im Hinblick auf § 164 Abs. 1 BGB dafür sorgen, dass für den Kunden erkennbar wird, dass Erklärungen nicht im eigenen Namen, sondern für einen anderen abgegeben werden. Denn ansonsten ergibt sich schon aus den allgemeinen Auslegungsgrundsätzen, zumindest aber auch aus § 164 Abs. 2 BGB, dass der CloudMarktplatzbetreiber selbst verpflichtet wird2. Häufig basieren Cloud-Leistungen auf einer tiefen Wertschöpfungskette. Eine Möglichkeit für den Anbieter, seine Haftungsrisiken zu reduzieren ist es, nur über seine eigenen Leistungen zu kontrahieren und – statt die Leistungen seiner Sub- und Mitunternehmer als eigene Leistungen mitanzubieten – insofern auf gesonderte Verträge zu verweisen. Dadurch vermeidet er, für das Verschulden seiner Subunternehmer nach § 278 BGB eintreten zu müssen. Insbesondere wenn der Kunde ein Leistungs1 Spindler/Schuster/Anton, Vorb. §§ 145 ff. BGB Rz. 4 m.w.N. 2 Palandt/Ellenberger, § 164 BGB Rz. 16. Intveen/Hilber/Rabus
137
Teil 2
Rz. 19
Vertragsgestaltung
paket in Anspruch nehmen will, sollte er sich daher vergewissern, dass er die einzelnen Leistungsbestandteile aus einer Hand erhält und nicht (unbemerkt) Verträge mit verschiedenen Anbietern schließt. Für standardisierte Cloud-Leistungen ist ein solches Vorgehen – und die sich daraus ergebenden Fragen – rein theoretischer Natur. bb) Formerfordernisse 19
Zivilrechtliche Formfragen spielen in diesem Zusammenhang nur eine untergeordnete Rolle. Denn nur in gesetzlich ausdrücklich vorgesehenen Fällen regelt das BGB zum Schutz einer bzw. beider Parteien vor unüberlegten Entscheidungen (Warnfunktion) und zum Beweis des Vertragsinhalts (Beweisfunktion) sowie der Identität der Erklärenden (Identitätsfunktion) die Einhaltung bestimmter Formvorschriften. Die Vorschriften, die ausdrücklich eine Schriftform vorsehen, insbesondere für Verbraucherdarlehensverträge (§ 492 Abs. 1 Satz 1 und 2 BGB), Grundstückskaufverträge (§ 311b BGB), Quittungen (§ 368 BGB), Kündigungen des Arbeitsvertrages (§ 623 BGB) oder Bürgschaftserklärungen (§ 766 BGB) haben keinen Bezug zu Cloud-Leistungen, und sind darüber hinaus zum Teil über Rückausnahmen sogar ausdrücklich aus dem Anwendungsbereich des Fernabsatzrechts ausgenommen (z.B. § 312b Abs. 3 Nr. 4 BGB). Im hier interessierenden Zusammenhang ist kein Fall vorstellbar, in dem wegen der Nichteinhaltung einer zivilrechtlich vorgeschriebenen Form ein zu schließender Vertrag nichtig wäre (§ 125 BGB).
20
Allerdings ist bei der Beauftragung von Cloud-Leistungen in aller Regel das Schriftformerfordernis nach § 11 Abs. 2 Satz 2 BDSG zu berücksichtigen. Ein allein über das Internet geschlossener Vertrag genügt damit diesem Schriftformerfordernis nicht. Umstritten sind die Folgen eines Verstoßes gegen das Schriftformerfordernis des § 11 Abs. 2 Satz 2 BDSG. Zum Teil wird vertreten, dass das Schriftformerfordernis vor allem der Beweissicherung diene, mithin keine Voraussetzung der Wirksamkeit der Vereinbarung sei1. Nach wohl h.M. soll die Schriftform konstitutiv und damit Wirksamkeitsvoraussetzung sein, so dass gemäß § 125 BGB das zugrunde liegende Rechtsgeschäft bei fehlender Schriftform nichtig sei2. Diese Folge kann der Anbieter vermeiden, indem er dem Kunden ein Formular z.B. als pdf-Datei zur Verfügung stellt, das dieser ausdrucken, ausfüllen, unterschreiben und in dieser Papierform an den Anbieter zurücksenden kann.
21
Fraglich ist dann weiter, ob die Nichtigkeit eines wegen Missachtung des Schriftformerfordernisses (§ 11 Abs. 2 Satz 2 BDSG) formunwirksamen Auftragsdatenverarbeitungsvertrages gemäß § 125 BGB auf den an sich wirksam geschlossenen Cloud Computing-Vertrag „durchschlägt“. § 139 BGB ordnet in diesem Zusammenhang grundsätzlich Gesamtnichtigkeit 1 Taeger/Gabel, § 11 BDSG Rz. 54. 2 Plath, § 11 BDSG Rz. 96.
138
Intveen/Hilber/Rabus
II. Typischer Prozess bis zum Vertragsabschluss
Rz. 21
Teil 2
an, sofern ein Teil eines (einheitlichen) Rechtsgeschäfts nichtig ist, wenn nicht anzunehmen ist, dass dieser auch ohne den nichtigen Teil vorgenommen sein würde. Für die sich anschließende Frage, ob es sich bei Cloud-Vertrag und Auftragsdatenverarbeitungsvertrag – wie von § 139 BGB vorausgesetzt – um ein einheitliches Rechtsgeschäft handelt, kommt es entscheidend auf den Einheitlichkeitswillen der Parteien an1. Es können mehrere, auch nach Vertragstyp unterschiedliche Rechtsgeschäfte abgeschlossen werden, die aber nach dem Parteiwillen zum Zeitpunkt des Abschlusses ein einheitliches Ganzes bilden sollen2. Der Cloud-Anbieter wird regelmäßig ein Interesse daran haben, dass die beiden Geschäfte ein einheitliches Rechtsgeschäft darstellen, da ihm die Auftragsdatenverarbeitungsvereinbarung erst den rechtmäßigen Umgang mit den Daten des Cloud-Kunden ermöglicht. Der Cloud-Kunde als verantwortliche Stelle wird regelmäßig ein gleichartiges Interesse haben, um ein etwaiges Bußgeld nach § 43 Abs. 1 Nr. 2b) BDSG zu vermeiden. Nach dem Parteiwillen ist demnach wohl davon auszugehen, dass die beiden Rechtsgeschäfte miteinander stehen und fallen sollen. Für die Anwendbarkeit von § 139 BGB müsste sich die Nichtigkeit aber auf einen abtrennbaren Teil des Rechtsgeschäfts beschränken3. Dafür kommt es entscheidend darauf an, ob das nach Abtrennung des nichtigen Teils verbleibende Restgeschäft als selbstständiges Rechtsgeschäft Bestand haben könnte4. Dies setzt voraus, dass das Rechtsgeschäft in mehrere Teile zerlegt werden kann, und dass das, was von ihm nach Herauslösung des nichtigen Teils verbleibt, für sich allein gesehen noch ein selbstständig existenzfähiges Rechtsgeschäft ist, das dem von den Beteiligten gewollten Gesamtcharakter entspricht5. In der Praxis ist der Cloud-Vertrag ohne die entsprechende Auftragsdatenverarbeitungsvereinbarung rechtswidrig, die Auftragsdatenverarbeitung ohne Cloud-Vertrag sinnlos. Das entspricht nicht der von den Parteien gewollten rechtlichen Einheit. Dies spricht wohl eher für die Untrennbarkeit der einzelnen Rechtsgeschäfte, so dass davon auszugehen ist, dass die Formunwirksamkeit der Auftragsdatenverarbeitungsvereinbarung unmittelbar zur Gesamtnichtigkeit führt6.
1 Palandt/Ellenberger, § 139 BGB Rz. 5. 2 BGHZ 50, 13; auch wenn beide Rechtsgeschäfte in unterschiedlichen Dokumenten abgeschlossen werden, kann ein einheitliches Rechtsgeschäft vorliegen; BGH, BeckRS 11, 09199 Rz. 24. 3 Danach setzt eine Teilnichtigkeit im Sinne dieser Vorschrift bereits begrifflich Teilbarkeit der Vertragsbestimmungen voraus, während anderenfalls zwingend Gesamtnichtigkeit vorliegt, vgl. Palandt/Ellenberger, § 139 BGB Rz. 10; BGH, NJW 1999, 2866 (2867). 4 BGH, NJW 1962, 913. 5 BeckOK/Wendtland, § 139 BGB Rz. 13. 6 Dies hätte wohl dann zur Folge, dass die Parteien nicht die Möglichkeit hätten, sich über § 139 BGB a.E. über die Gesamtnichtigkeit hinwegzusetzen. Intveen/Hilber/Rabus
139
Teil 2
Rz. 22
Vertragsgestaltung
In jedem Fall zu beachten ist, dass ein Verstoß gegen das datenschutzrechtliche Formerfordernis eine Ordnungswidrigkeit darstellt1. Näher dazu Teil 4 Rz. 285 ff. 22
Gemäß § 126b BGB wird die praktisch wichtigere Textform eingehalten, wenn eine Erklärung in einer Urkunde oder anderen „zur dauerhaften Wiedergabe in Schriftzeichen geeigneten Weise“ abgegeben worden ist, die Person des Erklärenden genannt ist und der Abschluss der Erklärung durch Nachbildung der Namensunterschrift oder anders erkennbar gemacht wird. Davon erfasst ist u.a. die E-Mail. Insbesondere Belehrungsund Informationspflichten muss der Unternehmer im Hinblick auf § 312c Abs. 1 BGB i.V.m. Art. 246 § 2 Abs. 1 Satz 1 EGBGB in Textform zur Verfügung stellen, um den Anforderungen des Fernabsatzrechts zu genügen. b) Elektronischer Geschäftsverkehr
23
Bei Verträgen im elektronischen Geschäftsverkehr muss der Unternehmer dem Kunden darüber hinaus gemäß § 312g Abs. 1 BGB angemessene, wirksame und zugängliche technische Mittel zur Verfügung stellen, mit deren Hilfe der Kunde Eingabefehler vor Abgabe seiner Bestellung erkennen und berichtigen kann, die in Art. 246 § 3 EGBGB bestimmten Informationen rechtzeitig vor Abgabe von seiner Bestellung klar und verständlich mitteilen, den Zugang von seiner Bestellung unverzüglich auf elektronischem Wege bestätigen und ihm die Möglichkeit verschaffen, die Vertragsbestimmungen einschließlich der Allgemeinen Geschäftsbedingungen bei Vertragsschluss abzurufen und in wiedergabefähiger Form zu speichern.
24
Dabei ist zu beachten, dass die Vorschrift des § 312g Abs. 1 BGB nicht nur für Fernabsatzverträge mit Verbrauchern, sondern auch für solche mit Unternehmern als Kunden gilt.
25
Diese Anforderungen gelten, wenn sich der Unternehmer bei Vertragsabschluss der Telemedien bedient. Gemeint sind dabei gemäß § 1 Abs. 1 TMG elektronische Informations- und Kommunikationsdienste, die nicht Telekommunikationsdienste, telekommunikationsgestützte Dienste oder Rundfunk sind. Dies ist bei Online-Abschlüssen stets der Fall. c) Verbraucherschutz: Fernabsatzrecht aa) Einführung
26
Am 1.7.2001 trat das Fernabsatzgesetz in Kraft, durch welches die EURichtlinie über den Verbraucherschutz im Fernabsatz in nationales Recht umgesetzt wurde.
1 Plath, § 11 BDSG Rz. 125.
140
Intveen/Hilber/Rabus
II. Typischer Prozess bis zum Vertragsabschluss
Rz. 29
Teil 2
Die Regelungen zum Fernabsatz sind insbesondere vor dem Hintergrund 27 regelmäßig erfolgender Änderungen auch für Juristen oft nur noch schwer verständlich, und für Unternehmer wie Verbraucher insgesamt eher intransparent. So wird der Versuch, insbesondere das Fernabsatzrecht zu kommentieren, mit dem „berühmten Wettlauf des Hasen mit dem Igel“ verglichen, bei dem viele ergangene „Urteile insbesondere den Berater ratlos zurück“-lassen, so dass Unternehmer „kaum eine Chance (haben), alle Informationspflichten zum richtigen Zeitpunkt, in der richtigen Form, mit dem richtigen Inhalt unter Berücksichtigung der aktuellen Rechtsprechung zu erfüllen“1. Nichtsdestotrotz muss jeder Anbieter von Leistungen sich mit den Vor- 28 schriften befassen, namentlich die sich daraus ergebenden Pflichten umsetzen, um seine Angebote rechtskonform vermarkten zu können. Denn die Folgen der fehlerhaften Umsetzung gesetzlicher Vorgaben sind nicht nur drohende Abmahnungen von Wettbewerbern, sondern vor allem die Tatsache, dass der Kunde es zum Teil sehr lange in der Hand hat, ob ein Vertrag überhaupt Bestand hat, wenn falsch über das Widerrufsrecht informiert wird, und damit die Frist zur Ausübung des Widerrufsrechts nicht zu laufen beginnt (§ 312d Abs. 2 BGB), oder gar kein Vertrag zustande kommt (§ 312g Abs. 4 BGB; dazu unten Rz. 51). Dass dies für einen Unternehmer zu erheblichen Schwierigkeiten führen kann, ist offensichtlich. Die Regelungen zum Schutz von Verbrauchern bei Geschäften im In- 29 ternet basieren im Wesentlichen auf Richtlinien der EU, die der deutsche Gesetzgeber umzusetzen hatte und laufend umzusetzen hat. Die Fernabsatzrichtlinie2, die E-Commerce-Richtlinie3 und die Finanzdienstleistungsrichtlinie4 haben dabei die heute bestehenden Regelungen notwendig gemacht. Diese werden durch die Verbraucherrechterichtlinie ergänzt und erneuert, die bis zum 13.12.2013 umzusetzen war, im deutschen Recht allerdings erst mit Wirkung zum 13.6.2014 durch das Gesetz zur Umsetzung der Verbraucherrechterichtlinie und zur Änderung des Gesetzes zur Regelung der Wohnungsvermittlung vom 20.9.20135 umgesetzt wird. Eine wesentliche Erleichterung für den Unternehmer beinhaltet das neue Recht insbesondere insofern, als das Wi1 Spindler/Schuster/Micklitz/Schirmbacher, Vorb. §§ 312b ff. BGB Rz. 1 ff. 2 Richtlinie 97/7/EG des Europäischen Parlaments und des Rates v. 20.5.1997 über den Verbraucherschutz bei Vertragsabschlüssen im Fernabsatz, ABl. EG Nr. L 144 v. 4.6.1997, S. 19. 3 Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8.6.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt, ABl. EG Nr. L 178 v. 17.7.2000, S. 1. 4 Richtlinie 2002/65/EG des Europäischen Parlaments und des Rates v. 23.9.2002 über den Fernabsatz von Finanzdienstleistungen an Verbraucher und zur Änderung der Richtlinie 90/619/EWG des Rates und der Richtlinien 97/7/EG und 98/27/EG, ABl. Nr. L 271 v. 9.10.2002, S. 16. 5 BGBl. 2013 I S. 3642 (Nr. 58). Intveen/Hilber/Rabus
141
Teil 2
Rz. 30
Vertragsgestaltung
derrufsrecht dem Verbraucher auch bei fehlender oder falscher Belehrung nicht mehr zeitlich unbegrenzt zusteht, sondern zwölf Monate und vierzehn Tage nach Vertragsschluss bzw. Erhalt der Ware erlischt. 30
Die aus diesen Vorgaben resultierenden Regelungen, namentlich das Widerrufsrecht und die Informationspflichten der Unternehmer finden sich heute in den §§ 312b ff. BGB.
31
Wie bei allen relevanten Regelungen im BGB, die dem Schutz von Verbrauchern dienen, dürfen auch die §§ 312b bis 312h BGB gemäß § 312i BGB weder vertraglich zum Nachteil des Kunden (also des Verbrauchers) verändert, noch anderweitig umgangen werden1.
32
Für den Aufbau von Vertriebsplattformen, namentlich von Online-Shops im Internet, wie z.B. ein Online-Marktplatz für Cloud-Leistungen, bedeutet das, dass der Gestaltungsspielraum für Cloud-Anbieter nur sehr gering ist. Bei Nichteinhaltung der Vorgaben drohen dem Unternehmer gleichzeitig Schadensersatzansprüche des Verbrauchers wegen Verschuldens bei Vertragsverhandlungen oder wegen Vertragsverletzung, Klagen nach § 2 Unterlassungsklagegesetz oder Abmahnungen von Mitbewerbern unter dem Gesichtspunkt des Vorsprungs durch Rechtsbruch gemäß UWG. bb) Geltungsbereich
33
Im Cloud-Zusammenhang ist bedeutsam, dass gemäß § 312b Abs. 1 Satz 1 BGB Fernabsatzverträge Verträge sind über die Erbringung von Dienstleistungen, die zwischen einem Unternehmer und einem Verbraucher unter ausschließlicher Verwendung von Fernkommunikationsmitteln abgeschlossen werden, es sei denn, dass der Vertragsschluss nicht im Rahmen eines für den Fernabsatz organisierten Vertriebs- oder Dienstleistungssystems erfolgt. Vor dem Hintergrund des weiten Dienstleistungsbegriffs des europäischen Rechts fallen Werk-, Miet-, Dienstleistungs- und Geschäftsbesorgungsverträge, die die wesentlichen CloudLeistungen abdecken, einschließlich aller in diesem Zusammenhang denkbaren Services2, ohne weiteres in den Anwendungsbereich der Regelungen des Fernabsatzrechts. Cloud-Leistungen in Form der Überlassung oder der Online-Nutzung von Software, der Erbringung von Rechnerleistungen, der Zurverfügungstellung von Rechner- und/oder Speicherkapazität oder der Nutzung von Datenbanken oder Inhalten fallen deshalb unter den weiten Begriff – und damit in den Anwendungsbereich der Vorschriften des Fernabsatzrechts. Auswirkungen kann die Unterscheidung nach Ware oder Dienstleistung bei der Frage haben, ob und wann dem Kunden ein Widerrufsrecht zusteht oder nicht.
1 Redeker/Gennen/Laue, Handbuch der IT-Verträge, Kap. 1.17 Rz. 67. 2 Hoeren/Sieber/Föhlisch, Handbuch Multimedia-Recht, Teil 13.4, Rz. 30.
142
Intveen/Hilber/Rabus
II. Typischer Prozess bis zum Vertragsabschluss
Rz. 38
Teil 2
Ferner muss ein Vertragspartner Verbraucher i.S.d. § 13 BGB1, der andere 34 ein Unternehmer i.S.d. § 14 BGB2 sein. Für Verträge über standardisierte Cloud-Leistungen kann unterstellt wer- 35 den, dass der Anbieter als Unternehmer auftritt, weil der Cloud-Anbieter in diesen Fällen stets „in Ausübung seiner gewerblichen oder selbständigen beruflichen Tätigkeit handelt“, vgl. § 14 BGB. Inzwischen gibt es eine ganze Reihe von Entscheidungen und sich daraus 36 ergebender Kriterien für die Einordnung, wann ein Kunde als Verbraucher zu behandeln ist3. Verbraucher ist jede natürliche Person, die Cloud-Leistungen bezieht, die weder einer gewerblichen noch einer selbstständigen beruflichen Tätigkeit dienen. Im Zweifel ist der Kunde ein Verbraucher4. Zweifel bestehen in der Praxis vor allem bei Leistungen, die sowohl im privaten als auch im beruflichen Umfeld eingesetzt werden können. Abzustellen ist hier auf den normativen Empfängerhorizont aus einer ex-anteBetrachtung, für die der Unternehmer allerdings Indizien schaffen kann (z.B. durch Hinweis, man leiste nur an Unternehmer oder durch eine Abfrage der Verbraucher- bzw. Unternehmereigenschaft)5. Der Unternehmer muss zudem im Rahmen eines für den Fernabsatz or- 37 ganisierten Vertriebs- bzw. Dienstleistungssystems handeln. Dies ist in der Regel bei Cloud-Angeboten der Fall: Denn ein Vertragsschluss erfolgt nur dann nicht im Rahmen eines für den Fernabsatz organisierten Vertriebs- oder Dienstleistungssystems, wenn der Vertragsschluss nur mehr oder weniger zufällig als „Distanzgeschäft“ erfolgt6. Da es vorliegend um voll standardisierte Leistungen im „Massengeschäft“ geht, ist diese ohnehin eng auszulegende Ausnahmeregelung nicht von Relevanz. Der Vertrag muss des Weiteren unter Einsatz von Fernkommunikations- 38 mitteln geschlossen werden. Fernkommunikationsmittel sind gemäß § 312b Abs. 2 BGB Kommunikationsmittel, die zur Anbahnung oder zum Abschluss eines Vertrages zwischen einem Verbraucher und einem Unternehmer ohne gleichzeitige körperliche Anwesenheit der Vertragsparteien eingesetzt werden können, insbesondere Briefe, Kataloge, Telefonanrufe, Telekopien, E-Mails, sowie Rundfunk, Tele- und Mediendienste. Soweit 1 Verbraucher ist gemäß § 13 BGB jede natürliche Person, die ein Rechtsgeschäft zu einem Zwecke abschließt, der weder ihrer gewerblichen noch ihrer selbständigen beruflichen Tätigkeit zugerechnet werden kann. 2 Unternehmer ist gemäß § 14 BGB eine natürliche oder juristische Person oder eine rechtsfähige Personengesellschaft, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt. 3 Spindler/Schuster/Micklitz/Schirmbacher, Vorb. §§ 312b ff. BGB Rz. 1; Hoeren/ Sieber/Föhlisch, Handbuch Multimedia-Recht, Teil 13.4, Rz. 8 ff. 4 BGH v. 30.9.2009 – VIII ZR 7/09, NJW 2009, 3780 ff. 5 Umfangreiche Nachweise zur Rspr. bei Spindler/Schuster/Micklitz/Schirmbacher, § 312b BGB Rz. 15 ff. 6 Spindler/Schuster/Micklitz/Schirmbacher, § 312b BGB Rz. 50 m.w.N. Intveen/Hilber/Rabus
143
Teil 2
Rz. 39
Vertragsgestaltung
in einem Web-Shop ein Online-Formular bereitgestellt wird, über das der Kunde die Leistungen bestellt, erfüllt auch dies die insoweit einzige Voraussetzung, dass Erklärungen unter Abwesenden abgegeben werden. 39
Im Ergebnis wird wohl die große Mehrzahl der Verträge mit Verbrauchern über den Bezug von standardisierten Cloud-Leistungen als Fernabsatzvertrag geschlossen werden1. Es ist eher fernliegend, dass ein Vertrag über voll standardisierte Cloud-Leistungen mit Verbrauchern nicht den Regelungen unterfällt, die gemeinhin unter dem Begriff Verbraucherschutz im Internet zusammengefasst werden.
40
Die in § 312b Abs. 3 BGB geregelten Ausnahmen, bei deren Eingreifen die Vorschriften über Fernabsatzverträge keine Anwendung finden, sind dabei zum Teil schon denklogisch aus dem hier interessierenden Bereich der Cloud-Leistungen auszuschließen2. Soweit es um Leistungen geht, die zumindest denkbar als Leistung aus der Cloud verstanden werden können (z.B. Fernunterricht, Erbringung von Dienstleistungen im Bereich Freizeitgestaltung, Verträge in automatisierten Geschäftsräumen), ist jeweils im konkreten Fall zu prüfen, ob die Voraussetzungen der Ausnahmen gegeben sind. Die Ausnahmen sind vom Gesetzgeber vorgesehen worden, weil es entweder weiterreichende Verbraucherschutzvorschriften gibt, oder der Gesetzgeber die Erfüllung von Informationspflichten und die Einräumung von Widerrufsrechten als unzumutbar eingestuft hat3. cc) Informationspflichten des Unternehmers
41
Der aktuelle Stand der Gesetzgebung wurde im Rahmen der Neufassung der §§ 312b ff. BGB zum 1.8.2012 zum Schutze vor so genannten „Abofallen“ eingeführt4. Aus den umfassenden Regelungen in §§ 312b ff. BGB i.V.m. den Regelungen in Art. 246 EGBGB ergeben sich eine ganze Reihe von Anforderungen an Unternehmer, die Verbrauchern Leistungen anbieten wollen.
42
Gemäß § 312c Abs. 1 BGB muss der Cloud-Anbieter den Verbraucher bei Fernabsatzverträgen umfassend unterrichten. Der notwendige Inhalt der Unterrichtung findet sich nun in Art. 246 §§ 1 und 2 EGBGB5. Bei Nichteinhaltung der Vorgaben beginnt die Widerrufsfrist gemäß § 312d Abs. 3 BGB nicht zu laufen, d.h., der Cloud-Kunde kann jederzeit seine auf Ver1 Redeker/Gennen/Laue, Handbuch der IT-Verträge, Kap. 1.17 Rz. 65. 2 So z.B. Teilzeitnutzung von Wohngebäuden etc., Veräußerung von Grundstücken bzw. Begründung, Veräußerung und Aufhebung von dinglichen Rechten, Lieferung von Haushaltsgegenständen des täglichen Bedarfs, Erbringung von Dienstleistungen in den Bereichen Unterbringung, Beförderung, Lieferung von Speisen und Getränken. 3 Spindler/Schuster/Micklitz/Schirmbacher, § 312b BGB Rz. 55. 4 Bierekoven, ITRB 2012, 186. 5 Palandt/Grüneberg, § 312c BGB Rz. 2.
144
Intveen/Hilber/Rabus
II. Typischer Prozess bis zum Vertragsabschluss
Rz. 45
Teil 2
tragsschluss gerichtete Willenserklärung widerrufen, so dass ein Vertrag nicht zustande kommt1. Aus dem Zusammenspiel mit Art. 246 § 3 EGBGB folgt, dass der Unter- 43 nehmer den Verbraucher außerdem unterrichten muss über die technischen Schritte, die zum Vertragsschluss führen, ob der Vertragstext nach Vertragsschluss vom Unternehmer gespeichert wird und dem Kunden zugänglich ist, wie er mit den zur Verfügung gestellten technischen Mitteln Eingabefehler vor Abgabe der Vertragserklärung erkennen und berichtigen kann, über die für den Vertragsschluss zur Verfügung stehenden Sprachen und über sämtliche einschlägigen Verhaltenskodizes, denen sich der Unternehmer unterwirft, sowie über die Möglichkeit eines elektronischen Zugangs zu diesen Regelwerken. Während es bisher ausreichte, dass der Unternehmer dem Verbraucher 44 die Informationen entweder auf der Website oder im Zusammenhang mit der Bestellung in den AGB zur Kenntnis brachte2, muss der Online-Shop-Betreiber seit Einführung der „Button-Lösung“ gemäß § 312g Abs. 2 BGB (der anders als Abs. 1 nur im Verbraucherverkehr gilt) i.V.m. Art. 246 § 1 Abs. 1 Nr. 4 erster Halbsatz, Nr. 5, 7 und 8 EGBGB bei einem entgeltlichen Vertrag Informationen bereithalten, die deutlich und unmissverständlich in hervorgehobener Weise oberhalb des Buttons zu platzieren sind, über – wesentliche Merkmale der Ware oder Dienstleistung, – Mindestlaufzeit des Vertrages, wenn dieser eine dauernde oder regelmäßig wiederkehrende Leistung zum Inhalt hat, – Gesamtpreis der Ware oder Dienstleistung einschließlich aller damit verbundenen Preisbestandteile, – ggf. zusätzlich anfallende Liefer- und Versandkosten sowie einen Hinweis auf mögliche weitere Steuern oder Kosten, die nicht über den Unternehmer abgeführt oder von ihm in Rechnung gestellt werden. Dabei ist es nicht ausreichend, wenn die Informationen erst über einen gesonderten Link erreichbar oder nur einem gesondert herunterzuladenden Dokument entnehmbar sind3. Mit der Information zum Gesamtpreis soll der Unternehmer den Ver- 45 braucher über den Endpreis gemäß § 1 Abs. 1 Satz 1 PreisAngV informieren4. Komplexere nutzungsabhängige Vergütungsmodelle dürften sich insoweit im Verhältnis zu Verbrauchern verbieten, weil hier gleichzeitig die Gefahr einer unwirksamen intransparenten Regelung gemäß § 307 Abs. 1 Satz 2 BGB besteht.
1 2 3 4
Palandt/Grüneberg, § 312c BGB Rz. 2. Bierekoven, ITRB 2012, 186 (187). BT- Drucks. 17/7745, S. 11. Palandt/Grüneberg, Art. 246 EGBGB § 1 Rz. 8. Intveen/Hilber/Rabus
145
Teil 2
Rz. 46
Vertragsgestaltung
46
Wichtigste Konsequenz der Neuformulierung des § 312g Abs. 3 BGB ist danach, dass der Verbraucher erkennen kann, dass seine Bestätigung eine finanzielle Verpflichtung auslöst1. D.h. für den Unternehmer, dass er die Bestellsituation derart zu gestalten hat, dass der Verbraucher ohne weiteres versteht, dass er sich mit seiner Bestellung zu einer Zahlung verpflichtet. Danach sind zulässig und ausreichend z.B. die Formulierungen „zahlungspflichtig bestellen“ oder „kostenpflichtig bestellen“. Unmissverständlich soll ein Hinweis aber nur dann sein, wenn keine weiteren Zusätze verwendet werden, die den Verbraucher von den entscheidenden Informationen ablenken2.
47
Andererseits sollen Formulierungen wie „bestellen“ oder „Bestellung abgeben“ nicht mehr ausreichen, weil diese Formulierungen nicht geeignet seien, die Entgeltlichkeit einer Leistung für den Verbraucher ausreichend deutlich zu machen3. Da es im Internet auch kostenfreie Leistungen gebe, die „bestellt“ werden können, ergebe sich zunächst, dass der Begriff „Bestellung“ allein dem Verbraucher nicht klar mache, dass er für die in Anspruch genommenen Leistungen etwas zu zahlen habe. Auf der anderen Seite folgt aus dieser Gesetzesbegründung aber gleichzeitig, dass es bei den häufig vorkommenden kostenlosen Angeboten bei dem Begriff „Bestellung“ bleiben kann4.
48
Es stellt sich in diesem Zusammenhang die praktisch relevante Frage, wie der Unternehmer sein Angebot gestalten muss, wenn er dem Verbraucher zunächst eine kostenlose Testphase für die angebotenen Leistungen anbietet oder einen kostenlosen Basisdienst, der kostenpflichtig auf den Premiumdienst umgestellt werden kann (sog. Freemium-Ansatz).
49
Wenn das Bezugsrecht für die Leistungen automatisch nach Ablauf der kostenlosen Testphase endet, ohne dass der Verbraucher etwas tun muss, stellt sich die Leistung insgesamt nicht als entgeltliche Leistung dar. Der Unternehmer ist dann nicht verpflichtet, die umfangreichen Informationen der Button-Lösung umzusetzen. Wenn sich allerdings die kostenlose Testphase automatisch in einen kostenpflichtigen Vertrag umwandeln soll, wird der Unternehmer wegen des zum Ausdruck kommenden Schutzgedankens der Vorschriften zur Button-Lösung den oben genannten Anforderungen gemäß § 312g Abs. 2 BGB genügen müssen. Dies folgt zwangsläufig schon daraus, dass der Gesamtpreis anzugeben ist – die kostenlose Testphase fließt insoweit nur in diesen „verminderten Preis“ ein. An dem grundsätzlichen Bestehen einer Kostenpflicht ändert sich dadurch aber nichts.
1 2 3 4
Bierekoven, ITRB 2012, 186 (187). Bierekoven, ITRB 2012, 186 (187). BT-Drucks. 17/7745, S. 11. Bierekoven, ITRB 2012, 186 (187) unter Hinweis auf BT- Drucks. 17/7745, S. 11.
146
Intveen/Hilber/Rabus
II. Typischer Prozess bis zum Vertragsabschluss
Rz. 53
Teil 2
Wenn der Unternehmer diese Pflichten bei einer entgeltlichen Leistung 50 nicht erfüllt, kommt der Vertrag über eine entgeltliche Leistung nicht zustande, § 312g Abs. 4 BGB. Die Beweislast, dass die Voraussetzungen bei Abgabe der Willenserklärungen erfüllt waren, trägt der Unternehmer. dd) Folgen des Verstoßes gegen Informationspflichten Konsequenz des Nichtbestehens eines Vertrages gemäß § 312g Abs. 4 51 BGB ist, dass etwaig bereits ausgetauschte Leistungen zurückzugewähren sind. Der Verbraucher hat somit ggf. einen Anspruch aus § 812 BGB auf Rückgewähr der erbrachten Leistung. Hier wird zu Lasten des CloudAnbieters § 814 BGB zur Anwendung kommen, da der Unternehmer in der Regel wissen dürfte, dass ein Vertrag nicht zustande kommt, wenn er seinen aus § 312g Abs. 3 BGB resultierenden Pflichten nicht nachgekommen ist. Leistet er trotzdem, so kann er das Geleistete nicht zurückverlangen. Auf der anderen Seite hat der Verbraucher aber auch kein Wahlrecht, den 52 Unternehmer an seiner Vertragserklärung festzuhalten1. Der Verbraucher darf also nicht auf den Bestand des Vertrages bestehen. Der Verbraucher hat es weitergehend noch nicht einmal in der Hand, durch eine Neubestellung zu den von ihm gewünschten Leistungen zu kommen, solange der Unternehmer seinen Webauftritt nicht ändert, sondern weiter gegen die besondere Kennzeichnung entgeltpflichtiger Leistungen nach § 312g Abs. 3 BGB verstößt. Dies ist eine Rechtsfolge, die den Interessen beider Parteien widersprechen kann. Dass der Verbraucher „in Ausnahmefällen“ über § 242 BGB ein Wahlrecht haben soll, um den Unternehmer an dessen Willenserklärung festzuhalten2, lässt sich mit der vom Gesetzgeber ausdrücklich normierten Rechtsfolge des Verstoßes gegen die Informationspflichten zu § 312g Abs. 3 BGB (Nichtbestehen eines Vertrages) nicht in Einklang bringen. Legt man diesen Willen des Gesetzgebers zugrunde, dürfte es auch schwer fallen, den gut informierten Verbraucher, der sehenden Auges trotz wegen § 312g Abs. 4 BGB fehlenden Vertrages Leistungen in Anspruch nimmt, und anschließend von ihm geleistete Zahlungen zurückverlangt, auf § 814 BGB zu verweisen. Hat der Verbraucher noch gar nichts geleistet, wird theoretisch allenfalls ein Ersatzanspruch des Unternehmers gemäß § 826 BGB in Betracht kommen. Die hierzu notwendigen Beweise zum Verhalten und Wissen des Verbrauchers wird der Unternehmer aber nicht führen können. Im Übrigen ist ein Vertrag, der nicht unter § 312g Abs. 3 BGB fällt, wirk- 53 sam. Bei Nichteinhaltung der allgemeinen Vorgaben bestehen (s.o. Rz. 41) Schadensersatzansprüche des Verbrauchers wegen Verschuldens bei Vertragsverhandlungen oder wegen Vertragsverletzung, Klagen nach 1 Palandt/Grüneberg, § 312g BGB Rz. 13. 2 So Heinig, MDR 2012, 323. Intveen/Hilber/Rabus
147
Teil 2
Rz. 54
Vertragsgestaltung
§ 2 Unterlassungsklagegesetz oder Abmahnungen von Mitbewerbern unter dem Gesichtspunkt des Vorsprungs durch Rechtsbruch gemäß UWG. 54
Rechtsfolge im Falle eines Widerrufs (dazu unten Rz. 96) ist dagegen gemäß §§ 355, 357 BGB die Pflicht zur Rückgewähr der empfangenen Leistungen und Herausgabe der gezogenen Nutzungen. ee) Beschränkung des Anwendungsbereichs des Fernabsatzrechts
55
Im Übrigen ist im Zusammenhang mit Cloud Computing noch § 312b Abs. 4 BGB von besonderem Interesse (vgl. aber Rz. 57 a.E.). Danach ist bei Vertragsverhältnissen, „die eine erstmalige Vereinbarung mit daran anschließenden aufeinander folgenden Vorgängen oder eine daran anschließende Reihe getrennter, in einem zeitlichen Zusammenhang stehender Vorgänge der gleichen Art umfassen“, nur für den ersten Vertrag umfassend entsprechend der Regelungen zum Fernabsatzvertrag zu unterrichten. Der Begriff der „Vorgänge“ lässt sich nicht wirklich in die Gesetzessystematik einordnen. Gemeint ist hier wohl, dass nach einer erstmaligen Registrierung eines Kunden Einzelabrufe von Leistungen erfolgen. Bei der Vereinbarung eines Rahmenvertrages müssen Informationspflichten nach § 312c BGB demnach nur bei Abschluss der ersten Vereinbarung erfüllt werden und ein Widerrufsrecht nach § 312d BGB besteht nur für die erste Vereinbarung. Dies soll nicht nur dann gelten, wenn Leistungen aufgrund des Erstvertrages unmittelbar erbracht werden, sondern auch dann, wenn in Abwicklung des Erstvertrages Folgeverträge abgewickelt werden, wie bei einem Wartungsvertrag, wenn über Einzelleistungen weitere Verträge abgeschlossen werden1. Diese Konstellation ist denkbar, wenn unter einem Rahmenvertrag, der als erstmalige Anmeldung in einem Online-Shop ausgestaltet werden kann, vom Kunden im Anschluss regelmäßig oder unregelmäßig Cloud-Leistungen als Einzelleistungen bezogen werden.
56
Hier ist zu beachten, dass § 312b Abs. 4 BGB die zwingende Regelung § 312g BGB unberührt lässt. Die Gestaltung eines Angebots auf dauerhaften Bezug von Cloud-Leistungen als Rahmenvertrag ist zwar möglich, die aus § 312g BGB stammenden Informationspflichten insbesondere zur Kostenpflicht bleiben jedoch auch bei „Einzelabrufverträgen“ bestehen.
57
Man wird deshalb wegen der Schutzrichtung des § 312g BGB und der darin enthaltenen Regelungen, die gegenüber § 312b BGB als leges speciales anzusehen sein dürften, weil sie speziell den elektronischen Geschäftsverkehr betreffen, dem Unternehmer raten müssen, auch bei jedem eine gesonderte Entgeltpflicht begründenden Abruf unter einem Rahmenvertrag die sich aus § 312g Abs. 2 BGB i.V.m. Art. 246 § 1 Abs. 1 Nr. 4 erster Halbsatz, Nr. 5, 7 und 8 EGBGB ergebenden Anforderungen zum elektronischen Geschäftsverkehr umzusetzen. 1 Palandt/Grüneberg, § 312b BGB Rz. 19.
148
Intveen/Hilber/Rabus
II. Typischer Prozess bis zum Vertragsabschluss
Rz. 61
Teil 2
Zu berücksichtigen ist ferner, dass die Vorschrift von § 312b Abs. 4 BGB anlässlich der Umsetzung der Verbraucherrechterichtlinie entfällt. Eine hiermit im Wesentlichen übereinstimmende Vorschrift findet sich zwar zukünftig in § 312 Abs. 5 BGB. Deren Anwendungsbereich beschränkt sich allerdings auf Verträge über Finanzdienstleistungen. ff) Widerrufs- und Rückgaberecht Bei einem online abgeschlossenen Vertrag über Cloud-Leistungen steht 58 dem Verbraucher gemäß § 312d Abs. 1 BGB ein Widerrufsrecht nach § 355 BGB zu, bei Verträgen über die Lieferung von Waren alternativ – je nach vom Unternehmer gewählter Gestaltung – anstelle des Widerrufsrechts ein Rückgaberecht nach § 356 BGB. Das zum 13.6.2014 anlässlich der Umsetzung der Verbraucherrechterichtlinie in Kraft tretende neue Verbraucherschutzrecht sieht kein Rückgaberecht mehr vor. Eine Lieferung von Waren und deren Rückgabe kommt bei Cloud-Leistungen allerdings naturgemäß ohnehin nicht Betracht, weil es bei solchen Leistungen nicht um die Übergabe von Sachen, also gemäß § 90 BGB von körperlichen Sachen gehen kann. Besteht ein Widerrufsrecht, kann der Verbraucher einen geschlossenen 59 Cloud-Vertrag binnen zwei Wochen ohne Angabe von Gründen und ohne Strafzahlung widerrufen (§ 312d Abs. 1 BGB). Die Einzelheiten zum Widerruf ergeben sich aus den allgemeinen Regelungen, §§ 355 bis 360 BGB. Der Widerruf muss keine Begründung enthalten, er kann in Textform innerhalb von zwei Wochen gegenüber dem Cloud-Anbieter erfolgen (§ 355 Abs. 1 Satz 2 BGB), wobei zur Fristwahrung die rechtzeitige Absendung genügt. Nach dem neuen Verbraucherschutzrecht muss der Verbraucher seinen Widerruf nicht mehr in Textform erklären. Ausreichend ist vielmehr jede Erklärung, die den Entschluss des Verbrauchers zum Widerruf des Vertrages eindeutig erkennen lässt. Zukünftig kann der Verbraucher sein Widerrufsrecht daher etwa auch über ein vom Unternehmer auf seiner Webseite bereitgestelltes Online-Formular ausüben. Die Widerrufsfrist beträgt allerdings gemäß § 355 Abs. 2 Satz 1, Satz 2 BGB nur dann 14 Tage, wenn der Cloud-Anbieter dem Verbraucher spätestens bei Vertragsschluss eine den Anforderungen des § 360 Abs. 1 BGB entsprechende Widerrufsbelehrung in Textform mitgeteilt hat, wobei bei Fernabsatzverträgen eine unverzüglich nach Vertragsschluss in Textform mitgeteilte Widerrufsbelehrung einer solchen bei Vertragsschluss gleichsteht. Die Widerrufsfrist gemäß § 312d Abs. 2 BGB beginnt bei Dienstleis- 60 tungen nicht vor Vertragsschluss, und in keinem Fall vor der Erfüllung der Informationspflichten gemäß Art. 246 § 2 i.V.m. § 1 Abs. 1 und 2 EGBGB. Hinsichtlich der Inhalte der Belehrung über das Widerrufsrecht kann der 61 Cloud-Anbieter sich gemäß § 360 Abs. 3 BGB durch Verwendung des Intveen/Hilber/Rabus
149
Teil 2
Rz. 62
Vertragsgestaltung
Musters der Anlage 1 zum EGBGB in Textform (§ 126b BGB) absichern. Er darf dabei in Format und Schriftgröße von den Mustern abweichen, soweit diese Abweichungen mit dem Deutlichkeitsgebot vereinbar sind1, und Zusätze wie die Firma oder ein Kennzeichen des Unternehmers anbringen. 62
Das Widerrufsrecht erlischt gemäß § 355 Abs. 4 Satz 1 BGB spätestens sechs Monate nach Vertragsschluss. Belehrt der Cloud-Anbieter seinen Kunden nicht oder unrichtig über sein Recht zum Widerruf, erlischt das Widerrufsrecht nicht (§ 355 Abs. 4 Satz 3 BGB). Nach dem neuen Verbraucherschutzrecht erlischt das Recht zum Widerruf allerdings zukünftig spätestens zwölf Monate und vierzehn Tage nach Vertragsschluss bzw. Erhalt der Ware durch den Verbraucher.
63
Das Widerrufsrecht kann auch geltend gemacht werden, wenn der Vertrag schon aus anderen Gründen nach §§ 134, 138 BGB nichtig ist2. Der Verbraucher soll die Möglichkeit haben, jeden Anschein eines bestehenden Vertrags einfach, d.h. ohne großen Aufwand, und für jeden ersichtlich zu beseitigen. gg) Bereichsausnahmen – Nichtbestehen eines Widerrufsrechts
64
Das Gesetz sieht in § 312d Abs. 4 Nr. 1 bis Nr. 7 BGB einige Ausnahmen vor, bei deren Vorliegen der Unternehmer nicht verpflichtet ist, dem Verbraucher ein Widerrufsrecht einzuräumen. Es steht dem Unternehmer jedoch frei, dem Verbraucher gleichwohl ein entsprechendes Widerrufsrecht zu gewähren. Belehrt ein Cloud-Anbieter den Verbraucher also über ein Widerrufsrecht, obwohl ein solches gar nicht gesetzlich vorgesehen ist, kann sich der Verbraucher auf das Widerrufsrecht berufen.
65
Oft übersehen wird, dass gemäß Art. 246 § 1 Abs. 1 Nr. 10 EGBGB der Verbraucher auch über das Nichtbestehen eines Widerrufsrechts belehrt werden muss.
66
Aus den Regelungen zum Widerrufsrecht folgt auf Seiten des Cloud-Anbieters eine Unsicherheit über den Bestand eines Vertrages. Deshalb sind die Bereichsausnahmen für den Anbieter von besonderem Interesse. Es stellt sich damit hier die Frage, ob für Cloud-Leistungen oder zumindest für einzelne Leistungsbestandteile kein Widerrufsrecht des Verbrauchers besteht.
67
Die Darlegungs- und Beweislast für das Nichtbestehen eines Widerrufsrechts nach § 312d Abs. 4 BGB liegt bei dem Unternehmer, der sich auf den Ausnahmetatbestand beruft3.
1 Palandt/Grüneberg, § 360 BGB Rz. 8. 2 BGH v. 25.11.2009 – VIII ZR 318/08 = MMR 2010, 174 ff. 3 Palandt/Grüneberg, § 312d BGB Rz. 8.
150
Intveen/Hilber/Rabus
II. Typischer Prozess bis zum Vertragsabschluss
Rz. 71
Teil 2
(1) Nach Kundenspezifikation angefertigte oder auf persönliche Bedürfnisse des Kunden zugeschnittene Waren § 312d Abs. 4 Nr. 1 Alt. 1 BGB erfordert in den ersten beiden Alternati- 68 ven, dass der Fernabsatzvertrag über eine Ware abgeschlossen wurde, die nach Kundenspezifikation angefertigt wurde oder eindeutig auf die persönlichen Bedürfnisse zugeschnitten ist. Dabei sind die beiden Alternativen, bei deren Vorliegen kein Widerrufsrecht des Kunden besteht, inhaltlich kaum zu unterscheiden; beiden Alternativen ist immanent, dass eine Ware nur nach Vorgaben des Verbrauchers angefertigt werden kann1. Denkbar ist, dass sich der Kunde aus einer Reihe angebotener optionaler 69 Bestandteile der von ihm gewünschten Cloud-Leistungen ein individuell zugeschnittenes Leistungspaket zusammenstellt. Abgesehen von Zweifeln, ob Cloud-Leistungen im Einzelfall überhaupt 70 als Ware (also als handelbares Gut) eingeordnet werden können, lassen sich jedoch die Anforderungen an die Bereichsausnahmen derart verallgemeinern, dass eine Kundenspezifikation nicht schon dann gegeben ist, wenn der Kunde zwischen verschiedenen Varianten für eine Ausstattung auswählen kann, sondern erst dann, wenn es sich um kein standardisiertes Massenprodukt handelt, für das der Unternehmer nicht ohne weiteres einen anderen Abnehmer finden kann2. § 312d Abs. 4 Nr. 1 Alt. 1 BGB ist also nicht anwendbar, wenn die Leistung auf Bestellung des Verbrauchers aus vorgefertigten Bestandteilen besteht, die ohne Beeinträchtigung der Substanz mit geringem Aufwand wieder getrennt werden können3. Diese auf einen zusammengesetzten Gegenstand gemünzte Rechtsprechung ist auf standardisierte Cloud-Leistungen, um die es hier geht, auch dann übertragbar, wenn der Kunde aus einer Reihe verschiedener, im Ergebnis jedoch standardisierter Leistungen auswählen kann. Insoweit würde sich ein entsprechendes Angebot des Unternehmers lediglich als ein „Baukasten-System“ darstellen, für das die h.M. ein Widerrufsrecht annimmt4. In Abgrenzung dazu ist nur bei der Erstellung und Übersendung von Indi- 71 vidualsoftware eine Leistung nach Vorgaben des Kunden überhaupt denkbar5. Der Erstellung von Individualsoftware vergleichbar wäre die Zurverfügungstellung einer individualisierten Software aus der Cloud als SaaS-Leistung, so dass insoweit ein Ausschluss des Widerrufsrechts gemäß § 312d Abs. 4 Nr. 1 Alt. 1 BGB in den ersten beiden Alternativen nicht gegeben wäre, dem Verbraucher mit anderen Worten also ein Widerrufsrecht zustünde.
1 2 3 4 5
Spindler/Schuster/Micklitz/Schirmbacher, § 312d BGB Rz. 13. Spindler/Schuster/Micklitz/Schirmbacher, § 312d BGB Rz. 11. LG Hamburg v. 31.1.2012 – 312 O 93/11, MMR 2012, 738. Spindler/Schuster/Micklitz/Schirmbacher, § 312d BGB Rz. 11. Spindler/Schuster/Micklitz/Schirmbacher, § 312d BGB Rz. 13. Intveen/Hilber/Rabus
151
Teil 2
Rz. 72
Vertragsgestaltung
(2) Zur Rücksendung nicht geeignet 72
Das Widerrufsrecht besteht weiter nicht bei Fernabsatzverträgen zur Lieferung von Waren, die auf Grund ihrer Beschaffenheit nicht für eine Rücksendung geeignet sind. Diese Regelung betrifft Waren, die nicht „rückstandslos“ zurückgegeben werden können, „weil der Verbraucher sich ihren wirtschaftlichen Wert zuführen konnte bzw. die Rücksendung nicht derart gewährleistet werden kann, dass der Verbraucher nicht weiterhin von der Leistung profitiert“1.
73
Für die Anwendbarkeit des § 312d Abs. 4 Nr. 1 Alt. 3 BGB käme es also zunächst darauf an, ob die erbrachte Cloud-Leistung eine Ware darstellt.
74
Unter den europäischen Warenbegriff, auf den deshalb abzustellen ist, weil die Vorschrift auf europäisches Recht (Fernabsatzrichtlinie) zurückgeht, fallen alle beweglichen Güter, die einen Geldwert haben und Gegenstand von Handelsgeschäften sein können2. Standardisierte CloudLeistungen haben selbstverständlich einen objektiv feststellbaren Wert. Sie sind grundsätzlich frei handelbar und für jedermann verwertbar. In diesem Sinne kann auch Strom unter den europäischen Warenbegriff fallen3. Dies wird damit begründet, dass Strom wirtschaftlich die gleiche Bedeutung wie andere Energieträger besitze, insbesondere selbständiger Gegenstand von Handelsgeschäften sei4.
75
Fraglich ist also, ob Cloud-Leistungen in diesem Sinne als Ware eingeordnet werden können. Denkbar ist dies vor allem für die zeitweise Nutzung von Software oder Rechenleistung.
76
So wird zwar die Auffassung vertreten, dass es sich auch bei dem unkörperlich gehandelten Gut „Software“ in diesem Sinne um eine „Ware“ handele, so dass Softwaredownloads aus diesem Grund unter § 312d Abs. 4 Nr. 1 Alt. 3 BGB fallen könnten5. Denn auch herunterzuladende Software sei ein frei handelbares und für jeden Dritten verwertbares Gut. Diese Software könne nach Widerruf weiterbenutzt werden, und deshalb nicht rückstandslos zurückgegeben werden. Deshalb scheide ein Widerrufsrecht für alle Downloads aus6. Hoeren vertritt demgegenüber die Auffassung, dass die Ausnahmevorschrift § 312d Abs. 4 Nr. 1 BGB eng auszulegen sei und es bei dieser Bereichsausnahme „um Pizzadienste im Internet, nicht (aber) um Software, deren Beschaffenheit eine Rückgabe ja nicht per se ausschließt“ gehe7. Schließt man sich dieser Auffassung an, scheidet eine Anwendung dieser Ausnahme jedenfalls für die SaaS1 2 3 4 5 6
MünchKomm/Wendehorst, § 312d BGB Rz. 26. Palandt/Grüneberg, § 312b BGB Rz. 10 m.w.N. Palandt/Grüneberg, § 312d BGB Rz. 9. Meier, NJW 2011, 2396. Palandt/Grüneberg, § 312d BGB Rz. 9. Spindler/Schuster/Micklitz/Schirmbacher, § 312d BGB Rz. 13; Palandt/Grüneberg, § 312d BGB Rz. 9. 7 Hoeren, Internetrecht, S. 355.
152
Intveen/Hilber/Rabus
II. Typischer Prozess bis zum Vertragsabschluss
Rz. 81
Teil 2
Leistungen aus, die ebenso wie der Software-Download auf die wirtschaftliche Zurverfügungsstellung von Software zielen, dem Kunden jedoch den eigentlichen Softwarecode nicht verfügbar machen. Selbst wenn man von einer Anwendbarkeit des § 312d Abs. 4 Nr. 1 Alt. 3 77 BGB auf Softwaredownloads ausgeht, bestehen Zweifel, ob Cloud-Leistungen mit den Softwaredownloads inhaltlich vergleichbar sind. Die besseren Argumente sprechen hier gegen eine Anwendung dieser Ausnahme auf Cloud Computing-Leistungen, so dass ein Widerrufsrecht besteht. Denn im Vordergrund steht bei Cloud-Leistungen nicht der Aspekt der Überlassung eines Gegenstands, sondern eine Nutzungsmöglichkeit von bereitgestellten Ressourcen. Diese will der Verbraucher nutzen, um einmalig, mehrfach oder dauerhaft bestimmte Ergebnisse zu erzielen, Daten zu speichern oder Inhalte abzurufen. Software, auf die man als zu liefernde Ware abstellen könnte, ist dagegen 78 ein Sammelbegriff für Anwendungsprogramme bzw. ausführbare Programme und die dazugehörigen Daten. Das Ergebnis der Benutzung einer Software (das „Rechenergebnis“) als das Ergebnis eines automatisierten Rechenvorgangs stellt aber nicht selbst eine Software dar. Danach kann dem Cloud-Anbieter nicht geraten werden, dem Verbrau- 79 cher unter Berufung auf die dargestellten Rechtsauffassungen zu § 312d Abs. 4 Nr. 1 Alt. 3 BGB kein Widerrufsrecht einzuräumen. Dies gilt erst recht vor dem Hintergrund des Art. 16m der Verbraucher- 80 rechterichtlinie1, worauf Föhlisch2 zu Recht hinweist: diese Regelung setzt voraus, dass grundsätzlich auch bei nicht auf einem körperlichen Datenträger gelieferten digitalen Inhalten ein Widerrufsrecht besteht. Das Widerrufsrecht soll dann erlöschen, wenn die Ausführung der Lieferung mit vorheriger ausdrücklicher Zustimmung des Verbrauchers und seiner Kenntnisnahme, dass er hierdurch sein Widerrufsrecht verliert, begonnen hat. Im deutschen Recht wird diese Vorgabe ab dem 13.6.2014 in § 356 Abs. 5 BGB umgesetzt. Der Unternehmer wird also zukünftig die Möglichkeit haben, auf diese Weise das Erlöschen des Widerrufsrechts zu erreichen. (3) Entsiegelte Datenträger bei Software und Audio- und Videoaufzeichnungen Bei Cloud-Leistungen kommt auch eine Anwendung der Ausnahmevor- 81 schrift § 312d Abs. 4 Nr. 2 BGB, die für den Vertrieb von versiegelten Datenträgern gilt, nicht in Betracht. Eine einer Versiegelung von SoftwareDatenträgern ähnliche Schutzvorrichtung vor Inanspruchnahme einer Cloud-Leistung ist nicht vorstellbar. Beim Download einer Software oder 1 Richtlinie 2011/83/EU des Europäischen Parlaments und des Rates v. 25.10.2011 über die Rechte der Verbraucher, ABl. Nr. L 304 v. 22.11.2011, S. 64. 2 Hoeren/Sieber/Föhlisch, Handbuch Multimedia-Recht, Teil 13.4, Rz. 276b. Intveen/Hilber/Rabus
153
Teil 2
Rz. 82
Vertragsgestaltung
eines Musiktitels „aus dem Internet“, die über ein DRM-System geschützt sind, liegt zwar nach verbreiteter Einschätzung der Bezug einer Cloud-Leistung vor. Letztlich handelt es sich aber schlicht um einen Erwerb, also einen Kauf, und nicht um eine Cloud-Leistung im hier verstandenen Sinne (siehe Teil 1 A Rz. 5 ff.). Ein Widerrufsrecht des Verbrauchers, der Cloud-Leistungen in Anspruch nimmt, besteht deshalb auch vor diesem Hintergrund. 82
Hinzuweisen ist darauf, dass im Übrigen zwischen § 312d Abs. 4 Nr. 1 Alt. 3 BGB und § 312d Abs. 4 Nr. 2 BGB nicht immer unterschieden wird, wenn es darum geht, zu dem vielfach offenbar gewünschten Ergebnis zu gelangen, dass ein Widerrufsrecht bei Downloads von Software nicht bestehe1. Dass die eng auszulegende Bereichsausnahme des § 312d Abs. 4 Nr. 2 BGB grundsätzlich nicht analogiefähig ist, wird dabei gerne ausgeblendet. (4) Erbringung telekommunikationsgestützter Dienste
83
Ein Widerrufsrecht besteht gemäß § 312d Abs. 4 Nr. 7 BGB weiter nicht bei der Erbringung telekommunikationsgestützter Dienste, die auf Veranlassung des Verbrauchers unmittelbar per Telefon oder Telefax in einem Mal erbracht werden. „Telekommunikationsgestützte Dienste“ sind gemäß § 3 Nr. 25 TKG solche Dienste, die keinen räumlich und zeitlich trennbaren Leistungsfluss auslösen, sondern bei denen die Inhaltsleistung noch während der Telekommunikationsverbindung erfüllt wird. Namentlich erfasst sind Inhaltsleistungen wie bei 0190er-Nummern, Auskunftsdiensten u.Ä.2.
84
Weil für diese Bereichsausnahme die Leistungserbringung per Telefon oder Telefax Voraussetzung ist, können Cloud-Leistungen per definitionem (Bereitstellungsmodell für skalierbare IT-Leistungen über Netzwerke als im Kern standardisierte Dienstleistung) durchaus erfasst sein.
85
Die Ausnahmevorschrift betrifft jedoch nur Dienste, die per Telefon oder Telefax erbracht werden; andere Medien, wie beispielsweise Online-Datenbanken, sind von dem Ausschluss nicht erfasst3. Dies wird damit begründet, dass es bei den erfassten Diensten erhebliche Schwierigkeiten bereitet, den Verbraucher ordnungsgemäß über seine Wertersatzpflicht und sein Widerrufsrecht zu belehren4. Bei anderen telekommunikationsgestützten Diensten, die beispielsweise über das Internet erbracht werden, ist es problemlos möglich, die erforderlichen Hinweise in Textform zu erteilen, weswegen diese nicht unter den Anwendungsbereich des 1 Umfassende Darstellung bei Hoeren/Sieber/Föhlisch, Handbuch MultimediaRecht, 13.4, Rz. 272 ff.; MünchKomm/Wendehorst, § 312d BGB Rz. 26 m.w.N.; Spindler/Schuster/Micklitz/Schirmbacher, § 312d BGB Rz. 13. 2 Spindler/Schuster/Ricke, § 3 TKG Rz. 36. 3 BT-Drucks. 12/406, S. 11. 4 Spindler/Schuster/Micklitz/Schirmbacher, § 312d BGB Rz. 34a.
154
Intveen/Hilber/Rabus
II. Typischer Prozess bis zum Vertragsabschluss
Rz. 89
Teil 2
§ 312d Abs. 4 Nr. 7 BGB fallen. Hieraus folgt, dass auch im Bereich des Cloud Computing eine analoge Anwendung der Vorschrift ausscheidet, da es für den Unternehmer keine Probleme bereitet, seinen gesetzlichen Hinweispflichten ordnungsgemäß nachzukommen. Zudem ist zu beachten, dass die in § 312d Abs. 4 Nr. 7 BGB normierte 86 Ausnahme anlässlich der Umsetzung der Verbraucherrechterichtlinie abgeschafft wird und ab dem 13.6.2014 daher nicht mehr besteht. Nach dem neuen Verbraucherschutzrecht steht dem Verbraucher gemäß § 312 Abs. 2 Nr. 11 BGB zwar auch bei Verträgen zur Nutzung einer einzelnen von ihm hergestellten Telefon-, Internet- oder Telefaxverbindung kein Widerrufsrecht zu. Verträge über die Erbringung telekommunikationsgestützter Dienste i.S.v. § 312d Abs. 4 Nr. 7 werden hiervon allerdings nicht erfasst1. (5) Erlöschen bei vollständiger Erfüllung Das Widerrufsrecht erlischt gemäß § 312d Abs. 3 BGB bei einer Dienstleis- 87 tung auch dann, wenn der Vertrag von beiden Seiten auf ausdrücklichen Wunsch des Verbrauchers vollständig erfüllt ist, bevor der Verbraucher sein Widerrufsrecht ausgeübt hat. Dieser Vorschrift nachgebildet ist Art. 16m der Verbraucherrechterichtlinie, der ab dem 13.6.2014 in § 356 Abs. 5 BGB umgesetzt wird (vgl. oben Rz. 80)2. Die Voraussetzung der vollständigen Erfüllung ist gegeben, wenn beide 88 Parteien sämtliche Pflichten aus dem Vertrag vollständig erfüllt haben3. In den Genuss dieser Ausnahmevorschrift zu kommen ist für den Unternehmer deshalb schwierig, weil auch Dauerschuldverhältnisse, Sukzessivlieferverträge und unter einem Rahmenvertrag erfolgende Einzelabrufe erst mit vollständiger Erbringung der letzten geschuldeten Leistung in diesem Sinne erfüllt sind4. Diese Voraussetzung kann bei Cloud-Leistungen per se erst mit Beendigung des Vertrages eintreten. Auch wenn der Unternehmer seine Pflichten schlecht erfüllt, soll darin 89 eine Nichterfüllung liegen, weil dem Verbraucher die Möglichkeit erhalten bleiben soll, sich durch den einfachen Widerruf vom Vertrag zu lösen, und nicht den schwierigeren Weg der Gewährleistung gehen zu müssen5.
1 So ausdrücklich die Begründung zum Referentenentwurf eines Gesetzes zur Umsetzung der Verbraucherrechterichtlinie, zur Änderung des Verbrauchsgüterkaufrechts und zur Änderung des Gesetzes zur Regelung der Wohnungsvermittlung des Bundesministeriums der Justiz, S. 73. 2 Richtlinie 2011/83/EU des Europäischen Parlaments und des Rates v. 25.10.2011 über die Rechte der Verbraucher, ABl. Nr. L 304 v. 22.11.2011, S. 64. 3 MünchKomm/Wendehorst, § 312d BGB Rz. 49. 4 Palandt/Grüneberg, § 312d BGB Rz. 7. 5 MünchKomm/Wendehorst, § 312d BGB Rz. 51; Palandt/Grüneberg, § 312d BGB Rz. 7. Intveen/Hilber/Rabus
155
Teil 2
Rz. 90
Vertragsgestaltung
90
Etwas anderes soll dann gelten, wenn der Unternehmer bloße Nebenpflichten aus dem Vertrag, namentlich Informationspflichten nach dem Fernabsatzrecht nicht erfüllt: denn die Vorschrift sei Ausdruck des Verbots eines venire contra factum proprium seitens des Verbrauchers, der zunächst die Erfüllung der Leistungspflichten noch vor Ablauf der Widerrufsfrist fordere und den Vertrag danach aber doch rückgängig mache1.
91
Diese Regelungsmethodik führt dazu, dass es der Verbraucher in der Hand hat, durch Zurückhalten seiner Leistung das Erlöschen des Widerrufsrechtes zu verhindern. Mit diesem Ergebnis wird man sich bis zur Grenze des vorsätzlich sittenwidrigen Verhaltens des Verbrauchers im Hinblick auf die Entscheidung des Gesetzgebers abfinden müssen.
92
Die Erfüllung muss auf ausdrücklichen Wunsch, also durch ein aktives Tun des Verbrauchers veranlasst werden; die bloße Hinnahme des Beginns der Leistungen durch den Unternehmer reicht hier nicht – erst recht nicht bei einer aufgedrängten frühzeitigen Vertragserfüllung durch den Unternehmer. Jegliche Gestaltung durch vom Cloud-Anbieter formulierte Fiktionen, die von diesem Grundsatz abweichen, wird (z.B. wegen Verstoßes gegen § 308 Nr. 5 BGB) unwirksam sein.
93
Wenn die vorgenannten Voraussetzungen sämtlich erfüllt sind, kann also das Widerrufsrecht des Verbrauchers erlöschen. Der Unternehmer hat dann Gewissheit, dass zumindest das Lösungsrecht des Verbrauchers vom Vertrag ohne jede Begründung nicht besteht. Im hier interessierenden Zusammenhang der Cloud-Leistungen erscheint der Erlöschenstatbestand des § 312d Abs. 3 BGB die einzige realistische Variante zu sein, in der der Unternehmer davon ausgehen kann, dass kein Widerrufsrecht besteht. (6) Zwischenergebnis
94
Insgesamt muss man nach alledem davon ausgehen, dass bei Cloud-Leistungen grundsätzlich ein Widerrufsrecht des Verbrauchers besteht. Keine der gesetzlich vorgesehenen Bereichsausnahmen greift ein, so dass das Widerrufsrecht bei Cloud-Leistungen erst nach vollständiger Erbringung aller Leistungen erlischt.
95
Der Cloud-Anbieter tut vor diesem Hintergrund gut daran, die Verbraucher unter seinen Kunden auf ihr Widerrufsrecht hinzuweisen. (7) Konsequenzen des Widerrufs
96
Konsequenz eines Widerrufs ist die Rückabwicklung des Vertrages.
97
Grundsätzlich dürfen dem Verbraucher keine Kosten für die Ausübung des Widerrufsrechts auferlegt werden. Wie Art. 6 der Fernabsatzrichtlinie 1 MünchKomm/Wendehorst, § 312d BGB Rz. 50.
156
Intveen/Hilber/Rabus
II. Typischer Prozess bis zum Vertragsabschluss
Rz. 102
Teil 2
ausdrücklich festschreibt, dürfen dem Verbraucher einzig die unmittelbaren Kosten der Rücksendung der Waren auferlegt werden. Vorliegend entstehen entsprechende Rücksendungskosten allerdings nicht. Wenn schon der Cloud-Anbieter damit leben muss, dass dem Verbrau- 98 cher im Ergebnis stets ein Widerrufsrecht zusteht, stellt sich die Frage, ob ihm zumindest ein Anspruch auf Nutzungsentschädigung zusteht, wenn der Verbraucher sein Widerrufsrecht ausübt. Bei Fernabsatzverträgen über die Lieferung von Waren besteht gemäß 99 § 312e Abs. 1 BGB (vereinfacht ausgedrückt) ein Anspruch auf Wertersatz für Nutzungen nur, soweit der Verbraucher die Ware in einer Art und Weise genutzt hat, die über die Prüfung der Eigenschaften und der Funktionsweise hinausgeht, und wenn er zuvor vom Unternehmer auf diese Rechtsfolge hingewiesen wurde. Diese Vorschrift ist für Cloud-Leistungen schon nach ihrem Wortlaut nicht einschlägig. Gemäß § 312e Abs. 2 BGB besteht ein Anspruch auf Wertersatz für die 100 erbrachte Dienstleistung nur, wenn der Verbraucher vor Abgabe seiner Vertragserklärung auf diese Rechtsfolge hingewiesen worden ist, und wenn er ausdrücklich zugestimmt hat, dass der Cloud-Anbieter vor Ende der Widerrufsfrist mit der Ausführung der Dienstleistung beginnt. Wertersatz ist schon dem Wortlaut nach eine Entschädigung in Geld für vom Unternehmer erbrachte Leistungen. Für den erforderlichen Hinweis auf die Wertersatzpflicht, der vor der Vertragserklärung des Verbrauchers erfolgen muss, reicht es aus, den Verbraucher in wenigstens laienhafte Kenntnis von den Rechtsfolgen zu setzen1. Ein klar gestalteter, entsprechend hervorgehobener, kurzer Hinweis auf das Bestehen der Wertersatzpflicht sollte es dem Unternehmer aber dennoch ermöglichen, eine entsprechende vom Gesetz dem Grunde nach gestattete Wertersatzpflicht wirksam durchzusetzen. Zu beachten ist hier, dass – wie oben bereits ausgeführt – nach dem ge- 101 meinschaftsrechtlich zu beurteilenden Dienstleistungsbegriff auch Cloud-Leistungen, die als Mietverträge einzuordnen sind (Verweis siehe Rz. 149) bei Vorliegen der dargelegten Grundsätze in den Anwendungsbereich des § 312e Abs. 2 BGB fallen. Nach einer ausdrücklichen Zustimmung des Verbrauchers durch Bestäti- 102 gung der vom Unternehmer bereit gehaltenen Informationen und Bedingungen, die dem ausdrücklichen Wunsch des Verbrauchers i.S.v. § 312d Abs. 3 BGB entsprechen dürfte, kann der Unternehmer Wertersatz gemäß § 346 Abs. 2 Satz 2, 1. Halbsatz BGB nach der ursprünglich vereinbarten Gegenleistung, ggf. anteilig verlangen2. Ob und in welchem Fall sich der Aufwand, diesen Wertersatz tatsächlich beizutreiben, für den Unternehmer lohnt, lässt sich nur im Einzelfall entscheiden. 1 MünchKomm/Wendehorst, § 312e BGB Rz. 24. 2 MünchKomm/Wendehorst, § 312e BGB Rz. 26. Intveen/Hilber/Rabus
157
Teil 2
Rz. 103
Vertragsgestaltung
d) AGB-Recht gegenüber Verbrauchern aa) Allgemeines 103
Regelungen in Verträgen über standardisierte Cloud-Leistungen stellen in aller Regel Allgemeine Geschäftsbedingungen i.S.v. § 305 Abs. 1 Satz 1 BGB, also für eine Vielzahl von Verträgen vorformulierte Vertragsbedingungen, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrages stellt, dar.
104
Das AGB-Recht (§§ 305 ff. BGB) gilt dabei nicht nur für Verträge zwischen Unternehmer und Verbraucher, sondern auch für Verträge zwischen Unternehmern, wenn auch die §§ 308, 309 BGB nur mittelbar als Wertungsmaßstab in den Geschäftsverkehr zwischen Unternehmern hineinwirken. bb) Einbeziehung
105
Damit AGB Vertragsbestandteil werden, müssen sie wirksam in den Vertrag einbezogen werden. Gemäß § 305 Abs. 2 Nr. 1 und 2 BGB muss auf AGB spätestens im Zeitpunkt des Vertragsschlusses ausdrücklich hingewiesen und dem Kunden eine zumutbare Möglichkeit der Kenntnisnahme gegeben werden.
106
Eine Einbeziehung von AGB ist rechtssicher gegenüber Verbrauchern z.B. dadurch möglich, dass der Kunde die AGB elektronisch zur Lektüre einsehen kann und durch Klicken einer elektrischen Schaltfläche seine Zustimmung hierzu erklärt. In der Praxis haben sich einige Modelle durchgesetzt, die eine Zwangsführung des Kunden durch das Angebot des Unternehmers und damit die Beweisbarkeit der Kenntnisnahme des Kunden von den AGB sicherstellen. Typischerweise wird ein Fortschreiten im Bestellprozess erst dann ermöglicht, wenn der Kunde aktiv die Kenntnisnahme der einzubeziehenden AGB des Unternehmers bestätigt. § 305 Abs. 2 BGB schreibt das Erfordernis einer aktiven Zustimmung des Verbrauchers zwar nicht vor, legt aber dem Anbieter die Darlegungs- und Beweislast dafür auf, dass der Verbraucher mit den AGB einverstanden ist. Von daher ist eine Zwangsführung im obigen Sinne empfehlenswert.
107
Dabei ist darauf zu achten, dass die Einbindung von AGB in den Vertragsschlussprozess nicht dazu führen darf, dass die Grenze zwischen den gesetzlich zwingend vorgesehenen Informationspflichten einerseits und den vom Unternehmer gewünschten zusätzlichen Regelungspunkten andererseits verwischt werden. Denn seit Einführung der „Button-Lösung“ (zu dieser siehe oben Rz. 44) kann man den Hinweis auf einzubeziehende AGB vor Anklicken des Bestellbuttons als unzulässiges trennendes Element verstehen1. Trotz dieser Einschränkung muss es dem Unternehmer zusammengefasst darum gehen, dem Kunden die Leistungen nur zur Ver1 Hoeren/Sieber/Föhlisch, Handbuch Multimedia-Recht, Teil 13.4, Rz. 106.
158
Intveen/Hilber/Rabus
II. Typischer Prozess bis zum Vertragsabschluss
Rz. 111
Teil 2
fügung zu stellen, wenn dieser seinerseits die AGB des Unternehmers vorher zur Kenntnis genommen und akzeptiert hat1. Zu beachten ist, dass bei Aufbau einer Website in einem Online-Shop 108 und einer Vielzahl zwingend zu akzeptierender Bedingungen die Transparenz der Vertragsgestaltung leidet, zumal auch datenschutzrechtlich gemäß § 13 TMG zu informieren ist. Schon daraus kann sich gemäß § 307 Abs. 1 Satz 2 BGB eine unangemessene Benachteiligung und damit die Unwirksamkeit einer Regelung ergeben, weil Bestimmungen nicht klar und verständlich sind. Denn der Anbieter hat getrennte Fenster mit entsprechendem Bestä- 109 tigungsabruf für seine AGB, für die Datenschutzerklärung sowie für die Informationspflichten nach Fernabsatzgesetz einzurichten, sowie ein weiteres Fenster, das die Möglichkeit zur Korrektur einer Bestellung eröffnet. Die gemäß § 305 Abs. 2 Nr. 2 BGB zu schaffende Möglichkeit einer zu- 110 mutbaren Kenntnisnahme verlangt außerdem, dass AGB in Ruhe betrachtet, gespeichert und ausgedruckt werden können2. Diese Regelung setzt sich fort in § 312g Abs. 1 BGB i.V.m. Art. 246 § 3 EGBGB, wonach der Unternehmer auch darauf hinweisen muss, ob der Vertragstext nachträglich vom Unternehmer gespeichert wird und ob er dem Kunden-Verbraucher zugänglich ist. Durch eine entsprechende Gestaltung seiner Website kann der Unternehmer insoweit recht einfach sicherstellen, dass der Kunde die notwendigen Informationen erhalten hat. Im B2B-Verkehr ist die Einbeziehung von AGB unproblematischer mög- 111 lich. Hier ist anerkannt, dass zur Einbeziehung in den Vertrag jede auch stillschweigende Willensübereinstimmung genügt. Im unternehmerischen Verkehr reicht es mithin aus, ist es andererseits aber auch erforderlich, dass die Parteien sich auf irgendeine Weise konkludent über die Einbeziehung der AGB einigen. Ausreichend ist, dass der Verwender erkennbar auf seine AGB verweist und der unternehmerische Vertragspartner deren Geltung nicht widerspricht. Dies kann der Verwender ebenfalls in einen Bestellprozess einbinden, mit dem Unterschied, dass wegen § 310 Abs. 1 Satz 1 BGB in Verbindung mit § 305 Abs. 2 BGB nicht notwendig die Kenntnisnahme erfolgen muss. Eine ausdrückliche Einbeziehung ist auch dann wirksam, wenn die AGB dem für den Vertragsschluss maßgeblichen Schreiben nicht beigefügt waren und der Kunde den Inhalt der AGB nicht kennt.
1 Solange kein Abschluss- und Benutzungszwang besteht, spricht auch nichts dagegen, die Willenserklärung des Unternehmers von der Zustimmung des Verbrauchers abhängig zu machen. 2 Hoeren/Sieber/Föhlisch, Handbuch Multimedia-Recht, Teil 13.4, Rz. 107. Intveen/Hilber/Rabus
159
Teil 2
Rz. 112
Vertragsgestaltung
cc) Inhaltlicher Überblick 112
Im Zusammenhang mit Cloud-Leistungen sind aus den Klauselverboten mit Wertungsmöglichkeit gemäß § 308 BGB vor allem die folgenden Regelungen bei standardisierten Cloud-Leistungen relevant: – Nr. 4 (Änderungsvorbehalt): im Hinblick auf Anpassungen, Verbesserungen und Änderungen der Cloud-Leistungen, die der Anbieter vornehmen möchte; – Nr. 5 (Fingierte Erklärungen): die auf Handlungen des Kunden (z.B. Start eines Downloads, Inanspruchnahme von Leistungen als Annahmeerklärungen) abstellen, um daran einen bestimmten Erklärungswillen des Kunden zu knüpfen.
113
Typischerweise wird der Anbieter von Cloud-Leistungen ein besonderes Interesse an Regelungen haben, die mit den folgenden Klauselverboten (ohne Wertungsmöglichkeit) gemäß § 309 BGB kollidieren können: – Nr. 1 (Kurzfristige Preiserhöhungen), mit denen der Cloud-Anbieter insbesondere bei Rahmenverträgen eine flexible Preisgestaltung herbeiführen will; – Nr. 5 (Pauschalierung von Schadensersatzansprüchen), im Hinblick darauf, dass Unternehmer über die Vereinbarung pauschalierter Schadensersatzansprüche einen Geldzufluss für den Fall von Vertragsverletzungen des Kunden, zum Teil aber auch bei Ausübung von Widerrufsrechten, sicherstellen wollen; – Nr. 6 (Vertragsstrafe), auch hier im Hinblick darauf, einen Geldzufluss für verschiedene Fallkonstellationen sicherstellen zu wollen; – Nr. 7 (Haftungsausschluss bei Verletzung von Leben, Körper, Gesundheit und bei grobem Verschulden), die bei jedem Vertrag von besonderem Interesse für Unternehmer sind; bei Cloud-Leistungen ist dies aus Sicht von Unternehmern deshalb von besonderem Interesse, weil sich der Kunde durch die Auslagerung von Leistungen in die Cloud in ein besonderes Abhängigkeitsverhältnis begibt, so dass besonders umfangreiche Haftungsrisiken drohen mögen; – Nr. 8 (Sonstige Haftungsausschlüsse bei Pflichtverletzung), hier insbesondere eine Bestimmung, durch die Ansprüche gegen den Verwender wegen eines Mangels insgesamt oder bezüglich einzelner Teile ausgeschlossen, auf die Einräumung von Ansprüchen gegen Dritte beschränkt oder von der vorherigen gerichtlichen Inanspruchnahme Dritter abhängig gemacht werden. 3. Großprojekte
114
Großprojekte, im Rahmen derer Teile der Wertschöpfung unter Einsatz von Cloud Computing-Technologien erbracht werden, haben weitreichende Gemeinsamkeiten mit Outsourcingprojekten. Der Übergang zwischen dem Bezug von Leistungen aus der Cloud und einem klassischen 160
Intveen/Hilber/Rabus
II. Typischer Prozess bis zum Vertragsabschluss
Rz. 117
Teil 2
Outsourcing ist ohnehin fließend. In der Praxis werden oftmals auch bei Outsourcingvorhaben, bei denen der Auftragnehmer die Verantwortung für bisher vom Auftraggeber intern selbst erbrachte Leistungen übernimmt, Cloud-Technologien mit einbezogen. Dies kann z.B. damit anfangen, dass Leistungen in sog. Shared Service Center verlagert werden, in denen Rechenleistung über virtualisierte Server zur Verfügung gestellt werden. Diese virtuellen Servereinheiten erlauben eine effektive gemeinsame Nutzung der Hardwareressourcen in einem oder sogar mehreren Shared Service Center und damit eben auch eine Kostenreduzierung. Von daher überrascht es nicht, dass der typische Prozess bis zum Ab- 115 schluss eines Cloud Computing-Vertrages sich häufig kaum von der Herangehensweise unterscheidet, die sich bei Outsourcingvorhaben eingebürgert hat1. a) Interne Entscheidungsfindung Zunächst bedarf die interne Entscheidung für eine Auslagerung in die 116 Cloud einer Marktsichtung. Diese Marktsichtung kann umfassen, dass Anbieter aufgefordert werden, ihre Konzepte darzulegen (Request for Information)2. Zeigt sich im Rahmen dieser Prüfung, dass eine Verlagerung von Leistungen in die Cloud vom Angebot her in Betracht kommt, stellt sich die Frage, ob der Bedarf durch standardisiert am Markt angebotene Leistungen gedeckt werden kann. Dabei sind vielfältige Anforderungen zu berücksichtigen, nicht zuletzt spielen auch Compliance-Fragen eine Rolle. Sind personenbezogene Daten betroffen, sind die Anforderungen des Datenschutzrechts zu berücksichtigen3, was gewisse Standardangebote bereits ausschließen kann (vgl. unten Teil 4 Rz. 21 ff.). Zentral sind aber natürlich in diesem Stadium vor allem die Fragen der technischen Realisierbarkeit und der Erfüllung operativer Anforderungen. Diesem Prüfungsprozess kommt vor allem im Finanzsektor besondere Bedeutung zu. Dazu näher Teil 8 B Rz. 15 ff. In den Bereich der internen Vorbereitungsmaßnahmen fällt auch die Er- 117 arbeitung eines „Stand Alone Business Case“ (die bei einer Fortführung der Leistungen auf bisheriger Basis zu erwartenden wirtschaftlichen Auswirkungen) und eines „Cloud Business Case“ (die davon ausgehende Ableitung der durch die Auslagerung in die Cloud erhofften Verbesserungen, vor allem also Kosteneinsparung und -flexibilisierung). Auf dieser Basis kann ein Unternehmen rational darüber entscheiden, ob sich der Bezug von Cloud-Leistungen lohnt. Bei der Erstellung des Cloud Business Case sind auch rechtliche Fragen von Bedeutung. So sei nur die Frage nach den Auswirkungen der Auslagerung auf die Lizenzkosten er1 Schuster/Reichl, CR 2010, 38. 2 Vgl. Bräutigam, IT-Outsourcing, Teil 12, Rz. 52; Scheja/Schmidt, CR 2005, 321 (322 f.) zu vorvertraglichen Pflichten bei der privaten Ausschreibung von Outsourcingvorhaben. 3 Vgl. Schuster/Reichl, CR 2010, 38 (41 f.). Intveen/Hilber/Rabus
161
Teil 2
Rz. 118
Vertragsgestaltung
wähnt1. Im Falle einer Entscheidung für die Cloud stehen damit bereits Leitlinien für die kommerziellen Verhandlungen zur Verfügung. In der Praxis zeigt sich allerdings, dass der Stand Alone Business Case – an dem sich der Cloud Business Case messen lassen muss – zukünftig zu erzielende Kosteneinsparungen berücksichtigt, was je nach Grad des auftraggeberseitigen Wunschdenkens entsprechend zu Akzeptanzschwierigkeiten beim Anbieter führt2. b) Vorbereitung 118
Ist die Entscheidung – vorbehaltlich des Gangs des weiteren Verfahrens – zu Gunsten der Cloud-Lösung gefallen, hat der Auftraggeber die für den Prozess der Auftragsvergabe erforderlichen Vorbereitungen zu treffen. Die Projektziele sind zu definieren und schriftlich festzuhalten. Ziele bei der Nutzung von Cloud Computing sind in der Regel Kosteneinsparungen, Flexibilisierung der Kosten und operative bzw. technische Verbesserungen, sprich bessere Leistungsqualität (näher hierzu oben Teil 1 A Rz. 22)3.
119
In erster Linie ist also neben der Definition der Anforderungen an den Cloud Business Case daran zu denken, die vom Anbieter zu erbringenden Leistungen genau zu definieren4. Wurden die Leistungen bisher intern erbracht, muss sich der Auftraggeber zunächst Klarheit über die Details der vom Cloud-Anbieter zu erbringenden Leistung verschaffen, denn diese müssen im Verhältnis zum nunmehr externen Anbieter vertraglich möglichst genau vereinbart werden5. Während es bei Standardangeboten darum geht zu prüfen, ob das Angebot den Bedarf präzise deckt, und wo etwa Umstellungen interner Prozesse erforderlich sind, kann es bei individuelleren Cloud-Leistungen – wie beim klassischen Outsourcing – soweit gehen, dass der Auftraggeber die gesamte Leistungsbeschreibung vorgibt, zumindest als Ausgangspunkt für die Verhandlungen. Im Idealfall liegt die Leistungsbeschreibung (auch Lastenheft oder Statement of Work genannt) bereits in einem Reifegrad vor, dass sie als Anlage zum Vertragsbestandteil gemacht werden kann. Ist der Auftraggeber bereit, sich in bestimmten Bereichen nach den vom Anbieter (standardisiert) angebotenen Leistungsmodalitäten zu richten, sind diese Bereiche genau zu bestimmen. Es sei darauf hingewiesen, dass der für Cloud Computing zentrale Gedanke der Standardisierung sich nur bei hinreichender Flexibilität des Auftraggebers umsetzen lässt. Die Beantwortung dieser Fragen 1 Vgl. Hilber, CR 2008, 749 ff.; Hilber/Knorr/Müller, CR 2011, 417 (422 f.). 2 Zur wirtschaftlichen Betrachtung von Outsourcingverträgen s. auch Bräutigam/ Küchler, IT-Outsourcing, Teil 1, Rz. 301 ff. 3 Vgl. zur ähnlichen Situation bei Outsourcingverträgen Söbbing, Handbuch ITOutsourcing, Rz. 5; Redeker/Gennen/Laue, Handbuch der IT-Verträge, Kap. 1.17 Rz. 19–24; Beck’sches Formularhandbuch IT-Recht/Missling, Kap. H.4.2. 4 Siehe zu Outsourcingverträgen Söbbing, Handbuch IT-Outsourcing, Rz. 391 ff.; BITKOM Leitfaden Cloud Computing, S. 32 (abrufbar unter http://www.bitkom. org/de/publikationen/38337_66148.aspx; zuletzt aufgerufen am 2.10.2013). 5 Mann, MMR 2012, 499 (500 f.).
162
Intveen/Hilber/Rabus
II. Typischer Prozess bis zum Vertragsabschluss
Rz. 122
Teil 2
erfordert ein hohes Maß an IT-fachlichem Know-how, das vor allem, aber nicht nur, bei kleineren Organisationen, auftraggeberseitig nicht immer vorhanden ist. Daher werden häufig externe IT-Berater involviert. Von besonderer Bedeutung ist ferner die Festlegung der Art und Weise 120 der Einbindung der Cloud-Leistungen in die Organisation des Kunden, etwa in Bezug auf technische Schnittstellen, IT-Sicherheit, Berichtswesen und Kontrolle des Dienstleisters. Die sachgerechte Handhabung dieser Aspekte – vor allem auch nach Vertragsschluss – erfordert es, von Anfang an beim Kunden interne Ressourcen für die Betreuung des in die Cloud verlagerten Leistungsbereiches vorzuhalten und Verantwortlichkeiten für das Anbieter-Management zu definieren. Dies ist auch deshalb sinnvoll, um das Know-how des Auftraggebers aufrechtzuerhalten und zu verhindern, nach und nach in die Abhängigkeit des Dienstleisters zu gelangen. Bei Outsourcingvorhaben, bei denen (Teil-)Betriebe auf den Dienstleister ausgelagert werden, wird hierfür die sog. Retained Organization (also beim Kunden verbleibende Träger von Schlüssel-Know-how) oder das IT Vendor and Supply Management eingesetzt. Vor allem aus Sicht des Juristen ist es natürlich im Übrigen sinnvoll, 121 nicht nur die Leistungsbeschreibung frühzeitig zu formulieren, sondern den gesamten Vertrag oder zumindest wesentliche Teile davon. Während bei Outsourcingvorhaben in der Regel der Auftraggeber die Vertragsentwürfe vorlegt, kommt es bei Cloud Computing Transaktionen häufiger vor, dass die Anbieter auf ihren Standardverträgen – zumindest als Ausgangspunkt – bestehen. Sollen kundenseitig Vorgaben zum Vertrag gemacht werden, sollte diese Arbeit frühzeitig bei der Rechtsabteilung in Auftrag gegeben werden, zum einen um interne Abstimmungsprozesse zu ermöglichen, zum anderen aber auch um den abgestimmten Vertragsentwurf möglichst in einem frühen Stadium des Vergabeverfahrens einführen zu können. Die Erfahrung zeigt, dass es sich lohnt, den Vertragsentwurf oder zumindest ein Term Sheet, das die wichtigsten Aspekte festschreibt, bereits mit der Aufforderung zur Abgabe eines Angebotes zu verbinden1. Bewerben sich mehrere Cloud-Anbieter um einen Auftrag und werden aufgefordert, ihre Überarbeitung des Entwurfes mit ihrem Angebot vorzulegen, kann das die Verhandlungen aus Auftraggebersicht erheblich vereinfachen. c) Request for Proposal, Letter of Intent Sind die internen Vorbereitungen abgeschlossen und kommen weiterhin 122 mehrere Anbieter in Betracht, erfolgt eine – mehr oder weniger förmliche – Ausschreibung, die bei großen Unternehmen in der Regel vom Einkauf durchgeführt wird. Die in Betracht kommenden Bieter werden dabei aufgefordert, auf Basis der vom Auftraggeber definierten technischen, operativen, kommerziellen und rechtlichen Anforderungen ein Angebot abzu1 Vgl. zu Outsourcingverträgen Bräutigam, IT-Outsourcing, Teil 12, Rz. 52. Intveen/Hilber/Rabus
163
Teil 2
Rz. 123
Vertragsgestaltung
geben1. Diese individualisierten Angebote erübrigen sich natürlich, wenn standardisierte Cloud-Lösungen in Betracht gezogen werden. In der Praxis sind es vor allem kleine Unternehmen und Start-ups, die voll standardisierte Lösungen einkaufen. Die Vorteile sind offensichtlich: Die Ressourcen aus der Cloud stehen schnell, flexibel und kostengünstig zur Verfügung. Größere Unternehmen sind dagegen regelmäßig angesichts detaillierter interner Vorgaben, z.B. zu Compliance und IT-Sicherheit, eher nicht bereit, Cloud-Lösungen von der Stange in Betracht zu ziehen. 123
Die Einholung von Angeboten durch ein Request for Proposal (RFP) ist nur dann durch das förmliche Vergaberecht näher geregelt, wenn die Ausschreibung durch einen öffentlichen Auftraggeber erfolgt2. Im Übrigen gelten „nur“ die zivilrechtlichen Regeln zum Verschulden bei Vertragsverhandlungen3. Dennoch ist zu empfehlen, im RFP ausdrücklich darauf hinzuweisen, dass kein Anspruch auf Abschluss eines Vertrages besteht, die Kosten der Angebotserstellung nicht vom Auftraggeber getragen werden und der Auftraggeber sich jederzeit vorbehält, die Vertragsverhandlungen aus in der Auftraggebersphäre liegenden Gründen abzubrechen4.
124
Sofern der Auftraggeber die vertrauliche Behandlung des RFP und der sich etwa anschließenden Verhandlungen sicherstellen möchte, bietet es sich an, mit den Anbietern eine Vertraulichkeitsvereinbarung (auch Non-Disclosure Agreement (NDA) genannt) abzuschließen5. Die Vertraulichkeit ist häufig wegen der im RFP enthaltenen vertraulichen Informationen geboten, z.B. weil verhindert werden soll, dass eine im Zusammenhang mit der Verlagerung von Leistungen in die Cloud anstehende Restrukturierung (siehe dazu Teil 5 Rz. 2 ff., 7) nicht zur Unzeit für innerbetriebliche Unruhe sorgt.
125
Soll neben der Vertraulichkeit weiteres geregelt werden, kann ein Letter of Intent (LOI)6 vereinbart werden, der den rechtlichen Rahmen für den Gang der Ausschreibung, insbesondere der weiteren Verhandlungen definiert. Ein Letter of Intent wird in der Regel dann abgeschlossen, wenn nach Eingang und Sichtung der Angebote das weitere Verfahren nur mit einer geringeren Anzahl von Bietern fortgeführt werden soll. Regelungsgegenstände können neben der Vertraulichkeit vor allem die (fehlende) Exklusivität der Verhandlungen, ein Zeitplan, Regelungen zur Haftung (bei Scheitern der Verhandlungen), zu den Kosten der Parteien sowie Eck1 Scheja/Schmidt, CR 2005, 321 (323) zu vorvertraglichen Pflichten bei der privaten Ausschreibung von Outsourcingvorhaben. 2 §§ 97 ff. GWB, siehe auch Willenbruch/Wieddekind: in Leupold/Glossner, Münchener Anwaltshandbuch IT-Recht, Teil 9 Rz. 29. 3 Scheja/Schmidt, CR 2005, 321 ff.; insb. zum Umfang der Ersatzpflicht S. 329 f. 4 Ähnliches schlägt Bräutigam vor, vgl. Bräutigam, IT-Outsourcing, Teil 12, Rz. 54. 5 S. dazu Söbbing, Handbuch IT-Outsourcing, Rz. 336. 6 Söbbing, Handbuch IT-Outsourcing, Rz. 404 ff.
164
Intveen/Hilber/Rabus
II. Typischer Prozess bis zum Vertragsabschluss
Rz. 127
Teil 2
punkte eines möglichen Vertrages sein1. Sollen die wesentlichen Eckpunkte eines Vertrages im Letter of Intent vereinbart werden, sollte ausdrücklich klargestellt werden, dass damit kein Anspruch auf Abschluss des Hauptvertrages begründet wird. Werden nämlich im Letter of Intent die essentialia negotii vereinbart, kann darin ein Vertragsschluss liegen; in Ermangelung von Details zur Leistungserbringung ist nach mittlerer Art und Güte zu leisen, § 243 Abs. 1 BGB. d) Due Diligence Bei Cloud Computing-Vorhaben, die einen outsourcingähnlichen Aus- 126 gangspunkt haben, kommt es auch vor, dass der Anbieter die beim Auftraggeber vorhandenen Ressourcen übernimmt, um diese sukzessive in seine (Cloud-)Strukturen zu überführen. Jede Übernahme von Assets oder gar einer gesellschaftsrechtlich selbständigen (IT-)Service-Einheit im Konzern bedarf seitens des Cloud Computing-Anbieters natürlich einer genaueren Prüfung (sog. Due Diligence). Dabei untersucht der Anbieter technische, operative, kommerzielle, personelle und rechtliche Risiken2. Diese Konstellation wird jedoch bei Cloud Computing-Szenarien selten vorkommen, da die Strukturen des Cloud-Anbieters bereits in einem Maße optimiert sind, dass eine Einbindung von übernommenen AltRessourcen des Auftraggebers wenig Sinn ergibt. Durch die Industrialisierung der IT in der Cloud unterscheiden sich die Ressourcen des Anbieters auch häufig strukturell so erheblich von denen des Auftraggebers, dass eine Integration schlicht ausscheidet. Umgekehrt muss sich der Auftraggeber davon überzeugen, dass der 127 Cloud-Anbieter in der Lage ist, die in seinem Angebot gemachten Zusagen einzuhalten, und die Leistungen wie erforderlich in bestehende Systeme integrieren zu können. Dies mag insbesondere eine technische Due Diligence erfordern3. Datenschutzrechtlich ist eine Vorabprüfung des Anbieters, vor allem hinsichtlich der technischen und organisatorischen Maßnahmen, ohnehin gemäß § 11 Abs. 2 Satz 4 BDSG erforderlich (näher hierzu, Teil 4 Rz. 104)4. Auch eine Prüfung der finanziellen Leistungsfähigkeit mag vonnöten sein. Die International Working Group on Data Protection in Telecommunications (Berlin Group) empfiehlt in ihrer Stellungnahme5 zur Nutzung von Cloud-Dienstleistungen, Cloud-Lösungen grundsätzlich zunächst zu testen. 1 Hauschka/Klöpper, Corporate Compliance, § 28 Rz. 11 ff.; Staudinger/Bork, § 145 BGB Rz. 14. 2 Vgl. Liste bei Söbbing, Handbuch IT-Outsourcing, Rz. 36 ff. 3 Vgl. Bräutigam, IT-Outsourcing, Teil 12, Rz. 7. 4 Nach Schuster/Reichl, CR 2010, 38 (41) weicht Cloud Computing vor allem im Bereich des Datenschutzes von IT-Outsourcing ab. 5 Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ – 51st meeting, 23–24 April 2012, abrufbar unter http://daten schutz-berlin.de/content/nachrichten/datenschutznachrichten/27-april-2012 (zuletzt aufgerufen am 2.10.2013). Intveen/Hilber/Rabus
165
Teil 2
Rz. 128
Vertragsgestaltung
e) Vertragsverhandlung und -abschluss 128
Je nachdem, wie konkret und mit welchem Reifegrad die vertraglichen Cloud-Leistungen und sonstigen Bestimmungen bereits in der RFP-Phase definiert wurden, gestalten sich die Vertragsverhandlungen mehr oder weniger schwierig. Selbst bei gut vorbereiteten Ausschreibungen zeigt die Praxis allerdings, dass die Diskussion und Verhandlung mit dem Anbieter in der Regel zu Änderungen der Leistungen führen. Um den Wettbewerbsdruck auf den Anbieter auch während der Verhandlungen aufrecht zu erhalten, mag der Auftraggeber sich dazu entscheiden, parallele Verhandlungen mit mehreren Bietern zu führen1. Bei einem Multi-Sourcing-Ansatz sind ohnehin Verhandlungen mit mehreren Bietern gleichzeitig durchzuführen. Bei allen Vorteilen paralleler Verhandlungen liegt es allerdings auf der Hand, dass hierdurch der Transaktionsaufwand erheblich steigt2.
129
Bei den Verhandlungen ist jedoch auch zu berücksichtigen, dass Cloud Computing-Verträge in der Regel eine Laufzeit von zwei bis fünf Jahren haben und damit darauf angelegt sind, eine langfristige Beziehung zu begründen. Selbst wenn Verträge kündbar sind, kann ein Wechsel des Anbieters erheblichen Aufwand nach sich ziehen. In vielen Fällen besteht deshalb rein faktisch eine schwer zu lösende Bindung an den Anbieter. Derartige mittel- oder langfristige Beziehungen funktionieren aber nur, wenn der Cloud-Anbieter mit dem Vertrag einen angemessenen Gewinn erwirtschaftet oder zumindest keine Verluste erzeugt. Das gleiche gilt gewissermaßen auch vice versa insofern, als der Auftraggeber nur bei Erzielung nachhaltiger Vorteile die Cloud-Leistungen auch dauerhaft nutzen wird. Aus diesen Gründen besteht durchaus ein beiderseitiges Interesse der Parteien, ein ausgewogenes Vertragsverhältnis zu vereinbaren. f) Liste Vertragsmanagement (z.B. Fristen für Kündigungen, Anzeigepflichten)
130
Bewährt hat es sich, unmittelbar nach Abschluss der Vertragsverhandlungen eine Art Gebrauchsanweisung zur Durchführung des Vertrages zu formulieren. Zum einen sind zu diesem Zeitpunkt die relevanten Aspekte, wie z.B. Fristen für Kündigungen, Anzeigepflichten und Formanforderungen für Erklärungen präsent. Zum anderen wird der Vertrag häufig nicht von den Mitarbeitern des Auftraggebers und Cloud-Anbieters gelebt und umgesetzt, die ihn verhandelt haben, und die daher möglicherweise nicht über den gleichen Überblick und Detailkenntnisse verfügen. In eine derartige Zusammenstellung können auch Erläuterungen Eingang finden zu Vertragsbestimmungen, denen ein gewisses – nicht of1 So empfehlen auch Scheja/Schmidt, CR 2005, 321 (323) kompetitive Verhandlungen. 2 Vgl. hierzu Bräutigam, IT-Outsourcing, Teil 12, Rz. 52.
166
Intveen/Hilber/Rabus
III. Grundstzliches
Rz. 133
Teil 2
fen formuliertes – Verständnis als Annahme zu Grunde liegt. Oftmals werden vertragliche Regelungen erst akzeptiert, wenn sie von der anderen Seite beschwichtigend erläutert wurden. Auch diese Aussagen mögen für konkrete Streitpunkte im Vertragsalltag von Bedeutung sein. Insbesondere im Bereich der sog. Governance, also der strukturierten 131 Kommunikation und Eskalation der Parteien, sind interne Anweisungen der Juristen sinnvoll, die den Projektbeteiligten Leitlinien für das Verhalten in Gremien, für das Abfassen von Protokollen oder auch für die Bedeutung einer Zurückweisung von unterstellten Einigungen (vor dem Hintergrund des kaufmännischen Bestätigungsschreibens)1 an die Hand geben.
III. Grundsätzliches 1. Vertragsaufbau Die Frage des Vertragsaufbaus stellt sich vor allem bei internationalen 132 Cloud-Vorhaben, bei denen angesichts verschiedener Leistungsempfänger im Konzern zwingende Vorschriften verschiedener Jurisdiktionen zu berücksichtigen sind, wenn Cloud-Transaktionen mit Veräußerung von (nicht mehr benötigten) Vermögensgegenständen (Assets) an den Dienstleister einhergehen, und wenn verschiedenartige Leistungen beauftragt werden sollen, wie z.B. in einer dem eigentlichen Leistungsbezug vorgeschalteten Migrationsphase. Es liegt auf der Hand, dass in diesen Fällen besondere Regelungen für die betroffenen Jurisdiktionen vereinbart, ein gesonderter Asset-Kaufvertrag geschlossen und unterschiedlichen rechtlichen Regelungen unterstehende Leistungsbeziehungen begründet werden müssen. Nachzudenken ist ferner über die Frage, welche vertraglich zu regelnden Querbeziehungen zwischen (diesen) verschiedenen Vertragsbestandteilen bestehen. Schlägt zum Beispiel die Migrationsphase fehl, entfällt damit möglicherweise auch die Grundlage für den Leistungsbezug an sich. Selbst wenn Leistungen in diesem Fall noch erbracht werden können, wie etwa Schulungsleistungen, macht ihre Erbringung keinen Sinn mehr. Vor allem wenn nicht alle Leistungen aus einer Hand bezogen werden, ist aus Kundensicht Vorsicht geboten, da die jeweils gesondert abgeschlossenen Verträge grundsätzlich unabhängig von einander sind. Werden alle Leistungen im Paket von einem Cloud-Anbieter bezogen, der sich seinerseits wiederum Subunternehmern bedient, hängt es in erster Linie vom Parteiwillen ab, ob die einzelnen Bestandteile miteinander stehen und fallen sollen2. Die Bandbreite möglicher Cloud-Vorhaben ist groß und sie umfasst un- 133 terschiedlichste Konstellationen, vom einfachen Dienstleistungsvertrag 1 Zu Eskalationsmanagement und Governance vgl. Söbbing, Handbuch IT-Outsourcing, Rz. 582. 2 Vgl. zum Ganzen Marly, Praxishandbuch Softwarerecht, Rz. 828 ff. m.w.N. Intveen/Hilber/Rabus
167
Teil 2
Rz. 134
Vertragsgestaltung
bis hin zu komplexen internationalen Auslagerungen in die Cloud. Denkbar sind ferner Rechtsbeziehungen im Verbraucherverkehr (vgl. Rz. 9 ff.) und im rein unternehmerischen Verkehr, wobei auch im unternehmerischen Verkehr am Ende der Leistungskette ein Verbraucher als Endkunde stehen kann, was Auswirkungen auf die Vertragsgestaltung hat. 134
Sofern mehrere Leistungskategorien beauftragt werden sollen, bietet sich ein Rahmenvertrag mit Leistungsscheinen an. Allerdings ist dabei dem Umgang mit unterschiedlichen Leistungskategorien (Einmalleistungen/ Dauerschuldverhältnis, Leistungen verschiedener Vertragstypen des BGB, begleitende Leistungen, optionale Leistungen) besondere Aufmerksamkeit zu widmen. So mag für eine Leistung bei der Vertragsgestaltung davon auszugehen sein, dass verschuldensunabhängige Mängelrechte bestehen, bei einer anderen aber nicht. Daher ist in Rahmenverträgen sauber zu differenzieren zwischen allgemeinen Regelungen, die für alle Leistungskomponenten gelten, und solchen, die nur für eine Komponente Sinn ergeben sowie anderen, die für eine Gruppe von Komponenten zusammengefasst werden können.
135
Bei internationalen Konstellationen, im Rahmen derer Leistungsempfänger in verschiedenen Ländern ansässig sind, ist ein Master Agreement mit Öffnungsklausel für nationale Sonderregelungen zu empfehlen, die zwingendem nationalen Recht (etwa im Arbeits-, Datenschutz-, Sachen-, Urheber- oder Steuerrecht) Rechnung tragen können. Bei Auslagerungen im Konzern bestehen weitere Sonderprobleme, wie etwa der Umgang mit lokalen Betriebsräten, die Einbeziehung der – gesetzlich verantwortlichen und auch haftenden – lokalen Geschäftsführungen in die Governance- und Change Request-Strukturen sowie die steuerrechtliche Gestaltung der Leistungsbeziehung.
136
Schließlich hat der Cloud-Vertrag auch die – häufig tief gestaffelten – Wertschöpfungsketten zu berücksichtigen. Verträge mögen etwa zu schließen sein mit dem Softwarehersteller, Rechenzentrumsbetreiber, Escrow Anbieter und/oder unterstützenden Dienstleistern (z.B. im Vertrieb). Jede Partei, die durch solche Verträge Pflichten und Rechte erwirbt, ist im Eigeninteresse gehalten sicherzustellen, dass sie keine weitergehenden Rechte einräumt oder Pflichten übernimmt, ohne zu prüfen, ob sie für ein etwa bestehendes Delta selbst einstehen möchte. Selbst wenn Rechte und Pflichten inhaltlich gleichgeschaltet sind, können sich Schwierigkeiten bei der Durchsetzung ergeben1. Eine Klausel, die den Cloud-Anbieter verpflichtet, dem Cloud-Kunden seine Subunternehmer mitzuteilen, deren Qualifikation nachzuweisen oder gar die Ein1 Dies ist insbesondere dann der Fall, wenn ein unterschiedliches Recht für die Vertragsbeziehungen zum Kunden und zum verantwortlichen Subunternehmer gilt oder das Risiko droht, dass zwei Prozesse jeweils einzeln zu führen sind und dabei unterschiedliche Urteile entstehen können. Dazu sogleich unter Rz. 169 ff.
168
Intveen/Hilber/Rabus
III. Grundstzliches
Rz. 140
Teil 2
willigung des Kunden für den Einsatz des Subunternehmens einzuholen, läuft hingegen Gefahr, gemäß § 307 Abs. 1 Satz 1 BGB unwirksam zu sein. Jedenfalls im Kontext allgemeiner Einkaufsbedingungen hat der BGH eine derartige Klausel für unwirksam befunden1. Allerdings sprechen gute Gründe dafür, dass der Cloud-Kunde ein berechtigtes Interesse an einer solchen Regelung hat, da der Anbieter die Daten nach Weisung des Kunden in der Cloud verarbeiten soll. Nach § 11 Abs. 2 Satz 2 Nr. 6 BDSG ist im Cloud-Vertrag ausdrücklich „die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen“ zu regeln. 2. Vertragstypologische Einordnung a) Einführung Cloud-Leistungen können in Form der zeitweisen Online-Nutzung von 137 Software (SaaS), der Zugänglichmachung einer IT-Plattform, z.B. zur Entwicklung von Software (PaaS), der Zurverfügungstellung von Rechnerund/oder Speicherkapazität (IaaS), der Nutzung von Datenbanken oder Inhalten oder auch der Abwicklung von Geschäftsprozessen in der Cloud, z.B. Newsletterversand und Follow-up (Business Process aaS) auftreten. Schon diese nicht abschließende Beschreibung zeigt, dass nicht alles, was als Cloud-Leistung angeboten wird, einheitlich zu beurteilen sein muss. Wie bei jedem Vertragsverhältnis ist die Einordnung einzelner Leis- 138 tungen oder eines vollständigen Vertrages über Cloud-Leistungen in die Vertragssystematik des BGB für die Ausfüllung evtl. vorhandener Regelungslücken im Vertrag, für die Bestimmung des anzuwendenden Haftungsrechts und ganz allgemein für die Frage des relevanten gesetzlichen Leitbilds für die AGB-rechtliche Klauselkontrolle wichtig2. Die Vielfalt der verschiedenen Cloud-Leistungen kann in einem einzel- 139 nen Angebot zum Ausdruck kommen, in dem mehrere Leistungsbestandteile enthalten sind, die für sich genommen unterschiedlich bewertet werden müssten, aber in einem einheitlichen, typengemischten Vertrag zusammengefasst sind3. Zunächst ist jede einzelne Leistung gesondert nach ihrem Vertragstyp 140 einzuordnen und gemäß den anwendbaren Regelungen zu behandeln. Wenn in einem einheitlichen Vertrag verschiedene Vertragstypen des BGB enthalten sind und verschiedene gesetzliche Regelungen miteinander kollidieren, dann soll auf die Regelungen abgestellt werden, die dem 1 Eine derartige Klausel ist weder aufgrund etwaiger Qualitätsrisiken noch aufgrund von bestehenden Risiken wegen Insolvenz von Vorlieferanten oder wegen insoweit fehlender Kontrollmöglichkeit der Zuverlässigkeit der Subunternehmer gerechtfertigt, vgl. BGH, NJW 2006, 47 (51). 2 Nägele/Jacobs, ZUM 2010, 281 (284); Redeker/Gennen/Laue, Handbuch der ITVerträge, Kap. 1.17 Rz. 43; Wicker, MMR 2012, 783 (784). 3 Nägele/Jacobs, ZUM 2010, 281 (284). Intveen/Hilber/Rabus
169
Teil 2
Rz. 141
Vertragsgestaltung
Vertragstyp entsprechen, der den rechtlichen oder wirtschaftlichen Schwerpunkt des Vertrages bildet1. b) Einordnung 141
Cloud Computing als Bereitstellungsmodell für skalierbare IT-Leistungen über Netzwerke als im Kern standardisierte Dienstleistung (siehe dazu Teil 1 A Rz. 1 ff.) ist im rechtlichen Sinne ein Begriff ohne feststehende Definition, auch wenn bestimmte Parameter die Leistungen charakterisieren (Selbstverwaltung der Services, Multimandantennutzung der technischen Ressourcen, unmittelbare Elastizität, also automatische Bereitstellung von technischen Ressourcen aus dem Ressourcenpool bei Spitzenanforderungen oder Erweiterung der Zahl der Benutzer sowie Messung der tatsächlichen Nutzung pro Mandant und leistungsgerechte Abrechnung).
142
Im Kern geht es aus Sicht des Endkunden darum, dass diesem bestimmte Leistungen in der Regel über das Internet zur Verfügung gestellt werden und dafür typischerweise eine zumindest in Teilen nutzungsabhängige Vergütung gezahlt werden muss2. Im Mittelpunkt steht oft die Verschaffung der Möglichkeit der Nutzung einer IT-Ressource, z.B. einer Anwendungssoftware auf Zeit3.
143
Bei der Bereitstellung von Cloud-Services wird im Rahmen der nachstehenden Darstellung abgestellt auf die Art der Cloud-Services, d.h. den Leistungsgegenstand. Die verschiedenen Betriebsmodelle, d.h. eine Unterscheidung nach dem Kreis der Leistungsempfänger, spielen für die Einordnung der Leistungen keine Rolle (vgl. dazu Teil 1 A Rz. 9 ff.). In der Regel werden folgende Cloud-Services unterschieden: aa) SaaS – Software as a Service
144
Bei SaaS wird dem Kunden eine Anwendungssoftware zur zeitweisen Nutzung online zur Verfügung gestellt. Dem Angebotsspektrum sind dabei keine Grenzen gesetzt. Als Beispiele werden Kontaktdatenmanagement, Finanzbuchhaltung, Textverarbeitung oder Kollaborationsanwendungen genannt (vgl. Teil 1 A Rz. 10).
145
Die Software kann der Kunde über das Internet online über seinen Webbrowser oder einen anderen Client nutzen. Die Software ist dabei in der vom Anbieter betriebenen technischen Infrastruktur installiert und läuft dort auch ab – im Grunde also wie bei einem Client-Server Modell4. 1 Redeker/Gennen/Laue, Handbuch der IT-Verträge, Kap. 1.17 Rz. 49 m.w.N. 2 V. d. Bussche/Schelinski in Leupold/Glossner, Münchener Anwaltshandbuch ITRecht, Teil 1 Rz. 20; Redeker/Gennen/Laue, Handbuch der IT-Verträge, Kap. 1.17 Rz. 44. 3 Marly, Praxishandbuch Softwarerecht, Rz. 1088. 4 Redeker/Gennen/Laue, Handbuch der IT-Verträge, Kap. 1.17 Rz. 6; Schuster/ Reichl, CR 2010, 38 (40).
170
Intveen/Hilber/Rabus
III. Grundstzliches
Rz. 149
Teil 2
bb) PaaS – Platform as a Service PaaS ist als Bereitstellung einer kompletten Infrastruktur und Angebot 146 standardisierter Schnittstellen zu verstehen, die von Diensten des Kunden genutzt werden. Der Kunde hat dabei keinen Zugriff auf die darunterliegenden, d.h. zum Betrieb der Plattform vom Anbieter eingesetzten Betriebssysteme und Hardware. Er kann (vgl. Teil 1 A Rz. 11) aber auf der Plattform eigene Anwendungen laufen lassen, für deren Entwicklung der PaaS-Anbieter in der Regel spezielle Softwarekomponenten anbietet. Somit kann im Baukastenprinzip auf der Grundlage stabiler und erprobter Funktionen eine Anpassung der zur Verfügung gestellten Plattform an spezielle Anforderungen (z.B. für verschiedene Branchen) entwickelt werden, die dann als Variante eines Basissystems verwendet werden kann. cc) IaaS – Infrastructure as a Service Bei IaaS werden IT-Ressourcen wie z.B. Rechenleistung, Datenspeicher 147 oder Netze als Service angeboten. Ein Cloud-Service-Abnehmer baut mithilfe standardisierter Services eigene Services zum internen oder externen Gebrauch auf. So kann ein Cloud-Service-Abnehmer z.B. Rechenleistung, Arbeitsspeicher und Datenspeicher anmieten und darauf ein Betriebssystem mit Anwendungen seiner Wahl laufen lassen. Unter IaaS wird nicht nur ein Gesamtangebot von Leistungen, sondern auch das Angebot nur einzelner Leistungen verstanden1. dd) BPaaS – Business Process as a Service Schließlich werden zunehmend auch Geschäftsprozesse in die Cloud 148 verlagert. Dabei setzt der Anbieter Software ein, um die vom Kunden vorgegebenen Prozesse durchzuführen bzw. den dadurch beabsichtigten Erfolg herbeizuführen. Zu denken ist etwa an die Versendung von E-Mail-Newsletter mittels einer Cloud-Lösung oder auch die Vermittlung von Online-Werbemöglichkeiten zwischen Werbekunden und Webseitenbetreibern. Dem Kunden wird dabei nicht eine Software aus der Cloud zur Nutzung zur Verfügung gestellt, sondern vom Anbieter selbst eingesetzt, um eine vom Kunden definierte Leistung zu erbringen. c) Gesamtbetrachtung der Cloud-Services Es gibt – soweit ersichtlich – noch keine gerichtliche Entscheidung zur 149 Frage der vertragstypologischen Einordnung eines Cloud-Service-Vertrages. Befasst hat sich der BGH allerdings schon im Jahre 2006 mit der Frage der Rechtsnatur eines ASP-Vertrages2. In dieser Entscheidung hat der BGH selbst Application Service Providing (ASP) als Bereitstellung von Softwareanwendungen und damit verbundener Dienstleistungen defi1 Wicker, MMR 2012, 783. 2 BGH v. 15.11.2006 – XII ZR 120/04, CR 2007, 75. Intveen/Hilber/Rabus
171
Teil 2
Rz. 150
Vertragsgestaltung
niert, auf den insgesamt Mietvertragsrecht anzuwenden sei, wenn die Onlinenutzung von Software als typische Leistung im Mittelpunkt stehe. 150
In diesem Zusammenhang stellt sich also die Frage, ob diese Entscheidung auch auf Cloud-Services angewendet werden kann. Denn auch bei diesen geht es aus Sicht des Endkunden darum, bestimmte Leistungen über das Internet zu beziehen, eine nutzungsabhängige Vergütung zu zahlen und dabei vor allem Software auf Zeit zu nutzen, ohne dass diese auf dem Rechner des Kunden gespeichert wird oder werden soll1. Der wesentliche Unterschied zwischen ASP-Leistungen und Cloud-Leistungen besteht darin, dass in der Cloud eine feste Zuordnung physikalischer Infrastrukturen zu einem Kunden nicht stattfindet2. Aus technologischer Sicht ist die sog. Hypervisoren-Technik zentrale Voraussetzung für Cloud-Leistungen. Mit ihrer Hilfe werden virtuelle Servereinheiten gebildet, denen je nach Kundenbedarf die erforderliche Leistung zugewiesen wird (näher dazu Teil 1 C Rz. 40). Reicht die Rechenleistung eines Rechenzentrums nicht aus, können Ressourcen eines anderen dazu geschaltet werden. Ist der Betrieb in einem anderen Rechenzentrum günstiger, kann der virtuelle Server dorthin verlagert werden. Was die Softwareressourcen angeht, basieren Cloud-Leistungen auf mandantenfähiger Software, die – vereinfacht ausgedrückt – für alle Kunden nur einmal abläuft und die Kundendaten logisch separiert. Dazu näher Teil 1 C Rz. 43 ff.
151
In seiner ASP-Entscheidung führt der BGH wie folgt aus3: Der Anbieter stelle auf seinem Server Software bereit und gestatte dem Kunden, diese Software für eine begrenzte Zeit über das Internet oder andere elektronische Netze zu nutzen. Die Software verbleibe während der gesamten Nutzungsdauer auf dem Rechner des Anbieters. Dem Kunden würden die jeweils benötigten Funktionen der Anwendungen lediglich über Datenleitungen auf seinem Bildschirm zur Verfügung gestellt. Als zusätzliche Leistung übernehme der Anbieter in der Regel die Softwarepflege, Updates und Datensicherung und stelle für die Nutzung Speicherplatz zur Verfügung. Als typische Leistung stehe beim ASP-Vertrag danach die Gewährung der Onlinenutzung von Software für eine begrenzte Zeit im Mittelpunkt der vertraglichen Pflichten. Es liege deshalb nahe, einen Mietvertrag, der die entgeltliche Gebrauchsüberlassung einer beweglichen oder unbeweglichen Sache zum Gegenstand habe, anzunehmen4.
152
Diese vom BGH aufgestellten Grundsätze treffen ohne weiteres auch auf Cloud-Leistungen zu: der Cloud-Kunde greift über Datenleitungen im Fall des SaaS und PaaS auf die auf den Systemen des Anbieters installierte Software bzw. im Fall des IaaS auf dort vorhandene Ressourcen zu, um sie über seinen Client-Rechner für eine bestimmte begrenzte Zeit zu nutzen. 1 2 3 4
Marly, Praxishandbuch Softwarerecht, Teil 4, Rz. 1088. Redeker/Gennen/Laue, Handbuch der IT-Verträge, Kap. 1.17 Rz. 7. BGH v. 15.11.2006 – XII ZR 120/04, CR 2007, 75. BGH v. 15.11.2006 – XII ZR 120/04, CR 2007, 75.
172
Intveen/Hilber/Rabus
III. Grundstzliches
Rz. 155
Teil 2
Anders als beim ASP erfolgt bei Cloud-Services keine strenge Zuordnung 153 physikalischer Strukturen zum einzelnen Kunden. Der Kunde mag diesen technischen Hintergrund bei der Nutzung zwar nicht bemerken. Er hat jedoch Auswirkungen auf die Vergütung und auf die dem Kunden zur Verfügung stehenden Kapazitäten. Denn nutzt der Kunde beim ASP eine dezidiert nur für ihn betriebene – von ihm gemietete – Infrastruktur, hat er für diese auch zu bezahlen, unabhängig davon, ob er sie stets benötigt. Er kann sich aber sicher sein, dass ihm die Ressource bei Bedarf auch zur Verfügung steht. Bei einer Cloud-Leistung ist dies anders. Nach dem idealtypischen Cloud-Ansatz zahlt der Kunde nur für die in Anspruch genommenen Ressourcen, hat dafür aber auch in der Regel keine Gewähr, dass bei Spitzenauslastungen die benötigten Ressourcen auch für ihn zur Verfügung stehen. Demgegenüber ergeben sich im Bereich Datenschutz und Datensicherheit keine wesentlichen Änderungen von vertragstypologischer Bedeutung gegenüber ASP-Lösungen, da die Datentrennung und -sicherheit ebenso auf virtuellen Servereinheiten gewährleistet werden können. Dennoch wird man davon ausgehen müssen, dass der BGH auch IaaS-, PaaS- und SaaS-Leistungen als Miete von Ressourcen einstufen wird. Denn unabhängig von der Virtualisierung zahlt der Kunde für die Nutzung einer Ressource, d.h. für die Gebrauchsmöglichkeit einer Sache. Die für Cloud-Leistungen idealtypische Flexibilität steht der Annahme eines Mietvertrages nicht entgegen, da die Möglichkeit, den Umfang kontrahierter Leistungen zu reduzieren oder zu erhöhen, gleichermaßen bei Miet-, Dienst- und sonstigen Verträgen besteht und damit keine Auswirkungen auf den Vertragstyp hat. Die Anwendung des Mietrechts auf ASP-Verträge scheitert auch nach 154 Auffassung des BGH jedenfalls nicht daran, dass es sich bei der verwendeten Software nicht um eine Sache i.S.d. § 90 BGB handele, weil eine auf einem Datenträger verkörperte Standardsoftware als bewegliche Sache anzusehen sei, auf die je nach der vereinbarten Überlassungsform Miet- oder Kaufrecht anwendbar sei. Die beim ASP-Vertrag geschuldeten Softwareprogramme seien auch auf einem Datenträger verkörpert1. Auch insoweit besteht kein Unterschied zu Cloud-Services, mag man 155 auch die Argumentation des BGH für wenig überzeugend halten, dass die Verkörperung der Software auf irgendeinem Datenträger eine Verkörperung der benutzten Software darstelle. Denn der Vermieter muss ja gerade den Gebrauch der Mietsache i.S.d. § 90 BGB gewähren, also der Verkörperung auf einem Datenträger, die beim ASP (und genauso in der Cloud) aber gerade nicht zum Gebrauch überlassen wird. Auch die Vorstellung, die Daten schwebten „irgendwo in der Wolke“ ändert nichts daran, dass tatsächlich die vom Kunden im Fall PaaS und SaaS genutzte Software irgendwo auf einem Datenträger verkörpert sein 1 BGH v. 15.11.2006 – XII ZR 120/04, CR 2007, 75 (76). Intveen/Hilber/Rabus
173
Teil 2
Rz. 156
Vertragsgestaltung
muss. Wenn dies beim ASP nach Auffassung des BGH ausreicht, um eine Verkörperung anzunehmen, ist kein Grund ersichtlich, die Entkopplung, bzw. die Virtualisierung der Software vom Datenträger als einen wesentlichen Unterschied zu sehen, die vertragstypologische Einordnung anders zu beurteilen. 156
Weil der Mietvertrag, wie der BGH zu Recht feststellt, keine Besitzverschaffung, sondern lediglich eine Gebrauchsüberlassung voraussetze, die ja gerade wesentlich für ASP und Cloud-Services ist, steht auch hier die Virtualisierung der Software einer Einordnung als Mietvertrag nicht entgegen. Gerade bei SaaS und PaaS bestehen kaum Unterschiede zum ASP: Es wird jeweils Software genutzt, deren Gebrauch der Anbieter ermöglicht. Beim IaaS dagegen stellt sich in der Tat die Frage, ob hier eine Sache zum Gebrauch überlassen, also vermietet wird. Als Bezugspunkt kommt Software nicht in Betracht, obwohl natürlich auch hier gewisse Systemsoftware eingesetzt wird, sondern nur Hardware, deren Rechenoder Speicherleistung der Kunde nutzt. Wie bei SaaS, wobei es letztlich um die auf einem Datenträger verkörperte Software geht, also letztlich um Hardware, werden auch beim IaaS Hardwareressourcen eingesetzt und zum Gebrauch überlassen. Dass zur Steigerung der Flexibilität hier virtuelle Einheiten gebildet und genutzt werden, steht der Annahme mietvertraglicher Leistungen beim IaaS nicht entgegen. Dass der BGH auch die Zurverfügungstellung von Speicherkapazitäten auf dem Server des Anbieters zur Speicherung der vom Kunden im Rahmen der Softwarenutzung eingegebenen Daten mietvertraglich qualifiziert1, ist insoweit nur konsequent.
157
Betrachtet man also zusammengefasst die vom BGH zum ASP aufgestellten Grundsätze, so ist kein Grund ersichtlich, weshalb man bei IaaS, PaaS und SaaS nicht davon auszugehen hätte, dass der BGH die für ASPVerträge entwickelten Grundsätze auch auf derartige Leistungen anwenden würde. Werden in einem Vertrag über solche Leistungen weitere Leistungen geregelt, so liegt ein zusammengesetzter atypischer Vertrag vor. Jede Leistung ist dabei grundsätzlich nach ihrem Vertragstyp gesondert zu behandeln. Bei Widersprüchlichkeiten, z.B. bei der Frage, welches Recht für Kündigung oder Rücktritt in Bezug auf den Gesamtvertrag gilt, ist – wie oben ausgeführt – auf den Schwerpunkt der Leistungen abzustellen. Die Sicherstellung von Datensicherheit, Datenschutz und Mandantenfähigkeit kann der Anbieter ebenso umsetzen, wie er dies bei der festen Zuordnung physikalischer Infrastrukturen wie beim ASP-Vertrag konnte. Wenn er das faktisch nicht tut, so rechtfertigt das nicht eine andere vertragstypologische Einordnung des Vertrages.
1 BGH v. 15.11.2006 – XII ZR 120/04, CR 2007, 75 (76).
174
Intveen/Hilber/Rabus
III. Grundstzliches
Rz. 162
Teil 2
Aus diesem Grunde kann man davon ausgehen, dass ein Vertrag über 158 IaaS-, PaaS- und SaaS-Leistungen von der Rechtsprechung als Mietvertrag eingeordnet würde1. Soweit demgegenüber die Auffassung vertreten wird, auf Cloud Compu- 159 ting-Verträge sei Dienstvertragsrecht anzuwenden, wenn es nicht um Speicherplatznutzung gehe, wird dies damit begründet, dass der Anbieter eine intensive Steuerung der gesamten Verarbeitung vornehme, weil er Dienste eines bestimmten Programms in einem Telekommunikationssystem schulde2. Soweit damit die Bereitstellung des Programms auf Zeit im Rahmen von SaaS gemeint ist, ist dies aber aus den oben genannten Gründen mit einer Gebrauchsüberlassung gleichzusetzen, wie sie für einen Mietvertrag typisch ist. Im Übrigen bezieht sich diese Auffassung, zumindest von Redeker3, bereits auf die ASP-Entscheidung des BGH. Dass der BGH davon bei Cloud-Leistungen abweichen würde, ist wie soeben ausgeführt nicht wahrscheinlich. Geht es aber nicht darum, eine Software oder IT-Ressourcen zur Verfügung zu stellen, sondern darum, diese für die Durchführung von Geschäftsprozessen einzusetzen (Business Process as a Service), bedarf es einer Analyse der Leistungen im Einzelfall, um den Vertragstyp zu bestimmen. In diesen Fällen ist jedenfalls nicht die Softwarenutzung durch den Kunden Leistungsgegenstand; vielmehr setzt der Anbieter die Software selbst ein, um seinerseits die geschuldete Leistung erbringen zu können. Soweit ein Mietvertrag vorliegt folgt daraus für den Anbieter, dass er über 160 den gesamten Vertragszeitraum die vereinbarten Leistungen erbringen muss, ohne dass ihm wesentliche Möglichkeiten der Einschränkung seiner Leistungspflicht offen stünden. Dies ist eine im Wesentlichen unabdingbare Folge des § 535 Abs. 1 BGB. d) Einzelne Leistungsbestandteile von Cloud-Services Von den beschriebenen typischen Cloud-Services lassen sich einige Leis- 161 tungen unterscheiden, die sich zum Teil eindeutig bestimmten Vertragstypen des BGB zuordnen lassen. Wenn dies der Fall ist, gelten die so gefundenen Ergebnisse für trennbare Leistungen vorrangig. Denn auch insoweit hat der BGH zu ASP deutlich gemacht, dass der An- 162 wendung von Mietvertragsrecht auf die Softwareüberlassung nicht entgegen stehe, dass weitere Leistungen wie Programmpflege, Programmupdates, Datensicherung, Hotlineservice und Einweisung in die Software vereinbart worden seien, die anderen Vertragstypen (Dienst- oder Werkvertrag) zugeordnet werden können. Insoweit handele es sich bei dem 1 Wicker, MMR 2012, 783 (785); Redeker/Gennen/Laue, Handbuch der IT-Verträge, Kap. 1.17 Rz. 57; Schuster/Reichl, CR 2010, 38 (41). 2 Redeker, IT-Recht, Rz. 1131. 3 Soweit Nägele/Jacobs, ZUM 2010, 281 (284), diese Meinung vertreten, wird dies nicht begründet. Intveen/Hilber/Rabus
175
Teil 2
Rz. 163
Vertragsgestaltung
ASP-Vertrag um einen zusammengesetzten Vertrag, bei dem jeder Vertragsteil nach dem Recht des auf ihn zutreffenden Vertragstypus zu beurteilen sei, soweit dies nicht im Widerspruch zum Gesamtvertrag stehe1. 163
Wenn dagegen ein untrennbar verbundenes Leistungspaket vereinbart wurde, das sich aus unterschiedlichen Leistungen zusammensetzt, ist im Wege der Gesamtbetrachtung der Schwerpunkt des Vertrages herauszufiltern. aa) Werkvertrag
164
Sollte als alleinige Leistung eine einmalige oder mehrere Rechenleistungen geschuldet sein, so würde es aus Sicht des Kunden darauf ankommen, eine richtige Berechnung als Ergebnis eines Datenverarbeitungsprozesses zu erhalten. Danach müsste man im Einzelfall wohl davon ausgehen, dass ein konkreter Erfolg mit der Folge geschuldet wird, dass eine Vereinbarung mit wervertraglichem Charakter vorliegt und damit grundsätzlich Werkvertragsrecht nach §§ 631 ff. BGB zur Anwendung kommt. Dies ist ein Fall der oben beschriebenen Kategorie Business Process as a Service, bei dem der Anbieter nicht die Software vermietet, sondern diese selbst nutzt, um das geschuldete Ergebnis herbeizuführen. Dies setzt freilich voraus, dass der Kunde keinen (vollen) Zugriff auf die Software hat und damit den Erfolg selbst herbeiführt. Hat der Kunde vollen Zugriff auf die Software und bedient sich dieser um selbst den Erfolg herbeizuführen, läge ein klassischer SaaS-Fall und damit nach der Rechtsprechung des BGH wohl ein Mietvertrag vor.
165
Ebenfalls als Werkvertrag wäre es einzustufen, wenn es der Anbieter gemäß dem oben bereits erläuterten Beispiel übernimmt, E-Mail-Newsletter zu versenden oder sonstige Leistungen zu erbringen, die aus Sicht des Kunden einen messbaren Erfolg voraussetzen, weil die eingekauften Leistungen für den Kunden ansonsten ohne jeden Nutzen sind.
166
Etwas schwieriger dürfte die Bereitstellung von Inhalten durch den Anbieter zu beurteilen sein. Jedoch ist hierbei zu beachten, dass der Abruf von Inhalten, Software oder Musiktiteln nach der hier zugrunde gelegten Definition keine Cloud-Leistung darstellt, da kein Bezug von IT-Ressourcen vorliegt. Dies ist letztlich als Kauf einzuordnen. bb) Dienstvertrag
167
Reine Support- oder Beratungsleistungen ohne die Pflicht, ein bestimmtes Ergebnis herbeizuführen, würden demgegenüber als Dienstvertrag einzustufen sein, weil hier ebenso wenig wie bei Schulungen der Anbieter einen Erfolg schulden kann. Allerdings dürfte es eher selten vorkommen, dass Cloud-Leistungen isoliert, d.h. ohne eine übergeordnete Leis1 BGH v. 15.11.2006 – XII ZR 120/04, CR 2007, 75 (76).
176
Intveen/Hilber/Rabus
III. Grundstzliches
Rz. 171
Teil 2
tung wie die Softwarenutzung, angeboten und in Anspruch genommen werden. Denkbar ist z.B. die Zurverfügungsstellung von Finanznachrichten aus der Cloud als Dienstleistung. e) Ergebnis Insgesamt ist also ein Cloud Computing-Vertrag in den Bereichen IaaS, 168 PaaS und SaaS, bei dem die Nutzung von Software oder Rechen- und Speicherleistung im Vordergrund steht, in entsprechender Anwendung der Grundsätze des BGH zu ASP-Verträgen als Mietvertrag einzuordnen. 3. Gerichtsstand und anwendbares Recht Die Festlegung des Gerichtsstandes und des anwendbaren Rechts sind 169 wichtige Bestandteile von Cloud Computing-Verträgen. a) Gerichtsstand Bei grenzüberschreitenden Sachverhalten kommt der Frage nach dem zu- 170 ständigen Gericht eine höhere Bedeutung zu, als bei rein nationalen Fällen. Der Gerichtsstand ist für die Parteien eines Cloud-Vertrages von besonderem Interesse, da häufig (an verschiedenen Stellen) im Ausland belegene Ressourcen genutzt werden, wenn nicht sogar der Vertrag mit einem ausländischen Cloud-Anbieter geschlossen wird, dessen Angebot durch das Internet weltweit verfügbar ist. Plakativ – aber nicht ganz zu Unrecht – heißt es daher häufig, die Datenwolke mache vor Staatsgrenzen nicht halt. Um angesichts dieser Ausgangslage Ungewissheit über das für die Klageerhebung zuständige Gericht zu vermeiden, empfiehlt es sich, im Cloud-Vertrag eine ausdrückliche Gerichtsstandvereinbarung zu treffen. aa) Gerichtsstandvereinbarung Grundsätzlich ist nach § 38 Abs. 1 ZPO eine Gerichtsstandvereinbarung 171 im unternehmerischen Verkehr formfrei möglich. Die Vereinbarung braucht nicht ausdrücklich, sondern kann sogar stillschweigend vereinbart werden. Eine Gerichtsstandvereinbarung kann auch in AGB, also in vorformulierten und nicht im Einzelnen ausgehandelten Klauseln getroffen werden1. Nach § 40 Abs. 1 ZPO hat sich die Gerichtsstandvereinbarung auf „ein bestimmtes Rechtsverhältnis und die aus ihm entspringenden Rechtsstreitigkeiten“ zu beziehen. Diese Voraussetzung ist erfüllt, wenn die Zuständigkeit eines Gerichts für alle aus dem CloudVertrag folgenden Streitigkeiten (einschließlich seiner Wirksamkeit) vereinbart wird2. Außerhalb des unternehmerischen Verkehrs kann nur im 1 Sänger/Bendtsen, § 38 ZPO Rz. 14. 2 Gründe, welche zur Unzulässigkeit einer Gerichtsstandvereinbarung gemäß § 40 Abs. 2 ZPO führen, sind im Zusammenhang mit der Cloud nicht ersichtlich. Intveen/Hilber/Rabus
177
Teil 2
Rz. 172
Vertragsgestaltung
Rahmen des § 40 Abs. 3 ZPO die Zuständigkeit eines Gerichts vereinbart werden. Sofern ein Verbraucher Cloud-Leistungen bezieht, kann ein Gerichtsstand demnach nur schriftlich und nach Entstehen einer eventuellen Streitigkeit vereinbart werden. Dies führt dazu, dass Gerichtsstandvereinbarungen mit Verbrauchern praktisch nicht vorkommen. 172
Allerdings werden die §§ 38–40 ZPO durch Art. 23 EuGVVO1 verdrängt, wenn ein Fall mit Auslandsbezug vorliegt, eine der Parteien ihren Wohnsitz in einem EU-Mitgliedstaat hat und die Zuständigkeit eines mitgliedstaatlichen Gerichts vereinbart wird2. Zur Eröffnung des räumlich-persönlichen Anwendungsbereiches der EuGVVO ist es ausreichend, dass der Sachverhalt grenzüberschreitenden Bezug hat. Es genügt irgendeine Form des Auslandsbezuges3, z.B. der Erfüllungsort. Für Cloud-Verträge ist davon auszugehen, dass die erforderliche Auslandsbeziehung gegeben ist, wenn Serverstandorte oder die Niederlassung des Cloud-Anbieters im Ausland liegen, da dann eben kein reiner Inlandsfall mehr gegeben ist4. Davon zu unterscheiden ist die Frage, ob der Serverstandort in irgendeiner Weise zuständigkeitsbegründend ist (dazu siehe sogleich Rz. 180).
173
Art. 23 Abs. 1 EuGVVO erlaubt – ebenso wie § 38 ZPO – im unternehmerischen Verkehr eine Gerichtsstandvereinbarung für Streitigkeiten aus einem bestimmten Rechtsverhältnis, setzt jedoch grundsätzlich Schriftform voraus (soweit nicht nach den Gepflogenheiten der Parteien oder dem internationalen Handelsbrauch etwas anderes gilt – was in aller Regel nicht der Fall ist). Art. 23 Abs. 2 EuGVVO stellt dabei „elektronische Übermittlungen, die eine dauerhafte Aufzeichnung der Vereinbarung ermöglichen“, der Schriftform gleich. Diese Form ist gewahrt bei einem im Internet geschlossenen Vertrag, wenn die Bedingungen danach per Mail oder Fax zugesandt werden, da der Cloud-Kunde in diesen Fällen – ebenso wie bei Übersendung der schriftlichen Bestätigung – den vollständigen Vertragstext ohne sein Zutun erhält5. Auch im Anwendungsbereich der EuGVVO können Kaufleute Gerichtsstandvereinbarungen
1 VO (EG) Nr. 44/2001 des Rates v. 22.12.2000 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen; vgl. auch Lugano Übereinkommen als Parallelübereinkommen zur EuGVVO über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen für die Schweiz, Island und Norwegen. 2 Ausnahmen sind in Art. 22 und Art. 23 EuGVVO normiert (str., ob auch Art. 24 EuGVVO davon umfasst ist). 3 Oberster Gerichtshof Wien v. 1.8.2003 (Az: 1 Ob 240/02d); der Begriff des Auslandesbezuges wurde in der Verordnung bewusst nicht definiert, da sich die Auslandsbeziehung konkret aus dem Rechtsstreit ergeben soll. 4 Es genügt schon eine irgendwie geartete Verbindung zum Ausland. So auch der EuGH in seinem Urteil v. 1.3.2005 – C-281/02, Celex-Nr. 62002CJ0281 Nr. 25 (Owusu/Jackson): Entscheidend kommt es auf einen grenzüberschreitenden Bezug der Rechtssache an; die EuGVVO erfasst nur keine reinen Inlandsfälle. 5 AG Geldern v. 20.4.2011 – 4 C 33/11.
178
Intveen/Hilber/Rabus
III. Grundstzliches
Rz. 174
Teil 2
durch AGB treffen1, was kaum überrascht, da Prüfungsmaßstab hier wie da § 307 Abs. 1 BGB ist und das gesetzliche Leitbild des Art. 23 EuGVVO wenig von § 38 ZPO abweicht. Streitigkeiten im Rahmen von Cloud-Verträgen mit Verbrauchern sind zwingend bei dem nach Art. 15–17 EuGVVO zuständigen Gericht anhängig zu machen bzw. beizulegen. Dies ergibt sich aus dem Prorogationsverbot gemäß Art. 23 Abs. 5 i.V.m. Art. 17 EuGVVO. Ebenso wie nach § 40 Abs. 3 ZPO kann hiernach eine Gerichtsstandvereinbarung nur nach Entstehen der Streitigkeit getroffen werden. Haben Verbraucher und Cloud-Anbieter den gleichen gewöhnlichen Aufenthaltsort, kann auch dieser als Gerichtsstand gewählt werden. bb) Schiedsvereinbarung In Betracht kommt im unternehmerischen Verkehr ferner, die Zustän- 174 digkeit eines Schiedsgerichts im Cloud-Vertrag zu vereinbaren. Für Verbraucher gelten strengere Formvorschriften nach § 1031 Abs. 5 ZPO2. Die Vor- und Nachteile von Schieds- und Gerichtsverfahren sind bereits vielfach untersucht worden3. In der Cloud-Praxis ist festzustellen, dass Unternehmen eher zu den ordentlichen Gerichten tendieren. Allerdings haben Schiedsverfahren auch wichtige Vorteile, so kann z.B. die Zusammensetzung des Gerichtes von den Parteien bestimmt und dadurch u.a. die technische Expertise der Schiedsrichter sichergestellt werden4. Da Cloud Computing-Verträge von deutschen Unternehmen nicht selten auch mit ausländischen Anbietern abgeschlossen werden, kann ferner die grundsätzlich einfachere Vollstreckbarkeit von Schiedsurteilen im Ausland ein wichtiger Vorteil sein. Soll etwa ein Cloud Computing-Vertrag mit einem indischen Anbieter geschlossen werden, ist zu beachten, dass ein deutsches Gerichtsurteil in Indien nur schwer vollstreckt werden kann. Auf der anderen Seite ist zu berücksichtigen, dass in Schiedsverfahren die Streitverkündung unzulässig ist, sofern nicht besondere Vereinbarungen mit allen betroffenen Parteien getroffen wurden5. Da bei Cloud Computing-Transaktionen häufig viele Subunternehmer beteiligt sind, kann dies dazu führen, dass der Cloud-Anbieter nach dem Schiedsurteil für das Verschulden seines Erfüllungsgehilfen gegenüber dem Kunden haften muss, aber daran gehindert ist, dem Subunternehmer den Streit zu verkünden und daher gegen diesen ein zweites Schiedsverfahren führen muss, in dem durchaus die Möglichkeit besteht, dass die Schiedsrichter – aus welchem Grund auch immer – zu Gunsten des Subunternehmers 1 Vgl. Sänger/Dörner, ZPO, Art. 23 EuGVVO Rz. 32 ff. 2 § 1031 Abs. 5 ZPO gilt nach § 1025 ZPO, soweit die Schiedsvereinbarung auf ein deutsches Schiedsgericht lautet. 3 Lejeune, ITRB 2008, 116 ff.; Weidhaas/Swoboda, CR 1988, 104 ff. 4 Kilian/Heusen, ComputerR-Handbuch, Kap. 162 Rz. 50. 5 S. dazu etwa Elsing, SchiedsVZ 2004, 88 ff. Intveen/Hilber/Rabus
179
Teil 2
Rz. 175
Vertragsgestaltung
entscheiden. Dieses Risiko besteht bei einer Zuständigkeit der ordentlichen Gerichte dank der Möglichkeit der Streitverkündung zumindest insofern nicht, als der Subunternehmer die Feststellungen des Gerichts im ersten Verfahren nach §§ 74 Abs. 3, 68 ZPO gegen sich gelten lassen muss. 175
Sollte bei Streitigkeiten im Zusammenhang mit Cloud Computing eine bestimmte technische Frage strittig sein, können die Parteien – vergleichbar einem selbständigen Beweisverfahren gemäß § 485 ZPO, das in IT-Verfahren in Frage kommen kann1 – auch insofern ein schiedsgutachterliches Verfahren vereinbaren2. Die Möglichkeit eines bindenden Schiedsgutachtens im Cloud Computing-Vertrag ist eine Möglichkeit, isolierte Streitfragen schnell und effizient zu lösen. Daher kann es sinnvoll sein, dies bereits im Cloud Computing-Vertrag vorab vorzusehen. cc) Zuständiges Gericht ohne Gerichtsstand- oder Schiedsvereinbarung
176
In Ermangelung einer (wirksamen) Gerichtsstand- oder Schiedsvereinbarung, stellt sich die Frage nach dem zuständigen Gericht. Während in rein nationalen Sachverhalten die Zuständigkeitsvorschriften der §§ 12 ff. ZPO greifen, gilt bei grenzüberschreitenden vorrangig die EuGVVO als europäische Zuständigkeitsverordnung3.
177
Für Cloud Computing-Verträge im unternehmerischen Verkehr wird neben dem allgemeinen Gerichtsstand am Sitz des Beklagten (Art. 2 Abs. 1 EuGVVO, §§ 12, 13, 17 ZPO) die besondere Zuständigkeit der Gerichte am Erfüllungsort der Cloud-Dienste über Art. 5 Nr. 1a) bzw. b) bzw. § 29 ZPO begründet4.
178
Bezieht ein Verbraucher Leistungen aus der Cloud, bestimmen die Art. 15 ff. EuGVVO zwingende Zuständigkeiten. Voraussetzung ist eine räumliche Verknüpfung der Geschäftsanbahnung mit dem Verbraucherstaat durch Tätigkeit des Anbieters im Verbraucherwohnsitzstaat oder zumindest ein Ausrichten der Tätigkeiten auf selbigen, Art. 15 Abs. 1 Buchst. c) EuGVVO. Will der Cloud-Anbieter einen Gerichtsstand im Verbraucherwohnsitzstaat vermeiden, sollte er also weder die CloudLeistung über eine Niederlassung oder eine Tochter im Wohnsitzstaat vertreiben noch dortige Ressourcen, vor allem wenn sie in der Kommuni1 Thalhofer, Handbuch IT-Litigation, A IX Rz. 63 ff. 2 Hecht, ITRB 2008, 184 (185); OLG München v. 7.8.2006 – 34 SchH 9/05, SchiedsVZ 2006, 286. 3 Für die Schweiz, Island und Norwegen gilt als Parallelabkommen das LugÜ. 4 Wird der Cloud-Vertrag als Dienstvertrag qualifiziert, so gilt Art. 5 Nr. 1b) Spiegelstrich 2 und damit ein einheitlicher Gerichtsstand am Erfüllungsort der Sachleistung für alle Ansprüche. Liegt dagegen ein Miet- bzw. Werkvertrag vor, gilt Art. 5 Nr. 1a), womit auf den Erfüllungsort der jeweils konkret streitigen Verpflichtung abzustellen ist. Auch nach § 29 ZPO kommt es zur Bestimmung des Erfüllungsortes auf die im konkreten Fall streitige Verpflichtung an.
180
Intveen/Hilber/Rabus
III. Grundstzliches
Rz. 180
Teil 2
kation mit dem Verbraucher erkennbar werden, nutzen. Werden CloudLeistungen über das Internet angeboten, ist für das Ausrichten der Tätigkeit unter anderem entscheidend, ob die Website in irgendeiner Weise auf den Wohnsitzstaat abzielt, sei es durch die Verwendung der Sprache des Verbraucherwohnsitzstaates, die Akzeptanz der dortigen Währung oder der Auswahlmöglichkeit des Verbraucherwohnsitzstaates bei der Angabe der Kundenadresse1. Jedenfalls muss sich aus einer Gesamtschau ergeben, dass der Unternehmer gerade beabsichtigt, mit Verbrauchern aus dem entsprechenden Mitgliedstaat Verträge abzuschließen2. Ist der Anwendungsbereich der Art. 15 ff. EuGVVO eröffnet, hat der Ver- 179 braucher die Wahl, ob er an seinem Wohnsitz oder an dem des Unternehmers klagt, Art. 16 Abs. 1 EuGVVO. Darüber hinaus darf er an der (Zweig-)Niederlassung des Unternehmers klagen. Demgegenüber können Klagen gegen den Verbraucher nur an seinem Wohnsitz anhängig gemacht werden, Art. 16 Abs. 2 EuGVVO. Liegen die Voraussetzungen für die ausschließlichen Zuständigkeiten nach Art. 15 ff. EuGVVO nicht vor, bleibt es bei den oben dargestellten allgemeinen Gerichtsständen. Für deliktische Ansprüche gilt Art. 5 Nr. 3 EuGVVO, sofern nicht rein 180 nationale Sachverhalte betroffen sind. Danach können – ebenso wie nach § 32 ZPO – Klagen sowohl am Handlungs- als auch am Erfolgsort anhängig gemacht werden. Im Falle von Datendiebstählen oder Beschädigung von Daten hat der Geschädigte grundsätzlich die Wahl, ob er am Handlungsort oder am Erfolgsort klagt3. Handlungsort ist der Ort, an dem der Schädiger die schädigende Handlung vorgenommen oder veranlasst hat4. Führt der Täter die schädigende Handlung nicht vor Ort aus, sondern bedient sich des Internets, ist regelmäßig der Ort der Eingabe der schädigenden Befehle als Handlungsort zu qualifizieren (nicht aber der Standort des vom Täter genutzten InternetServers)5. Der Erfolgsort ist im Zusammenhang mit Cloud Computing häufig nur schwer feststellbar6. Gemeint ist der Ort, an dem das schädigende Ereignis eingetreten ist7. Beim Cloud Computing kann sich der Speicherort
1 Die bislang praktizierte Differenzierung nach aktiven und passiven Websites soll nach dem EuGH kein tragfähiges Kriterium sein, s. EuGH, NJW 2011, 505 (509) Rz. 79. 2 EuGH, MMR 2011, 132 (136). 3 BGHZ 124, 237 (245); 132, 105 (111); BGH, NZG 2010, 587; BGH, NJW 1990, 1533; BayObLGZ 1995, 301 (303); OLG Köln, MDR 2009, 222; OLG Koblenz, WM 1989, 622. 4 MünchKomm/Patzina, § 32 ZPO Rz. 20. 5 Eine Einzelfallbetrachtung ist allerdings erforderlich. Zum Ganzen m.w.N. Hoeren/Sieber/Pichler, Teil 25, Rz. 183, 186 ff. 6 Laucken/Oehler, ZUM 2009, 824 (832). 7 BGHZ 124, 245 = NJW 1994, 1414; BGHZ 132, 111 = NJW 1996, 1413; BayObLGZ 95, 303; AG Limburg, NJW-RR 2002, 751. Intveen/Hilber/Rabus
181
Teil 2
Rz. 181
Vertragsgestaltung
der Daten technisch bedingt häufig ändern1. Als Erfolgsort kommt daher in Betracht der jeweilige Speicherort der Daten bzw. der jeweilige Ort, an dem die in der Cloud betriebene Software zum Zeitpunkt des Schadenseintritts konkret abläuft. Gibt es mehrere Erfolgsorte, weil z.B. auf virtuellen Servern befindliche Datenteilmengen an verschiedenen Orten physisch gespeichert sind, wird vertreten, dass pro Erfolgsort jeweils nur ein entsprechender Teilschaden geltend gemacht werden kann2. Der Kläger trägt die Beweislast dafür, an welchem Ort die Daten in der Cloud zur Zeit der Schädigung gespeichert waren. Dies kann zu Schwierigkeiten führen, wenn die Datenverarbeitung für den Kläger intransparent ist. Hinzu kommt, dass es nach der EuGVVO grundsätzlich für den Beklagten vorhersehbar sein muss, vor welchem Gericht er verklagt werden kann3. Dies ist bei einem Schadenseintritt in der Cloud problematisch4, da es regelmäßig keine objektiven, für den Beklagten erkennbaren Bezüge zu dem Land gibt, in dem der Schaden eintritt. Aus diesem Grund lehnt Nordmeier den Serverstandort als Schadenseintrittsort ab5. Es ist also im Ergebnis nicht gesichert, ob ein Gerichtsstand am Speicherort der Daten begründet werden kann. Zu beachten ist ferner, dass das Gericht am Deliktsgerichtsstand nicht über vertragliche Ansprüche (mit)entscheiden darf6. Will der Geschädigte nicht zwei Prozesse führen, sondern seine vertraglichen und deliktischen Ansprüche bei einem Gericht geltend machen, so muss er seine Klage am allgemeinen Gerichtsstand des Beklagten (Art. 2 Abs. 1 EuGVVO) einreichen. Die Möglichkeiten eines Gerichts, seine Zuständigkeit zu verneinen, und die Rechtsdurchsetzung zumindest zu verzögern, sind also groß. Der Berater wird vor diesem Hintergrund regelmäßig dazu raten, den sichersten Weg einer Klage am allgemeinen Gerichtsstand zu wählen. b) Anwendbares Vertrags- und Deliktsrecht 181
Bedeutung kommt ferner der Frage nach dem anwendbaren Recht zu. Hier geht es ausschließlich um die Bestimmung des anwendbaren Vertrags- und Deliktsrechts – nicht um das sonstige anwendbare Recht, z.B. 1 Laucken/Oehler, ZUM 2009, 824 (832). 2 Rauscher, § 10 IPR Rz. 1265; so auch zum parallelen prozessualen Problem des „Mosaikschadens“: EuGH, NJW 1995, 1881 (1882) Rz. 30 ff. 3 Vgl. EuGH, EuZW 2010, 313 (318). 4 In einem presserechtlichen Fall hat der EuGH z.B. entschieden, dass der im Ausland ansässige Beklagte mit einem Erfolgsort in Deutschland rechnen musste, wenn er über eine deutsche Person berichtet, EuZW 2010, 313 ff. 5 Nordmeier, MMR 2010, 151 (154). Er führt zur Unpraktikabilität des Serverstandorts als Anknüpfungspunkt – zwar für die Frage des anwendbaren Rechts (dies ist aber insoweit unerheblich, da es in beiden Fällen auf die Bestimmung des Erfolgsortes ankommt) – neben der Unvorhersehbarkeit des Serverstandortes zum Zeitpunkt der schädigenden Handlung, auch den entstehenden „Streuschaden“ an den verschiedenen Serverstandorten und die entsprechende schwierige Schadensbemessung an den einzelnen Erfolgsorten an. 6 EuGH („Kalfelis“), EuGHE 1988, 5565, Nr. 19 = NJW 1988, 3088.
182
Intveen/Hilber/Rabus
III. Grundstzliches
Rz. 183
Teil 2
in den Bereichen des Datenschutz-, Arbeits- oder Steuerrechts (siehe hierzu Teil 4 Rz. 15 ff., Teil 5 Rz. 21 ff. bzw. Teil 6 Rz. 4 f.). Die Inanspruchnahme von Leistungen aus der Cloud führt regelmäßig zu grenzüberschreitenden Sachverhalten und Vertragsbeziehungen1. So kann ein Auslandsbezug bereits dann vorliegen, wenn beispielsweise der international tätige Dienstleister einen Teil der Leistungen in einem Rechenzentrum im Ausland erbringt oder wenn er sich für bestimmte Tätigkeiten eines Erfüllungsgehilfen bedient, dessen Sitz außerhalb der Bundesrepublik Deutschland liegt2. Daher stellen sich unweigerlich kollisionsrechtliche Fragen. Sofern das Gericht eines der 27 Mitgliedstaaten über einen Rechtsstreit zu entscheiden hat, hat es die Rom I-VO3 sowie die Rom II-VO4 anzuwenden. Dies gilt unabhängig davon, ob es sich bei dem berufenen Recht um das Recht eines Mitgliedstaates handelt und auch unabhängig davon, ob die Parteien Mitgliedstaaten angehören, da es sich bei den Verordnungen um universell anzuwendendes Recht (loi uniforme) handelt5 (vgl. Art. 2 Rom I-VO sowie Art. 3 Rom II-VO). aa) Anwendbares Vertragsrecht In Cloud Computing-Verträgen des unternehmerischen Verkehrs ist eine 182 Rechtswahl für das zugrunde liegende Vertragsverhältnis unproblematisch möglich. Dies ergibt sich aus Art. 3 Abs. 1 Rom I-VO. Die Rechtswahl muss ausdrücklich erfolgen oder sich eindeutig aus den Bestimmungen des Vertrages oder aus den Umständen des Falles ergeben6. Die Rechtswahl kann auch in allgemeinen Geschäftsbedingungen erfolgen7. Die Rechtswahlfreiheit findet allerdings ihre Schranken in Art. 3 Abs. 3 183 und 4 Rom I-VO sowie in den zwingenden Normen der beteiligten ausländischen Rechtsnormen, die über Art. 9 Rom I-VO und Art. 46b EGBGB durchgesetzt werden können8. Darüber hinaus kann als ultima ratio eine (Ergebnis-)Korrektur über den sog. Ordre public stattfinden (Art. 21 Rom I-VO)9.
1 Nordmeier, MMR 2010, 151 (152). 2 Vgl. zum Outsourcing-Vertrag Bräutigam/Grzimek, IT-Outsourcing, Teil 3 Rz. 131. Die dort dargestellten Überlegungen sind auf Fälle des Cloud Computing übertragbar. 3 EG-Verordnung 593/2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I-VO). 4 EG-Verordnung 864/2007 über das auf außervertragliche Schuldverhältnisse anzuwendende Recht (Rom II-VO). 5 Brödermann, NJW 2010, 807 (809). 6 MünchKomm/Martiny, BGB, Art. 3 EuGVVO Rz. 42 f. 7 Niemann/Paul, K&R 2009, 444 (446); MünchKomm/Martiny, BGB, Art. 3 EuGVVO Rz. 42. 8 BeckOK/Spickhoff, Rom I-VO, Art. 21 Rz. 1. 9 Vgl. Erwägungsgrund 37 Rom I-VO; EuGH („Arblade und Leloup“) v. 23.11.1999 – Rs. C-396/96. Intveen/Hilber/Rabus
183
Teil 2
Rz. 184
Vertragsgestaltung
184
Bei Cloud-Verträgen mit Verbrauchern ist zwar eine Rechtswahl möglich. Dem Verbraucher dürfen aber zwingende nationale Schutzstandards nicht entzogen werden (Art. 6 Abs. 2 Satz 2 Rom I-VO). Dabei handelt es sich z.B. um Regelungen aus dem Fernabsatz1, sowie um die §§ 305 ff. BGB2. Somit wird dem Verbraucher durch das Recht seines Aufenthaltsstaats ein Minimum an zu gewährendem Schutz garantiert.
185
Sofern keine Rechtswahl getroffen wurde, muss im unternehmerischen Verkehr das auf den Vertrag anwendbare Vertragsrecht nach Art. 4 Rom I-VO bestimmt werden, der je nach einschlägigem Vertragstyp unterscheidet. Cloud Computing-Leistungen können in erster Linie miet-, werk- oder dienstvertraglich eingeordnet werden (siehe Rz. 149 ff.). Es gilt nach Art. 4 Abs. 1 Buchst. b) Rom I-VO beim Dienstvertrag das Recht des Ortes, an dem der Cloud-Anbieter als Dienstleister seinen gewöhnlichen Aufenthalt hat. Der Werkvertrag nach deutschem Recht fällt auch unter den Begriff der Dienstleistung in Art. 4 Abs. 1 Buchst. b) Rom I-VO3. Für Mietverträge gilt grundsätzlich in Ermangelung einer Regelung in Abs. 1, über Art. 4 Abs. 2 Rom I-VO das Recht des gewöhnlichen Aufenthaltes des Cloud-Anbieters. Art. 4 Abs. 1 Buchst. c) Rom I-VO erklärt nur für Mietverträge über unbewegliche Sachen ausnahmsweise das Recht des Belegenheitsortes der Sache für anwendbar. Da Cloud Computing sich nicht auf die Vermietung unbeweglicher Sachen bezieht, spielt der Belegenheitsort der Hardware-Infrastruktur bei der Bestimmung des anwendbaren Vertragsrechts keine Rolle. Unabhängig davon findet das am gewöhnlichen Aufenthaltsort des Cloud-Anbieters geltende Recht Anwendung4.
186
Schwierig ist die Behandlung typengemischter Verträge, die Bestandteile mehrerer Vertragstypen enthalten, wie dies regelmäßig beim Cloud Computing der Fall ist. Unter der Rom I-VO muss der gesamte Vertrag über das Gefüge des Art. 4 einheitlich einer Rechtsordnung unterstellt werden5. Entscheidend sollte dabei sein, welcher Bestandteil dem Vertrag sein Gefüge gibt6. Lässt sich kein Schwerpunkt des Vertrages und dementsprechend keine Rechtsordnung über Abs. 1 und 2 bestimmen, so greift über Art. 4 Abs. 4 Rom I-VO das Recht des Staates, zu dem der Vertrag die engste Verbindung aufweist.
1 Redeker/Gennen/Laue, Handbuch der IT-Verträge, Kap. 1.17 Rz. 65. 2 Redeker/Gennen/Laue, Handbuch der IT-Verträge, Kap. 1.17 Rz. 68. 3 Der Dienstleistungsbegriff der Verordnung wird weit gefasst und beinhaltet alle tätigkeitsbezogenen Leistungen; vgl. jurisPK-BGB/Ringe, Art. 4 Rom I-VO Rz. 96, 19. 4 Im Ergebnis ebenso Nordmeier, MMR 2010, 151 (152). 5 Im Gegensatz zu den Vorgängerregelungen im EGBGB ist keine „dépecage“ (Spaltung des anwendbaren Rechts) mehr möglich, vgl. auch Schulze/Staudinger Art. 4 Rom I-VO Rz. 1. 6 Es stellt sich die Frage nach dem Schwerpunkt des Vertrages, vgl. auch Rauscher, Europäisches Zivilprozess- und Kollisionsrecht, Rz. 85.
184
Intveen/Hilber/Rabus
III. Grundstzliches
Rz. 189
Teil 2
Sofern sich der Cloud-Dienst an Verbraucher richtet, gilt in Ermangelung 187 einer Rechtswahl gemäß Art. 6 Abs. 1 Rom I-VO das Recht des gewöhnlichen Aufenthalts des Verbrauchers. Voraussetzung dafür ist aber, dass der Cloud-Anbieter in diesem Staat seine gewerbliche Tätigkeit ausübt oder seine Tätigkeit in irgendeiner Weise auf diesen Staat ausrichtet. Diesbezüglich wird auf die Ausführungen zum „Ausüben“ und „Ausrichten“ im Rahmen von Art. 15 Abs. 1 Buchst. c) EuGVVO verwiesen1. Sofern man den Cloud-Vertrag als Dienstvertrag qualifiziert und die Dienstleistungen ausschließlich in einem anderen als dem Staat erbracht werden müssen, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat, so gilt wegen des Ausschlussgrundes des Art. 6 Abs. 4 Rom I-VO wiederum die objektive Anknüpfung nach Art. 4 Rom I-VO. bb) Anwendbares Deliktsrecht In Fällen des Datendiebstahls oder der unbefugten Beschädigung, Ver- 188 änderung oder Unbrauchbarmachung von in der Cloud gespeicherten Daten, kommt aufgrund des grenzüberschreitenden Sachverhalts das internationale Deliktsrecht (weitgehend in der Rom II-VO geregelt) zur Anwendung. (1) Möglichkeit einer Rechtswahlvereinbarung Während die Frage nach dem anwendbaren Vertragsrecht kaum Beson- 189 derheiten aufweist, gestaltet sich die Situation für die Ermittlung des anwendbaren Rechts für deliktische Ansprüche problematischer. Eine Rechtswahl ist grundsätzlich nach Eintritt des schädigenden Ereignisses möglich, Art. 14 Abs. 1 Satz 1 Buchst. a) Rom II-VO. Hingegen ist eine Vereinbarung der Rechtswahl vor Eintritt des schädigenden Ereignisses nur möglich, wenn alle Parteien einer „kommerziellen Tätigkeit“ nachgehen und es sich um eine „frei ausgehandelte Vereinbarung“ handelt, Art. 14 Abs. 1 Satz 1 Buchst. b) Rom II-VO. Der Begriff der kommerziellen Tätigkeit ist in der Nähe des Unternehmerbegriffs aus Art. 6 Rom I-VO zu verorten2, sodass jedenfalls in Unternehmer-Verbraucher-Situationen die Parteien das anzuwendende Deliktsrecht nicht ex ante wählen können3. Entscheidend ist somit, dass die Rechtswahl im Rahmen der Ausübung einer selbstständigen gewerblichen oder beruflichen Tätigkeit getroffen wird4. Auslegungsschwierigkeiten birgt das Merkmal der „frei ausgehandelten“ Vereinbarung – gerade auch im Hinblick auf standardisierte Cloud-Verträge. Überwiegend 1 Siehe Rz. 178; der EuGH legt die Begriffe im Rahmen von Art. 6 Rom I-VO und Art. 15 Abs. 1 EuGVVO einheitlich aus; vgl. Staudinger/Steinrötter, JA 2011, 246 ff. 2 Vgl. Erwägungsgrund 7 der Rom II-VO. 3 Junker, RIW 2010, 257 (267); Spindler/Schuster/Pfeiffer/Weller/Nordmeier, Art. 14 Rom II-VO Rz. 3. 4 Leible, RIW 2008, 257 (260); Mankowski, IPRax 2010, 389 (399); Wagner, IPRax 2008, 1 (13). Intveen/Hilber/Rabus
185
Teil 2
Rz. 190
Vertragsgestaltung
wird dies abgelehnt, sofern eine Rechtswahlvereinbarung in einem vorformulierten Vertragsentwurf oder in AGB einer Partei enthalten ist1. (2) Fehlen einer wirksamen Rechtswahlvereinbarung 190
Liegt keine wirksame Rechtswahl vor, richten sich deliktische Ansprüche gemäß Art. 4 Abs. 1 Rom II-VO grundsätzlich nach dem Schadenseintrittsort2 und zwar unabhängig davon, in welchem Staat die schädigende Handlung vorgenommen wurde oder indirekte Schadensfolgen eingetreten sind. Dies gilt gemäß Art. 4 Abs. 2 Rom II-VO jedoch nur, sofern der Cloud-Anbieter und der Kunde nicht im selben Staat ihren gewöhnlichen Aufenthalt haben. Denn sonst richtet sich das anwendbare Recht nach dem Recht des gewöhnlichen Aufenthalts beider Parteien.
191
Der Ort des Schadenseintritts kann aber gerade beim Cloud Computing häufig nur schwer bestimmt werden, siehe oben Rz. 1803. Sowohl der Lageort des Zielrechners als auch der Speicherort der Daten sind häufig schwer bestimmbar; denkbar ist auch, dass mehrere Orte in verschiedenen Ländern betroffen sein können4. Deshalb kommt Art. 4 Abs. 3 Rom II-VO für Cloud-Sachverhalte Bedeutung zu. Nach Satz 1 ist das Deliktsrecht der Rechtsordnung anzuwenden, mit der bei einer Gesamtschau aller Umstände eine „engere Verbindung“ besteht. Satz 2 bestimmt, dass diese engere Verbindung sich insbesondere aus einem bestehenden Rechtsverhältnis zwischen den Parteien – wie ein Vertrag – ergeben kann. Deshalb wird für Cloud-Fälle vorgeschlagen5, über Art. 4 Abs. 3 Rom II-VO das Recht anzuwenden, welchem die vertragliche Beziehung zwischen dem Anbieter und dem Cloud-Kunden unterliegt. c) Ausblick – Folgen für die Praxis?
192
Die Bedeutung von Gerichtsstand- und Rechtswahlklauseln in Cloud Computing-Verträgen ist gerade aufgrund der grenzüberschreitenden Sachverhalte nicht zu unterschätzen. Klare vertragliche Regelungen 1 Vgl. hierzu HK-BGB/Dörner, Art. 14 Rom II-VO Rz. 3; Leible, RIW 2008, 257 (260); Mankowski, IPRax 2010, 389 (399); Spindler/Schuster/Pfeiffer/Weller/ Nordmeier, Art. 14 Rom II-VO Rz. 3. Es soll aber die Möglichkeit der gesonderten Unterzeichnung bestehen. Vgl. Kadner Graziano, RabelsZ 73 (2009), 1 (8). 2 Für einzelne Deliktstypen gelten Sonderregeln: Produkthaftung (Art. 5 Rom IIVO), Unlauterer Wettbewerb und Wettbewerbsbeschränkungen (Art. 6 Rom IIVO), Umweltschädigung (Art. 7 Rom II-VO), Verletzung von Rechten des geistigen Eigentums (Art. 8 Rom II-VO) und Arbeitskampfmaßnahmen (Art. 9 Rom II-VO). 3 Spindler/Schuster/Pfeiffer/Weller/Nordmeier, Art. 14 Rom II-VO Rz. 3. 4 Nordmeier, MMR 2010, 151 (155 ff.). 5 Nordmeier, MMR 2010, 151 (156); Leupold/Glossner/Stögmüller, Münchener Anwaltshandbuch IT-Recht, Teil 5 Rz. 342; Spindler/Schuster/Pfeiffer/Weller/ Nordmeier, Art. 4 Rom II-VO Rz. 18; a.A. Nägele/Jacobs, ZUM 2010, 281 (283), die sich für eine konsequente Anwendung der Rechte aller Serverstandorte aussprechen.
186
Intveen/Hilber/Rabus
IV. Leistung und Schlechtleistung
Rz. 193
Teil 2
zum anwendbaren Recht und den Modalitäten der Streitbeilegung sind dringend zu empfehlen. Gerade in Ermangelung europaweiter Standards im Vertragsrecht wird das Cloud Computing v.a. im grenzüberschreitenden Bereich teilweise noch als mit Unsicherheiten behaftet abgetan. Trotz der insgesamt steigenden Nutzerrate, scheuen daher noch immer Unternehmen vor der Inanspruchnahme von Cloud-Lösungen zurück1. Obwohl die Cloud-Kunden durch bestehendes EU-Recht (s.o.) bereits geschützt werden, sind ihnen ihre Rechte oft nicht bekannt. Ein Drittel der deutschen Unternehmen verbindet Cloud Computing noch mit Unsicherheiten im Hinblick auf rechtliche Grundlagen, insbesondere in Bezug auf das anzuwendende Recht und den Gerichtsstand in Zivil- und Handelssachen2. Daher hat die Europäische Kommission sich in ihrem kürzlich erarbeiteten Strategiepapier3 u.a. zum Ziel gesetzt, bis Ende 2013 sichere und faire Muster-Vertragsbedingungen für das Cloud Computing (einschließlich Leistungsvereinbarungen) auszuarbeiten. Es soll solche speziell für gewerbliche Kunden sowie für Verbraucher und kleinere und mittlere Unternehmen (KMU) geben. Das Ziel sind transparente und faire Verträge über Cloud-Dienste, um das Vertrauen möglicher Kunden zu stärken.
IV. Leistung und Schlechtleistung 1. Leistungsabsicherung Aufgrund der oftmals langen Dauer von Cloud Computing-Verträgen 193 und einer erhöhten Abhängigkeit des Cloud-Kunden vom jeweiligen Anbieter während dieser Zeit kann es für den Cloud-Kunden von großer Bedeutung sein, die Leistungserbringung während der gesamten Laufzeit des Vertrages abzusichern. Insbesondere, wenn es sich bei dem Anbieter um ein noch junges, kleineres Unternehmen handelt, wird der CloudKunde sich dadurch vertraglich absichern wollen, dass er sich (selbstschuldnerische) Bürgschaften von Dritten oder Patronatserklärungen der jeweiligen Muttergesellschaften einräumen lässt. Bürgschaften, die zumeist von Banken abgegeben werden, können evtl. Vorleistungen und Anzahlungen des Cloud-Kunden absichern (Anzahlungsbürgschaften), werden jedoch in den meisten Fällen auf die Erfüllung der vertraglichen Leistungen des Anbieters sowie ggf. auch auf die Erfüllung von Gewährleistungsansprüchen gerichtet sein (Vertragserfüllungs-, bzw. Gewährleistungsbürgschaften). Da der Bürge selbst in aller Regel keine vergleich1 Siehe Cloud-Monitor 2013 – repräsentative Unternehmensbefragung der BITKOM und KPMG: http://www.bitkom.org/files/documents/Studie_Cloud_Moni tor.pdf, S. 34 (zuletzt aufgerufen am 4.10.2013). 2 Mitteilung der Kommission – KOM (2012) 529 endg.: „Freisetzung des Cloud Computing-Potenzials in Europa“ v. 27.9.2012, S. 14. 3 Mitteilung der Kommission – KOM (2012) 529 endg.: „Freisetzung des Cloud Computing-Potenzials in Europa“ v. 27.9.2012, S. 13 ff. Intveen/Hilber/Rabus
187
Teil 2
Rz. 194
Vertragsgestaltung
baren Cloud-Dienste erbringen kann, realisiert sich eine Vertragserfüllungsbürgschaft zumeist in Fällen, in denen der Cloud-Nutzer Schadensersatz wegen Nichterfüllung verlangen kann. Für den Cloud-Kunden dürfte dies regelmäßig nach der Vertragserfüllung nur die zweitbeste Lösung darstellen. Interessant können daher auch Vertragserfüllungsbürgschaften einer möglichen Muttergesellschaft sein, welche im Bürgschaftsfall eine Sicherstellung der fortlaufenden Cloud-Leistungen absichert. 194
In derartigen Konzernsachverhalten häufig zu finden sind auch Garantien oder sog. Patronatserklärungen, durch welche sich eine – oftmals auch ausländische – Muttergesellschaft uneingeschränkt entweder im Innenverhältnis zu ihrer Tochtergesellschaft oder im Außenverhältnis zum Cloud-Kunden verpflichtet, während der Vertragslaufzeit ihre Tochtergesellschaft derart zu leiten und finanziell so auszustatten, dass sie zur Erfüllung der geschuldeten Leistungen fristgemäß imstande ist1.
195
Meist wird der Kunde mit dem Cloud-Anbieter vertraglich vereinbaren, dass dieser bestimmte Sicherungen durch Dritte vor Vertragsunterzeichnung zur Verfügung stellen muss, die dann eine Anlage zu dem eigentlichen Cloud-Vertrag bilden. Der Abschluss eines gesondert zu vereinbarenden Sicherungsvertrages des Dritten mit dem Cloud-Kunden kann aber auch als aufschiebende Bedingung für den Beginn der Leistungspflichten ausgestaltet sein und damit nachgereicht werden. Patronatserklärungen bzw. Garantieerklärungen von Muttergesellschaften können auch direkt in dem Vertrag vereinbart werden, wenn diese dann von den jeweils haftenden Gesellschaften – beschränkt auf die Patronats- bzw. Garantieerklärung – auch mitunterzeichnet werden. 2. Leistungsbeschreibung a) Weitreichende Bedeutung für das Gelingen des Vertrages
196
Die Beschreibung der vom Cloud-Anbieter zu erbringenden Leistung ist zentraler Ausgangspunkt eines jeden Cloud-Vertrages und – wie ganz allgemein bei jedem Vertragsverhältnis – Ausdruck der individuellen Vertragsfreiheit der Parteien. Mit der Leistungsbeschreibung bestimmen die Parteien über Art, Umfang und Güte der zu erbringenden Leistungen und definieren damit nicht nur den Maßstab für die Gegenleistung (in der Regel die vom Cloud-Kunden zu zahlenden Vergütung), sondern auch den Ausgangspunkt für das Eintreten von weiteren Rechtsfolgen wie Gewährleistung, Vertragsstrafe, Verzug, etc. Die Leistungsbeschreibung bildet daher die Schnittstelle zwischen technischen Leistungsmerkmalen einerseits und rechtlichen Konsequenzen bei deren Erreichen bzw. Nicht-Erreichen andererseits.
197
Beide Parteien sollten ein gleichermaßen großes Interesse an einer klaren und eindeutigen Leistungsbeschreibung haben, nicht zuletzt schon des1 Palandt/Sprau, Einf. zu § 765 BGB Rz. 12 m.w.N.
188
Intveen/Hilber/Rabus
IV. Leistung und Schlechtleistung
Rz. 198
Teil 2
halb, um die gegenseitigen Erwartungen vor Abschluss eines Vertrages zu kennen und einordnen zu können. Fehlen präzise Angaben oder weist die Leistungsbeschreibung sonstige Lücken auf, käme § 243 Abs. 1 BGB zur Anwendung, wonach bei Fehlen spezifischer Regelungen Waren mittlerer Art und Güte zu liefern sind. Ob diese Richtlinie aber im Bereich des Cloud Computing hilfreich ist und ob sie auch im Interesse der Vertragsparteien ist, darf allerdings bezweifelt werden1. Je präziser und eindeutiger daher die Beschreibung der Cloud-Leistungen ist, desto geringer ist auch das Risiko einer späteren Enttäuschung und rechtlichen Auseinandersetzung. Aus den genannten Gründen ist den Parteien daher stets anzuraten, ausreichend Zeit und Sorgfalt – etwa auch unter Heranziehung externen, technischen Sachverstandes – in die Erstellung der Leistungsbeschreibung zu investieren. b) Leistungsgegenstand als Ausgangspunkt für die Vertragstypologie Eine wesentliche Bedeutung der Leistungsbeschreibung liegt auch darin, 198 dass mit der Definition der Leistung die Frage der vertragstypologischen Einordnung des Vertrages vorgegeben wird, was sich insbesondere für den Bereich des anzuwendenden Gewährleistungsrechts und des Haftungsregimes auswirkt. Die Unterschiede, die aus der vertraglichen Einordnung resultieren, sind mitunter erheblich. Vereinbaren die Parteien einen Werkvertrag, so hat der Cloud-Anbieter seine Leistung erst erfüllt, wenn der Cloud-Nutzer das Werk abgenommen hat, § 640 Abs. 1 BGB. Zudem gelten andere Gewährleistungsrechte als beispielsweise im Falle der Miete. Maßgebliches Kriterium für einen Werkvertrag ist dessen Erfolgsbezogenheit. Aus der Formulierung der Leistungsbeschreibung muss daher klar hervorgehen, ob der Cloud-Anbieter einen Erfolg oder bloß ein reines Tätigwerden schuldet (in diesem Falle liegt ein Dienstvertrag nach § 611 BGB vor)2. Dabei ist nicht entscheidend, wie die Parteien ihren Vertrag benennen; selbst ein als Dienstvertrag oder „Cloud-Service Agreement“ bezeichneter Vertrag ist dann als Werkvertrag mit all seinen Rechtfolgen einzuordnen, wenn aus der Leistungsbeschreibung (und möglicherweise noch weiteren Hinweisen im Vertrag, etwa einer Abnahmeregelung, etc.) hervorgeht, dass der Cloud-Anbieter für das Erreichen eines bestimmten Erfolges das wirtschaftliche Risiko übernommen hat.
1 Vgl. auch Söbbing, Handbuch IT-Outsourcing, Rz. 680. Fraglich könnte indes auch sein, ob mangels vereinbarter Leistung als notwendigem Mindestinhalt eines Vertrages (sog. essentialia negotii) überhaupt eine wirksame Vereinbarung zwischen den Parteien abgeschlossen wurde. Kann dies zweifelsfrei bejaht werden, ist durch Auslegung zu ermitteln, welchen Inhalt der Vertrag haben soll. Wenn es hierzu an stichhaltigen Anhaltspunkten fehlt, ist auf den hypothetischen Willen der Vertragsparteien abzustellen. Zu beachten ist aber, dass dies nicht zu einer wesentlichen Ausweitung des Vertragsinhaltes führen darf. 2 Vgl. Bräutigam, IT-Outsourcing, Teil 13, Rz. 425 f. Intveen/Hilber/Rabus
189
Teil 2
199
Rz. 199
Vertragsgestaltung
Abhängig von der vereinbarten Leistung können auch mehrere Leistungsarten und -gegenstände betroffen sein, die jeweils unterschiedlichen Vertragstypen unterliegen (Einmal-Leistung, Dauerschuldverhältnis, erfolgsbezogene Leistungen, reines Tätigwerden, etc.). In diesem Fall sollte die Leistungsbeschreibung die unterschiedlichen Leistungsarten nach Möglichkeit so strukturieren, dass eine genaue Zuordnung der einzelnen Zahlungspflichten zu den einzelnen Leistungen vorgenommen werden kann. Auch die unterschiedlichen Rechtsfolgenregelungen müssen in diesem Fall den einzelnen Leistungen zugeordnet werden können. Eine solche Struktur kann etwa durch gesonderte Anlagen bzw. Leistungsscheine oder durch eine sorgfältige Trennung der unterschiedlichen Leistungsbereiche erfolgen. c) Beschreibung zu Art, Umfang und Güte der Leistungen, Festlegung von Service Levels
200
Die Leistungsbeschreibung sollte in technischer Hinsicht so präzise wie möglich gefasst werden und neben einer detaillierten Beschreibung der konkreten Cloud-Leistung auch die zum Einsatz kommende Infrastruktur, relevante Schnittstellen sowie die beteiligten Rechenzentren beschreiben. Diese Beschreibung sollte in erster Linie den mit den Leistungen in technischer Hinsicht vertrauten Personen verständlich sein. Zusätzlich zu diesem hohen Grad an technischer Genauigkeit ist es allerdings ratsam, eine in allgemeinen Worten gehaltene Beschreibung des angestrebten Vertragsziels aufzunehmen, um evtl. später mit der Auslegung der Leistungen befassten Dritten (Richtern, Sachverständigen) die Zielsetzungen und Motive der Vertragsparteien möglichst nachvollziehbar zu veranschaulichen1.
201
Neben der Art der Cloud-Leistung sind vor allem auch der Umfang und die Güte in der Leistungsbeschreibung niederzulegen, die sog. Service Level, welche die zu erbringende Leistung konkretisieren. Teilweise werden auch sog. Service Level Agreements (SLA) als gesonderte Teile des Cloud-Vertrages vereinbart, welche dann ausdrücklich auf die Leistungsbeschreibung Bezug nehmen. Die Service Level beschreiben die von dem Cloud-Anbieter zu erbringende Qualität und bilden damit zugleich ein geeignetes Kriterium für eine Preisdifferenzierung.
202
Typischerweise stellt die Verfügbarkeit der konkreten Cloud-Leistungen einen weit verbreiteten Parameter dar, anhand dessen die Qualität der Cloud-Leistungen nach Art, Güte und Umfang bestimmt werden kann. Je nach Cloud-Service können aber auch andere konkretisierende Leistungsparameter aufgenommen werden, etwa bestimmte Reaktions- und Entstörzeiten im Falle von Störungen, Performance- und Antwortzeiten
1 Vgl. Bräutigam, IT-Outsourcing, Teil 13, Rz. 420.
190
Intveen/Hilber/Rabus
IV. Leistung und Schlechtleistung
Rz. 205
Teil 2
einer bestimmten Software oder eine bestimmte Zustellungsrate im Falle eines Newsletterversandsystems1. Soweit es sich bei den Cloud-Verträgen um standardisierte, mehrfach ver- 203 wandte Vertragsklauseln des Cloud-Anbieters handelt, ist es dabei wichtig, die Verfügbarkeit vertraglich klar und transparent als Bestandteil der Leistungsbeschreibung auszugestalten und nicht etwa als Eingrenzung der Gewährleistung oder Haftung2. Der Grund für diese Differenzierung liegt in den Besonderheiten der AGB-Kontrolle, welche – und zwar auch für den Verkehr zwischen zwei Unternehmern – weitreichende Abweichungen von den gesetzlichen Gewährleistungs- und Haftungsregelungen des jeweils zur Anwendung kommenden Vertragstyps untersagt und für unwirksam erklärt (dazu auch unten Rz. 235 ff., 218 ff., 229 ff.). Für die Leistungsbeschreibung ist eine strenge Inhaltskontrolle dagegen nach § 307 Abs. 3 Satz 1 BGB ausgeschlossen, wenngleich der Begriff der Leistungsbeschreibung von der Rechtsprechung restriktiv verstanden wird. Nach dem BGH fällt darunter der „enge Bereich der Leistungsbezeichnungen, ohne deren Vorliegen mangels Bestimmtheit oder Bestimmbarkeit des wesentlichen Vertragsinhalts ein wirksamer Vertrag nicht mehr angenommen werden kann“3. Zu beachten ist schließlich, dass auch ohne strenge Inhaltskontrolle im Falle von mehrfach verwandten Standardklauseln für die Beschreibung der Leistungen das sog. Transparenzgebot nach § 307 Abs. 1 Satz 2 BGB gilt, wonach sich eine unzulässige unangemessene Benachteiligung auch daraus ergeben kann, dass die Bestimmung nicht klar und verständlich ist. Gerade im Bereich des für Cloud-Leistungen oftmals einschlägigen Miet- 204 rechts ist den Parteien dringend anzuraten, klare und nachvollziehbare Regelungen zur Verfügbarkeit der Cloud-Leistungen zu vereinbaren, da andernfalls nach dem gesetzlichen Leitbild eine für die gesamte Dauer des Vertrages 100 %ige Verfügbarkeit der Services anzunehmen ist, § 535 Abs. 1 Satz 2 BGB. Eine solcherart ununterbrochene Verfügbarkeit der Cloud-Services wird hingegen aufgrund von Wartungsarbeiten und Defekten meist schon aus technischer Sicht scheitern. Insoweit sollte auch klar geregelt werden, welche Fallgestaltungen gar nicht als Ausfall gelten sollen. Zu beachten ist ferner, dass auch der konkrete Bezugspunkt der Verfügbarkeit präzise geregelt werden sollte. Denkbar ist zum Beispiel, dass für verschiedene Bestandteile der Cloud-Leistung jeweils abweichende Verfügbarkeiten vereinbart werden. Der Anbieter von Cloud-Leistungen wird vor diesem Hintergrund als Ser- 205 vice Level für die Verfügbarkeit eine Prozentzahl unterhalb von 100 angeben bzw. je nach Vergütung unterschiedliche Verfügbarkeitsmodelle an1 Zu weiteren Service Levels Hartung/Stiemerling, CR 2011, 617 ff.; Söbbing, Handbuch IT-Outsourcing, Rz. 685 ff. sowie Bräutigam, IT-Outsourcing, Teil 13, Rz. 444 ff.; Roth-Neuschild, ITRB 2012, 67 ff. 2 Vgl. Marly, Praxishandbuch Softwarerecht, Rz. 1091 m.w.N. 3 BGH, NJW-RR 1993, 1049. Intveen/Hilber/Rabus
191
Teil 2
Rz. 206
Vertragsgestaltung
bieten und seine Leistungspflicht dergestalt definieren, dass er solange keinen Mängelansprüchen des Kunden ausgesetzt ist, wie er diese Verfügbarkeitsquoten einhält. Dabei sollte die Definition der Verfügbarkeit auch den Zeitraum benennen, auf den sich die jeweilige Verfügbarkeit bezieht; typischerweise wird hier ein Bezugszeitraum von Wochen, Monaten oder Jahren gewählt. Daneben sollte die Verfügbarkeitsformel regeln, wie lange eine maximale Unterbrechung pro Vorfall maximal dauern darf und ob Wartungsfenster innerhalb oder außerhalb der vereinbarten Verfügbarkeit liegen1. Ein Beispiel für eine Verfügbarkeitsregelung könnte lauten: „Die Verfügbarkeit der Cloud-Services nach Ziffer xy dieses Vertrages beträgt 98,5 % im Monatsdurchschnitt einschließlich Wartungsarbeiten, jedoch darf die Verfügbarkeit nicht länger als 4 Stunden in Folge beeinträchtigt oder unterbrochen sein“2. 206
Mit Blick auf Entstörzeiten, also dem Zeitraum, der vergehen darf, bis eine Cloud-Leistung wieder störungsfrei zur Verfügung steht, sollte festgelegt werden, ob für bestimmte Cloud-Leistungen vorab ein klar definierter Zeitraum einzuhalten ist (sogenannter „Time to Repair“) oder ob es ausreicht, dass alle Störungen über einen bestimmten Zeitraum innerhalb einer durchschnittlichen Entstörzeit behoben werden (letzteres auch als mittlere Reparaturzeit oder „Mean Time to Repair“ bezeichnet). Für den Cloud-Anbieter wird es hingegen vorteilhaft sein, sich erst gar nicht auf die Beseitigung der Störung innerhalb eines bestimmten Zeitraumes festzulegen, sondern lediglich eine bestimmte Reaktionszeit mit dem Cloud-Kunden zu vereinbaren. Wie eine solche Reaktion des Anbieters auszusehen hat – etwa die bloße Rückmeldung des Anbieters mit Angaben zum voraussichtlichen Beginn der Entstörung oder bereits die eigentliche Störungsbehebung selbst durch qualifiziertes Personal – bedarf ebenfalls der Ausgestaltung.
207
In der Praxis häufig zu finden sind auch Reaktions- und Entstörzeiten, die jeweils nach der Schwere der jeweiligen Störung gestaffelt sind. Die dafür erforderliche Einteilung von Störungen in möglichst präzise beschrieben Fehlerklassen kann zumindest in klaren Fällen eine Orientierung bieten. Im Interesse des Cloud-Anbieters liegt es auch, solche Störungen von seinen Entstör-, bzw. Reaktionspflichten auszunehmen, die allein durch ein schuldhaftes Verhalten des Cloud-Anbieters entstanden sind. Eine ähnliche Situation liegt vor, wenn der Cloud-Kunde die Behebungsarbeiten des Anbieters behindert oder nicht wie vertraglich vorgesehen unterstützt.
208
Neben einer Beschreibung der einzelnen Service Level, sollten die Parteien auch Mechanismen vereinbaren, welche eine effektive Überwachung der Service Level sicherstellen. Verwendet der Cloud-Anbieter etwa ein 1 Zur Ausgestaltung der Verfügbarkeitsformel siehe auch Roth-Neuschild, ITRB 2012, 67 ff. 2 Beck’sches Formularhandbuch IT-Recht/Missling, Kap. H. 4., dort unter § 6 Abs. 3.
192
Intveen/Hilber/Rabus
IV. Leistung und Schlechtleistung
Rz. 211
Teil 2
elektronisches Ticket-System, so wird es sinnvoll sein, hinsichtlich des Beginns der Entstör- und Reaktionszeiten auf den Eingang der jeweiligen Meldung im Ticket-System abzustellen. In dem Cloud-Vertrag sollten daher nicht nur die Einzelheiten zu den Messmethoden und -modalitäten, sondern auch zu der Frage geregelt sein, wer für die Messungen verantwortlich ist und welche Kontrollmöglichkeiten der anderen Partei eingeräumt werden können1. Voraussetzung für jede Kontrollmöglichkeit ist dabei zunächst eine entsprechende Berichterstattung bzw. Informationspflicht durch die die Messung durchführende Partei (regelmäßig der Cloud-Anbieter). Sinnvollerweise wird daher die Überlassung eines Messberichts zur Fälligkeitsvoraussetzung für die zu zahlende Vergütung gemacht2. Scheidet dagegen eine Kontrolle durch den Kunden aus technischen oder praktischen Gründen gänzlich aus, ist es auch denkbar, einen neutralen Dritten mit der Messung der Service Level zu beauftragen. Zu den Rechtsfolgen eines Service-Level-Verstoßes vgl. auch Rz. 224. d) Allgemeine Gestaltunghinweise Was für die Service Level gilt, sollte auch allgemein beachtet werden: im 209 Sinne einer klaren Aufgabenverteilung sollten die Formulierungen in der Leistungsbeschreibung zu Art, Umfang und Güte der vom Cloud-Anbieter geschuldeten Leistungen nach Möglichkeit ausschließlich positiv beschrieben werden. Gerade auf Seiten des Cloud-Kunden fördert ein solches Vorgehen das Bewusstsein über den zu beschaffenden Bedarf an Cloud-Leistungen. Schon im eigenen Interesse sollten die Parteien daher klar benennen, welche Leistungen sie einander vertraglich schulden und nicht umfangreich bestimmen, was nicht mehr vom Vertrag umfasst ist. Zunächst weite und allgemeine Beschreibungen, die anschließend eingeschränkt werden, sind dagegen zu vermeiden; ihnen wohnt überdies das Risiko inne, dass Leistungen mitumfasst werden, welche die Parteien bei Erstellen der Leistungsbeschreibung gar nicht im Blick haben. Im Sinne größtmöglicher Transparenz und Klarheit ist den Parteien fer- 210 ner anzuraten, nicht im Passiv zu formulieren, sondern Verantwortlichkeiten auch terminologisch klar zu verteilen. Kurze, verständliche Sätze, (wenn überhaupt) ein sparsames Benutzen von Abkürzungen sowie eine konsistente Verwendung von Definitionen („Gleiches immer gleich benennen“) erleichtern das Verständnis der meist ohnehin komplexen Beschreibungen. Generell fragt sich, inwieweit eine eher prozessbezogene Leistungs- 211 beschreibung einer erfolgsbezogenen Leistungsbeschreibung vorzuziehen ist. Im letzteren Falle überließe der Cloud-Kunde dem Cloud-Anbieter das „Wie“ der Zielerreichung, solange er eben den vereinbarten Erfolg er1 Ausführlich zu den Messmethoden Hartung/Stiemerling, CR 2011, 617 (620 ff.). 2 Roth-Neuschild, ITRB 2012, 67 (69). Intveen/Hilber/Rabus
193
Teil 2
Rz. 212
Vertragsgestaltung
reicht. Dies ermöglicht dem Anbieter eine größere Flexibilität in der Wahl seiner Mittel und damit auch ein größeres Potential für Einsparungen. Eine mehr prozessbezogene Leistungsbeschreibung gibt dem Anbieter der Cloud-Leistungen stärker vor, auf welchem Wege er einen bestimmten Erfolg erreichen soll und gewährt dem Kunden damit eine größere Kontrolle und Sicherheit. In der Praxis wird das Vorliegen einer Auftragsdatenverarbeitung auch bei erfolgsbezogenen Leistungsbeschreibungen nicht in Frage gestellt, obwohl hierbei der Dienstleister ein größeres Ermessen hat, als bei einer prozessbezogenen Leistungsbeschreibung, die jedes Detail vorgibt. e) Unbestimmte Rechtsbegriffe 212
Problematisch ist die Verwendung von unbestimmten Rechtsbegriffen („angemessen“, „rechtzeitig“, „nach besten Kräften“, etc.), wenngleich diese häufig bequem und konfliktfrei zwischen den Parteien vereinbart werden können. Kommt es später bei der Leistungserbringung zu Problemen, wird meist schnell klar, dass die Parteien jeweils unterschiedliche Erwartungen an die Auslegung der Begriffe haben. Mitunter ist den Parteien auch gar nicht bewusst, dass sich hinter einem vermeintlich harmlosen unbestimmten Rechtsbegriff ein strenger Maßstab verbirgt. Als Beispiel kann hier der „Stand von Wissenschaft und Technik“ angeführt werden: die Rechtsprechung versteht darunter ein Verfahren, welches nicht durch das technisch gegenwärtig Machbare begrenzt ist, sondern nach dem neuesten wissenschaftlichen Erkenntnisstand bestimmt wird1.
213
Die Verwendung unbestimmter Rechtsbegriffe sollte daher zur Vermeidung unbekannter Risiken auf ein Minimum reduziert und stattdessen möglichst messbare Größen und eindeutige Parameter festgelegt werden. Sind genaue Vorgaben schwierig, kann auch ein Leistungskorridor vereinbart werden. Andererseits lassen sich unbestimmte Rechtsbegriffe auch nicht vollständig umgehen. Als Lösungsmöglichkeit kann in dem Vertrag dann zumindest ein verbindliches Verfahren vorgesehen werden, nach welchen Kriterien und durch wen (etwa einen gemeinsamen Lenkungsausschuss) die zum Zeitpunkt des Vertragsschlusses noch unbestimmten Begriffe später ausgelegt werden sollen. 3. Mitwirkungspflichten und Beistellungen durch den Kunden
214
Von den vertraglichen Leistungen des Cloud-Anbieters abzugrenzen sind die Mitwirkungspflichten und Beistellungsleistungen durch den CloudKunden. Wenngleich diese meist nicht abschließend bestimmt werden können, sind sie doch zumindest in Teilen oft projektspezifisch und sollten daher ebenfalls in der Leistungsbeschreibung präzise erfasst werden. Allerdings ist auf eine klare Abgrenzung zu den Pflichten des Anbieters 1 BVerfG, NJW 1979, 359 (362).
194
Intveen/Hilber/Rabus
IV. Leistung und Schlechtleistung
Rz. 217
Teil 2
sowie eine Zuordnung der einzelnen Pflichten untereinander zu achten. Die Erkenntnis der Parteien, dass der Cloud-Anbieter von den Mitwirkungspflichten und Beistellungsleistungen des Kunden in erheblichem Maße abhängig ist, um seinen Vertrag zu erfüllen, sollte auch beim Kunden ein Interesse an einer sachgerechten Regelung seiner Mitwirkungshandlungen hervorrufen. Unter Mitwirkungspflichten versteht man dabei solche Handlungen, die 215 niemand außer dem Cloud-Kunden selbst erbringen kann, beispielsweise die Verschaffung von Zugängen zu einem bestimmten Gebäude oder zu IT-Systemen sowie das Treffen von bestimmten Entscheidungen. Unterlässt der Kunde hier seine Mitwirkung, kann der Cloud-Anbieter seinen Vertrag unter keinen Umständen mehr erfüllen, da er derartige Leistungen auch nicht bei Dritten gegen Geld beschaffen kann. Unter Beistellungsleistungen fallen dagegen solche Leistungen oder Gegenstände, die der Kunde zum Zwecke der Vertragserfüllung dem Anbieter zur Verfügung stellt – beispielsweise eine bestimmte Hard- oder Software –, die der Anbieter aber notfalls auch bei Dritten beschaffen könnte, um seinen Vertrag dem Kunden gegenüber zu erfüllen. In letzterem Falle ist die Abhängigkeit des Anbieters vom Kunden für die Vertragserfüllung weniger stark ausgeprägt, allerdings entstehen dem Anbieter durch eine Ersatzbeschaffung meist erhebliche Zusatzkosten. Vor diesem Hintergrund ist in beiden Fallgestaltungen anzuraten, den 216 Umfang der Kundenpflichten möglichst detailliert zu beschreiben. Darüberhinaus sollten als Auffanglösung noch allgemeinere Klauseln aufgenommen werden, die dem Kunden etwa auferlegen, alle für die Vertragserfüllung wesentlichen Informationen und Dokumente bereitzustellen und alle notwendigen Entscheidungen rechtzeitig zu treffen. Soweit mit einer solchen Pflicht Kosten verbunden sind, sollten die Parteien auch vereinbaren, bis zu welcher Höhe diese Kosten vom Kunden getragen werden. Für den Cloud-Anbieter ist es von großer Bedeutung, die Risiken, die aus 217 der Sphäre des Kunden kommen, vertraglich einzugrenzen. Daher ist es sachgerecht eine Regelung aufzunehmen, nach welcher der Anbieter für all diejenigen Leistungsmängel, die darauf beruhen, dass der Kunde seine Mitwirkungspflichten und Beistellungsleistungen nicht oder nicht rechtzeitig erfüllt, nicht verantwortlich ist. Verstößt der Kunde gegen eine Mitwirkungspflicht, wird nämlich auch sein Verschulden gemäß § 280 Abs. 1 Satz 2 BGB vermutet. Als Konkretisierung der gesetzlichen Schadensminderungspflicht (§ 254 BGB) können die Parteien allerdings regeln, dass der Anbieter den Kunden über die Auswirkungen seines Verhaltens schriftlich unverzüglich informieren muss.
Intveen/Hilber/Rabus
195
Teil 2
Rz. 218
Vertragsgestaltung
4. Schlechtleistung 218
Im Falle der Schlechtleistung von Cloud-Leistungen greifen – soweit es an einer ausdrücklichen Parteienabrede fehlt – die gesetzlichen Vorschriften. Fehlen vertragliche Schlechtleistungsregelungen, ist daher zunächst eine vertragstypologische Einordnung vorzunehmen, um die anwendbaren gesetzlichen Gewährleistungsregelungen zu bestimmen. Diese unterscheiden sich mitunter erheblich, je nachdem, ob miet-, werk- oder dienstvertragsrechtliche Vorschriften zur Anwendung kommen. Im Mittelpunkt steht daher die Frage, ob schwerpunktmäßig die zeitweise Zurverfügungstellung von Software (Mietvertrag), die Durchführung eines Prozesses bzw. einer sonstigen Handlung (Dienstvertrag) oder die Herbeiführung eines bestimmten Erfolges (Werkvertrag) von dem Cloud-Anbieter geschuldet ist. Zur vertragstypologischen Einordnung siehe oben Rz. 137 ff. Je nach gefundenem Ergebnis gilt die folgende gesetzliche Ausgangslage: a) Mietvertrag
219
Ausgangspunkt der mietrechtlichen Gewährleistungsvorschriften ist die Vorschrift des § 535 Abs. 1 Satz 2 BGB, wonach es zu der vertraglichen Hauptleistungspflicht des Vermieters gehört, die Mietsache während der gesamten Dauer des Mietvertrages in einem vertragsgemäßen Zustand zu halten. Daraus folgt, dass der Vermieter während der Vertragslaufzeit jede nachteilige Abweichung der Mietsache von dem vertraglich geschuldeten Zustand beseitigen muss. Nach dem gesetzlichen Leitbild hat der Cloud-Anbieter daher für die gesamte Dauer des Vertrages eine 100 %ige Verfügbarkeit der Cloud-Services sicherzustellen1. Der Cloud-Kunde wiederum kann die Vergütung für denjenigen Zeitraum angemessen mindern (einbehalten), in welchem eine 100 %ige bzw. eine ggf. abweichend vereinbarte Verfügbarkeit nicht gegeben ist, § 536 Abs. 1 Satz 1 und 2 BGB. Eine weitere Besonderheit des gesetzlichen Mietrechts liegt darin, dass gemäß § 536a Abs. 1 BGB der Vermieter für anfängliche Mängel einer Software – solche, die bei Vertragsschluss bereits vorhanden waren – dem Mieter einen dadurch entstandenen Schaden auch dann zu ersetzen hat, wenn ihn selbst keinerlei Verschulden an dem Mangel trifft. Diese verschuldensunabhängige Haftung kann für den Cloud-Anbieter ein erhebliches Risiko darstellen, insbesondere wenn er Drittsoftware einsetzt, auf deren Fehleranfälligkeit er keinerlei Einfluss hat. Für während der Vertragslaufzeit entstehende Mängel haftet der Vermieter dagegen nach den allgemeinen Grundsätzen nur dann auf Schadensersatz, wenn ihn selbst ein Verschuldensvorwurf trifft. Ist dem Cloud-Kunden der Mangel, etwa die Unzuverlässigkeit der Software, bei Vertragsschluss bekannt und behält er sich seine Schadensersatz- und Minderungsrechte nicht
1 BGH, NJW 2001, 751 ff. (Rz. 14 f.).
196
Intveen/Hilber/Rabus
IV. Leistung und Schlechtleistung
Rz. 221
Teil 2
ausdrücklich vor, kann er sie später nicht mehr geltend machen, § 536b BGB1. Alles in allem sind die gesetzlichen Gewährleistungspflichten des Cloud- 220 Anbieters im Falle eines Mietvertrages sehr weitreichend. Größtenteils stehen die genannten Bestimmungen aber zur Disposition der Parteien und können in ausgehandelten Invididualvereinbarungen und – jedoch nur innerhalb gewisser Grenzen – auch in Allgemeinen Geschäftsbedingungen abgeändert werden. Dies gilt insbesondere für die verschuldensunabhängige Haftung nach § 536a Abs. 1 BGB2. b) Werkvertrag Ist das Vertragsverhältnis zwischen Cloud-Kunde und Anbieter als Ver- 221 einbarung mit werkvertraglichem Charakter einzuordnen, gelten für Nicht- und Schlechtleistung durch den Cloud-Anbieter die Vorschriften der §§ 634 ff. BGB. Diese finden allerdings erst ab Abnahme bzw. fingierter Abnahme (§ 640 BGB) des bestellten Werkes Anwendung. Bis zu diesem Zeitpunkt behält der Cloud-Kunde seinen vertraglichen Anspruch auf mangelfreie Ablieferung des Werkes und kann im Falle von Verzögerungen oder Nichtleistung des Cloud-Anbieters seine gesetzlichen Rechte auf Schadensersatz bzw. Rücktritt vom Vertrag nach den allgemeinen Vorschriften der §§ 280 ff., 323 ff. BGB geltend machen. Wann im Falle von Cloud-Leistungen eine Abnahme bzw. fingierte Abnahme vorliegt, bedarf einer Einzelfallbetrachtung (so wird man beim Versand eines E-Mail-Newsletters evtl. eine maximale Rückläuferqoute festlegen, die erst mit einer gewissen Verzögerung nach dem Versand des Newsletters ermittelt werden kann). Verallgemeinern lässt sich allenfalls, dass eine Abnahme – und damit Mängelrechte – frühestens mit dem Beginn der Leistungserbringung in Betracht kommt. Grundsätzlich ist den werkvertraglichen Mängelrechten gemein, dass der Cloud-Kunde dem Anbieter der Cloud-Services zunächst eine angemessene Frist zur Behebung des Mangels bzw. der Verzögerung setzen muss3. Erst wenn diese erfolglos abgelaufen ist, kann der Kunde (ggf. ganz oder teilweise) vom Vertrag zurücktreten oder einen entstandenen Nichterfüllungs- bzw. Verzögerungsschaden geltend machen4. Im Falle von Schadensersatzansprüchen gilt zudem die Grundregel des § 280 Abs. 1 Satz 2 BGB, wonach ein Verschulden des Cloud-Anbieters für die Vertragsverletzung zunächst vermutet wird, er sich aber exkulpieren kann, indem er darlegt und beweist, dass er oder ein ihm zurechenbarer Gehilfe bzw. Subunternehmer weder fahrlässig noch vorsätzlich gehandelt haben. 1 Die Darlegungs- und Beweislast für einen solchen Rechteausschluss trifft allerdings den Cloud-Anbieter, Palandt/Weidenkaff, § 536b BGB Rz. 4. 2 Palandt/Weidenkaff, § 536a BGB Rz. 7. 3 Zu den Ausnahmen von diesem Grundsatz § 281 Abs. 2 und § 323 Abs. 2 BGB. 4 §§ 281 Abs. 1 Satz 1; 323 Abs. 1 Satz 1 BGB, ggf. über die Verweisungsnormen des § 634 Nr. 3 und 4 BGB. Intveen/Hilber/Rabus
197
Teil 2
222
Rz. 222
Vertragsgestaltung
Hat der Cloud-Anbieter einen vertraglich geschuldeten Erfolg zwar herbeigeführt (etwa den Newsletter innerhalb eines bestimmten Zeitraumes zugestellt), jedoch nicht in der Art und Weise wie in der Leistungsbeschreibung mit dem Cloud-Kunden festgelegt (nämlich beispielsweise nur an die Hälfte der Kunden, die den Newsletter eigentlich hätten erhalten sollen), so kann der Cloud-Kunde vom Cloud-Anbieter gemäß § 635 BGB auch Nacherfüllung – also die nachträgliche erneute Versendung der Newsletter – verlangen oder seine Vergütung nach den Grundsätzen des § 638 BGB mindern. Das im Werkvertragsrecht ausnahmsweise vorgesehene Selbstvornahmerecht des Bestellers nach § 637 BGB dürfte im Bereich des Cloud Computing aufgrund der mangelnden technischen Möglichkeiten des Cloud-Kunden allenfalls eine untergeordnete Rolle spielen. c) Dienstvertrag
223
Soweit es sich bei dem Cloud-Vertrag um eine Dienstleistungsvereinbarung handelt, finden lediglich die allgemeinen Vorschriften der §§ 280 ff., 323 ff. BGB für Schadensersatz und Rücktritt Anwendung, spezielle Mängelrechte des Cloud-Kunden bestehen darüber hinaus nicht. Dies hat zur Folge, dass der Cloud-Anbieter seinem Kunden nur dann auf Schadensersatz haftet, wenn er den Verstoß gegen eine Vertragspflicht zu vertreten hat; insbesondere hat der Cloud-Kunde kein gesetzliches Recht, seine Vergütung zu mindern.
224
Ungeachtet dessen, ob der Schwerpunkt des Cloud-Vertrages im Miet-, Werk- oder Dienstvertragsrecht liegt, ist den Parteien anzuraten und auch in der Praxis allgemein üblich, den Umfang der konkreten CloudLeistungen in qualitativer und quantitativer Hinsicht sowie die Rechtsfolgen bei Schlechtleistung mit der Festlegung von Service Levels detailliert zu beschreiben. Ein Verstoß gegen die vereinbarten Service Level seitens des Cloud-Anbieters führt dann zu einer Pflichtverletzung i.S.d. § 280 Abs. 1 BGB und löst die vereinbarten Konsequenzen aus (z.B. Service Credits) und begründet Schadensersatzansprüche, jedenfalls wenn der Cloud-Anbieter nicht beweisen kann, dass er den Service-Level-Verstoß nicht zu vertreten hat. Näher dazu oben Rz. 200 ff.
225
Für den Cloud-Kunden wird es allerdings oftmals mühsam und aufwendig sein, einen konkreten und kausal durch den Service-Level-Verstoß verursachten Schaden zu beweisen. Eine Abhilfe könnten Schadenspauschalen sein, welche die Parteien für gewisse Pflichtverstöße vorab vereinbaren und welche für den Kunden vor allem eine Beweiserleichterung darstellen1. Da jedoch auch derartige Pauschalen stets ein Verschulden des Cloud-Anbieters voraussetzen, dürfte es für den Cloud-Kunden insgesamt vorteilhafter und praktikabler sein, im Falle der Nichterreichung
1 Schuster, CR 2009, 205 (207 ff.) m.w.N.
198
Intveen/Hilber/Rabus
IV. Leistung und Schlechtleistung
Rz. 226
Teil 2
der vereinbarten Service Level einen Teil der Vergütung einzubehalten bzw. zu mindern (sog. Service Credits). Zumindest im Mietvertragsrecht – und unter erweiterten Voraussetzungen auch im Werkvertragsrecht – ist diese Option gesetzlich in §§ 536 Abs. 1, 638 BGB vorgesehen und jedenfalls im Individualvertrag auch darüber hinaus – etwa im Bereich des Dienstvertrages – von den Parteien aushandelbar1. Der Cloud-Anbieter kann seinen Kunden vorschlagen, im Falle einer Unterschreitung spezifischer Service Level und nach der Schwere des Verstoßes gestaffelt einen vorab bestimmten Anteil der gezahlten Vergütung gutzuschreiben bzw. innerhalb von festgelegten Abrechnungsintervallen zu erstatten (pauschalierte Minderung). Die Parteien können auch eine Maximalminderung vereinbaren oder nur ausgewählte, besonders wichtige Service Level mit dieser Rechtsfolge belegen. Als differenzierender Ansatz ist denkbar, Verstöße gegen besonders kritische Service Level mit größeren Minderungsposten zu sanktionieren als solche gegen weniger kritische Service Level. Insgesamt bietet die Lösung einer pauschalierten Minderung für den Cloud-Kunden den Vorteil, dass er einen Schaden zusätzlich geltend machen kann2. Dies ist allerdings nur im Rahmen der bestehenden Haftungsbeschränkungen möglich. In Vertragsverhandlungen ist oft streitig, inwiefern Schadensersatzansprüche über die Service Credits oder sonstige Pauschalen hinaus verlangt werden können. Für Vertragsstrafen gilt sonst § 340 Abs. 2 BGB. Das Gesetz unterscheidet zwischen einer Reduzierung der Vergütung (Minderung, Service Credits), Schadensersatz und Vertragsstrafen. Die Vereinbarung von Service Credits als prozentuale Reduzierung der Vergütung lässt danach Schadensersatzansprüche unberührt. Sind die Einbehalte aber höher, umfassen sie etwa auch einen etwaigen von den Parteien erwarteten Schaden, ist es demgegenüber auch angemessen, die Haftung des Anbieters entsprechend einzuschränken. Als eine Art Erweiterung des Minderungsansatzes können die Parteien 226 auch vorsehen, dass der Anbieter im Falle der Überschreitung bestimmter Service Level eine zusätzliche Vergütung verdienen kann. Abweichungen von den vertraglichen Service Levels führen dann aus Sicht des Anbieters entweder zu einer Minderung (Malus) oder zu einer Zusatzvergütung (Bonus). Auch insoweit besteht viel Freiraum bei der individualvertraglichen Ausgestaltung; so können die Parteien auch Verrechnungs-
1 Soweit allerdings AGB vorliegen, ist die Zulässigkeit einer pauschalierten Minderungsoption im Bereich des Dienstvertrages noch nicht geklärt, möglicherweise steht hier die Norm des § 307 Abs. 1 BGB entgegen. Nimmt man aber an, dass der Cloud-Vertrag zumeist vom Cloud-Anbieter vorgelegt wird und dieser mithin als „Verwender“ der AGB i.S.d. § 305 Abs. 1 Satz 1 BGB zu qualifizieren ist, dürften einer pauschalierten Minderung als für den Cloud-Kunden vorteilhaften Regelung keine Bedenken begegnen. 2 Dies folgt aus § 325 BGB, wonach Schadensersatz und Rücktritt nebeneinander möglich sind. Das Gleiche gilt für die Minderung, die gemäß § 638 BGB beim Werkvertrag eine Alternative zum Rücktritt ist. Intveen/Hilber/Rabus
199
Teil 2
Rz. 227
Vertragsgestaltung
möglichkeiten von Mali und Boni über einen fest definierten Zeitraum vereinbaren1. Allerdings wird die Übererfüllung bestimmter Service Level für den Cloud-Kunden oftmals keinen besonderen Vorteil darstellen, für den er zusätzlich zu zahlen bereit ist. 227
Schließlich können die Parteien bei einer Verletzung von Service Levels auch Vertragsstrafen vereinbaren. In Abgrenzung zum pauschalierten Schadensersatz beruht die Vertragsstrafe auf einer besonderen Zusage des Schuldners (Cloud-Anbieters) und kann dementsprechend verschuldensabhängig oder verschuldensunabhängig ausgestaltet werden. Auch kann sich der Schuldner der Vertragsstrafe nicht exkulpieren, indem er darlegt, dass gar kein Schaden entstanden ist2.
228
Im Falle von schwerwiegenden oder wiederholten Service-Level-Verstößen können die Parteien auch vertragliche Kündigungsrechte vereinbaren. Vgl. hierzu unten Rz. 366 ff. 5. Haftung
229
Mit Blick auf die Haftung des Cloud-Anbieters ergeben sich gegenüber bekannten ASP- oder Outsourcing-Verträgen keine besonderen Abweichungen. Ausgangspunkt der gesetzlichen Verschuldenshaftung ist – entweder direkt oder über Verweisungsnormen aus den jeweils anwendbaren Regelungsregimen3 – die Vorschrift des § 280 BGB, welche im Falle einer Vertragsverletzung durch den Cloud-Anbieter dessen Verschulden (Vorsatz und Fahrlässigkeit gemäß § 276 BGB) nach Abs. 1 grundsätzlich vermutet. Im Haftungsfalle hat der Cloud-Anbieter den vollen Schaden zu ersetzen, welcher durch die Vertragsverletzung verursacht wurde und welcher innerhalb des Schutzzwecks der Norm liegt4. Einer Pflicht zum Schadensersatz entgeht der Cloud-Anbieter jedoch dann, wenn er darlegen kann, dass er die vertragliche Pflichtverletzung nicht zu vertreten hat, § 280 Abs. 1 Satz 2 BGB, wenn er also weder vorsätzlich noch fahrlässig gehandelt hat. 1 Ein Beispiel für eine Bonus/Malus-Regelung findet sich etwa bei Roth-Neuschild, ITRB 2012, 67 (69). 2 §§ 339 ff. BGB. Zu beachten ist § 340 Abs. 2 BGB, wonach eine verwirkte Vertragsstrafe auf einen Schadensersatzanspruch anzurechnen ist; eine abweichende Regelung hiervon ist zumindest in AGB nicht zulässig, vgl. Palandt/Grüneberg, § 340 BGB Rz. 3. AGB-rechtliche Probleme dürften sich indes auch mit Blick auf eine Vertragsstrafenregelung kaum stellen, zumindest wenn man annimmt, dass der Cloud-Vertrag meist vom Cloud-Anbieter vorgelegt wird und dieser mithin „Verwender“ der AGB i.S.d. § 305 Abs. 1 Satz 1 BGB ist. Die AGB-Kontrolle dient dem Zweck, unangemessene Regelungen gegenüber Vertragspartnern zu verhindern, die keine/wenig Verhandlungsmacht haben. Dagegen ist es dem Verwender von AGB unbenommen, zu seinen eigenen Lasten nachteilige Regelungen aufzunehmen, etwa als vertrauensbildende Maßnahmen bzw. als Abgrenzung zu seinen Wettbewerbern. 3 Etwa §§ 437, 634 BGB. 4 Palandt/Grüneberg, § 249 BGB Rz. 21 ff.
200
Intveen/Hilber/Rabus
IV. Leistung und Schlechtleistung
Rz. 231
Teil 2
Treffen die Parteien keinerlei Absprache zur Eingrenzung der Haftung, so 230 haftet der Cloud-Anbieter nicht nur summenmäßig unbeschränkt, sondern auch für sämtliche Folgeschäden. Vor diesem Hintergrund liegt es nahe, dass der Cloud-Anbieter nahezu immer versuchen wird, eine solcherart weite Haftung zu beschränken. Je nachdem, ob es sich – wie wohl in der überwiegenden Anzahl der Fälle – um einen mehrfach verwendeten Standardvertrag handelt, welcher den besonderen Vorschriften der §§ 307 ff. BGB unterliegt oder ob eine individuell ausgehandelte Haftungsklausel vorliegt, sind den vertraglichen Haftungsbeschränkungen unterschiedlich strenge Grenzen gesetzt. Ausgestaltet werden kann eine Haftungsbeschränkung auf vielfache Weise, denkbar sind Beschränkungen auf bestimmte Verschuldensformen (leichte, normale oder grobe Fahrlässigkeit sowie Vorsatz), auf bestimmte Rechtsgutsverletzungen (Sach- oder Personenschäden), auf bestimmte Anspruchsarten (vertragliche oder gesetzliche Ansprüche, etwa aus dem Produkthaftungsgesetz), auf bestimmte Schadensarten (Datenverlust, Folgeschäden, darunter etwa einen entgangenen Gewinn) oder auf bestimmte Höchstsummen (pro Schadensfall, pro Kalenderjahr oder pro Vertragslaufzeit)1. Meist wird eine Kombination aus mehreren dieser Beschränkungsoptionen sinnvoll sein und auch von dem Cloud-Kunden als angemessener Ausgleich akzeptiert werden können. Beim Vorliegen Allgemeiner Geschäftsbedingungen gemäß den §§ 305 ff. 231 BGB (dazu sogleich unter Rz. 235 ff.) ist zu beachten, dass dem CloudKunden ohnehin ein durch die Grenzen der Rechtsprechung definierter, weitreichender Mindestschutz verbleibt, da gemäß der ständigen Rechtsprechung des BGH eine Haftung grundsätzlich nur für einfache Fahrlässigkeit ausgeschlossen werden kann und selbst dies nur in solchen Fällen möglich ist, in denen keine Schäden an Leben, Körper oder Gesundheit entstanden sind2 und keine vertragswesentliche (Kardinal-)Pflicht verletzt wurde3. Eine Kardinalpflicht wird von der Rechtsprechung als Pflicht definiert, „deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Vertragspartner regelmäßig vertraut und vertrauen darf“4. Dazu gehören in erster Linie die Pflichten zur rechtzeitigen und ordnungsgemäßen Leistungserbringung. Regelmäßig wird aber insbesondere auch ein sorgfältiger Umgang mit den Daten des Cloud-Kunden zu den vertragswesentlichen (Haupt-)Pflichten des Cloud-Anbieters gehören, auf deren Einhaltung der Cloud-Kunde erkennbar besonderen Wert und Vertrauen legt. Vor diesem Hintergrund begegnet auch ein im Rahmen von Cloud1 Vgl. hierzu Bräutigam, IT-Outsourcing, Teil 13, Rz. 187 ff. 2 Vgl. § 309 Nr. 7 Buchst. a BGB. Für den unternehmerischen Verkehr findet dieser Grundgedanke Anwendung über § 307 Abs. 2 Nr. 1 BGB, s. dazu Palandt/Grüneberg, § 309 BGB Rz. 55. 3 Etwa BGH, NJW-RR 1993, 561; vgl. auch Palandt/Grüneberg, § 309 BGB Rz. 48 m.w.N. 4 BGH, NJW-RR 2005, 1505. Intveen/Hilber/Rabus
201
Teil 2
Rz. 232
Vertragsgestaltung
Dienstleistungen denkbarer und besonders relevanter Haftungsausschluss für den Verlust von Daten – jedenfalls jenseits einer individualvertraglich ausgehandelten Klausel – erheblichen Bedenken1. 232
Scheidet ein vollständiger Ausschluss der Haftung demnach aus, kann man weiterhin an eine Begrenzung der Haftung denken. Auch insoweit folgt aber aus § 309 Nr. 7 Buchst. a und b BGB, dass eine Haftungsbegrenzung im Falle der Verletzung von Leben, Körper und Gesundheit sowie – jedenfalls gegenüber Verbrauchern gemäß § 13 BGB – einer grob fahrlässigen Verletzung einer vertraglichen Pflicht unzulässig ist. Inwieweit eine Haftung für grobe Fahrlässigkeit auch im unternehmerischen Rechtsverkehr begrenzt werden kann2, wurde von der Rechtsprechung bislang offengelassen3. Ungeachtet dessen werden summenmäßige Haftungshöchstbeträge aber jedenfalls dann als kritisch erachtet, wenn sie nicht zumindest den „vertragstypisch vorhersehbaren Schaden“ abdecken4. Dies gilt auch für Klauseln, welche die Schadenersatzpflicht des Anbieters auf ein mehrfaches des gezahlten Entgelts beschränken5.
233
Im Falle einer individualvertraglich ausgehandelten Haftungsklausel verbleibt als zwingende Haftungsnorm die Vorschrift des § 276 Abs. 3 BGB, wonach lediglich eine Haftung für Vorsatz durch eine vertragliche Abrede im Voraus nicht ausgeschlossen werden kann.
234
Haben die Parteien Vertragsstrafen oder ein Bonus/Malus-System für die Erreichung von Service Levels vereinbart, sollte die Haftungsklausel auch dazu Stellung nehmen, ob derartige Zahlungsverpflichtungen des Cloud-Anbieters auf eventuelle Schadensersatzzahlungen anzurechnen sind. 6. AGB-Problematik
235
Um Unternehmen wirtschaftlich effizient und risikobegrenzt führen zu können, bedarf es der Verwendung von Standardverträgen. Gerade im Bereich des Cloud Computing geht es häufig um das Angebot stark standardisierter Leistungen, bei denen es wirtschaftlich kaum lohnt, für jeden Einzelfall einen individuellen Vertrag auszuhandeln. Allerdings führt bereits die mehr als zweifache Verwendung ein- und derselben, vorformulierten Klausel dazu, dass gemäß § 305 Abs. 1 Satz 1 BGB eine „Allgemeine Geschäftsbedingung“ (AGB) vorliegt, welche – als wichtigste Rechtsfolge – der gerichtlichen Inhaltskontrolle nach den §§ 307 ff. BGB 1 Vgl. auch Redeker/Heymann/Lensdorf, Handbuch der IT-Verträge, Kap. 5.4 Rz. 594, sowie Bräutigam, IT-Outsourcing, Teil 13, Rz. 208. 2 Mittels der Anwendung des Rechtsgedankens aus § 309 Abs. 7b BGB über §§ 310, 307 BGB. 3 BGH, NJW 2007, 3774; dazu auch Ulmer/Brandner/Hensen/Christensen, AGBRecht, § 309 Nr. 7 Rz. 46. 4 BGH, NJW 1993, 335. 5 Palandt/Grüneberg, § 309 BGB Rz. 51 m.w.N.
202
Intveen/Hilber/Rabus
IV. Leistung und Schlechtleistung
Rz. 236
Teil 2
unterliegt1. Unbeachtlich ist dabei, ob die betreffende Klausel ausdrücklich als „Allgemeine Geschäftsbedingung“ bezeichnet ist, sie sich – womöglich besonders kleingedruckt – in einem ausgehängten oder ausgehändigten Anhang zum Vertrag befindet oder ob sie selbst einen Teil des unterzeichneten Vertragsdokumentes ausmacht, § 305 Abs. 1 Satz 2 BGB. Dieser weite und von der Rechtsprechung konkretisierte Anwendungsbereich der §§ 305 ff. BGB macht es im standardisierten Geschäftsverkehr nur schwer möglich, einen Vertrag zu formulieren, der nicht zu weiten Teilen aus AGB besteht. Keiner AGB-Kontrolle unterliegen lediglich solche Klauseln, die „zwischen den Vertragsparteien im Einzelnen ausgehandelt“ worden sind, § 305 Abs. 1 Satz 3 BGB. Die Hürde für eine kontrollfreie Individualvereinbarung, die sich hinter dieser Formulierung verbirgt, wurde allerdings im Laufe der Jahre durch die Rechtsprechung immer höher gelegt: so soll ein „Aushandeln“ einer Klausel gemäß § 305 Abs. 1 Satz 3 BGB – als Steigerung gegenüber dem Begriff „Verhandeln“ – erst dann gegeben sein, wenn der Verwender der Klausel „den gesetzesfremden Kerngehalt seiner AGB ernsthaft zur Disposition stellt und dem anderen Teil Gestaltungsfreiheit zur Wahrung eigener Interessen einräumt“2. Grundsätzlich wird eine ausgehandelte Klausel sogar erst dann angenommen, wenn die Verhandlungen zwischen den Parteien zu einer Änderung des Klauselwortlauts geführt haben3. Ausgehandelt ist zudem nicht der Vertrag in seiner Gesamtheit, sondern lediglich eine einzelne Klausel für sich4. Die Folgen dieses weiten Anwendungsbereiches der §§ 305 ff. BGB für die 236 Vertragsgestaltungsfreiheit des Cloud-Anbieters sind erheblich. Soweit ein Vertrag Allgemeine Geschäftsbedingungen enthält, unterliegen diese der strengen Inhaltskontrolle gemäß den Vorschriften der §§ 307 ff. BGB. Verlässt der Cloud-Anbieter als Verwender der AGB5 mit einer Klausel zu Lasten seines Vertragspartners6 den Bereich des demnach Zulässigen, so ist die betreffende Klausel unwirksam und wird durch die entsprechende Regelung des dispositiven Rechts ersetzt, § 306 BGB. Gerade in kommerziell wichtigen Fragen wie etwa möglichen Haftungsbeschränkungen oder -freizeichnungen (dazu auch bereits oben Rz. 230 ff.), bei denen die gesetzlichen Regelungen allgemein als sehr weitgehend empfunden werden, kann dies auf Seiten des Cloud-Anbieters zu einem bösen Erwachen führen. Aber auch hinsichtlich zahlreicher weiterer Aspekte, so etwa bei der Ausgestaltung von Gewährleistungs- und Vertragsstrafenregelungen oder 1 2 3 4
BGH, NJW 2002, 138. BGH, NJW 1977, 624 ff.; BGH, NJW 1998, 3488 (3489). BGH, NJW 2004, 1454. Dies folgt aus der Formulierung „soweit“ in § 305 Abs. 1 Satz 3 BGB, vgl. Ulmer/ Brandner/Hensen/Habersack, AGB-Recht, § 305 Rz. 55. 5 Das Merkmal des „Stellens“ von AGB aus § 305 Abs. 1 Satz 1 BGB ist bereits mit dem Übersenden eines Vertragsentwurfes erfüllt, vgl. Palandt/Grüneberg, § 305 BGB Rz. 10. 6 Nachteilige Abweichungen zu Lasten des Verwenders selbst werden von der AGB-Kontrolle nicht erfasst. Intveen/Hilber/Rabus
203
Teil 2
Rz. 237
Vertragsgestaltung
bei der Vereinbarung von Verjährungsfristen, Kündigungsszenarien, Beweislastregeln und Gerichtsständen – um nur einige zu nennen – ziehen die §§ 307 ff. BGB der Vertragsgestaltungsfreiheit des Cloud-Anbieters mitunter enge Grenzen, die häufig durch eine umfangreiche Rechtsprechung bestimmt sind. 237
Eine wichtige Unterscheidung für den jeweils anzuwendenden Maßstab der Inhaltskontrolle ist die Frage, ob der Cloud-Anbieter als Verwender der AGB den Cloud-Vertrag mit einem Verbraucher oder mit einem Unternehmer abschließt. Während im ersten Fall das volle Prüfprogramm der §§ 307, 308 und 309 BGB zur Anwendung gelangt, finden die Kataloge der §§ 308 und 309 BGB auf den unternehmerischen Rechtsverkehr keine unmittelbare Anwendung1. Vielmehr enthält § 310 Abs. 1 Satz 2, 2. Halbsatz BGB gar ein gesetzliches Differenzierungsgebot für den unternehmerischen Rechtsverkehr, nach dem „auf die im Handelsverkehr geltenden Gewohnheiten und Gebräuche angemessen Rücksicht zu nehmen ist“. Im unternehmerischen Rechtsverkehr gilt demnach unmittelbar allein der Maßstab des § 307 BGB, wonach Allgemeine Geschäftsbedingungen unwirksam sind, wenn sie den Vertragspartner des AGBVerwenders unangemessen benachteiligen, Abs. 1 Satz 1 BGB. Zusätzlich gilt auch zwischen zwei Unternehmen das Transparenzgebot nach § 307 Abs. 1 Satz 2, wonach die Allgemeinen Geschäftsbedingungen hinreichend klar und verständlich sein müssen.
238
Diese gesetzlich vorgesehene Differenzierung zwischen Verbrauchern und Unternehmern hat die höchstrichterliche Rechtsprechung jedoch mithilfe der Figur der „Indizwirkung“ erheblich abgeschwächt und einen Verstoß gegen die §§ 308, 309 BGB auch im unternehmerischen Rechtsverkehr als Indiz für die Unwirksamkeit einer Klausel gewertet2. Damit gelten die verbraucherschützenden Vorschriften der §§ 308, 309 BGB – die sich am Leitbild des dispositiven Rechts für den jeweils anwendbaren Vertragstyp orientieren – über den Umweg der §§ 310, 307 BGB weitgehend auch im unternehmerischen Rechtsverkehr. Im Zusammenhang mit dem Verbot der geltungserhaltenden Reduktion aus § 306 BGB kann dies zu dem misslichen Ergebnis führen, dass die beteiligten Parteien im unternehmerischen Rechtsverkehr bei einer (zu weiten) Abweichung vom dispositiven Recht letztlich an einen Vertrag gebunden sind, den sie ursprünglich in dieser Fassung gar nicht abschließen wollten. Mithin ist die Vertragsfreiheit eines Cloud-Anbieters bei der Verwendung von AGB erheblich eingeschränkt und es ist ihm zu raten, seine Standardverträge sorgfältig auf Verstöße gegen die §§ 305 ff. BGB zu überprüfen3.
1 § 310 Abs. 1 Satz 1 BGB. 2 Etwa BGHZ 90, 273 (278); BGH, NJW 2007, 3774 („Gleichschrittrechtsprechung“). 3 Dies u.a. auch schon deshalb, da Zweifel an der Wirksamkeit der AGB zu Lasten des Verwenders gehen, § 305c Abs. 2 BGB.
204
Intveen/Hilber/Rabus
V. Vergtung
Rz. 242
Teil 2
Hinzuweisen ist schließlich auf § 307 Abs. 3 Satz 1 BGB, nach dem nur 239 solche Klauseln einer vollen Inhaltskontrolle unterliegen, mit denen von (dispositiven) Rechtsvorschriften abgewichen bzw. diese ergänzt werden sollen. Daraus folgt insbesondere, dass die Leistungsbeschreibung eines Cloud-Vertrages (hierzu siehe Rz. 203) von den Gerichten nicht auf Angemessenheit überprüft werden kann. Allerdings bleibt auch insoweit zu beachten, dass jedenfalls das Transparenzgebot nach § 307 Abs. 1 Satz 2 BGB und das Verbot von überraschenden Klauseln nach § 305c Abs. 1 BGB weiterhin Anwendung finden.
V. Vergütung 1. Allgemeines Der Regelung der Vergütung sollte als Hauptleistungspflicht des Cloud- 240 Kunden besondere Aufmerksamkeit gebühren. Die geltenden Preise sind in der Regel in einer Anlage zum Vertrag enthalten. Die Regelungen zur Umsatzsteuer, zu den Zahlungsmodalitäten und Ausschlussklauseln für Zusatzvergütungen befinden sich dagegen in der Regel im Vertragstext selbst. a) Umsatzsteuer Es ist eine Selbstverständlichkeit, dass ausdrücklich auf die zum Netto- 241 preis hinzuzurechnende Umsatzsteuer hinzuweisen ist. Fehlt diese Regelung, gelten grundsätzlich Bruttopreise, d.h. die genannten Preise schließen die Umsatzsteuer mit ein, die dann vom Dienstleister nicht gesondert verlangt werden kann1. Soweit allerdings Cloud-Leistungen von einer Bank bezogen werden sollen, besteht eine wichtige Frage darin, ob die Leistungen umsatzsteuerpflichtig sind und falls ja, ob die umsatzsteuerbegünstigte Bank die an den Cloud-Anbieter gezahlte Umsatzsteuer als Vorsteuerabzug vom Fiskus zurückerhalten kann. Näher hierzu Teil 6 Rz. 113 ff. b) Zahlungsmodalitäten Gesetzliche Ausgangspunkte sind §§ 270, 271 BGB, wonach der Cloud- 242 Anbieter die Vergütung mangels anderslautender Vereinbarung sofort verlangen kann und der Auftraggeber das Geld im Zweifel auf eigene Gefahr und seine Kosten an den Sitz des Anbieters zu übermitteln hat. Insbesondere die Fälligkeit der Vergütung ist also zu regeln, um zu marktangemessenen Zahlungsfristen zu gelangen. Cloud Computing-Verträge sehen in der Regel vor, dass die Vergütung jeweils monatlich im Nachhinein fällig ist, z.B. 30 Tage nach Zugang der Rechnung des Dienstleisters. Soweit – wie regelmäßig bei Cloud Computing-Verträgen – die Ver1 BGH v. 28.2.2002 – I ZR 318/99, NJW 2002, 2312. Intveen/Hilber/Rabus
205
Teil 2
Rz. 243
Vertragsgestaltung
gütung von dem Umfang der in Anspruch genommenen Leistungen abhängt, bedarf es einer Abrechnung durch den Dienstleister, welche den konkreten Umfang der Leistungsinanspruchnahme darlegt. Der Vertrag sollte ausdrücklich vorsehen, dass eine Rechnung mit diesen Verbrauchsdetails Fälligkeitsvoraussetzung ist, damit der Kunde in die Lage versetzt wird, die Richtigkeit des Rechnungsbetrages vor Zahlung prüfen zu können1. 243
Was die Zahlungsziele angeht, bestehen naturgemäß zwischen Kunden, die zum Teil Zahlungsziele von 90 Tagen oder mehr fordern, und Anbietern unterschiedliche Vorstellungen. Das Zahlungsziel selbst ist in erster Linie eine kommerzielle Frage. Allerdings sieht die EU-Richtlinie zur „Bekämpfung von Zahlungsverzug im Geschäftsverkehr“ (2011/7/EU) gewisse Einschränkungen vor für Zahlungsfristen über 60 Tage. Die Richtlinie war bis zum 16.3.2013 in nationales Recht umzusetzen2.
244
In der Praxis findet man häufig unklare Vereinbarungen. So ist etwa die Vereinbarung „30 Tage nach Rechnungsstellung“ im Ergebnis unpräzise und in der Regel so zu verstehen, dass die Zahlung 30 Tage nach Rechnungszugang zu erfolgen hat. Die von Anbietern oftmals bevorzugte Fälligkeitsvereinbarung „30 Tage nach Rechnungsdatum“ ist zwar in ihrem Sinngehalt eindeutig, bereitet aber für die Kundenseite Probleme bei der konkreten Anwendung, weil das Zugangsdatum unklar ist, vom Versendungszeitpunkt und dem Gang der Versendung abhängt und der Kunde damit das Risiko einer verzögerten Zustellung übernimmt. Allerdings stellen auch Kunden bei der (automatisierten) Rechnungserfassung zunehmend auf das Rechnungsdatum ab. In diesen Fällen sollte der Vertrag jedoch klarstellen, dass das Rechnungsdatum nur bei normalem Postlauf von etwa bis zu drei Werktagen maßgeblich für den Beginn der Zahlungsfrist ist3.
245
Der Cloud-Dienstleister hat ein Interesse daran, die kundenseitig vereinbarten Zahlungsmodalitäten an seine Zulieferer in der Cloud-Wertschöpfungskette weiterzureichen oder sogar längere Zahlungsfristen zu vereinbaren, um einen Zwischenfinanzierungsbedarf zu vermeiden. Dies kann zum einen durch eine Koordination der Zahlungsfristen selbst erfolgen, was jedoch bei einer hohen Anzahl von Zulieferern und Kunden schwierig werden kann. Ein anderes Mittel ist es, mit den Subunternehmern sog. Delkredere-Klauseln zu vereinbaren, nach denen eine Zahlung erst 1 Zivilrechtlich ist eine Rechnung grundsätzlich keine Fälligkeitsvoraussetzung, vgl. § 271 BGB. Zur Begründung des Verzuges nach § 286 Abs. 3 BGB ist eine Rechnung zumindest in Textform (§ 126b BGB) erforderlich. Die Rechnung wird dabei als „gegliederte Aufstellung“ verstanden, ohne dass jedoch Klarheit über die Details besteht. Vgl. Palandt/Grüneberg, § 286 BGB Rz. 28. 2 Zum Stand des Gesetzgebungsverfahrens im Juni 2013: http://www.bundesge richtshof.de/DE/Bibliothek/GesMat/WP17/Z/Zahlungsverzug.html (zuletzt aufgerufen am 4.10.2013). 3 S. zu diesem Thema auch Söbbing, Handbuch IT-Outsourcing, Rz. 630.
206
Intveen/Hilber/Rabus
V. Vergtung
Rz. 247
Teil 2
dann zu erfolgen hat, wenn der Cloud-Anbieter seinerseits vom Kunden bezahlt worden ist. Während bei physischen Zulieferungen die Zuordnung der Lieferung zu einer bestimmten Kundenzahlung möglich sein mag, wird dies bei Cloud-Leistungen jedoch schwerer fallen, da sämtliche Eigen- und Fremdleistungen kontinuierlich in die Leistungserbringung gegenüber sämtlichen Endkunden münden. Die auch AGB-rechtlich problematischen1 Delkredere-Klauseln taugen daher nicht so recht für Cloud-Lieferketten. Von Delkredere-Klauseln abzugrenzen sind die üblichen Zurückbehaltungs- und Aufrechnungsrechte. In der Regel wird der Kunde einen Grund dafür haben, nicht zu zahlen, z.B. weil er aufgrund einer Schlechtleistung die Minderung erklärt hat. Ist diese Schlechtleistung von einem Zulieferer verursacht, wird dem Cloud-Anbieter – im Rahmen der geschlossenen Verträge – ein entsprechendes Minderungsrecht gegenüber dem Zulieferer zustehen2. Im Hinblick auf den Zahlungsverzug ist zu beachten, dass eine Fälligkeit 246 30 Tage nach Rechnungszugang dazu führt, dass der Kunde erst weitere 30 Tage nach Fälligkeit, also 60 Tage nach Rechnungszugang gemäß § 286 Abs. 3 Satz 1 BGB automatisch in Verzug gerät3. Dem Schuldner steht es jedoch frei, bereits vorher gemäß § 286 Abs. 1 Satz 1 BGB zu mahnen. Ferner kann der Verzug nach § 286 Abs. 3 Satz 2 BGB vorher eintreten, wenn der Zugang der Rechnung unklar ist. Eine abweichende Vereinbarung ist AGB-rechtlich insofern zulässig, als 247 sie den Gläubiger nicht unangemessen benachteiligt. Derartige Benachteiligungen verstoßen gegen § 307 Abs. 2 Nr. 2 BGB und sind unwirksam, so z.B. bei Einräumung eines Zahlungsziels von 90 Tagen4. Vertreten wird auch, dass bereits ein Zahlungsziel von 60 Tagen unwirksam sei5. Für den Fall der individualvertraglichen Abweichung gilt der Maßstab des §§ 138 Abs. 1, 242 BGB6, so dass hier nur gegen Treu und Glauben verstoßende Benachteiligungen des Gläubigers unzulässig sind. Auch Klauseln zu Gunsten des Schuldners können gemäß § 307 Abs. 2 Nr. 1 BGB unzulässig sein. Abkürzungen der Frist auf weniger als 10–14 Tage sind in der Regel unwirksam7.
1 Ebenroth/Boujong/Joost/Strohn/Löwisch, HGB § 86b Rz. 27. 2 Die Weiterreichung der Minderung des Endkunden an den Zulieferer, der nur für einen Ausschnitt der Gesamtleistung verantwortlich ist, kann nicht voll über die verschuldensunabhängige Minderung abgebildet werden, sondern muss im überschießenden Teil als verschuldensabhängige Schadensersatzforderung geltend gemacht werden muss. 3 Palandt/Grüneberg, § 286 BGB Rz. 30. 4 OLG Köln, NJW-RR 2006, 670 f. 5 Vgl. dazu Graf von Westphalen, BB 2013, 515 (516). 6 BT-Drucks. 14/6040, S. 82. 7 Palandt/Grüneberg, § 286 BGB Rz. 31 m.w.N. Intveen/Hilber/Rabus
207
Teil 2
248
Rz. 248
Vertragsgestaltung
Gerade im Kontext des AGB-Rechts ist die bereits angesprochene EUZahlungsverzugsrichtlinie1 – insbesondere Art. 3 Abs. 5 der Richtlinie2 – zu berücksichtigen. Die Bundesregierung hat einen Gesetzesentwurf3 vorgelegt, der bislang jedoch noch nicht verabschiedet wurde. Speziell die Auswirkungen des § 271a BGB-E4 werden kontrovers beurteilt: Zahlungsfristen dürfen danach 60 Tage nach Rechnungsstellung überschritten werden, wenn sie aussdrücklich vertraglich vereinbart werden (was ohnehin regelmäßig der Fall ist) und der Zahlungsgläubiger dadurch nicht grob benachteiligt wird (vgl. Art. 7 der Richtlinie). § 271a BGB-E soll nach Auffassung der Bundesregierung die bestehende AGB-rechtliche Rechtslage in Bezug auf die Wirksamkeit von Zahlungsfristen nicht berühren5. Vielmehr erlange § 271a BGB-E nur als Schranke für Individualklauseln Bedeutung6. Demgegenüber wird vertreten, dass § 271a BGB-E ein – abweichend von der bisherigen Vorstellung sofortiger Fälligkeit von Forderungen – eigenständiges Leitbild schaffe, da im Rahmen von § 307 Abs. 2 Nr. 1 BGB alle gesetzlichen Normen Leitbildfunktion
1 Richtlinie 2011/7/EU des Europäischen Parlaments und des Rates v. 16.2.2011 zur Bekämpfung von Zahlungsverzug im Geschäftsverkehr, ABl. L 48 v. 23.2.2011, S. 1; abrufbar unter http://eur-lex.europa.eu/LexUriServ/LexUriServ. do?uri=OJ:L:2011:048:0001:0010:de:PDF (zuletzt aufgerufen am 4.10.2013). Diese hätte eigentlich bis zum 16.3.2013 ins nationale Recht umgesetzt werden müssen. Sie sieht daneben auch eine Anhebung des gesetzlichen Verzugszinses und einen Anspruch auf einen pauschalen Entschädigungsbetrag für den Fall des Zahlungsverzuges sowie die Dauer von Abnahme- und Überprüfungsverfahren vor. Dies soll durch Einführung bzw. Anpassung der Vorschriften §§ 271a, 286 und 288 BGB, § 1a UklaG sowie § 28 zu Art. 229 EGBGB ins nationale Recht umgesetzt werden. 2 Art. 3 Abs. 5 der RL 2011/7/EU lautet: „Die Mitgliedstaaten stellen sicher, dass die vertraglich festgelegte Zahlungsfrist 60 Kalendertage nicht überschreitet, es sei denn im Vertrag wurde ausdrücklich etwas anderes vereinbart und vorausgesetzt, dass dies für den Gläubiger nicht grob nachteilig i.S.v. Art. 7 ist.“ 3 Entwurf eines Gesetzes zur Bekämpfung von Zahlungsverzug im Geschäftsverkehr; abrufbar unter: http://dipbt.bundestag.de/dip21/btd/17/104/1710491.pdf (zuletzt aufgerufen am 15.7.2013). 4 § 271a BGB-E setzt Art. 3 Abs. 5 der RL 2011/7/EU um; BT-Drucks. 17/10491, S. 5; der Text des Entwurfs lautet: „§ 271a BGB Zahlungs-, Überprüfungs- und Abnahmefrist: (1) Eine Vereinbarung, durch die die Zeit für die Erfüllung einer Entgeltforderung um mehr als 60 Tage nach Zugang einer Rechnung oder gleichwertigen Zahlungsaufstellung oder um mehr als 60 Tage nach Empfang der Gegenleistung überschritten wird, ist nur wirksam, wenn sie ausdrücklich getroffen und für den Gläubiger nicht grob nachteilig ist. […]“. 5 BT-Drucks. 17/10491, S. 19. Es gelte nach wie vor das Leitbild des § 271 BGB und der grundsätzlich sofortigen Fälligkeit von Forderungen. Nach dem Willen des Gesetzgebers bleiben die bisher anerkannten AGB-rechtlichen Maßgaben unberührt. Ferner stelle § 271a BGB-E eine Beschränkung und keine AGB-rechtliche Erlaubnisnorm dar und könne daher keine AGB-rechtliche Relevanz haben. 6 Pfeiffer, BB 2013, 323 (324 f.).
208
Intveen/Hilber/Rabus
V. Vergtung
Rz. 252
Teil 2
haben; somit auch § 271a BGB-E. Dies lade Auftraggeber dazu ein, die genannten Fristen von 60 Tagen in ihre AGB zu übernehmen1. Obwohl es der klaren Gesetzesbegründung widerspricht, eigene Zah- 249 lungsfristen länger als nach geltender Rechtslage zu gestalten, bleiben die Auswirkungen des § 271a BGB-E und der weitere Gang des Gesetzgebungsverfahrens unklar. Aktuell wird wegen des Umsetzungsverzuges eine richtlinienkonforme Auslegung des BGB im Rahmen der allgemeinen Inhaltskontrolle diskutiert: Bei Zahlungsfristen von mehr als 60 Tagen bei Unternehmen als Zahlungsschuldner dürfe kein Fall grober Benachteiligung für den Zahlungsgläubiger vorliegen. Bei der Anwendung des Kriteriums „grobe Benachteiligung“ sei sodann im Rahmen EU-autonomer Auslegung der Beispielskatalog der Richtlinie heranzuziehen, der unter anderem darauf abstellt, ob eine grobe Abweichung von der „guten Handelspraxis“ oder vom „Grundsatz des guten Glaubens und der Redlichkeit“ vorliegt2. Letztlich bleibt abzuwarten, wie die Vorgaben der Richtlinie ins nationa- 250 le Recht umgesetzt werden. c) Ausschlussklausel Zusatzvergütungen Gerade bei größeren Cloud Computing-Vorhaben, in deren Rahmen auch 251 andere Leistungen, wie z.B. Beratung oder Schulung auf Abruf erbracht werden, drängen Kunden – aus verständlichen Gründen – häufig auf eine Regelung, nach welcher der Dienstleister nur dann einen Anspruch auf eine zusätzliche Vergütung hat, wenn dies ausdrücklich und schriftlich vereinbart ist3. Damit obliegt es dem Dienstleister, sicherzustellen, dass er zusätzliche Leistungen nicht auf elektronischen oder mündlichen Zuruf hin erbringt, sondern erst die schriftliche Auftragserteilung abwartet – was natürlich im Tagesgeschäft der Projektarbeit hinderlich sein kann. Eine derartige Regelung ist aus Kundensicht insbesondere dann erforderlich, wenn für etwaige Zusatzleistungen Stunden- oder Tagessätze bereits vereinbart sind. 2. Aufrechnungs- und Zurückbehaltungsrechte Nach § 387 BGB steht jeder Vertragspartei die Aufrechnung frei. Dies 252 kann für den Anbieter problematisch sein, weil der Kunde die Erfüllung eines unbestrittenen Vergütungsanspruches unter Berufung auf die Aufrechnung mit einer behaupteten Schadensersatzforderung verweigern kann. Daher sind die Aufrechnungsrechte des Kunden in Cloud Compu1 Befürchtungen des Bundesrates, BT-Drucks. 17/10491, S. 17, sowie Graf von Westphalen, BB 2013, 515 ff. 2 Vgl. zu den Auswirkungen des Umsetzungsverzuges der Zahlungsverzugsrichtlinie im Gesamten Oelsner, NJW 2013, 2469 ff. 3 Zum doppelten Schriftformerfordernis: Staudinger/Hertel, § 127 BGB Rz. 62 ff. Intveen/Hilber/Rabus
209
Teil 2
Rz. 253
Vertragsgestaltung
ting-Verträgen häufig auf die Aufrechnung mit unbestrittenen oder rechtskräftig (oder entscheidungsreif) festgestellten Gegenansprüchen beschränkt. Dies führt dazu, dass der Kunde die Vergütung weiter zu entrichten hat, auch wenn er der Ansicht ist, einen Schadensersatzanspruch gegen den Dienstleister zu haben. Dieser ist dann gesondert geltend zu machen – bei Zahlungsverweigerung des Dienstleisters im Klageweg. 253
Umgekehrt sind Zurückbehaltungsrechte aus Kundensicht problematisch, vor allem wenn wichtige Geschäftsprozesse von Zulieferungen aus der Cloud abhängen. In diesem Fall sollte aus Kundensicht vermieden werden, dass der Cloud-Anbieter durch behauptete Zurückbehaltungsrechte Druck auf den Kunden ausüben kann, der auf die Leistungen angewiesen ist. Aus diesem Grund ist es in größeren Cloud-Projekten nicht unüblich, Zurückbehaltungsrechte des Cloud-Anbieters vertraglich auszuschließen. Hält der Anbieter die Leistung dennoch zurück, liegt in jedem Fall eine vorsätzliche Pflichtverletzung vor1.
254
Unzulässig in AGB sind sowohl der Ausschluss als auch die Einschränkung des Zurückbehaltungsrechts gemäß § 309 Nr. 2b BGB. Das Zurückbehaltungsrecht steht nur dann zur Disposition, soweit es auf Gegenansprüche gestützt wird, die zwar aus demselben Lebenssachverhalt, nicht aber aus demselben Vertragsverhältnis stammen2. Es kann aber durch Individualvereinbarungen ausgeschlossen bzw. beschränkt werden.
255
Ein Aufrechnungsverbot für unbestrittene und rechtskräftig festgestellte Forderungen ist gemäß § 309 Nr. 3 BGB unzulässig. Auch die Aufrechnung mit bestrittenen, aber entscheidungsreifen Gegenforderungen kann nicht ausgeschlossen werden3. Nr. 3 gilt auch im Verkehr zwischen Unternehmern als konkretisierte Ausformung von § 307 Abs. 2 Nr. 1 BGB4. Ein Verstoß gegen Nr. 3 führt zur Gesamtnichtigkeit der Klausel5. Auch im Falle eines individualvertraglichen Aufrechnungsverbotes kann bei Vorliegen einer unbestrittenen, rechtskräftig festgestellten oder entscheidungsreifen Gegenforderung aufgerechnet werden, soweit es die zügige Durchsetzung der Forderung gewährleisten soll6.
1 2 3 4 5
Vgl. zu alledem auch Bräutigam, IT-Outsourcing, Teil 13, Rz. 81 ff. Palandt/Grüneberg, § 309 BGB Rz. 15. BGH, WM 1978, 620. BGH, NJW 2007, 3421 ff. NJW-RR 1986, 1281; lässt die Klausel die Aufrechnung mit unbestrittenen Gegenforderungen zu, kann sie aber inzwischen dahingehend ausgelegt werden, dass auch die Aufrechnung mit rechtskräftig festgestellten oder im Rechtsstreit entscheidungsreifen Gegenforderungen statthaft sein soll, vgl. BGH, NJW 1989, 3215. 6 Palandt/Grüneberg, § 387 BGB Rz. 17.
210
Intveen/Hilber/Rabus
V. Vergtung
Rz. 259
Teil 2
3. Preismodelle Bei Cloud Computing-Verträgen kommen verschiedene Vergütungs- 256 modelle in Betracht. Regelmäßig sind Cloud Computing-Verträge Dauerschuldverhältnisse, weshalb zum einen eine Flat Fee für die Zurverfügungsstellung einer Leistung pro Zeitabschnitt, z.B. eine CRM-Datenbank, in Frage kommt. Diese Art der Vergütung findet sich – für manche überraschenderweise – recht häufig in Cloud Computing-Verträgen. Dem Versprechen, nur für den tatsächlichen Nutzungsumfang zu bezahlen, wird Cloud Computing in der Praxis eben nicht immer gerecht. Wird ein solcher Festpreis vereinbart, sollte der Kunde genau prüfen, ob damit wirklich alle benötigten Leistungen abgedeckt sind. Falls dies nicht der Fall ist, fallen Zusatzkosten an, da der Kunde benötigte Leistungen zusätzlich beauftragen und bezahlen muss. Dies kann z.B. Schnittstellen zu anderen Systemen des Kunden betreffen oder gewisse Funktionalitäten der Applikation bei Software as a Service – man denke nur an Berichtsfunktionen. Typisch sind in Cloud-Verträgen leistungsabhängige Vergütungskom- 257 ponenten („pay per use“), die aber in der Regel mit einer Grundgebühr kombiniert sind, die unabhängig von der Leistungsinanspruchnahme zu entrichten ist. Dies dient der Abdeckung der Fixkosten des Anbieters. Wird keine Grundgebühr vereinbart, hat dies in der Regel Konsequenzen. 258 Bei Infrastructure as a Service-Verträgen wird z.B. bei reinen pay-per-useModellen die Verfügbarkeit der Ressourcen gar nicht oder nur beschränkt gewährleistet, da der Cloud-Anbieter die Ressourcen zur Vermeidung von Auslastungslücken mehrfach überzeichnet. Das heißt, der Kunde zahlt zwar nur, was er nutzt, hat aber keine Gewähr dafür, dass er auch die (volle) Leistung erhält, die er abrufen möchte. Will der Kunde die Sicherheit, dass er auf Ressourcen stets zugreifen kann, muss er eben auch die Kosten für diese Ressource übernehmen, wenn er sie nicht nutzt. Während das Preismodell aus Sicht des Anbieters die anfallenden Kosten 259 abdecken und eine angemessene Marge gewährleisten sollte, hat es aus Kundensicht den im Cloud-Business-Case definierten Anforderungen zu genügen. Über das vereinbarte Vergütungsmodell sollte der Kunde also möglichst sicherstellen, dass die dort formulierten Ziele erreicht werden. Dies kann z.B. schwer fallen, wenn ein Preis pro Leistungseinheit (ob pro Transaktion oder einem bestimmten Datenvolumen oder abgerufener Rechenleistung) definiert wird, der Kunde aber nicht über abgesicherte Zahlen zu den benötigten Mengen verfügt. In diesem Fall kann es zu bösen Überraschungen kommen, wenn sich herausstellt, dass die prognostizierten Mengen nicht ausreichen. Auch lassen sich Cloud-Anbieter selten auf vollständig flexibilisierte Preise ein, da auch sie Fixkosten haben, die unabhängig davon anfallen, ob Leistungen abgerufen werden oder nicht. Daher finden sich – wie oben bereits ausgeführt – in Cloud-Vergütungsmodellen häufig auch Grundgebühren für bestimmte Volumina, Mindestmengen, die vom Kunden fest zugesagt werden, oder auch ExkluIntveen/Hilber/Rabus
211
Teil 2
Rz. 260
Vertragsgestaltung
sivitätszusagen1, die dem Cloud-Anbieter die Sicherheit geben, dass der gesamte Bedarf des Kunden bei ihm nachgefragt wird. 260
Im Rahmen des Preismodells haben sich Cloud-Kunde und Anbieter ferner auf eine sinnvolle Granularität der Preise zu verständigen. Eine zu feine Aufteilung der zahlungspflichtigen Einheiten führt zu erhöhtem Mess- und Berichtsaufwand und kann je nach Art der Einheiten auch zu Preisrisiken des Kunden führen, wenn das Nutzungsverhalten der Mitarbeiter nicht genau bekannt ist. Wird z.B. jedes Log-in bepreist, kann dies zu unsachgerechten Ergebnissen führen, wenn Kunden sich häufiger ein- und ausloggen. Auf der anderen Seite sollte die Granularität der Leistungseinheiten aus Kundensicht auch nicht zu grob sein, um tatsächlich nur die in Anspruch genommene Leistung zu zahlen. Aus Sicht des Cloud-Anbieters stimmen die Abrechnungseinheiten im Idealfall mit seiner Kostenstruktur überein, was insbesondere die sprungfixen Kosten betrifft.
261
Ferner ist darauf zu achten, das Preismodell mit den Zahlungs- und Abrechnungsmodalitäten abzustimmen. Grundgebühren oder Festpreise können unproblematisch monatlich (oder sonst zeitabschnittsweise) abgerechnet werden. Verbrauchsabhängige Vergütungskomponenten bedürfen dagegen der Messung und verbrauchsspezifischen Abrechnung. Sofern die Abrechnung nicht (zu angemessenen Kosten) in Echtzeit oder auch nur in angemessener Zeit nach dem Abrechnungsintervall zur Verfügung steht, bieten sich Vorauszahlungsabreden an, die einerseits sicherstellen, dass der Cloud-Anbieter nicht unangemessen in Vorleistung gehen muss und andererseits sich die Vorauszahlung an dem – mit zunehmender Erfahrung immer genauer vorherzusehenden – tatsächlichen Verbrauch orientieren. Nachdem der tatsächliche Verbrauch z.B. für das zurückliegende Quartal feststeht, kann die Summe der Vorauszahlungen und die tatsächlich geschuldete Vergütung saldiert werden. Auch Volumenrabatte, die z.B. quartals- oder jahresweise zu berechnen sind, können eine nachträgliche Saldierung der Vorauszahlungen mit der geschuldeten Vergütung erfordern.
262
Ein wichtiger Punkt aus Kundensicht ist – wie oben unter Rz. 242 bereits erwähnt – die Notwendigkeit einer detaillierten, nachvollziehbaren Rechnung. Bei verbrauchsabhängigen Vergütungskomponenten sollte der Kunde genau nachvollziehen können, welche Leistungen in Anspruch genommen und welche Kosten hierdurch verursacht wurden.
263
Im Idealfall enthält das Preismodell Anreize für den Cloud-Anbieter, die Effizienz zu steigern. Gelingt es dem Anbieter etwa, die Gesamtkosten des Cloud-Kunden bei gleichbleibender Inanspruchnahme zu senken, kann dem Anbieter eine Erhöhung seiner Marge zukommen.
1 Exklusivitätsklauseln sind nur in den Grenzen des Kartellrechts zulässig. Näher hierzu Zimmer in Immenga/Mestmäcker, Wettbewerbsrecht, § 1 GWB Rz. 374 ff.
212
Intveen/Hilber/Rabus
V. Vergtung
Rz. 267
Teil 2
4. Preisanpassungsklauseln Cloud Computing-Verträge haben mitunter eine lange Vertragsdauer. 264 Wenn auch feste Laufzeiten von fünf bis zehn Jahren mangels kundenspezifischer Anfangsinvestitionen – anders als bei Outsourcingvorhaben – eher selten sind, so finden sich doch häufig Laufzeiten von zwei oder mehr Jahren. Zum Teil ist auch eine automatische Verlängerung der Vertragslaufzeit vorgesehen, sofern keine Partei vor Ablauf der Mindestdauer kündigt. Daher ergeben Preisanpassungsklauseln in Cloud Computing-Verträgen Sinn, sofern es sich nicht um kurzfristige bzw. temporäre Leistungsabrufe etwa im Rahmen von pay-as-you-go-Modellen handelt. Soweit in der (häufig tiefen) Wertschöpfungskette außerhalb des EuroRaumes befindliche Ressourcen zum Einsatz kommen, mögen zudem Kosten in anderen Währungen anfallen, so dass Währungsklauseln die Währungsrisiken des Cloud-Anbieters reduzieren können. Regelungen, die zu einer automatischen Preisanpassung führen oder einen Anspruch auf Preisanpassung begründen, sind – wenn rechtlich wirksam – also taugliche Mittel, um Preisrisiken über längere Vertragslaufzeiten angemessen zu verteilen. Zunächst werden die verschiedenen Arten von Preisanpassungsklauseln 265 unter a) dargestellt, um anschließend die hier einschlägige Regulierung zu erläutern: Bei automatischen Preisanpassungsklauseln findet das Preisklauselgesetz (PrKlG) Anwendung (nachfolgend b)). Der Wirksamkeit von Preisanpassungsklauseln werden des Weiteren durch das Recht der Allgemeinen Geschäftsbedingungen rechtliche Grenzen gesetzt – und dies auch im rein unternehmerischen Verkehr (dazu nachfolgend unter c). a) Arten von Preisanpassungsmechanismen Kunden, die sich mittel- oder langfristig an einen Cloud-Anbieter binden, 266 sind in der Regel bestrebt sich über Preisanpassungsklauseln abzusichern. Verbreitet sind Forderungen nach einer Meistbegünstigungsregelung, nach der der Dienstleister zusichert, dem Kunden stets den günstigsten Preis anzubieten, den er zumindest mit einem anderen Kunden vereinbart hat. Dies wird aber von Dienstleistern selten akzeptiert, da das zur Einhaltung dieser Verpflichtung erforderliche Monitoring aufwändig und häufig kaum darstellbar ist. Sinn ergibt eine derartige Verpflichtung ohnehin nur für Dienstleister, die Standardlösungen zu Standardpreisen anbieten und Preise nicht individuell verhandeln. In diesen Fällen bewirkt die Meistbegünstigungsklausel, dass der Kunde von zukünftigen Preissenkungen profitiert. Ein anderer Ansatz das Preisrisiko kundenseitig zu reduzieren, sind 267 Benchmarkingklauseln1. Sie berechtigen den Kunden, in gewissen Intervallen zu verlangen, dass ein neutraler Dritter die Preise des Dienstleis1 Nolte, CR 2004, 81–87 für den Bereich des IT-Outsourcings; die bestehenden Grundsätze können jedoch auf Cloud Computing-Verträge übertragen werden. Intveen/Hilber/Rabus
213
Teil 2
Rz. 268
Vertragsgestaltung
ters mit denen seiner Wettbewerber vergleicht. Halten die Preise dem Vergleich – im Rahmen der hierzu getroffenen Regelungen – nicht stand, so kann der Kunde berechtigt werden, eine Preissenkung zu verlangen. Schwierigkeiten bei der Gestaltung und Verhandlung derartiger Benchmarkingklauseln bereitet zum einen die Vergleichbarkeit der Leistungen. Da selten Leistungen vorliegen, die tatsächlich im Wesentlichen identisch und damit vergleichbar sind, bedarf es einer Normalisierung durch den das Benchmarking ausführenden Dritten. Diese Normalisierung beinhaltet auch wertende Betrachtungen und ist daher im Ergebnis häufig strittig. Zum anderen tun sich Dienstleister schwer, als Rechtsfolge eines Benchmarks einen Eingriff in ihre Preishoheit zu akzeptieren. Daher sehen Klauseln häufig nur eine Neuverhandlungspflicht, evtl. in Kombination mit einem Kündigungsrecht des Kunden vor. b) Das Preisklauselgesetz 268
Nach § 1 Abs. 1 PrKlG ist es untersagt, den Betrag von Geldschulden „unmittelbar und selbsttätig durch den Preis oder Wert von anderen Gütern oder Leistungen [zu bestimmen], die mit den vereinbarten Gütern oder Leistungen nicht vergleichbar sind.“ Es ist danach z.B. unzulässig, den Preis für die Zurverfügungstellung von Rechenkapazitäten über die Cloud durch Verweis auf den Verbraucherpreisindex anzupassen. Das Indexierungsverbot gilt gemäß § 1 Abs. 2 PrKlG nicht bei Klauseln, die nur zu einer Preissenkung führen können oder bei denen das Ausmaß der Preisanpassung abhängig ist von (i) einer Ermessensausübung (Leistungsvorbehaltsklauseln), (ii) der Entwicklung der Preise für Güter oder Leistungen, die im Wesentlichen gleichartig oder zumindest vergleichbar sind (Spannungsklauseln), oder (iii) der Entwicklung der Preise für Güter oder Leistungen, die auch die Selbstkosten des Gläubigers unmittelbar beeinflussen (Kostenelementeklauseln).
269
Bei Cloud Computing-Verträgen kommen vor allem Leistungsvorbehaltsund Kostenelementeklauseln in Betracht. Eine Leistungsvorbehaltsklausel liegt vor, wenn der Vertrag die Preisanpassung in das Ermessen des Anbieters stellt.
270
Eine Kostenelementeklausel stellt demgegenüber auf die Entwicklung der Kosten der vom Cloud Computing-Anbieter eingesetzten Ressourcen durch Bezug auf entsprechende Indizes ab. Für die Gestaltung der Klauseln stehen verschiedene Indizes zur Verfügung, so z.B. diejenigen des Statistischen Bundesamts1, aber auch die der Statistischen Landes1 Eine Übersicht über einige vom Statistischen Bundesamt angebotenen Indizes findet sich unter https://www.destatis.de/DE/ZahlenFakten/Gesamtwirtschaft Umwelt/Preise/Preise.html (zuletzt aufgerufen am 4.10.2013).
214
Intveen/Hilber/Rabus
V. Vergtung
Rz. 273
Teil 2
ämter1 oder von Eurostat2. Eine Übersicht über staatliche Indizes findet sich auf den Internetseiten der statistischen Ämter des Bundes und der Länder3. Geht man von einer stark vereinfachten Kostenstruktur beim Cloud Computing-Anbieter von 6 % für Personal, 20 % für Strom/Kühlung, 64 % Infrastruktur (insbesondere Server, Prozessoren, Speicher) und 10 % Overhead und Marge aus4, könnte eine cloudspezifische Kostenelementeformel wie folgt aussehen: 8 9 Infra > Lohn Strom > > > þ 0; 2 þ 0; 64 P ¼ P0 :0; 1 þ 0; 06 ; Lohnbasis Strombasis Infrabasis „P“ steht dabei für den neuen Leistungspreis, „P0“ für den Ursprungs- 271 oder zuletzt geltenden Preis, „Lohn“ für den einschlägigen Lohnindex, „Strom“ für den Preisindex von Strom und „Infra“ für den Infrastrukturindex (der sich wiederum aus verschiedenen Bestandteilen zusammensetzt, wie z.B. Hardwarepreise und Mietkostenentwicklungen)5. Häufig berücksichtigen Kostenelementeklauseln Marge und Overheadkosten – wie auch hier – für die Eskalation nicht. Nach dieser Beispielsformel bleiben also 10 % des Preises unverändert. Dies ist aus Sicht des Cloud Computing-Anbieters nachteilig, da sich seine prozentuale Marge mit jeder Preisanpassung verkleinert. Weiter ist zu vereinbaren, ob der Bezugspunkt für die jährliche Preis- 272 anpassung der zuletzt geltende Preis oder der Ursprungspreis ist. Gibt es Grenzen für die maximale Erhöhung pro Vertragsjahr? Wenn ja, sollen Aufholmöglichkeiten bestehen, wenn in einem Jahr die Erhöhung nicht in voller Höhe erfolgen kann und im Folgejahr die Erhöhung nicht voll ausgeschöpft wird? Ausnahmsweise können Preisanpassungsklauseln in Cloud Compu- 273 ting-Verträgen auch dann zulässig sein, wenn sie diese Voraussetzungen nicht erfüllen. Sitzt der Anbieter oder der Kunde außerhalb Deutschlands, bestehen nach § 6 PrKlG keine Einschränkungen. Auch bei Cloud Verträgen mit einer längeren Laufzeit als zehn Jahre, können abweichen1 Für Nordrhein-Westfalen etwa unter http://www.it.nrw.de/statistik/q/index. html (zuletzt aufgerufen am 4.10.2013). 2 http://epp.eurostat.ec.europa.eu/portal/page/portal/eurostat/home/ (zuletzt aufgerufen am 4.10.2013). 3 http://www.statistikportal.de/Statistik-Portal/LinksUebersicht.asp (zuletzt aufgerufen am 4.10.2013). 4 Dieses Beispiel bildet stark vereinfacht die Kostenstruktur eines Cloud Computing-Anbieters ab, beansprucht aber nicht repräsentativ zu sein. 5 Für das Cloud Computing kommen als geeignete Indizes vor allem die Erzeugerpreisindizes für Dienstleistungen speziell im IT-Bereich in Betracht. Die IT-Branche wurde für den Erzeugerpreisindex in A. Software/Softwarelizenzen, B. Support/Installation/Wartung, C. IT-Projektdienstleistungen und D. IT-Outsourcing gegliedert; abrufbar sind die entsprechenden Indizes unter https://www.destatis. de/DE/ZahlenFakten/GesamtwirtschaftUmwelt/Preise/Erzeugerpreisindizes Dienstleistungen/Tabellen_/ITDienstleistungen.html (zuletzt aufgerufen am 15.7.2013). Intveen/Hilber/Rabus
215
Teil 2
Rz. 274
Vertragsgestaltung
de Preisklauseln vereinbart werden (§ 3 Abs. 1 Nr. 1 Buchst. d) bzw. Abs. 3 Nr. 1 PrKlG). 274
Die Vertragsparteien haben die Zulässigkeit der Preisklausel selbst zu prüfen1. Um die damit verbundene Rechtsunsicherheit über die Wirksamkeit der Preisanpassung zu begrenzen, wird eine unzulässige Preisklausel nach § 8 PrKlG (erst) zum Zeitpunkt des rechtskräftig festgestellten Verstoßes gegen das PrKlG unwirksam (soweit nichts anderes vereinbart ist). Die bis zum rechtskräftigen Urteil erfolgten Preisanpassungen sind damit wirksam und durchsetzbar, obwohl die Preisklausel von Anfang an gegen das PrKlG verstoßen hat. Damit stellt sich die Frage, ob die Preise nach rechtskräftiger Feststellung der Unwirksamkeit der Klausel auf dem bis dahin unter Anwendung der Preisklausel erreichten Niveau weiter gelten oder auf den Basispreis zurückfallen2. Da die Gerichte über diese Frage noch nicht entschieden haben, besteht das Risiko, dass ab dem rechtskräftigem Urteil wieder der ursprüngliche Basispreis gilt.
275
Um dieses Risiko zu begrenzen, sollte in Cloud Computing-Verträgen mit einer automatischen Preisanpassungsklausel vereinbart werden, was im Falle der Unwirksamkeit gilt3. Die Preisklausel könnte z.B. bestimmen, dass das erreichte Preisniveau auch nach rechtskräftiger Feststellung der Unwirksamkeit vorübergehend weiter gilt und die Parteien sich verpflichten, unverzüglich eine zulässige Preisklausel zu vereinbaren, die der ursprünglichen wirtschaftlichen Intention möglichst nahekommt. Ist eine derartige Vereinbarung getroffen, können die daraus resultierenden Preise rückwirkend ab dem Zeitpunkt der Rechtskraft des Urteils gelten. Die (dauerhafte, vorübergehende oder vorläufige) Fortgeltung des erreichten Preisniveaus dürfte mit dem PrKlG zu vereinbaren sein, da damit ab Rechtskraft des Urteils ein Festpreis gälte. c) AGB-Recht
276
Wegen ihrer unterschiedlichen Regelungsziele sind das PrKlG und das AGB-Recht nebeneinander und unabhängig voneinander auf Preisanpas1 Um den Verwaltungsaufwand zu reduzieren, hat der Gesetzgeber das bisher nach dem Preisangaben- und Preisklauselgesetz für Preisklauseln bestehende Genehmigungsbedürfnis im PrKlG entfallen lassen. Die nach dem alten Preisangabenund Preisklauselgesetz erteilten Genehmigungen bleiben unberührt, § 9 Abs. 1 PrKlG. 2 Nach § 8 PrKlG bleiben die Rechtswirkungen der Preisklausel „bis zum Zeitpunkt der Unwirksamkeit“ unberührt. Was danach gelten soll, ist nicht geregelt. Für die Fortgeltung des bisher erreichten Preises spricht der Zweck des § 8 PrKlG, der die Risiken der Parteien aus einer möglichen Unwirksamkeit angemessen begrenzen soll. Ein Zurückfallen auf den Basispreis liefe dem vor allem bei länger laufenden Verträgen und volatilen Preisen zuwider. Allerdings führt die mit dem Urteil ex nunc eintretende Nichtigkeit eben dazu, dass die Preisanpassungsklausel entfällt und damit nur die Vertragsregelung zum Basispreis bestehen bleibt, die dann eben alleine anzuwenden wäre. 3 Vgl. Becker/Hecht, ITRB 2008, 251 (253).
216
Intveen/Hilber/Rabus
V. Vergtung
Rz. 278
Teil 2
sungsklauseln anwendbar und verdrängen sich nicht gegenseitig1. Preisanpassungsklauseln können also neben dem PrKlG auch den §§ 305–310 BGB unterliegen. Dies erfordert natürlich, dass die Preisklausel überhaupt als Allgemeine Geschäftsbedingung zu qualifizieren ist. Dies setzt kurz zusammengefasst voraus, dass die Klausel mehrfach Verwendung finden soll (d.h. mehr als zweimal) und nicht im Einzelnen von den Parteien ausgehandelt wurde2. Preisabsprachen unterliegen nicht der Angemessenheitskontrolle, son- 277 dern nur dem Transparenzgebot, § 307 Abs. 3 Satz 2, Abs. 1 Satz 2 BGB. Allerdings gilt dies nur für Preisabsprachen im engeren Sinne und nicht für Preisnebenabreden, vgl. § 309 Nr. 1 BGB. Preisklauseln in Cloud Computing-Verträgen werden regelmäßig als Preisnebenabreden zu verstehen sein, die der Angemessenheitskontrolle unterliegen, sofern sie nicht Bestandteil der zentralen Preisabsprache, sondern der rechtlichen Bedingungen sind3. Die Anwendbarkeit des AGB-Rechts führt dazu, dass – individuell ausgehandelte Vereinbarungen den Standardformulierungen stets vorgehen (auch wenn mündlich getroffen werden), § 305b BGB; – überraschende und mehrdeutige Klauseln unwirksam sind, wobei Auslegungszweifel zu Lasten des Verwenders gehen, § 305c BGB; – unangemessene Klauseln unwirksam sind, § 307 Abs. 1 BGB. Die Grenzen zulässiger Klauseln sind eng. Preisanpassungsklauseln für 278 Verbrauchern angebotene Cloud-Dienste sind nur hinreichend transparent, wenn sie die Preisänderung an die Entwicklung bestimmter, d.h. konkret beschriebener Betriebskosten koppeln, die Gewichtung der einzelnen Kostenelemente im Hinblick auf ihre Bedeutung für die Kalkulation des Gesamtpreises bestimmen und der Vertragspartner die Änderung der Kostenelemente in Erfahrung bringen kann. Zusätzlich müssen die Klauseln auch inhaltlich angemessen sein. Es ist dem Cloud-Anbieter verboten, seinen Gewinn durch Anwendung der Preisanpassungsklausel nachträglich zu steigern. Daher muss die Preiserhöhung ausdrücklich auf den Umfang der Kostensteigerung begrenzt sein. Wird der Anstieg eines Faktors durch das Abfallen eines anderen ausgeglichen, darf die Klausel keine Preiserhöhung erlauben (Saldierungspflicht). Außerdem hat die Klausel den Verwender zur Senkung des Preises bei gefallenen Kosten zu 1 BGH, NJW 2010, 2789; LG München, WuM 2008, 100 (103); Kluge, MittRhNotK 2000, 409 (418); Becker/Hecht, ITRB 2008, 251 (253). Das PrKlG beschränkt die Möglichkeiten der Preisanpassung aus stabilitäts- und preispolitischen Gründen, während das AGB-Recht den Schutz des Unterlegenen gegen unangemessene Vertragsklauseln bezweckt. Dem PrKlG kommt zudem kein Leitbildcharakter i.S.d. AGB-Rechts zu: Eine „gesetzliche Regelung“ i.S.d. § 307 Abs. 2 Nr. 1 BGB liegt nur vor, wenn die Norm das Ergebnis einer gesetzgeberischen Abwägung ist und damit eine angemessene Interessenverteilung darstellt, wie etwa bei den Regelungen zu den Vertragstypen des BGB. Mit anderen Worten: Es muss sich um eine „Ausprägung des Gerechtigkeitsgebots“ handeln. 2 Staudinger/Schlosser, § 305 BGB Rz. 18, 27. 3 Näher zu dieser schwierigen Abgrenzung Hilber, BB 2011, 2691 (2694). Intveen/Hilber/Rabus
217
Teil 2
Rz. 279
Vertragsgestaltung
verpflichten (Preissenkungspflicht)1. Nur wenn die Begrenzung künftiger Preiserhöhungen und die Konkretisierung der notwendigen Voraussetzungen auf „unüberwindbare Schwierigkeiten“ stößt, so kann der Verwender u.U. einen angemessenen Ausgleich durch die Einräumung eines Vertragslösungsrechts schaffen2. Das Lösungsrecht muss klar erkennbar sein, bereits vor der Preiserhöhung greifen und darf nicht durch unzumutbare Folgekosten oder ähnliche Hindernisse eingeschränkt sein3. 279
Im unternehmerischen Verkehr findet § 309 Nr. 1 BGB gemäß § 310 Abs. 1 Satz 1 BGB dagegen keine unmittelbare Anwendung und gemäß § 310 Abs. 1 Satz 2, 2. Halbsatz BGB ist auf die im Handelsverkehr geltenden Gewohnheiten und Gebräuche angemessen Rücksicht zu nehmen. Daher können dort nicht ebenso strenge Anforderungen an die Transparenz und Angemessenheit von Preisklauseln gestellt werden wie in Verbraucherverträgen4. Die Rechtsprechung fordert allerdings (i) ein berechtigtes Interesse des Verwenders, (ii) die hinreichende Transparenz einer Preisanpassung durch Konkretisierung der Voraussetzungen und Rechtsfolgen sowie (iii) die Wahrung der Interessen des Vertragspartners5. Welche genauen Anforderungen hieraus für Cloud Computing-Verträge zwischen Unternehmern abzuleiten sind, ist mangels Rechtsprechung, welche diese Anforderungen konkretisiert, schwer zu beurteilen. Es sind zahlreiche Konstellationen denkbar, in denen ein berechtigtes Interesse des Cloud-Anbieters an einer Preisanpassung besteht, beispielsweise vor dem Hintergrund volatiler Einkaufspreise oder einer langen Vertragslaufzeit, die der Versorgungssicherheit des Kunden dient6. 1 Zum Ganzen insbesondere BGH, NJW-RR 2005, 1717 (1718) (Flüssiggas I); BGH, NJW 2007, 1054 (1055) (Flüssiggas II); BGH, NJW 2008, 360 (361) (PayTV); BGH, NJW 2008, 2172 (2173) (Erdgas). S. auch Graf von Westphalen, MDR 2008, 424; Thomas, AcP 2009, 84 (106 f.); Hilber, BB 2011, 2691 (2696); Borges in Abels/Lieb (Hrsg.), AGB im Spannungsfeld zwischen Kautelarpraxis und Rechtsprechung, 51 (63 ff.). 2 BGH, NJW 2008, 360 (363) (PayTV). Nach dem BGH scheidet eine verständliche Formulierung nicht bereits deshalb aus, weil für die Preisgestaltung zahlreiche Faktoren maßgebend sein können und die Leistungen auf einem sehr dynamischen Markt angeboten werden. Andererseits ist im Verbandsprozess die „kundenfeindlichste Auslegung“ zugrunde zu legen, womit die Messlatte für eine verständliche Formulierung doch sehr hoch liegt. 3 BGH, NJW 2007, 1054 (1056) (Flüssiggas II). 4 So grundsätzlich auch BGH, NJW 1985, 853 (855) (Schmiermittel); MünchKomm/Kieninger, § 309 BGB Nr. 1 Rz. 25; Wolf/Lindacher/Pfeiffer/Dammann, AGB-Recht, § 309 Nr. 1 Rz. 161; Thomas, AcP 2009, 83 (112) m.w.N. 5 BGH, NJW-RR 2005, 1496 (1501) (Kfz-Vertragshändlervertrag II); BGH, NJW 1994, 1060 (1063) (Daihatsu); OLGR Rostock 2005, 486 f. Vgl. auch BGH, NJW 2000, 515 (520) (Kfz-Vertragshändlervertrag I), wonach eine Änderung wesentlicher Vertragsgrundlagen nur bei Vorliegen schwerwiegender Gründe möglich ist. 6 Vgl. aber BGH, NJW 2003, 886 (888), wonach ein Preisanpassungsrecht in einem Vertrag mit zehnjähriger Bindung unangemessen ist. Die zehnjährige Bindung böte bei einem Preiserhöhungsrecht nicht den Vorteil der Preissicherheit, der den Nachteil der langjährigen Bindung ausgleichen könne. Dient die lange Vertragslaufzeit aber vor allem der Absicherung des Kunden, der damit Liefersicher-
218
Intveen/Hilber/Rabus
V. Vergtung
Rz. 282
Teil 2
Damit die Klausel hinreichend transparent ist, hat sie die Gründe für eine 280 zulässige Preisanpassung als „einschränkende Voraussetzung“ anzugeben1. Nur bei besonderen Schwierigkeiten2 oder sofern die Interessen des Kunden auf andere Weise gewahrt werden3, könne die Konkretisierung der Preisanpassungsgründe ausnahmsweise unterbleiben. Eine Auflistung und Gewichtung konkreter Kostenelemente ist sinnvoll, da es bei einer bloß allgemeinen Umschreibung der Gründe für Preiserhöhungen leicht zu Missverständnissen kommen kann. Jedenfalls dürften Klauseln den Anforderungen nicht genügen, die sich auf den pauschalen Hinweis auf gestiegene Kosten beschränken; vielmehr sind die für die Preisanpassung relevanten Kostenbereiche konkret zu benennen (weil ansonsten die vom BGH geforderte einschränkende Wirkung ausbliebe). Was die Konkretisierung der Rechtsfolgen angeht, dürfte im unternehmerischen Verkehr auch eine Preisanpassung nach billigem Ermessen zulässig sein. Der Vertragspartner hat die Möglichkeit, den vom Verwender angepassten Preis nach § 315 Abs. 3 Satz 2 BGB gerichtlich überprüfen zu lassen. Schließlich sind als zentrale Zulässigkeitsvoraussetzung die Interessen 281 der anderen Vertragspartei zu berücksichtigen. Während die richterliche Überprüfbarkeit des billigen Ermessens gemessen auch an § 315 BGB erkennbar der Wahrung der Interessen des Vertragspartners des Verwenders dient, bestehen eher Zweifel an der Interessenwahrung bei der Kopplung der Preisanpassung an definierte Parameter oder bei einer konkret vordefinierten Preiseskalation, etwa um einen festen Prozentsatz pro Jahr. In diesem Fall kann es zwar sein, dass der Verwender durch eine fixe Preiserhöhung seinen Gewinn steigert. Umgekehrt ist es allerdings auch nicht ausgeschlossen, dass die Kosten stärker steigen und der Gewinn sinkt. Erscheint die Preiseskalation zum Zeitpunkt des Vertragsschlusses als angemessen, weil sie etwa der durchschnittlichen Preisentwicklung der letzten Jahre entspricht, sollte dies im Rahmen der Angemessenheitsprüfung nach § 307 Abs. 1 Satz 1 BGB daher nicht zu beanstanden sein. Dann sollte es auch keiner Preissenkungspflicht bedürfen. Diese mag erforderlich sein, wenn ein flexibles Preiserhöhungsrecht vereinbart wird; ansonsten griffe zum Nachteil des Kunden eine Art „lock-in“-Effekt, der zur Preisbestimmung auf Grundlage des Höchststandes des Kostenelements führt. Auch ein Kündigungsrecht bei einer Preiserhöhung, die ein gewisses 282 Maß überschreitet, erlaubt es dem Kunden grundsätzlich, seine Risiken zu begrenzen4. Dies gilt nur dann nicht, wenn ein Wechsel des Vertrags-
1 2 3 4
heit erhält, wird diese Wertung anders ausfallen müssen. Fordert der Kunde eine langjährige Bindung, kann eine angemessene Regelung zur Preisanpassung geradezu erforderlich sein. BGH, NJW-RR 2005, 1496 (1501) (Kfz-Vertragshändlervertrag II). BGH, NJW 1994, 1060 (1063) (Daihatsu). BGH, NJW 1985, 426 (Zündholzschachteln); NJW 1985, 853 (Schmiermittel). Ebenso Palandt/Heinrichs, § 309 BGB Rz. 9. Vgl. BGH, NJW 1986, 1803 (1804); OLGR Rostock 2005, 486 ff. Intveen/Hilber/Rabus
219
Teil 2
Rz. 283
Vertragsgestaltung
partners außerordentliche Kosten auslösen würde (wie z.B. häufig bei Outsourcingverträgen). Erforderlich dürfte jedenfalls sein, das Lösungsrecht so zu gestalten, dass es dem Vertragspartner möglich ist, den Vertrag vor der Wirksamkeit der Preiserhöhung zu beenden und gleichzeitig den Vertrag so lange aufrechtzuerhalten, wie es die Beschaffung alternativer Ressourcen erfordert. 283
Im unternehmerischen Verkehr bedarf es einer genauen Betrachtung des Einzelfalles. Starre Regelungen, wie sie der BGH für Verbraucherverträge formuliert hat, sind nicht tauglich. Im Verbraucherverkehr sind die Rollen klar verteilt: der Verbraucher ist der schützenswerte zahlende Kunde, während der Unternehmer der Lieferant bzw. Dienstleister ist, der ein Interesse daran hat, seine Preise im Bedarfsfall zu erhöhen. Im unternehmerischen Verkehr kann dies unterschiedlich zu bewerten sein, etwa wenn ein Cloud-Anbieter zu einer langfristigen Lieferzusage gedrängt wird. Auch in diesem Fall wird sich eine Preisanpassungsklausel in den AGB des Cloud-Kunden daran messen lassen müssen, ob die Interessen des Cloud-Anbieters hinreichend gewahrt sind. Stellt – wie im Verbraucherverkehr üblich und beim Cloud Computing im Massengeschäft üblich – der Lieferant, also der Cloud-Anbieter, die AGB samt Preisanpassungsregelung, sind die Ansätze, welche die Interessen des CloudKunden wahren können, vielfältig. Wenn der unternehmerische CloudKunde sich durch Kündigung zur alternativen Beschaffung frei machen kann, was vor allem bei marktgängigen Cloud-Leistungen der Fall sein wird, oder einer festen Preiserhöhung in angemessener Höhe entgegensieht, besteht kein Anlass ihm zu erlauben, sich auf die Unwirksamkeit einer Preisanpassungsklausel zu berufen.
VI. Governance/Change Requests 1. Einleitung 284
Den Themen Governance und Change Requests, also Vertragsadministration, -kommunikation und -änderungen, kommt in Cloud Computing-Verträgen eine andere Bedeutung zu als in Outsourcingverträgen. Outsourcingverträge bilden in wesentlichen Teilen individuelle Leistungsbeziehungen ab, deren Änderung dementsprechend alleine die Vertragsparteien betrifft. Demgegenüber bestehen Cloud ComputingAngebote regelmäßig in wesentlichen Teilen aus standardisierten Leistungen, die nicht ohne weiteres auf Wunsch des Auftraggebers geändert werden können, da ein größerer Kundenkreis die gleichen Leistungen in Anspruch nimmt. Allerdings spielen auch bei Outsourcingtransaktionen standardisierte Leistungen eine immer größere Rolle, so z.B. bei von mehreren Kunden gemeinsam genutzten Infrastrukturen, sog. „Shared Service Center“. Umgekehrt hat der Cloud-Anbieter ein Interesse daran, von ihm angestrebte Änderungen der Gesamtinfrastruktur auch in den individuellen Vertragsverhältnissen abzubilden. 220
Intveen/Hilber/Rabus
VI. Governance/Change Requests
Rz. 288
Teil 2
Daher fragt sich, ob outsourcingspezifische Themen überhaupt bei typi- 285 schen Cloud Computing-Transaktionen eine große Rolle spielen. In der Outsourcingpraxis besteht z.B. häufig Uneinigkeit zwischen Outsourcingkunde und -anbieter bei der Frage, ob die Leistungsbeschreibung erfolgs- oder prozessbezogen zu gestalten ist. Während der Kunde häufig nicht möchte, dass Prozesse geändert werden, will der Anbieter Freiheit, die geschuldeten Leistungen auf beliebige Art zu erbringen, um sein Kosteneinsparungspotential zu heben. Ein pragmatischer Kompromiss liegt häufig darin, die vertragliche Leistungsbeschreibung erfolgsbezogen zu formulieren1, dem Kunden aber bei Änderung von Prozessen über die Governance-Regelungen gewisse Mitspracherechte einzuräumen. Diese Problematik stellt sich bei Cloud Computing allerdings regelmäßig nicht, da der Kunde hier von vornherein keinen Einblick in die Prozesse der Standardleistungen des Anbieters hat. Eine klar geregelte und den Bedürfnissen der Praxis entsprechende Kom- 286 munikations- und Eskalationsstruktur ist für eine funktionierende, langfristige angelegte Outsourcingbeziehung entscheidend. Dies gilt auch für größere Cloud Computing-Verträge (bei denen das Volumen es dem Anbieter erlaubt, dem Kunden dezidierte Ansprechpartner zur Verfügung zu stellen). Bei kleineren Cloud-Verträgen über voll standardisierte CloudLeistungen ist der Bedarf an Kommunikation ohnehin kleiner. Der Kunde nimmt eben die Standardleistungen in den angebotenen Konfigurationen in Anspruch – oder lässt es bleiben. Die Preiskalkulation der Anbieter erlaubt auch keine Beratung oder Supportleistung ohne Zusatzentgelt. 2. Interne Organisation und Koordination Ebenso wie beim Outsourcing spielen auch beim Cloud Computing au- 287 ßervertragliche organisatorische Aspekte eine wichtige Rolle. So sollte der Auftraggeber beim Outsourcing darauf achten, dass nicht sämtliche Know-how-Träger des auszulagernden Bereichs im Wege des Betriebsübergangs auf den Dienstleister übergehen. Vielmehr sollte auf Auftraggeberseite eine schlagkräftige Organisation verbleiben, die dem Key Account Management des Dienstleisters gegenübersteht und den Dienstleister beaufsichtigen und im Auftraggebersinne anweisen kann. Beim Cloud Computing stellt sich die Sache etwas anders dar. Zwar ist 288 auch hier dringend zu empfehlen, eine IT- und Einkaufsorganisation vorzuhalten, die in der Lage ist, die Anbieter zu steuern. Häufiger als 1-1-Beziehungen zwischen Kunde und Anbieter finden sich jedoch Konstellationen, in denen die Herausforderung auf Kundenseite darin besteht, mehrere Cloud Computing-Anbieter zu koordinieren. Auch besteht seltener Gefahr, dass Know-how-Träger zum Cloud Computing-Anbieter 1 Womit dann aber auch der werkvertragliche Charakter des Cloud-Vertrages näher rückt. Intveen/Hilber/Rabus
221
Teil 2
Rz. 289
Vertragsgestaltung
überwechseln, da Betriebsübergänge bei Cloud Computing-Transaktionen selten stattfinden (Vgl. Teil 5 Rz. 62 ff.). Andererseits müssen sich Kunden im Zusammenhang mit der Nutzung von Cloud Computing-Ressourcen anderen Herausforderungen stellen, als der „bloßen“ Steuerung des Dienstleisters, der (zunächst) die bestehende IT-Infrastruktur nur extern fortführt. 289
Die IT- und Einkaufsabteilungen müssen sich nämlich der (neuen) Herausforderung stellen, Einkaufs-, Steuerungs- und Sicherheitsprozesse abgestimmt auf die verschiedenen Bezugsquellen von IT-Leistungen zu gestalten. Dies erfordert auf Kundenseite die Zuordnung von Verantwortlichkeiten, z.B. durch die Einrichtung eines Cloud-Steuerungsgremiums, das die verschiedenen Leistungsstränge koordiniert, z.B. was Fristen, Änderungen/Folgeänderungen, Eskalation und Streitbeilegung (Streitverkündung) angeht. Diese Aspekte sind bereits bei Vertragsverhandlungen zu berücksichtigen, um eine abgestimmte Koordination auf Kundenseite zu erlauben. So sind bei aufeinander abgestimmten oder voneinander abhängigen Cloud Computing-Diensten Kündigungs- und Änderungsfristen so zu gestalten, dass aus einem Gesamtzusammenhang erforderliche Änderungen überall wo erforderlich auch zur erforderlichen Zeit umgesetzt werden können. Dies kann z.B. auch gewisse Abstimmungsprozesse in Testumgebungen notwendig machen, um es z.B. dem nachgeschalteten SaaS-Dienstleister zu ermöglichen, eine Änderung des IaaS-Dienstleisters so zu berücksichtigen, dass die kontinuierliche Leistungserbringung nicht gefährdet wird. 3. Voll standardisierte Cloud Computing-Angebote
290
Andererseits gibt es Cloud Computing-Angebote, die vollständig standardisiert angeboten werden und keinerlei Regelungen zu Kommunikation und Änderungen enthalten, zumindest nicht, um Änderungswünsche des Kunden zu ermöglichen. Vielmehr ist zu beobachten, dass in Vertragsbedingungen sogar einseitige Änderungsrechte des Anbieters vorgesehen sind, die – im besten Fall – bei anbieterseitigen Änderungen ein Kündigungsrecht des Kunden vorsehen. Abgesehen davon, dass derartige Vertragsgestaltungen bereits datenschutzrechtlich unzulässig sind (sofern nicht ausgeschlossen werden kann, dass personenbezogene Daten betroffen sind), kann einem unternehmerischen Kunden nur abgeraten werden, für den Geschäftsbetrieb wichtige Leistungen unter einem derartigen Vertrag zu beziehen. 4. Governance-Strukturen
291
Bei großvolumigen Cloud Computing-Verträgen bietet es sich an, die mit Outsourcingtransaktionen gemachten Erfahrungen nutzbar zu machen. Verschiedene Strukturen haben sich in der Praxis bewährt. Regelmäßig wird auf beiden Seiten ein zentraler Ansprechpartner benannt, der für die Durchführung des Vertrages zuständig ist und die Hinzuziehung weiterer 222
Intveen/Hilber/Rabus
VI. Governance/Change Requests
Rz. 294
Teil 2
Fachbereiche jeweils intern koordiniert. Bei einem solchen Vorhaben sollte jede Partei im Vertrag verpflichtet werden, einen kompetenten Ansprechpartner sowie einen Stellvertreter zu benennen. Teilweise finden sich in Verträgen auch mehr oder weniger ausführliche Regelungen zur Vorgehensweise bei Austausch dieser Ansprechpartner. An dieser Stelle ist aber Zurückhaltung in der Regel unschädlich. Eine Pflicht, die andere Seite vorab zu informieren, ist allerdings sinnvoll. Wichtiger ist es, klar zu regeln, ob und falls ja, wie Änderungen des Ver- 292 trages im Rahmen der Governance-Kommunikation erfolgen können. In der Praxis ist häufig die Abgrenzung zwischen Abreden über die Durchführung des Vertrages (im Rahmen definierter Governance-Strukturen oder auch schlicht durch Korrespondenz) von der Änderung desselben zu unterscheiden. Empfehlenswert ist daher, Vertragsänderungen nur durch schriftliche Änderungsvereinbarungen zuzulassen. Empfehlenswert ist ferner, die Kommunikation zwischen dem Key Ac- 293 count Management beim Dienstleister und der beim Kunden für die Steuerung des Dienstleisters verantwortlichen Stelle (sei es der Einkauf oder die IT-Abteilung, beide oder gänzlich andere Stellen) sinnvoll zu formalisieren. Zum einen soll damit ein gewisser Wildwuchs der Kommunikation vermieden und sichergestellt werden, dass relevante Themen jeweils von den dafür unternehmensintern zuständigen Personen behandelt werden. Kommerzielle Themen verantwortet dabei häufig der Einkauf, während operativ technische Themen mit der IT-Abteilung zu besprechen sind. Zu strategischen Themen kann sich eine höhere Managementebene austauschen. Zum anderen hat es sich jedenfalls bei größeren Cloud-Vorhaben als sinnvoll erwiesen, eine regelmäßige Kommunikation zu institutionalisieren. Denn eine langfristig angelegte Beziehung erfordert den frühzeitigen Austausch von Information und ein ausgeprägtes gegenseitiges Verständnis. Insofern bietet es sich bei größeren Vorhaben an, regelmäßige Projektmeetings zu vereinbaren. Häufig finden sich auch mehr oder minder ausführliche Regelungen zur Erstellung des Protokolls. Welcher Detailgrad insofern angemessen ist, mag unterschiedlich bewertet werden. Sinnvoll ist es jedenfalls, ein Protokoll anzufertigen, das den Inhalt der Sitzung wiedergibt. Für den Fall, dass Streit entsteht, der auf Projektebene nicht beigelegt 294 werden kann, bieten sich Eskalationsmechanismen an, im Rahmen derer höhere Managementebenen schrittweise einbezogen werden. Teil der Eskalation kann z.B. auch ein Mediationsverfahren sein. Diese können sehr schlank gestaltet werden und den Parteien hilfreiche Unterstützung sein.
Intveen/Hilber/Rabus
223
Teil 2
Rz. 295
Vertragsgestaltung
5. Änderungen a) Gesetzliche Ausgangslage 295
Die gesetzliche Ausgangslage im Hinblick auf Vertragsänderungen ist simpel: pacta sunt servanda. Daher bedarf jede Änderung des Vertrages einer Vereinbarung zwischen den Parteien. Da in der Regel eine Schriftformklausel vorschreibt, dass Änderungen nur schriftlich vereinbart werden können, reicht eine mündliche oder textliche Einigung (insbesondere per E-Mail) nicht aus1. Dies ist auch sinnvoll, um zu verhindern, dass die Parteien im Tagesgeschäft oder im Rahmen der Governance (unbeabsichtigt) Änderungen vereinbaren2. Von einer Änderung abzugrenzen sind Absprachen über die bloße Durchführung des Vertrages sowie Gestaltungserklärungen, wie etwa die Kündigung (für die in der Regel aber auch die Schriftform vereinbart ist). b) Private Cloud-Transaktionen
296
In Private Cloud-Transaktionen, die dem klassischen Outsourcing vergleichbar sind, ist der Cloud-Anbieter in der Regel in der Lage, Änderungsverlangen des Kunden umzusetzen. Hier stellt sich die Frage der Preisgestaltung. Da der Kunde sich bereits an einen Anbieter gebunden hat und nicht ohne Weiteres zu einem anderen Anbieter wechseln kann (Vendor Lock-in), bedarf es aus Kundensicht einer Regelung zur Bepreisung von Änderungen, um den Forderungen des Anbieters nicht schutzlos ausgeliefert zu sein. In funktionierenden Outsourcing- oder Cloud Computing-Beziehungen mag es zwar derartiger Regelungen nicht bedürfen, da beide Parteien die langfristige Kooperation und nicht einen kurzfristigen Vorteil im Blick haben. Ist dies aber nicht der Fall, könnte der Anbieter hier versuchen, die Abhängigkeit des Kunden auszunutzen.
297
Dies kann verhindert werden, indem zum einen der Anbieter verpflichtet wird, Änderungen auf Verlangen des Kunden durchzuführen und zum anderen, indem eine Regelung zur Vergütung vereinbart wird, z.B. Benchmarking-ähnliche Regelungen3, nach denen der Anbieter sich an Vergleichsangeboten messen lassen muss. Praktisch mag dies allerdings nicht immer durchführbar sein, vor allem wenn es um Leistungsspezifika der konkreten Beziehung geht, für die kaum Vergleichsangebote eingeholt werden können. Alternativ kann vereinbart werden, die Durchführung von Änderungsverlangen – mangels Einigung auf einen Festpreis – auf Cost Plus-Basis abzurechnen, evtl. sogar höchstbegrenzt auf den Festpreisvorschlag des Anbieters. 1 Nach der Rechtsprechung des BGH bedarf es einer sogenannten doppelten Schriftformklausel, die für Vertragsänderungen und ein Abbedingen der Schriftform selbst die Schriftform vorschreibt (um ein konkludentes oder mündliches Abbedingen der Schriftform zu verhindern), BGH, NJW 1976, 1395. 2 S. dazu oben Rz. 291. 3 Zu Benchmarkingklauseln s. oben Rz. 267.
224
Intveen/Hilber/Rabus
VII. Absicherung der Leistungserbringung/Business Continuity
Rz. 302
Teil 2
Ein Verhandlungsthema sind häufig auch die Kosten des Änderungsver- 298 fahrens selbst, insbesondere die Kosten des Anbieters für die Prüfung des Änderungsverlangens und der Erstellung eines Angebots. Derartige Kosten können nämlich beträchtlich sein. Lösungen in der Praxis sind z.B. ein vorab definiertes Budget für die Kosten der Erstellung von Änderungsangeboten oder die Teilung der Angebotskosten zwischen den Parteien, sollte der Kunde das Angebot des Anbieters letztlich nicht annehmen. c) Standardisierte Cloud-Angebote Bei Public Cloud und anderen standardisierten Cloud-Angeboten wird 299 der Anbieter in aller Regel nicht in der Lage sein, Änderungsverlangen des Kunden überhaupt umzusetzen. Er wird daher dem Kunden ein Recht, Änderungen zu verlangen, nicht zugestehen können. Umgekehrt stellt sich für den Anbieter das Problem, dass die Durchführung genereller Änderungen an der Infrastruktur oder an sonstigen Leistungsmerkmalen nicht davon abhängig sein darf, dass alle Kunden dem zustimmen. Diesem Problem wird der Anbieter zunächst dadurch begegnen, dass die Leistung vertraglich möglichst breit definiert und insbesondere vom Anbieter im Hintergrund durchzuführende Prozesse und konkrete Systeme nicht festgelegt werden. AGB-rechtlich zulässig ist ein Änderungsvorbehalt gemäß § 308 Nr. 4 300 BGB nur dann, wenn dieser für den Vertragspartner zumutbar ist. Diesem Erfordernis genügt eine derartige Klausel, wenn sie Art, Grund und Ausmaß der vorbehaltenen Änderung erkennen lässt1; mithin, wenn ein triftiger Grund für die Änderung vorliegt (zu Benchmarkingklauseln siehe oben Rz. 267). Auch im unternehmerischen Verkehr gilt grundsätzlich das Zumutbar- 301 keitserfordernis über §§ 307 Abs. 2 Nr. 1, 310 Abs. 1 BGB2. Gerade in Dauerschuldverhältnissen ist die Anpassung an sich ändernde Verhältnisse notwendig; aber auch diese müssen sich im Rahmen des Angemessenen halten3. Ein individuell vereinbarter Änderungsvorbehalt findet seine Grenzen wegen des Prinzips der Vertragsfreiheit erst in §§ 138, 242 BGB.
VII. Absicherung der Leistungserbringung/Business Continuity Die Absicherung der Leistungserbringung dient dazu, die Auswirkungen 302 verschuldeter und vor allem unverschuldeter Störungen auf die Leistungserbringung abzumildern oder ganz zu verhindern. Störungen, d.h. 1 Vgl. BGH, BB 1984, 233 (234); für Beispiele vgl. Palandt/Grüneberg, § 308 BGB Rz. 25 m.w.N. 2 NJW-RR 2009, 458 (460). 3 BGH, NJW 1985, 623 (627). Intveen/Hilber/Rabus
225
Teil 2
Rz. 303
Vertragsgestaltung
Schlechtleistungen, können etwa durch höhere Gewalt oder finanzielle Einschränkungen der Leistungsfähigkeit verursacht werden. Da Leistungen aus der Cloud in hohem Maße arbeitsteilig erbracht werden, stellt sich besonders die Frage nach den Auswirkungen von Störungen in der Wertschöpfungskette. 303
Ob Leistungen von einem großen oder kleineren Cloud-Dienstleister bezogen werden, mag eine gewisse Rolle für die Bestimmung der erforderlichen Absicherungsmaßnahmen spielen, vor allem was die Absicherung der finanziellen Leistungsfähigkeit angeht1. Der wichtigste Aspekt ist jedoch die Bedeutung der Leistung für den Geschäftsbetrieb des Kunden. Je bedeutsamer die Leistung, desto mehr ist die Fähigkeit des Dienstleisters, sie kontinuierlich zu erbringen, gegen Störfälle abzusichern. Bei Leistungen, die keinen Einfluss auf wichtige Geschäftsprozesse haben, mag es genügen, standardisierte Leistungen aus der Cloud auf der Basis vorgegebener Bedingungen einzukaufen. Sofern es allerdings um Datenverarbeitungen geht, die für das Geschäft des Kunden bedeutsam sind, wie z.B. ERP- oder CRM-Systeme, ist die Absicherung der Leistungserbringung ein wichtiger Aspekt, der von der Geschäftsleitung sorgsam abgewogen werden sollte.
304
Im Anschluss wird die rechtliche Ausgangslage dargestellt (Ziffer 1). Anschließend wird der vertragliche Regelungsbedarf zur Absicherung von Störungen (dazu Ziffer 2) erörtert. Schließlich wird unter Ziffer 3 das Thema der Insolvenzabsicherung angesprochen. 1. Rechtliche Ausgangslage
305
Fraglich ist, ob Absicherungsmaßnahmen überhaupt gesondert vereinbart werden müssen, da der Dienstleister bei Unterbrechungen seiner Leistungsfähigkeit keinen Anspruch auf die Vergütung hat und möglicherweise schadensersatzpflichtig ist und daher ohnehin ein Eigeninteresse an der Aufrechterhaltung seiner Leistungsfähigkeit hat2. a) Absicherungsmaßnahmen aus Eigeninteresse des Dienstleisters: Vergütungsgefahr
306
Die Vergütung des Dienstleisters ist im Rahmen von Cloud Computing-Verträgen typischerweise für gewisse Zeitabschnitte oder für die Durchführung bestimmter Transaktionen zu entrichten. Ersteres ist etwa der Fall für die Bereitstellung von Speicherplatz in der Cloud3, während letzteres z.B. für die Versendung von E-Mail-Kampagnen über einen
1 Vgl. Bräutigam, IT-Outsourcing, Teil 13, Rz. 34. 2 So Bräutigam, IT-Outsourcing, Teil 13, Rz. 33. 3 Die Bereitstellung von Speicherplatz wird als Miete qualifiziert. Vgl. hierzu Nägele/Jacobs, ZUM 2010, 281 (284); Niemann/Paul, K&R 2009, 444 (447).
226
Intveen/Hilber/Rabus
VII. Absicherung der Leistungserbringung/Business Continuity
Rz. 309
Teil 2
Cloud-Dienst gilt. In beiden Fällen trägt der Dienstleister die Vergütungsgefahr. Die Gefahrtragung ist in § 326 Abs. 1 BGB geregelt. Danach liegt bei Un- 307 möglichkeit der Leistungserbringung die Gegenleistungsgefahr grundsätzlich beim Schuldner. Auch soweit die Leistung noch erbringbar ist, aber noch nicht erbracht wurde, liegt die Vergütungsgefahr beim Schuldner. Bei werkvertraglichem Charakter der Leistung ergibt sich dies aus § 644 Abs. 1 Satz 1 BGB, bei mietvertraglichem Charakter aus § 536 Abs. 1 Satz 1 BGB und bei dienstvertraglichen Leistungen aus § 614 Satz 1 BGB. Dem Dienstleister steht damit kein Anspruch auf eine Vergütung zu, sofern er die Leistung aus eigenem Verschulden oder unverschuldet nicht erbringt. Bereits dieser Umstand begründet für den Dienstleister einen Grund, Maßnahmen zur Absicherung der Leistung zu treffen. Ob es ein allein ausreichender Grund ist, der vertragliche Absicherungsmaßnahmen entbehrlich macht, ist allerdings zweifelhaft. Nur sofern der Kunde den Dienstleister schuldhaft an der Leistungs- 308 erbringung gehindert hat (z.B. durch Nichterfüllung seiner Mitwirkungspflichten) oder sich im Annahmeverzug befindet, kann der Dienstleister die Vergütung trotzdem verlangen1. b) Absicherungsmaßnahmen aus Eigeninteresse des Dienstleisters: Schadensersatzpflicht Ein weiterer Grund für den Dienstleister, Maßnahmen zur Absicherung 309 der Leistung zu treffen, besteht in drohenden Schadensersatzansprüchen, die allerdings regelmäßig voraussetzen, dass er schuldhaft eine Pflicht verletzt hat, die zu der Unterbrechung geführt hat, §§ 280, 249 ff. BGB. Dies kann z.B. der Fall sein, wenn die Installierung eines Updates auf dem Produktivsystem zum Absturz der vom Kunden genutzten CloudPlattform führt. Anders kann die Situation bei durch höherer Gewalt verursachten Leistungsunterbrechungen zu bewerten sein. Höhere Gewalt ist ein von außen kommendes, keinen betrieblichen Zusammenhang aufweisendes, nicht vorhersehbares, auch durch die vernünftigerweise zu er-
1 Im Falle der Unmöglichkeit der Leistungserbringung, ergibt sich dieser Gedanke allgemein aus § 326 Abs. 2 Satz 1 BGB. Ist die Leistung hingegen erbringbar, gilt dasselbe auch für Leistungen, die dienstvertraglicher Natur sind nach Maßgabe von § 615 Satz 1 BGB, wenn sich der Dienstberechtigte im Annahmeverzug befindet. Derselbe Rechtsgedanke wird für das Werkvertragsrecht von der Vorschrift des § 644 Abs. 1 Satz 2 BGB umfasst. Für Cloud-Leistungen die mietvertraglichen Charakter haben, verdrängt § 537 Abs. 1 BGB als Sondervorschrift § 326 BGB (MünchKomm/Bieber, § 537 BGB, Rz. 1). Der Vermieter behält den Anspruch auf die Miete, wenn der Mieter, selbst ohne eigenes Verschulden, gehindert ist, die Mietsache zu gebrauchen, sofern nur die Gründe für die Hinderung in den Risikobereich des Mieters fallen (MünchKomm/Bieber § 537 BGB Rz. 1; Staudinger/Emmerich, BGB, §§ 535–562d; HeizkostenV, BetrKV, § 537 Rz. 7). Intveen/Hilber/Rabus
227
Teil 2
Rz. 310
Vertragsgestaltung
wartende Sorgfalt nicht abwendbares Ereignis1. Das Ereignis der höheren Gewalt ist vom Dienstleister also nicht schuldhaft herbeigeführt worden. Ein Verschulden kann aber darin bestehen, dass der Schuldner mit der Gefahr oder der Störung nicht sachgerecht umgeht2. Dazu gehört es auch, zumutbare Sicherheitsvorkehrungen zu treffen3. Erforderliche Sicherungsvorkehrungen sind auch dann zu treffen, wenn sie mit Unbequemlichkeiten, Zeitverlust oder finanziellen Einbußen verbunden sind4. Sind Schäden nicht zu verhindern, besteht zumindest eine Hinweispflicht5. 310
Wurde der Umstand, der zu der Störung geführt hat, weder durch ein positives Tun des Dienstleisters noch durch Nichtvornahme erforderlicher Absicherungsmaßnahmen verschuldet, scheidet ein Schadensersatzanspruch grundsätzlich aus. Ausnahmsweise haftet der Dienstleister aber auch ohne Verschulden bei einer mietvertraglich einzuordnenden Leistung, sofern die Leistungsunterbrechung auf einem anfänglichen unverschuldeten Mangel beruht, § 536a Abs. 1 Satz 1 BGB6, und die Garantiehaftung nicht wirksam abbedungen wurde.
311
Im Gegensatz dazu gibt es für dienst- oder werkvertragliche Leistungen keine spezialgesetzlich geregelte verschuldensunabhängige Haftung des Dienstleisters. Hierbei kann eine verschuldensunabhängige Haftung allenfalls aufgrund einer Garantieübernahme (§ 276 Abs. 1 Satz 1 BGB) begründet werden. Darüber hinaus besteht auch eine Haftung für Zufall, wenn sich der Dienstleister mit der zu erbringenden Leistung in Verzug befindet (§ 287 Satz 2 BGB). c) Konkludent vereinbarte Absicherungsmaßnahmen
312
Den Dienstleister kann nach einer Auslegung des Vertrages gemäß §§ 133, 157 BGB auch ohne ausdrückliche Vereinbarung die Pflicht treffen, Absicherungsmaßnahmen zu ergreifen, insbesondere, wenn diese
1 2 3 4 5 6
BGH, NJW 1987, 1938 (1939); PWW/Schmidt-Kessel, § 276 Rz. 36. NK-BGB/Dauner-Lieb, § 276 BGB Rz. 15. Erman/Westermann, § 276 BGB Rz. 14a. BGH, NJW 1953, 257. Palandt/Heinrichs, § 276 BGB Rz. 21. Dass der Mangel bereits zum Zeitpunkt des Vertragsschlusses hervorgetreten war und seine schädigende Wirkung zeigt, ist nicht erforderlich. Für die Begründung der Schadensersatzpflicht reicht es bereits aus, wenn nur die Gefahrenquelle im Zeitpunkt des Vertragsschlusses vorgelegen hat und der Mangel erst nach Vertragsschluss auftritt; BGH, NJW 1972, 944 (945) (so für einen Pachtvertrag entschieden); BGH, NJW 2010, 3152; vgl. auch Gramlich, Mietrecht, § 536a BGB; Intveen/Lohmann, ITRB 2002, 210 (212); Palandt/Weidenkaff, § 536a BGB Rz. 9. Sofern der Dienstleister keine Absicherungsmaßnahmen getroffen hat, obwohl er dazu (nach Treu und Glauben) verpflichtet war, liegt darin ein anfänglicher Mangel, so dass es auf das Verschulden des Dienstleisters nicht mehr ankommt; Münch Komm/Häublein, § 536 BGB Rz. 18.
228
Intveen/Hilber/Rabus
VII. Absicherung der Leistungserbringung/Business Continuity
Rz. 313
Teil 2
marktüblich und auch zumutbar sind1. Dies ergibt sich aus dem Rechtsgedanken des § 434 Abs. 1 Satz 2 Nr. 2 BGB, wonach der Schuldner der vertragsspezifischen Leistung diese so zu erbringen hat, wie es bei „Sachen der gleichen Art“ üblich ist. Diese kaufrechtliche Bestimmung konkretisiert den allgemeinen Rechtsgedanken, wie er sich aus § 243 Abs. 1 BGB ergibt und der auch auf Cloud Computing-Verträge übertragen werden kann. Weitere Pflichten zur Sicherung der Leistungsfähigkeit können sich auch mittelbar aus § 11 Abs. 2 Satz 2 Nr. 3 BDSG ergeben (siehe hierzu sogleich Rz. 316 ff. und Teil 4 Rz. 84). Einem Betreiber eines EDVSystems obliegt nach obergerichtlicher Rechtsprechung z.B. die Pflicht zur Datensicherung2. Ferner hat die Rechtsprechung Host-Provider auch ohne konkrete Vereinbarung als zur Installation eines Spannungspuffergerätes verpflichtet angesehen, da mit gelegentlichen Stromausfällen auch ohne Eingriffe Dritter gerechnet werden muss3. Von einem Cloud-Dienstleister wird man dementsprechend auch ohne gesonderte Vereinbarung die Sicherung der Daten durch regelmäßige Anfertigung und gesonderte Aufbewahrung von Sicherungskopien sowie die Installation eines Spannungspuffers verlangen können. Als weitere marktübliche Sicherheitsvorkehrungen eines Host-Providers 313 und entsprechend auch eines Cloud-Anbieters könnten anzusehen sein: Brandschutz mit separaten Löschabschnitten, automatische Brandmeldezentrale, Schutz vor Leitungs- und Hochwasser, Einbruchssicherheit, Bewegungssensoren, automatische Polizeimeldezentrale, geschultes Sicherheitspersonal, mehrstufige Zutrittskontrollen (Besitz, Passwort, Biometrie), Videoüberwachung, redundante Leitungshauszuführung der verschiedenen Carrier, redundante Rechenzentren (geografisch entfernt liegend)4.
1 Der BGH hat diesen Gedanken für einen privaten Betreiber eines WLAN-Zugangs angeführt, der es unterlassen hat, die im Kaufzeitpunkt seines WLANRouters marktüblichen Sicherungen ihrem Zweck entsprechend anzuwenden; vgl. BGH, MMR 2010, 565 (567). Wenn dies für den Privatbereich gilt, dann erst recht auch für unternehmerisches Verhalten. 2 OLG Hamm, MMR 2004, 487 ff.; dasselbe soll auch für Host-Provider gelten, vgl. Graf von Westphalen/Hoeren, Vertragsrecht und AGB-Klauselwerke, Teil „Klauselwerke“, E-Commerce-Verträge, Kap. 3, Rz. 39. 3 So für den Host-Provider entschieden: LG Konstanz, NJW 1996, 2662. 4 Vgl. das Eckpunktepapier des BSI für sicheres Cloud Computing unter: https:// www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eck punktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob =publicationFile, S. 23 ff. (zuletzt aufgerufen am 4.10.2013) sowie die aufgelisteten Sicherheitsangebote der Global Access Internet Services GmbH auf http:// www.global.de/wie-findet-man-den-richtigen-colokationsanbieter/ (zuletzt aufgerufen am 4.10.2013). Zur vertraglichen Ausgestaltung von Sicherungsmaßnahmen siehe auch https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrund schutzZertifikat/ISO27001Zertifizierung/Schema/zertifizierungsschema.html (zuletzt aufgerufen am 4.10.2013). Intveen/Hilber/Rabus
229
Teil 2
314
Rz. 314
Vertragsgestaltung
Bestehen solche konkludent vereinbarten Absicherungspflichten, kann sich der Dienstleister auch bei durch höhere Gewalt verursachten Störungen schadensersatzpflichtig machen, sofern er die Absicherungsmaßnahmen nicht wie geschuldet ergriffen hat. Fehlt es hingegen an einer vertraglichen Pflicht zur Vornahme von Sicherungsmaßnahmen, so liegt die Pflichtverletzung – bei durch höhere Gewalt verursachten CloudAusfällen – in der bloßen Nichtleistung. Ob diese zu einer Schadensersatzpflicht führt, ist eine Frage des Vertretenmüssens. Eine Fahrlässigkeitshaftung kommt nur dann in Betracht, wenn der Eintritt des schädigenden Erfolges vorhersehbar und vermeidbar war1. d) Erforderlichkeit der Vereinbarung von Absicherungsmaßnahmen
315
Da also grundsätzlich der Dienstleister bei Nichtleistung auch keinen Anspruch auf eine Vergütung hat, liegt es zwar in der Tat in seinem eigenen Interesse sicherzustellen, dass er die Leistung erbringen kann2. Zudem kann er – wie eben dargestellt – auch bei höherer Gewalt auf Schadensersatz haften, vor allem wenn konkludent vereinbarte Absicherungsmaßnahmen nicht ergriffen werden. Allerdings besteht eine erhebliche Rechtsunsicherheit über den geltenden Sorgfaltsmaßstab und welche konkreten Maßnahmen der Dienstleister zu ergreifen hat (bis ein Gericht darüber entschieden hat). Zum anderen mögen bei drohenden oder bereits eingetretenen Leistungsunterbrechungen faktische Einschränkungen bestehen, da gewisse Maßnahmen einen zeitlichen Vorlauf benötigen. Verfügt der Dienstleister z.B. nicht über redundante Strukturen, können diese im Störfall auch nicht kurzfristig geschaffen werden. Daher empfiehlt es sich aus Kunden- und Anbietersicht, die vom Dienstleister zu ergreifenden Maßnahmen zur Absicherung der Leistungserbringung bereits im Vorhinein vertraglich konkret zu vereinbaren. Diese wichtige Frage sollte also aus beiderseitigem Interesse ausdrücklich geregelt werden, um sich nicht von den Unwägbarkeiten einer Auslegung gemäß §§ 133, 157 BGB abhängig zu machen3. Bei Vereinbarung konkreter Absicherungsmaßnahmen, die der Dienstleister oder auch der Kunde zu ergreifen haben, werden die Verantwortlichkeiten der Parteien auch bei grundsätzlich unverschuldeten Störungen klar definiert und somit der Anwendungsbereich gesetzlicher Regelungen zur Gefahrtragung sowie etwa vereinbarter Klauseln zur höheren Gewalt eingeschränkt4.
1 OLG Frankfurt a.M., NJW-RR 2000, 976; MünchKomm/Grundmann, § 276 BGB Rz. 68; NK-BGB/Dauner-Lieb, § 276 BGB Rz. 15. 2 Vgl. Bräutigam, IT-Outsourcing, Teil 13, Rz. 33. 3 Vgl. allerdings Bräutigam, IT-Outsourcing, Teil 13, Rz. 34. 4 Vgl. Redeker/Heymann/Lensdorf, Handbuch der IT-Verträge, Kap. 5.4 Rz. 554.
230
Intveen/Hilber/Rabus
VII. Absicherung der Leistungserbringung/Business Continuity
Rz. 319
Teil 2
2. Vertraglicher Regelungsbedarf zur Absicherung von Störungen Obwohl der Dienstleister zu gewissen Absicherungsmaßnahmen ver- 316 pflichtet ist, sollten also ausdrückliche Vereinbarungen zu diesem wichtigen Thema getroffen werden. Auch soweit Pflichten nach Treu und Glauben ohne ausdrückliche Vereinbarung bestehen, z.B. die Pflicht zur Datensicherung, sollte ausdrücklich vereinbart werden, wie die Sicherungsmaßnahmen konkret zu treffen sind. Vorab sei auf die technischen und organisatorischen Maßnahmen verwie- 317 sen, die nach §§ 11, 9 BDSG vom Cloud-Anbieter zu ergreifen sind, sofern er personenbezogene Daten des Kunden verarbeitet (was in der Regel der Fall ist). Siehe hierzu Teil 4 Rz. 113 ff. Diese Maßnahmen dienen zwar in erster Linie dem Schutz der Daten und nicht der Absicherung der fortlaufenden Datenverarbeitung (Business Continuity), bieten jedoch (mittelbar) auch Schutz vor Störungen des gesamten Betriebes. So schützen die Maßnahmen zur Zutritts- und Zugangskontrolle gemäß Nr. 1 und 2 der Anlage zu § 9 Satz 1 BDSG auch vor Einbrüchen Dritter und nach Nr. 7 ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Nachfolgend sind die wichtigsten Bereiche aufgeführt, in denen Maßnah- 318 men zur Absicherung gegen faktische Störungen getroffen werden sollten. Diese Absicherungsmaßnahmen sollten in einer Anlage zum Vertrag ausdrücklich vereinbart werden. Nähere Erläuterungen hierzu finden sich auch in den Empfehlungen des BSI zu Sicherheitsvorkehrungen beim Cloud Computing1 sowie in Teil 4 Rz. 113 ff. a) Technische Vorkehrungen aa) Datensicherung (Back-up) Dass sämtliche verarbeiteten Daten unabhängig davon gesichert werden 319 müssen, ob die Verarbeitung intern oder extern stattfindet, ist allgemein anerkannt. Eine Vereinbarung sollte aber getroffen werden, um die De-
1 Die Sicherheitsempfehlungen des BSI sind abrufbar unter: https://www.bsi.bund. de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Si cherheitsempfehlungen-CloudComputing-Anbieter.pdf?_blob=publicationFile (zuletzt aufgerufen am 4.10.2013). Orientierung bei der Ausgestaltung der vertraglichen Sicherungspflichten des Cloud-Anbieters können außerdem allgemein anerkannte Standards bieten, wie die ISO 27001-Zertifizierung (https:// www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzZertifikat/ISO27001 Zertifizierung/Schema/zertifizierungsschema.html; zuletzt aufgerufen am 4.10.2013) oder das TRUSTe-Privacy-Programm (http://www.truste.com/products-and-ser vices/enterprise-privacy/TRUSTed-cloud; zuletzt aufgerufen am 4.10.2013). Diese Standards sind jedoch immer an den entsprechenden Einzelfall anzupassen. Intveen/Hilber/Rabus
231
Teil 2
Rz. 320
Vertragsgestaltung
tails festzulegen1. In welchem Format und in welchen Intervallen erfolgt die Datensicherung (Stunden-, Tages- oder Monatssicherung), wie ist die Sicherungsdatei strukturiert (erlaubt sie nur die Gesamtsystemwiederherstellung oder werden einzelne Bereiche gesondert gesichert)? Je enger das Sicherungsintervall ist, desto geringer ist der Umfang der verlorenen Daten im Störungsfall. Die Strukturierung der Sicherungsdatei betrifft nicht nur die Frage, welche Datenbestände gesondert gesichert werden (und damit auch unabhängig von anderen Datenbeständen wiederhergestellt werden können), sondern auch die Frage, ob inkrementelle Sicherungen (die nur das Delta zur letzten Sicherung speichern) oder Vollsicherungen vorgenommen werden. 320
Festzulegen ist auch, wo die Sicherungskopien gespeichert werden sollen. Denkbar ist z.B. die Sicherungsdatei vom Kunden selbst speichern zu lassen2. Damit wäre nicht nur sichergestellt, dass die Daten örtlich von den beim Dienstleister vorhandenen Daten getrennt sind, sondern auch, dass der Kunde über die Daten selbst verfügt und nicht darauf angewiesen ist, diese vom Dienstleister herauszuverlangen. Der Kunde kann sich zur Datensicherung durchaus auch des Cloud-Dienstes eines anderen Anbieters bedienen.
321
Zu regeln ist schließlich auch, auf welche Weise, in welchem Zeitrahmen und durch wen die Wiederherstellung des gesicherten Datenbestandes im Produktivsystem erfolgt. Denn es bedarf regelmäßig eines besonderen Know-hows, um ein Produktivsystem auf Grundlage einer Sicherungsdatei wiederherzustellen. Aus Kundensicht sind hier verbindliche Wiederherstellungszeiten wünschenswert. bb) Redundante Betriebsstrukturen
322
Die Frage nach redundanten Betriebsstrukturen wird ebenso wie diejenige nach Datensicherungen häufig thematisiert. Derartige Strukturen können jedoch ein erheblicher Kostenfaktor sein. Um die Leistungsfähigkeit auch dann zu erhalten, wenn das Produktivsystem von einer Störung betroffen ist, musste bisher häufig das komplette System zweimal vorgehalten werden. Fällt ein System aus, kann auf das gespiegelte System umgeschaltet werden. Dies führt allerdings auch zu einer Verdoppelung der Kosten. Die Steigerung der zugesagten Verfügbarkeit von 98 % auf 99 % kann nach diesem Ansatz einen erheblichen Kostenaufwand aus1 Beck’sches Formularhandbuch IT-Recht/Missling, Kap. H. 4.6. 2 Dies ist z.B. in den „Ergänzende Vertragsbedingungen für die Beschaffung von ITDienstleistungen – EVB-IT Dienstleistung“ (formuliert durch den Kooperationsausschuss ADV Bund/Länder/Kommunaler Bereich in Abstimmung mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM)) so geregelt, abrufbar unter: http://www.cio.bund.de/DE/IT-Be schaffung/EVB-IT-und-BVB/Aktuelle_EVB-IT/aktuelle_evb_it_node.html (zuletzt aufgerufen am 4.10.2013). Verbindlich ist dies aber nur für die öffentliche Hand.
232
Intveen/Hilber/Rabus
VII. Absicherung der Leistungserbringung/Business Continuity
Rz. 326
Teil 2
lösen, wenn nämlich eine Verfügbarkeit von 98 % noch mit einem System darstellbar ist, nicht mehr aber eine Verfügbarkeit von 99 %. Ein Vorteil von Cloud Computing kann es sein, dass die Verfügbarkeit 323 der Cloud-Dienste auf hohem Niveau ohne derartige Kostensteigerungen gewährleistet werden kann. Die Datenverarbeitungen finden in den Rechenzentren der Cloud-Anbieter auf virtuell gebildeten Einheiten statt, die durch die Virtualisierung softwareseitig von der zugrunde liegenden Hardware (Server) getrennt sind. Dadurch fällt es leichter diese virtuellen Einheiten im Falle eines Hardwareausfalls auf einen anderen physischen Server zu verschieben, der sogar in einem gänzlich anderen Rechenzentrum belegen sein kann. Die Ursprünge von Cloud Computing basieren darauf, dass IT-Ressourcen dort genutzt werden, wo sie frei und kostengünstig sind, unabhängig davon, wo sie sich geographisch befinden. Dies mag – je nach Handhabung – den Nachteil der Ungewissheit über den Speicherort mit sich bringen. Auf der anderen Seite steht als Vorteil die Flexibilität bei der Nutzung vorhandener Ressourcen, was zu einer besseren Absicherung gegenüber Störungen führt. Ferner werden beim Cloud Computing typischerweise IT-Ressourcen 324 von vielen Kunden genutzt. Dies mag bedeuten, dass IT-Ressourcen in großen Rechenzentren verarbeitet werden, was zu einer Konzentration geographisch bedingter Risiken führt, wie z.B. Erdbeben. Allerdings ermöglicht die Konzentration der Ressourcen in einem Rechenzentrum, die Kosten für redundante Strukturen erheblich zu reduzieren – zum einen indem frei werdende Ressourcen als Redundanzressource jederzeit flexibel genutzt werden können, zum anderen indem redundante Ressourcen von den Kunden geteilt werden können, so dass die im Einzelfall sehr geringen Wahrscheinlichkeiten eines hardware-bedingten Ausfalls in ein besseres Verhältnis zum Aufwand für Redundanz gesetzt werden können1. Aus vertragsgestalterischer Perspektive sollte das Redundanzkonzept 325 konkret in der Business Continuity-Anlage zum Vertrag beschrieben und damit auch vereinbart werden. Hierbei ist zum einen festzulegen, welche Redundanz-Ressourcen konkret bereitgehalten, wie diese getestet werden und wo sie sich befinden. Um das geographische Klumpenrisiko zu reduzieren, ist eine örtliche Trennung der für Ausfälle vorgehaltenen ITRessourcen aus Sicherheitsgründen empfehlenswert – jedenfalls dann, wenn es um geschäftskritische Datenverarbeitungen geht. Gegenüber der „bloßen“ Vereinbarung der Verfügbarkeit gibt eine kon- 326 krete Vereinbarung zu redundanten Betriebsstrukturen zusätzliche Sicherheit, zumal bei einem Verstoß gegen die Verfügbarkeit nicht immer sämtliche Schäden, die wegen einem Ausfall des Dienstes entstehen, vom Anbieter ersetzt werden, z.B. wegen einer Haftungsbeschränkung 1 Ähnlich Redeker/Heymann/Lensdorf, Handbuch der IT-Verträge, Kap. 5.4 Rz. 552. Intveen/Hilber/Rabus
233
Teil 2
Rz. 327
Vertragsgestaltung
oder mangels Nachweisbarkeit des Schadens. Eine konkrete Vereinbarung eines Redundanzkonzeptes ermöglicht es dem Kunden, dieses auch durchzusetzen und so rein tatsächlich zu verhindern, dass überhaupt ein Schaden entsteht. Tritt ein solcher Fall dennoch ein, besteht zwar auch „nur“ ein Anspruch auf Schadensersatz, immerhin dürfte es dem Anbieter aber schwer fallen, sich zu exkulpieren, soweit die vertraglichen Absicherungsmaßnahmen nicht ergriffen wurden. Aus Sicht des Kunden stellt sich aber umgekehrt auch die Frage, ob sich der Dienstleister bei einer Unterschreitung der zugesagten Verfügbarkeit mit dem Hinweis exkulpieren kann, er habe die vereinbarte Redundanzstruktur ja geschaffen. Dies kann wohl nur dann ausgeschlossen werden, wenn die Verfügbarkeit verschuldensunabhängig zugesichert oder garantiert wird. b) Organisatorische Vorkehrungen 327
Je zentraler die auszulagernden Dienste sind, umso wichtiger ist eine umfangreiche und detaillierte Leistungsbeschreibung bei der Festlegung des Vertragsinhaltes1. Dies gilt auch für die organisatorischen Vorkehrungen für Störungen und Notfälle, zwischen denen – bei allen begrifflichen Variationen – typischerweise unterschieden wird. Aufgrund der nicht trennscharfen Abgrenzung zwischen kleineren Störfällen und größeren Notfällen und der daraus resultierenden fließenden Übergänge sollte vertraglich vereinbart werden, welche Ereignisse einen Notfall darstellen. Vertraglich kann auf die Auswirkung eines Vorfalles oder auf dessen Ursache abgestellt werden. Da die Ursachen kaum abschließend aufgeführt werden können, bietet es sich an, alle Vorfälle als Notfall zu definieren, die bestimmte, besonders gravierende Folgen haben. So könnte bspw. der Komplettausfall eines Online-Shops für länger als drei Stunden als Notfall definiert werden. Hier ist es wichtig klarzustellen, dass der Notfall nicht erst mit Ablauf der drei Stunden eintritt, sondern in dem Moment, in dem zu erkennen ist, dass der Ausfall nicht innerhalb von drei Stunden behoben werden kann.
328
Während bei kleineren Störungen Maßnahmen zu deren zukünftiger Verhinderung stehen, sind die organisatorischen Vorkehrungen für Notfälle in sogenannten Notfallplänen zu regeln. In ihnen ist geregelt, wer im Notfall was zu tun hat. Daher sollten Notfallpläne genau zwischen den Verantwortlichkeiten des Anbieters und des Kunden unterscheiden. Hier bietet es sich an auch Kriterien festzulegen, anhand derer im Ernstfall zu beurteilen und zu entscheiden ist, welchem Ziel in der entsprechenden Situation absolute Priorität zukommt, wie bspw. Aufrechterhaltung der Betriebsfähigkeit, Materialerhaltung, Datenerhaltung, Schutz von Leib und Leben des Personals.
329
Aus Kundensicht sollten Notfallpläne nicht standardisiert, sondern immer individuell erstellt werden, da in jedem Einzelfall die besonderen 1 Vgl. Nägele/Jacobs, ZUM 2012, 281 (284). Hierzu bereits Rz. 196 ff.
234
Intveen/Hilber/Rabus
VII. Absicherung der Leistungserbringung/Business Continuity
Rz. 332
Teil 2
Prioritäten und Risiken des betroffenen Unternehmens zu berücksichtigen sind1. Allerdings hat der Anbieter ein eigenes Interesse an einem standardisierten Notfallmanagement, zumal bei einem Notfall mehrere seiner Kunden betroffen sein werden. Sofern es nicht um größere CloudVorhaben oder eine Private Cloud geht, wird der Verhandlungsspielraum für individuelle Notfallkonzepte des Kunden daher eher klein sein. Gerade in diesen Fällen hat der Kunde, der geschäftskritische Daten in der Cloud verarbeiten lassen möchte, genau zu prüfen, ob das vorhandene Notfallkonzept seinen Ansprüchen genügt. Daher empfiehlt es sich, das Notfallmanagement in Form von Notfallplänen oder eines Notfallhandbuchs in jedem Fall mit zum Bestandteil des Vertrages zu machen, indem zunächst die relevanten Notfallszenarien festgehalten und darauf aufbauend dann eine Notfallorganisation festgelegt wird (ob standardisiert oder nicht). Um Aktualisierungen nicht zu behindern, ist dann allerdings über ein erleichtertes Änderungsverfahren nachzudenken. Darüber hinaus sollten Vereinbarungen getroffen werden, welche sicher- 330 stellen, dass die Notfallpläne ständig überprüft und aktualisiert werden und das Personal durch Schulungen und Übungen in die Lage versetzt wird, in Notfällen angemessen zu reagieren. Aus der Festlegung der Notfallorganisation sollten sich dann die Alarm- 331 ketten erschließen. Je nach Art des Vorfalles wird eine andere Stelle die Alarmkette auslösen, was aber immer die Alarmierung aller für den jeweiligen Notfall relevanten Teams zur Folge hat. Hier sind insbesondere Berichts- und Anzeigepflichten sowie ggf. Eingriffsrechte festzulegen. In der Praxis sind Dienstleister allerdings – wohl meistens zu Recht – sehr zögerlich, Eingriffsrechte des Kunden zu akzeptieren. Auf der Ebene der Notfallpläne sollten dann die Aufgaben zur Erreichung eines Notbetriebes zur stabilen Überbrückung der Notsituation und dem nachgeordnet, die Maßnahmen zur Wiederaufnahme des Normalbetriebs festgelegt werden. Im Idealfall steht ein Ersatzrechenzentrum an einem anderen Standort 332 bereit, welches im Notfall die Funktion des betroffenen Rechenzentrums übernimmt2. Die durch die für das Cloud Computing typische Virtualisierungstechnik wirkt sich hier auf die Business Continuity positiv aus, da sie die schnelle Verlagerung in andere Rechenzentren erlaubt. Aus datenschutzrechtlichen Gründen spielt allerdings der Standort dieses Er1 Vgl. http://www.business-cloud.de/notfallplanung-fur-rechenzentren-sicher-istsicher/ v. 2.12.2011 (zuletzt aufgerufen am 4.10.2013); vgl. auch zu Verpflichtungen betreffend die Notfallplanung im IT-Bereich allgemein: Steger, CR 2007, 137 ff. 2 Nowitzki, „Cloud Computing: Ja oder Nein?“, http://www.cio.de/was_ist_cloud _computing/2306620/ (zuletzt aufgerufen am 4.10.2013); Pyle, How to Ensure Business Continuity with Cloud Computing, http://www.eweek.com/c/a/CloudComputing/How-to-Ensure-Business-Continuity-with-Cloud-Computing/ (zuletzt aufgerufen am 4.10.3012); zur Notfallplanung in Rechenzentren: http://www.busi ness-cloud.de/notfallplanung-fur-rechenzentren-sicher-ist-sicher/ (zuletzt aufgerufen am 4.10.2013); hierzu auch ausführlich: Rz. 322. Intveen/Hilber/Rabus
235
Teil 2
Rz. 333
Vertragsgestaltung
satzrechenzentrums eine wichtige Rolle, so dass hierauf besonderes Augenmerk gelegt werden sollte (dazu ausführlich Teil 4 Rz. 230 ff.). Je nach Cloud Vorhaben kann es hilfreich sein, wenn der Anbieter IT- und Netzwerkkomponenten vorrätig hält, mit deren Hilfe sich innerhalb kürzester Zeit ein Ersatznetzwerk aufbauen lässt, so dass die interne Kommunikation und die Betreuung von Kunden weiterhin möglich ist. 3. Insolvenzabsicherung 333
Ein wichtiges Thema bei Abschluss eines Cloud-Vertrages ist die Absicherung des Kunden für den Fall der Insolvenz des Anbieters. Für den Anbieter stellt sich das gleiche Problem bei der Beauftragung von Subunternehmern. a) Gesetzliche Ausgangssituation
334
Im Falle eines Insolvenzantrages kann der vorläufig bestellte Insolvenzverwalter (§ 21 Abs. 2 Nr. 1 InsO) den Geschäftsbetrieb unter bestimmten Voraussetzungen (§ 22 Abs. 1 Satz 2 Nr. 2 InsO) vorläufig einstellen, bevor der Eröffnungsbeschluss ergangen ist.
335
Macht er von diesem Recht keinen Gebrauch, d.h. wird der Betrieb in der Eröffnungsphase fortgeführt, kann der mit dem Eröffnungsbeschluss ernannte Insolvenzverwalter nach § 103 InsO wählen, ob der – als Dauerschuldverhältnis zu qualifizierende und daher stets nicht vollständig erfüllte – Cloud-Vertrag weiterhin erfüllt werden soll oder nicht. Wählt er die Erfüllung, weil der Vertrag unter dem Strich Gewinn bringt, entsteht zunächst kein Problem für den Cloud-Abnehmer. Lehnt er allerdings die Erfüllung ab, erhält der Abnehmer keine Leistung und die Sekundäransprüche auf Schadensersatz richten sich gegen die Insolvenzmasse und werden nur quotenmäßig erfüllt.
336
Da Cloud Computing-Verträge häufig keine urheberrechtlichen Lizenzen, also Rechtseinräumungen zur Nutzung von Software, beinhalten, spielt der Vorschlag eines neuen § 108a InsO1 für Cloud Computing kaum eine Rolle. Soweit der Anbieter dem Abnehmer eine Client-Software bereitstellt (also nicht schlicht der (vorhandene) Internetbrowser als Client genutzt werden kann), ist eine Lizenz erforderlich, die sich allerdings nicht auf die eigentlich zu nutzende Software bezieht. Näher hierzu in Teil 3. 1 Vgl. den Referentenentwurf des BMJ v. 18.1.2012. Vor dem Hintergrund des Streits über die Insolvenzfestigkeit von (dauerhaften) Lizenzen hat das Bundesministerium der Justiz vorgeschlagen, dem Lizenznehmer in § 108a InsO das Recht zu geben, vom Insolvenzverwalter den Abschluss eines neuen Lizenzvertrages zu verlangen (nach dem dann aber auch eine Vergütung zu zahlen ist), sofern der Insolvenzverwalter es nach § 103 Abs. 2 InsO ablehnt den bestehenden Lizenzvertrag weiterhin durchzuführen. Ob die Norm tatsächlich so erlassen wird, ist allerdings völlig offen.
236
Intveen/Hilber/Rabus
VII. Absicherung der Leistungserbringung/Business Continuity
Rz. 339
Teil 2
Eine weitere wichtige Frage ist, ob und wie sich der Cloud-Abnehmer 337 Zugriff auf seine Daten verschaffen kann. Hierfür bedarf der Abnehmer in der Insolvenz des Anbieters eines Aussonderungsrechts. Ein bloßer Herausgabeanspruch genügt insofern nicht, da er sich auch lediglich gegen die Insolvenzmasse richtet und daher in einen Zahlungsanspruch umzurechnen ist (§ 45 InsO), der dann aus der Masse zur Quote befriedigt wird. Nach § 47 Satz 1 InsO besteht ein Recht zur Aussonderung „auf Grund eines dinglichen oder persönlichen Rechts“ an einem Gegenstand, demzufolge dieser Gegenstand nicht zur Insolvenzmasse gehört. Zum einen müssen Daten also ein Gegenstand i.S.d. § 47 Satz 1 InsO 338 sein. Dies ist der Fall, da der Begriff „Gegenstand“ weit zu verstehen ist und alles umfasst, woran persönliche oder dingliche Rechte bestehen können. Voraussetzung ist allerdings, dass der vom Anbieter herausverlangte Datenbestand bestimmt oder bestimmbar ist1. Zum anderen muss ein zur Aussonderung berechtigendes Recht, die Da- 339 ten heraus zu verlangen, vorliegen. Das heißt, es muss bei normativer Betrachtung als gerechtfertigt erscheinen, die Daten (den Gegenstand) als nicht zur Insolvenzmasse angehörig anzusehen2. Es dürften bei Verweigerung der Herausgabe der Daten durch den Insolvenzverwalter in der Regel Ansprüche analog § 1004 BGB wegen Verletzung der (eigentumsähnlichen) Rechte an den Daten sowie eines Eingriffs in den eingerichteten und ausgeübten Gewerbebetrieb3 oder sogar auf Grundlage von § 823 Abs. 2 BGB i.V.m. § 303a StGB bestehen. Sofern die Daten Teil einer geschützten Datenbank sind, deren Rechte beim Kunden liegen, kann ein Aussonderungsanspruch auch nach § 87a UrhG bestehen. Neben diesen Rechten sind auch die Rechte der verantwortlichen Stelle nach dem BDSG von Bedeutung. Nach § 11 Abs. 2 Satz 2 Nr. 10 BDSG ist die Rückgabepflicht zwar vertraglich festzulegen. Hieraus allerdings den Schluss zu ziehen, eine Rückgabepflicht bestünde allein aus einer vertraglichen Abrede, führte indes in die Irre. Die datenschutzrechtliche Berechtigung des Cloud-Anbieters, die Daten zu speichern, leitet sich allein aus den zu Gunsten der verantwortlichen Stelle geltenden Erlaubnistatbeständen ab. Entfällt der Cloud Computing-Vertrag, entfällt damit auch die Rechtsgrundlage für die weitere Speicherung der Daten durch den Anbieter. Diese sind somit datenschutzrechtlich sofort herauszugeben oder zu löschen. Es spricht viel dafür, diesen Anspruch als persönlichen Anspruch nach § 47 Satz 1 InsO einzustufen, da der Anspruch nur der verantwortlichen Stelle zusteht und nicht übertragen werden kann. Im Übrigen reichen rein schuldrechtliche Ansprüche auf Verschaffung der Daten nicht aus, um einen insolvenzfesten Anspruch auf Aussonderung zu begründen4. 1 2 3 4
Bultmann, ZinsO 2011, 992 (994). Bultmann, ZinsO 2011, 992 (994). Grützmacher, ITRB 2004, 282 (283). Bultmann, ZinsO 2011, 992 (996). Intveen/Hilber/Rabus
237
Teil 2
Rz. 340
Vertragsgestaltung
340
Jedenfalls besteht dieser datenschutzrechtliche Herausgabe- und Aussonderungsanspruch selbst dann, wenn der Insolvenzverwalter nach § 103 Abs. 2 InsO die Nichterfüllung des Vertrages wählt. Gerade in diesem Fall besteht die vertragliche Nebenpflicht, die Daten herauszugeben.
341
Sofern mit der hier vertretenen Ansicht ein Herausgabeanspruch besteht, kann dieser im normalen, zivilrechtlichen bzw. zivilprozessualen Wege geltend gemacht werden. Das heißt, es können insbesondere auch Einwendungen bestehen. Allerdings wird der insolvente Cloud-Anbieter regelmäßig keine Ansprüche haben, die etwa ein Zurückbehaltungsrecht nach § 273 oder § 320 BGB begründen. Selbst wenn ein Zurückbehaltungsrecht bestünde, spräche viel dafür, dass es angesichts der immensen Schäden beim Cloud Kunden gegen § 242 BGB verstieße, es auch tatsächlich auszuüben1. Damit kann der Aussonderungsanspruch auf Übermittlung der Daten sowie Löschung beim Anbieter2 im Ergebnis geltend gemacht werden. Weigert sich der Insolvenzverwalter – trotz drohender Sekundäransprüche gemäß §§ 48, 60 InsO – diesen Anspruch zu erfüllen, kann im Wege der einstweiligen Verfügung die Herausgabe verlangt werden. Da hier jedoch typischerweise die Vorwegnahme der Hauptsache droht, ist keineswegs gesichert – andererseits aber angesichts der erwähnten möglicherweise gravierenden Schäden für den Kunden auch keineswegs ausgeschlossen –, dass die einstweilige Verfügung antragsgemäß ergeht. Da die Herausgabe der Daten daher letztlich mit einigen Unsicherheiten verbunden ist, kann es vorzugswürdig sein, den Antrag auf einstweilige Verfügung nicht (nur) auf die Herausgabe der Daten, sondern auf den vorläufigen Weiterbetrieb der Leistungen zu richten. b) Vertragsgestaltung
342
Vor diesem Hintergrund spricht einiges dafür, dass der datenschutzrechtliche Herausgabeanspruch, der jedenfalls dann besteht, wenn der CloudAnbieter als Auftragsdatenverarbeiter tätig wird, zur Aussonderung berechtigt. Aber selbst in diesem Fall ist keineswegs gesichert, dass der Kunde die Daten stets rechtzeitig erhält (weil der Insolvenzverwalter sich z.B. schlicht weigert, die Daten herauszugeben). Daher empfiehlt es sich zu vereinbaren, dass der Kunde vom Anbieter eine Kopie seiner Daten (ganz oder teilweise und gegen Entgelt oder kostenfrei) jederzeit herausverlangen kann, sofern nicht der Kunde sich bereits selbst der Datensicherung angenommen hat und aus diesem Grund stets auf – andernorts gespeicherte – gespiegelte Daten zugreifen kann. Da die Überleitung eines Cloud-Dienstes auf eigene oder Systeme eines anderen Anbieters in der Regel im Rahmen eines sorgfältig zu planenden Migrationsprojektes durchzuführen ist, bedarf es keineswegs nur der schlichten Zurverfügungstellung des Datenbestandes. Daher sind insofern im Rahmen der
1 Vgl. Palandt/Grüneberg, § 273 BGB Rz. 17 m.w.N. 2 Vgl. BGH, ZIP 1996, 1131; BGH, NJW-RR 2004, 1290.
238
Intveen/Hilber/Rabus
VIII. Kndigung und Exit-Szenarien
Rz. 345
Teil 2
Exit-Regelungen detaillierte Vereinbarungen zu treffen. Näher dazu unten Rz. 375 ff. Ob diese Detailabreden allein jedoch als Aussonderungsrechte i.S.d. § 47 InsO einzuordnen sind und damit gegen den Insolvenzverwalter im Wege der Aussonderung geltend gemacht werden können, ist fraglich. Soweit die Leistung nicht von der Hauptgesellschaft des Anbieter-Kon- 343 zerns erbracht wird, stellt sich die Frage der Einbeziehung der Hauptgesellschaft. Hauptgesellschaft ist in der Regel die oberste Muttergesellschaft. Nur sofern die zentrale operative Einheit des Anbieterkonzerns eine andere ist, kann es sinnvoll sein, statt der Muttergesellschaft die zentrale operative Einheit zur Absicherung miteinzubinden. Insofern bietet sich etwa eine (harte) Patronatserklärung oder aber eine (selbstschuldnerische) Bürgschaft (auf erstes Anfordern) an. Bei diesen Überlegungen ist aber auch die praktische Durchsetzbarkeit eines Anspruches gegen die Hauptgesellschaft zu bedenken. Sitzt diese etwa in Indien, kann die materiell voll ausreichende Absicherung praktisch ins Leere gehen, vor allem, wenn vor indischen Gerichten geklagt werden muss. Siehe zur Frage der Absicherung auch oben Rz. 193 ff. Des Weiteren bedarf es einer wirksamen Kündigungsklausel. Da als Kün- 344 digungsgrund die Eröffnung des Insolvenzverfahrens, die Stellung des Insolvenzantrags, etwaige daraufhin vom Gericht angeordnete Sicherungsmaßnahmen nach §§ 21, 22 InsO und die materielle Insolvenz ausscheiden, muss der Kündigungsgrund vorverlagert werden. Nähere Ausführung hierzu folgen unten unter Rz. 371.
VIII. Kündigung und Exit-Szenarien 1. Kündigung Für den Anbieter von Cloud-Leistungen ist ein Projekt vor allem bei out- 345 sourcing-nahen Konstellationen mit gewissen Anfangsinvestitionen verbunden, was dazu führt, dass er an einer möglichst langen Vertragsdauer interessiert sein wird, um die vollständige Amortisation seiner Kosten zu erreichen. Auch für den Kunden wird sich eine lange Vertragslaufzeit häufig durch günstigere Konditionen als attraktiv darstellen; außerdem wird er kein Interesse daran haben, durch ständige Anbieterwechsel Einschränkungen im Betriebsablauf zu riskieren. Obwohl Cloud Computing auch nur kurzfristige und temporäre Leistungsabrufe außerhalb fester Bindung erlaubt, ist aus diesen Gründen nicht auszuschließen, dass – vor allem bei outsourcing-ähnlichen Fällen – eine langfristige Bindung zwischen den Parteien zustande kommt1. Die angestrebte Stabilität des Betriebsablaufs und die Kostenersparnisse des Cloud Computing führen im
1 Vgl. dazu ausführlich: Söbbing, Handbuch IT-Outsourcing, Rz. 632 ff. Intveen/Hilber/Rabus
239
Teil 2
Rz. 346
Vertragsgestaltung
Ergebnis allerdings schnell zu einer gesteigerten Abhängigkeit des Kunden von der fortgesetzten Verfügbarkeit der Dienste des Cloud-Anbieters. Eigenentwickelte Dateiformate und nicht standardisierte Schnittstellen können die Bindung an einen bestimmten Anbieter zusätzlich erhöhen und im Falle eines Anbieterwechsels erhebliche Kosten verursachen1. Geht man zudem davon aus, dass sich im Falle einer Kündigung durch den Kunden die Interessen von Anbieter und Kunden im ungünstigsten Fall diametral gegenüberstehen, wird schnell ersichtlich, dass einer sorgfältigen vertraglichen Ausgestaltung der Kündigungsfolgen bereits bei Vertragsabschluss eine besondere Bedeutung zukommt. a) Gesetzliche Ausgangslage 346
Der Cloud-Anbieter erbringt seine vertraglich geschuldeten Leistungen meist über eine längere Laufzeit. Hierbei handelt es sich regelmäßig um typengemischte Verträge, die mietvertragliche (etwa die Zurverfügungstellung von Software und Speicherkapazität), werkvertragliche (beispielsweise die Implementierung von Software oder die Versendung eines Newsletters durch den Cloud-Anbieter) sowie dienstvertragliche (die Wartung und Pflege von Software oder weitere Supportleistungen) Elemente enthalten können (zur vertraglichen Einordnung der einzelnen Cloud-Leistungen siehe Rz. 137 ff.). Bei der Auflösung eines solchen Vertrages, insbesondere der Kündigung, ist bei typengemischten Verträgen nach allgemeinen Regeln auf den Schwerpunkt des Vertrages abzustellen2. Dieser Schwerpunkt bestimmt dann das anwendbare Vertragsrecht, d.h. es sind die Vorschriften des entsprechenden Vertragstypus heranzuziehen3.
347
Schließen zwei Parteien einen Vertrag jedoch über eine bestimmte Zeit, so tun sie damit ihren Willen kund, sich für diesen Zeitraum zu binden. Entsprechend soll ein solcher Vertrag auch nur mittels einer außerordentlichen Kündigung vorzeitig beendet werden können4. Da bei befristeten Verträgen die jeweilige Vergütung für den Anbieter zudem maßgeblich von der vereinbarten Laufzeit des Vertrages abhängt, würde dieser Zusammenhang durch die Möglichkeit einer ordentlichen Vertragsbeendigung einseitig durch den Kunden durchbrochen. Um die Balance zwischen den Interessen der Parteien zu wahren, sähe sich der Kunde in einem solchen Szenario möglicherweise mit vertraglichen Regelungen zu anteiligen Rückzahlungen konfrontiert.
348
Vereinbaren die Parteien daher lange Fixlaufzeiten, etwa fünf oder zehn Jahre, so wird es auch regelmäßig ihren Interessen entsprechen, statt 1 Vgl. v. d. Bussche/Schelinski in Leupold/Glossner, Münchener Anwaltshandbuch IT-Recht, Teil 1 Rz. 361. 2 Palandt/Grüneberg, Überbl. v. § 311 BGB Rz. 26. 3 Palandt/Grüneberg, Überbl. v. § 311 BGB Rz. 26. 4 Vgl. Staudinger/Rolfs, § 575 BGB Rz. 4.
240
Intveen/Hilber/Rabus
VIII. Kndigung und Exit-Szenarien
Rz. 352
Teil 2
einer Beendigung des Vertrages vielmehr eine angemessene Anpassung der ursprünglich vereinbarten Bestimmungen an die geänderten Umstände zu erreichen. Als geeignete Instrumente für eine solche Anpassung kommen neben Preisanpassungsklauseln und Benchmarking vor allem praktikable Governance- und Change-Request-Verfahren in Betracht. Schließen die Parteien hingegen einen Vertrag zunächst auf unbestimmte 349 Zeit ab, bestimmen sich die Fristen für eine ordentliche Kündigung – bei fehlender abweichender Parteiabrede – nach den jeweils anwendbaren gesetzlichen Vorschriften. In solchen Fällen ist nach den allgemeinen Regeln der Schwerpunkt des Vertrages im Einzelfall zu bestimmen, da die anwendbaren Fristen je nach Vertragstyp voneinander abweichen: Ein Mietvertrag kann – je nach Mietgegenstand – gemäß § 580a BGB mit einer Frist von einem Tag bis zu drei Monaten gekündigt werden1, ein Werkvertrag kann nach § 649 Satz 1 BGB jederzeit vom Besteller gekündigt werden und ein Dienstvertrag abhängig von der Bemessung der Vergütung mit einer Frist von einem Tag bis zu sechs Wochen, § 621 BGB. Der Cloud-Anbieter wird aber auch im Falle eines unbefristeten Vertra- 350 ges ein starkes Interesse daran haben, dass der Vertrag über Cloud-Leistungen für einen gewissen Zeitraum bestehen bleibt. Ebenso wird auch dem Cloud-Kunden daran gelegen sein, eine langfristige und stabile Beziehung zu seinem Cloud-Anbieter sicherzustellen, da ein Wechsel des Anbieters – vor allem auch ein überraschender und kurzfristiger Wechsel – mit erheblichen betriebswirtschaftlichen Risiken und außerdem mit Kosten verbunden ist. Da sich die Vertragspartner im Falle eines unbefristeten Vertrages relativ schnell von dem Vertrag lösen können, kann es im Interesse beider Parteien liegen, das Recht zur ordentlichen Kündigung für einen gewissen Zeitraum auszuschließen oder zumindest zu modifizieren, um auf diese Weise eine sichere Kalkulationsgrundlage bzw. ausreichend Zeit für die Suche nach einem neuen Anbieter und einen möglichst reibungslosen Anbieterwechsel zu schaffen. Fraglich ist allerdings, wie weit ein solcher Ausschluss bzw. eine solche 351 Modifikation der ordentlichen Kündigung reichen darf. b) Ausschluss/Modifizierung der ordentlichen Kündigung Ob und inwieweit eine ordentliche Kündigung von den Parteien vertrag- 352 lich ausgeschossen werden kann, hängt auch von dem jeweils zugrundeliegenden Vertragstyp ab.
1 Für eine Anwendung der längeren Kündigungsfristen von § 580a Abs. 2 etwa Wicker, MMR 2012, 783 (787), die die Zurverfügungstellung von Software und Speicherkapazität durch den Cloud-Anbieter mit der Überlassung von Geschäftsräumen vergleicht. Intveen/Hilber/Rabus
241
Teil 2
Rz. 353
Vertragsgestaltung
aa) Werkvertrag 353
Im Falle eines Internet-System-Vertrages, welcher vom BGH als Werkvertrag eingeordnet wurde1, hat der BGH entschieden, dass der Besteller – auch bei einer Mindestvertragslaufzeit von 36 Monaten – den Vertrag jederzeit gemäß § 649 Satz 1 BGB kündigen kann2.
354
Im Rahmen dieser Entscheidung geht der BGH auch auf die in Rechtsprechung und Literatur vertretene Auffassung ein, nach der bei Werkverträgen, welche die fortgesetzte Erbringung von Werkleistungen für unbestimmte Dauer zum Gegenstand haben, § 649 BGB keine Anwendung finden soll und stattdessen für beide Vertragsparteien die Möglichkeit einer ordentlichen Kündigung unter Einhaltung einer angemessenen Kündigungsfrist bestehe3. Nach Auffassung des BGH sei diese Auffassung „nicht unbedenklich“, wenn dadurch das Kündigungsrecht nach § 649 Satz 1 BGB ausgeschlossen würde4. Dieses könne nur ausgeschlossen werden, wenn der Unternehmer über die Realisierung seines Vergütungsanspruchs hinaus ein berechtigtes Interesse an der Ausführung der Vertragsleistung habe und dieses Interesse durch eine jederzeitige freie Kündigung in einer ihm nicht zumutbaren Weise beeinträchtigt werden würde. Soll durch die Laufzeitregelung sichergestellt werden, dass sich die zu Beginn der Vertragslaufzeit getätigten Investitionen amortisieren, so wird dieses Vergütungsinteresse nicht durch eine freie Kündigung des Vertrages nach § 649 Satz 1 BGB vor Ablauf der Vertragslaufzeit beeinträchtigt, da auch dann der Unternehmer bzw. Anbieter von Cloud-Leistungen gemäß § 649 Satz 2 BGB die für die Mindestdauer vereinbarte Vergütung erhält, von der er sich nur diejenigen Aufwendungen abziehen lassen muss, die er infolge der Kündigung des Kunden erspart. Nach Ansicht des BGH soll daher weder die Vereinbarung einer Mindestlaufzeit noch die Festlegung eines (allein) außerordentlichen Kündigungsrechts durch die Parteien ausreichen, um die Rechte des Bestellers und CloudKunden nach § 649 Satz 1 BGB auszuschließen5. Allerdings lässt sich den Ausführungen des BGH entnehmen, dass der Gerichtshof eine ausdrückliche individualvertragliche Abbedingung des § 649 BGB wohl für zulässig erachtet.
355
Obwohl der BGH in seinen Entscheidungen zum Internet-System-Vertrag auf einen Ausschluss des Kündigungsrechts nach § 649 Satz 1 BGB im Rahmen von Allgemeinen Geschäftsbedingungen nicht näher einge1 BGH v. 4.3.2010 – III ZR 79/09, BGHZ 184, 345 = CR 2010, 331 mit Anm. Hilber/Rabus. 2 BGH v. 27.1.2011 – VII ZR 133/10, MMR 2011, 311. 3 Etwa OLG Hamburg v. 22.6.1972 – 6 U 40/72, MMR 1972, 866; OLG Düsseldorf v. 5.10.1996 – 23 U 27/96, OLGR Düsseldorf 1997, 122; Staudinger/Frank/Jacoby, § 649 BGB Rz. 65; MünchKomm/Busche, § 649 BGB Rz. 4; Erman/Schwenker, § 649 BGB Rz. 9; a.A. Bamberger/Roth/Voit, § 649 BGB Rz. 27: § 649 BGB anwendbar neben ordentlicher Kündigung. 4 BGH v. 27.1.2011 – VII ZR 133/10, MMR 2011, 311 ff. 5 BGH v. 24.3.2011 – VII ZR 111/10, MMR 2011, 455 ff.
242
Intveen/Hilber/Rabus
VIII. Kndigung und Exit-Szenarien
Rz. 357
Teil 2
gangen ist, dürfte ein solcher Ausschluss unwirksam sein1. Zu verweisen ist in diesem Zusammenhang insbesondere auf eine frühere Entscheidung des BGH zu einem Bauvertrag, in welcher der Ausschluss des Kündigungsrechts nach § 649 BGB als unangemessene Benachteiligung bewertet wurde2. bb) Dienstvertrag Das BGB geht vom Regelfall des befristeten Dienstverhältnisses aus. 356 Nach § 620 Abs. 1 BGB endet das Dienstverhältnis mit dem Ablauf der Zeit, für die es eingegangen worden ist. Aus der Systematik sowie dem Umkehrschluss des § 620 Abs. 2 BGB folgt nach allgemeiner Ansicht, dass ein befristetes Dienstverhältnis grundsätzlich nicht vor Ablauf der vereinbarten Laufzeit ordentlich beendet werden kann3. Die Vorschrift des § 620 BGB ist allerdings dispositiv und den Parteien steht es daher frei, ausdrücklich die ordentliche Kündbarkeit eines befristeten Vertrages zu vereinbaren. Werden also für einen befristeten Zeitrahmen CloudLeistungen erbracht, die als Dienstleistungen zu qualifizieren sind, und haben die Parteien keine klare Absprache über eine vorzeitige Beendigung getroffen, so kommt allenfalls eine außerordentliche Beendigung vor dem Laufzeitende in Betracht (§§ 626, 627 BGB). Wird der Dienstvertrag indes auf unbestimmte Zeit geschlossenen, ist 357 das Kündigungsrecht nach § 621 BGB durch die Parteien grundsätzlich abdingbar4. Dies gilt jedenfalls für individualvertragliche Abreden aber nur insoweit, als das Recht zur außerordentlichen Kündigung nicht berührt wird. Im Rahmen von Allgemeinen Geschäftsbedingungen ist dagegen § 309 Nr. 9 BGB zu beachten, der auch im Verhältnis zwischen Unternehmern mittelbar Anwendung findet und im Falle von Dauerschuldverhältnissen eine unangemessene Laufzeit ohne ordentliches Lösungsrecht für unzulässig erklärt. Die für den Verkehr zwischen Verbrauchern vorgesehenen zwei Jahre aus § 309 Nr. 9a BGB sind auf den unternehmerischen Rechtsverkehr nicht ohne weiteres übertragbar5. Vielmehr ist im Falle von Cloud-Leistungen eine Einzelfallabwägung aufgrund der unterschiedlichen Interessen und Investitionen vorzunehmen. Jedenfalls Laufzeiten von über zehn Jahren ohne ordentliche Kündigungsmöglichkeit dürften im Zweifel aber als unzulässig zu bewerten sein6.
1 2 3 4 5 6
Palandt/Sprau, § 649 BGB Rz. 16. BGH v. 8.7.1999 – VII ZR 237/98, NJW 1999, 3261. MünchKomm/Hesse, § 620 BGB Rz. 11; Palandt/Weidenkaff, § 620 BGB Rz. 10. MünchKomm/Hesse, § 621 BGB Rz. 27 ff. Palandt/Grüneberg, § 309 BGB Rz. 96. BGH v. 3.11.1999 – VIII ZR 269/98, NJW 2000, 1110 (1112); BGH v. 21.12.2011 – VIII ZR 262/09, NJW-RR 2012, 249; abweichend: BGH v. 8.12.2011 – VII ZR 111/11, NJW-RR 2012, 626 (627). Intveen/Hilber/Rabus
243
Teil 2
Rz. 358
Vertragsgestaltung
cc) Mietvertrag 358
Wird ein Mietverhältnis von vornherein auf bestimmte Zeit geschlossen, kommt für die vorzeitige Beendigung ein Aufhebungsvertrag, der Eintritt einer auflösenden Bedingung oder eine außerordentliche Kündigung in Betracht, nicht hingegen eine ordentliche, befristete Kündigung. Anders ist dies bei Mietverträgen, die auf unbestimmte Zeit abgeschlossen wurden; in diesen Fallkonstellationen kann grundsätzlich jede Partei das Mietverhältnis durch ordentliche Kündigung auflösen. Diese erfolgt nach Maßgabe der §§ 542 Abs. 1, 580a Abs. 2 oder 3 BGB. Die einzelne Kündigungsfrist richtet sich dann nach der zeitlichen Bemessung der Vergütung sowie dem jeweiligen Mietgegenstand.
359
Da demnach äußerst kurze Kündigungsfristen zur Anwendung kommen können („an jedem Tag zum Ablauf des folgenden Tages“, § 580a Abs. 3 Nr. 1 BGB), wird es vor allem im Interesse des Leistungsanbieters liegen, eine angemessene Frist für die ordentliche Kündigung zu vereinbaren. Auch der Kunde der Cloud-Leistungen kann freilich daran interessiert sein, dass nach der von ihm ausgesprochenen Kündigung die bisherigen Leistungen noch für eine Übergangszeit vom alten Dienstleister erbracht werden. Die insoweit einschlägigen Kündigungsvorschriften des § 580a BGB sind grundsätzlich abdingbar und den Parteien steht es frei, kürzere, längere und auch für beide Parteien unterschiedlich lange Kündigungsfristen individuell zu vereinbaren1. Typischerweise wird man Fristen von etwa 30 Tagen bis zum Monatsende vereinbaren2.
360
In dem häufig vorliegenden Falle von Formularverträgen gilt jedoch nach § 307 BGB, dass ein Ausschluss des ordentlichen Kündigungsrechts zu Lasten des Mieters genauso unzulässig ist, wie eine Verkürzung der gesetzlich vorgesehen Fristen. Spätestens bei der Wirksamkeitsprüfung nach § 307 BGB müsste daher eine Einordnung der jeweiligen CloudLeistung entweder unter § 580a Abs. 2 BGB („Mietverhältnis über Geschäftsräume“) oder unter § 580a Abs. 3 BGB („Mietverhältnis über bewegliche Sachen“) vorgenommen werden3.
361
Als Fazit lässt sich festhalten, dass im Falle von Verträgen mit unbestimmter Laufzeit den Parteien zur Vermeidung von Unklarheiten über die Beendigungsmöglichkeiten eines Cloud Computing-Vertrages stets zu raten ist, dem Einzelfall angemessene, ordentliche Kündigungsrechte zu vereinbaren. Bei Verträgen mit von vornherein festgelegter fester Laufzeit stellt sich die Frage, ob sich der Vertrag, wenn er durch keinen der Partner zum Laufzeitende gekündigt wurde, um einen bestimmten Zeitraum automatisch verlängern soll. Gerade bei langen Fixlaufzeiten und sich ändernden personellen Verhältnissen auf beiden Vertragsseiten, birgt 1 Palandt/Weidenkaff, § 580a BGB Rz. 3. 2 Vgl. etwa das Vertragsmuster zum Cloud Computing in: Beck’sches Formularhandbuch IT-Recht, dort unter Ziffer H.4, § 10. 3 LG Mannheim v. 7.12.2010 – 11 O 273/10; Wicker, MMR 2012, 783 (785).
244
Intveen/Hilber/Rabus
VIII. Kndigung und Exit-Szenarien
Rz. 364
Teil 2
eine automatische Verlängerung allerdings auch das Risiko, von den Parteien übersehen zu werden. Als Alternative bietet es sich daher an, die Parteien vor Ablauf der Fixlaufzeit zu verpflichten, in Verhandlungen über die Verlängerung des Cloud-Vertrages einzutreten und dabei zugleich die kommerziellen Eckdaten der bisherigen Laufzeit auf ihre Aktualität zu überprüfen1. c) Ausgestaltung der Kündigung aus wichtigem Grund Typischerweise ist den Interessen einer Vertragspartei im Falle einer er- 362 heblichen Störung damit gedient, sich mit Wirkung für die Zukunft von dem Cloud Computing-Vertrag zu lösen. Dies kann im Wege der ordentlichen Kündigung geschehen. Ist diese aber vertraglich ausgeschlossen oder dem Cloud-Kunden das Einhalten der Kündigungsfrist nicht zumutbar, gewährt das Gesetz eine Befugnis zur vorzeitigen außerordentlichen Kündigung, die den Cloud Computing-Vertrag ex nunc beendet (vgl. § 314 BGB und Spezialregelungen, bspw. §§ 543, 569, 626 BGB)2. Unabhängig von der rechtlichen Einordnung kann jedes Dauerschuldver- 363 hältnis im Falle eines wichtigen Grundes gekündigt werden. Dieses Recht kann auch durch die Parteien nicht vertraglich abbedungen werden3. Allerdings steht es den Vertragsparteien in gewissen Grenzen frei, zu vereinbaren, was (noch) zumutbar sein soll4. Wichtig im Zusammenhang mit einer Kündigung aus wichtigem Grund ist auch § 314 Abs. 2 BGB: nach dieser Vorschrift ist eine Kündigung, wenn der für sie vorausgesetzte wichtige Grund in der Verletzung einer vertraglichen Pflicht liegt – und dieser Fall dürfte bei Cloud Computing-Verträgen nicht selten eintreten – regelmäßig erst nach einer angemessenen „Wiedergutmachungsfrist“ zulässig. Um Streitigkeiten vorzubeugen, sollten die Parteien insoweit die Dauer der Frist und die Form, mit welcher auf diese hingewiesen werden muss, individuell in ihrem Vertrag festlegen5. Zudem besteht die Möglichkeit zur Kündigung aus wichtigem Grund 364 gemäß § 314 Abs. 1 BGB nach Abs. 3 der Norm nur innerhalb einer angemessenen Frist ab Kenntnis des Kündigungsgrundes. Danach gilt das Kündigungsrecht aus wichtigem Grund als verwirkt. Bei der Bestimmung der Angemessenheit der Frist findet eine nachträgliche Abwägung der Umstände statt. Aber auch hier können die Parteien Aspekte, die in dieser Abwägung berücksichtigt werden sollen, bereits bei Vertragsschluss mit in den Vertrag aufnehmen6. 1 2 3 4
Vgl. Bräutigam, IT-Outsourcing, Teil 13, Rz. 276. Vgl. Staudinger/Otto/Schwarze, § 323 BGB Rz. A 33. BGH v. 8.2.2012 – XII ZR 42/10, NJW 2012, 1431 (1432). Es soll nach allgemeiner Ansicht zumindest ein „vernünftiger Grund“ für die Vertragsbeendigung vorliegen; MünchKomm/Gaier, § 314 BGB Rz. 12; Jauernig/ Stadler, § 314 BGB Rz. 3. 5 Roth-Neuschild, ITRB 2013, 213 (216). 6 Vgl. Bräutigam/Glossner, IT-Outsourcing, Teil 3, Rz. 96 ff. Intveen/Hilber/Rabus
245
Teil 2
365
Rz. 365
Vertragsgestaltung
Neben der Legaldefinition eines „wichtigen Grundes“ in § 314 Abs. 1 Satz 2 BGB werden die Parteien in Cloud Computing-Verträgen oftmals auch noch weitere Voraussetzungen für Kündigungsrechte aus wichtigem Grund vereinbaren. Für den Kunden einer Cloud-Lösung kommt dabei insbesondere ein Kündigungsrecht bei (einmalig) schwerwiegenden oder wiederholten Pflichtverletzungen des Dienstleisters in Betracht. Schließlich kann es insbesondere für den Kunden sinnvoll sein, sich ein Vertragslösungsrecht einräumen zu lassen, wenn es beim Cloud-Anbieter zu einer Änderung der Mehrheitsverhältnisse gekommen ist (Change of Control). Ein besonderes Kündigungsrecht des Dienstleisters ist dagegen denkbar in Fällen von Zahlungsschwierigkeiten des Kunden. aa) Verstöße gegen Service Level
366
Haben die Parteien Service Level für die Erbringung der Cloud-Leistungen vereinbart, so wird zumindest der Kunde ein Interesse daran haben, sich im Falle von schwerwiegenden oder wiederholten Verstößen des Anbieters gegen den Leistungsstandard vom Cloud-Vertrag zu lösen. Zwar wird auch der Kunde primär ein Interesse an der ordnungsgemäßen Leistungserbringung haben, allein schon da er im Falle einer Kündigung unverzüglich mit der Suche nach einer Alternative beginnen müsste. Letztlich stellt daher die Kündigung aus wichtigem Grund auch aus Kundensicht in Fällen einer Service Level-Verletzung durch den Anbieter nur die letzte Lösung (ultima ratio) dar und sollte daher mit den weiteren Sanktionen in dem Cloud-Vertrag (etwa Vertragsstrafen, pauschalierter Schadensersatz) abgestimmt werden1. Die Voraussetzungen des Kündigungsrechts sollten so bestimmt wie möglich festgelegt werden und entweder an die Schwere der Pflichtverletzung (etwa anknüpfend an die Dauer eines Leistungsausfalls, bestimmte Folgen beim Kunden, etc.) oder an eine Wiederholung innerhalb eines bestimmten Zeitraumes definiert werden2. Belassen es die Parteien bei auszufüllenden Formulierungen wie „wesentlich“ oder „schwerwiegend“, ist im Rahmen der Gesamtabwägung auch die Bedeutung des jeweiligen Service Levels für den Kunden zu berücksichtigen; nicht jeder schwere Verstoß gegen einen (unbedeutenden) Service Level sollte daher zu einer Kündigung berechtigten.
367
Relevant ist und geregelt werden sollte daher allerdings die Frage, inwieweit Störungen einer Teilleistung des im Cloud Computing-Vertrag vereinbarten Leistungspakets ein Recht zur Kündigung des gesamten Vertrages auslösen können. Auch insoweit wird man darauf abstellen können, ob das Festhalten an dem Vertrag für die Vertragspartei trotz der gestörten Teilleistung noch zumutbar ist und idealerweise besonders wesentliche Leistungsbereiche oder Leistungsparameter (Verfügbarkeiten, Reaktionszeiten, etc.) vorab im Vertrag bestimmen.
1 Schumacher, MMR 2006, 12 (16). 2 Vgl. dazu auch Schuster, CR 2009, 205 (209 f.).
246
Intveen/Hilber/Rabus
VIII. Kndigung und Exit-Szenarien
Rz. 371
Teil 2
Bei der Vertragsgestaltung ist schließlich noch die bereits erwähnte Vor- 368 schrift des § 314 Abs. 2 BGB zu beachten, wonach die Kündigung dem Anbieter vorher anzudrohen ist. bb) Änderung der Mehrheitsverhältnisse (Change of Control) Wollen die Vertragsparteien Klarheit darüber schaffen, dass im Falle einer 369 Änderung der Mehrheitsverhältnisse der einen oder anderen Partei ein Kündigungsrecht aus wichtigem Grund zustehen soll, werden sie dies vertraglich vereinbaren müssen. Insbesondere wenn der neue Mehrheitseigentümer ein direkter oder indirekter Wettbewerber des Cloud-Kunden sein sollte und auf diese Weise faktischen Zugriff auf dessen Daten erhielte, erscheint ein Kündigungsrecht sinnvoll. In jedem Fall sollten die Parteien vereinbaren, sich im Falle von wesentlichen Änderungen der Eigentumsverhältnisse unverzüglich schriftlich zu unterrichten. cc) Zahlungsverzug Im Falle eines Zahlungsverzuges durch den Cloud-Kunden sollte eben- 370 falls nicht jeder Verzug sofort zur Vertragslösung aus wichtigem Grund berechtigten1. Denkbar ist einerseits, dass ein Kündigungsrecht des Anbieters auf das Verhältnis der ausstehenden Summe zu der in einer zurückliegenden Zeitspanne insgesamt fälligen Summe abstellt2. Genauso wie im Falle einer Service Level Verletzung kann auch im Zahlungsverzug durch den Kunden an eine wiederholte Nichtleistung angeknüpft werden, wenn der Kunde die Mietzahlung für zwei aufeinander folgende Zeiträume nicht leistet3. dd) Drohende Insolvenz Im Falle einer sich anbahnenden Insolvenz einer der Vertragsparteien ist 371 ebenfalls ein Kündigungsrecht aus wichtigem Grund denkbar. Allerdings darf dieses nach Ansicht des BGH nun nicht mehr an den Antrag durch eine der Vertragsparteien oder Dritte auf Eröffnung eines Insolvenzverfahrens und etwaige daraufhin vom Gericht angeordnete Sicherungsmaßnahmen nach §§ 21, 22 InsO anknüpfen, da nach der Rechtsprechung des BGH auch mit derartigen Klauseln eine Einschränkung des § 119 InsO einhergeht4. Wohl zulässig dürfte es hingegen sein, auf eine vor Antragsstellung eintretende wesentliche Vermögensverschlechterung beim Ver1 Zu den AGB-rechtlichen Implikationen: OLG Koblenz v. 30.9.2010 – 2 U 1388/09, MMR 2010, 815. 2 Vgl. etwa Redeker/Heymann/Lensdorf, Handbuch IT-Verträge, Kap. 5.4 Rz. 618, § 28.5.4. 3 Bräutigam, IT-Outsourcing, Teil 13, Rz. 283; so auch für Verträge über Telekommunikationsdienstleistungen: Spindler/Schuster/Ditscheid/Rudloff, Recht der elektronischen Medien, § 45k TKG Rz. 29. 4 BGH v. 15.11.2012 – IX ZR 169/12, ZIP 2013, 274 ff. Intveen/Hilber/Rabus
247
Teil 2
Rz. 372
Vertragsgestaltung
tragspartner abzustellen, wenngleich dies für den Kündigenden regelmäßig mit erheblichen Nachweisschwierigkeiten verbunden ist. Im Einzelfall kann es daher zweckmäßig sein, den Begriff der Vermögensverschlechterung im Hinblick auf die konkreten Gegebenheiten individuell zu definieren („Als Vermögensverschlechterung gilt insbesondere …“). ee) Höhere Gewalt 372
Liegen unvorhergesehene und unvermeidbare Umstände vor, welche zur vorübergehenden oder dauerhaften Unterbrechung der Cloud-Leistungen führen1 und welche außerhalb der Einflussmöglichkeiten der Vertragsparteien liegen2, gilt von Gesetzes wegen die Rechtsfolge des § 275 Abs. 1 BGB: der Cloud-Anbieter ist von seiner Leistungspflicht und der CloudKunde – gemäß § 326 Abs. 1 Satz 1 BGB – von seiner Zahlungspflicht (vorübergehend) befreit. Nach § 326 Abs. 5 BGB kann der Cloud-Kunde zudem vom Vertrag zurücktreten bzw. im Falle von Dauerschuldverhältnissen gemäß § 314 Abs. 1 BGB den Vertrag kündigen, wenn ihm ein weiteres Festhalten an der Abrede nicht mehr zugemutet werden kann. Es steht den Parteien frei, die Grenzen der Zumutbarkeit und des Sonderkündigungsrechts detaillierter auszugestalten, indem sie etwa festlegen, für wie lange die Cloud-Services aufgrund von höherer Gewalt maximal unterbrochen werden dürfen. Je nach Kritikalität der Services kann dieser Zeitraum auch verhältnismäßig kurz sein. ff) Sonstige Gründe
373
Denkbar sind ferner besondere Kündigungsrechte des Cloud-Kunden in Fällen, in denen der Anbieter (bank-)aufsichtsrechtliche Vorgaben nicht erfüllt oder ein erheblicher Verstoß gegen Datenschutz- und/oder Vertraulichkeitsbestimmungen vorliegt3. d) Teilkündigungen
374
Verschiedene Umstände auf Seiten des Cloud-Kunden können dazu führen, dass er den ursprünglichen Umfang der beauftragten Cloud-Leistungen nicht mehr vollständig benötigt. Dazu gehören u.a. betriebliche Umstrukturierungen, wenn etwa ein Konzernunternehmen aus dem Konzernverbund ausscheidet oder ein Betriebsteil ausgelagert wird, strategische Änderungen im Geschäftsmodell oder der jeweiligen IT-Struktur sowie insgesamt ein Rückgang der Unternehmenstätigkeit und infolgedessen ein Abbau von Arbeitsplätzen. Da das abgenommene Mengenvolumen bestimmter Cloud-Leistungen einen wesentlichen Einfluss auf 1 Zur schwierigen Abgrenzung zwischen vorübergehender und dauerhafter Unmöglichkeit: Palandt/Grüneberg, § 275 BGB Rz. 11. 2 Beispielsweise Naturkatastrophen, Kriege oder politische Unruhen. Näher zum Begriff „höhere Gewalt“ vgl. Palandt/Ellenberger, § 206 BGB Rz. 4. 3 Redeker/Heymann/Lensdorf, Handbuch IT-Verträge, Kap. 5.4 Rz. 618, § 28.5.2.
248
Intveen/Hilber/Rabus
VIII. Kndigung und Exit-Szenarien
Rz. 376
Teil 2
die Kostenkalkulation des Anbieters haben dürfte, ist den Vertragsparteien zu empfehlen, denkbare Teilkündigungsgründe vorab möglichst enumerativ im Vertrag aufzunehmen1. Dem Kundeninteresse kann allerdings auch dadurch Rechnung getragen werden, dass der Cloud-Anbieter ihm einen gewissen Mengenkorridor einräumt, innerhalb dessen er ohne Neuverhandlungen bzw. Preisänderungen das Volumen der abgenommenen Cloud-Services einseitig (mit einem gewissen Vorlauf) bestimmen kann. Gegenstand der Vertragsverhandlungen können auch Abstandszahlungen des Kunden für den Fall von Teilkündigungen sein2. 2. Exit-Szenarien Im klassischen Outsourcingkontext drängen Dienstleister oft auf lange 375 Laufzeiten, um Anfangsinvestitionen amortisieren zu können, z.B. die Kosten für die Übernahme der beim Kunden vorhandenen teuren Strukturen. Zwar kann das gesetzliche Recht zur Kündigung aus wichtigem Grund vertraglich nicht ausgeschlossen werden (siehe oben Rz. 363), aber wenn der Dienstleister die vertraglichen Leistungen wie geschuldet erbringt, kommt der Kunde aus dem Vertrag nicht heraus. In der Regel sind im Outsourcingvertrag auch Exklusivitätsklauseln oder Mindestmengen vereinbart, die verhindern, dass der Kunde parallel einen anderen Dienstleister beauftragt. Solche Klauseln können zwar aus kartellrechtlichen Gründen problematisch sein, weil sie den freien Wettbewerb einschränken. In der Regel droht eine Unwirksamkeit aber nur bei Laufzeiten von über fünf Jahren und einer marktstarken Position des Dienstleisters. Bei Cloud-Vorhaben stellt sich die Ausgangslage dann anders dar, wenn es nicht um eine große Private Cloud geht, sondern um die Inanspruchnahme standardisierter Leistungen. Im Extrembeispiel können derartige Cloud-Leistungen mit geringen Transaktionskosten von Tag zu Tag nach Bedarf zugekauft werden. Gerade bei größeren Cloud-Verträgen sind jedoch häufig Anfangsinvesti- 376 tionen nicht nur beim Dienstleister, sondern auch beim Kunden – etwa für die Migration oder Schnittstellen-Synchronisierung – erforderlich. Wird deshalb eine lange Vertragsbindung begründet, ist schon bei Vertragsschluss darauf zu achten, dass ein Anspruch auf Preisanpassung besteht und gewünschte Änderungen der Leistungen vom Dienstleister eingefordert werden können. Preisanpassungsrechte und ein sachgerechtes Änderungsverfahren sind zentrale und häufig umstrittene Bestandteile des Vertrages für größere Cloud-Vorhaben. Die Herausforderung ist es, zukünftig erwartete Entwicklungen zu antizipieren und in einer für beide Seiten akzeptablen Weise zu berücksichtigen. Gleichzeitig ist das Preisklauselgesetz zu beachten, das automatische Preisanpassungen nur unter bestimmten Voraussetzungen zulässt. Dazu näher oben Rz. 264 ff. 1 Zur Wirksamkeit eines formularmäßigen Ausschlusses von Teilkündigungsrechten: Grützmacher, ITRB 2011, 133 ff. 2 Dazu Bräutigam, IT-Outsourcing, Teil 13, Rz. 309 ff. Intveen/Hilber/Rabus
249
Teil 2
377
Rz. 377
Vertragsgestaltung
Wenn ein Cloud-Vertrag durch Kündigung oder Ablauf der vereinbarten Laufzeit endet, kann es schwierig sein, sich vom bisherigen Dienstleister zu lösen. Nur wenn es sich um Leistungen handelt, die zukünftig nicht mehr benötigt werden, kann der Vertrag einfach auslaufen. In der Regel werden die Leistungen aber nach wie vor benötigt. Dann müssen die Leistungen entweder auf einen anderen Dienstleister übergeleitet oder aber reintegriert, also wieder vom Kunden selbst erbracht werden. Beides kann aus verschiedenen Gründen schwer fallen. Daher sind vertragliche Regelungen zum sog. Exit wichtiger Bestandteil von Cloud-Verträgen. Dabei ist insbesondere an die folgenden Bereiche zu denken: a) Übergangsphase
378
Regelmäßig sind etwa Mindestmengen oder Exklusivität vereinbart, um das Geschäft des Dienstleisters abzusichern. Finden diese aber auch Anwendung, wenn der Vertrag gekündigt wurde oder ausläuft, kann der Kunde die Leistungen nicht sukzessive auf einen Dritten überleiten oder selbst übernehmen, sondern nur auf einen Schlag. Daher sollte ausdrücklich in einer Übergangsphase gegen Ende der Vertragslaufzeit – wenn die Trennung ohnehin schon feststeht – eine sukzessive Reduzierung der Leistungen erlaubt sein. Dies kann sogar für den Dienstleister von Vorteil sein, weil es ihm den schrittweisen Abbau seiner Ressourcen erlaubt, sofern Ressourcen überhaupt dediziert für den Kunden bereitgehalten werden. Für einen Ausstieg ist daher eine genaue Planung und Abstimmung erforderlich, auf Kundenseite unter Einbeziehung eines etwaigen neuen Dienstleisters.
379
Je nach Komplexität der Leistungen variiert die Länge der Übergangsphase. Bei komplexen, nicht marktgängigen Leistungen kann sie in der Praxis bis zu einem Jahr und darüber hinaus andauern. Problematisch sind die Fälle der fristlosen außerordentlichen Kündigung aus wichtigem Grund. Dem Kunden ist es bei einer fristlosen Kündigung durch den Dienstleister nicht zuzumuten, von einem Tag auf den anderen ohne Leistungen dazustehen, die er für seinen Geschäftsbetrieb zwingend benötigt. Daher sehen Verträge über größere Cloud-Vorhaben, insbesondere im Bereich der Private Cloud, regelmäßig eine Übergangszeit vor1, die zwingend, also auch bei an sich berechtigter fristloser Kündigung durch den Dienstleister, einzuhalten ist und auch über den durch die Kündigung eigentlich herbeigeführten Beendigungszeitpunkt hinaus andauert. Für den Fall einer fristlosen Kündigung wegen Zahlungsverzuges kann zum Schutz der Interessen des Dienstleisters vereinbart werden, dass die Leistungen während der Übergangsphase nur nach Zahlung der strittigen Beträge auf ein Anderkonto erbracht werden müssen.
1 Vgl. dazu: Redeker/Heymann/Lensdorf, Handbuch der IT-Verträge, Kap. 5.4 Rz. 646; Schneider, Handbuch des EDV-Rechts, Abschnitt M, Rz. 82.
250
Intveen/Hilber/Rabus
VIII. Kndigung und Exit-Szenarien
Rz. 382
Teil 2
Ist eine vertragliche Regelung nicht getroffen worden, so kann sich eine 380 Verpflichtung des Dienstleisters zur Leistung während einer Auslauffrist im Wege ergänzender Vertragsauslegung als vertragliche Nebenpflicht ergeben. Rechtsprechung existiert hierzu jedoch nicht. Diesbezüglich ist auf die Interessenlage im Einzelfall abzustellen. Ist beispielsweise der reibungslose Übergang einer Dienstleistung auf einen neuen Verantwortlichen durch eine ausreichend lange Kündigungsfrist sichergestellt, so kann es dem Dienstleister – ohne vertragliche Regelung – in der Regel nicht zugemutet werden, über das Vertragsende hinaus für den Kunden tätig zu werden. Eine Ausnahme könnte allenfalls gelten, wenn an der reibungslosen Fortführung einer Dienstleistung ein öffentliches Interesse besteht und die rechtzeitige Übernahme durch den Nachfolger aus besonderen, von diesem nicht zu vertretenden Gründen unmöglich wird. In allen anderen Fällen muss zur Absicherung der Fortführung der Dienstleistung notfalls eine gesonderte Vereinbarung über die Leistung in der Auslaufphase zu neu zu verhandelnden Konditionen mit dem Dienstleister geschlossen werden. b) Know-how Konservierung Die Überleitung der Cloud-Leistungen auf einen anderen Anbieter kann 381 bei Cloud-Vorhaben, die auf die Bedürfnisse des Kunden abgestimmte Leistungen betreffen, auch fehlschlagen, weil es Dritten an dem spezifischen, für die konkrete Leistungserbringung erforderlichen Know-how fehlt (z.B. in Bezug auf Schnittstellen). Eine Reintegration der Leistungen beim Kunden selbst kann ferner daran scheitern, dass er keinerlei Knowhow in dem ausgelagerten Bereich mehr hat. Dies kann daher rühren, dass IT-Kräfte abgebaut oder sogar im Ausnahmefall auf den Dienstleister übergegangen sind und der Cloud-Anbieter allein von der Einkaufsabteilung des Kunden gesteuert wird. Dies sollten Kunden zum einen dadurch verhindern, dass fachliche Kompetenzträger im Unternehmen verbleiben, die für die Steuerung des Dienstleisters verantwortlich sind. Zum anderen kommt der Dokumentation des Know-how besondere Bedeutung zu, z.B. in Form von Prozessbeschreibungen. Aus Kundensicht sollte der Dienstleister verpflichtet werden, eine angemessene Dokumentation zu Beginn der Übergangsphase zur Verfügung zu stellen. Da es allerdings kaum möglich ist, eine Dokumentation erst kurz vor Vertragsende zu erstellen, bietet es sich vor allem bei komplexen Leistungen und größeren Cloud-Vorhaben an, die Dokumentation von Anfang an vorzuhalten und kontinuierlich fortzuschreiben – sofern nicht die Leistungsbeschreibung ohnehin prozessbasiert gestaltet ist. Bei Cloud-Vorhaben, die sich auf standardisierte Leistungen im Massengeschäft beziehen, stellen sich diese Fragen naturgemäß weniger. Ist keine vertragliche Regelung getroffen worden, so kann die Zurverfü- 382 gungstellung von Dokumentation als vertragliche Nebenpflicht geschuldet sein. Ist Hard- oder Software herauszugeben, so kann in Analogie zu Veräußerungsgeschäften die entsprechende Dokumentation jedenfalls Intveen/Hilber/Rabus
251
Teil 2
Rz. 383
Vertragsgestaltung
bei komplexer Software als wesentlicher Teil der Leistung anzusehen sein1. Eine solche Dokumentation müsste, falls gar nicht vorhanden, notfalls erstellt werden. Allerdings wird eine Herausgabe von Software oder Hardware bei Vertragsende typischer Cloud-Vorhaben selten vorkommen. Herauszugeben sind in aller Regel jedoch Datenbestände, die als Anknüpfungspunkt für die Begründung vertraglicher Nebenpflichten in Betracht kommen. Aufgrund der materiell-rechtlichen Unsicherheiten und der Durchsetzungsproblematik ist eine ausdrückliche Regelung im Cloud-Vertrag zu empfehlen. 383
Die Vermittlung von notwendigem Know-how kann auch durch die Durchführung von Schulungen2 erfolgen. Jedenfalls soweit keinerlei oder nur offensichtlich unzureichende schriftliche Dokumentation vorhanden ist, dürften Schulungen geschuldet sein. Eine weitergehende Pflicht ist dagegen schon deshalb abzulehnen, da der Dienstleister auf diese Weise einem Wettbewerber Know-how vermitteln würde. c) Datenmigration (Format, Qualität, Zeitpunkt, Verantwortlichkeiten, Ziel)
384
Es empfiehlt sich zudem, die Migration der beim Dienstleister vorhandenen Daten auf das neue System frühzeitig anzugehen und dies vertraglich auch zu ermöglichen. Selbst bei Business Process Outsourcing, wie z.B. Lagerhaltung oder Einkauf, spielen IT-gestützte Datenverarbeitungen eine große Rolle. Dann sind beim Dienstleister aber auch Daten vorhanden, die spätestens bei Vertragsende zu übertragen sind. Vor allem unklare oder fehlende Regeln zu den Datenformaten und den genauen Abläufen können dabei zu Problemen führen.
385
Im Idealfall stellt der Dienstleister die Daten in der vereinbarten Qualität, im passenden Format zu den verabredeten Zeitpunkten zur Verfügung. Der Kunde kann so, ggf. gemeinsam mit dem neuen Dienstleister, die Migration während der Übergangsphase durchführen, so dass der nahtlose Übergang der Leistungsverantwortung bei Vertragsende vor1 Zu den Grundsätzen bei Veräußerungsgeschäften vgl. Übersicht bei Endler, CR 1995, 7 (8 f.). Danach vermittelten Handbücher die Summe aller Kenntnisse, die erforderlich sind, um die Anlage bedienungsfehlerfrei und zur Verwirklichung des mit ihrer Anschaffung vertraglich vorgesehenen Zwecks nutzen zu können; das in ihnen verkörperte Nutzungswissen werde zum Teil der Anlage; BGH, CR 1990, 189 (192). Sie seien zur Benutzbarkeit von Computeranlagen wesentlich, wenn nicht unerlässlich; OLG Hamm, CR 1990, 715 (717). Sie ermöglichten es erst, die Kompatibilität der Systemkomponenten herzustellen; auch wären sie zur Aufrüstung der Systeme erforderlich; OLG Stuttgart, CR 1989, 810 (812). 2 Mann, MMR 2012, 499 (502); Blöse/Pechardscheck, CR 2002, 785 (790 f.); da es sich bei der Beendigungsunterstützung nicht um ein Veräußerungsgeschäft handelt, bei welchem die Durchführung von Schulungen die Dokumentation nicht ersetzen kann, vgl. OLG Hamm, CR 1992, 206 (208), kann hier ggf. eine Schulung fehlende oder unzureichende Handbücher kompensieren.
252
Intveen/Hilber/Rabus
VIII. Kndigung und Exit-Szenarien
Rz. 390
Teil 2
bereitet und abgesichert werden kann. Beispiel: Wenn ein CRM-System aus der Cloud genutzt wurde und die Kundendatenbank reintegriert oder auf einen neuen Dienstleister überführt werden soll, ist eine fortlaufend optimale Kundenbetreuung und die Vermeidung von Datenverlusten von einer sorgfältigen Migrationsplanung abhängig. Sind die Modalitäten der Datenherausgabe vertraglich nicht geregelt, 386 müssen sie im Wege der ergänzenden Vertragsauslegung ermittelt werden. Aus dem Vertrag i.V.m. § 242 BGB ergibt sich dabei die Pflicht des Dienstleisters, für den Fall der Vertragsbeendigung einen reibungslosen (Leistungs-)Übergang auf ein Fremdsystem zu ermöglichen1. Die dazu erforderlichen Maßnahmen müssen dem Dienstleister jedoch zumutbar sein. Zur Beurteilung der Zumutbarkeit sind die Interessen der Beteiligten ge- 387 geneinander abzuwägen. Regelmäßig dürfte die Interessenabwägung ergeben, dass die Herausgabe der Daten zeitlich so zu erfolgen hat, dass der Nachfolger zum Vertragsende umfassend mit diesen arbeiten kann. Jedoch ist der Dienstleister nicht verpflichtet, besondere Anstrengungen zu unternehmen, um die Datenübernahme durch den Nachfolger so leicht wie möglich zu gestalten. Im Vorfeld des Vertragsendes hat der Dienstleister daher Daten zur Ver- 388 fügung zu stellen, die der Nachfolger benötigt, um seine Systeme vorzubereiten, aber eben auch nicht mehr. Eine angemessen frühzeitige Zurverfügungstellung von Testdaten dürfte dabei in den meisten Fällen ohne unzumutbaren Aufwand möglich sein. Allerdings hat der Dienstleister die Daten frühestens herauszugeben, wenn die Vertragsbeendigung feststeht (also erst nachdem der Kunde sein Kündigungsrecht ausgeübt hat). In Anlehnung an den Rechtsgedanken des § 243 Abs. 1 BGB sind die Da- 389 ten in einem gängigen Format herauszugeben. Auf etwaige Besonderheiten des Nachfolgersystems ist also keine Rücksicht zu nehmen, entsprechende Anpassungen liegen im Verantwortungsbereich des Nachfolgers. Wird der Nachfolger mit dem gleichen System weiterarbeiten wie der Dienstleister (z.B. weil ihm Softwarerechte am existierenden System einzuräumen sind), kann die Interessenabwägung sogar dazu führen, dass die Daten schlicht im vorhandenen Format – unabhängig von dessen Üblichkeit – bereitzustellen sind, da der Nachfolger dadurch in seiner Leistungsfortführung nicht beeinträchtigt wird. Auch sind die Daten regelmäßig auf gängigen Datenträgern herauszuge- 390 ben, die von moderner Hardware gelesen werden können. An die Qualität der Datenträger sind mittlere Anforderungen zu stellen (Sache mittlerer Art und Güte, § 243 Abs. 1 BGB). Es dürfte insoweit auch ausreichend sein, die beim Dienstleister bereits vorhandenen Datenträger zu nutzen. 1 OLG München, CR 1999, 484, Leitsatz und Rz. 179 (186). Intveen/Hilber/Rabus
253
Teil 2
Rz. 391
Vertragsgestaltung
d) Software (Rechteinhaber, vom Kunden finanzierte Änderungen) 391
Noch schwieriger wird es, wenn ein neuer Dienstleister nur schwer zu finden ist oder dieser z.B. die bisher eingesetzte individualisierte Software benötigt, weil die vom bisherigen Dienstleister bezogenen Leistungen nicht oder nicht vollständig marktgängig sind. Für diesen Fall sollte der Vertrag aus Kundensicht den bisherigen Dienstleister zur Übertragung der Softwarerechte verpflichten, auch soweit sie von ihm im Rahmen der Cloud- bzw. Outsourcing-Leistungen weiterentwickelt worden sind.
392
Soweit es sich bei der herauszugebenden Software um Individualsoftware handelt, die vom Nachfolger ggf. an die Besonderheiten seines Systems angepasst werden muss, ist neben der Software als solcher auch der Quellcode herauszugeben1. Dieser muss, soweit zur entsprechenden Nutzung und Anpassung erforderlich, mit verständlichen Kommentierungen versehen sein (mittlerer Art und Güte, § 243 Abs. 1 BGB)2. Eine umfassende Umarbeitung des Quellcodes wird dem Dienstleister jedoch nicht zuzumuten sein. Unzulänglichkeiten des Quellcodes werden in diesem Fall, soweit erforderlich, durch entsprechenden Support kompensiert werden können. e) Poison Pills
393
Gift für einen gelungenen Outsourcing-Aus- oder Umstieg sind naturgemäß Poison Pills, wie z.B. Rückkaufverpflichtungen wertloser oder zu teurer Assets. Vor allem kann dann auch ein Betriebsübergang vorliegen, der dazu führt, dass Arbeitnehmer auf den neuen Dienstleister oder im Fall der Reintegration auf den Kunden übergehen. Beim Outsourcing in die Cloud bestehen dagegen keine dedizierten Assets. Betrieb, Hardware und Software müssen dann andernorts besorgt werden. f) Beratung und Überleitungsunterstützung
394
Es ist empfehlenswert, vertraglich zu verankern, ob der Dienstleister den Nachfolger bei der Migration aktiv unterstützen3 und Mitarbeiter dafür bereitstellen muss. Ob entsprechende Maßnahmen auch ohne explizite Regelung als (post-)vertragliche Nebenpflicht geschuldet sind, muss je nach Einzelfall und Art der konkreten Maßnahme bestimmt werden. Die jeweilige Maßnahme muss zur Überleitung erforderlich und dem Dienstleister zumutbar sein. Da die Migration grundsätzlich Aufgabe des Nachfolgers ist, ist es dem Dienstleister jedenfalls nicht zumutbar, seine Kernressourcen dafür einzusetzen. Arbeits- oder kostenintensive Maßnahmen 1 BGH, CR 2004, 490; LG Köln, CR 2000, 505; vgl. auch BGH, CR 1986, 377 (Rz. 33); OLG Karlsruhe, CR 1999, 11; OLG München, CR 1992, 208; a.A. LG Köln, CR 2003, 484. 2 BGH, CR 2000, 207 (208). 3 Redeker/Heymann/Lensdorf, Handbuch der IT-Verträge, Kap. 5.4 Rz. 643.
254
Intveen/Hilber/Rabus
VIII. Kndigung und Exit-Szenarien
Rz. 395
Teil 2
sind höchstens subsidiär geschuldet, wenn die rechtzeitige Übergabe der herauszugebenden Software und Daten, die Zurverfügungstellung von Dokumentation, die Durchführung von Schulungen oder die Beantwortung von Fragen nicht ausreichen. g) Vergütung Es empfiehlt sich schließlich, im Rahmen vertraglicher Exit-Regelungen 395 eine Vergütungspflicht des Kunden für beendigungsunterstützende Maßnahmen vorzusehen1. Ist eine solche Regelung nicht getroffen worden, müssen vertragliche Nebenpflichten ohne zusätzliche Vergütung erbracht werden.
1 Schneider, Handbuch des EDV-Rechts, Abschnitt M, Rz. 82; Redeker/Heymann/ Lensdorf, Handbuch der IT-Verträge, Kap. 5.4 Rz. 645; Bräutigam, IT-Outsourcing, Teil 11, Rz. 302. Intveen/Hilber/Rabus
255
Teil 3 Urheberrecht Rz. I. Bedeutung des Urheberrechts für Cloud Computing – eine Einführung . . . . . . . . . . . . . . . . . . . . . . . . II. Urheberrecht in Kürze – Aufriss der Grundsätze des Urheberrechts . . . . . . . . . . . . . . . . . . . . . . . 1. Rechtsquellen des Urheberrechts a) Internationale Abkommen und europäischer Rechtsrahmen. . . . . . . . . . . . . . . . . . . . aa) Internationale Abkommen bb) Europäischer Rechtsrahmen . . . . . . . . . . . . . . . . b) Nationales Recht . . . . . . . . . . . 2. Anwendbares Recht und Gerichtsstand . . . . . . . . . . . . . . . . a) Deliktsrecht – das Schutzlandprinzip/Territorialitätsprinzip und dessen Unzulänglichkeiten für das Cloud Computing . aa) Schutzland- und Territorialitätsprinzip . . . . . . . . . . bb) Probleme bei Cloud Computing-Sachverhalten . . . . . b) Urhebervertragsrecht . . . . . . . . aa) Rechtswahl . . . . . . . . . . . . . bb) Keine Rechtswahl . . . . . . . c) Gerichtsstand und Gerichtsstandsvereinbarungen . . . . . . . . . . . . . . . . . . aa) Gerichtsstandsvereinbarungen . . . . . . . . . . . . . . . bb) Internationale Zuständigkeit deutscher Gerichte . . . cc) Örtliche Zuständigkeit . . . 3. Schutzgegenstände des Urheberrechts beim Cloud Computing. . . a) Software . . . . . . . . . . . . . . . . . . . b) Datenbanken und Daten . . . . . aa) Schutz von Datenbanken . bb) Kein Schutz von Daten . . . c) Content . . . . . . . . . . . . . . . . . . . d) Schutz von Werkteilen . . . . . . .
1
8 8 8 9 13 15 18
19 19 22 27 28 32 37 38 42 56 58 59 65 66 69 70 72
III. Urheberrechtliche Nutzungshandlungen und ihre Relevanz. . . 74 1. Cloud Computing als eigenes Verwertungsrecht und/oder als eigene Nutzungsart? . . . . . . . . . . . 75 a) Cloud Computing als neues Verwertungsrecht? . . . . . . . . . . 75
Rz. b) Cloud Computing als eigene Nutzungsart?. . . . . . . . . . . . . . . 2. Software in der Cloud . . . . . . . . . . a) Einleitung . . . . . . . . . . . . . . . . . b) Urheberrechtliche Nutzungshandlungen bei SaaS . . . . . . . . . aa) Vervielfältigung, § 69c Nr. 1 UrhG . . . . . . . . . . . . . bb) Verbreitung, § 69c Nr. 3 UrhG . . . . . . . . . . . . . . . . . . cc) Öffentliche Zugänglichmachung, § 69c Nr. 4 UrhG . . . . . . . . . . . . . . . . . . c) Urheberrechtliche Nutzungshandlungen bei IaaS und PaaS . aa) Vervielfältigung, § 69c Nr. 1 UrhG . . . . . . . . . . . . . bb) Verbreitung, § 69c Nr. 3 UrhG . . . . . . . . . . . . . . . . . . cc) Öffentliche Zugänglichmachung, § 69c Nr. 4 UrhG . . . . . . . . . . . . . . . . . . 3. Content in der Cloud . . . . . . . . . . a) Einleitung . . . . . . . . . . . . . . . . . b) Vervielfältigung, § 16 UrhG . . . c) Verbreitung, § 17 UrhG . . . . . . d) Öffentliche Zugänglichmachung, § 19a UrhG . . . . . . . . . . 4. Ergebnis . . . . . . . . . . . . . . . . . . . . . IV. Relevante Schranken. . . . . . . . . . . 1. Softwarespezifische Schranken . . a) Bestimmungsgemäße Nutzung, § 69d Abs. 1 UrhG . . . . . b) Sicherungskopien, § 69d Abs. 2 UrhG. . . . . . . . . . . . . . . . 2. Sonstige Schranken . . . . . . . . . . . . a) Vorübergehende Vervielfältigungshandlungen, § 44a UrhG . . . . . . . . . . . . . . . . . . . . . b) Sicherungskopien . . . . . . . . . . . c) Vervielfältigungen zum privaten und sonstigen eigenen Gebrauch, § 53 UrhG . . . . . . . . 3. Ergebnis . . . . . . . . . . . . . . . . . . . . . V. Lizenzgestaltung . . . . . . . . . . . . . . 1. Allgemeines zur Lizenzierung . . . 2. Lizenzgestaltung bei SaaS . . . . . . . a) Lizenzierung der Software durch den Anbieter . . . . . . . . . .
Paul/Niemann
79 85 85 89 89 100 105 113 114 118 119 121 121 126 130 131 137 140 141 141 147 150 150 153 154 157 158 158 178 178
257
Teil 3
Rz. 1
Urheberrecht Rz.
b) Rechtseinräumung an Software durch Anbieter an Kunden . . . . . . . . . . . . . . . . . . . c) Rechtseinräumung an Content durch Kunden an Anbieter . . . . . . . . . . . . . . . . . . . 3. Lizenzgestaltung bei IaaS . . . . . . . a) Verhältnis IaaS-Anbieter zu Softwarehersteller. . . . . . . . . . . b) Verhältnis IaaS-Anbieter und Kunde sowie Softwarehersteller und Kunde . . . . . . . . . . .
Rz. c) Nutzung von Content bei IaaS. 196 d) Lizenzgestaltung bei PaaS . . . . 200
185 188 189 189
VI. Besonderheiten bei Einsatz von Open Source-Software . . . . . . . . . . 202 1. Urheberrechtliche Besonderheiten und „Copyleft“ . . . . . . . . . 202 2. Beispiele üblicher Lizenzen und deren Auswirkung auf die SaaSNutzung . . . . . . . . . . . . . . . . . . . . . 207
190
I. Bedeutung des Urheberrechts für Cloud Computing – eine Einführung 1
„Look at Cloud computing: it presents a totally new way of purchasing, delivering and consuming cultural works – music, books, films – which will certainly raise new questions about how licensing should function in an optimal way. It’s not just about technology: smart legislation can help, too. […]“,
so Neelie Kroes, die für die „Digitale Agenda“ zuständige Vizepräsidentin der Europäischen Kommission, in ihrer Rede vom 19.11.20111. 2
Dieses Zitat verdeutlicht, dass für Cloud Computing nicht zuletzt auch das Urheberrecht ein Thema von großer Bedeutung ist. Dabei spielt das Urheberrecht nicht nur bei dem von Kroes angesprochenen Vertrieb von Werken – oder neudeutsch „Content“ – über die Cloud eine Rolle. Vielmehr gehören urheberrechtliche Fragestellungen zu den Kernfragen, die bei sämtlichen Cloud-Services zu berücksichtigen sind und deren Ausgestaltung prägen (sollten).
3
Jeder Anbieter von Cloud-Services setzt Software ein. Er benötigt Software zum Betrieb seiner Infrastruktur und um Nutzern den Zugang zu seinem Angebot zu ermöglichen. Auch das Angebot selbst kann insbesondere bei SaaS- und PaaS-Angeboten Software betreffen; sei es Software, die der Anbieter für die von ihm angebotenen Services nutzt, zum Beispiel E-Mail- oder Anti-Spam-Software oder Software, die der Anbieter dem Nutzer zur eigenen Verwendung zur Verfügung stellt, zum Beispiel Textverarbeitung- oder Tabellenkalkulationssoftware. Software ist in nahezu allen Fällen2 urheberrechtlich geschützt. Deshalb ist stets zu klären, ob und in welchem Umfang die Software eingesetzt werden kann. Für Anbieter sowohl von SaaS-, PaaS- als auch IaaS-Lösungen stellt sich auch die grundsätzliche Frage, ob und ggf. welche Rechte an den von den Nutzern eingestellten Werken sie benötigen, um ihren Dienst rechtskon1 http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/11/777, abgerufen am 22.1.2014. 2 Zu den Ausnahmen Schricker/Loewenheim/Loewenheim, § 69a Rz. 15 ff.
258
Paul/Niemann
I. Bedeutung des Urheberrechts fr Cloud Computing
Rz. 7
Teil 3
form zu betreiben. Auch aus Sicht des Nutzers eines Cloud-Services stellen sich urheberrechtliche Fragen. Ist beispielsweise die bloße Nutzung von Cloud-Services ein urheberrechtlich relevanter Vorgang? Muss der Nutzer urheberrechtliche Vorgaben beachten, wenn er urheberrechtlich geschützte Werke in der Cloud benutzt, zum Beispiel abspeichert oder für den Download durch Dritte bereitstellt? (s. hierzu Rz. 58 ff. und Rz. 74 ff., 93 ff., 115) Mit der Feststellung einer urheberrechtlich relevanten Handlung ist es 4 nicht getan. Es bleibt die Frage, wem die urheberrechtlich relevante Handlung zuzurechnen ist: Ist der Cloud-Anbieter, der Software für die Nutzung bereitstellt, urheberrechtlich für das Einholen erforderlicher Nutzungsrechte verantwortlich; oder trifft diese Pflicht den die so bereitgestellte Software benutzenden Kunden? Ist der Cloud-Anbieter, dessen Cloud-Management-Software urheberrechtlich geschützte Werke, die vom Cloud-Nutzer ohne entsprechende Rechte eingestellt worden sind, automatisiert von einem Speicherort zu einem anderen überträgt und damit vervielfältigt, „Täter“ einer Urheberrechtsverletzung, oder ist ihm diese nicht zuzurechnen? (s. hierzu Rz. 85 ff., 116) Daneben stellt sich aufgrund der üblicherweise gegebenen Internationali- 5 tät des Cloud Computing und der damit verbundenen Kollision mit dem Territorialitäts-/Schutzlandprinzip des Urheberrechts die Frage, welches (Urheber-)Recht auf Sachverhalte „in der Cloud“ Anwendung findet und welche Rechtsordnung(en) demzufolge für die rechtliche Einordnung zu beachten sind. Eine „Deutschland“- oder „EU-Cloud“ erscheint in diesem Kontext als nicht fern liegend. In einer so beschränkten Cloud könnte sich der Rechtsanwender auf einigermaßen gesichertem Terrain bewegen. Er müsste nur deutsches und/oder europäisches Urheberrecht beachten. Da die von Kroes angesprochene „smarte Gesetzgebung“, also ein dem 6 digitalen Zeitalter angepasstes Urheberrecht, weiterhin auf sich warten lässt, müssen auf Basis des bestehenden Rechts Lösungen für urheberrechtliche Problemstellungen „in der Cloud“ gefunden werden. Der nachfolgende Teil nimmt sich dieser Aufgabe an. Im Folgenden beschäftigen wir uns der allgemeinen Systematik folgend 7 zunächst mit den Rechtsquellen des Urheberrechts (Rz. 8 ff.), dem anwendbaren Recht bei internationalen Sachverhalten (Rz. 18 ff.) und den sich im internationalen Kontext stellenden Fragen zum Gerichtsstand (Rz. 37 ff.). Dem Leser, dem es primär um die materiellrechtlichen Fragestellungen geht, sei empfohlen, sogleich zu dem Abschnitt mit den Schutzgegenständen in der Cloud (Rz. 58 ff.) oder Nutzungshandlungen zu springen (Rz. 74 ff.).
Paul/Niemann
259
Teil 3
Rz. 8
Urheberrecht
II. Urheberrecht in Kürze – Aufriss der Grundsätze des Urheberrechts 1. Rechtsquellen des Urheberrechts a) Internationale Abkommen und europäischer Rechtsrahmen 8
Das nationale Urheberrecht ist – wie zahlreiche andere Rechtsgebiete – durch internationale Abkommen und eine (Teil-)Harmonisierung auf EU-Ebene geprägt. Im Folgenden werden die relevanten Rechtsquellen in der gebotenen Kürze dargestellt. aa) Internationale Abkommen
9
Als ältestes und wohl wichtigstes der zahlreichen multilateralen Abkommen zum Urheberrecht1 kann die Revidierte Berner Übereinkunft zum Schutz von Werken der Literatur und Kunst (RBÜ) bezeichnet werden, welche ursprünglich 1886 geschlossen wurde und letztmalig im Jahr 1971 revidiert worden ist. Das Abkommen, dem derzeit 164 Staaten angehören, hat die grundlegenden Weichen für das heutige Urheberrecht gestellt: Beispielsweise statuiert es in Art. 5 Abs. 2 das sog. Formalitätenverbot, also den Grundsatz, dass das Urheberrecht – im Gegensatz zu vielen anderen geistigen Eigentumsrechten – ohne gesonderte Eintragung oder Registrierung entsteht. Daneben wird in Art. 7 Abs. 1 RBÜ eine Mindestschutzdauer von 50 Jahren nach dem Tod des Urhebers festgelegt. Mit dem Beitritt der USA im Jahr 1989 wurde auch das dortige Urheberrecht dementsprechend angepasst2.
10
Aus jüngerer Zeit ist das Übereinkommen über handelsbezogene Aspekte der Rechte des geistigen Eigentums (TRIPS-Abkommen) von 1994 zu nennen, welches im Rahmen der Welthandelsorganisation (WTO) geschlossen wurde und für alle Mitgliedstaaten der WTO verbindlich ist. Im TRIPS-Abkommen wurden im Bereich des Urheberrechts zahlreiche Regelungen der RBÜ übernommen sowie insbesondere Probleme bei der Rechtsdurchsetzung adressiert.
11
Der WIPO-Urheberrechtsvertrag (WCT) von 1996 schafft den Rahmen für ein Urheberrecht der digitalen Medien und ist in der EU durch die Richtlinie 2001/29/EG des Europäischen Parlaments und des Rates vom 22. Mai 2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft („InfoSoc-Richtlinie“) umgesetzt worden.
12
Dagegen ist das Anti-Produktpiraterie-Handelsabkommen (ACTA), mit dem Produktpiraterie und Urheberrechtsverletzungen effizient und auf Grundlage einheitlicher Standards bekämpft werden sollten, vorerst ge1 S. Übersicht bei Loewenheim/v. Lewinski, § 57 Rz. 1 ff. 2 Loewenheim/v. Lewinski, § 57 Rz. 19.
260
Paul/Niemann
II. Urheberrecht in Krze – Aufriss der Grundstze
Rz. 16
Teil 3
scheitert. Wohl noch nie zuvor hat ein völkerrechtliches Abkommen in einem scheinbaren „Nischengebiet“ wie dem Recht des geistigen Eigentums eine derartige Opposition erlebt wie ACTA1. Hieran zeigt sich exemplarisch, dass sich das Urheberrecht mit der fortschreitenden Digitalisierung von einer Spezialmaterie zu einer breite Bevölkerungsschichten mobilisierenden Thematik wandelt. bb) Europäischer Rechtsrahmen Im Bereich der EU genießt das Urheberrecht zunächst Schutz durch 13 Art. 17 Abs. 2 EU-Grundrechte-Charta, der besagt: „Geistiges Eigentum wird geschützt“. Die Ausgestaltung dieses primärrechtlichen Schutzauftrags wurde auf 14 EU-Ebene durch zahlreiche Richtlinien konturiert, insbesondere durch die InfoSoc-Richtlinie (vgl. bereits Rz. 11), die sog. Enforcement-Richtlinie (Richtlinie 2004/48/EG), die der besseren Durchsetzung geistigen Eigentums dienen soll, die Computerrechts-Richtlinie (2009/24/EG – Nachfolgerin der ursprünglichen Richtlinie 91/250/EWG) oder speziell für den Datenbankschutz durch die Datenbank-Richtlinie (Richtlinie 96/9/EG)2. Die Richtlinien gelten grundsätzlich nicht unmittelbar. Ihre Inhalte sind von den Mitgliedsstaaten in nationales Recht umzusetzen. Dabei gewähren die Richtlinien dem nationalen Gesetzgeber in gewissem Umfang Spielräume, was dazu führt, dass in den Einzelstaaten erhebliche Unterschiede bestehen können. Das EU-Recht ist ständig im Fluss; so soll beispielsweise die Enforcement-Richtlinie in absehbarer Zeit überarbeitet werden3. b) Nationales Recht Verfassungsrechtlich wird die vermögensrechtliche Seite des geistigen 15 Eigentums – wenn auch nicht ausdrücklich, aber allgemein anerkannt – durch das Eigentumsrecht des Art. 14 GG geschützt, während Art. 1 GG i.V.m. Art. 2. Abs. 1 GG die persönlichkeitsrechtliche Seite des Urheberrechts schützt4. Einfachgesetzlich ist das Urheberrechtsgesetz (UrhG) die primäre Rechts- 16 quelle für das Urheberrecht. Dieses enthält nicht nur Regelungen zum Urheberrecht, sondern auch zu den sog. „verwandten Schutzrechten“ 1 S. hierzu aus dem juristischen Schrifttum z.B. Paal/Hennemann, MMR 2012, 288; Stieper, GRUR Int 2011, 124. 2 Für einen Überblick über das Sekundärrecht s. Wandtke/Bullinger/Wandtke, Einleitung Rz. 21 ff. 3 Der hierfür von der Europäischen Kommission in ihrer „Roadmap“ vorgegebene Termin (September 2012) ist allerdings nicht eingehalten worden, s. http://ec.eu ropa.eu/governance/impact/planned_ia/docs/2011_markt_006_review_enforce ment_directive_ipr_en.pdf, abgerufen am 22.1.2014. 4 Loewenheim/Vogel, § 2 Rz. 26. Paul/Niemann
261
Teil 3
Rz. 17
Urheberrecht
oder Leistungsschutzrechten (§§ 70 ff. UrhG), beispielsweise zum Leistungsschutzrecht von Datenbankherstellern (§§ 87a ff. UrhG) und von Filmherstellern (§§ 88 ff. UrhG). 17
Daneben regelt das Urheberrechtswahrnehmungsgesetz (UrhWG) die Tätigkeit von Verwertungsgesellschaften, wie beispielsweise der GEMA und der VG Wort. Verwertungsgesellschaften nehmen Rechte einer Mehrzahl von Urhebern gemeinsam wahr. Einzelne Rechte, insbesondere Vergütungsrechte für bestimmte Nutzungen können nach dem UrhG ausschließlich durch Verwertungsgesellschaften wahrgenommen werden1. 2. Anwendbares Recht und Gerichtsstand
18
Aufgrund der Vielzahl von urheberrechtlich bedeutsamen Rechtsquellen – international, EU, national – muss der Rechtsanwender bei internationalen Sachverhalten zunächst feststellen, welches Recht zur Anwendung kommt. Dabei hat er zwischen Urheberrechtsverletzungen, also Deliktsrecht, einerseits und urhebervertragsrechtlichen Sachverhalten andererseits zu unterscheiden. a) Deliktsrecht – das Schutzlandprinzip/Territorialitätsprinzip und dessen Unzulänglichkeiten für das Cloud Computing aa) Schutzland- und Territorialitätsprinzip
19
Das Territorialitätsprinzip besagt im Bereich des Urheberrechts, dass die Anwendbarkeit nationalen Urheberrechts auf das Staatsgebiet des jeweiligen Staates beschränkt ist. Dieser Grundsatz ist in nahezu allen ausländischen (Urheber-)Rechtsordnungen anerkannt2.
20
Aus dem Territorialitätsprinzip entspringt das Schutzlandprinzip (lex loci protectionis). Dieser für Verletzungen des geistigen Eigentums auf EUEbene in Art. 8 Abs. 1 Rom-II-VO festgeschriebene Grundsatz besagt, dass das materielle Recht desjenigen Staates anzuwenden ist, für den der Schutz beansprucht wird. Eine hiervon abweichende Regelung kann – auch nachträglich – nicht getroffen werden (Art. 8 Abs. 3 Rom-II-VO). Aus der Sicht des Cloud-Anbieters hat dies zwei Konsequenzen: zum einen kann er bei international zugänglichen Angeboten die Verletzung seiner Rechte in einem Land seiner Wahl geltend machen. Das wäre sehr effizient und kostengünstig. Wenn der Verletzer gezwungen ist, das Angebot in einem Land abzuschalten, ist es auch in anderen Ländern nicht mehr verfügbar. Wenn der Verletzer allerdings Geo-Sperren einsetzt, die zur Folge haben, dass er die Verfügbarkeit für einzelne Länder steuern kann, muss der verletzte Cloud-Anbieter im Zweifel in jedem einzelnen Land vorgehen. Ein etwaiges Verbot entfaltet nur Wirkungen für Angebo1 Zu den Einzelheiten Loewenheim/Melchiar, § 45 Rz. 1 ff. 2 Wandtke/Dietz, Kap. 13 Rz. 2.
262
Paul/Niemann
II. Urheberrecht in Krze – Aufriss der Grundstze
Rz. 23
Teil 3
te in dem betreffenden Land. Zum anderen muss der Cloud-Anbieter damit rechnen, dass er in jedem Land, in dem sein Angebot verfügbar ist, wegen der Verletzung von Rechten Dritter nach dem im jeweiligen Land geltenden Recht in Anspruch genommen werden kann. Das Sachrecht des Schutzlandes bestimmt die Voraussetzungen und 21 Rechtsfolgen der Haftung (Art. 15 Rom-II-VO), also beispielsweise etwaige Schranken des Schutzes (in Deutschland spezielle Schranken in Hinblick auf Pressewerke, Zitate oder Vervielfältigungen zum eigenen Gebrauch; in der EU harmonisiert vorübergehende Vervielfältigungshandlungen; in den USA auch die allgemeine „Fair Use“-Schranke) und Schutzfristen1. Das nationale Recht ist aber auch für die Frage maßgeblich, ob und inwieweit Unterlassungs-, Schadenersatz- und Auskunftsansprüche bestehen. Auch der Inhalt des Schutzrechts und die Rechtsinhaberschaft richten sich nach dem Schutzlandprinzip2. bb) Probleme bei Cloud Computing-Sachverhalten Das Schutzlandprinzip passt nicht zur digitalen Welt; denn weder das 22 Internet noch das Cloud Computing machen vor Staatsgrenzen halt. Die konsequente Anwendung des Schutzlandprinzips hat zur Folge, dass bei „in der Cloud“ begangenen urheberrechtlich relevanten Handlungen in vielen Fällen das Recht eines beliebigen Staates Anwendung finden kann. Insbesondere die oft weltweit gegebene Abrufbarkeit von über das Internet zugänglichen Inhalten lässt eine Verletzung des Rechts auf öffentliche Zugänglichmachung überall möglich erscheinen, und zwar unabhängig davon, ob der entsprechende Server auf dem jeweiligen Staatsgebiet steht, oder ob ein irgendwie gearteter Bezug zum jeweiligen Staat ersichtlich ist. Die oben angeführten Beispiele zeigen das Dilemma überdeutlich. Da in vielen Staaten die Durchführung eines Rechtsstreites schwierig ist 23 und die Vollstreckung eines erstrittenen Urteils in einem Land erfolgen müsste, in dem der Verurteilte wenigstens Vermögensgegenstände besitzt, weil anderenfalls kein Anknüpfungspunkt für die Vollstreckung bestünde, erscheint das hier beschriebene Risiko auf den ersten Blick eher fern liegend. Allerdings könnte die Rechtsverletzung in einem anderen Staat – die internationale Zuständigkeit vorausgesetzt – auch vor einem deutschen Gericht geltend gemacht werden, das den Fall dann nach dem Recht des Schutzlandes zu beurteilen hätte. Zur Eindämmung dieser denkbar ausufernden Reichweite des Schutzlandprinzips wird vereinzelt vorgeschlagen, das Kriterium eines hinreichenden Inlandsbezugs, welches für die internationale Zuständigkeit deutscher Gerichte maßgeblich 1 25 Jahre (z.B. Seychellen und Sudan), 50 Jahre (RBÜ-Staaten, z.B. Japan, Vereinigte Arabische Emirate), 70 Jahre (z.B. EU, USA) oder 80 Jahre (z.B. Kolumbien) nach dem Tod des Urhebers. 2 BGHZ 136, 380 (387) – Spielbankaffaire; Wandtke/Dietz, Kap. 13 Rz. 49; Schricker/Loewenheim/Katzenberger, Vor §§ 120 ff. Rz. 129 ff. Paul/Niemann
263
Teil 3
Rz. 24
Urheberrecht
ist (vgl. Rz. 49), auch für die Bestimmung des Schutzlandes heranzuziehen1. 24
Der Cloud-Anbieter, der sich nicht sicher ist, ob er weltweite Rechte an der von ihm zur Verfügung gestellten Software oder den zur Verfügung gestellten Inhalten innehat, oder der sich aus anderen Gründen absichern möchte, wird sich auf diese Literaturmeinung kaum verlassen können. Vor einer – in Deutschland bislang fehlenden – höchstrichterlichen Entscheidung zu dieser Problematik sollte er sein Cloud-Angebot so gestalten, dass das Risiko, nach dem Recht eines anderen Staates in Anspruch genommen zu werden, minimiert wird. Darin liegt eine relativ einfach und rechtssicher zu erreichende Lösung. Anknüpfungspunkt für eine Rechtsverletzung ist stets eine urheberrechtswidrige Handlung in dem betreffenden Schutzland. Der Cloud-Anbieter kann sein Angebot so strukturieren, dass die urheberrechtlich relevanten Handlungen nur an den von ihm vorgegebenen Orten, nämlich auf der von ihm eingesetzten Infrastruktur stattfinden. Der SaaS-Anbieter erreicht dies, indem er sein Angebot so strukturiert, dass keine besondere Client-Software und kein Applet (zum Begriff s. Rz. 85 Fn. 2) erforderlich sind, die der Nutzer auf seinem Endgerät installieren muss. Dann finden Vervielfältigungen ausschließlich auf seiner Infrastruktur statt (vgl. Rz. 91, 95 ff.). Ein öffentliches Zugänglichmachen kommt bei SaaS-Angeboten nach richtiger Ansicht jedenfalls nach EU-Recht grundsätzlich nicht vor (vgl. Rz. 107; zu den Möglichkeiten, eine nach anderen Rechtsordnungen mögliche öffentliche Zugänglichmachung zu vermeiden Rz. 25). Weitere urheberrechtlich relevante Handlungen, die einen Anknüpfungspunkt in Ländern geben, in denen der SaaS-Anbieter keine Infrastruktur betreibt, finden bei SaaS-Angeboten nicht statt. Für IaaS- und PaaS-Angebote gilt grundsätzlich nichts anderes. Der Anbieter nimmt urheberrechtlich relevante Handlungen ausschließlich auf seiner Infrastruktur vor. Einen Anknüpfungspunkt für eine Rechtsverletzung in anderen Ländern gibt es nicht. Der Anbieter kann auf die hier beschriebene Weise einen Angriff wegen einer angeblichen Urheberrechtsverletzung in einem x-beliebigen Schutzland nicht ausschließen. Allerdings dürfte der Angriff, jedenfalls vor einem als international zuständig bemühten deutschen Gericht, ohne Erfolg bleiben. Gleiches ist grundsätzlich in allen Ländern zu erwarten, die dem internationalen Abkommen zum Urheberrecht beigetreten sind.
25
Als Lösungsmöglichkeit hinsichtlich der öffentlichen Zugänglichmachung von Software (soweit diese ausnahmsweise in Betracht kommt (vgl. Rz. 95 ff., 108 ff.) oder Content kommt der Einsatz von sog. „GeoSperren“ in Betracht. Solche Geo-Sperren prüfen anhand der IP-Adresse des Nutzers, in welchem Staat dieser sich befindet, und verweigern den Zugriff auf den Inhalt, sofern sich der Staat auf einer Sperrliste befindet. Jedoch können solche Sperren technisch umgangen werden, so dass sie 1 Nägele/Jacobs, ZUM 2010, 281 (285).
264
Paul/Niemann
II. Urheberrecht in Krze – Aufriss der Grundstze
Rz. 29
Teil 3
keine Gewähr dafür bieten, dass ein Zugriff aus einem gesperrten Staat tatsächlich nicht möglich ist1. Auch wenn es um eine mögliche Verletzung des Vervielfältigungsrechts 26 geht und die Vervielfältigungshandlung in der Cloud stattgefunden hat, kommt die Inanspruchnahme nach dem Recht einer Vielzahl von Staaten in Betracht, je nachdem wo und für welchen Staat der vermeintlich Verletzte Rechtsschutz begehrt. Bei unsicherer Rechtslage oder nur eingeschränkt verfügbaren Rechten kann eine Lösung dieser Problematik darin bestehen, ausschließlich eine „Deutschland“- oder „EU-Cloud“ anzubieten oder zu nutzen, d.h. mögliche Speicherorte auf Deutschland oder die EU zu beschränken. Für den internationalen Cloud-Anbieter bietet sich diese Lösung dagegen nicht an, wenn er die Vorteile seiner Internationalität nicht verlieren möchte. Für ihn kann die Lösung aber darin bestehen, seine Kunden von etwaigen Nachteilen freizustellen, die sich aus urheberrechtlich relevanten Handlungen außerhalb von Deutschland oder der EU ergeben (etwa in den USA, wenn der Anbieter dort sitzt und anders als der Kunde die dortige Rechtslage beurteilen kann). b) Urhebervertragsrecht Auch wenn die an dem Vertrag beteiligten Parteien alles aus ihrer Sicht 27 Wesentliche im Vertrag geregelt haben, stellt sich bei Lücken, Auslegungsfragen oder spätestens im Rechtsstreit die Frage, welches materielle Recht auf den Vertrag anwendbar ist. Dabei ist danach zu unterscheiden, ob die Parteien auch die Frage des anwendbaren Rechtes in dem Vertrag geregelt haben, also eine Rechtswahl getroffen haben oder eine solche Regelung fehlt. aa) Rechtswahl Für die Beurteilung des maßgeblichen Vertragsrechts, insbesondere des 28 Urhebervertragsrechts und damit für die urheberrechtlichen Vereinbarungen zwischen den an der Cloud (sei es als Anbieter, als Lieferant des Anbieters oder als Abnehmer) Beteiligten, kommt es gem. Art. 3 Rom-I-VO darauf an, ob die Beteiligten eine Abrede über die Rechtswahl getroffen haben. Eine Rechtswahl ist grundsätzlich zulässig und von den Gerichten zu beachten. Dieser Grundsatz gilt auch bei einer Rechtswahl gegenüber Verbrauchern (s. aber Rz. 30). Grenzen der Rechtswahl ergeben sich zunächst aus dem grundsätzlichen 29 Vorbehalt des ordre public (Art. 21 Rom-I-VO). Danach sind die Vorschriften des vereinbarten Rechtes nicht anzuwenden, die offensichtlich mit der öffentlichen Ordnung des Staates nicht vereinbar sind, in dem das angerufene Gericht sitzt. Auch sog. Eingriffsnormen gehen vor (Art. 9 Rom-I-VO). Dabei handelt es sich um Normen, die unabhängig vom Ver1 Vgl. zu Geo-Sperren allgemein Hoeren/Sieber/Paul, Teil 7.4 Rz. 29, 176. Paul/Niemann
265
Teil 3
Rz. 30
Urheberrecht
tragsstatut, also quasi international Geltung beanspruchen. Im deutschen Urheberrecht gelten beispielsweise nach § 32b UrhG die Regelungen zur angemessenen Vergütung (§§ 32, 32a UrhG) auch dann, wenn ohne Rechtswahl deutsches Recht anzuwenden wäre oder die maßgebliche Nutzungshandlung nach dem betreffenden Vertrag im Geltungsbereich des Urheberrechtsgesetzes stattfindet (§ 32b UrhG). Aber auch zwingendes Recht ohne internationalen Geltungsanspruch, also einfach zwingendes Recht kann durch eine Rechtswahl nicht in jedem Fall abbedungen werden. Wenn beispielsweise der dem Vertrag zu Grunde liegenden Sachverhalt ausschließlich in Deutschland spielt („Binnensachverhalt“), bleibt zwingendes deutsches Recht auch dann anwendbar, wenn der Vertrag einem ausländischem Recht unterstellt wurde (Art. 3 Abs. 3 RomI-VO). Was im Einzelnen hierzu zählt, ist umstritten. Genannt werden die Regelungen über das Urheberpersönlichkeitsrecht (§§ 12–14 UrhG)1 sowie die Zweckübertragungslehre (§ 31 Abs. 5 UrhG)2. Dasselbe gilt für Sachverhalte, die ausschließlich in Mitgliedstaaten der EU spielen, für zwingendes Gemeinschaftsrecht in der Ausprägung des Staates, in dem das angerufene Gericht sitzt (Art. 3 Abs. 4 Rom-I-VO). In diesen Fällen wird die Rechtswahl nur durch das zwingende nationale oder Gemeinschaftsrecht verdrängt. Im Übrigen gelangt das gewählte Recht zur Anwendung. Der Fall ist mithin nach zwei Rechtsordnungen zu beurteilen. 30
Daneben sind bei der Beteiligung von Verbrauchern die Einschränkungen des Art. 6 Rom-I-VO zu beachten. Danach können durch eine Rechtswahl zwingende Regelungen zu Gunsten von Verbrauchern nicht ausgeschlossen oder abgeändert werden (Art. 6 Abs. 2 Satz 2 Rom-I-VO). Maßgeblich ist dabei das Recht des Ortes, an dem der Verbraucher seinen gewöhnlichen Aufenthalt hat (Art. 6 Abs. 1 Rom-I-VO).
31
Die Vereinbarung eines Gerichtsstands (hierzu Rz. 38 ff.) ist ein Indiz für eine konkludente Rechtswahl3. bb) Keine Rechtswahl
32
Haben die Parteien keine Rechtswahl getroffen, ist Art. 4 Rom-I-VO für die Bestimmung des anwendbaren Rechts heranzuziehen (vgl. Teil 2 Rz. 185 ff.). Danach bestimmt der Vertragstyp (Art. 4 Abs. 1 Rom-I-VO) oder, wenn die Zuordnung zu einem Vertragstyp nicht eindeutig möglich ist, der Ort der charakteristischen Leistung (Art. 4 Abs. 2 Rom-I-VO) das anwendbare Recht. Eine so festgestellte Rechtswahl wird korrigiert, wenn der Vertrag offensichtlich eine engere Beziehung zu einem anderen Land aufweist (Art. 4 Abs. 3 Rom-I-VO). Wenn die Bestimmung des anwendbaren Rechts weder nach dem Vertragstyp noch nach der charakteristischen Leistung möglich ist, ist schließlich das Recht des Staates an1 Hoeren/Sieber/Hoeren, Teil 7.8. Rz. 31. 2 Schricker/Loewenheim/Katzenberger, Vor §§ 120 ff. Rz. 166 m.w.N. 3 Hoeren/Sieber/Hoeren, Teil 7.8. Rz. 31 m.w.N.
266
Paul/Niemann
II. Urheberrecht in Krze – Aufriss der Grundstze
Rz. 36
Teil 3
wendbar, zu dem der Vertrag die engste Beziehung aufweist (Art. 4 Abs. 4 Rom-I-VO). Bei Cloud-Verträgen findet unter Anwendung dieser Vorschriften in der 33 Regel das Recht des Staates Anwendung, in dem der Cloud-Anbieter seinen Sitz hat. In den meisten Fällen wird die Zuordnung zu einem der in der Verordnung genannten Vertragstypen gelingen. Dabei ist zu beachten, dass die in Art. 4 Abs. 1 Rom-I-VO genannten Vertragstypen überwiegend begrifflich mit nach deutschem Recht bekannten Vertragstypen übereinstimmen, jedoch dem europäischen Recht entnommen sind. Die Begriffe sind deshalb unabhängig von deutschem Recht auszulegen. Für SaaS, PaaS- und IaaS-Verträge passen grundsätzlich der sog. Dienst- 34 leistungsvertrag i.S.d. Art. 4 Abs. 1 Buchst. b) Rom-I-VO, aber auch der Mietvertrag. Dienstleistungsverträge i.S.d. Verordnung umfassen dabei Dienstverträge und Werkverträge nach deutschem Recht. Auf Dienstleistungsverträge findet das Recht des Staates Anwendung, in dem der Dienstleister – also der Cloud-Anbieter – seinen Geschäftssitz hat. Soweit einzelne Elemente der Verträge nicht als Dienstleistungen in diesem Sinne anzusehen sind, kommt die die Auffangklausel des Art. 4 Abs. 2 Rom-I-VO zur Anwendung. Auch hiernach ist der Sitz des CloudAnbieters maßgeblich für das anzuwendende Recht1. Ob SaaS-, PaaSund IaaS-Verträge als Dienstleistungsverträge i.S.d. europäischen Rechts einzuordnen sind oder als Mietverträge über andere Dinge als Grundstücke und Räume, kann für die Bestimmung des anwendbaren Rechtes dahin stehen. Auch bei Mietverträgen, die sich nicht auf Grundstücke und Räume beziehen, findet grundsätzlich das Recht am Sitz des Vermieters Anwendung2. Schließlich schuldet der Cloud-Anbieter, der ggf. als Vermieter anzusehen wäre, die vertragscharakteristische Leistung. Die urheberrechtlichen Regelungen in diesen Verträgen, also die Klau- 35 seln zur Einräumung von Nutzungsrechten, bleiben für die Bestimmung des maßgeblichen Rechtes ohne Belang. Zumeist handelt es sich um bloße Nebenpflichten, die für die Bestimmung des anwendbaren Rechtes nicht herangezogen werden. Sie folgen als Bestandteil eines einheitlichen Vertrages der Einordnung des Vertrages3. Soweit sie nicht als Nebenbestimmungen zu werten wären, gilt das im folgenden Absatz zu Lizenzverträgen Ausgeführte entsprechend. Sofern es sich bei dem zu beurteilenden Vertrag nicht um einen Cloud- 36 Service-Vertrag handelt, weil die Leistung von Diensten nicht im Vordergrund steht, sondern um einen Lizenzvertrag in Bezug auf Content oder Software „für die Cloud“, kommt Art. 4 Abs. 2 Rom-I-VO zur Anwendung. Nach Ansicht des EuGH ist ein typischer Lizenzvertrag kein 1 S. im Einzelnen Teil 2 Rz. 185; ungenau Sujecki, K&R 2012, 312 (316 f.). 2 MüKo-BGB/Martiny, Art. 4 Rom-I-VO Rz. 167; Staudinger/Magnus, Art. 4 RomI-VO Rz. 156. 3 Vgl. MüKo-BGB/Martiny, Art. 4 Rom-I-VO Rz. 6. Paul/Niemann
267
Teil 3
Rz. 37
Urheberrecht
Dienstleistungsvertrag i.S.d. der europäischen Begrifflichkeit1. Er hat dies zwar nur im Zusammenhang mit Streitigkeiten über den Gerichtsstand nach EuGVVO entschieden. Im Zusammenhang mit der Rom-I-VO kann jedoch nichts anderes gelten2. Damit ist nach Art. 4 Abs. 2 RomI-VO das Recht des Staates maßgeblich, in dem der Lizenzgeber seinen Geschäftssitz hat3. Die für den Vertrag charakteristische Leistung ist jedenfalls beim typischen Lizenzvertrag die Gewährung von Rechten durch den Lizenzgeber und nicht die Zahlung des Entgelts durch den Lizenznehmer. Die konkrete Ausgestaltung des Lizenzvertrages kann, wie bei allen anderen Verträgen auch, ausnahmsweise zu einer anderen Beurteilung führen. c) Gerichtsstand und Gerichtsstandsvereinbarungen 37
Mit der Bestimmung des anwendbaren Rechts ist es im Streitfall nicht getan. Vielmehr stellt sich bei den für Cloud Computing typischen grenzüberschreitenden Sachverhalten immer auch die Frage, welches Gericht über den Streit zu entscheiden hat. aa) Gerichtsstandsvereinbarungen
38
Die Frage nach dem zuständigen Gericht lässt sich leicht beantworten, wenn die Parteien eine wirksame Gerichtsstandsvereinbarung getroffen haben. Zur Vermeidung von Überraschungen ist eine Gerichtsstandsvereinbarung auch empfehlenswert. Für die Wahl des Gerichtsstandes werden viele Gesichtspunkte eine Rolle spielen. Allein aus praktischen Gründen ist es sinnvoll, die Wahl des Gerichtsstandes und des anwendbaren Rechts nicht auseinanderfallen zu lassen.
39
Das angerufene Gericht, und im Folgenden gehen wir davon aus, dass es sich dabei um ein deutsches Gericht handelt, hat nach den für seinen Sitz geltenden Gesetzen festzustellen, ob es zuständig ist. Ein deutsches Gericht hat dabei die Wirksamkeit der Gerichtsstandsvereinbarung nach § 38 ZPO oder Art. 23 EuGVVO4 zu beurteilen. Für die Vereinbarung an sich gelten die allgemeinen schuldrechtlichen Regeln. Auch die Vereinbarung eines Gerichtsstandes in AGB ist grundsätzlich wirksam5. Allerdings können Gerichtsstandsvereinbarungen überwiegend nur im Unternehmensverkehr Geltung beanspruchen (§ 38 Abs. 1 ZPO, Art. 23 Abs. 5 i.V.m. Art. 17 EuGVVO). 1 2 3 4
EuGH v. 23.4.2009 – C-533/07, GRUR 2009, 753 – Falco Privatstiftung. So auch Staudinger/Magnus, Art. 4 Rom-I-VO Rz. 551. Vertiefend Hoeren/Sieber/Paul, Teil 7.4 Rz. 209; Stimmel, GRUR Int 2010, 783. Die Gerichtsstandsnormen der EuGVVO finden Anwendung bei Sachverhalten, bei denen die Parteien in unterschiedlichen EU-Mitgliedsstaaten ihren Sitz haben, oder bei denen ein Gerichtsstand eines Mitgliedsstaates vereinbart wird, der nicht dem Sitz der Parteien entspricht. 5 MüKo-ZPO/Patzina, § 38 Rz. 22 m.w.N.
268
Paul/Niemann
II. Urheberrecht in Krze – Aufriss der Grundstze
Rz. 41
Teil 3
Für eine Gerichtsstandsvereinbarung zwischen Inländern – Personen mit 40 einem allgemeinen Gerichtsstand im Inland – bestehen keine Formvorschriften (§ 38 Abs. 1 ZPO). In anderen Fällen setzen § 38 Abs. 2 ZPO sowie Art. 23 Abs. 1 Buchst. a) EuGVVO Schriftform oder jedenfalls eine schriftliche Bestätigung voraus, wobei im Anwendungsbereich der EuGVVO1 elektronische Übermittlungen, die eine dauerhafte Aufzeichnung ermöglichen, der Schriftform gleichgestellt sind (Art. 23 Abs. 2 EuGVVO). Diese Regelung erleichtert den Abschluss einer Gerichtsstandsvereinbarung erheblich. Die rechtssichere technische Umsetzung bedarf allerdings einiger Überlegungen und sollte auf Seiten des CloudAnbieters nicht ausschließlich den IT-Spezialisten überlassen werden. So muss der Cloud-Anbieter nicht nur darauf achten, dass sein Vertragspartner die Möglichkeit hat, diese Erklärung dauerhaft aufzuzeichnen, z.B. in Form einer per E-Mail übermittelten oder zum Download bereitgestellten PDF-Datei. Der Anbieter muss auch selbst durch ein entsprechendes Verfahren sicherstellen, dass die Erklärung seines Vertragspartners dauerhaft aufgezeichnet wird2. Insoweit ist eine Vielzahl an Gestaltungen denkbar, die im Einzelfall auch unter datenschutzrechtlichen Gesichtspunkten betrachtet werden müssen. Dabei ist die Aufzeichnung der Session, die zum Abschluss des Vertrages führt, etwa in Form eines Logfiles mit Aufzeichnung der verschiedenen Erklärungen und der IP-Adresse, ebenso denkbar wie eine quasi automatisiert vorbereitete BestätigungsE-Mail des Kunden, die er mit einem Klick entweder aus seinem E-MailClient oder einem Webinterface abschicken kann. Im Anwendungsbereich von § 38 Abs. 2 ZPO, d.h. wenn einer der am 41 Vertrag Beteiligten seinen allgemeinen Gerichtsstand in einem Drittstaat, also außerhalb der EU hat3, bleibt es aufgrund des Fehlens einer dem Art. 23 Abs. 2 EuGVVO vergleichbaren Regelung bei dem Schriftformerfordernis. Zwar ist ein Ausweichen auf die elektronische Form des § 126a BGB durch Benutzung einer qualifizierten elektronischen Signatur nach dem Signaturgesetz möglich; in der Praxis wird von dieser Möglichkeit jedoch kaum Gebrauch gemacht. Insbesondere der Kunde, dem es auf einen inländischen oder EU-Gerichtsstand ankommt, muss also darauf achten, dass der Cloud-Anbieter ihm den Vertragsabschluss schriftlich bestätigt.
1 S. zu cloud-spezifischen Fragen der EuGVVO Sujecki, K&R 2012, 312. 2 Hoeren/Sieber/Pichler, Teil 25 Rz. 161, schlägt die Eingabe des Nutzernamens in ein Textfeld vor, wobei dies zumindest unüblich sein dürfte; Sujecki, K&R 2012, 312 (314), geht davon aus, dass „eine dauerhafte Aufzeichnung auch durch Verwendung von einschlägiger Software zum Erfassen des Inhalts einer Website erreicht werden“ könne, wobei unklar bleibt, auf welche Art von Software er sich bezieht. 3 Eine (formelle) Einschränkung gibt es in Bezug auf Dänemark, das zwar nicht der EuGVVO unterliegt, für das aber im Wesentlichen dieselben Regelungen gelten, s. Saenger/Dörner, Vorbemerkung zur EuGVVO Rz. 2. Paul/Niemann
269
Teil 3
Rz. 42
Urheberrecht
bb) Internationale Zuständigkeit deutscher Gerichte 42
Bei Urheberrechtsverletzungen und wenn die Parteien keine Gerichtsstandsvereinbarung geschlossen haben, stellt sich bei für Cloud Computing typischen grenzüberschreitenden Sachverhalten die Frage, ob deutsche Gerichte überhaupt zuständig sind.
43
Zunächst einmal ist der allgemeine Gerichtsstand maßgeblich, der sich hinsichtlich der internationalen Zuständigkeit nach den Regelungen des Art. 2 EuGVVO bestimmt. Danach ist jedenfalls ein Gerichtsstand am (Wohn-)Sitz des Beklagten gegeben, so dass eine natürliche oder juristische Person mit Sitz in Deutschland auch vor einem deutschen Gericht verklagt werden kann. Sitzt also ein Cloud-Anbieter oder -Kunde in Deutschland, kann er von seinem Vertragspartner – sofern keine abweichende Zuständigkeit vertraglich vereinbart ist – an seinem Sitz vor deutschen Gerichten verklagt werden.
44
Schwieriger ist die Beurteilung, wenn eine Klage sich gegen eine nicht in Deutschland ansässige Person richten soll. Bei Ansprüchen aus einem Vertrag kommt der Gerichtsstand des Erfüllungsortes nach Art. 5 Abs. 1 EuGVVO, sofern der Beklagte seinen (Wohn-)Sitz in einem Drittstaat hat, oder § 29 ZPO in Betracht. Im Anwendungsbereich der EuGVVO (s. hierzu Rz. 40) sind faktische Anknüpfungspunkte für Kaufverträge und Dienstleistungsverträge vorgesehen. Bei Dienstleistungsverträgen gilt als Erfüllungsort der Ort, an dem die Dienstleistung erbracht wurde oder hätte erbracht werden müssen (Art. 5 Abs. 1 Buchst. b) EuGVVO), und zwar einheitlich für alle Verpflichtungen aus dem Vertrag. Auch wenn der Begriff Dienstleistung im europäischen Sinne weit zu verstehen ist, hat der EuGH Verträge über die Nutzung des geistigen Eigentums nicht als Dienstleistung bewertet1. Ob Cloud-Service-Verträge als Dienstleistungsverträge zu qualifizieren sind, ist vor dem Hintergrund der Rechtsprechung des BGH zu ASP-Verträgen2 zumindest fraglich; der BGH sieht in diesen Verträgen Mietverträge, so dass eine entsprechende Einordnung von SaaS-Verträgen, aber auch IaaS- und PaaS-Verträgen nicht fern liegt. Die EuGVVO enthält weder für Lizenzverträge noch für Mietverträge eine ausdrückliche Anknüpfung. Deshalb kommt bei Lizenzverträgen und wohl auch bei Cloud-Service-Verträgen die allgemeine Zuweisung nach Art. 5 Abs. 1 Buchst. a EuGVVO zur Anwendung. Danach ist das Gericht an dem Ort zuständig, wo die streitgegenständliche Leistung erfüllt worden ist oder nach Maßgabe des anwendbaren Rechts zu erfüllen wäre3. Für die unterschiedlichen Leistungen und Gegenleistungen können sich deshalb Erfüllungsorte in verschiedenen Ländern ergeben.
45
Außerhalb des Anwendungsbereichs der EuGVVO ist der Erfüllungsort nach dem jeweils anwendbaren materiellen Recht (s. hierzu Rz. 18 ff.) zu 1 EuGH v. 23.4.2009 – C-533/07, GRUR 2009, 753 (755 f.) – Falco Privatstiftung. 2 BGH, NJW 2007, 2394. 3 BGH, NJW 2010, 2442 (zum Luganer Übereinkommen).
270
Paul/Niemann
II. Urheberrecht in Krze – Aufriss der Grundstze
Rz. 47
Teil 3
bestimmen1. Nach deutschem Recht gilt Folgendes: Soweit sich der Erfüllungsort weder aus vertraglichen Vereinbarungen noch gesetzlichen Bestimmungen ergibt, ist auf andere Umstände abzustellen, insbesondere auf die Natur des Schuldverhältnisses2. Bei Cloud-Verträgen liegt es in der Natur der Sache, dass der Erfüllungsort schwer zu bestimmen ist. Das gilt vor allem dann, wenn der Vertrag keine Vorgaben für die Orte enthält, von denen aus die Leistungen erbracht werden sollen. Dabei reicht eine Angabe, dass die Serverstandorte nicht außerhalb der EU liegen dürfen oder dass die Leistungen nur vom Inland aus erbracht werden dürfen, für die Bestimmung des Erfüllungsortes nicht aus. Denn auch mit einer solchen Vorgabe wäre nicht erkennbar, an welchem Ort die Leistungen zu erbringen wären. Im Zweifel ist deshalb davon ausgehen, dass der Cloud-Anbieter seine Leistungen von seinem Sitz aus zu erbringen hat (§ 269 BGB), so dass jedenfalls dort ein Gerichtsstand begründet ist. Für die Zahlung als Hauptverpflichtung ist dagegen grundsätzlich der Sitz des Kunden Erfüllungsort3. Hierin liegt ein gravierender Unterschied zwischen europäischem und deutschem Recht bei Dienstleistungsverträgen: Art. 5 Abs. 1 Buchst. b) EuGVVO etabliert einen einheitlichen Gerichtsstand; beim Dienstleistungsvertrag ist auch für den Zahlungsanspruch der Erfüllungsort der Dienstleistung maßgeblich4. Für die Einzelheiten muss auf die allgemeine zivilprozessuale Literatur verwiesen werden. Bislang ist die Frage des internationalen deliktischen Gerichtsstands 46 deutscher Gerichte nicht höchstrichterlich geklärt. Dabei geht es um die Frage der internationalen Zuständigkeit eines deutschen Gerichts bei einer Urheberrechtsverletzung, wenn dessen Zuständigkeit nicht bereits durch einen allgemeinen Gerichtsstand des Beklagten in Deutschland begründet ist. Grundsätzlich besteht nach Art. 5 Nr. 3 EuGVVO ein Gerichtsstand dort, wo „das schädigende Ereignis eingetreten ist“. Darunter versteht man sowohl den Handlungs- als auch den Erfolgsort5. Entsprechendes gilt bei Sachverhalten, bei denen der Beklagte keinen Sitz in der EU hat. Nach § 32 ZPO ist der deliktische Gerichtsstand dort gegeben, wo „die Handlung begangen ist“, worunter ebenfalls der Handlungs- oder Erfolgsort verstanden wird6. Das Vorliegen einer tatsächlichen Rechtsverletzung ist keine Voraussetzung für die Begründung des Gerichtsstandes; sie muss lediglich als möglich erscheinen7. Die Bestimmung des Erfolgsorts bereitet bei Internet-Sachverhalten 47 regelmäßig Schwierigkeiten. Als relevante Urheberrechtsverletzungen
1 2 3 4 5 6 7
MüKo-ZPO/Patzina, § 29 Rz. 104. Zöller/Vollkommer, § 29 ZPO Rz. 24. Vgl. MüKo-ZPO/Patzina, § 29 Rz. 95. Saenger/Bendtsen, § 32 Rz. 15. MüKo-ZPO/Gottwald, Art. 5 EuGVO Rz. 62 m.w.N. Saenger/Dörner, Art. 5 EuGVVO Rz. 12 m.w.N. Wandtke/Bullinger/Kefferpütz, § 105 Rz. 27 m.w.N. Paul/Niemann
271
Teil 3
Rz. 48
Urheberrecht
kommen aus der Sicht des deutschen Urheberrechts insbesondere die Verletzung des Rechts auf öffentliche Zugänglichmachung (§ 19a UrhG) und die Verletzung des Vervielfältigungsrechts (§ 16 UrhG) in Betracht. 48
Hinsichtlich der Verletzung des Rechts auf öffentliche Zugänglichmachung wird einerseits auf die bloße Möglichkeit des Abrufs urheberrechtsverletzender Inhalte abgestellt, so dass hiernach bei öffentlich zugänglichem Content in der Cloud – ohne den Einsatz technischer Vorkehrungen wie etwa Geo-Sperren – eine Rechtsverletzung stets (auch) vor einem deutschen Gericht geltend gemacht werden könnte, unabhängig davon, wo der Verletzer (je nach Verantwortlichkeit der Cloud-Anbieter und/oder der Cloud-Kunde) oder der Verletzte ihren Sitz haben oder an welche Adressaten deren Angebot gerichtet ist1.
49
Andererseits lässt sich eine Tendenz in der Rechtsprechung beobachten, die bloße Abrufbarkeit nicht ausreichen zu lassen. Zur Beschränkung eines grenzenlosen „forum shoppings“ wird vermehrt gefordert, dass ein internationaler deliktischer Gerichtsstand nur dort begründet sein soll, wo der öffentlich zugänglich gemachte Content bestimmungsgemäß abrufbar sein soll2. Erforderlich ist hierfür ein hinreichender Inlandsbezug. Im Hinblick auf Webseiten besteht ein Inlandsbezug, wenn sich die dort befindlichen Informationen bei objektiver Würdigung aller Umstände des Einzelfalls erkennbar (auch) an Nutzer aus Deutschland richten3. Indizien für einen solchen Inlandsbezug sind bei Webseiten beispielsweise die Sprache, Angaben zu Zahlungsmodalitäten oder entsprechende Disclaimer4. Auch wenn die Forderung nach einem Inlandsbezug nachvollziehbar ist, so darf diese Forderung doch nicht dazu führen, dass der Urheber rechtlos bleibt. Die Forderung ist deshalb nur akzeptabel, wenn die Kriterien, anhand derer ein solcher Inlandsbezug festgemacht wird, nicht zu eng gesetzt werden. Insbesondere die Sprache ist nur bedingt als Abgrenzungskriterium geeignet. Für die meisten Internetnutzer ist der Umgang mit englischsprachigen Angeboten heutzutage selbstverständlich. Das dürfte, wenn auch für kleinere Gruppen, auch bei anderen Sprachen gelten. Deshalb muss für die Ablehnung des Inlandsbezugs zumindest ein weiteres Kriterium hinzutreten, beispielsweise dass die Zahlung mit 1 Wandtke/Bullinger/v. Welser, Vor § 120 ff. Rz. 34 m.w.N. 2 S. Nachweise bei Schricker/Loewenheim/Katzenberger, Vor §§ 120 ff. Rz. 172; so auch für Wettbewerbsrechtsverletzungen BGHZ 167, 91 (98). Bei Persönlichkeitsrechtsverletzungen stellt der BGH (MMR 2010, 441 [443]) auf einen hinreichenden Inlandsbezug ohne das Kriterium der „bestimmungsgemäßen Abrufbarkeit“ ab. 3 Härting, Internetrecht, Rz. 2426 m.w.N. 4 Wandtke/Bullinger/v. Welser, Vor § 120 ff. Rz. 34; der BGH hat in GRUR 2007, 871 (872) – Wagenfeld-Leuchte – darauf abgestellt, dass eine Internetwerbung in deutscher Sprache gehalten und an deutsche Nutzer gerichtet war. Dieser Fall betraf jedoch die Internetwerbung für ein verkörpertes Werk (Leuchte) und eine damit verbundene Verletzung des Verbreitungsrechts, so dass sie nicht ohne weiteres auf Cloud Computing-Sachverhalte übertragen werden kann.
272
Paul/Niemann
II. Urheberrecht in Krze – Aufriss der Grundstze
Rz. 53
Teil 3
einer deutschen Kontoverbindung oder deutschen Kreditkarte nicht möglich und die Angabe einer ausländischen Adresse erforderlich ist. Einen anderen Weg hat der EuGH in Bezug auf Persönlichkeitsrechtsver- 50 letzungen eingeschlagen. Danach hat die verletzte Person bei Internetveröffentlichung die Möglichkeit, dort Klage zu erheben, wo sich „der Mittelpunkt ihrer Interessen befindet“; an diesem Gerichtsstand sei auch der gesamte, also nicht nur der an dem Ort entstandene Schaden, einklagbar1. Auf Urheberrechtsverletzungen übertragen hieße das, dass (zumindest im Geltungsbereich der EuGVVO) für Klagen von Rechteinhabern mit Sitz in Deutschland stets auch deutsche Gerichte zuständig wären, und zwar unabhängig davon, ob die Verletzung einen Inlandsbezug im oben geschilderten Sinne zu Deutschland aufweist. Angesichts des bereits angesprochenen Territorialitätsprinzips des Urheberrechts erschiene es weit hergeholt, einen Gerichtsstand im Inland zu bejahen, wenn ein Inlandsbezug überhaupt nicht festzustellen ist. Von daher halten wir diese Rechtsprechung auf Urheberrechtsverletzungen nicht übertragbar. Andererseits ist die Situation eines Urhebers durchaus mit der Situation eines in seinem Persönlichkeitsrecht Verletzten vergleichbar. Die weitere Entwicklung der Rechtsprechung bleibt abzuwarten. Folgt man der Auffassung, die auf das Erfordernis eines hinreichenden 51 Inlandsbezugs abstellt, stellt sich die Frage, wie sich (im Gegensatz zu „bloßen“ Internetseiten) dieser Inlandsbezug bei Cloud-Services ermitteln lässt. Vorab: Eine klare Antwort darauf kann es nicht geben, da Cloud-Services sehr unterschiedlich ausgestaltet sein können. Daher kann hier lediglich exemplarisch aufgezeigt werden, in welchen Fällen ein hinreichender Inlandsbezug vorliegt. Bei der öffentlichen Zugänglichmachung von Software durch den Cloud- 52 Anbieter – die aber die Übertragung des Quell- oder Objektcodes der SaaS-Lösung, eines Applets oder einer Client-Software auf den Nutzerrechner erfordert, s. hierzu Rz. 105 ff. – liegt hinreichender Inlandsbezug ohne weiteres vor, wenn der Cloud-Anbieter seine Dienstleistungen (auch) für inländische Kunden erbringt. Hat der Cloud-Anbieter bislang lediglich ausländische Kunden, bewirbt seine Leistungen aber auf dem deutschen Markt, kommt jedenfalls hinsichtlich eines Unterlassungsanspruchs ein hinreichender Inlandsbezug in Betracht. Bietet der CloudAnbieter seine Lösungen überhaupt nicht auf dem oder für den deutschen Markt an, liegt auch kein hinreichender Inlandsbezug vor. Wird Content (i.d.R. durch den Cloud-Nutzer) öffentlich zugänglich ge- 53 macht, können dieselben Kriterien herangezogen werden wie bei Webseiten, insbesondere die Sprache: So ist bei deutschsprachigem Content ohne weiteres ein Inlandsbezug anzunehmen. Bei Werken in anderen Sprachen sollte daran angeknüpft werden, ob das entsprechende Werk 1 EuGH v. 25.10.2011 – C-509/09, CR 2011, 808. Paul/Niemann
273
Teil 3
Rz. 54
Urheberrecht
objektiv an einen zumindest nicht ganz unerheblichen Teil der inländischen Nutzer gerichtet ist. Davon wird man bei Filmen oder Musik regelmäßig ausgehen dürfen, anders aber beispielsweise bei lokalen Auslandsnachrichten. Eine Rolle dürfte auch die „Einkleidung“ des Contents oder die konkrete Ausgestaltung der Zugänglichmachung spielen: Stellt der Cloud-Anbieter lediglich einen Cloud-basierten Filesharing-Service zur Verfügung und wird das Werk vom Nutzer dort hochgeladen, so muss mangels einer „Bestimmung“ durch den Nutzer von einer weltweiten bestimmungsgemäßen Abrufbarkeit und damit einem hinreichenden Inlandsbezug ausgegangen werden1. Handelt es sich aber um einen komplexeren Cloud-Service, bei dem der Dateiupload nur eine untergeordnete Rolle spielt, und erreicht man den entsprechenden rechtsverletzenden Content lediglich über eine entsprechende Oberfläche, wird es primär auf die Sprache des Services und die weiteren oben (Rz. 49) genannten Indizien ankommen. Letztendlich kommt man bei der Frage nach dem Inlandsbezug von Content an einer Gesamtwürdigung aller Umstände des Einzelfalls nicht vorbei. 54
Im Gegensatz zum Recht auf öffentliche Zugänglichmachung ist die Bestimmung des Erfolgsorts bei der Verletzung des Vervielfältigungsrechts (§ 16 UrhG) zumindest in der Theorie einfacher. Im Einzelnen ist hierbei jedoch vieles strittig2. Wird Software oder Content auf dem Server des Cloud-Anbieters vervielfältigt, so ist der Standort des Servers als Erfolgsort anzusehen; erfolgt die Vervielfältigung auf dem Rechner des Cloud-Nutzers, ist der Rechner-Standort maßgeblich3. Entscheidende Bedeutung erlangt daher die Frage, wem die Vervielfältigung bei den verschiedenen Cloud-Angeboten jeweils zuzurechnen ist (hierzu Rz. 89 ff., 93 ff., 121 ff.). Cloud-Sachverhalten kommt bei der Bestimmung des maßgeblichen Ortes der Vervielfältigung i.d.R. noch das praktische Problem hinzu, dass Software und/oder Content in der Cloud – im Gegensatz zum konventionellen Hosting – häufig über verschiedene Speicherorte verteilt wird. Dies geschieht häufig dynamisch; daher kann oft nicht nachvollzogen werden, an welchem Speicherort die Vervielfältigungshandlung stattgefunden hat. Ausgeglichen wird dieser potentielle Nachteil des Verletzten dadurch, dass im Rahmen des Cloud Computing – wie dargestellt – zahlreiche Standorte von Rechenzentren als Speicherorte verwendet werden, so dass sich jedenfalls die Anzahl potentieller internationaler Gerichtsstände insgesamt erhöht.
1 A.A. AG Frankfurt a.M., CR 2012, 341 zur Frage der (nationalen) örtlichen Zuständigkeit nach § 32 ZPO, wonach die (technische) Unmöglichkeit der Bestimmbarkeit dazu führt, dass sich die Verletzung nicht bestimmungsgemäß in allen Gerichtsbezirken auswirkt, in denen eine Zugriffsmöglichkeit besteht; inzwischen überholt durch das Berufungsurteil des LG Frankfurt a.M., MMR 2012, 764. 2 Ausf. Hoeren/Sieber/Pichler, Teil 25 Rz. 181 ff. m.w.N. 3 Dreyer/Kotthoff/Meckel/Kotthoff, § 120 UrhG Rz. 15.
274
Paul/Niemann
II. Urheberrecht in Krze – Aufriss der Grundstze
Rz. 58
Teil 3
Ein Handlungsort als weiterer Anknüpfungspunkt für einen deliktischen 55 Gerichtsstand liegt sowohl im Falle der Vervielfältigung als auch dem der öffentlichen Zugänglichmachung dort, wo der Verletzer befindet, wenn er die Rechtsverletzung begeht oder anstößt. Entscheidend ist damit auch hier wiederum, wem die relevante Handlung (Vervielfältigung oder öffentliche Zugänglichmachung) jeweils zuzurechnen ist (hierzu Rz. 89 ff., 105 ff., 121 ff.). cc) Örtliche Zuständigkeit Wenn die vorstehenden Überlegungen zu der Feststellung geführt haben, 56 dass deutsche Gerichte zuständig sind, bleibt noch die Frage zu beantworten, bei welchem deutschen Gericht Klage erhoben werden kann. Die örtliche Zuständigkeit richtet sich nach den allgemeinen Regelungen der ZPO. Die Parteien können und werden in der Regel in einer Gerichtsstandsvereinbarung nicht nur die internationale Zuständigkeit, sondern auch die örtliche Zuständigkeit regeln. Diese Regelung ist im Rahmen der grundsätzlichen Zulässigkeit und Wirksamkeit einer Gerichtsstandsvereinbarung auch beachtlich. Bei Urheberrechtsverletzungen ist § 32 ZPO maßgeblich. Auch hier wird, wie bei der Bestimmung der internationalen Zuständigkeit (Rz. 37 ff.), bei der Verletzung des Rechts auf öffentliche Zugänglichmachung überwiegend das Kriterium der bestimmungsgemäßen Abrufbarkeit zugrunde gelegt1. Grundsätzlich wird dabei davon ausgegangen, dass bei Einstellen von Werken ins Internet eine bestimmungsgemäße Abrufbarkeit an jedem Ort in Deutschland gegeben ist. Zwar gibt es vereinzelt Tendenzen, das Merkmal der bestimmungsgemäßen Abrufbarkeit restriktiver auszulegen2. Die Rechtsprechung geht aber nach wie vor in der überwiegenden Zahl der Fälle davon aus, dass die Verletzung des Rechts auf öffentliche Zugänglichmachung einen Gerichtsstand an jedem deutschen Gericht begründet (sog. „fliegender Gerichtsstand“)3. § 105 UrhG gewährt den Ländern die Möglichkeit der Konzentration von 57 Urheberrechtsstreitigkeiten auf bestimmte Gerichte. Hiervon haben die meisten Länder Gebrauch gemacht4. 3. Schutzgegenstände des Urheberrechts beim Cloud Computing Das Urheberrecht gewährt dem Urheber Schutz für Werke der Literatur, 58 Wissenschaft und Kunst (§ 1 UrhG) für die Dauer von 70 Jahren nach dem Tod des Urhebers (§ 64 UrhG). Die gewährten Rechte sind vererblich, jedoch außer im Rahmen einer Erbauseinandersetzung nicht über1 Schricker/Loewenheim/Wild, § 105 Rz. 16 m.w.N. 2 So AG Charlottenburg, ZUM-RD 2011, 197; LG Hamburg, MMR 2011, 594; s. zum Ganzen auch Deister/Degen, NJOZ 2010, 1 m.w.N. 3 Zuletzt beispielsweise LG Hamburg, ZUM 2012, 596. 4 S. Übersicht bei Dreyer/Kotthoff/Meckel/Meckel, § 105 UrhG Rz. 2. Paul/Niemann
275
Teil 3
Rz. 59
Urheberrecht
tragbar (§§ 28 ff. UrhG). Außerdem stellt das Urheberrechtsgesetz bestimmte Leistungen als „verwandte Schutzrechte“ dem Schutz von Werken weitgehend gleich und erklärt die Regelungen für Werke für insgesamt oder in Teilen für entsprechend anwendbar (§§ 70 ff. UrhG). Modifikationen finden sich insbesondere hinsichtlich der Schutzdauer und der Übertragbarkeit. Im Folgenden erörtern wir die im Cloud Computing besonders relevanten Schutzgegenstände Software, Datenbanken und „Content“. Gerade Letzteres ist ein Sammelbegriff und umfasst zahlreiche Schutzgegenstände des Urheberrechts. Wir beschränken uns insoweit auf die Darstellung der Grundzüge. a) Software 59
Software kommt, wie einleitend bereits ausgeführt, in vielen Gestaltungen im Rahmen von Cloud Computing vor. Software wird zunächst stets benötigt, um die erforderliche Infrastruktur zu betreiben. Bei SaaS ist sie selbst Gegenstand des Angebotes. Im Falle des Angebots von Entwicklungsplattformen als Cloud-Service erhält der Kunde die Möglichkeit, Software in der Cloud zu entwickeln. Das Urheberrecht schützt Computerprogramme als Sprachwerk (§ 2 Abs. 1 Nr. 1 UrhG). In Umsetzung der Computerrechts-Richtlinie (s. Rz. 14) hat der Schutz von Software in §§ 69a ff. UrhG Sonderbestimmungen erfahren, die richtlinienkonform auszulegen sind1 und den im Übrigen anzuwendenden Bestimmungen über Sprachwerke (§ 69a Abs. 4 UrhG) als lex specialis vorgehen2. Voraussetzung für den Schutz ist, dass die Software ein individuelles Werk darstellt und das Ergebnis einer eigenen geistigen Schöpfung ist (§ 69a Abs. 3 Satz 1, 2 UrhG). Damit ergeben sich – trotz unterschiedlicher Formulierung – keine Unterschiede zu den Schutzvoraussetzungen für andere Werke nach § 2 Abs. 2 UrhG (vgl. Rz. 70 ff.)3. Andere Kriterien, insbesondere qualitative oder ästhetische, sind nicht zu berücksichtigen (§ 69a Abs. 3 Satz 1, 2 UrhG).
60
Geschützt sind alle Ausdrucksformen der Software, nicht aber die Idee an sich (§ 69a Abs. 2 UrhG). Dem Schutz unterliegen damit sowohl der Objektcode als auch der Quellcode4. Auch Vorstufen sowie das Entwurfsmaterial (§ 69a Abs. 1 a.E. UrhG) von Software können geschützt sein. Schnittstellen genießen in Gestalt ihrer konkreten Implementierung Schutz, nicht aber ihnen zugrunde liegende Ideen und Grundsätze5.
61
Umstritten war bislang, ob die Benutzeroberfläche (GUI) einer Software Schutz nach §§ 69a ff. UrhG genießt6. Für das Cloud Computing insbesondere in Gestalt von SaaS ist dies eine praktisch überaus bedeutsame 1 2 3 4 5 6
Dreier/Schulze/Dreier, § 69a Rz. 4. Schricker/Loewenheim/Loewenheim, Vor §§ 69a ff. Rz. 7. Schricker/Loewenheim/Loewenheim, § 69a Rz. 14. Schricker/Loewenheim/Loewenheim, § 69a Rz. 10. Schricker/Loewenheim/Loewenheim, § 69a Rz. 13 m.w.N. Vgl. Nachweise bei Schricker/Loewenheim/Loewenheim, § 69a Rz. 7.
276
Paul/Niemann
II. Urheberrecht in Krze – Aufriss der Grundstze
Rz. 64
Teil 3
Frage: Ginge man davon aus, dass die Benutzeroberfläche als Ausdrucksform der Software Schutz genösse, wäre sie unabhängig von einer für Werke grundsätzlich vorausgesetzten Schöpfungshöhe geschützt, solange nur die zugrunde liegende Software die Voraussetzungen des § 69a UrhG erfüllt. Da ein SaaS-Angebot zumindest erfordert, dass der Nutzer Zugang zur GUI erhält, benötigte der Cloud-Anbieter entsprechende Rechte, um die GUI und damit die Software an sich nach § 69c Nr. 4 UrhG öffentlich zugänglich machen zu dürfen (s. zum Ganzen Rz. 105 ff.). Der EuGH hat diese Frage nunmehr in Auslegung der Richtlinie dahin- 62 gehend beantwortet, dass die Benutzeroberfläche keine Ausdrucksform von Software gem. § 69a Abs. 2 Satz 1 UrhG darstellt und ein Schutz als Computerprogramm nach §§ 69a ff. UrhG nicht in Betracht kommt1. Die Konsequenz hiervon ist, dass eine GUI nur unabhängig von der Software Schutz als eigenständiges Werk nach § 2 UrhG genießen kann. In Betracht kommt insoweit insbesondere ein Schutz als wissenschaftliche oder technische Darstellung nach § 2 Abs. 1 Nr. 7 UrhG. Voraussetzung ist jedoch, dass die GUI den Anforderungen an die Schöpfungshöhe (§ 2 Abs. 2 UrhG) genügt. Dazu muss die Oberfläche ein Mindestmaß an Individualität aufweisen; was üblich oder durch technische Notwendigkeiten vorgegeben ist, kann zur Individualität nicht beitragen2. GUIs folgen zumeist Standards, die sich für bestimmte Systemumgebungen und Anwendungsprogramme entwickelt haben und zum Teil sogar eine technische Normierung im Zusammenhang mit der Interaktion zwischen Mensch und Maschine erfahren haben (EN ISO 9241, insb. Teile 110 ff.). Deshalb scheidet ein Schutz der GUI als Werk bei Oberflächen von Betriebssystemen, Office-Anwendungen3 oder ähnlicher Standardsoftware aus, solange die GUI sich an den etablierten Standards orientiert. GUIs genießen also in der Regel keinen urheberrechtlichen Schutz. Computerspiele sind als Software nach §§ 69a ff. UrhG geschützt, wobei 63 ihre audiovisuelle Darstellung (Spielablauf) zusätzlich Werkschutz als Filmwerk (§ 2 Abs. 1 Nr. 6 UrhG) oder Leistungsschutz als Laufbild (§§ 94, 95 UrhG) und ihre Einzelbilder Werkschutz als Lichtbildwerk (§ 2 Abs. 1 Nr. 5 UrhG) oder Leistungsschutz als Lichtbild (§ 72) genießen können4. Daneben kommt ein zusätzlicher Schutz einzelner Elemente, wie z.B. Spielfiguren, in Betracht5. In der gleichen Weise können einzelne Elemente der Software, beispiels- 64 weise in die Software integrierte Bilder oder Texte, einen eigenen, von §§ 69a ff. UrhG unabhängigen Schutz nach dem UrhG genießen.
1 2 3 4 5
EuGH v. 22.12.2010 – C-393/09, ZUM 2011, 230. Schricker/Loewenheim/Loewenheim, § 2 Rz. 114. Barnitzke/Möller/Nordmeyer, CR 2011, 277 (279). Ausf. Wandtke/Bullinger/Grützmacher, § 69g Rz. 4 f. Schricker/Loewenheim/Loewenheim, § 2 Rz. 189 m.w.N. Paul/Niemann
277
Teil 3
Rz. 65
Urheberrecht
b) Datenbanken und Daten 65
Cloud Computing ist ohne Datenbanken nicht vorstellbar. Der Anbieter benötigt sie zur Verwaltung seiner Kunden und Abrechnung der Nutzung seiner Leistungen. Sie können auch Bestandteil des angebotenen CloudServices sein, etwa bei aus der Cloud angebotenen CRM-Systemen1. Elektronische Datenbanken bestehen aus mehreren Elementen, die häufig im allgemeinen Sprachgebrauch ohne Differenzierung als Datenbank bezeichnet werden. Zum einen gibt es eine Sammlung von unabhängigen Elementen, die eigentliche Datenbank. Zum anderen gibt es das Datenbanksystem, das aus Soft- und Hardware besteht und das lediglich den Zugriff auf die Datenbank ermöglicht. Die eingesetzte Datenbanksoftware genießt Schutz als Software (vgl. Rz. 59 ff.) und ist nicht Gegenstand des Schutzes von Datenbanken. Schließlich gibt es noch die einzelnen in der Datenbank gesammelten Daten, die als einzelne ebenfalls nicht Gegenstand des Schutzes von Datenbanken sind. aa) Schutz von Datenbanken
66
Für Datenbanken bestehen zwei unterschiedliche Schutzrechte mit unterschiedlichen Schutzrichtungen. Zunächst kann eine Datenbank als Datenbankwerk nach § 4 Abs. 2 UrhG geschützt sein. Ein Datenbankwerk ist ein Unterfall des Sammelwerks, dessen Elemente systematisch oder methodisch angeordnet und einzeln mit Hilfe elektronischer Mittel oder auf andere Weise zugänglich sind (§ 4 Abs. 2 Satz 1 UrhG). Für den Schutz ist Voraussetzung, dass die Auswahl oder Anordnung der in der Datenbank enthaltenen Elemente auf einer schöpferischen Leistung beruht, wobei an die Schöpfungshöhe nur geringe Anforderungen zu stellen sind2.
67
Eine Datenbank kann auch nach dem sog. Sui-generis-Recht des Datenbankherstellers (§§ 87a ff. UrhG) geschützt sein. Dieses schützt auch und insbesondere Datenbanken, die die Voraussetzungen eines Datenbankwerks nicht erfüllen, also den Anforderungen an die gestalterische Leistung nicht genügen. Geschützt wird die Investition des Datenbankherstellers in den Aufbau der Datenbank. Die Investition muss wesentlich sein (vgl. § 87a Abs. 1 Satz 1 a.E. UrhG). Bei der Frage, ob eine Investition wesentlich ist, ist auf die Kosten abzustellen, die für die Beschaffung, Überprüfung oder Darstellung der Daten aufgewendet worden sind. Das Gesetz gibt keine weiteren Kriterien hinsichtlich der erforderlichen Höhe der getätigten Investitionen vor, so dass eine Einzelfallbetrachtung erforderlich ist3. Während das Datenbankwerk vollen urheberrechtlichen Schutz genießt, fällt der Schutz des Datenbankherstellers als reines Leistungsschutzrecht geringer aus und ist in seinen Einzelheiten 1 Beispielsweise salesforce.com. 2 Dreyer/Kotthoff/Meckel/Kotthoff, § 4 UrhG Rz. 8 m.w.N. 3 Schricker/Loewenheim/Vogel, § 87a Rz. 41 ff.
278
Paul/Niemann
II. Urheberrecht in Krze – Aufriss der Grundstze
Rz. 70
Teil 3
in den §§ 87a ff. UrhG geregelt. Das Recht des Datenbankherstellers ist beispielsweise auf eine Dauer von 15 Jahren nach der Veröffentlichung der Datenbank beschränkt, wobei das Recht bereits 15 Jahre nach der Herstellung erlischt, wenn der Datenbankhersteller die Datenbank nicht innerhalb dieser Frist veröffentlicht hat (§ 87d UrhG). Auch unwesentliche Teile der Datenbank genießen keinen Schutz (vgl. § 87b Abs. 1 UrhG). Schließlich können nur natürliche und juristische Personen mit Sitz in der EU oder dem EWR den Schutz als Datenbankhersteller beanspruchen, wobei Datenbankhersteller, die lediglich ihren satzungsmäßigen Sitz in der EU oder dem EWR haben, überdies eine tatsächliche Verbindung zur Wirtschaft innerhalb der EU oder des EWR haben müssen (§ 127a UrhG). Datenbankhersteller mit Sitz in Drittstaaten genießen keinen Schutz nach §§ 87a ff. UrhG. Die in Datenbanken enthaltenen Daten partizipieren nicht am Schutz 68 des Datenbankwerks oder des Datenbankherstellerrechts, können aber, sofern die Voraussetzungen vorliegen, einen eigenen Schutz nach dem UrhG genießen1. bb) Kein Schutz von Daten Daten jeglicher Art, ob innerhalb oder außerhalb von Datenbanken, ge- 69 nießen per se keinen Schutz nach dem UrhG, sofern sie nicht ihrerseits als Werk i.S.d. § 2 UrhG einzustufen sind oder durch Leistungsschutzrechte (§§ 70 ff. UrhG) besonders geschützt sind2. Bloße Daten oder Datensätze werden in den seltensten Fällen diesen Anforderungen genügen. Dies gilt insbesondere z.B. für Kontaktdaten oder Kundendaten. Die Daten selbst stellen nichts anderes dar als Informationen über Tatsachen. Ihnen geht jegliche schöpferische Individualität ab. Daten können jedoch aufgrund anderer gesetzlicher Regelungen Schutz genießen. Für personenbezogene Daten gilt das allgemeine und besondere Datenschutzrecht (hierzu Teil 4). Für Privat- und Geschäftsgeheimnisse besteht ein Schutz nach §§ 203 ff. StGB. Für Geschäfts- und Betriebsgeheimnisse kommt außerdem ein Schutz nach §§ 17 f. UWG in Betracht. c) Content „Content“ ist kein Begriff des Urheberrechts und auch nicht der übrigen 70 deutschen Rechtssprache. Der Begriff hat sich allerdings im Sprachgebrauch des Internets etabliert und soll deshalb auch hier verwendet werden. Mit der bloßen Verwendung des Begriffes ist allerdings noch nichts gesagt. Die wörtliche Übersetzung von „Content“ als „Inhalt“ passt grundsätzlich. Denn mit dem Begriff „Content“ wird all das umschrieben, was nicht lediglich Infrastruktur und Technik ist, die den Betrieb und die Nutzung des Internets überhaupt erst ermöglichen, also 1 Schricker/Loewenheim/Loewenheim, § 4 Rz. 56. 2 Für Börsendaten OLG Hamburg, GRUR 2000, 319 (320). Paul/Niemann
279
Teil 3
Rz. 70
Urheberrecht
das, was das Internet mit Leben erfüllt. Als Beispiele seien der Bericht einer Internetzeitung, der Beitrag in einem Blog, die im Internet veröffentliche Nachricht einer Nachrichtenagentur sowie die zum Download zur Verfügung gestellte Musik oder Software genannt. Doch welche Rolle spielt Content im Zusammenhang mit Cloud Computing? Die Antwort auf diese Frage hängt letztlich von dem konkreten Cloud Computing-Angebot ab. Das typische Cloud Computing-Angebot in der Form von SaaS, IaaS oder PaaS enthält kein Angebot von Inhalten, von der bei SaaS angebotenen Software einmal abgesehen. Vielmehr ermöglicht der Anbieter seinen Kunden, durch die von ihm angebotene Software, Plattform oder Infrastruktur, Content in der Cloud selbst zu nutzen oder im Rahmen eines von ihm angebotenen Dienstes seinen eigenen Kunden zur Verfügung zu stellen. (Eine ganz andere Rolle spielt Content natürlich für Cloud-/Internet-Angebote außerhalb des Cloud Computings im eigentlichen Sinne, wie beispielsweise Musik-Download- oder -Streaming-Plattformen. Diese sind aber nicht Gegenstand dieses Buches). Wie bereits erwähnt, werden durch das Urheberrecht Werke der Literatur, Wissenschaft und Kunst geschützt (§ 1 UrhG). Nach allgemeinem Verständnis sind diese jeweils weit auszulegen1. In § 2 Abs. 1 UrhG sind die geschützten Werkarten exemplarisch, also nicht abschließend2, aufgezählt. Als Beispiele zählt das Gesetz unter anderem Sprachwerke, Musikwerke, Lichtbild- und Filmwerke sowie wissenschaftliche und technische Darstellungen auf. Voraussetzung für den Schutz als Werk ist stets eine persönliche geistige Schöpfung (§ 2 Abs. 2 UrhG), die über eine gewisse Gestaltungs- oder Schöpfungshöhe verfügt3. Während die individuelle Schöpfung relativ leicht festzustellen ist, bereitet die Feststellung der erforderlichen Gestaltungs- oder Schöpfungshöhe gewisse Schwierigkeiten. Festhalten lässt sich, dass das völlig Triviale, rein Handwerkliche oder dem Stand der Technik Entsprechende, das jeder in der Materie bewanderte ebenso oder sehr ähnlich umsetzen würde, die erforderliche Schöpfungshöhe nicht erreicht. Andererseits ist eine besonders künstlerische Gestaltung oder Schöpfung nicht erforderlich. Die beiden vorstehenden Sätze machen überdeutlich, dass die Abgrenzung zumindest in der Theorie sehr schwierig sein kann. In der Praxis werden in vielen, vermutlich den weitaus meisten Fällen überhaupt keine Zweifel daran bestehen, ob eine Schöpfung die erforderliche Schöpfungshöhe erreicht. Diese Fragestellung bedarf hier allerdings keiner weitergehenden Erörterung, weil seit langem anerkannt ist, dass auch die sog. „kleine Münze“ als Werk geschützt ist. „Kleine Münze“ ist ein Werk, das bei einem Minimum an Gestaltungshöhe gerade noch schutzfähig ist4. Die Münze ist zwar klein, aber doch Münze. In der Praxis kann man im Zweifel deshalb davon ausgehen, dass nahezu jede individuelle Schöpfung auch urheberrechtlichen Schutz genießt. Die Frage der Schöpfungshöhe gewinnt vor allem bei der 1 2 3 4
Schricker/Loewenheim/Loewenheim, § 2 Rz. 3. Wandtke/Bullinger/Bullinger, § 2 Rz. 2. Wandtke/Bullinger/Bullinger, § 2 Rz. 23 ff. Schricker/Loewenheim/Loewenheim, § 2 Rz. 39 ff.
280
Paul/Niemann
II. Urheberrecht in Krze – Aufriss der Grundstze
Rz. 73
Teil 3
Beurteilung der Reichweite des Schutzes an Bedeutung. Je geringer die Schöpfungshöhe ist, desto geringer ist die Reichweite des Schutzes. Ähnliche Schöpfungen anderer verletzen den Schutzbereich der zeitlich vorrangigen Schöpfung in Fällen der „kleinen Münze“ nur, wenn sie nahezu identisch sind. Neben dem Urheberrecht werden durch das UrhG die sog. verwandten 71 Schutzrechte oder Leistungsschutzrechte geschützt (§§ 70 ff. UrhG). Hierzu zählen neben dem bereits erwähnten (Rz. 66 ff.) Datenbankherstellerrecht u.a. das Leistungsschutzrecht des ausübenden Künstlers (§§ 73 ff. UrhG), des Tonträgerherstellers (§§ 85 f. UrhG) sowie der Laufbild- (§ 95 UrhG) und der Lichtbildschutz (§ 72 UrhG). Darüber hinaus ist derzeit ein Leistungsschutzrecht für Presseverlage in der Diskussion1. Im Unterschied zu einem urheberrechtlich geschützten Werk ist es nicht erforderlich, dass die durch Leistungsschutzrechte erfassten Leistungen persönliche geistige Schöpfungen sind. Es wird nicht die schöpferische Leistung, sondern eine Investition oder ein nicht schöpferischer Arbeitsaufwand geschützt2. d) Schutz von Werkteilen Bei Cloud-Sachverhalten kann die Situation eintreten, dass ein geschütz- 72 tes Werk, z.B. ein Datenbankwerk oder Software, nicht vollständig auf einem Server gespeichert ist, sondern ggf. in mehrere Teildateien aufgeteilt in mehreren Rechenzentren, möglicherweise gar in verschiedenen Staaten, gehostet wird. Hierbei gewinnt die Frage an Bedeutung, ob der Schutz nach UrhG auch für Teile von Werken gilt. Würde etwa nur ein ggf. für sich genommen nicht geschütztes Werkteil vervielfältigt werden, läge kein Eingriff in das Vervielfältigungsrecht vor. Ob das betreffende Werkteil urheberrechtlich geschützt ist, richtet sich 73 nach den allgemeinen Regeln. Ein Schutz besteht dann, wenn der betreffende Werkteil für sich genommen die Voraussetzungen für eine Schutzfähigkeit erfüllt, also bei Werken, die i.S.d. § 2 UrhG persönliche geistige Schöpfungen sind3; dabei ist die Betrachtung isoliert vom (Gesamt-)Werk vorzunehmen. Bei Software soll nach der Ansicht des OLG Hamburg erforderlich sein, dass der entsprechende Teil hinreichend individuell und nicht von untergeordneter Bedeutung ist4. Für dieses zusätzliche Kriterium findet sich weder im Urheberrechtsgesetz noch in der Richtlinie eine Stütze. Deshalb sollte der Rechtsanwender sich auf dieser Rechtsauffassung nicht ohne weiteres verlassen. Für die Schutzfähigkeit eines Soft1 Zum Redaktionsschluss dieses Werkes war noch nicht abschließend absehbar, ob und in welcher Form dieses Leistungsschutzrecht vom Gesetzgeber umgesetzt wird. 2 Dreyer/Kotthoff/Meckel/Dreyer, § 2 UrhG Rz. 62. 3 Schricker/Loewenheim/Loewenheim, § 2 Rz. 67 f. 4 OLG Hamburg, GRUR-RR 2001, 289 (290). Paul/Niemann
281
Teil 3
Rz. 74
Urheberrecht
ware-Teils kommt es nicht darauf an, ob er für sich genommen autonom funktions- und ablauffähig ist1.
III. Urheberrechtliche Nutzungshandlungen und ihre Relevanz 74
Aus dem Vorstehenden folgt, dass beim Cloud Computing in der ein oder anderen Form urheberrechtlich relevante Werke genutzt werden. Zu untersuchen ist, welche dieser Nutzung urheberrechtlich relevant sind, wie diese einzuordnen sind und wem sie zuzurechnen sind. 1. Cloud Computing als eigenes Verwertungsrecht und/oder als eigene Nutzungsart? a) Cloud Computing als neues Verwertungsrecht?
75
Die in §§ 15 ff. UrhG und § 69c UrhG (Spezialnorm für Software) genannten Verwertungsrechte sind absolute Rechte. Sie stehen dem Urheber zu und geben ihm die Kontrolle über die Nutzung seines Werks. Wie auch das Urheberrecht an sich sind Verwertungsrechte nicht übertragbar (vgl. § 29 Abs. 2 UrhG)2. Vielmehr werden zu Zwecken der Werkverwendung durch Dritte Nutzungsrechte eingeräumt (s. dazu Rz. 158 ff.).
76
Der in §§ 15 ff., 69c UrhG genannte Katalog an Verwertungsrechten ist nicht abschließend, wie sich aus dem Wort „insbesondere“ in § 15 Abs. 1, Abs. 2 UrhG ergibt. Ein unbenanntes Verwertungsrecht (sog. Innominatfall) liegt dann vor, wenn sich im Laufe der Zeit eine neue Verwertungsart herausbildet, die nicht unter den Katalog der §§ 15 ff., 69c UrhG subsumiert werden kann und sich so wesentlich von diesem unterscheidet, dass eine Verwertung in dieser neuen Form nur aufgrund einer (neuen) Entscheidung des Urhebers zugelassen werden kann3. Jedoch ist Zurückhaltung mit der Annahme eines Innominatfalls geboten; insbesondere deshalb, da die bestehenden Schrankenregelungen der §§ 44a ff. UrhG auf dieses neue Verwertungsrecht nicht ohne weiteres anwendbar wären4.
77
Content, der in der Cloud gehostet bzw. über Cloud-Dienste bereitgehalten wird, begründet keine Notwendigkeit für ein neues Verwertungsrecht. Das Hosting von Content in der Cloud weist in Bezug auf die Verwertungsrechte gegenüber dem „konventionellen“ Hosting auf einem bestimmten Server nur geringe Unterschiede auf. Auch die öffentliche Bereitstellung von Content über Cloud-Services kann mit den benannten Verwertungsrechten erfasst werden. Dies zeigt sich bereits daran, dass
1 2 3 4
Wandtke/Bullinger/Grützmacher, § 69a Rz. 12. Schricker/Loewenheim/v. Ungern-Sternberg, § 15 Rz. 1 ff. Dreyer/Kotthoff/Meckel/Dreyer, § 15 Rz. 24. Dreier/Schulze/Schulze, § 15 Rz. 12.
282
Paul/Niemann
III. Urheberrechtliche Nutzungshandlungen und ihre Relevanz
Rz. 81
Teil 3
ein „Content-Nutzer“ sich i.d.R. nicht einmal bewusst ist, dass er Content aus der Cloud abruft. Einschlägig sind (lediglich) die üblichen online-relevanten Verwertungsrechte wie das Vervielfältigungsrecht (§ 16 UrhG) und das Recht der öffentlichen Zugänglichmachung (§ 19a UrhG). Bei in der Cloud eingesetzter Software gilt, jedenfalls im Rahmen der üb- 78 lichen Dienstleistungsarten SaaS, PaaS und IaaS, im Wesentlichen dasselbe. Einschlägig sind zwar die speziellen Verwertungsrechte des § 69c UrhG, jedoch deckt auch dieser Rechtekatalog alle derzeit denkbaren Cloud-Nutzungen ab, da in der Cloud im Wesentlichen dieselben technischen Vorgänge ablaufen wie bei einer konventionellen Remote-Nutzung, auch wenn die Angebote und die wirtschaftliche Nutzung anders ausgestaltet sind. b) Cloud Computing als eigene Nutzungsart? Von der Frage nach einem eigenständigen Verwertungsrecht ist zu unter- 79 scheiden, ob die Content- bzw. Software-Nutzung in der Cloud eine eigene, neue Nutzungsart darstellt, für die eigenständige, abtrennbare Nutzungsrechte nach i.S.d. §§ 31 ff. UrhG eingeräumt werden können. Als Nutzungsart wird eine nach der Verkehrsauffassung wirtschaftlich-technisch selbständige und abgrenzbare Art und Weise der Verwendung des Werkes bezeichnet1. Nur wenn eine eigene Nutzungsart vorliegt, hat die inhaltliche Beschränkung eines Lizenzvertrages dingliche Wirkung, ist also gegenüber Dritten durchsetzbar2. Bei Content in der Cloud liegt keine eigene Nutzungsart vor. Zwar kann 80 die konkrete Ausgestaltung, z.B. das On-Demand-Streaming von Filmen oder Musik in Abgrenzung zum Download eine eigene Nutzungsart darstellen, jedoch nicht in der Hinsicht, dass sich eine abgrenzbare Nutzungsart allein durch den Einsatz von Cloud Computing zum Hosting des Contents ergibt. Dies gilt umso mehr, als die Frage nach der Eigenständigkeit der Nutzungsart primär aus der Sicht des Endverbrauchers zu beantworten ist3 und dieser sich, wie dargestellt, der Tatsache, dass der Content „durch die Cloud“ distribuiert wird, vielfach nicht bewusst ist. In Bezug auf Software wird pauschal vertreten, bei der Nutzung im Rah- 81 men des Cloud Computing handle es sich um eine eigene Nutzungsart4, die seit 2009 bekannt sei5. Richtigerweise muss aber zwischen der konkreten Art und Weise des Einsatzes der Software unterschieden werden. So kann eine eigene Nutzungsart beispielsweise dann nicht angenom-
1 2 3 4
Wandtke/Bullinger/Wandtke/Grunert, § 31 Rz. 2 m.w.N. Fromm/Nordemann/Jan Bernd Nordemann, § 31 UrhG Rz. 59. Fromm/Nordemann/Jan Bernd Nordemann, § 31 UrhG Rz. 10 m.w.N. Nägele/Jacobs, ZUM 2010, 281 (288); in diese Richtung auch Dorner, MMR 2011, 780 (785). 5 Büchting/Heussen/Haupt, § 37 Rz. 32 (ohne Einschränkung auf Software). Paul/Niemann
283
Teil 3
Rz. 82
Urheberrecht
men werden, wenn ein Cloud-Nutzer unter Nutzung eines IaaS- oder PaaS-Angebotes eigene Software hochlädt und „aus der Cloud“ nutzt, soweit die Art der Nutzung, abgesehen vom Ort der Speicherung und vom Ort der Ausführung der Software, keine Unterschiede zur konventionellen Software-Nutzung auf einer eigenen Infrastruktur des Kunden aufweist1. Eine selbständige wirtschaftliche Bedeutung ist in einer solchen Nutzung nicht zu sehen; auch wird das Partizipationsinteresse des Urhebers dadurch nicht berührt2. Das bedeutet nicht, dass der Einsatz einer Software ohne weiteres in der Cloud möglich wäre. Vielmehr bleiben etwaige vertragliche Beschränkungen zu beachten (vgl. zu vertraglichen Beschränkungen Rz. 190 ff.). 82
Bietet der Anbieter dagegen seinen Kunden Software im Rahmen von SaaS an, ist von einer eigenen Nutzungsart auszugehen3. Diese Art der Nutzung ist sowohl wirtschaftlich als auch technisch selbstständig und in der Regel hinreichend abgrenzbar. Zwar können sich im Einzelfall Abgrenzungsprobleme zur Nutzung in der Form des Application Service Providing (ASP) ergeben, die jedoch allenfalls dazu führen können, dass man ASP und SaaS gemeinsam als eine eigenständige, gegenüber der normalen Softwarelizenzierung wirtschaftlich und technisch selbständige und abgrenzbare Nutzungsart sieht.
83
Ob auch hinsichtlich der Nutzung von Betriebssystemen o.Ä. im Rahmen von PaaS, die vom Anbieter zur Verfügung gestellt werden, eine eigene Nutzungsart vorliegt, ist fraglich4. Diese Art der Nutzung ist anderen Nutzungsarten wie etwa dem Netzwerk- oder Rechenzentrumsbetrieb so ähnlich, dass eine wirtschaftliche Eigenständigkeit gegenüber solchen Nutzungen nicht erkennbar ist.
84
Hinsichtlich der insbesondere bei PaaS- und IaaS-Lösungen vom Anbieter eingesetzten Plattform- und/oder Management-Software stellt sich die Frage nach einer eigenen Nutzungsart nicht. Die Software ist speziell für den Betrieb einer Plattform oder das Management des Cloud-Angebots entwickelt worden. Der Anbieter nutzt die Software zu diesem Zweck. Die Lizenzierung erfolgt zwar Cloud-spezifisch. Wirtschaftlich unterscheiden sich weder die Nutzung noch die Lizenzierung von dem bestimmungsgemäßen Einsatz und der bestimmungsgemäßen Nutzung anderer Software.
1 So im Ergebnis auch Grützmacher, CR 2011, 697 (704). 2 Wandtke/Bullinger/Grützmacher, § 69d Rz. 13 zur diesbzgl. vergleichbaren Situation beim Application Service Providing (ASP). 3 So wohl auch Grützmacher, CR 2011, 697 (705): Anbieter benötige „weitergehendes“ Vervielfältigungsrecht. 4 Bejahend Grützmacher, CR 2011, 697 (704).
284
Paul/Niemann
III. Urheberrechtliche Nutzungshandlungen und ihre Relevanz
Rz. 90
Teil 3
2. Software in der Cloud a) Einleitung Software in der Cloud wird mittlerweile in zahlreichen Ausprägungen 85 angeboten, deren Unterscheidung urheberrechtlich dann relevant wird, wenn je nach Ausgestaltung unterschiedliche Verwertungsrechte betroffen sind und/oder sich unterschiedliche urheberrechtliche Verantwortlichkeiten ergeben. Der Nutzer benötigt für die auf seinem Rechner lokal installierte Software, mittels derer er auf die Cloud-Lösung zugreift, die entsprechenden Nutzungsrechte, also namentlich ein Vervielfältigungsrecht1. Dabei handelt es sich typischerweise um einen Browser, oft auch um eine spezielle vom Cloud-Anbieter zur Verfügung gestellte ClientSoftware oder ein Applet2. Dasselbe gilt beispielsweise für bei dem Kunden installierte Zusatzsoftware zur Verschlüsselung der Kommunikation mit dem Cloud-Anbieter. Daneben wird der Anbieter (und ggf. auch der Nutzer) Veränderungen an 86 der in der Cloud eingesetzten Software vornehmen wollen; beispielsweise, um sie „Cloud-tauglich“ zu machen. Für solche Fälle benötigt derjenige, der diese Veränderungen vornimmt, regelmäßig ein Bearbeitungsrecht (§ 69c Nr. 2 UrhG). Nutzt der Anbieter die Software selbst wie ein Endnutzer, beispielsweise 87 um einen von einem Nutzer gemeldeten Fehler im laufenden Betrieb nachzuvollziehen, nimmt er ggf. auch dieselben urheberrechtlich relevanten Handlungen vor wie der Nutzer. Bei jedem Einsatz von Software in der Cloud sollte seitens der Parteien 88 geprüft werden, (i) welche urheberrechtlich relevanten Handlungen in Betracht kommen und (ii) wem diese zuzurechnen sind. b) Urheberrechtliche Nutzungshandlungen bei SaaS aa) Vervielfältigung, § 69c Nr. 1 UrhG (1) Vervielfältigung durch den Anbieter Um den Betrieb von SaaS zu ermöglichen, muss der Anbieter die dem 89 SaaS-Angebot zugrunde liegende Software zwangsläufig auf seinem Server installieren. Hierbei handelt es sich um eine Vervielfältigung3. Auch das Einspielen von Updates o.Ä. ist ohne weiteres als Vervielfälti- 90 gung zu qualifizieren, wobei hierbei in den Blickpunkt rücken kann, ob 1 Ebenfalls darauf hinweisend Splittgerber/Rockstroh, BB 2011, 2179 (2179). 2 Ein Applet (regelmäßig ein Java-Applet) ist ein i.d.R. selbständig nicht lauffähiges, in eine Website eingebettetes Stück Software, vgl. http://docs.oracle. com/javase/tutorial/deployment/applet/index.html (abgerufen am 22.1.2014). 3 Schricker/Loewenheim/Spindler, Vor §§ 69a ff. Rz. 69; Nägele/Jacobs, ZUM 2010, 281 (286). Paul/Niemann
285
Teil 3
Rz. 91
Urheberrecht
ein nur geringfügiges Update die für einen urheberrechtlichen Schutz erforderliche Schöpfungshöhe erreicht (vgl. Rz. 59) oder es sich überhaupt um ein Computerprogramm i.S.d. §§ 69a ff. UrhG handelt; dies wäre beispielsweise dann zu verneinen, wenn lediglich Textdateien (z.B. Übersetzungen) Bestandteil des Updates sind, deren Hochladen dann allerdings regelmäßig gemäß § 16 UrhG relevant ist. 91
Daneben werden bei der Nutzung der SaaS-Lösung durch den Kunden Teile der Software im Arbeitsspeicher des von dem Anbieter genutzten Servers vervielfältigt. Die früher umstrittene Frage, ob das Laden in den Arbeitsspeicher überhaupt eine Vervielfältigungshandlung darstellt, ist spätestens seit der Einführung von § 44a UrhG geklärt1 und wird heute daher zu Recht von der ganz h.M. bejaht2; umstritten ist jedoch, ob sich eine vorübergehende Vervielfältigung von Software und Datenbanken unter § 44a UrhG subsumieren lässt (s. Rz. 113). An diese Feststellung schließt sich in der hier betrachteten Konstellation die Frage an, wem diese Vervielfältigungshandlung zuzurechnen ist, soweit sie durch die Nutzung des Kunden veranlasst, aber in der Infrastruktur des Anbieters erfolgt (hierzu sogleich).
92
Das in diesem Abschnitt gesagte gilt ebenso für ein ggf. „über die Cloud“ zur Verfügung gestelltes Applet (vgl. Rz. 85 Fn. 2) oder eine Client-Software, wobei eine Vervielfältigung in der Cloud hierdurch i.d.R. nicht stattfindet. (2) Vervielfältigung durch den Nutzer
93
Eine durch den Nutzer ausgelöste Vervielfältigung der (gesamten) Software auf dem Server des Anbieters findet in der Regel nicht statt, denn es entspricht dem Wesen von SaaS, dass nicht für jeden Nutzer eine eigene Software-Instanz erforderlich ist („Multi-Tenancy-Architektur“). Selbst wenn für besondere Nutzungszwecke eine eigene Instanz erforderlich wird, wird diese i.d.R. vom Cloud-Anbieter vervielfältigt und nicht vom Nutzer.
94
Allerdings erfolgt eine Vervielfältigung von Teilen der SaaS-Lösung im Arbeitsspeicher des Servers des SaaS-Anbieters. Damit stellt sich die Frage, ob diese Vervielfältigung im Arbeitsspeicher dem Anbieter oder dem Nutzer zuzurechnen ist. Nach der „Internet-Videorecorder“-Entschei1 Der gerade eingeführt wurde, um unter anderem Vervielfältigungen in Arbeitsspeicher zu erfassen, vgl. Erwägungsgrund 33 der InfoSoc-Richtlinie sowie Schricker/Loewenheim/Loewenheim, § 69c Rz. 1 m.w.N. Der Streit, ob die §§ 44a ff. UrhG überhaupt (teilweise) ergänzend zu § 69d UrhG angewendet werden können, spielt hierfür keine Rolle; entscheidend ist, dass der Gesetzgeber zum Ausdruck gebracht hat, dass vorübergehende Vervielfältigungen im Arbeitsspeicher grundsätzlich unter den Vervielfältigungsbegriff fallen können. 2 Schricker/Loewenheim/Loewenheim, § 69c Rz. 7; Wandtke/Bullinger/Grützmacher, § 69c Rz. 5 m.w.N.
286
Paul/Niemann
III. Urheberrechtliche Nutzungshandlungen und ihre Relevanz
Rz. 96
Teil 3
dung des BGH kommt es bei der Beurteilung, wer Hersteller einer Vervielfältigung ist, nicht auf wertende Überlegungen, sondern allein auf eine technische Betrachtung an; danach vervielfältigt derjenige, der die körperliche Festlegung technisch bewerkstelligt und kontrolliert1. Soweit in einer SaaS-Infrastruktur der Nutzer das Laden im Arbeitsspeicher eines dedizierten Rechners anstößt, ist ihm diese Vervielfältigung zuzurechnen2. Bei SaaS dürfte jedoch der Nutzer in den meisten Fällen den Vervielfältigungsvorgang nicht in diesem Sinne bewerkstelligen und kontrollieren. Regelmäßig wird er nicht (vollständig) kontrollieren können, welche Teile der Software überhaupt und, wenn ja, wo gespeichert werden, jedenfalls wenn mehrere Serverdestinationen benutzt werden. Daneben laufen regelmäßige Back-Up-Prozesse durch den Anbieter organisiert und automatisch unabhängig von dem konkreten Anstoß durch den Nutzer ab. Daher müssen die Vervielfältigungen jedenfalls teilweise und in vielen Fällen nur dem Anbieter zugerechnet werden3. Denkbar wäre weiterhin, dass während der Nutzung der SaaS-Lösung 95 Vervielfältigungen im Browser-Cache, im Cache der Client-Software und/oder im Arbeitsspeicher des Nutzers erfolgen. Während die Frage, ob das Laden in den Arbeitsspeicher eine Vervielfältigung darstellt, (bejahend) geklärt ist (s. Rz. 91), besteht in Bezug auf den Browser-Cache Uneinigkeit4. Im Hinblick auf Erwägungsgrund 33 der InfoSoc-Richtlinie spricht aber einiges dafür, auch hier eine Vervielfältigung anzunehmen5. Wird die SaaS-Lösung über einen Browser oder über eine Client-Software 96 abgerufen, und geht man davon aus, dass die (temporäre) Speicherung im Browser-Cache (bzw. im Cache der Client-Software, sofern eine ClientSoftware vorhanden ist und sofern sie über einen Cache-Funktion verfügt) und/oder das Laden in den Arbeitsspeicher eine Vervielfältigung darstellt, muss genau betrachtet werden, was eigentlich Gegenstand einer Vervielfältigung sein kann. Teilweise wird undifferenziert vertreten, die Speicherung im Browser-Cache und/oder das Laden in den Arbeitsspeicher des Nutzers im Rahmen von SaaS stelle eine Vervielfältigung dar6. Übersehen wird hierbei, dass bei der üblichen Nutzung von SaaSLösungen kein Programmcode an den Nutzerrechner übertragen wird. Denn Sinn und Zweck des Cloud Computing ist gerade, dass die Rechenoperationen in der Cloud erfolgen. 1 2 3 4 5
BGH, CR 2009, 598 – Internet-Videorecorder. Niemann, CR 2009, 661 (662); BGH, CR 2009, 598 – Internet-Videorecorder. Niemann/Paul, K&R 2009, 444 (448). Vgl. Meinungsstand bei Schricker/Loewenheim/Loewenheim, § 16 Rz. 21. Erwägungsgrund 33 lautet: „Eine Ausnahme vom ausschließlichen Vervielfältigungsrecht sollte für bestimmte vorübergehende Vervielfältigungshandlungen gewährt werden, die flüchtige oder begleitende Vervielfältigungen sind […]. Soweit diese Voraussetzungen erfüllt sind, erfasst diese Ausnahme auch Handlungen, die das „Browsing“ sowie Handlungen des „Caching“ ermöglichen […]“. 6 Splittgerber/Rockstroh, BB 2011, 2179 (2179); Pohle/Ammann, CR 2009, 273 (276). Paul/Niemann
287
Teil 3
Rz. 97
Urheberrecht
97
Es wird vielmehr lediglich die Benutzeroberfläche (GUI) an den Nutzerrechner übertragen und damit ggf. vervielfältigt (falls man die Speicherung im Browser-Cache als Vervielfältigung ansieht). Damit stellt sich die bereits oben (vgl. Rz. 61 f.) behandelte Frage nach der Schutzfähigkeit der GUI im Rahmen der §§ 69a ff. UrhG. Nachdem der EuGH entschieden hat, dass die GUI keinen Schutz nach §§ 69a ff. UrhG genießt und lediglich als Werk nach § 2 UrhG geschützt sein kann, wenn die erforderliche Schöpfungshöhe gegeben ist1 (was aber regelmäßig nicht der Fall sein wird, s. Rz. 62), hat sich der vormals hierüber geführte Streit2 für die Praxis erledigt.
98
Damit ist klar, dass im Rahmen des SaaS – bis auf die seltene Ausnahme einer i.S.d. § 2 UrhG geschützten Benutzeroberfläche – durch die Speicherung im Browser-Cache, Client-Software-Cache und/oder im Arbeitsspeicher des Nutzerrechners keine Vervielfältigung der Software erfolgt3. Relevant ist dann nur die Speicherung der Software in dem Arbeitsspeicher des Servers, die aber in den meisten Fällen dem Anbieter zuzurechnen ist (es sei denn, der Nutzer stößt diese technisch an, siehe Rz. 94).
99
Dagegen ist eine Vervielfältigung eines ggf. für die SaaS-Nutzung vorausgesetzten Clients oder Applets (s. Rz. 85 Fn. 2) auf dem Nutzerrechner regelmäßig gegeben, sowohl in Gestalt einer erstmaligen Vervielfältigung bei Herunterladen und Installation des Applets, als auch nachfolgende vorübergehende Vervielfältigungen im Arbeitsspeicher. bb) Verbreitung, § 69c Nr. 3 UrhG
100
Denkbar wäre es, dass der SaaS-Anbieter die Software dadurch verbreitet, dass er sie dem Nutzer zur Verfügung stellt. Eine Verbreitung kann nach dem Wortlaut des § 69c Nr. 3 UrhG jedoch nur hinsichtlich des Originals oder eines Vervielfältigungsstück der Software erfolgen, also nur der Software in körperlicher Form4. Dies scheidet bei SaaS aus. Auch durch die Entscheidung des EuGH zur Zulässigkeit des Weiterverkaufs von Gebrauchtsoftware5 ergibt sich keine andere Wertung. Zwar kann dem Gericht zufolge eine (unkörperliche) öffentliche Zugänglichmachung in eine Verbreitung erwachsen; Voraussetzung hierfür ist aber jedenfalls ein Eigentums- oder Besitzübergang an einer Programmkopie (oder eine anderweitige Ermöglichung des Eigentums oder Besitz einer eigenen Kopie,
1 EuGH v. 22.12.2010 – C-393/09, CR 2011, 221; s. hierzu auch Barnitzke/Möller/ Nordmeyer, CR 2011, 277. 2 S. Nachweise bei Schricker/Loewenheim/Loewenheim, § 69a Rz. 7. 3 So im Ergebnis auch Schricker/Loewenheim/Spindler, Vor §§ 69a ff. Rz. 67 (zum ASP), 69; Marly, Rz. 1082; Schuster/Reichl, CR 2010, 38 (40); Nägele/Jacobs, ZUM 2010, 281 (289); Niemann/Paul, K&R 2009, 444 (448). 4 Schricker/Loewenheim/Loewenheim, § 69c Rz. 26. 5 EuGH v. 3.7.2012 – C-128/11, ZUM 2012, 661.
288
Paul/Niemann
III. Urheberrechtliche Nutzungshandlungen und ihre Relevanz
Rz. 106
Teil 3
wie z.B. durch Download)1. Ein solcher findet im Rahmen von SaaS aber gerade nicht statt. Damit tritt (für den Nutzer) auch keine Erschöpfung i.S.d. § 69c Nr. 3 101 Satz 2 UrhG an der im Rahmen von SaaS genutzten Software ein. Die genannten Gesichtspunkte sind auch der Grund dafür, dass eine Ver- 102 mietung im urheberrechtlichen Sinne durch den SaaS-Anbieter nicht vorliegt2. Zwar kann das Anbieten einer SaaS-Lösung schuldrechtlich als Vermietung zu qualifizieren sein (vgl. hierzu Teil 2 Rz. 149), urheberrechtlich setzt die Vermietung aber als Unterfall der Verbreitung eine körperliche Überlassung3 oder – unter Berücksichtigung des o.g. EuGHUrteils – zumindest die Überlassung eines unkörperlichen Vervielfältigungsstücks voraus; beides ist bei SaaS nicht der Fall. Auch eine Verbreitung von Applets findet im Regelfall nicht statt. Damit 103 eine öffentliche Zugänglichmachung, die bei Applets i.d.R. gegeben ist (s. Rz. 108), in eine Verbreitung erwächst, ist nach der Rechtsprechung des EuGH erforderlich, dass der Nutzer ein unbefristetes Nutzungsrecht an dem Vervielfältigungsstück erhält, woraus dann ein Eigentumsübergang an der Kopie folgt4. In Cloud-Vereinbarungen wird dagegen in aller Regel nur ein befristetes Nutzungsrecht eingeräumt. Aus der genannten EuGH-Rechtsprechung folgt zugleich, dass es durch- 104 aus denkbar wäre, dieses zeitlich begrenzte Zurverfügungstellen eines Vervielfältigungsstücks des Applets als Vermietung oder – bei kostenlosen Diensten – als Verleih (Unterfall der Verbreitung)5 zu qualifizieren. cc) Öffentliche Zugänglichmachung, § 69c Nr. 4 UrhG Weiterhin kommt in Betracht, dass der Anbieter die Software im Rah- 105 men der SaaS-Lösung öffentlich zugänglich macht „in der Weise, dass es Mitgliedern der Öffentlichkeit von Orten und zu Zeiten ihrer Wahl zugänglich ist“ (§ 69c Nr. 4 UrhG). Dies wird im Hinblick auf die Software in der Literatur häufig grundsätzlich bejaht6. Jedoch muss hier differenziert werden. Zunächst einmal ist festzustellen, dass das Profitieren von urheberrecht- 106 lich relevanten Werken als solches nicht urheberrechtlich relevant ist. Der Leser eines Buches z.B. benötigt keine urheberrechtlichen Nutzungs1 EuGH v. 3.7.2012 – C-128/11, Tz. 52, ZUM 2012, 661. 2 So im Ergebnis auch Nägele/Jacobs, ZUM 2010, 281 (286). 3 Schricker/Loewenheim/Spindler, Vor §§ 69a ff. Rz. 69; Marly, Rz. 1084; Niemann/Paul, K&R 2009, 444 (448). 4 EuGH v. 3.7.2012 – C-128/11, Tz. 45 f., 52, ZUM 2012, 661. 5 Vgl. zum Verleihrecht in Bezug auf Software Wandtke/Bullinger/Grützmacher, § 69c Rz. 62. 6 Schricker/Loewenheim/Spindler, Vor §§ 69a ff. Rz. 69; Marly, Rz. 1087; Pohle/ Ammann, CR 2009, 273 (276). OLG München, GRUR-RR 2009, 91 (zum ASP). Paul/Niemann
289
Teil 3
Rz. 107
Urheberrecht
rechte; wohl aber der Verlag, der das Buch druckt, d.h. vervielfältigt, und verbreitet. Die Tatsache, dass ein Nutzer von einer Software profitiert und die Ergebnisse der Programmabläufe nutzt, bedeutet daher noch nicht, dass er hierzu ein Nutzungsrecht benötigt. 107
Wie schon ausgeführt, wird bei SaaS i.d.R. lediglich die Benutzeroberfläche an den Nutzerrechner übertragen, die regelmäßig keinen Schutz als Software i.S.d. §§ 69a ff. UrhG genießt (vgl. Rz. 61 f.). Der Programmcode selbst wird nicht übertragen und damit nicht zugänglich gemacht. Die reine Nutzung der Software ist, genauso wie das Lesen eines Buches, keine urheberrechtlich relevante Handlung des Nutzers der Software oder des Lesers1. Eine öffentliche Zugänglichmachung der Software ist unter diesen Umständen nicht gegeben2, wobei jedoch eine öffentliche Zugänglichmachung der Benutzeroberfläche als Werk (nach § 19a UrhG) in Ausnahmefällen in Betracht kommen kann (s. hierzu schon Rz. 61 f.).
108
Eine öffentliche Zugänglichmachung ist aber in den Fällen denkbar, in denen der Zugriff auf die SaaS-Lösung zwar über den Browser erfolgt, zusätzlich jedoch beispielsweise ein Applet (i.d.R. ein Java-Applet) vom Nutzer heruntergeladen werden muss (s. hierzu Rz. 85 Fn. 2), welches meistens als Software i.S.d. §§ 69a ff. UrhG zu qualifizieren ist und lokal auf dem Rechner des Nutzers ausgeführt wird. Selbiges gilt – insbesondere bei Smartphones und Tablets – beim Zugriff auf die Lösung über eine „App“, wobei diese Nutzung streng genommen nicht mehr als SaaS eingestuft werden sollte.
109
Damit ist bei der Applet-Nutzung maßgeblich, wie der Begriff der Öffentlichkeit in § 69c Nr. 4 UrhG zu verstehen ist. Der Definition in § 15 Abs. 3 UrhG zufolge ist Öffentlichkeit dann zu bejahen, wenn der Nutzer weder mit dem Anbieter der SaaS-Lösung noch mit den anderen Nutzern der SaaS-Lösung „durch persönliche Beziehungen verbunden ist“. Eine rein vertragliche Beziehung ist hierfür jedenfalls nicht ausreichend3.
110
Eine persönliche Verbundenheit kann jedenfalls bei Public Clouds nicht angenommen werden. Diese richten sich bewusst an einen von vornherein nicht bestimmbaren Kreis von Nutzern.
111
Bei der Bereitstellung von SaaS im Rahmen einer Private Cloud ist zu unterscheiden: Handelt es sich bei dem Cloud-Kunden um ein kleineres Unternehmen, kann eine persönliche Verbundenheit der Nutzer nicht a priori ausgeschlossen werden. Je größer die Einheit, desto weniger lässt
1 Vgl. BGH, NJW 1991, 1231 (1234). 2 So auch Grützmacher, CR 2011, 697 (705); Nägele/Jacobs, ZUM 2010, 281 (287), die auch eine analoge Anwendung des § 69c Nr. 4 UrhG ablehnen; anders noch Niemann/Paul, K&R 2009, 444 (448). 3 Wandtke/Bullinger/Heerma, § 15 Rz. 18 m.w.N.
290
Paul/Niemann
III. Urheberrechtliche Nutzungshandlungen und ihre Relevanz
Rz. 114
Teil 3
sich eine persönliche Verbundenheit noch bejahen1. Hier kommt es auf den Einzelfall an. Als Daumenregel wird man aber bereits bei – nicht besonders kleinen – mittelständischen Unternehmen regelmäßig nicht mehr von der notwendigen persönlichen Verbundenheit ausgehen können. Das Recht auf öffentliche Zugänglichmachung ist im Übrigen auch dann 112 betroffen, wenn bei der Bereitstellung von SaaS für jeden Kunden oder gar für jeden Nutzer ein eigenes Vervielfältigungsstück des Applets bereitgehalten wird, sofern es identisch ist oder auch unter der Schwelle der Bearbeitung nach § 23 UrhG angepasst. Denn die vom Recht auf öffentliche Zugänglichmachung erfasste Nutzung ist die Zugänglichmachung des Werks als Immaterialgut und nicht die Eröffnung des Zugangs zu einem bestimmten Vervielfältigungsstück2. c) Urheberrechtliche Nutzungshandlungen bei IaaS und PaaS In Bezug auf IaaS und PaaS wird pauschal behauptet, es fänden keine 113 urheberrechtlich relevanten Vorgänge statt3. Diese Betrachtung greift jedoch zu kurz. Zunächst können IaaS- und PaaS-Lösungen unterschiedlich ausgestaltet sein und – insbesondere bei PaaS – die Grenzen zu SaaSLösungen teilweise verschwimmen. Darüber hinaus ist regelmäßig die Installation einer Plattform-/Back-End-Management-Software durch den Anbieter erforderlich, um den Cloud-Dienst zu erbringen, mithin also eine Installation von Software speziell für Cloud-Angebote (die aber nutzungsrechtlich normalerweise unproblematisch sind, da sie – wenn nicht bereits durch den Anbieter selbst entwickelt – regelmäßig gerade für den Einsatz beim Cloud Computing lizenziert werden). Schließlich finden bei nahezu jedem Software-Einsatz – wenn auch nur „vorübergehende“ (vgl. § 44a UrhG; hierzu Rz. 91) – Vervielfältigungshandlungen statt (s. hierzu auch Rz. 89 ff., 93 ff.). Weiterhin ist je nach Ausgestaltung auch eine öffentliche Zugänglichmachung (§ 69c Nr. 4 UrhG) denkbar; dagegen findet eine Verbreitung (§ 69c Nr. 3 UrhG) – wie bei SaaS – regelmäßig nicht statt (vgl. hierzu Rz. 100 ff.). aa) Vervielfältigung, § 69c Nr. 1 UrhG Jedenfalls benötigt der Anbieter zur Bereitstellung einer IaaS-Lösung (und 114 je nach Ausgestaltung auch bei PaaS-Lösungen) entsprechende CloudManagement- und/oder Virtualisierungs-Software, die auf dem Server des Cloud-Anbieters vervielfältigt wird (§ 69c Nr. 1 UrhG). Selbiges gilt für die Plattformsoftware bei einer PaaS-Lösung (im Folgenden werden
1 Ähnl. Nägele/Jacobs, ZUM 2010, 281, 288; Niemann/Paul, K&R 2009, 444 (448). 2 Schricker/Loewenheim/v. Ungern-Sternberg, § 19a Rz. 48. 3 Bierekoven, ITRB 2010, 42 (43). Paul/Niemann
291
Teil 3
Rz. 115
Urheberrecht
die genannten Software-Arten als „Back-End-Software“ bezeichnet)1. Dabei kommt insbesondere bei PaaS in Betracht, dass die komplette Umgebung vom Cloud-Anbieter in vielen Fällen selbst entwickelt wurde und eine Unterscheidung in die verschiedenen Bestandteile „Betriebssystem“, „Plattformsoftware“ etc. entfällt. 115
Neben der Vervielfältigung, die im Rahmen der Installation und/oder von Updates der Software erfolgt, erfolgt (je nach technischer Ausgestaltung) i.d.R. auch eine Vervielfältigung von Teilen der Back-End-Software im Arbeitsspeicher des Servers durch die Nutzung der IaaS-/PaaS-Lösung. Zu klären ist, ob diese Vervielfältigungshandlung dem Anbieter oder dem Nutzer zuzurechnen ist. Vertreten wird hierzu, dass der Nutzer diese Vervielfältigungen auf dem Server des Anbieters technisch zumindest mit veranlasse und somit als „Mit-Vervielfältiger“ anzusehen sei2. Die Sachlage bei IaaS und PaaS lässt sich hierbei zunächst nicht unmittelbar mit der bei SaaS (s. Rz. 85 ff., 91, 94) vergleichen, da bei SaaS die Nutzung der als SaaS bereitgestellten Software Hauptzweck des Anbieter-NutzerVerhältnisses ist, während bei IaaS und PaaS die (Mit-)Nutzung der BackEnd-Software lediglich eine (unvermeidbare) technische Notwendigkeit darstellt. Jedoch gilt auch hier wieder, dass nach der Rechtsprechung des BGH normative Überlegungen bei der Zurechnung einer Vervielfältigungshandlung außen vor zu lassen sind und dass es nur auf eine technische Betrachtung ankommt (s. auch Rz. 94)3. Daher dürfte weniger die Frage nach dem Hauptzweck als die Frage entscheidend sein, inwieweit der Nutzer den Vervielfältigungsvorgang wirklich steuert. Die Antwort ergibt sich aus der konkreten technischen Ausgestaltung des betreffenden Services. Auch bei IaaS und PaaS gilt, dass die Vervielfältigungen regelmäßig – zumindest überwiegend – durch den Anbieter kontrolliert und gesteuert werden.
116
Lädt der Nutzer „eigene“ Software in eine IaaS- oder PaaS-Umgebung hoch, ist die dadurch erfolgende Vervielfältigung dagegen ihm und nicht dem Anbieter zuzurechnen; hier ist der Nutzer derjenige, der die Vervielfältigung technisch bewerkstelligt4. Soweit allerdings vom Anbieter und nicht vom Nutzer gesteuerte Back-Up-Prozesse durchgeführt werden, liegt insoweit eine Vervielfältigung des Anbieters vor.
1 So auch Grützmacher, CR 2011, 697 (704); a.A. offenbar Nägele/Jacobs, ZUM 2010, 281 (289), die davon ausgehen, dass Vervielfältigungen einer vom Anbieter bereitgestellten Applikationssoftware bei SaaS und PaaS (gemeint ist in Bezug auf PaaS wohl die Plattformsoftware) nicht stattfänden, da der Anwender diese lediglich nutze. Hierbei wird aber übersehen, dass bei der Nutzung von Software Vervielfältigungen – zumindest solche im Arbeitsspeicher – regelmäßig erfolgen (vgl. Rz. 91). 2 Grützmacher, CR 2011, 697 (704). 3 BGH, CR 2009, 598 – Internet-Videorecorder. 4 So auch Nägele/Jacobs, ZUM 2010, 281 (allerdings mit unzutreffendem Verweis auf eine angeblich a.A. bei Niemann/Paul, K&R 2009, 444 (448).
292
Paul/Niemann
III. Urheberrechtliche Nutzungshandlungen und ihre Relevanz
Rz. 122
Teil 3
Im Ergebnis liegen also regelmäßig verschiedene Vervielfältigungen des 117 Anbieters vor, während Vervielfältigungen durch den Nutzer nur in bestimmten Konstellationen vorkommen. bb) Verbreitung, § 69c Nr. 3 UrhG Wie bei SaaS liegt im Normalfall keine Verbreitung vor. Auch ein Ver- 118 mieten von Clients oder Applets dürfte bei IaaS und PaaS nur selten Relevanz haben. cc) Öffentliche Zugänglichmachung, § 69c Nr. 4 UrhG Ein öffentliches Zugänglichmachen der Back-End-Software erfolgt regel- 119 mäßig nicht1. Wie bereits im Rahmen von SaaS besprochen, wird höchstens die Benutzeroberfläche zugänglich gemacht, die jedoch nicht am Softwareschutz nach §§ 69a ff. UrhG partizipiert und daher ihrerseits Werkqualität aufweisen müsste (vgl. Rz. 62, 107). Bei IaaS und PaaS gilt dies umso mehr, als dass die Cloud-Management- und/oder Virtualisierungs-Software regelmäßig vollständig im Hintergrund abläuft, dem Nutzer also nicht einmal die Benutzeroberfläche angezeigt wird. Auch ein öffentliches Zugänglichmachen kundeneigener Software liegt aus den erläuterten Gründen in der Regel nicht vor. Anders ist dies, wenn die konkrete Lösung so ausgestaltet ist, dass ein 120 Download der Software möglich ist und dieser einer entsprechenden Öffentlichkeit (vgl. hierzu Rz. 109 ff.) zugänglich gemacht wird; in diesem Fall gelten dieselben Erwägungen wie für die öffentliche Zugänglichmachung von Content (s. Rz. 131 ff.). 3. Content in der Cloud a) Einleitung Die technologischen und wirtschaftlichen Vorteile des Cloud Computing 121 werden nicht nur für die Nutzung von Software, sondern auch und zunehmend für die Speicherung und Distribution von Content, d.h. Musik, Filmen, Bildern, Literaturwerken, Datenbanken und vielem anderen mehr verwendet. Diesbezüglich kommen zwei verschiedene Konstellationen in Betracht, die alle gemeinsam haben, dass hier nicht das Softwareurheberrecht nach den §§ 69a ff. UrhG, sondern die allgemeinen Vorschriften oder andere Spezialregelungen (z.B. für Datenbanken) des UrhG zur Anwendung gelangen. Einerseits geht es um Content, welcher vom Nutzer der Cloud-Lösung 122 „in die Cloud“ hochgeladen worden ist. Dies kommt nicht nur bei IaaSund PaaS-Lösungen, die gerade darauf ausgerichtet sind, dass der Nutzer 1 So i.E. auch Grützmacher, CR 2011, 697 (704). Paul/Niemann
293
Teil 3
Rz. 123
Urheberrecht
seinen „eigenen“ Content hochlädt, sondern auch bei SaaS in Betracht: So ist beispielsweise denkbar, dass der Nutzer in ein Customer-Relationship-Management-System (CRM-System), welches als SaaS-Lösung betrieben wird, Fotos entsprechender Ansprechpersonen hochlädt. 123
Andererseits geht es um Content, der vom Cloud-Anbieter zur Verfügung gestellt wird: Exemplarisch seien Texte, Videos, Fotos oder Grafiken genannt, die in eine SaaS-Lösung eingebettet sind.
124
Daneben kann man hier (sowohl bei von Nutzern als auch Anbietern hochgeladenen Inhalten) auch an die klassischen Cloud-Dienste denken, die insbesondere von Verbrauchern genutzt werden, wie Streaming-, Video-/Audio-, Social Media-Plattformen, soziale Netzwerke oder E-Mail. Allerdings versteht man diese Angebote regelmäßig nicht mehr als „Cloud Computing“, sondern als andere Angebote aus der Cloud. Es soll daher im Folgenden nicht auf die Besonderheiten solcher Dienste eingegangen werden, zumal für sie im Wesentlichen bezüglich der relevanten Verwertungshandlungen nichts anderes gilt als für die obigen Beispiele des Umgangs mit Content beim Cloud Computing.
125
Die entsprechenden urheberrechtlich relevanten Handlungen müssen jeweils für beide Konstellationen (Hochladen durch Nutzer, Hochladen durch Anbieter) getrennt betrachtet werden. Im Rahmen dieser Abhandlung sollen nur die Cloud-spezifischen Besonderheiten der urheberrechtlich relevanten Nutzung von Content erörtert werden. Beispielsweise ist die Frage, ob an einem (körperlichen) Vervielfältigungsstück, welches im Zuge einer öffentlichen Zugänglichmachung hergestellt worden ist, das Verbreitungsrecht analog § 17 Abs. 2 UrhG erschöpft, sehr umstritten1. b) Vervielfältigung, § 16 UrhG
126
Durch das Hochladen „in die Cloud“ vervielfältigt derjenige, der den Upload vornimmt, das entsprechende Werk (s. zur Frage, ob für das Hochladen von Content in die Cloud zusätzliche Nutzungsrechte erforderlich sind, Rz. 122, 174). Nach der „Internet-Videorecorder“-Entscheidung des BGH (siehe oben Rz. 94) sind dabei Uploads durch den Nutzer diesem zuzurechnen; die Frage der Inhaberschaft der und Kontrolle über die Infrastruktur spielt keine Rolle.
127
Die darauf folgende Vervielfältigung in der Infrastruktur des Anbieters, d.h. das Erstellen von Back-Ups und die Verteilung „in der Cloud“, ist dagegen dem Anbieter zuzurechnen; es sei denn, es sind gezielte Akte, die der Nutzer bewusst angestoßen hat.
128
Lädt ein Nutzer ein Werk „aus der Cloud“ herunter oder betrachtet es im Rahmen der Nutzung des Cloud-Services („Browsing“), vervielfältigt er dieses auf seinem Rechner. Dies gilt dem Grunde nach für sämtliche 1 S. zum Streitstand Schricker/Loewenheim/v. Ungern-Sternberg, § 19a Rz. 6.
294
Paul/Niemann
III. Urheberrechtliche Nutzungshandlungen und ihre Relevanz
Rz. 131
Teil 3
Fälle, in denen ein Werk wahrnehmbar ist, d.h. nicht nur für den Download oder das „Browsing“, sondern ebenso für in Software eingebettete Werke (vgl. Rz. 85) sowie für das „Streaming“ von Musik oder Videos/Filmen, also der Übermittlung eines kontinuierlichen multimedialen Datenstroms1: Für die zur Vervielfältigung führende technisch notwendige (Zwischen-)Speicherung der Werke im Arbeitsspeicher und/ oder im (Browser-)Cache des Nutzerrechners gilt im Ergebnis dasselbe wie für die Vervielfältigung von Software im Arbeitsspeicher (vgl. dazu Rz. 94 f.), d.h., eine Vervielfältigung nach § 16 UrhG liegt vor. In der Regel sind diese Vervielfältigungen jedoch durch die Schranke des § 44a UrhG gedeckt (s. hierzu Rz. 150 ff.). Eine Vervielfältigung liegt jedoch nicht bei unwesentlichen Teilen von 129 Datenbanken i.S.d. §§ 87a ff. UrhG vor. Das dem Datenbankhersteller zugewiesene Verwertungsrecht umfasst lediglich die Verwertung der Datenbank insgesamt oder eines ‚nach Art oder Umfang wesentlichen Teils‘ derselben (§ 87b Abs. 1 Satz 1 UrhG)2. Somit erfolgt bei der normalen Nutzung, also der bloßen Abfrage einer Datenbank keine Vervielfältigung i.S.d. Urheberrechts; es sei denn, die genutzten Datenbankbestandteile sind ihrerseits ein schutzfähiges Werk (beispielsweise journalistische Texte, Bilder). c) Verbreitung, § 17 UrhG Das Verbreitungsrecht des § 17 UrhG bezieht sich lediglich auf körper- 130 liche Werkstücke3; eine Verbreitung von Content scheidet daher aufgrund dessen Unkörperlichkeit aus. Selbiges gilt für die Vermietung nach § 17 Abs. 3 UrhG (siehe dazu oben Rz. 102). d) Öffentliche Zugänglichmachung, § 19a UrhG Zunächst ist festzuhalten, dass die oben dargestellte Wertung, dass durch 131 die Gewährung der Nutzungsmöglichkeit von SaaS kein öffentliches Zugänglichmachen i.S.d. § 69c Nr. 4 UrhG vorliegt (vgl. Rz. 106), nicht für die öffentliche Zugänglichmachung von Content i.S.d. § 19a UrhG gilt. Im Fall von SaaS umfasst der Schutzbereich des Verwertungsrechts regelmäßig lediglich die Software „an sich“, die aber nicht selbst (sondern nur deren Nutzen/Vorteile) zur Verfügung gestellt wird (vgl. Rz. 107, 112). 1 S. zu den technischen Hintergründen des Streamings Hoeren/Sieber/Sieber, Teil 1 Rz. 134 ff. 2 S. zur Abgrenzungen eines wesentlichen vom unwesentlichen Teil Schricker/ Loewenheim/Vogel, § 87b Rz. 12 ff. 3 Allgemeine Meinung, vgl. Schricker/Loewenheim/Loewenheim, § 17 Rz. 5 m.w.N. Allerdings sind die Konsequenzen der UsedSoft-Entscheidung des EuGH für andere Werke als Software im Einzelnen unklar, wobei es durchaus Gründe gibt, hier keinen Gleichlauf mit Software anzunehmen (siehe auch: InfoSoc-RL Erwägungsgrund 29). Der EuGH hat die Frage offen gelassen, EuGH UsedSoft Tz. 60. Paul/Niemann
295
Teil 3
Rz. 132
Urheberrecht
Der Schutzbereich umfasst dagegen nicht die öffentlich zugänglich gemachte Benutzeroberfläche (vgl. Rz. 61 f.). Bei der Bereitstellung von Content im Wege des Cloud Computings wird dagegen das Werk selbst (der Content) zur Nutzung zur Verfügung gestellt. Somit kann grundsätzlich ein öffentliches Zugänglichmachen vorliegen, wenn der Begriff der Öffentlichkeit erfüllt ist. 132
Bei der Beurteilung, wann eine Zugänglichmachung von Content gem. § 19a UrhG öffentlich ist, muss differenziert werden:
133
Vom Anbieter hochgeladener Content, der einem Publikum zugänglich ist, das die Schwelle zur Öffentlichkeit (s. hierzu Rz. 70, 109 ff.) überschreitet, wird durch den Anbieter öffentlich zugänglich gemacht. Dies gilt immer bei Public Clouds, aber auch im Rahmen von Private Clouds, sofern eine entsprechende Öffentlichkeit vorliegt.
134
Bei vom Cloud-Nutzer hochgeladenem Content ist je nach Zugriffsmöglichkeit zu differenzieren. Vorab ist aber anzumerken, dass bei vom Nutzer hochgeladenem Content das öffentliche Zugänglichmachen i.S.d. § 19a UrhG durch den Nutzer und nicht durch den Cloud-Anbieter erfolgt; tatbestandsmäßig im Sinne dieses Verwertungsrechts handelt nicht derjenige, der lediglich die technischen Möglichkeiten zur Zugänglichmachung bereitstellt, sondern derjenige, der sich dieser technischen Möglichkeiten bedient, um das Werk der Öffentlichkeit zur Verfügung zu stellen1. Dies ist der Nutzer, der den Upload vornimmt. Anderes kann jedoch dann gelten, wenn der Cloud-Anbieter die hochgeladenen Werke einer Vorabkontrolle unterzieht und anschließend (manuell) freischaltet2.
135
Ist der Zugriff auf den Content nur demjenigen möglich, der ihn hochgeladen hat, also beispielsweise durch Zugriffsbeschränkung auf das Benutzerkonto des Hochladenden, liegt naturgemäß (mangels Öffentlichkeit) keine öffentliche Zugänglichmachung vor. Selbiges gilt, wenn der Zugriff dermaßen ausgestaltet ist, dass lediglich eine begrenzte Zahl von Nutzern eine Zugriffsmöglichkeit hat, also beispielsweise wenige Freunde oder eine kleine Abteilung eines Unternehmens, die nicht die Schwelle zur Öffentlichkeit (vgl. Rz. 109 ff.) überschreitet. Ist diese Grenze aber überschritten, liegt eine öffentliche Zugänglichmachung i.S.d. § 19a UrhG vor.
136
Fehlt es an einer Öffentlichkeit auf Seiten des/der Kunden, liegt grundsätzlich kein öffentliches Zugänglichmachen vor. Daran ändert auch nichts, dass – je nach technischer Ausgestaltung – häufig eine faktische Zugriffsmöglichkeit für die Mitarbeiter des Cloud-Anbieters besteht, die in keiner persönlichen Beziehung zum Kunden stehen und von daher als 1 Schricker/Loewenheim/v. Ungern-Sternberg, § 19a Rz. 55 m.w.N. 2 Vgl. BGH, GRUR 2010, 616 – marions-kochbuch.de; Schricker/Loewenheim/ v. Ungern-Sternberg, § 19a Rz. 55.
296
Paul/Niemann
IV. Relevante Schranken
Rz. 140
Teil 3
„Öffentlichkeit“ angesehen werden könnten. Denn eine Wiedergabe (und damit ein Zugänglichmachen) ist nur öffentlich, wenn sie für eine Mehrzahl von Mitgliedern der Öffentlichkeit „bestimmt“ ist. An einer entsprechenden „Bestimmung“ mangelt es jedoch in der vorstehenden Konstellation. Nach zutreffender Auffassung ist daher der (objektiv zu bestimmende) Wille desjenigen maßgeblich, der das Werk hochlädt; es ist also darauf abzustellen, wer mit der Zugänglichmachung erreicht werden soll, nicht, wer tatsächlich erreicht wird1. Der Nutzer möchte mit dem Hochladen des Contents nicht (auch) die Mitarbeiter des CloudAnbieters erreichen, das kann lediglich eine zwangsläufige technische Folge sein. 4. Ergebnis Vervielfältigungshandlungen des Anbieters finden bei Angeboten von 137 Software und Content in der Cloud statt, insbesondere in der Form von Uploads (soweit nicht vom Nutzer getätigt), Updates, Back-Ups und regelmäßig auch in Form der zum Betrieb notwendigen vorübergehenden Vervielfältigungen. Vervielfältigungen durch Nutzer sind bei Software in der Cloud die Ausnahme (relevant sind vor allem Applets), bei Content in der Cloud dagegen die Regel (zum einen im eigenen Arbeitsspeicher, zum anderen auf dem Server des Anbieters, soweit der Nutzer den Upload auslöst). Das Verbreitungsrecht hat begrenzte Bedeutung. Einschlägig kann es bei 138 Applets sein (als Vermietrecht bei zeitlich begrenzter Überlassung). Ein öffentliches Zugänglichmachen scheidet bei Software in der Cloud in 139 den meisten Fällen deshalb aus, weil nicht die Software selbst, sondern nur ihre Vorteile öffentlich zugänglich gemacht werden (Ausnahme: öffentliches Zugänglichmachen von Applets). Bei Content in der Cloud liegt ein Zugänglichmachen dagegen regelmäßig vor, das auch öffentlich ist, soweit nicht ausnahmsweise nur ein eng begrenzter Adressatenkreis Zugang hat.
IV. Relevante Schranken Geistiges Eigentum, also auch Urheberrechte, unterliegen wie das Sach- 140 eigentum der Sozialbindung des Art. 14 Abs. 2 GG2. Daher wird das Urheberrecht nicht schrankenlos gewährt; vielmehr sieht das UrhG in §§ 44a ff. (allgemeine Schranken), §§ 69d f. (softwarespezifische Schranken) sowie § 87c (Schranken des Datenbankherstellerrechts) entsprechende Einschränkungen der urheberrechtlichen Befugnisse vor. Da die 1 Str., s. Fromm/Nordemann/Dustmann, § 15 UrhG Rz. 32 m.w.N. auch zur Gegenauffassung. 2 Schricker/Loewenheim/Melichar, Vor §§ 44a ff. Rz. 1 f. m.w.N. Paul/Niemann
297
Teil 3
Rz. 141
Urheberrecht
Erörterung aller in Frage kommenden Beschränkungen den Rahmen der Ausarbeitung sprengen würde, werden hier ausschließlich solche behandelt, die eine besondere Relevanz für Cloud Computing aufweisen. 1. Softwarespezifische Schranken a) Bestimmungsgemäße Nutzung, § 69d Abs. 1 UrhG 141
§ 69d Abs. 1 UrhG sieht vor, dass die Vervielfältigung und Bearbeitung einer Software – vorbehaltlich anderer vertraglicher Vereinbarungen1 – nicht die Zustimmung des Rechteinhabers erfordert, wenn sie für eine bestimmungsgemäße Nutzung „durch jeden zur Verwendung eines Vervielfältigungsstücks des Programms Berechtigten“ notwendig ist. Sofern entgegenstehende vertragliche Vereinbarungen nicht bestehen, ist im Cloud-Kontext zunächst zu klären, wann eine bestimmungsgemäße Nutzung einer Software vorliegt und wer zur Verwendung berechtigt ist. Maßstab für die Beurteilung der Frage, ob die Nutzung „bestimmungsgemäß“ ist, ist der Vertragszweck der Lizenzvereinbarung2.
142
Stellt der Cloud-Anbieter im Rahmen von SaaS Software bereit, die ausdrücklich dafür dem SaaS-Anbieter lizenziert wurde (sofern er nicht ohnehin bereits der Rechteinhaber ist), oder setzt der Cloud-Anbieter ausdrücklich zum Zweck des Einsatzes in der Cloud lizenzierte Virtualisierungs-, Plattform- und andere Software zum Betrieb von IaaS- und PaaS-Lösungen ein, sind Vervielfältigungs- und Bearbeitungshandlungen, die für den Cloud-Betrieb erforderlich sind und „in der Cloud“ erfolgen, ohne weiteres als bestimmungsgemäße Nutzung anzusehen3. Das gilt auch, wenn man einzelne Vervielfältigungen auf dem Server dem Nutzer zurechnet (dazu oben Rz. 94), da dies die bestimmungsgemäße Nutzung nicht verändert. Der SaaS-Nutzer wäre ein „zur Verwendung eines Vervielfältigungsstücks des Programms Berechtigter“ i.S.d. § 69d Abs. 1 UrhG; denn in diesen Fällen ist jedenfalls von einer zumindest konkludenten Nutzungsrechteeinräumung auch an die Nutzer auszugehen. Da die als SaaS angebotene Software regelmäßig nicht auf dem Rechner des Nutzers vervielfältigt wird4 und dieser die Software auch nicht bearbeitet, kommt es aus Kundensicht i.d.R. nicht auf die Schranke des § 69d Abs. 1 UrhG an, weil er die Software nicht in urheberrechtlich relevanter Weise nutzt. Anders ist dies lediglich wenn Clients/Applets zum Einsatz 1 S. zu den Grenzen der Zulässigkeit solcher anderweitigen Vereinbarungen Schricker/Loewenheim/Loewenheim, § 69d Rz. 13 ff. 2 Marly, Rz. 215 m.w.N. 3 So auch Schricker/Loewenheim/Spindler, Vor §§ 69a ff. Rz. 67. 4 Es erfolgt bei SaaS i.d.R. lediglich eine Vervielfältigung der Benutzeroberfläche (GUI), s. Rz. 61 f. Daher ist die diesbzgl. a.A. von Pohle/Ammann, CR 2009, 273 (276) und Splittgerber/Rockstroh, BB 2011, 2179 (2179 f.) nach dem EuGHUrteil, das den Schutz der GUI als Ausdrucksform von Software verneint (s. Rz. 62), zumindest für die Praxis obsolet; so wie hier Niemann/Paul, K&R 2009, 444 (448); Nägele/Jacobs, ZUM 2010, 281 (288 f.); Marly, Rz. 1182.
298
Paul/Niemann
IV. Relevante Schranken
Rz. 145
Teil 3
gelangen. Clients/Applets darf der Nutzer nur im Rahmen der für sie geltenden Lizenzvereinbarungen bestimmungsgemäß nutzen, wobei die bestimmungsgemäße Nutzung, wenn der Client oder das Applet im Zusammenhang mit dem Cloud Angebot lizenziert wird, gerade die Nutzung im Zusammenhang mit dem SaaS-Angebot umfasst. Bei IaaS und auch bei PaaS, soweit es sich um die vom Kunden einge- 143 brachte Software handelt, stellt sich die Sachlage unübersichtlicher dar. Klar ist jedenfalls, dass bezüglich solcher Software Vervielfältigungshandlungen in der Infrastruktur des Anbieters erfolgen und diese (auch) dem entsprechenden Nutzer zuzurechnen sind (s. Rz. 94, 115) oder dem Anbieter, soweit es um nachfolgende automatische Back-Ups geht. Zu prüfen ist zunächst, ob es sich bei dieser Nutzung im Rahmen von IaaS oder PaaS um eine „bestimmungsgemäße“ handelt. Ist die von Kundenseite eingespielte Software ausdrücklich (auch) für 144 den Cloud- bzw. IaaS-/PaaS-Betrieb lizenziert, sind die Vervielfältigungen aufgrund des Vertragszwecks zweifellos „bestimmungsgemäß“. Das gilt auch für Back-Ups, da Back-Up-Kopien regelmäßig vom Vertragszweck erfasst und zumindest konkludent lizenziert sind, da eine marktgerechte Nutzung von Kopien von Software und anderer digitaler Inhalte immer auch Sicherungskopien beinhaltet. Das ist heutzutage anerkannter Marktstandard. Daher bedarf es mittlerweile der ausdrücklichen Klarstellung des § 69d Abs. 2 UrhG zur Legitimation von Sicherungskopien gar nicht mehr. Der Vertragszweck bzw. die konkludente Lizenz erfasst dabei auch marktgerechtes Sichern nach dem Generationenprinzip, also ggf. auch mehr als eine Sicherungskopie gleichzeitig pro Original. Wichtig ist nur, dass der Sicherungscharakter erhalten bleibt und keine zusätzliche Nutzung vorgenommen wird. Dies kann beispielsweise dann der Fall sein, wenn Kopien von dem An- 145 bieter erstellt werden, die über den reinen Sicherungs- und Wiederherstellungseffekt hinausgehen, etwa um eigene Verfügbarkeitsgarantien abzusichern, oder wenn sich ein Mitarbeiter des Anbieters zu Zwecken der Störungsbeseitigung unter Nutzung der Login-Daten eines Nutzers in dessen IaaS-Umgebung „einloggt“ und die Kunden-Software dadurch vervielfältigt. Im letzteren Fall gelten jedoch grundsätzlich dieselben Erwägungen wie bei der (Fern-)Wartung konventioneller Software: Der berechtigte Softwarenutzer muss die Wartung und/oder Fehlerbeseitigung nicht selbst vornehmen, sondern kann auch einen Dritten – also auch den IaaS-Anbieter – damit beauftragen. Dies ist durch die Schranke des § 69d Abs. 1 UrhG gedeckt. Problematisch kann diese Art der Nutzung durch den Anbieter allerdings dann sein, wenn die Nutzung der kundenseitig installierten Software nicht zur Beseitigung eines Fehlers in der Software des Kunden, sondern beispielsweise in der vom Anbieter eingesetzten Virtualisierungssoftware erfolgt.
Paul/Niemann
299
Teil 3
146
Rz. 146
Urheberrecht
Hat der Kunde aber lediglich eine Lizenz für einen Einzelplatz-, Netzwerk- oder Terminalbetrieb, ist fraglich, ob diese auch den Einsatz in IaaS-/PaaS-Umgebungen abdeckt. Soweit der Kunde in diesem Rahmen Dritten die Nutzung der Software ermöglichen will, ist dieser Einsatz jedenfalls nicht von der ursprünglichen Lizenz gedeckt, genau so wie beispielsweise eine Einzelplatz- oder Netzwerklizenz nicht den Einsatz der Software als SaaS-Anbieter abdeckt. Möchte er die Software aber selbst nutzen bzw. durch seine Mitarbeiter nutzen lassen, ist grundsätzlich davon auszugehen, dass eine Verwendung im Rahmen von IaaS/PaaS für den Kunden zulässig ist, sofern der Lizenzvertrag nicht ausdrücklich etwas anderes vorsieht und sofern die Nutzung – bis auf den Unterschied, dass die Speicherung und der Programmablauf nicht lokal beim Nutzer oder im Netzwerk des Kunden, sondern in der Infrastruktur des CloudAnbieters erfolgt – derjenigen entspricht, für die eine Lizenz erteilt wurde. Bei der Softwarenutzung im IaaS-/PaaS-Betrieb handelt es sich nicht um eine neue Nutzungsart (s. Rz. 83 f.). Hat also z.B. bei einer Einzelplatzlizenz nur ein Nutzer die Möglichkeit des zeitgleichen Zugriffs, ist die Nutzung gem. § 69a Abs. 1 UrhG erlaubt1; Entsprechendes gilt für andere Lizenzformen2. Primär sind jedoch, wie ausgeführt, vertragliche Vereinbarungen zu beachten (s. Rz. 81, 141, 158 ff.), so dass beispielsweise „Hostingklauseln“ der Nutzung in IaaS-/PaaS-Umgebungen entgegenstehen können (vgl. hierzu Rz. 81 ff., 194). b) Sicherungskopien, § 69d Abs. 2 UrhG
147
Im Rahmen der Bereitstellung des Cloud-Dienstes, ob als SaaS, IaaS oder PaaS, erstellt der Cloud-Anbieter regelmäßig Sicherungskopien („BackUps“), die § 69d Abs. 2 UrhG prinzipiell für zulässig erklärt. Dieses Recht ist vertraglich nicht abdingbar (§ 69g Abs. 2 UrhG). Wie oben dargestellt (vgl. Rz. 144), bedarf es eines Rückgriffs auf § 69d Abs. 2 UrhG regelmäßig gar nicht. Etwas anderes gilt nur dann, wenn eine (auch AGBrechtlich wirksame) vertragliche Einschränkung vorliegt. Dann kommt es auf § 69d Abs. 2 i.V.m. § 69g Abs. 2 UrhG maßgeblich an.
148
Sicherungen werden bei den üblichen Cloud-Formen i.d.R. autonom vom Anbieter vorgenommen, so dass der Cloud-Nutzer hierauf keinen Einfluss hat. Die durch Back-Ups bedingten Vervielfältigungshandlungen sind daher (normalerweise ausschließlich) dem Cloud-Anbieter zuzurechnen. Dabei ist jedoch umstritten, ob als „eine Person, die zur Benutzung des Programms berechtigt ist“ (§ 69d Abs. 2 UrhG) lediglich ein Nutzungsrechteinhaber oder auch sonstige berechtigte Nutzer anzusehen sind3. Für Cloud-Sachverhalte ist dieser Meinungsstreit jedoch aus folgenden Erwägungen nicht relevant: Der SaaS-Anbieter verfügt regelmäßig über Nutzungsrechte an der als SaaS eingesetzten Software (s. 1 Vgl. Marly, Rz. 1683, 1688 zur Netzwerknutzung einer Einzelplatzlizenz. 2 So wie hier i.E. wohl auch Grützmacher, CR 2011, 697 (704 f.). 3 S. zum Streitstand Schricker/Loewenheim/Loewenheim, § 69d Rz. 18.
300
Paul/Niemann
IV. Relevante Schranken
Rz. 150
Teil 3
Rz. 178), darf also die Back-Ups selbst vornehmen. Der berechtigte Benutzer, also der Lizenznehmer der Software – d.h. im Fall von IaaS und PaaS der Kunde – darf die Erstellung eines Back-Ups auch durch Dritte vornehmen lassen1. Nichts anderes macht der Cloud-Anbieter, wenn er die kundenseitig rechtmäßig eingebrachte Software sichert, jedenfalls sofern die Sicherung nicht aus eigenem Interesse (Verfügbarkeitsverpflichtung), sondern primär aufgrund der im Rahmen der Cloud-Service-Vereinbarung getroffenen „Beauftragung“ des Anbieters mit regelmäßigen Datensicherungen erfolgt. Als weitere Voraussetzung für die Erstellung von Sicherungskopien 149 kommt hinzu, dass diese „für die Sicherung künftiger Benutzung erforderlich“ sein müssen (§ 69d Abs. 2 a.E. UrhG). Wann dies der Fall ist, darüber gibt es diverse Auffassungen: So soll beim Vertrieb eines körperlichen Vervielfältigungsstücks der Software auf CD-ROM, bei der (Mit-)Lieferung einer Sicherungskopie durch den Hersteller oder bei der Einräumung des Rechts, jederzeit eine unentgeltliche Sicherungskopie über den Hersteller beziehen zu können, ein Back-Up jeweils nicht erforderlich sein2. Im Bereich des Cloud Computing ist es, wie bei anderen großen IT-Systemen, üblich, aus Redundanzgründen nicht beispielsweise Daten und Software separat bzw. selektiv zu sichern, sondern Back-Ups vom gesamten Datenbestand zu erstellen, insbesondere soweit es sich um kundenseitig eingebrachte Daten im Rahmen von IaaS und PaaS handelt. Dies führt dazu, dass häufig zahlreiche Sicherungskopien der Software entstehen (Generationenprinzip). Richtigerweise sind auch solche Sicherungen des gesamten Datenbestandes, soweit es die mitgesicherten Softwaredateien betrifft, von der Schranke des § 69d Abs. 2 UrhG erfasst, wobei in Bezug auf die Erforderlichkeit auf die Benutzbarkeit des Gesamtsystems abzustellen ist3. Im Ergebnis sind also Sicherungen der Software durch den Cloud-Anbieter im Rahmen von SaaS, IaaS und PaaS auch durch § 69d Abs. 2 UrhG gedeckt. 2. Sonstige Schranken a) Vorübergehende Vervielfältigungshandlungen, § 44a UrhG Die Schranke des § 44a UrhG erlaubt vorübergehende Vervielfältigungs- 150 handlungen im Cloud-Kontext unter zwei Bedingungen: Die Handlungen müssen allein zur Ermöglichung einer rechtmäßigen Nutzung des Werks erfolgen und dürfen keine eigenständige wirtschaftliche Bedeutung ha1 Schricker/Loewenheim/Loewenheim, § 69d Rz. 18; Wandtke/Bullinger/Grützmacher, § 69d Rz. 59. 2 S. zum entsprechenden Meinungsstand Wandtke/Bullinger/Grützmacher, § 69d Rz. 54 f. 3 So oder ähnl. auch Dreyer/Kotthoff/Meckel/Kotthoff, § 69d Rz. 17; Wandtke/Bullinger/Grützmacher, § 69d Rz. 56 m.w.N.; Marly, Rz. 1566, sieht solche Sicherungen als nicht unter § 69d UrhG fallend an, eine entgegenstehende Vereinbarung soll allerdings AGB-rechtlich unzulässig sein. Paul/Niemann
301
Teil 3
Rz. 151
Urheberrecht
ben. Dabei entspricht es der mittlerweile herrschenden Auffassung, dass das Laden in den Cache und/oder in den Arbeitsspeicher als Vervielfältigung anzusehen ist1. 151
Umstritten ist im Rahmen des § 44a UrhG, ob diese Schranke auch auf die Vervielfältigung von Software und Datenbanken Anwendung findet2. Dies folgt in erster Linie daraus, dass die InfoSoc-Richtlinie, in deren Umsetzung § 44a UrhG eingeführt worden ist, in Art. 1 Abs. 2 Buchst. a) und e) vorsieht, dass die entsprechenden Richtlinien über Computerprogramme und Datenbanken (vgl. zu den Richtlinien Rz. 14) unberührt bleiben sollen. Für Datenbanken i.S.d. §§ 87a ff. scheint dieser Streit ohnehin irrelevant zu sein, da regelmäßig keine vorübergehenden Vervielfältigungen gesamter Datenbanken oder wesentlicher Teile hiervon (vgl. § 87b Abs. 1 Satz 1 UrhG) erfolgen. In Bezug auf Software kann diese Frage dann Bedeutung erlangen, wenn sie entweder auf dem Server oder auf dem Nutzerrechner vorübergehend vervielfältigt wird, also i.d.R. im (Browser-)Cache oder Arbeitsspeicher. Auf dem Nutzerrechner erfolgt – außer bei Nutzung von Applets, Zusatzsoftwäre o.Ä. (s. Rz. 85, 99) – regelmäßig keine solche Vervielfältigung (s. Rz. 93 ff., 98), so dass die Frage nach der Anwendbarkeit des § 44a UrhG keine Rolle spielt. Vervielfältigungen erfolgen hingegen insbesondere im Arbeitsspeicher sowie auch im Festspeicher des Servers des Cloud-Anbieters. Sie sind jedoch – unabhängig von der Anwendbarkeit des § 44a UrhG – jedenfalls als bestimmungsgemäße Nutzung i.S.d. § 69d Abs. 1 UrhG gedeckt (s. Rz. 141 ff.). Dies ist im Ergebnis auch sachgerecht, denn es macht keinen Sinn, bei der Frage der Zulässigkeit vorübergehender Vervielfältigungen nach Werkarten zu unterscheiden. Somit ist der Meinungsstreit um die Anwendbarkeit des § 44a UrhG auf Software im Ergebnis für die Rechtmäßigkeit vorübergehender Vervielfältigungen in der Cloud nicht relevant.
152
Bedeutung erlangt die Schranke des § 44a UrhG bei Cloud-Sachverhalten bei der temporären Vervielfältigung sonstiger Werke. Dies gilt sowohl hinsichtlich einer Vervielfältigung in der Cloud-Infrastruktur als auch auf dem Rechner des Cloud-Nutzers. Voraussetzung dafür, dass eine vorübergehende Vervielfältigungshandlung in den Anwendungsbereich des § 44a UrhG fällt, ist zunächst eine rechtmäßige Nutzung des Werks, wobei sich die Rechtmäßigkeit nicht nur aus einer Lizenzgewährung ergeben kann, sondern auch dann, wenn beispielsweise eine (konkludente) Einwilligung vorliegt oder die Nutzung durch Schranken erlaubt ist3. Daneben darf die Nutzung keine eigenständige wirtschaftliche Bedeutung haben. Sie muss also einen unselbständigen Vorgang im Rahmen der Werknutzung darstellen und darüber hinaus keinen eigenen Zweck ver1 S. zum Meinungsstand Schricker/Loewenheim/Loewenheim, § 16 Rz. 20 f.; vgl. auch hier Rz. 91, 94 f., 113. 2 Vgl. Nachweise bei Schricker/Loewenheim/Loewenheim, § 44a Rz. 3. 3 Schricker/Loewenheim/Loewenheim, § 44a Rz. 9.
302
Paul/Niemann
IV. Relevante Schranken
Rz. 155
Teil 3
folgen1, insbesondere darf sie keine neue, eigenständige Nutzungsmöglichkeit eröffnen2. Soweit der Cloud-Anbieter bzw. -Nutzer über die entsprechenden Nutzungsrechte an dem jeweiligen Werk verfügt, sind damit die entsprechenden Vervielfältigungshandlungen im (Browser-)Cache und im Arbeitsspeicher über § 44a UrhG zulässig. b) Sicherungskopien Wie oben dargelegt (vgl. Rz. 144) folgt bei Software das Recht, Siche- 153 rungskopien von legalen Kopien einer Software zu erstellen, regelmäßig bereits aus dem Vertragszweck. Es besteht insoweit eine konkludente Lizenz. Das Gleiche gilt für anderen digitalen Content. Auch hier sind Sicherungskopien (ggf. nach dem Generationprinzip) Marktstandard. Viele Inhalteanbieter/Lizenzgeber sehen das Anfertigen von Sicherungskopien sogar als Obliegenheit des Kunden in ihren AGB vor oder empfehlen es zumindest. Ein Rückgriff auf allgemeine oder besondere Schranken bedarf es daher zur Rechtfertigung der Sicherungskopie von legalen Inhalten durch den Lizenznehmer selbst nicht. Insbesondere ist § 53 Abs. 1 UrhG keine passende Schranke, da diese nur die private Nutzung ermöglicht und damit Sicherungskopien nur für Privatleute, nicht aber für Unternehmen zulässig wären. Die Sicherung durch einen Dritten, also insbesondere durch den Cloud-Anbieter, ist bei Content allerdings nicht ohne weiteres zulässig. Hier kommt es darauf an, zu welchen Zwecken die Sicherung erfolgt: Verfügbarkeitsinteresse des Anbieters oder Sicherungs- und Wiederherstellungsinteresse des Kunden (vgl. Rz. 145, 148), Ersteres ist von der ausdrücklichen oder konkludenten Berechtigung, Sicherungskopien anfertigen zu dürfen, nicht erfasst. Deshalb muss sie sich aus einer ausdrücklichen Vereinbarung oder dem Vertragszweck ergeben (vgl. Rz. 144, 148). c) Vervielfältigungen zum privaten und sonstigen eigenen Gebrauch, § 53 UrhG § 53 UrhG erlaubt unter bestimmten Voraussetzungen Vervielfältigun- 154 gen zum privaten und sonstigen eigenen Gebrauch, wobei Software von § 53 UrhG grundsätzlich nicht erfasst wird3, so dass nur andere Werke hierfür in Betracht kommen. Dabei bestehen nach § 53 Abs. 4 ff. UrhG Spezialregelungen für bestimmte Werkarten. § 53 Abs. 1 UrhG beschäftigt sich mit der sog. Privatkopie, die (auch in 155 digitaler Form) zulässig ist, wenn sie durch eine natürliche Person erfolgt, weder unmittelbar noch mittelbar Erwerbszwecken dient und die Vorlage nicht offensichtlich rechtswidrig hergestellt oder öffentlich zugänglich gemacht worden ist. Dennoch kann eine Privatperson, die Wer1 Dreyer/Kotthoff/Meckel/Dreyer, § 44a Rz. 12. 2 Schricker/Loewenheim/Loewenheim, § 44a Rz. 10. 3 Schricker/Loewenheim/Loewenheim, § 69a Rz. 25. Paul/Niemann
303
Teil 3
Rz. 156
Urheberrecht
ke „in die Cloud“ hochlädt, von der Schranke der Privatkopierfreiheit nur in exotischen Ausnahmefällen profitieren. Zunächst ist erforderlich, dass die Einschränkungen der Absätze 4 bis 7 (also insbesondere keine Vervielfältigung von Datenbankwerken, grundsätzlich keine öffentliche Wiedergabe) befolgt werden. Vor allem aber ist zu berücksichtigen, dass die Privatkopierschranke nicht die in Cloud-Umgebungen immer erfolgenden Sicherungskopien digitalen Contents erlauben kann. Denn diese nimmt der Anbieter vor. Dieser kann sich aber nicht auf § 53 Abs. 1 UrhG berufen, auch nicht auf § 53 Abs. 1 Satz 2 UrhG (Herstellen für den Kunden), da er gewerblich und nicht unentgeltlich i.S.d. § 53 Abs. 1 Satz 2 UrhG handelt1. Damit können Inhalte nur in der Cloud gespeichert werden, wenn die Cloud-Nutzung vertraglich erlaubt ist. In diesem Fall sind dann auch die Sicherungskopien regelmäßig vom Lizenzvertrag (konkludent oder ausdrücklich) erfasst. Ein Rückgriff auf § 53 Abs. 1 UrhG ist weder nötig noch angezeigt. Liegt dagegen kein vertragliches Recht zur Cloud-Nutzung vor, kann mangels (vertraglicher) Grundlage keine bestimmungsgemäße Nutzung vorliegen und eine Sicherungskopie rechtfertigen. Relevant ist damit § 53 Abs. 1 UrhG nur in dem theoretischen Fall einer Speicherung in der Cloud ohne Sicherungskopie durch den Anbieter. 156
§ 53 Abs. 2 UrhG erlaubt Vervielfältigungen zum sonstigen eigenen Gebrauch; dieser gilt nicht nur für Privatpersonen außerhalb von Erwerbszwecken, sondern auch für Unternehmen und andere Institutionen, wobei Voraussetzung auch hier der Gebrauch für eigene Zwecke ist2. Der für Unternehmen potentiell interessante Gebrauch „zur Aufnahme in ein eigenes Archiv“ (§ 53 Abs. 2 Satz 1 Nr. 2 UrhG) scheidet für die Cloud-Nutzung aus, da Voraussetzung für das Eingreifen dieser Schranke ist, dass die Vervielfältigung oder die Nutzung in analoger Form stattfindet oder das Archiv keinen (auch mittelbaren) Erwerbszwecken dient (§ 53 Abs. 2 Satz 2 UrhG). Auch sonst ist der Anwendungsbereich des § 53 Abs. 2 UrhG sowie der weiteren in § 53 UrhG genannten Schranken für Unternehmen in Bezug auf die Cloud sehr gering bis nicht vorhanden. Anderes gilt teilweise für öffentliche Einrichtungen wie Schulen und Hochschulen (s. § 53 Abs. 3 UrhG). 3. Ergebnis
157
Insgesamt haben die klassischen Schranken nur bei Software starke Bedeutung (§ 69d UrhG). Bei Content haben sie wenig bis keine Relevanz für Cloud Computing. Wichtig sind hier nur § 44a UrhG (bei dem aber dogmatisch umstritten ist, ob dies eine richtige Schranke oder eher eine Einschränkung des Vervielfältigungsrechts ist) sowie die konkludente Lizenz (also keine Schranke im eigentlichen Sinne) für Sicherungskopien.
1 BGH, CR 2009, 598 – Internet-Videorecorder; Niemann, CR 2009, 661 (664). 2 Schricker/Loewenheim/Loewenheim, § 53 Rz. 34.
304
Paul/Niemann
V. Lizenzgestaltung
Rz. 162
Teil 3
V. Lizenzgestaltung 1. Allgemeines zur Lizenzierung Um ein Werk, welches durch das UrhG geschützt ist, auf urheberrecht- 158 lich relevante Art zu nutzen, benötigt der Nutzer, der nicht zugleich Urheber ist, Nutzungsrechte (vgl. § 31 Abs. 1 UrhG). Die gesetzliche oder rechtsgeschäftliche Einräumung solcher Nutzungsrechte wird als Lizenzierung, die Erlaubnis zur Nutzung als Lizenz bezeichnet. Der Sprachgebrauch des Begriffes Lizenz ist jedoch nicht einheitlich. 159 Deshalb sollte stets hinterfragt werden, welches Rechtsgeschäft (zum Beispiel Kauf oder Miete) hinter der Lizenz steht, die es zu beurteilen gilt. Gerade beim Kauf von Software wird häufig von Lizenz gesprochen. Dabei wird dem Käufer vom Verkäufer, jedenfalls wenn dieser nicht der Hersteller der Software ist, überhaupt kein Nutzungsrecht eingeräumt. Vielmehr folgt sein Recht, die Software benutzen zu dürfen, aus dem Umstand, dass sich das (Verbreitungs-)Recht des Rechteinhabers an dem Vervielfältigungsstück mit dem Inverkehrbringen erschöpft hat und der Käufer das erworbene Vervielfältigungsstück bestimmungsgemäß benutzen darf (§ 69d Abs. 1 UrhG). Etwaige vom Hersteller eingeräumte Nutzungsrechte haben insoweit nur Bedeutung, soweit sie den Nutzungsumfang erweitern. Sowohl das für Software als auch für Content relevante Urhebervertrags- 160 recht ist im Wesentlichen in §§ 31 ff. UrhG normiert. Das Urheberrecht unterscheidet zwischen ausschließlichen und einfachen Nutzungsrechten (§ 31 Abs. 1 Satz 2 UrhG). Das einfache Nutzungsrecht berechtigt den Lizenznehmer zur Nutzung, ohne dass er andere von der Nutzung ausschließen könnte (§ 31 Abs. 2 UrhG). Der Rechtsinhaber kann also eine Vielzahl einfacher Nutzungsrechte einräumen. Ein ausschließliches Nutzungsrecht nach § 31 Abs. 3 UrhG gewährt dem Lizenznehmer hingegen nicht nur ein Recht zur Nutzung, sondern auch ein (negatives) Verbotsrecht. Er kann Dritten, darunter auch dem Urheber, die Nutzung untersagen1. Der Rechtsinhaber kann ein ausschließliches Nutzungsrecht grundsätzlich nur einmal einräumen. Die Vereinbarung räumlicher, zeitlicher und inhaltlicher Beschränkun- 161 gen des Nutzungsrechts sind möglich (§ 31 Abs. 1 Satz 2 UrhG) und üblich. Der Begriff „inhaltliche Beschränkung“ beschreibt den Fall, dass das 162 Nutzungsrecht auf eine oder mehrere bestimmte Nutzungsarten beschränkt wird. Diese Beschränkungen schneiden das Nutzungsrecht zu. Der Lizenznehmer erhält nur das so zugeschnittene Recht und alle darüber hinausgehenden Nutzungen sind ihm verboten, wie auch jedem Dritten, der überhaupt keine Beziehung zum Rechtsinhaber hat. Sofern dem 1 Hoeren/Sieber/Paul, Teil 7.4. Rz. 22 m.w.N. Paul/Niemann
305
Teil 3
Rz. 163
Urheberrecht
Lizenznehmer die Übertragung des ihm eingeräumten Nutzungsrechts oder die Einräumung weiterer Nutzungsrechte gestattet ist, so ist er ebenfalls durch die inhaltliche Beschränkung des Nutzungsrechts beschränkt. Er kann nicht mehr übertragen, als ihm eingeräumt worden ist. Mit anderen Worten: die inhaltliche Beschränkung gilt gegenüber jedermann. Man spricht im Urheberrecht auch von dinglicher Wirkung1. Aus Gründen der Rechtssicherheit kann nicht jede beliebige Beschränkung eine derartige Wirkung gegenüber jedermann nach sich ziehen. Vielmehr wirken Beschränkungen nur dann dinglich, wenn es sich bei der Nutzungsart, auf die das Recht des Lizenznehmers beschränkt wird, um eine nach der Verkehrsauffassung wirtschaftlich-technisch selbständige und abgrenzbare Art und Weise der Verwendung des Werkes handelt2 (vgl. Rz. 79 ff. zur Frage, bei welchen Erscheinungsformen des Cloud Computing von einer eigenen Nutzungsart auszugehen ist). 163
Sofern die vertraglich vereinbarte Beschränkung der Nutzung keine Nutzungsart in diesem Sinne widerspiegelt oder darüber hinausgehende Einschränkungen vorsieht, hat sie nur schuldrechtliche Wirkung. Sie wirkt dann nur zwischen den Parteien. Derartige Beschränkungen begründen kein Verbotsrecht gegenüber Dritten. Sie führen allerdings, wenn sie schuldrechtlich wirksam sind, zu einer Vertragsverletzung und damit zu einem Verbotsrecht und einem Schadensersatzanspruch des Lizenzgebers. Als Beispiel mag eine vertragliche Vereinbarung dienen, nach der der Cloud-Anbieter seinen Kunden zwar die Nutzung des lizenzierten Werkes gestatten darf, jedoch danach differenziert wird, ob die Kunden Verbraucher oder Unternehmer sind. Einmal unterstellt, die Nutzung durch die Kunden bedürfte einer urheberrechtlich relevanten Handlung, könnte der Rechtsinhaber gleichwohl nicht gegen Kunden aus der Kundengruppe vorgehen, hinsichtlich derer er seinem Lizenznehmer eine Beschränkung auferlegt hat. Eine Differenzierung der Nutzung von Werken innerhalb der Cloud danach, ob der Nutzer ein Verbraucher oder ein Unternehmer ist, ist keine nach der Verkehrsauffassung wirtschaftlichtechnisch eigenständige Nutzung. Der Rechtsinhaber wäre darauf beschränkt, seine vertraglichen Vereinbarungen gegenüber seinem Vertragspartner durchzusetzen. Zum einen könnte er ihn auf Unterlassung der Gestattung dieser Nutzung und zum anderen auf Schadenersatz in Anspruch nehmen. Bei Dauerschuldverhältnissen käme auch eine Kündigung in Betracht.
164
Der Inhalt zeitlicher Beschränkungen erschließt sich von selbst. Sie ermöglichen dem Rechtsinhaber, die Einschränkung seiner Rechte durch die Einräumung eines Nutzungsrechts an einen Dritten zeitlich zu beschränken. Da Cloud Computing-Services ihrem Wesen nach zeitlich befristet sind, bieten sich jedenfalls im Verhältnis zwischen Anbieter und Kunden zeitliche Beschränkungen an. Bei der Lizenzierung zwischen An1 Vgl. Dreier/Schulze/Schulze, § 31 Rz. 7. 2 Wandtke/Bullinger/Wandtke/Grunert, § 31 Rz. 2 m.w.N.
306
Paul/Niemann
V. Lizenzgestaltung
Rz. 167
Teil 3
bieter und Abnehmer wird es sinnvoll sein, die Einräumung der Nutzungsrechte an die Laufzeit des Cloud-Vertrages zu koppeln, wobei für den Fall, dass beispielsweise noch Daten aus Back-Ups entfernt werden müssen, gewisse Übergangszeiten vereinbart werden sollten. Räumliche Beschränkungen sind bei der Lizenzierung für den Cloud-Ein- 165 satz selten; denn dem Cloud Computing ist der weltweite Einsatz grundsätzlich immanent. Wird aus Gründen des Datenschutzes oder aufgrund des Risikos, Urheberrechte im Ausland zu verletzen (vgl. Rz. 22 ff.) beispielsweise nur eine „Deutschland“- oder „EU-Cloud“ eingesetzt, sind solche Beschränkungen jedoch denkbar. Die Einhaltung solcher Beschränkungen kann hinsichtlich Vervielfältigungen in der Infrastruktur des Anbieters dadurch sichergestellt werden, dass keine Server außerhalb des beschränkten Gebiets benutzt werden. Soll das Gebiet, von dem der Zugriff durch die Nutzer erfolgen soll, beschränkt werden, kommen sog. Geo-Sperren in Betracht. Aufgrund der Möglichkeiten, diese zu umgehen, kann die Einhaltung der räumlichen Beschränkung durch dieses Mittel jedoch nicht mit hinreichender Sicherheit gewährleistet werden (s. zu Geo-Sperren Rz. 25). Quantitative Beschränkungen, z.B. die Begrenzung der Nutzungsrechts- 166 einräumung auf eine bestimmte Anzahl gleichzeitig zugreifender Nutzer, sind zulässig, dürften i.d.R. aber unpraktikabel sein. Sie haben typischerweise keine dingliche Wirkung. Zwar sind auch quantitative Beschränkungen mit dinglicher Wirkung denkbar, diese müssten sich aber auf die Anzahl der urheberrechtlichen Nutzungshandlungen beziehen1, bei Software also z.B. auf die Anzahl der Vervielfältigungen. Der Verkehr im Online- und insbesondere Cloud-Bereich kann mit einer solchen Beschränkung aber nicht rechnen. Sie wäre weder handhabbar noch durchsetzbar. In einer Cloud-Nutzung werden Werke oder Werkteile schließlich ständig und teilweise automatisiert vervielfältigt. Der Programmlauf einer Software erfordert typischerweise ständig Vervielfältigungen. Ein für die Lizenzierung bedeutender urheberrechtlicher Grundsatz ist 167 die in § 31 Abs. 5 UrhG verankerte Zweckübertragungsregel: Da das Urheberrecht die Tendenz hat, soweit wie möglich beim Urheber zurückzubleiben2, werden im Zweifel keine weitergehenden Rechte übertragen, als es der Zweck der Verfügung erfordert3. Die „uneingeschränkte Übertragung aller möglichen Rechte“, die Einräumung „aller Verwertungsrechte“ oder ähnliche Formulierungen bewirken für sich alleine genommen daher gerade keine „uneingeschränkte“ Rechtseinräumung4. Die Zweckübertragungsregel als Auslegungsregel führt vielmehr zu einer Spezifizierungslast des Lizenznehmers. Denn nach der zitierten Tendenz des Urheberrechts, beim Urheber zurückzubleiben, erhält der Lizenzneh1 2 3 4
Loewenheim/Loewenheim/J. B. Nordemann, § 27 Rz. 9. Dreier/Schulze/Schulze, § 31 Rz. 110 m.w.N. BGH, GRUR 1996, 121 (122) – Pauschale Rechtseinräumung, m.w.N. Vgl. Hoeren/Sieber/Paul, Teil 7.4. Rz. 92. Paul/Niemann
307
Teil 3
Rz. 168
Urheberrecht
mer nur, was der Lizenzvertrag ihm zuweist. Diese Zuweisung kann über eine Regelung des Vertragszwecks, aber auch über konkrete Bezeichnung der Nutzungsarten erfolgen, für die Nutzungsrechte übertragen werden sollen. Auch Kombinationen sind denkbar. 168
Fehlt eine Spezifizierung der Nutzungsarten, wird der Umfang der Rechtseinräumung ausschließlich aus dem Vertragszweck abgeleitet. Das wird verschiedentlich als für den Lizenznehmer tendenziell nachteilig angesehen1. Daneben bestimmt sich nach der Zweckübertragungsregel im Zweifel, ob ein ausschließliches oder einfaches Nutzungsrecht eingeräumt wurde, wie weit Nutzungsrecht und Verbotsrecht greifen und welchen Beschränkungen das Nutzungsrecht unterliegt (§ 31 Abs. 5 Satz 2 UrhG).
169
Die Zweckübertragungsregel begünstigt jedoch nicht ausschließlich den Lizenzgeber; vielmehr kann sie auch zugunsten des Lizenznehmers wirken, beispielsweise wenn eine ausdrückliche Nutzungsrechtseinräumung nicht stattgefunden hat oder die eingeräumten Nutzungsrechte für den Vertragszweck nicht ausreichen. Nach § 31 Abs. 5 Satz 2 UrhG gilt die Regel nämlich auch für die Frage, ob ein Nutzungsrecht eingeräumt worden ist. Haben die Parteien eines Cloud-Service-Vertrages Nutzungsrechte nicht explizit geregelt, werden aber für die Erreichung des Vertragszwecks – also insbesondere für die Nutzung eines Cloud-Services – Nutzungsrechte benötigt, so ist nach § 31 Abs. 5 Satz 2 UrhG von einer stillschweigenden Nutzungsrechtseinräumung im Umfang des für die Erreichung des Vertragszwecks Erforderlichen auszugehen2.
170
Die Zweckübertragungsregel wirft angesichts der gerade dargestellten Facetten für den einen Vertrag entwerfenden Juristen einige Fragen auf. Muss aus der Sicht des Lizenzgebers die Art der zugelassenen Nutzung bis ins kleinste Detail beschrieben werden, um ein überschießendes Nutzungsrecht zu verhindern? Oder kann der Lizenzgeber sich auf eine genaue Beschreibung des Vertragszwecks beschränken? Schließlich darf der Lizenznehmer den lizenzierten Gegenstand nicht in einem über den Vertragszweck hinausgehenden Umfang benutzen. Aus der Perspektive des Lizenznehmers stellen sich ganz ähnliche Fragen: Erfasst die umfangreiche Aufzählung der erlaubten Nutzungsarten wirklich alles für die beabsichtigte Nutzung Erforderliche? Wird ein Gericht mir im Streitfalle die von mir beabsichtigte Nutzung unter dem Gesichtspunkt des Vertragszwecks zugestehen?
171
Auf diese Fragen gibt es keine eindeutige Antwort. Die Vertragspraxis hat sich je nach Schutzgegenstand, der lizenziert werden soll, sehr unterschiedlich entwickelt. So hat sich beispielsweise in der Filmwirtschaft eine enumerative Aufzählung aller denkbaren Nutzungsarten etabliert. In der Softwarebranche dagegen lässt sich häufig beobachten, dass zwar 1 Schricker/Loewenheim/Schricker/Loewenheim, § 31 Rz. 69. 2 Schricker/Loewenheim/Schricker/Loewenheim, § 31 Rz. 78.
308
Paul/Niemann
V. Lizenzgestaltung
Rz. 174
Teil 3
der Umfang der Nutzung bis ins Detail geregelt wird, die Art der zugelassenen Nutzung jedoch bloß formelhaft beschrieben wird. Für die Vertragspraxis im Rahmen von Cloud Computing lässt sich des- 172 halb keine zwingende Verfahrensweise angeben. Empfehlenswert ist jedenfalls, der Beschreibung des Vertragszwecks ausreichend Raum zu gewähren und die bezweckte Nutzung so klar wie möglich zu beschreiben. Das gilt umso mehr, als bislang – auch wenn wir eine klare Vorstellung davon haben (vgl. Rz. 74 ff.) – noch nicht abschließend gesichert ist, welche Nutzungsarten für das Cloud Computing überhaupt relevant sind. Denkbar und sinnvoll ist es beispielsweise bei der Lizenzierung von Soft- 173 ware, neben der allgemeinen Beschreibung, dass die Software für einen Cloud-Betrieb lizenziert wird, das Nutzungsrecht für die Nutzungsart „Software as a Service“ (vgl. Rz. 82) einzuräumen. Ergänzend kann zur Verdeutlichung des Nutzungszwecks genau beschrieben werden, wie die Software im Rahmen von SaaS konkret benutzt werden soll, z.B. ob die Software oder Teile der Software auch an den Nutzerrechner übertragen und darauf installiert werden (vgl. Rz. 85). Diese Beschreibung muss nicht zwingend im Vertragstext oder der Nutzungsklausel selbst erfolgen. Es reicht, wenn sich dies – deutlich – aus der technischen Beschreibung ergibt. Insbesondere für den Cloud-Anbieter muss jedoch klar sein, dass aus einer solchen Beschreibungen auch Beschränkungen der Nutzung folgen können. Er sollte daher auf die Beschreibung des Zwecks ein genaues Augenmerk richten. Bei der Lizenzierung von Content stehen sich im Zweifel kaum über- 174 brückbare Gegensätze gegenüber. Während derjenige, der in der Cloud Content anbietet, also entweder der Cloud-Anbieter selbst oder dessen Kunde, den Content in jeder nur erdenklichen Form im Rahmen seines Cloud-Angebotes nutzen möchte, wird der Rechtsinhaber, jedenfalls wenn er nicht der Open-Content-Bewegung anhängt und seinen Content nicht jedermann frei zugänglich machen möchte, seinem Kunden Beschränkungen auferlegen wollen. Denkbar ist beispielsweise, dass der Content nicht auf eine frei zugängliche Seite gestellt werden darf oder dass technische oder gestalterische Kopierhindernisse vorgesehen werden sollen. Aus der Sicht des Rechtsinhabers ist es deshalb nicht zu empfehlen, eine Lizenzierung seines Contents „für die Internet-Nutzung“ zu vereinbaren; dabei handelt es sich nicht um eine eigene urheberrechtliche Nutzungsart, da Werke im Internet auf unterschiedlichste Weise genutzt werden können1. Im Zweifel würde eine solche Formulierung als Zweckbestimmung interpretiert mit der Folge, dass der Content in allen zum Zeitpunkt des Vertragsabschlusses bekannten Formen im Internet genutzt werden kann. Der Rechtsinhaber wird deshalb bestrebt sein, die einzelnen Nutzungsarten möglichst konkret zu bezeichnen, beispielsweise „On-Demand-Streaming“ bei Musik oder Filmen. Daneben sollte 1 Vgl. Hoeren/Sieber/Paul, Teil 7.4. Rz. 149. Paul/Niemann
309
Teil 3
Rz. 175
Urheberrecht
im Rahmen der Lizenzvereinbarung konkret dargestellt werden, wie die technische Funktionalität des Cloud-Services ausgestaltet sein soll, um die für die Zweckübertragungsregel erforderliche Voraussetzung zu schaffen, dass eine Auslegung der Rechteübertragung entsprechend dem Vertragszweck erfolgt. Andernfalls besteht das Risiko, dass in einem Rechtsstreit Cloud-typische Szenarien als nicht hinreichend von der Nutzungsart gedeckt angesehen werden. 175
In der Praxis werden Nutzungsrechte häufig nicht vom Urheber selbst übertragen, sondern von jemandem, der selbst Inhaber eines Nutzungsrechts ist; auch eine Vielzahl von Weiterübertragungen vom Urheber zum eigentlichen Nutzer ist durchaus üblich (Lizenzkette). Für den Lizenznehmer gilt es bei solchen Lizenzketten zunächst zu prüfen, ob der/die Urheber und ggf. anschließend der/die Nutzungsrechtsinhaber die erforderlichen Rechte an den/die jeweiligen Lizenznehmer (wirksam) übertragen haben1; denn einen gutgläubiger Erwerb von Nutzungsrechten gibt es im Urheberrecht nicht2.
176
Regelmäßig werden solche Prüfungen insbesondere bei einer aus zahlreichen Gliedern bestehenden Lizenzkette, möglicherweise gar mit Auslandsbezug, unpraktikabel bis unmöglich sein. Daher wird seitens des Lizenznehmers üblicherweise mit Haftungsfreistellungen gearbeitet, um die Konsequenzen einer Haftung gegenüber dem Urheber oder einem anderen Berechtigten zumindest abzumildern. Solche Klauseln beinhalten zumeist eine Garantie oder zumindest eine Gewährleistung hinsichtlich des Bestands der Rechte und der Wirksamkeit der Rechteeinräumung sowie entsprechende Freistellungsvereinbarungen3. Die Werthaltigkeit solcher Haftungsfreistellungen steht und fällt, wie in anderen Bereichen auch, mit der Solvenz des Vertragspartners.
177
Nutzungsrechte können auch im Rahmen von Allgemeinen Geschäftsbedingungen übertragen werden. Dabei sind die allgemeinen Regeln (§§ 305 ff. BGB) im Rahmen von Lizenzverträgen zu berücksichtigen. Die Zweckübertragungsregel nach § 31 Abs. 5 UrhG (vgl. Rz. 167) stellt dagegen entgegen der h.M. in der Literatur4, der in letzter Zeit zunehmend auch Instanzgerichte gefolgt waren5, keinen wesentlichen Grundgedanken i.S.d. AGB-Rechts dar. Der BGH war stets anderer Auffassung und hat der h.M. erneut eine Absage erteilt6. Denn Auslegungsregeln wie die Zweckübertragungsregel haben keine Leitbild-, sondern lediglich eine Er1 Zur Weiterübertragbarkeit von Nutzungsrechten s. Hoeren/Sieber/Paul, Teil 7.4. Rz. 51. 2 Wandtke/Bullinger/Wandtke/Grunert, Vor §§ 31 ff. Rz. 47. 3 Vgl. Hoeren/Sieber/Paul, Teil 7.4. Rz. 193. 4 Schricker/Loewenheim/Schricker/Loewenheim, Vor § 28 Rz. 14 f. m.w.N. 5 Zuletzt LG Berlin, ZD 2012, 276 (278); OLG Hamburg, GRUR-RR 2011, 293 (294 f.). 6 BGH v. 31.5.2012 – I ZR 73/10, WRP 2012, 1107 – Honorarbedingungen Freie Journalisten.
310
Paul/Niemann
V. Lizenzgestaltung
Rz. 181
Teil 3
satzfunktion. Die Klauseln zur Einräumung von Nutzungsrechten unterliegen deshalb nicht der Inhaltskontrolle nach § 307 BGB. Im Kontext dieser Fragestellung ist aber zu beachten, dass Nutzungsrechtseinräumungen, die über den Vertragszweck (deutlich) hinausgehen, als überraschende Klausel i.S.d. § 305c Abs. 1 BGB angesehen werden könnten und damit unwirksam wären1. 2. Lizenzgestaltung bei SaaS a) Lizenzierung der Software durch den Anbieter Ist der SaaS-Anbieter nicht selbst Urheber der für die SaaS-Lösung ver- 178 wendeten Software, benötigt er für sein Angebot entsprechende Nutzungsrechte. Wie bereits erörtert (Rz. 89 ff.), erfolgt durch den Anbieter, wenn er die Software auf seinem Server und/oder „in der Cloud“ installiert oder speichert, eine Vervielfältigung (§ 69c Nr. 1 UrhG); er muss sich daher entsprechende Nutzungsrechte einräumen lassen. Eine ggf. bereits bestehende Lizenz für einen Einzelplatz- oder Netzwerk- 179 einsatz ist für den Einsatz als SaaS nicht ausreichend, insbesondere nicht im Multi-Tenancy-Einsatz. Die Vervielfältigung ist in einem solchen Fall also nicht durch die Schranke des § 69d Nr. 1 UrhG gerechtfertigt2. Bei der Nutzung von Software als SaaS handelt es sich um eine eigene urheberrechtliche Nutzungsart (s. Rz. 82), wodurch ein solcher Einsatz durch die ursprüngliche Lizenzvereinbarung nicht gedeckt ist. Fraglich kann dies jedoch bei einer bestehenden Lizenz zum ASP-Betrieb sein. Hier ist zu differenzieren: War in der ursprünglichen Lizenzeinräumung ein Single-Tenant-Modell vorgesehen, also die Nutzung eines Vervielfältigungsstück durch nur einen Kunden, so ist nach der Zweckübertragungsregel (s. Rz. 167 ff.) davon auszugehen, dass die Nutzung in dem für SaaS typischen Multi-Tenant-Modell von der Lizenz nicht gedeckt ist. Wurde andererseits zwar die Bezeichnung „ASP“ gewählt, gingen die Parteien aber davon aus, dass die Nutzung in Form eines Multi-Tenant-Modells erfolgt, so ist bei einer solchen Rechtseinräumung auch der Einsatz in Gestalt von SaaS in der Regel gedeckt. Häufig, insbesondere dann, wenn die Software ursprünglich nicht für ei- 180 nen SaaS-Einsatz konzipiert worden ist, wird der Cloud-Anbieter Änderungen an der Software vornehmen müssen, um diese für den SaaS-Einsatz tauglich zu machen. In diesen Fällen muss sich der Anbieter i.d.R. das Recht zur Bearbeitung (§ 69c Nr. 2 UrhG) einräumen lassen. Ein Recht zur Verbreitung und/oder Vermietung (§ 69c Nr. 3 UrhG) be- 181 nötigt der Anbieter nicht, denn eine solche findet im Rahmen der Bereitstellung als SaaS nicht statt (s. Rz. 100 ff.). 1 Vgl. Wandtke/Bullinger/Wandtke/Grunert, Vor §§ 31 ff. Rz. 102 f. 2 Wandtke/Bullinger/Grützmacher, § 69d Rz. 13 zum Rechenzentrums-, Outsourcing- und ASP-Einsatz. Paul/Niemann
311
Teil 3
Rz. 182
Urheberrecht
182
Auch das Recht der öffentlichen Zugänglichmachung (§ 69c Nr. 4 UrhG) muss sich der Anbieter im Regelfall nicht einräumen lassen, denn beim üblichen SaaS-Einsatz macht er die Software nicht öffentlich zugänglich (s. Rz. 107). Ist jedoch die Benutzeroberfläche der Software als Werk i.S.d. § 2 UrhG einzustufen oder sind andere nach dem UrhG geschützte Werke, beispielsweise Bilder, Bestandteil der Software (s. zum Ganzen Rz. 61 f., 70 f., 107), benötigt der Anbieter hinsichtlich dieser Werke das Recht der öffentlichen Zugänglichmachung nach § 19a UrhG. Selbiges gilt, wenn der Nutzer für die Nutzung der SaaS-Lösung beispielsweise ein Java-Applet auf seinem Rechner ausführen muss (vgl. Rz. 108 ff.).
183
Selbst wenn man der hier vertretenen Meinung, dass beim SaaS-Betrieb eine öffentliche Zugänglichmachung der Software nicht vorliegt, nicht folgen wollte, ergibt sich aus der oben (Rz. 167 ff.) dargestellten Zweckübertragungsregel, dass im Zweifel diejenigen Nutzungsrechte eingeräumt werden, die für die Erreichung des Vertragszwecks erforderlich sind. Umso wichtiger ist es, in dem Vertrag zur Lizenzierung der für die Nutzung als SaaS vorgesehenen Software den vorgesehenen Einsatz der Software möglichst genau zu spezifizieren. Die Vereinbarung, die Software werde „für den SaaS-Einsatz“ o.ä. lizenziert, dürfte zu knapp sein und sowohl aus Sicht des Lizenzgebers als auch des lizenzierenden SaaSAnbieters sehr viel Interpretationsspielraum lassen. Nach Möglichkeit sollte neben einem allgemeinen Hinweis auf den Einsatzzweck, nämlich SaaS, präzisiert werden, in welcher Art und Weise den Nutzern der Zugriff gewährt werden soll und ob eine Übertragung von Softwarebestandteilen, die dem Schutz der §§ 69a ff. UrhG unterfallen, also insbesondere dem Quell- oder Objektcode oder Teilen davon an den Rechner des Nutzers vorgesehen sein soll (s. bereits Rz. 60 f., 99).
184
Für den Cloud-Einsatz von Software sind neben zeitlichen und räumlichen Beschränkungen (vgl. Rz. 164 ff.) insbesondere auch inhaltliche Beschränkungen denkbar. So ist es beispielsweise denkbar, die Nutzung der Software auf Private Clouds zu beschränken. Dies kann sinnvoll sein, wenn z.B. der Softwarehersteller selbst eine Public-SaaS-Lösung anbieten oder durch einen anderen Vertragspartner anbieten lassen möchte. Eine solche Beschränkung wirkt allerdings nur schuldrechtlich und nicht dinglich (vgl. Rz. 163). SaaS über eine Public Cloud stellt gegenüber SaaS über eine Private Cloud keine eigene Nutzungsart dar. Es fehlt bereits an der hinreichend klaren Abgrenzbarkeit zwischen Private und Public Cloud. Aber selbst wenn diese Abgrenzung in ausreichender Klarheit gelänge, bliebe festzustellen, dass die Nutzung der Software in beiden Ausprägungen auf technisch identische Weise erfolgt. Letztlich unterscheiden sich Private von Public Clouds nur dadurch, dass das Angebot sich an einen von vornherein beschränkten Nutzerkreis – in der Regel Unternehmen oder Behörden und die dort Beschäftigten – richtet. Auch eine unterschiedliche Intensität der Nutzung als wirtschaftlicher Faktor lässt sich nicht feststellen. Wie intensiv die Software genutzt wird, hängt viel eher von der Größe der jeweiligen Installation ab und wird vor allem da312
Paul/Niemann
V. Lizenzgestaltung
Rz. 188
Teil 3
durch beeinflusst, welche Begrenzungen der Nutzung sich aus der eingesetzten Hardware ergeben. Für große Unternehmen müssen entsprechend groß dimensionierte Private Clouds eingerichtet werden. Deshalb bestimmt hier wie bei Public Clouds die erwartete oder tatsächliche Anzahl der Nutzer die Intensität der Ausnutzung der als SaaS angebotenen Software. b) Rechtseinräumung an Software durch Anbieter an Kunden Der Kunde benötigt in der Regel keine eigenen Nutzungsrechte an der 185 als SaaS zur Verfügung gestellten Software1. Die Vervielfältigung der Software auf den Speichermedien des Anbieters einschließlich des Arbeitsspeichers des Servers, auf dem die Software beim Anbieter läuft, ist in der Regel nicht dem Kunden, sondern dem Anbieter zuzurechnen (vgl. Rz. 94). In dem Arbeitsspeicher der von den Nutzern eingesetzten Rechner findet keine relevante Vervielfältigung statt, weil dort kein Programmcode vervielfältigt wird (vgl. Rz. 96, 98). Das Gleiche gilt für den Browser-Cache des Browsers des Nutzers (vgl. Rz. 98). Der Kunde benötigte lediglich dann ein eigenes, ggf. auf die Dauer des 186 Vertrages beschränktes Nutzungsrecht, wenn eine ausnahmsweise urheberrechtsfähige GUI bei ihm vervielfältigt wird und/oder eine ClientSoftware oder ein Applet bei ihm installiert wird und zum Einsatz kommt (vgl. Rz. 62, 97, 99). Für die Vertragspraxis bedeutet dies zweierlei: Der Anbieter hat sich vom 187 Softwarehersteller das Recht einräumen zu lassen, dem Kunden ein Nutzungsrecht an einer ggf. urheberrechtsfähigen GUI, der Client-Software oder dem Applet gewähren zu dürfen. Der Kunde, der in der Regel keine unmittelbare Vertragsbeziehung zu dem Softwarehersteller haben wird, hat darauf zu achten, dass der SaaS-Anbieter ihm – notfalls pauschal – die für die Nutzung des angebotenen Dienstes erforderlichen Rechte einräumt und eine belastbare Freistellung für den Fall der Verletzung von Rechten Dritter gewährt. c) Rechtseinräumung an Content durch Kunden an Anbieter Soweit das Angebot des Cloud-Anbieters die Vervielfältigung oder die öf- 188 fentliche Zugänglichmachung von Inhalten Dritter vorsieht, gelten die gleichen Überlegungen wie bei IaaS-Angeboten (vgl. Rz. 189 ff., 196 ff.).
1 So auch Marly, Rz. 1082. Paul/Niemann
313
Teil 3
Rz. 189
Urheberrecht
3. Lizenzgestaltung bei IaaS a) Verhältnis IaaS-Anbieter zu Softwarehersteller 189
Im Rahmen von IaaS wird der Cloud-Anbieter in der Regel eine entsprechende Cloud-Management- und/oder Virtualisierungs-Software benötigen, für deren Nutzung er nach den allgemeinen Grundsätzen ein Nutzungsrecht benötigt. Ein Nutzungsrecht an einer solchen Software benötigt der IaaS-Nutzer nicht, da er keine urheberrechtlich relevante Handlung in Bezug auf diese Software begeht. Etwaige Vervielfältigungen werden typischerweise von dem Cloud-Anbieter kontrolliert. Sollten sie im Einzelfall dem Kunden zuzurechnen sein, entspräche dies der bestimmungsgemäßen Nutzung (vgl. Rz. 143 ff.). Deshalb ergeben sich für die Lizenzgestaltung im Verhältnis zwischen Cloud-Anbieter und Softwarehersteller keine Besonderheiten. Der Cloud-Anbieter darf die Software zu den vereinbarten Zwecken und den vereinbarten oder den für die Zwecke erforderlichen Nutzungsarten entsprechend benutzen. Der Cloud-Anbieter muss allerdings darauf achten, dass die Vereinbarungen ihm sein Angebot ermöglichen. Wenn er beispielsweise eine Public Cloud betreiben möchte, genügte ihm ein Recht nicht, die Software nur für einen Kunden, nur konzernintern oder nur für eine Private Cloud betreiben zu dürfen. Um Auslegungsproblemen aus dem Weg zu gehen, sollte er sich auch nicht auf den Betrieb zu eigenen Zwecken beschränken lassen. Der Anbieter kann zwar argumentieren, dass es gerade der Zweck einer Cloud-Management- und/oder Virtualisierungs-Software sei, für CloudAngebote eingesetzt zu werden. Dem könnte andererseits aber entgegengehalten werden, dass der Betrieb eines Cloud-Angebots geradezu das Paradebeispiel für eine fremdnützige Benutzung einer Software ist. b) Verhältnis IaaS-Anbieter und Kunde sowie Softwarehersteller und Kunde
190
Der IaaS-Anbieter benötigt für den bloßen Betrieb keine eigenen Nutzungsrechte an der vom Kunden/Nutzer eingespielten Software.
191
Die Vervielfältigungen beim Upload, beim Upgrade und ggf. im Arbeitsspeicher der vom Anbieter zur Verfügung gestellten Infrastruktur sind alleine dem Kunden zuzurechnen. Die Software wird vom Kunden gestellt, kontrolliert, genutzt und gewartet. Dabei handelt es sich richtigerweise um eine bestimmungsgemäße Nutzung i.S.d. § 69d Abs. 1 UrhG1. Das Gleiche gilt auch, wenn der Kunde Sicherungskopien auf der zur Verfügung gestellten Infrastruktur durchführt oder von dem Cloud-Anbieter durchführen lässt. Diese Vervielfältigungen sind aus der Sicht des die Software einsetzenden Kunden unter dem Gesichtspunkt der bestimmungsgemäßen Nutzung i.S.v. § 69d Abs. 1 UrhG, jedenfalls aber unter
1 So auch Wandtke/Bullinger/Grützmacher, § 69d Rz. 13 zum Rechenzentrums-, Outsourcing- und ASP-Einsatz.
314
Paul/Niemann
V. Lizenzgestaltung
Rz. 195
Teil 3
dem der Erstellung von Sicherungskopien i.S.v. § 69d Abs. 2 UrhG gerechtfertigt (vgl. zum Ganzen Rz. 144 und 147 ff., 153). Damit ist aber noch nicht die Frage beantwortet, ob und ggf. welches 192 Nutzungsrecht der Kunde benötigt, wenn der Cloud-Anbieter eigene Sicherungskopien anfertigt, um die von ihm gegebenen Qualitätsversprechen (Verfügbarkeit) einhalten zu können. Da diese Fragestellung, die auch im Rahmen des „konventionellen“ Outsourcing auftaucht, bislang nicht höchstrichterlich geklärt ist, empfiehlt es sich, der im „konventionellen“ Outsourcing inzwischen etablierten Praxis zu folgen. Danach lässt sich der Kunde von dem Softwarehersteller das Recht einräumen, die Software von einem Dritten betreiben zu lassen (Rechenzentrumsbetrieb). Dementsprechend sollte der Kunde sich in dem Lizenzvertrag mit dem Softwarehersteller das Recht einräumen lassen, die Software in einer Cloud betreiben zu dürfen oder allgemein durch einen Dritten betreiben zu lassen. Dies kann auch durch eine klare Beschreibung des Zwecks, nämlich Einsatz oder Betrieb in einer Cloud, erreicht werden (vgl. Rz. 173). Im Verhältnis zwischen IaaS-Anbieter und Kunden führen diese Über- 193 legungen dazu, dass der Anbieter nur dann einen vollständigen Service einschließlich Back-Up anbieten sollte, wenn der Kunde ihn in belastbarer Weise von etwaigen Forderungen der Softwarehersteller freistellt. Der Kunde muss in seiner Vereinbarung mit dem Softwarehersteller in 194 jedem Falle explizite Einschränkungen vermeiden, wie zum Beispiel eine sog. „Hosting-Klausel“, also ein Verbot des Hostings der Software bei Dritten1, die Untersagung der Nutzung in Netzwerken oder die Bindung an bestimmte Hardware. Exkurs: Wenn der Kunde von eigenen Systemen auf eine IaaS-Umgebung 195 umzieht, muss er die Lizenzverträge für die Software, die er migrieren möchte, genau prüfen. Viele Verträge werden keine Regelungen für den Einsatz in einer IaaS-Umgebung enthalten. Dann wird er mithilfe der Zweckübertragungsregel ermitteln müssen, ob die Nutzung der Software in einer IaaS Umgebung noch im Rahmen der mit der Lizenzierung verfolgten Zwecke liegt. Die Frage wird sich nicht allgemein, sondern nur anhand der konkreten Lizenzvereinbarung beantworten lassen. Angesichts der Tendenz des Urheberrechts beim Urheber zu verbleiben (siehe Rz. 167 f.), sollte der Nutzer diese Frage nicht zu großzügig beantworten, sondern im Zweifel stets eine Klärung mit dem Lizenzgeber suchen. Andere Verträge werden explizite Einschränkungen enthalten. In individuell ausgehandelten Verträgen werden diese Einschränkungen in der Regel wirksam sein. Aber auch in von dem Lizenzgeber standardmäßig eingesetzten Verträgen, die anhand des AGB-Rechts zu prüfen sind, wird eine Unwirksamkeit von Einschränkungen selten sein. Denn das AGB-Recht 1 S. hierzu und zur AGB-rechtlichen Zulässigkeit solcher Klauseln Söbbing, MMR 2007, 479. Paul/Niemann
315
Teil 3
Rz. 196
Urheberrecht
findet auf die Beschreibung des Vertragszwecks und des Leistungsgegenstandes nur insoweit Anwendung, als auch die Beschreibung von Vertragszweck und Leistungsgegenstand nicht intransparent (§ 307 Abs. 1 Satz 2 BGB) und auch nicht überraschend (§ 305c Abs. 1 BGB) sein dürfen. Wenn eine Einschränkung einmal unwirksam sein sollte, muss der Kunde die Konsequenz daraus prüfen. Da im Falle der Unwirksamkeit von Klauseln in AGB die gesetzliche Regelung zur Anwendung kommt und das Gesetz für die Einräumung von Nutzungsrechten keine Regelfälle vorsieht, ist eine denkbare Konsequenz, dass überhaupt kein Nutzungsrecht wirksam eingeräumt worden ist. Auch in diesen Fällen sollte der Kunde im Zweifel eine Klärung mit dem Lizenzgeber suchen. c) Nutzung von Content bei IaaS 196
Gleiches wie für Software gilt auch hinsichtlich des vom Nutzer hochgeladenen Content; auch diesbezüglich benötigt der Anbieter keine eigenen Nutzungsrechte. Denn zum einen sind die Vervielfältigung durch den Upload und ggf. die öffentliche Zugänglichmachung im Rahmen der Nutzung der Cloud durch den Kunden ausschließlich dem Kunden zuzurechnen.
197
Zum anderen benötigt der Kunde allerdings das Recht, den Content von Dritten vervielfältigen zu lassen, soweit der Anbieter den Content „in der Cloud“ verteilt oder Back-Ups durchführt. Die Vervielfältigung zu Sicherungszwecken lässt sich hinsichtlich Content weder unter dem Gesichtspunkt der „Privatkopie“ (vgl. Rz. 155) noch unter den ausschließlich für Computerprogramme geltenden Regelungen zum bestimmungsgemäßen Gebrauch und zur Anfertigung von Sicherungskopien rechtfertigen. Das erforderliche Vervielfältigungsrecht kann sich aber aus dem Vertragszweck ergeben. Bei digitalen Inhalten wird man davon ausgehen können, dass es zum Marktstandard gehört, Vervielfältigungen zu Sicherungszwecken anzufertigen (vgl. Rz. 144, 153). Der Vertragszweck muss allerdings auch den Einsatz in einer Cloud-Umgebung hergeben. Insoweit ist stets auf eine sorgfältige Formulierung des Vertragszwecks zu achten. Im Zweifel sollte der Kunde sich von seinem Lizenzgeber ausdrücklich das Recht einräumen lassen, den Content in der Cloud oder allgemeiner in digitalen Umgebungen abspeichern zu dürfen und selbst oder durch Dritte Vervielfältigungen zu Sicherungszwecken anfertigen zu dürfen.
198
Sofern der Kunde den Content öffentlich zugänglich machen will, muss sich dies aus dem Vertragszweck oder einer ausdrücklichen Vereinbarung ergeben. Angesichts der im Zusammenhang mit der Lizenzierung von Content weit verbreiteten Praxis der enumerativen Aufzählung sollte der Kunde sich im Zweifel das Recht zur öffentlichen Zugänglichmachung unter Benennung der konkret beabsichtigten Benutzung oder für alle Nutzungsarten explizit einräumen lassen.
316
Paul/Niemann
VI. Besonderheiten bei Einsatz von Open Source-Software
Rz. 203
Teil 3
Aus der Sicht des Anbieters einer IaaS-Umgebung ergibt sich – ebenso 199 wie im Hinblick auf Software – das Erfordernis, dass der Kunde ihn explizit von der denkbaren Verletzung von Rechten Dritter freistellt. d) Lizenzgestaltung bei PaaS Beim PaaS-Betrieb benötigt der Cloud-Anbieter neben den Rechten an 200 der Cloud-Management- und/oder Virtualisierungs-Software (s. hierzu Rz. 114, 189) auch entsprechende Nutzungsrechte für die Software, die der Entwicklungsumgebung zugrunde liegt, also insbesondere für Betriebssystem, Datenbanksoftware etc., wobei hierfür das zu SaaS Gesagte (vgl. Rz. 178 ff.) mit der Ergänzung gilt, dass eine öffentliche Zugänglichmachung dieser Back-End-Software durch den Cloud-Betrieb erst recht nicht in Betracht kommt. Die eigentliche Plattformsoftware wird i.d.R. vom Anbieter selbst programmiert, womit eine Lizenzierung entfällt. Bei großen Anbietern gilt dies häufig auch für die gesamte Plattform, also die Plattformsoftware einschließlich Betriebssystem, Cloud-ManagementSoftware etc. Bezüglich Software und/oder Content, der durch den Abnehmer/Nutzer 201 hochgeladen wurde, ergibt sich kein Unterschied zu der Rechtslage bei SaaS/IaaS (vgl. Rz. 178 ff., 190 ff., 196 ff.).
VI. Besonderheiten bei Einsatz von Open Source-Software 1. Urheberrechtliche Besonderheiten und „Copyleft“ Open Source-Software (OSS), d.h. quelloffene Computerprogramme, sind 202 aus der IT-Praxis kaum mehr wegzudenken. Auch im Rahmen von Cloud-Services kann es für den Anbieter häufig sinnvoll sein, auf OSS zurückzugreifen. Dabei heißt „Open Source“ nicht, dass die Software etwa keinen Urheberrechtsschutz genießen würde. Vielmehr sind insbesondere im Bereich des Urheberrechts mit der OSS-Nutzung Besonderheiten verbunden, die nicht außer Acht gelassen werden dürfen. Im Folgenden behandeln wir die cloud-relevanten Spezifika1. Hingewiesen werden soll nur darauf, dass die meisten Open Source-Li- 203 zenzen nach h.M. unter der auflösenden Bedingung (§ 158 Abs. 2 BGB) der Einhaltung der Lizenzbestimmungen stehen2, mit der Folge, dass es bei einem Verstoß gegen die Lizenzbedingungen zu einem automatischen „Heimfall“ der Rechte an den Lizenzgeber kommt. Eine Nutzung der
1 Zu OSS im allgemeinen Marly, Rz. 899 ff.; Jaeger/Metzger, Open Source-Software. 2 Marly, Rz. 920 ff. m.w.N.; Jaeger/Metzger, Open Source-Software, Rz. 152 ff. m.w.N. Paul/Niemann
317
Teil 3
Rz. 204
Urheberrecht
Software wäre ab diesem Zeitpunkt nicht mehr von der Lizenz gedeckt und hat in der Regel eine Urheberrechtsverletzung zur Folge1. 204
In Bezug auf Software, die vor 2008 unter eine OSS-Lizenz gestellt wurde, wird vertreten, dass sie nicht in solchen Nutzungsarten genutzt werden könne, die vor 2008 nicht bekannt gewesen seien2. Dem stehe das bis 2008 bestehende gesetzliche Verbot, Nutzungsrechte an unbekannten Nutzungsarten einzuräumen (§ 31 Abs. 4 UrhG a.F.) entgegen. Dies hätte folgende Konsequenz: Diese Software könnte nicht als SaaS oder SaaS-Bestandteil eingesetzt werden, wenn man, wie teils vertreten, die Bekanntheit von SaaS als eigene Nutzungsart auf das Jahr 2009 (vgl. Rz. 81) datiert.
205
Richtigerweise existiert diese Problematik jedoch nicht; denn bei genauer Betrachtung ergibt sich folgendes Bild: Erst durch die Nutzung der Software entsprechend den Bestimmungen der OSS-Lizenz nimmt der Softwarenutzer den Lizenzvertrag mit dem Urheber an (§ 151 BGB). Da die Rechtslage zum Zeitpunkt des Vertragsschlusses maßgeblich ist, werden die Nutzungsrechte an den zum Zeitpunkt der ersten Nutzung bekannten sowie (bei einer Nutzungsaufnahme ab 2008) auch an unbekannten Nutzungsarten übertragen.
206
Grundsätzlich sind bei der Verwendung von OSS zwei Fragestellungen zentral: Zunächst ist – wie bei anderen urheberrechtlichen Rechteeinräumungen – zu prüfen, ob die Art der gewünschten Nutzung von der Lizenz umfasst ist. Die zweite (und regelmäßig mindestens ebenso wichtige) Frage muss lauten, ob nach den Lizenzbestimmungen durch die konkrete Art der Nutzung ein „Copyleft“ vorgesehen ist. Als Copyleft bezeichnet man die in zahlreichen OSS-Lizenzen enthaltene Verpflichtung, dass eine Bearbeitung der der Lizenz zugrunde liegenden Software nur dann zulässig ist, wenn diese – bearbeitete – Software unter dieselbe Lizenz gestellt wird3. Die Erstreckung der Lizenz auf die bearbeitete Software kann zum Beispiel zur Folge haben, dass der Quellcode der gesamten Software veröffentlicht werden muss. 2. Beispiele üblicher Lizenzen und deren Auswirkung auf die SaaS-Nutzung
207
Zunächst soll die GNU General Public License in der Version 2 (GPLv2) betrachtet werden4. Durch die GPLv2 wird sowohl das Vervielfältigungsrecht (§ 69c Nr. 1 UrhG) als richtigerweise auch das Recht auf öffentliche Zugänglichmachung (§ 69 Nr. 4 UrhG)5 eingeräumt, so dass OSS unter der 1 Jaeger/Metzger, Open Source-Software, Rz. 154. 2 So explizit zur Nutzung GPL-lizenzierter Software im ASP-Betrieb Jaeger/Metzger, Open Source-Software, Rz. 31, 140 ff. 3 Ausf. zum „Copyleft“ Schäfer, Der virale Effekt. 4 Lizenztext abrufbar unter http://www.gnu.org/licenses/gpl-2.0.html (abgerufen am 22.1.2014). 5 Str., s. Jaeger/Metzger, Open Source-Software, Rz. 29 m.w.N.
318
Paul/Niemann
VI. Besonderheiten bei Einsatz von Open Source-Software
Rz. 211
Teil 3
GPLv2 unabhängig von der hier verneinten (vgl. Rz. 107, 165 ff.) Frage, ob das Bereitstellen von Software in Form von SaaS als öffentliche Zugänglichmachung zu qualifizieren ist, prinzipiell in der Cloud eingesetzt werden kann. Wird auf Basis von GPLv2 lizenzierte Software für die Cloud-Nutzung 208 bearbeitet und/oder als Bestandteil einer SaaS-Lösung genutzt, wird dadurch kein „Copyleft“ hervorgerufen. Voraussetzung hierfür wäre ein „publishing“ oder „distribution“ (vgl. Ziff. 2 Buchst. b) GPLv2); ein solches i.S.d. US-amerikanischen Urheberrechts, dem diese Begrifflichkeiten entlehnt sind, findet im Rahmen von SaaS aber nicht statt1. Die aktuelle GPL-Lizenz ist die GPLv32. Auch hier ist die Einräumung 209 der Nutzungsrechte im Hinblick auf die Vervielfältigung und öffentliche Zugänglichmachung im Rahmen von SaaS vom dort verwendeten Begriff „propagation“ (Ziff. 0 GPLv3) umfasst3. Der SaaS-Einsatz von GPLv3-lizenzierter Software verursacht – ebenso wie bei der GPLv2 – kein „Copyleft“. Denn die GPLv3 knüpft hinsichtlich des Copylefts an den Begriff „to convey“ an (Ziff. 4, 5 GPLv3), der die Zurverfügungstellung der Software im Netzwerkbetrieb, also auch in Gestalt von SaaS, nicht umfasst4. Auch um zu verhindern, dass die „Copyleft“-Regel durch den Netzwerk- 210 einsatz von Software ausgehöhlt wird (vgl. Preamble der AGPLv3), wurde als Alternative die Affero GPLv3 (AGPLv3)5, die nahezu identisch mit der GPLv3 ist, jedoch ein „Copyleft“ bei einer Bearbeitung der Software auch bei einer „Remote Network Interaction“ vorsieht (Ziff. 13 AGPLv3). Das hat zur Folge, dass durch den Einsatz der Software in Gestalt von SaaS die entsprechenden Verpflichtungen greifen6. Bei der Nutzung von kundenseitig in PaaS- und/oder IaaS-Umgebungen 211 eingebrachter Software gilt grundsätzlich das zu SaaS Gesagte. Ermöglicht der Kunde seinen Nutzern allerdings die Möglichkeit, die entsprechende Software in Form des Objekt- oder Quellcodes herunterzuladen, wird es sich in der Regel um ein „publishing“ (GPLv2) oder „conveying“ (GPLv3) handeln, womit die „Copyleft“-Verpflichtung eingreift.
1 Höllwarth, S. 134; s. auch Jaeger/Metzger, Open Source-Software, Rz. 72. 2 Lizenztext abrufbar unter http://www.gnu.org/licenses/gpl-3.0.html (abgerufen am 22.1.2014). 3 Jaeger/Metzger, GRUR 2008, 130 (134). 4 S. Definition in Ziff. 0 GPL v3: „To ‚convey‘ a work means any kind of propagation that enables other parties to make or receive copies. Mere interaction with a user through a computer network, with no transfer of a copy, is not conveying.“ So wie hier auch Höllwarth, Der Weg in die Cloud, S. 134; Jaeger/Metzger, Open Source-Software, Rz. 72; Schäfer, Der virale Effekt, S. 183; zweifelnd Pohle/Ammann, CR 2009, 273 (276). 5 Lizenztext abrufbar unter http://www.gnu.org/licenses/agpl-3.0.html (abgerufen am 22.1.2014). 6 S. Jaeger/Metzger, Open Source-Software, Rz. 72. Paul/Niemann
319
Teil 4 Datenschutz
I. Grundsatzfragen . . . . . . . . . . . . . . 1. EU-Rechtsrahmen . . . . . . . . . . . . . a) Richtlinie 95/46/EG . . . . . . . . . b) Richtlinie 2002/58/EG . . . . . . . c) Überarbeitung des EU-Rechtsrahmens . . . . . . . . . . . . . . . . . . . d) Art. 29-Datenschutzgruppe . . . 2. Auslegungshilfen der Aufsichtsbehörden. . . . . . . . . . . . . . . . . . . . . 3. Anwendbares Recht . . . . . . . . . . . a) Räumlicher Anwendungsbereich deutschen Rechts . . . . b) Sachlicher Anwendungsbereich des deutschen Rechts . aa) Personenbezogene Daten, Anonymisierung und Pseudonymisierung . . . . . . bb) Objektive bzw. subjektive Betrachtungsweise . . . . . . . cc) Verschlüsselung . . . . . . . . . c) Bestimmung des anwendbaren deutschen Gesetzes . . . . . . . . . 4. Gerichtsstand . . . . . . . . . . . . . . . . a) Auseinandersetzungen mit Aufsichtsbehörden . . . . . . . . . . b) Auseinandersetzungen zwischen verantwortlicher Stelle und Betroffenen. . . . . . . . . . . . . II. Datenschutzrechtliche Erlaubnistatbestände für Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . 1. Auftragsdatenverarbeitung . . . . . . a) Auswirkungen der Einordnung nach § 11 BDSG . . . . . . . . . . . . b) Unterscheidung von Auftragsdatenverarbeitung und Funktionsübertragung. . . . . . . . . . . . c) Die Ansichten der Aufsichtsbehörden . . . . . . . . . . . . . . . . . . 2. Gesetzliche Erlaubnistatbestände/Funktionsübertragung . . . . . . . a) Gesetzlicher Erlaubnistatbestand nach dem BDSG . . . . . b) Besondere Arten personenbezogener Daten . . . . . . . . . . . . . . 3. Einwilligungserklärung . . . . . . . . a) Ausreichende Information . . . . b) Ausdrücklichkeit der Einwilligungserklärung . . . . . . . . . c) Freiwilligkeit. . . . . . . . . . . . . . . d) Formerfordernisse. . . . . . . . . . .
Rz.
Rz.
1 1 2 3
e) Praktische Schwierigkeiten und Schlussfolgerungen . . . . . . 75
6 9 11 15 15 21 22 25 29 33 37 37 40
41 42 45 48 53 54 54 58 60 61 64 67 71
III. Gestaltung des Auftragsdatenverarbeitungsvertrages . . . . . . . . . 1. Form . . . . . . . . . . . . . . . . . . . . . . . . 2. Mindestkriterien nach § 11 Abs. 2 BDSG . . . . . . . . . . . . . . . . . a) § 11 Abs. 2 Satz 2 Nr. 1 BDSG/ Gegenstand und Dauer . . . . . . . b) § 11 Abs. 2 Satz 2 Nr. 2 BDSG/ Art und Umfang Datenverarbeitung . . . . . . . . . . . . . . . . . . c) § 11 Abs. 2 Satz 2 Nr. 3 BDSG/ technisch-organisatorische Maßnahmen . . . . . . . . . . . . . . . d) § 11 Abs. 2 Satz 2 Nr. 4 BDSG/ Berichtigung, Löschung, Sperrung . . . . . . . . . . . . . . . . . . . . . . e) § 11 Abs. 2 Satz 2 Nr. 5 BDSG/ Pflichten des Anbieters . . . . . . f) § 11 Abs. 2 Satz 2 Nr. 6 BDSG/ Unterauftragsverhältnisse . . . . g) § 11 Abs. 2 Satz 2 Nr. 7 BDSG/ Kontrollrechte des Auftraggebers . . . . . . . . . . . . . . . . . . . . . h) § 11 Abs. 2 Satz 2 Nr. 8 BDSG/ Mitteilungspflicht der Auftragnehmer . . . . . . . . . . . . . . . . i) § 11 Abs. 2 Satz 2 Nr. 9 BDSG/ Umfang der Weisungsbefugnis j) § 11 Abs. 2 Satz 2 Nr. 10 BDSG/Rückgabe und Löschung der Daten . . . . . . . . . k) Standort der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . 3. Kontrolle des Auftragverarbeiters und Dokumentation . . . . . . . . . . . IV. Technische und organisatorische Maßnahmen. . . . . . . . . . . . . . . . . . 1. § 9 BDSG als Maßstab für technisch-organisatorische Maßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . a) § 9 BDSG und die Anlage zu § 9 BDSG . . . . . . . . . . . . . . . . . . b) Verschlüsselung als technischorganisatorische Maßnahme . . 2. Die Risiko-Analyse für das Cloud Computing . . . . . . . . . . . . . a) Die Schutzziele der infrastrukturellen Rahmenbedingungen . b) Cloudspezifische Risiken. . . . .
Hartung/Storm
77 79 80 81 83 84 85 86 88 92 94 96 100 103 104 113 113 113 116 122 123 127
321
Teil 4
3.
4.
5.
6.
Rz. 1
c) Allgemeine Risiken . . . . . . . . . d) Kritische Infrastrukturen . . . . . Anforderungen bei IaaS-Diensten a) Gebäude und Räume . . . . . . . . b) IT-Systeme. . . . . . . . . . . . . . . . . c) Kommunikationsverbindungen . . . . . . . . . . . . . . . . . . . . . . . d) Virtualisierung . . . . . . . . . . . . . Anforderungen bei PaaSDiensten. . . . . . . . . . . . . . . . . . . . . a) Transparenz . . . . . . . . . . . . . . . . b) Verfügbarkeit. . . . . . . . . . . . . . . c) Revisionsfähigkeit . . . . . . . . . . Anforderungen bei SaaSDiensten. . . . . . . . . . . . . . . . . . . . . a) Transparenz . . . . . . . . . . . . . . . . b) Vertraulichkeit . . . . . . . . . . . . . c) Verfügbarkeit. . . . . . . . . . . . . . . d) Integrität . . . . . . . . . . . . . . . . . . e) Revisionsfähigkeit . . . . . . . . . . BSI-Mindestanforderungen an Cloud Computing . . . . . . . . . . . . . a) Sicherheitsmanagement. . . . . . b) Sicherheitsarchitektur . . . . . . . aa) Rechenzentrumssicherheit . . . . . . . . . . . . . . . . . . . bb) Server-Sicherheit . . . . . . . . cc) Netzsicherheit . . . . . . . . . . dd) Anwendungs- und Plattformsicherheit . . . . . . . . . . ee) Datensicherheit . . . . . . . . . ff) Verschlüsselung und Schlüsselmanagement . . . . c) ID- und Rechte-Management . d) Kontrollmöglichkeiten für die Nutzer . . . . . . . . . . . . . . . . . e) Monitoring und Security Incident Management . . . . . . . f) Notfallmanagement . . . . . . . . . g) Portabilität und Interoperabilität . . . . . . . . . . . . . . . . . . . h) Sicherheitsprüfung und -nachweis . . . . . . . . . . . . . . . . . i) Anforderungen an das Personal . . . . . . . . . . . . . . . . . . .
Datenschutz Rz.
Rz.
134 143 147 150 151
7. Bewertungen ENISA Report 2009 223
152 153 154 160 164 167 169 173 174 177 180 181 183 184 187 188 190 192 196 199 202 204 207 208 210 213 217
V. Grenzüberschreitender Datenverkehr . . . . . . . . . . . . . . . . . . . . . . 1. Transparenz über den Ort der Datenverarbeitung. . . . . . . . . . . . . 2. Anforderungen innerhalb des EWR . . . . . . . . . . . . . . . . . . . . . . . . 3. Grundsätzliche Anforderungen bei Anbietern außerhalb des EWR . . . . . . . . . . . . . . . . . . . . . . . . 4. Verwendung des Safe Harbor-Abkommens zwischen EU und USA . . . . . . . . . . . . . . . . . . . . . . . . 5. Besonderheiten bei Verwendung des EU-Standardvertrags für Auftragsverarbeiter . . . . . . . . . . . . . . . a) Die Stellung der Beteiligten . . . b) Subunternehmer und deren Stellung nach dem EU-Standardvertrag. . . . . . . . . . . . . . . . . c) Zusätzliche Vereinbarungen/ Auftragsdatenverarbeitungsvertrag . . . . . . . . . . . . . . . . . . . . 6. Besondere Arten personenbezogener Daten . . . . . . . . . . . . . . . . . . 7. Zugriffsmöglichkeiten Dritter . . . VI. Betroffenenrechte und Konsequenzen bei Verstößen . . . . . . . 1. Betroffenenrechte . . . . . . . . . . . . . a) Information/Benachrichtigung des Betroffenen . . . . . . . . . . . . . b) Auskunftsrecht . . . . . . . . . . . . . c) Berichtigung, Löschung und Sperrung. . . . . . . . . . . . . . . . . . . d) Folgerungen für das Cloud Computing . . . . . . . . . . . 2. Meldepflichten bei Verstößen/ Security Breach Notification . . . . 3. Behördliche Maßnahmen . . . . . . . 4. Unterlassung und Schadensersatz . . . . . . . . . . . . . . . . . . . . . . . 5. Ordnungswidrigkeiten/Straftaten . . . . . . . . . . . . . . . . . . . . . . . .
230 231 234 235 237 242 243 245 248 250 256 260 261 262 265 269 274 275 279 283 285
220
I. Grundsatzfragen 1. EU-Rechtsrahmen 1
Der Datenschutz ist ein in Europa umfassend harmonisierter Rechtsbereich, inzwischen direkt im Primärrecht der Europäischen Union in Art. 8 der Charta der Grundrechte der Europäischen Union1, Art. 8 der Eu1 2010/C 83/02. ABl. d. EU 2000/C 364/01.
322
Hartung/Storm
I. Grundsatzfragen
Rz. 4
Teil 4
ropäischen Menschenrechtskonvention1, i.V.m. Art. 6 des Vertrags über die Europäische Union2 sowie Art. 16 des Vertrags über die Arbeitsweise der Europäischen Union3 verankert. Auf dieser Basis wurden verschiedene Richtlinien über den Datenschutz erlassen, welche in das nationale Recht umgesetzt werden müssen. Dabei ist nach einem Urteil des EuGH vom 24. November 20114 das Ziel der Richtlinien eine Vollharmonisierung, welche nur in begrenztem Umfang Abweichungen zulässt. a) Richtlinie 95/46/EG Die grundlegenden Regelungen im Datenschutz enthält Richtlinie 2 95/46/EG5 (in Deutschland durch das Bundesdatenschutzgesetz [BDSG] umgesetzt). Sie findet Anwendung, wenn sich nicht aus anderen europäischen Richtlinien (und dazugehörigen nationalen Umsetzungsakten) spezifischere Bestimmungen und Regelungen ergeben. Die Bestimmungen dieser Richtlinie sind auf Cloud Computing anwendbar6, vor allem die Definitionen in Art. 2 (Definition der personenbezogenen Daten, für die Verarbeitung Verantwortlicher, Auftragsverarbeiter, Dritter usw.), die Regelungen über die internationale Anwendbarkeit in Art. 4, die Grundsätze für die Datenverarbeitung und die Sicherheit der Verarbeitung in Art. 6 und 17, die verschiedenen Erlaubnistatbestände in Art. 7 und Art. 8, die Regelungen über die Auftragsverarbeitung in Art. 17 (3), die Rechte auf Information und Auskunft in Art. 10–12 sowie die Regelungen über die Übermittlung personenbezogener Daten in Drittländer in den Art. 25, 26. b) Richtlinie 2002/58/EG Des Weiteren kann die Richtlinie 2002/58/EG7 über die Verarbeitung per- 3 sonenbezogener Daten und den Schutz der Privatsphäre bei der elektronischen Kommunikation in der durch die Richtlinien 2006/24/EG8 sowie 2009/136/EG9 geänderten Fassung zu beachten sein („ePrivacy-Richtlinie“). Diese Regelungen für die Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in Europa wurden in Deutschland durch das Telekommunikationsgesetz (TKG) sowie das Telemediengesetz (TMG) umgesetzt. Der Einsatz von Telekommunikation zum Zwecke der Übermittlung 4 von Daten, d.h. die technische Zugangsverschaffung zu Cloud Compu1 2 3 4 5 6
BGBl. II 2010 S. 1198. ABl. d. EU 2010/C 83/13. ABl. d. EU 2010/C 83/47. EuGH v. 24.11.2011 – C 468/10 und C 469/10. ABl. d. EU Nr. L 281 v. 23/11/1995. Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.2 (S. 8). 7 ABl. d. EU Nr. L 201 v. 31.7.2002. 8 ABl. d. EU Nr. L 105/54 v. 13.4.2006. 9 ABl. d. EU Nr. L 337/11 v. 18.12.2009. Hartung/Storm
323
Teil 4
Rz. 5
Datenschutz
ting-Angeboten über Telekommunikation, bleibt im Rahmen des vorliegenden Kapitels außen vor (vgl. Teil 8 A). Die Richtlinie kann aber relevant werden, wenn Telemediendienste i.S.d. deutschen Rechts (die Richtlinie selbst trifft diese Unterscheidung nicht) mit Hilfe von Cloud Computing erbracht werden oder wenn Cloud-Dienste über das Internet angeboten werden, etwa als webbasierte Internetdienste1. 5
Für das Cloud Computing relevante Bestimmungen sind dabei insbesondere die Definition der Begriffsbestimmungen in Art. 2, die Sicherheit der Verarbeitung und Meldungen von Verstößen (Security Breach Notification) in Art. 4, das Fernmeldegeheimnis in Art. 5 (1), (2), das Einwilligungserfordernis bei Cookies in Art. 5 (3), die besonderen Erlaubnistatbestände für Verkehrsdaten in Art. 6 und Art. 9. c) Überarbeitung des EU-Rechtsrahmens
6
Am 25. Januar 2012 hat die EU-Kommission ihre Pläne für die Reform des Datenschutzes bekannt gegeben, bestehend aus einem Vorschlag für eine Datenschutz-Grundverordnung (nachfolgend „Entwurf“)2, welche die Richtlinie 95/46/EU ersetzen soll, sowie aus einer Richtlinie für die Zusammenarbeit der europäischen Behörden auf dem Gebiet der Strafverfolgung3. Die EU-Kommission hat ihre Entwürfe in das Gesetzgebungsverfahren eingebracht. Zu einer wirksamen Verabschiedung sind die Zustimmung des Europäischen Parlamentes und des Ministerrats erforderlich4. Wegen der komplexen und umstrittenen Materie sowie den über 3000 Änderungsanträgen im Europäischen Parlament ist mit einer Verabschiedung nicht vor 2014 zu rechnen, womit das Reformpaket frühestens 2016 in Kraft treten wird5.
1 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.1 (S. 8). 2 Europäische Kommission: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) v. 25.1.2012, KOM (2012) 11 endgültig (zitiert als: KOM (2012) 11 endg.); vgl. die Presseerklärung: http://europa.eu/rapid/pressReleasesAction.do?re ference=IP/12/46&format=HTML&aged=0&language=en&guiLanguage=en (August 2012). 3 Europäische Kommission: Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr v. 25.1.2012, KOM (2012) 10 endgültig. 4 Vgl. Art. 294 AEUV. 5 Vgl. Wuermeling, NZA 2012, 368 (370). Nach Art. 91 (2) Entwurf ist die Anwendung zwei Jahre nach Inkrafttreten vorgesehen. Kritik und Modifizierungsvorschläge, insb. in Bezug auf Internetdienste, aus dem Schrifttum: Roßnagel/Richter/Nebel, ZD 2013, 103.
324
Hartung/Storm
I. Grundsatzfragen
Rz. 9
Teil 4
Wesentliche Ziele der Datenschutz-Grundverordnung sind vor allem ei- 7 ne weitergehende Harmonisierung des in der Europäischen Union anzuwendenden Rechts, die Entbürokratisierung sowie eine Anpassung an technische Entwicklungen1. Die wegen des Ziels einer größeren Harmonisierung vorgeschlagene Regelungstechnik einer EU-Verordnung statt der bisher erlassenen EU-Richtlinie hätte zur Folge, dass der Gesetzestext unmittelbar geltendes Recht in sämtlichen Mitgliedsstaaten wird und nicht, wie bisher, nationaler Umsetzungsakte bedarf2. In Deutschland wären dann das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze zumindest in weitgehenden Teilen nicht mehr anwendbar3. Die sog. ePrivacy-Richtlinie 2002/58/EG soll nach Art. 89 Entwurf aber vorrangig Geltung behalten wie auch die jeweiligen nationalen Umsetzungsakte. Dies ist wegen der spezifischen Vorschriften zum Bereich des Internets im Entwurf selbst misslich, weil dann Sachverhalte des Internets in verschiedenen Rechtsakten geregelt wären4. Der Entwurf ist umfangreich und wird zu zahlreichen Änderungen füh- 8 ren. Für das Cloud Computing relevant ist insbesondere: der erweiterte räumliche Anwendungsbereich in Art. 3, die erweiterte Begriffsbestimmung der personenbezogenen Daten in Art. 4 (1), das Recht auf Vergessenwerden und Löschung in Art. 17, das Recht auf Datenübertragbarkeit in Art. 18, die Pflicht zum vorbeugenden Datenschutz in Art. 23, die entsprechend § 11 BDSG genauer spezifizierten Anforderungen an eine Auftragsverarbeitung in Art. 26, die Erforderlichkeit einer Datenschutz-Folgenabschätzung in Art. 33, 34 sowie die erweiterten Möglichkeiten von verbindlichen unternehmensinternen Vorschriften (Binding Corporate Rules) für Auftragsverarbeiter in Art. 43. Da abzuwarten bleibt, wann und mit welchem konkreten Inhalt die Datenschutz-Grundverordnung verabschiedet wird, bleibt bis auf weiteres die existierende Rechtslage maßgeblich. d) Art. 29-Datenschutzgruppe Wichtige Anleitungen für die Praxis ergeben sich auf europäischer Ebene 9 aus den Stellungnahmen („Arbeitspapiere“, „Working Paper“ oder „WP“ genannt) der Art. 29-Datenschutzgruppe, die jedoch nicht rechtsverbindlich sind und keinen Gesetzesrang haben5. Vor allem solange es keine spezifischeren Stellungnahmen der deutschen Datenschutzbehörden 1 Erwägungsgrund (3), (70), (5) und (6) Entwurf. 2 Art. 288 Abs. 2 AEUV, s. auch Kuner, Privacy and Security Law Report Nr. 11 (2012), S. 8. 3 Hornung, ZD 2012, 99 (100). 4 S. dazu auch Eckhardt, CR 2012, 195 (196). 5 Diese Gruppe ist nach Art. 29 der Richtlinie 95/46/EG benannt, besteht aus Vertretern der nationalen Aufsichtsbehörden für den Datenschutz der Mitgliedsstaaten und hat (nur) beratende Funktion. Eine Bindungswirkung könnte allenfalls nach den Grundsätzen über die Selbstbindung der Verwaltung entstehen. Dies ist bislang jedoch, soweit ersichtlich, nicht gerichtlich festgestellt worden. Hartung/Storm
325
Teil 4
Rz. 10
Datenschutz
gibt, sind sie aber für die Auslegung der datenschutzrechtlichen Vorschriften heranzuziehen. 10
Von den über 200 bislang ergangenen Stellungnahmen sind vor allem die folgenden wegen ihrer Bedeutung für das Cloud Computing hervorzuheben (chronologisch aufgeführt): – Stellungnahme 5/2012 zum Cloud Computing vom 1.7.2012 (WP 196)1 – Stellungnahme 2/2012 über Elemente und Prinzipien in verbindlichen Unternehmensregeln für Auftragsverarbeiter vom 6.6.2012 (WP 195)2 – Stellungnahme 4/2012 über die Ausnahmen von dem Einwilligungserfordernis bei Cookies vom 7.6.2012 (WP 194)3 – Stellungnahme 08/2010 zum anwendbaren Recht vom 16.12.2010 (WP 179)4 – Häufig gestellte Fragen zu bestimmten Aspekten im Zusammenhang mit dem Inkrafttreten des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG vom 12.7.2010 (WP 176)5 – Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16.2.2010 (WP 169)6 2. Auslegungshilfen der Aufsichtsbehörden
11
Bei der Auslegung des deutschen Datenschutzrechts anwendbare gerichtliche Auslegungshilfen gibt es bislang wenig bis gar nicht. Dafür gibt es – neben Fachliteratur – inzwischen einschlägige aufsichtsbehördliche Stellungnahmen. Diese enthalten neben wichtigen Aussagen zur Rechtslage zahlreiche Empfehlungen zur datenschutzgerechten Umsetzung von 1 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196). 2 Art. 29-Datenschutzgruppe, Arbeitsdokument 2/2012 mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher Unternehmensinterna, Datenschutzregelungen (BCR für Auftragsverarbeiter) v. 6.6.2012 (00930/12/DE – WP 195). 3 Art. 29-Datenschutzgruppe, Stellungnahme 4/2012 zur Ausnahme von Cookies von der Einwilligungspflicht v. 7.6.2012 (00879/12/DE – WP 194). 4 Art. 29-Datenschutzgruppe, Stellungnahme 8/2010 zum anwendbaren Recht v. 16.12.2010 (0836-02/10/DE – WP 179). 5 Art. 29-Datenschutzgruppe, Häufig gestellte Fragen zu bestimmten Aspekten im Zusammenhang mit dem Inkrafttreten des Beschlusses 2010/87/EU der Kommission v. 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG v. 12.7.2010 (00070/2010/DE – WP 176). 6 Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ v. 16.2.2010 (00264/10/DE – WP 169).
326
Hartung/Storm
I. Grundsatzfragen
Rz. 14
Teil 4
Cloud Computing-Angeboten. Zu beachten sind derzeit folgende Stellungnahmen: Auf europäischer Ebene ist die Stellungnahme 5/2012 über Cloud Com- 12 puting vom 1. Juli 2012 der Art. 29-Datenschutzgruppe1 (nachfolgend „Arbeitspapier 196“) zu beachten. Weiter ist auf internationaler Ebene das „Working Paper on Cloud Computing – Privacy and Data Protection Issues – Sopot Memorandum“ – vom 24. April 2012 der internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation relevant (nachfolgend „Sopot Memorandum“)2, dessen Schwerpunkt im technischen und vertraglichen Bereich liegt. Das Papier verfolgt dabei weniger einen dogmatischen als einen pragmatischen und lösungsorientierten Ansatz3. Aus deutscher Sicht ist vor allem die „Orientierungshilfe – Cloud Com- 13 puting der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder“ vom 26. September 2011 zu beachten (nachfolgend „Orientierungshilfe Cloud Computing“)4. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder ist ein im BDSG nicht vorgesehenes Abstimmungsgremium der verschiedenen deutschen Aufsichtsbehörden. Im Bereich der Privatwirtschaft wird dieses Gremium, in gleicher Zusammensetzung, als „Düsseldorfer Kreis“ bezeichnet. Insofern gilt dasselbe wie zuvor zur Rolle der Art. 29-Datenschutzgruppe Gesagte: Mangels gesetzlicher Verankerung dieses Gremiums entfalten die Stellungnahmen keine unmittelbare, aus dem Gesetz herzuleitende Wirkung, legen aber die Sichtweise der Behörden (etwa in einem Konfliktfall) dar und könnten als Selbstbindung der Verwaltung aufgefasst werden. Die Kernaussagen dieser Auslegungshilfen lassen sich wie folgt zusam- 14 menfassen:
1 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196). 2 International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, http://www.datenschutz-berlin.de/attachments/ 873/Sopot_Memorandum_Cloud_Computing.pdf?1335513083; Diese Arbeitsgruppe ist ein freiwilliges und im EU-Rechtsrahmen – anders als die Artikel 29-Datenschutzgruppe – nicht gesetzlich verankertes Beratungsgremium von Datenschutzbehörden, Regierungsstellen, Vertreter internationaler Organisationen und Wissenschaftler aus aller Welt, initiiert von dem Berliner Beauftragten für Datenschutz und Informationsfreiheit mit dem Ziel der Verbesserung des Datenschutzes in der Telekommunikation und den Medien. Ausführlich zum Arbeitspapier: Schröder/Haag, ZD 2012, 362. 3 Schröder/Haag, ZD 2012, 362 (364). 4 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011. Hartung/Storm
327
Teil 4
Rz. 14
Datenschutz
– Cloud Computing-Angebote sind datenschutzrechtlich nicht per se unzulässig, wobei die Vorbehalte bei zu besonderer Vertraulichkeit verpflichteten Stellen wie Behörden, Banken, etc. größer sind1. – Es werden erhöhte Risiken durch das Cloud Computing festgestellt, die vorab von der verantwortlichen Stelle in einer technischen und rechtlichen Risikoanalyse geprüft werden sollten2. Umgekehrt kann Cloud Computing zum Datenschutz beitragen, z.B. wenn die professional administrierte Cloud-Umgebung besseren Schutz gewährleistet, als es in einer weniger professionell aufgestellten IT-Infrastruktur eines mittelständischen Unternehmens der Fall wäre3. – Anbieter werden grundsätzlich als Auftragsdatenverarbeiter eingestuft, d.h. der Abnehmer bleibt verantwortliche Stelle und darf seine Verantwortung nicht ablegen4. – Die beim Cloud Computing bestehenden spezifischen und bei der vertraglichen Gestaltung zu berücksichtigenden Risiken können zwei wesentlichen Gruppen zugeordnet werden: (1) Drohender Kontrollverlust der verantwortlichen Stelle wegen der fehlenden Möglichkeit des Wechsels auf einen alternativen Anbieter, Risiken für die technische Integrität durch die Nutzung derselben Ressourcen durch verschiedene Kunden, Zugriffsmöglichkeiten durch ausländische Behörden, fehlende Zugriffsmöglichkeiten der verantwortlichen Stelle wegen der Nutzung zahlreicher und wechselnder Subunternehmer, Gefährdung der rechtzeitigen und ordnungsgemäßen Erfüllung der Betroffenenrechte, die Möglichkeit der Zusammenführung der Daten verschiedener Kunden durch den Anbieter5. (2) Eingeschränkter Handlungsspielraum der verantwortlichen Stelle und der Betroffenen wegen fehlender Transparenz über technisch-organisatorische Maßnahmen bzw. Si1 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Anhang (S. 31). 2 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Executive Summary (S. 2), Ziff. 4 (S. 24); International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, S. 2 f. 3 International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, http://www.datenschutz-berlin.de/attachments/ 873/Sopot_Memorandum_Cloud_Computing.pdf?1335513083; Schröder/Haag, ZD 2012, 362 (363). 4 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 5 (S. 25); Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Zusammenfassung (S. 2 f.), Ziff. 4.1 (S. 24). 5 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 2 (S. 6 f.); International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, S. 2.
328
Hartung/Storm
I. Grundsatzfragen
Rz. 16
Teil 4
cherheitskonzeption, beteiligte Subunternehmer und den Ort der Datenverarbeitung, insbesondere in Drittländern1. – Die technisch-organisatorischen Maßnahmen sind auf Cloud Computing und spezifisch auf die Risiken des jeweiligen Dienstes (IaaS, PaaS oder SaaS) abzustimmen. – Die Inanspruchnahme von Cloud-Diensten eines nicht-europäischen Anbieters wird nicht per se für unzulässig erklärt, es sind jedoch Maßnahmen zur Herstellung eines ausreichenden Datenschutzniveaus zu treffen. Auch die Möglichkeit des Zugriffs ausländischer Sicherheitsbehörden, Gerichte, usw. auf personenbezogene Daten einer deutschen verantwortlichen Stelle führt nicht per se zur Unzulässigkeit eines Cloud-Angebots im Drittland. 3. Anwendbares Recht a) Räumlicher Anwendungsbereich deutschen Rechts Nach § 1 Abs. 5 BDSG, welcher der Umsetzung von Art. 4 der Richtlinie 15 95/46/EG dient, ist das vorwiegende Merkmal zur Bestimmung des international anwendbaren Rechts das Territorium (Territorialitätsprinzip)2. Dabei ist im ersten Schritt nach dem Ort der verantwortlichen Stelle zu fragen und im zweiten Schritt nach dem Ort der Datenverarbeitung3. Allerdings gibt es Unterschiede bei ausländischen Stellen aus dem EWR einerseits und aus Drittländern andererseits. Nach § 1 Abs. 5 BDSG gilt deutsches Recht immer dann, wenn eine ver- 16 antwortliche Stelle aus dem In- oder Ausland in einer Niederlassung in Deutschland personenbezogene Daten verarbeitet4. Für eine Niederlassung ist die Rechtsform unerheblich, sie kann rechtlich unselbständig oder selbständig (genau genommen handelt es sich im zweiten Fall aber um eine eigene verantwortliche Stelle) sein5. Nach dieser Grundregel findet deutsches Recht beispielsweise Anwendung bei einer Datenverarbeitung durch die deutsche Niederlassung eines deutschen, italienischen oder amerikanischen Unternehmens. Sofern eine Niederlassung in Deutschland nicht besteht, ist zu unterscheiden: 1 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 5 (S. 25); Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 2 (S. 7 f.). 2 Pohle/Ammann, K&R 2009, 625 (630); Niemann/Hennrich, CR 2010, 686 (687); Leupold/Glossner, IT-Recht, Teil 5 Rz. 349; Opfermann, Datenschutzkonforme Vertragsgestaltung im Cloud Computing, S. 128; Plath in Plath, BDSG, § 1 Rz. 49. 3 Art. 29-Datenschutzgruppe, Stellungnahme 8/2010 zum anwendbaren Recht v. 16.12.2010 (0836-02/10/DE – WP 179). 4 Vgl. Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.2 (S. 9). 5 Gola/Schomerus, BDSG, § 1 Rz. 28. Hartung/Storm
329
Teil 4
Rz. 17
Datenschutz
– Sofern sich die verantwortliche Stelle im Geltungsbereich der Richtlinie 95/46/EG (d.h. Mitgliedsstaaten der EU sowie des EWR) befindet, gilt nach der Grundregel von § 1 Abs. 5 Satz 1 BDSG das materielle Recht am Sitz der die Daten verarbeitenden Niederlassung1. Wenn z.B. ein französisches Unternehmen Daten über deutsche Betroffene verarbeitet, unterfällt dies französischem Recht. Umgekehrt gilt für eine verantwortliche Stelle mit Sitz in Deutschland deutsches Recht, es sei denn, sie begründet eine Niederlassung in einem anderen europäischen Staat2. In diesem Fall kommt es dann nicht darauf an, wo sich die Datenverarbeitungsanlagen befinden. – Für Drittländer außerhalb des EWR gilt nach § 1 Abs. 5 Satz 2 und 4 BDSG, dass ohne Niederlassung in Deutschland das deutsche Recht Anwendung findet, wenn eine Datenverarbeitung mit in Deutschland belegenen Mitteln erfolgt3. Verarbeitet also eine amerikanische Stelle ohne Niederlassung in Deutschland personenbezogene Daten auf dafür eingerichteten deutschen Servern, findet deutsches Recht Anwendung. 17
Bei Unternehmen mit Sitz in Drittländern ohne Niederlassung in der EU wirft das Kriterium des Orts der Datenverarbeitung vielfach Schwierigkeiten bei der Anwendung auf. Dies beginnt mit der Frage, ob ein Internetserver in der Europäischen Union für die Anwendbarkeit europäischen Rechts ausreicht4, bis hin zur Diskussion, ob bereits ein von einem außereuropäischen Server auf einem inländischen Rechner gesetztes Cookie für die Anwendung europäischen Rechts genügt5.
1 Marnau/Schlehahn, DuD 2011, 311; Spies, MMR 2009, XI; Weichert, DuD 2010, 679 (682); Gaul/Koehler, BB 2011, 2229 (2230); Maisch, AnwZert ITR 15/2009, Anm. 4, B I 3; Hustinx, Data Protection and Cloud Computing unter EU law, S. 3, http://www.edps.europa.eu/EDPSWEB/webdav/shared/Documents/EDPS/ Publications/Speeches/2010/10-04-13_Speech_Cloud_Computing_EN.pdf; Leupold/Glossner, IT-Recht, Teil 5 Rz. 348; Plath in Plath, BDSG, § 1 Rz. 49, 51. 2 Maisch, AnwZert ITR 15/2009, Anm. 4, B I 3; Hilber/Knorr/Müller, CR 2011, 417 (421); Plath in Plath, BDSG, § 1 Rz. 49 f. 3 Vgl. Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.2 (S. 9); Marnau/Schlehahn, DuD 2011, 311; Spies, MMR 2009, XI; Weichert, DuD 2010, 679 (682); Maisch, AnwZert ITR 15/2009, Anm. 4, B I 3; Plath in Plath, BDSG, § 1 Rz. 49 f.; Hustinx, Data Protection and Cloud Computing unter EU law, S. 3, http:// www.edps.europa.eu/EDPSWEB/webdav/shared/Documents/EDPS/Publications/ Speeches/2010/10-04-. 4 Art. 29-Datenschutzgruppe, Stellungnahme 8/2010 zum anwendbaren Recht v. 16.12.2010 (0836-02/10/DE – WP 179), S. 23 ff.; Art. 29-Datenschutzgruppe, Stellungnahme 1/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen v. 4.4.2008 (00737/DE – WP 148), S. 12; Plath in Plath, BDSG, § 1 Rz. 66. 5 Art. 29-Datenschutzgruppe, Stellungnahme 8/2010 zum anwendbaren Recht v. 16.12.2010 (0836-02/10/DE – WP 179), S. 23 ff.; Art. 29-Datenschutzgruppe, Stellungnahme 1/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen v. 4.4.2008 (00737/DE – WP 148), S. 12; Plath in Plath, BDSG, § 1 Rz. 66.
330
Hartung/Storm
I. Grundsatzfragen
Rz. 19
Teil 4
Für Auftragsdatenverarbeiter und deren Auftraggeber ist zu beachten, 18 dass das materielle Recht sich nach der verantwortlichen Stelle richtet, selbst wenn die eigentliche Datenverarbeitung im EU-Ausland stattfindet1. – Im Falle einer Verarbeitung der Daten einer verantwortlichen Stelle in Deutschland durch einen Anbieter in Frankreich findet somit weiterhin deutsches Recht Anwendung. – Bei der Einschaltung eines europäischen Anbieters durch einen im Drittland gelegenen Abnehmer findet die eigentliche Datenverarbeitung unzweifelhaft in Europa statt. Dann soll das jeweilige materielle europäische Datenschutzrecht anwendbar sein2, die Datenverarbeitung wird gewissermaßen „infiziert“ vom europäischen Datenschutzrecht, obwohl dieselbe Datenverarbeitung im Heimatland des Anwenders davon nicht berührt wäre3. Einen deutschen Anbieter soll nach Ansicht der Aufsichtsbehörden aber nur dann eine Remonstrationspflicht treffen, wenn ihm Datenschutzverstöße bekannt werden, was voraussetzt, dass diese für ihn überhaupt erkennbar sind (was z.B. nicht der Fall ist, wenn dem Anbieter nur verschlüsselte Daten übermittelt werden)4. Insbesondere Diskussionen mit Internetunternehmen wie Google oder 19 Facebook über die Anwendbarkeit europäischen Rechts haben zu der Erkenntnis geführt, dass diesen bereits auf der Ebene des anwendbaren Rechts schwer beizukommen ist5. Letztlich beruht dies auf den technischen Weiterentwicklungen der IT, nachdem (insbesondere beim Cloud Computing) der physische Standort einer Datenverarbeitung immer weniger eine Rolle spielt6. Bei der Bestimmung des anwendbaren Rechts sind dabei alle Standorte der Datenverarbeitung im Blick zu behalten, einschließlich der Systeme für Back-Ups und Disaster Recovery7.
1 Marnau/Schlehahn, DuD 2011, 311; Splittgerber/Rockstroh, BB 2011, 2179 (2180); Gaul/Koehler, BB 2011, 2229 (2230); Plath in Plath, BDSG, § 1 Rz. 60; Weichert, Cloud Computing & Data Privacy, Abschnitt 5, https://www.daten schutzzentrum.de/cloud-computing/20100617-cloud-computing-and-data-priva cy.pdf. 2 Gabel in Taeger/Gabel, BDSG, § 1 Rz. 58; Gola/Schomerus, BDSG, § 11 Rz. 16a; vgl. Plath in Plath, BDSG, § 1 Rz. 64. 3 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.2 (S. 9). 4 Gola/Schomerus, BDSG, § 11 Rz. 16a. 5 Art. 29-Datenschutzgruppe, Stellungnahme 8/2010 zum anwendbaren Recht v. 16.12.2010 (0836-02/10/DE – WP 179); Art. 29-Datenschutzgruppe, Stellungnahme 1/2008 zu Datenschutzfragen im Zusammenhang mit Suchmaschinen v. 4.4.2008 (00737/DE – WP 148), S. 10 ff. 6 Hennrich, CR 2011, 546 (548); Schuster/Reichl, CR 2010, 38 (41); Spies, MMR 2009, XI („datenschutzrechtliche Quantensprünge“, „Schwarzes Loch im Datenschutzrecht“); Maisch, AnwZert ITR 15/2009, Anm. 4, B I 3. 7 Hennrich, CR 2011, 546 (548). Hartung/Storm
331
Teil 4
20
Rz. 20
Datenschutz
Als Reaktion sieht Art. 3 des Entwurfs der Datenschutz-Grundverordnung die Anwendbarkeit europäischen Rechts für nicht in der EU sitzende Unternehmen dann vor, wenn diese Daten über in der EU ansässige Personen entweder beim Angebot von Waren oder Dienstleistungen in der Europäischen Union verarbeiten oder sie deren Verhalten beobachten. Zum ersten Fall enthält Erwägungsgrund (20) des Entwurfs keine weiteren Ausführungen, wann ein Angebot von Waren und Dienstleistungen an in der EU ansässige Personen vorliegt. Interpretationshilfe bekommt man jedoch durch einen Blick in die im Dezember 2011 an die Öffentlichkeit gelangte Vorversion1 und die Rechtsprechung des Europäischen Gerichtshofs zu vergleichbaren Rechtsfragen2. Es ist vermutlich auf sämtliche möglichen Kriterien abzustellen, insbesondere Sprache, Währung, Liefermöglichkeit, eingesetzte lokale Domainnamen usw.3. Der Wortlaut des Entwurfs stellt vorwiegend auf das Verhältnis eines ausländischen Anbieters zu Betroffenen (d.h. natürlichen Personen) innerhalb der EU ab. Dies wäre bei Cloud Computing-Angeboten zunächst im B2C-Bereich relevant. Wie dies im B2B-Bereich aufgefasst werden muss, ist aber noch unklar: Ist der Abnehmer eine juristische Person, welche selbst Daten über Betroffene verarbeitet, so liegt kein Angebot von Waren und Dienstleistungen an die in der EU ansässigen natürlichen Personen durch den Anbieter vor. b) Sachlicher Anwendungsbereich des deutschen Rechts
21
Sofern der Anbieter beim Cloud Computing Zugang zu personenbezogenen Daten des Abnehmers hat (d.h. diese nach § 3 Abs. 4 Nr. 3 BDSG weitergegeben oder zur Einsicht bereitgehalten werden), ist der Anwendungsbereich des Datenschutzrechts eröffnet. aa) Personenbezogene Daten, Anonymisierung und Pseudonymisierung
22
Personenbezogene Daten sind nach § 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person4. Beim Cloud Computing können das Daten über die Nutzung des Cloud-Dienstes wie Zugangsdaten, IP-Adresse oder Nutzungsverhalten sein sowie Daten, die in der Cloud verarbeitet bzw. gespeichert werden (sog. Inhaltsdaten)5. Bei fehlender Bestimmbarkeit einer natürlichen Person ist das Datenschutzrecht nicht anwendbar, z.B.
1 Proposal for a Regulation of the European Parliament and of the Council, Version 56 v. 29.11.2011, Erwägungsgrund 15 (S. 20), http://statewatch.org/news/2011/ dec/eu-com-draft-dp-reg-inter-service-consultation.pdf. 2 EuGH v. 7.12.2010 – C-585/08, C-144/09. 3 Vgl. kritisch zu einzelnen Ansätzen Spies, MMR 2009, XI (XII). 4 Dass im TKG auch Unternehmensdaten geschützt werden, soll außer Betracht bleiben; grundsätzlich gelten die Erörterungen entsprechend. 5 Splittgerber/Rockstroh, BB 2011, 2179 (2180).
332
Hartung/Storm
I. Grundsatzfragen
Rz. 23
Teil 4
bei statistischen Daten1 oder Daten über größere Personengruppen, die keine Aussagen über Einzelne zulassen2. Auch Daten juristischer Personen sind nicht geschützt3. Ob und wann eine Bestimmbarkeit noch gegeben ist, ist im Einzelnen umstritten, z.B. sollen technische Kennungen nicht immer und per se personenbezogen sein, maßgeblich ist eine Abwägung im Einzelfall unter Berücksichtigung der jeweils zur Verfügung stehenden Mittel etc.4. In Deutschland ist bei IP-Adressen (ohne höchstrichterliche Entscheidung) umstritten, ob und welche personenbezogene Daten dies sind5. Mit der geplanten Datenschutzreform kann es hier zu einer Änderung kommen, weil es nach der Definition der personenbezogenen Daten in Art. 4 (2) i.V.m. Art. 4 (1) des Entwurfs der DatenschutzGrundverordnung zukünftig ausreichen soll, wenn eine natürliche Person direkt oder indirekt mittels Zuordnung zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung bestimmt werden kann6. Für die Praxis des Cloud Computing ist wichtig, ob personenbezogene 23 Daten derart verändert werden können, dass keine personenbeziehbaren Daten mehr vorliegen und das sonst anwendbare BDSG keine Beachtung mehr findet. In Betracht kommen dafür die Anonymisierung oder Pseudonymisierung7. Anonymisieren nach § 3 Abs. 6 BDSG ist ein Verändern personenbezogener Daten, damit die Einzelangaben über persönliche oder sachliche Verhältnisse (i) nicht mehr oder (ii) nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Bei Variante (i) ist unstreitig, dass derart veränderte Daten nicht 1 Bergmann/Möhrle/Herb, Datenschutzrecht, Stand: 42. Erg.-Lfg., Januar 2011, § 3 BDSG Rz. 18; Erbs/Kohlhaas, Strafrechtliche Nebengesetze, Stand: 184. Erg.Lfg., 2011, § 3 BDSG Rz. 3. 2 Gola/Schomerus, BDSG, § 3 Rz. 3; Schaffland/Wiltfang, BDSG, Stand: 42. Erg.Lfg. 9/11, April 2011, § 3 Rz. 17; Splittgerber/Rockstroh, BB 2011, 2179 (2185) (Rechnungswesen im öffentlichen Bereich). 3 Anders z.B. in Österreich und der Schweiz; Splittgerber/Rockstroh, BB 2011, 2179 (2180). 4 Art. 29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ v. 20.6.2007 (01248/07/DE – WP 136). 5 Vgl. nur Eckhardt, CR 2011, 339; Venzke, ZD 2011, 114 ff.; Plath/Schreiber in Plath, BDSG, § 3 Rz. 20 ff.; LG Berlin v. 6.9.2007 – 23 S 3/07, MMR 2007, 799; EuGH v. 24.11.2011 – C 70/10, CR 2012, 33; OLG Hamburg v. 2.8.2011 – 7 U 134/10, CR 2012, 188. 6 Jedenfalls dem Wortlaut nach könnte naheliegen, dass sämtliche Informationen, welche mit solchen technischen Kennungen verbunden sind, als personenbezogene Daten zu gelten haben. Dies hätte wiederum weitreichende Auswirkungen auf die übliche Praxis im Bereich von Online-Werbung, mobilen Datendiensten etc. Allerdings wird dies in den Erwägungsgründen (23) und (24) relativiert. Danach soll es sich nicht um personenbezogene Daten handeln, soweit die Angaben soweit anonymisiert sind, dass man Personen nicht mehr identifizieren kann. Angesichts des weitgehenden Wortlauts besteht aber immer die Gefahr, dass die neue Bestimmung ohne Berücksichtigung dieser genannten Erwägungsgründe von Aufsichtsbehörden weit ausgelegt wird. 7 Vgl. Roßnagel/Scholz, MMR 2000, 721 (722). Hartung/Storm
333
Teil 4
Rz. 24
Datenschutz
mehr den Regeln des BDSG unterliegen, bei Variante (ii) ist dies streitig, weil eine Bestimmbarkeit ja noch möglich ist1. Z.B. können Identifikationsmerkmale unwiderruflich durch nicht nachvollziehbare Nummern ersetzt werden2. Beim Cloud Computing ist das deutsche Datenschutzrecht auf dergestalt zuverlässig anonymisierte Daten, die in der Cloud verarbeitet werden, nicht anwendbar. Dies dürfte vor allem für die Inhaltsdaten eine Rolle spielen, weniger für weiterhin durch die Nutzung eines Cloud-Dienstes anfallenden Nutzungsdaten. 24
Pseudonymisieren nach § 3 Abs. 6a BDSG ist das Ersetzen der Identifikationsmerkmale durch ein Kennzeichen (Pseudonym bzw. Zuordnungsschlüssel) mit dem Ziel, dass sie ohne Kenntnis der jeweiligen Zuordnungsregel nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmbaren natürlichen Person zugeordnet werden können, aber mittels der Zuordnungsregel die Identifizierung der Person ermöglichen. Pseudonymisieren stellt somit keine umfassende Anonymität her3, jedenfalls nicht für Stellen, die Zugriff auf den Zuordnungsschlüssel oder eine Referenzdatei haben4. Welche rechtliche Wirkung eine Pseudonymisierung beim Cloud Computing hat, hängt davon ab, ob man eine subjektive oder objektive Betrachtungsweise anlegt. bb) Objektive bzw. subjektive Betrachtungsweise
25
Es ist ungeklärt, ob zur Ausfüllung des Merkmals der Bestimmbarkeit eine subjektive oder eine objektive Betrachtung heranzuziehen ist. Bei der in Deutschland (bislang) überwiegend vertretenen subjektiven Betrachtung stellt man darauf ab, ob der konkrete Verwender von Daten ausreichende Mittel hat, um eine natürliche Person zu ermitteln. Entscheidend sei allein, ob die datenverwendende Stelle den Personenbezug mit den ihr normalerweise zur Verfügung stehenden Hilfsmitteln und ohne unverhältnismäßigen Aufwand herstellen könnte5. Dieselben Daten kön-
1 Dagegen: Auernhammer, BDSG, § 3 Rz. 47. Dafür die herrschende Auffassung: vgl. Dammann in Simitis, BDSG, § 3 Rz. 23 m.w.N., wonach das Gesetz die Begriffe „personenbezogen“ und „anonymisiert“ komplementär verwendet, sich beide Begriffe also gegenseitig ausschließen sollen (anders allerdings noch Dammann in der Vorauflage, Simitis, BDSG, 6. Aufl. 2006, § 3 Rz. 24, 196). Gola/ Schomerus, BDSG, § 3 Rz. 44, weist darauf hin, dass ein Datum nicht anonym ist, wenn eine Stelle bereit ist, unverhältnismäßigen Aufwand zur Re-Anonymisierung zu treiben. 2 Splittgerber/Rockstroh, BB 2011, 2179 (2180 f.). 3 Gola/Schomerus, BDSG, § 3 Rz. 46. 4 Vgl. Scholz in Simitis, BDSG, § 3 Rz. 217, 217a. 5 Dammann in Simitis, BDSG, § 3 Rz. 32; Eckhardt, CR 2011, 339; Gola/Schomerus, BDSG, § 3 Rz. 10 und § 3 Rz. 44; Härting, ITRB 2009, 35 (37); KirchbergLennartz/Weber, DuD 2010, 479 (480); Meyerdierks, MMR 2009, 8 (10); Roßnagel/Scholz, MMR 2000, 721 (722 f.); Schaffland/Wiltfang, BDSG, Stand: 42. Erg.-Lfg. 9/11, April 2011, § 3 Rz. 17; Spindler/Nink in Spindler/Schuster, Recht der elektronischen Medien, § 11 TMG Rz. 5b; Tinnefeld in Roßnagel, Handbuch
334
Hartung/Storm
I. Grundsatzfragen
Rz. 27
Teil 4
nen danach für die eine Stelle anonym (weil nicht personenbeziehbar) und für eine andere Stelle personenbezogen (da der betroffenen Person zuordenbar) sein1. Höchstrichterliche Gerichtsurteile sind zu dieser Frage, soweit ersichtlich, noch nicht ergangen. Die Europäischen Aufsichtsbehörden legen dagegen eher einen objekti- 26 ven Beurteilungsmaßstab an, unter Verweis auf Erwägungsgrund 26 der Richtlinie 95/46/EG2, wonach „alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen“3. Z.B. sollen kodierte, aber rückverfolgbare klinische Forschungsdaten weiterhin (pseudonymisierte) personenbezogene Daten sein. Durch ausreichende technische Maßnahmen, etwa eine nicht rücknehmbare Verschlüsselung (durch ausreichendes Hashing) erzielt man nicht mehr personenbezogene Daten4. Beim eben erwähnten Thema „IP-Adressen“ müsse man bei einer objektiven Sicht immer von personenbezogenen Daten ausgehen5. Hier ist durch die Datenschutz-Grundverordnung eine wichtige Ände- 27 rung zu erwarten, weil nach Art. 4 (1) des Entwurfs (entsprechend Erwägungsgrund 26 der Richtlinie 95/46/EG) ausreichen soll, wenn eine natürliche Person „durch den für die Verarbeitung Verantwortlichen oder
1 2
3
4 5
Datenschutzrecht, Kap. 4.1 Rz. 21; AG München, K&R 2008, 767 ff.; OLG Hamburg v. 3.11.2010 – 5 W 126/10, MMR 2011, 281/282. Dammann in Simitis, BDSG, § 3 Rz. 32 ff.; Gola/Schomerus, BDSG, § 3 Rz. 10; Stiemerling/Hartung, CR 2012, 60 (63). Neutral dagegen der Wortlaut zur Definition der personenbezogenen Daten in Art. 2 (a) Richtlinie 95/46/EG: „… als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.“ Art. 29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ v. 20.6.2007 (01248/07/DE – WP 136), S. 17 ff.: Neben einer Möglichkeit der Re-Identifizierung sollen Risiken eines Hacking-Angriffs oder eines Bruchs vertraglicher bzw. gesetzlicher Schweigepflichten berücksichtigt werden. Für einen objektiven Beurteilungsmaßstab auch: Breyer, NJW-Aktuell 2010, Nr. 11, S. 18; Karg, MMR-Aktuell 2011, 315811; Pahlen-Brandt, DuD 2008, 34 (37 ff.); Schaar, Datenschutz im Internet, Kap. 3 Rz. 174; Weichert in Däubler/ Klebe/Wedde/Weichert, BDSG, § 3 Rz. 13; LG Berlin v. 6.9.2007 – 23 S 3/07, K&R 2007, 603; VG Wiesbaden v. 27.2.2009 – 6 K 1045/08.WI, MMR 2009, 432; Weichert, Cloud Computing & Data Privacy, Abschnitt 3, https://www.daten schutzzentrum.de/cloud-computing/20100617-cloud-computing-and-data-priva cy.pdf. Art. 29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ v. 20.6.2007 (01248/07/DE – WP 136), S. 21 ff. Art. 29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ v. 20.6.2007 (01248/07/DE – WP 136), S. 19/20, Art. 29-Datenschutzgruppe, Stellungnahme 1/2008 zur Datenschutzfragen im Zusammenhang mit Suchmaschinen v. 4.4.2008 (00737/DE – WP 148), S. 9. Hartung/Storm
335
Teil 4
Rz. 28
Datenschutz
jede sonstige natürliche oder juristische Person“ bestimmt werden kann. Da eine Verordnung unmittelbar geltendes Recht darstellt, müsste man bei einem Beharren auf der subjektiven Ansicht zukünftig gegen den Wortlaut argumentieren und bewegt sich nicht „nur“ im Bereich der richtlinienkonformen Auslegung. Auch das jüngste Urteil des EuGH v. 24.11.2011 könnte man dergestalt auslegen, dass eine größtmögliche Harmonisierung erwünscht ist und Abweichungen in den Mitgliedsstaaten unzulässig sind, soweit es sich nicht nur um reine ausführende Bestimmungen handelt1. 28
Für das Cloud Computing ergeben sich daraus wichtige Konsequenzen: Bei der Verwendung von Pseudonymen gelangt man nur bei der subjektiven Betrachtungsweise zur Nicht-Anwendbarkeit des Datenschutzrechts für den Cloud-Anbieter (für den Abnehmer bleiben die Daten dagegen weiterhin personenbezogen). Dies kann einen großen Unterschied bei der Betrachtung der Zulässigkeit einer Übermittlung ausmachen. Die praktischen Auswirkungen dieses Meinungsstreits werden vor allem bei besonderen Arten personenbezogener Daten deutlich: Nach der Orientierungshilfe gelten bei einer Auftragsverarbeitung in Nicht-EWR-Ländern weder § 11 BDSG noch § 28 Abs. 1 Nr. 2 BDSG, sondern die Sonderregeln in § 28 Abs. 6–9 BDSG2. Danach wird bei objektiver Betrachtung die Datenverarbeitung im Rahmen von Cloud Computing meistens nicht zulässig sein. Bei subjektiver Beurteilung wäre dies bei hinreichender Verschlüsselung hingegen zulässig3. In der Orientierungshilfe haben die deutschen Aufsichtsbehörden außerdem auf die Gefahr hingewiesen, dass aus Sicht des Abnehmers vermeintlich als anonymisiert angesehene Daten durch die Verarbeitung in der Cloud reidentifizierbar werden, weil verschiedene Beteiligte Zusatzwissen für eine Reidentifizierung haben könnten4, wo-
1 EuGH v. 24.11.2011 – C-468/10 und C-469/10, Rz. 27 ff.; Allerdings ist die vorliegende Frage nicht ganz mit dem vom EuGH entschiedenen Sachverhalt vergleichbar: Es geht um die Auslegung des Wortlauts einer Norm, die naturgemäß in die eine oder andere Richtung beantwortet werden kann. Außerdem hatte der EuGH im entschiedenen Fall die Regelung des spanischen Rechts für europarechtswidrig gehalten, weil sie den freien Datenverkehr unzulässig einschränkte; mit der subjektiven Betrachtungsweise wird der freie Datenverkehr aber – im Vergleich zur objektiven Betrachtungsweise – erleichtert. 2 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, S. 11. 3 Stiemerling/Hartung, CR 2012, 60, 64; Heidrich/Wegener, MMR 2010, 803 (806 f.); ausführlich zum Meinungsstand: Spies, MMR-Aktuell 2011, 313727; vgl. auch BITKOM, Cloud Computing – Was Entscheider wissen müssen, S. 69 f., http://www.cloud-practice.de/know-how/cloud-computing-was-entscheider-wis sen-muessen. 4 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, S. 5.
336
Hartung/Storm
I. Grundsatzfragen
Rz. 29
Teil 4
bei zweifelhaft ist, ob ein solches Risikoszenario wirklich besteht1. Dies ist aber durch das Abstellen auf den konkreten Hintergrund des Anbieters immer noch Ausfluss der subjektiven Betrachtungsweise und nicht etwa ein Indiz für die objektive Auslegung2. Diese Betrachtungsweisen spielen auch bei der Verschlüsselung von Daten in der Cloud eine entscheidende Rolle. cc) Verschlüsselung Verschlüsselungstechnologien3 könnten beim Cloud Computing zur 29 Nicht-Anwendbarkeit des (deutschen) Datenschutzrechts auf verschlüsselte Daten für den Anbieter führen, falls es sich bei verschlüsselten Daten nicht mehr um personenbezogene Daten handeln sollte. Ist das Datenschutzrecht anwendbar, bleibt zu fragen, ob es im Hinblick auf verschlüsselte Daten ggf. geringere Anforderungen stellt (vgl. zur Frage, ob Verschlüsselung eine geeignete technisch-organisatorische Maßnahme ist, Rz. 116 ff.)4. Verschlüsselte Informationen sind für einen Dritten (aus dessen subjektiver Sicht) nicht personenbeziehbar, wenn er nicht über den Schlüssel verfügt5. Bei subjektiver Betrachtung (s.o.) führt eine Verschlüsselung deshalb zur partiellen Nicht-Anwendbarkeit des Datenschutzrechts, d.h. für den oder die Schlüsselinhaber sind die Daten nach wie vor personenbezogen, nicht aber für einen Dritten, für den eine Zuordnung aus (subjektiver) Sicht der die Daten verwendenden Stelle praktisch ausgeschlossen ist6. Bei objektiver Betrachtung (s.o.) würde eine Verschlüsselung dagegen nie ausreichen, um zur Nichtanwendbarkeit des BDSG zu gelangen, weil die Personenbeziehbarkeit danach nicht entfällt7. 1 So auch Schröder/Haag, ZD 2011, 147 (148): Es ist fraglich, welchen praktischen Fall die Aufsichtsbehörden im Blick haben. In der Praxis würde dies nur relevant, wenn der Anbieter oder dessen Subunternehmer eigenes Zusatzwissen hätten und dieses einsetzten. Das wäre aber keine Besonderheit, verglichen mit einem klassischen Outsourcing oder der klassischen Erbringung von IT-Leistungen durch Externe. Sofern die Aufsichtsbehörden aber die Vermengung und Vermischung von Daten verschiedener Kunden durch den Anbieter meinen, wäre dies zunächst technisch nur schwer mit einer Virtualisierung in Einklang zu bringen, bei verschiedenen unstrukturierten Datenbeständen ferner zweifelhaft und ohnehin ein Verstoß gegen das Trennungsgebot. 2 So aber Schröder/Haag, ZD 2011, 147 (148). 3 Vgl. Roßnagel/Scholz, MMR 2000, 721 (722); Stiemerling/Hartung, CR 2012, 60 ff. 4 Stiemerling/Hartung, CR 2012, 60 (63). 5 Vgl. zu dieser Diskussion auch die verschiedenen Ansichten: Schröder/Haag, ZD 2011, 147 (152); Spies, MMR-Aktuell 2011, 313727; Stiemerling/Hartung, CR 2012, 60 (63 ff.). 6 Vgl. Dammann in Simitis, BDSG, § 3 Rz. 32 ff.; Gola/Schomerus, BDSG, § 3 Rz. 10; Heidrich/Wegener, MMR 2010, 803 (806); Scholz in Simitis, BDSG, § 3 Rz. 217, 217a, Spindler/Nink in Spindler/Schuster, Recht der elektronischen Medien, § 11 TMG Rz. 5b; Stiemerling/Hartung, CR 2012, 60 (64 f.). 7 Wagner/Blaufuß, BB 2012, 1751. Hartung/Storm
337
Teil 4
Rz. 30
Datenschutz
30
Teilweise wird auch nach dem Grad der Verschlüsselung differenziert. Danach kann, wenn man den relativen Begriff der Personenbeziehbarkeit zu Grunde legt, eine Anonymisierung der Daten infolge Verschlüsselung nur bei einem besonders hohen Grad an Verschlüsselung gegeben sein. Dies wäre z.B. bei einem Archivierungssystem der Fall, wenn die Daten „stark“ verschlüsselt in die Cloud geschickt werden und dort nicht entschlüsselt werden müssen. Sollen die Daten in der Cloud zur Verarbeitung entschlüsselt werden, kann dieser Verschlüsselungsgrad aber regelmäßig nicht mehr erreicht werden1. Somit ist für die Praxis auch zwischen verschiedenen Cloud-Diensten zu unterscheiden: Während man bei einem IaaS-Dienst verschlüsselte Daten in der Cloud speichern kann und eine Entschlüsselung nur lokal auf dem Rechner des Abnehmers erfolgen kann, wird bei SaaS-Diensten häufig die Entschlüsselung beim Anbieter Voraussetzung für den eigentlichen Verarbeitungsvorgang sein (solange dafür entwickelte Verfahren wie die homomorphe Verschlüsselung noch nicht marktreif sind)2.
31
Wenn man von der subjektiven Betrachtungsweise ausgeht, bleibt zu fragen, welcher Maßstab an eine solche Verschlüsselung anzulegen ist. Für die Feststellung der „Bestimmbarkeit“ ist nicht auf eine theoretische, hypothetische oder abstrakte Möglichkeit zur Bestimmung der Person abzustellen3, weil sich nahezu jede Angabe über die Verhältnisse einer Person auf irgendeine, sei es noch so fernliegende Weise dem Betroffenen zuordnen lässt. Intention des Gesetzgebers war es aber nicht, auch den Umgang mit solchen Angaben dem Regime des BDSG zu unterwerfen, die aller Wahrscheinlichkeit und Lebenserfahrung nach niemals einer Person zugeordnet werden4. Dabei sind neben den Kosten der Identifizierung insbesondere vorhandenes und erwerbbares Zusatzwissen, die gegenwärtigen und künftigen technischen Möglichkeiten der elektronischen Datenverarbeitung (Stand der Technik), der mögliche Aufwand, die Risiken der ergriffenen Schutzmaßnahmen und die Speicherdauer zu
1 Splittgerber/Rockstroh, BB 2011, 2179 (2181); Wagner/Blaufuß, BB 2012, 1751. 2 Stiemerling/Hartung, CR 2012, 60 (65). 3 Art. 29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ v. 20.6.2007 (01248/07/DE – WP 136), S. 17; Roßnagel/Scholz, MMR 2000, 721 (726). 4 Vgl. etwa Art. 29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ v. 20.6.2007 (01248/07/DE – WP 136), S. 5, wonach der Anwendungsbereich der Datenschutzbestimmungen nicht zu stark ausgeweitet werden soll; ähnlich Buchner in Taeger/Gabel, BDSG, § 3 Rz. 12 f.: Wenn die Wahrscheinlichkeit des Eintritts einer Persönlichkeitsbeeinträchtigung nahezu ausgeschlossen ist, verbietet das Verhältnismäßigkeitsprinzip eine gesetzliche Beschränkung der subjektiven Rechte des Verwenders (durch Statuierung eines Legitimationserfordernisses) zugunsten der Abwehr eines minimalen Restrisikos der Betroffenen. A.A. wohl Dammann in Simitis, BDSG, § 3 Rz. 38, wonach die verantwortliche Stelle bei Restzweifeln an einem Personenbezug von einer Anwendung des Datenschutzrechts ausgehen sollte.
338
Hartung/Storm
I. Grundsatzfragen
Rz. 33
Teil 4
berücksichtigen1. Wird ein großer Datenbestand übermittelt, und sind für den Empfänger ggf. wenige einzelne Betroffene aufgrund speziellen Zusatzwissens identifizierbar, so soll die übermittelnde Stelle noch von ausreichender Anonymisierung ausgehen dürfen2. Bei einer Verschlüsselung sind somit der Zeitrahmen der Speicherung 32 und die technische Entwicklung zu berücksichtigen, weil heute noch als sicher geltende Verschlüsselungen in absehbarer Zeit schon als einfach dekodierbar gelten können3. c) Bestimmung des anwendbaren deutschen Gesetzes Zur Abgrenzung der Anwendungsbereiche innerhalb des deutschen 33 Rechts gilt grundsätzlich das BDSG für private Stellen und öffentliche Stellen des Bundes. Nach § 1 Abs. 3 Satz 1 BDSG gehen speziellere Rechtsvorschriften des Bundes vor, z.B. das SGB für Sozialdaten (vgl. hierzu ausführlich Teil 8 E) sowie das TMG bzw. das TKG (vgl. hierzu ausführlich Teil 8 A)4. Für öffentliche Stellen der Länder gelten die jeweiligen Landesdatenschutzgesetze, die in diesem Kapitel nicht näher behandelt werden und vom Bundesrecht abweichen können5.
1 Art. 29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ v. 20.6.2007 (01248/07/DE – WP 136), S. 18: „Der beabsichtigte Zweck, die Strukturierung der Verarbeitung, der von dem für die Verarbeitung Verantwortlichen erwartete Vorteil, die auf dem Spiel stehenden Interessen für die Personen sowie die Gefahr organisatorischer Dysfunktionen (z.B. Verletzung von Geheimhaltungspflichten) und technischer Fehler sollten ebenfalls Berücksichtigung finden. Gleichwohl handelt es sich um eine dynamische Prüfung, die den Stand der Technik zum Zeitpunkt der Verarbeitung und die Entwicklungsmöglichkeiten in dem Zeitraum berücksichtigen sollte, für den die Daten verarbeitet werden. Wenn alle Mittel berücksichtigt werden, die heute vernünftigerweise eingesetzt werden könnten, ist die Identifizierung heute unter Umständen nicht möglich. Wenn die Daten einen Monat lang aufbewahrt werden, ist eine Identifizierung während dieser „Lebensdauer“ so gut wie nicht zu erwarten, und folglich sind die Daten nicht als „personenbezogen“ anzusehen. Bei einer Aufbewahrungsdauer von zehn Jahren hingegen sollte der für die Verarbeitung Verantwortliche die Möglichkeit der Identifizierung berücksichtigen, die im neunten Jahr der Aufbewahrungsdauer der Daten entstehen könnte und die sie in diesem Moment zu personenbezogenen Daten machen würden. Das System sollte diesen Entwicklungen angepasst werden können und dann zum gegebenen Zeitpunkt die geeigneten technischen und organisatorischen Maßnahmen einbeziehen.“ 2 Gola/Schomerus, BDSG, § 3 Rz. 10. 3 Spies, MMR-Aktuell 2011, 313727. 4 Ausführlich zu den in Betracht kommenden Sonderregelungen; Plath in Plath, BDSG, § 1 Rz. 37. Zu TMG und TKG: Opfermann, Datenschutzkonforme Vertragsgestaltung im Cloud Computing, S. 129. 5 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, S. 5. Hartung/Storm
339
Teil 4
Rz. 34
Datenschutz
34
Von der Einordnung eines Cloud-Dienstes als Telekommunikationsdienst bzw. als Telemediendienst hängt die Anwendbarkeit des TKG bzw. des TMG ab. Sofern der Schwerpunkt des Cloud-Dienstes in der telekommunikationstechnischen Übertragung von Daten liegt bzw. dem telekommunikativen Bestandteil eine eigenständige, nicht nur untergeordnete, über diejenige einer Nebenleistung hinausgehende Bedeutung zukommt1 (z.B. bei E-Mail-Services, VoIP-Angeboten oder Videokonferenzen), findet das TKG Anwendung. Die Übertragung der Daten innerhalb eines Rechenzentrums oder zwischen verschiedenen Servern, die nur der eigentlichen Datenverarbeitung dient, ist dagegen kein telekommunikativer Vorgang und unterfällt nicht dem TKG2. Von der Anwendbarkeit des TKG wäre daher allenfalls bei CaaS (Communication as a Service) auszugehen.
35
Sofern die im Rahmen des Cloud-Dienstes erfolgende IT- bzw. Softwarenutzung nur eine Hilfsfunktion für den eigentlichen Cloud-Dienst (z.B. eine Suchmaschine oder eine Versteigerungsplattform) darstellt, ist der Cloud-Dienst ein Telemediendienst und es gilt das TMG. Ist die IT- bzw. Softwarenutzung die Hauptleistung, so fehlt dem Cloud-Dienst das für einen Telemediendienst erforderliche kommunikative Element und das TMG ist nicht anwendbar3. Vor allem Cloud-Filehoster können daher regelmäßig als Telemedienanbieter betrachtet werden4.
36
Inhaltsdaten, die eine Dienstleistung oder ein Geschäft selbst betreffen, wie etwa mithilfe des Cloud-Dienstes erstellte E-Mails, bzw. personenbezogene Daten einer außenstehenden Person5 unterfallen schließlich dem BDSG. TKG und TMG bleiben auch im Falle ihrer Anwendbarkeit den Bestands- und Nutzungsdaten (§ 3 Nr. 3, 30 TKG, §§ 14, 15 TMG) vorbehalten, während für Inhaltsdaten das BDSG gilt6.
1 Boos/Kroschwald/Wicker, ZD 2013, 205 (206). 2 Schuster/Reichl, CR 2010, 38 (43); Heidrich/Wegener, MMR 2010, 803 (805); Leupold/Glossner, IT-Recht, Teil 1, Rz. 368; Opfermann, Datenschutzkonforme Vertragsgestaltung im Cloud Computing, S. 130; Boos/Kroschwald/Wicker, ZD 2013, 205 (206). 3 Schuster/Reichl, CR 2010, 38 (42); Hilber/Knorr/Müller, CR 2011, 417 (421); Hullen/Roggenkamp in Plath, TMG, § 11 Rz. 9; kritisch und differenzierend: Heidrich/Wegener, MMR 2010, 803 (805); differenzierend: Opfermann, Datenschutzkonforme Vertragsgestaltung im Cloud Computing, S. 130 f. (TMG gilt zwischen Anbieter und Abnehmer; insbesondere gelten für den Anbieter die Haftungserleichterungen der §§ 7–10 TMG). 4 Boos/Kroschwald/Wicker, ZD 2013, 205 (206). 5 Opfermann, Datenschutzkonforme Vertragsgestaltung im Cloud Computing, S. 130. 6 Zum Ganzen: Boos/Kroschwald/Wicker, ZD 2013, 205 (206 f.).
340
Hartung/Storm
I. Grundsatzfragen
Rz. 39
Teil 4
4. Gerichtsstand a) Auseinandersetzungen mit Aufsichtsbehörden Aufsichtsbehörden für den Datenschutz sind nach § 38 Abs. 6 BDSG für 37 den Bereich der Privatwirtschaft die von den jeweiligen Bundesländern ernannten Datenschutzbehörden1. Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit ist im Bereich der Privatwirtschaft nur für Unternehmen der Telekommunikation und der Postaufsichtsbehörde zuständig nach § 115 Abs. 4 TKG2. Beschwerden gegen Verwaltungsmaßnahmen der Aufsichtsbehörden, wie 38 etwa Anordnungen oder sonstige Maßnahmen nach § 38 Abs. 3–5 BDSG unterliegen den Bestimmungen des Verwaltungsverfahrensgesetzes und sind Gegenstand eines Verwaltungsgerichtsverfahrens nach der VwGO3. Je nachdem, ob eine aufsichtsbehördliche Maßnahme ein Verwaltungsakt, unmittelbarer behördlicher Zwang (z.B. im Rahmen einer Kontrolle nach § 38 Abs. 4 BDSG) oder Sonstiges ist, kann z.B. die Anfechtungsklage (bei Verwaltungsakten), eine Feststellungsklage (bei zu klärenden Rechten und Pflichten aus Rechtsverhältnissen) oder eine allgemeine Leistungsklage (bei begehrten oder zu unterlassenden Realakten) statthaft sein4. Sofern eine verantwortliche Stelle gegen ein von einer Aufsichtsbehörde 39 verhängtes Bußgeld nach § 43 BDSG5 vorgehen möchte, muss sie entsprechende Rechtsbehelfe nach dem Gesetz über Ordnungswidrigkeiten (Einspruch, § 67 Abs. 1 Satz 1 OWiG) einlegen. Bei einem Einspruch gegen einen Bußgeldbescheid geht das Verfahren dann nach § 68 Abs. 1 Satz 1 OWiG zum zuständigen Amtsgericht und mündet dort in ein ge-
1 Gola/Schomerus, BDSG, § 38 Rz. 29; Petri in Simitis, BDSG, § 38 Rz. 16; Grittmann in Taeger/Gabel, BDSG, § 38 Rz. 42; Schaffland/Wiltfang, BDSG, § 38 Rz. 1; Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, § 38 Rz. 4. Unmittelbar in die Landesverwaltung eingegliederte Behörden, wie Innenministerien oder Regierungspräsidien, wurden vom EuGH wegen fehlender Unabhängigkeit der Aufsichtsbehörden für unzulässig erklärt, seither wurde die Behördenstruktur teilweise umgestellt: EuGH v. 9.3.2010 – C-518/07; Gola/Schomerus, BDSG, § 38 Rz. 30 f.; Petri in Simitis, BDSG, § 38 Rz. 11 ff.; Grittmann in Taeger/Gabel, BDSG, § 38 Rz. 43 ff.; Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, § 38 Rz. 6. 2 Gola/Schomerus, BDSG, § 38 Rz. 29a; Petri in Simitis, BDSG, § 38 Rz. 18; Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, § 38 Rz. 2. 3 § 40 Abs. 1 VwGO; das BDSG enthält insoweit keine Spezialregelungen. 4 Insoweit gelten die allgemeinen Grundsätze des Verwaltungsprozessrechts. Siehe auch Grittmann in Taeger/Gabel, BDSG, § 38 Rz. 52. 5 Die nach allgemeinen Vorschriften des OWiG (siehe § 36 Abs. 1, 2 OWiG) zuständigen obersten Landesbehörden haben, soweit sie nicht selbst die Aufsicht wahrnehmen, in der Mehrzahl der Bundesländer den Aufsichtsbehörden die Zuständigkeit übertragen, Gola/Schomerus, BDSG, § 43 Rz. 28; Mackenthun in Taeger/Gabel, BDSG, § 43 Rz. 6, 73; Schaffland/Wiltfang, BDSG, § 43 Rz. 53; Klebe in Däubler/Klebe/Wedde/Weichert, BDSG, § 43 Rz. 23. Hartung/Storm
341
Teil 4
Rz. 40
Datenschutz
richtliches Verfahren, für das grundsätzlich die strafprozessualen Vorschriften gelten (§ 71 Abs. 1 OWiG)1. b) Auseinandersetzungen zwischen verantwortlicher Stelle und Betroffenen 40
Bei Auseinandersetzungen zwischen einer privatrechtlichen verantwortlichen Stelle und Betroffenen, z.B. um die Durchsetzung der Betroffenenrechte nach §§ 33 ff. BDSG, um Unterlassungsbegehren gegen eine rechtswidrige Datenverarbeitung oder um die Geltendmachung von Ansprüchen auf Schadensersatz (etwa nach § 7 BDSG), ist der Zivilrechtsweg2 eröffnet und etwa der Antrag auf Erlass einer einstweiligen Verfügung gegen eine rechtswidrige Datenverarbeitung oder eine Leistungsklage auf Schadensersatz oder auf Auskunft statthaft.
II. Datenschutzrechtliche Erlaubnistatbestände für Cloud Computing 41
Nach § 4 Abs. 1 BDSG muss jede Erhebung, Verarbeitung oder Nutzung personenbezogener Daten von einem Erlaubnistatbestand gedeckt sein (Verbot mit Erlaubnisvorbehalt), d.h. einer Einwilligung der Betroffenen, eines gesetzlichen Erlaubnistatbestandes des BDSG oder anderer Rechtsvorschriften3. Die datenschutzrechtliche Zulässigkeit von Cloud Computing wurde wegen der nicht nachvollziehbaren Lokation der Daten sowie der Schwierigkeit des Auftraggebers, die Einhaltung der technischorganisatorischen Maßnahmen beim Auftragnehmer zu prüfen, angezweifelt. Eine grundsätzliche Unzulässigkeit lässt sich aber bereits den bisherigen Stellungnahmen4 nicht entnehmen. Die Orientierungshilfe
1 Schaffland/Wiltfang, BDSG, § 43 Rz. 55. 2 Gola/Schomerus, BDSG, § 34 Rz. 25; Dix in Simitis, BDSG, § 33 Rz. 123, § 34 Rz. 102, § 35 Rz. 82; Meents in Taeger/Gabel, BDSG, § 34 Rz. 54, § 35 Rz. 52; Däubler in Däubler/Klebe/Wedde/Weichert, BDSG, § 34 Rz. 58, § 35 Rz. 47. 3 Andere Rechtsvorschriften können solche des Bundes wie solche der Länder sein, aber auch kommunale Satzungen, sonstige Satzungen von Körperschaften sowie normative Teile von Tarifverträgen und Betriebs- bzw. Dienstvereinbarungen, s. Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, § 4 Rz. 2; zur Betriebsvereinbarung bei Beschäftigtendaten s. auch: Gaul/Koehler, BB 2011, 2229 (2234); Gola/Schomerus, BDSG, § 4 Rz. 10; Schaffland/Wiltfang, BDSG, § 4 Rz. 3; Taeger in Taeger/Gabel, BDSG, § 4 Rz. 34 ff.; zu weiteren Rechtsvorschriften s. § 5 ArbSchG, § 840 Abs. 1 ZPO, § 236 FamFG, § 161 StPO, § 93 Abs. 1 Satz 1 AO, auch i.V.m. § 249 Abs. 2 AO, § 50 Abs. 1 Nr. 2 JArbschG, § 19 Abs. 1 Nr. 2 MuSchG und dazu Taeger in Taeger/Gabel, BDSG, § 4 Rz. 32; s. auch § 21g EnWG. 4 23. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit, 2009–2010, S. 63 f.; Stellungnahme des Deutschen Anwaltsvereins Nr. 43/2011.
342
Hartung/Storm
II. Datenschutzrechtliche Erlaubnistatbestnde
Rz. 43
Teil 4
stellt ausdrücklich fest, dass Cloud Computing (sogar unter Einschaltung von Drittland-Anbietern) datenschutzrechtlich zulässig ausgestaltet werden kann1. Die möglichen Erlaubnisnormen werden nachfolgend im Hinblick auf das Cloud Computing analysiert, wobei zwischen Angeboten an Verbraucher (B2C) sowie Angeboten an Unternehmen (B2B) zu unterscheiden ist. Nicht jeder mögliche Erlaubnistatbestand kann für beide Formen des Angebots gleich sinnvoll eingesetzt werden. 1. Auftragsdatenverarbeitung Bei einer Auftragsdatenverarbeitung wird der Auftragsdatenverarbeiter 42 (Cloud-Anbieter) im Auftrag und auf Weisung des Auftraggebers (Cloud Abnehmer) tätig und darf daher im selben Umfang Daten erheben, verarbeiten oder nutzen wie der Auftraggeber. Eine Auftragsdatenverarbeitung2 nach § 11 BDSG dürfte der Normalfall bei einem Cloud-Angebot sein3. Obwohl dies – wie zu zeigen ist – nicht selbstverständlich ist, gehen die Aufsichtsbehörden in ihren Stellungnahmen davon im Regelfall aus4. Primärer Zweck der Einordnung des Abnehmers als verantwortliche Stelle und des Anbieters als Auftragsdatenverarbeiter5 ist die Zuweisung der Verantwortung für die Einhaltung des Datenschutzes und die Rechte der Betroffenen6. Die Auftragsdatenverarbeitung durch den Anbieter setzt voraus, dass 43 sein Gegenüber, der Abnehmer, verantwortliche Stelle i.S.v. § 3 Abs. 7 BDSG ist. Bei Privatpersonen (vor allem bei B2C Angeboten) sind die in §§ 27 ff. BDSG enthaltenen Erlaubnistatbestände nicht anwendbar, wenn die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt (§ 27 Abs. 1 Satz 2 BDSG)7,
1 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.4.2 (S. 10 ff.). 2 Weichert, Cloud Computing & Data Privacy, Abschnitt 6.1, https://www.daten schutzzentrum.de/cloud-computing/20100617-cloud-computing-and-data-priva cy.pdf. 3 BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 52, http://www.bitkom.org/files/documents/BITKOM-Leitfaden-Cloud Computing_Web.pdf. 4 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.1 (S. 8); Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 1 (S. 5), Ziff. 3.3.1 (S. 9 f.); Weichert, DuD 2010, 679 (682). 5 Vgl. nur Weichert, DuD 2010, 679 (682); Thalhofer, CCZ 2011, 222 (223). 6 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.3 (S. 9). 7 Gola/Schomerus, BDSG, § 27 Rz. 11; Simitis, BDSG, § 27 Rz. 43 ff.; Buchner in Taeger/Gabel, BDSG, § 27 Rz. 18 f.; Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 27 Rz. 16 f.; Schaffland/Wiltfang, BDSG, § 27 Rz. 9a. Hartung/Storm
343
Teil 4
Rz. 44
Datenschutz
bzw. das BDSG ist nach § 1 Abs. 2 Nr. 3 BDSG insgesamt nicht anwendbar. Damit kann der Abnehmer keine verantwortliche Stelle sein und der Anbieter sich nicht auf die abgeleitete Befugnis des Abnehmers zur Datenverarbeitung berufen. Der Anbieter muss für die Verarbeitung personenbezogener Daten daher selbst eine Ermächtigungsgrundlage schaffen, sofern das deutsche Datenschutzrecht auf ihn überhaupt anwendbar ist (vgl. zuvor Rz. 15 ff.). Für ausländische Anbieter kann daher der Fall vorliegen, dass für ihn das deutsche Datenschutzrecht aus territorialen Gründen keine Anwendung findet und für den Abnehmer wegen der eben genannten Ausnahme des Datenschutzrechts ebenfalls nicht Anwendung findet. Aber im Normalfall stellt bei einem Cloud-Angebot für Privatpersonen für deren persönliche oder familiäre Zwecke die Einwilligungserklärung die bevorzugte Ermächtigungsgrundlage dar. 44
Ferner wurde in Frage gestellt, ob eine Auftragsdatenverarbeitung vorliegt, wenn der Anbieter Aufgaben übernimmt, die über die Bereitstellung und die Aufrechterhaltung der IT-Funktion hinausgehen, jedoch keinen Zugriff auf die bei ihm befindlichen Daten erlangen kann1. Entweder ist das Datenschutzrecht nicht anwendbar (vgl. Rz. 21 ff.) oder es ist entsprechend § 11 Abs. 5 BDSG ein Fall einer Auftragsdatenverarbeitung, wenn ein Zugriff des Anbieters auf die ihm überlassenen Daten nicht ausgeschlossen werden kann. a) Auswirkungen der Einordnung nach § 11 BDSG
45
Bei einer Auftragsdatenverarbeitung nach § 11 BDSG gilt der Auftragnehmer nach § 3 Abs. 8 Satz 3 BDSG nicht als Dritter und es findet keine Übermittlung personenbezogener Daten statt2. Der Auftragnehmer ist aufgrund derselben rechtlichen Erlaubnis und im gleichen Umfang zur Datenverarbeitung befugt wie der Auftraggeber3. Die Verantwortlichkeit für die Einhaltung der datenschutzrechtlichen Bestimmungen bleibt nach § 11 Abs. 1 Satz 1 BDSG ausschließlich beim Auftraggeber4. Die deutschen Aufsichtsbehörden haben diese Verantwortung für das Cloud Computing betont: „Die verantwortliche Stelle hat die Rechtmäßigkeit der gesamten Datenverarbeitung zu gewährleisten, insbesondere muss sie ihren Löschpflichten nachkommen (§ 35 Abs. 2 BDSG), unrichtige Daten berichtigen (§ 35 Abs. 1 BDSG), für eine Sperrung von Daten sorgen (§ 35 1 Engels, K&R 2011, 548 (549 f.). 2 Gola/Schomerus, BDSG, § 11 Rz. 3 f.; Petri in Simitis, BDSG, § 11 Rz. 43; Gabel in Taeger/Gabel, BDSG, § 11 Rz. 2; Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, § 3 Rz. 63; Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 11 Rz. 18; Schaffland/Wiltfang, BDSG, § 11 Rz. 1; Plath in Plath, BDSG, § 11 Rz. 2. 3 Petri in Simitis, BDSG, § 11 Rz. 43; „rechtliche Einheit“: Gabel in Taeger/Gabel, BDSG, § 11 Rz. 2. 4 Gola/Schomerus, BDSG, § 11 Rz. 3 f.; Petri in Simitis, BDSG, § 11 Rz. 20, 48; Gabel in Taeger/Gabel, BDSG, § 11 Rz. 3; Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 11 Rz. 17, 22 ff.; Schaffland/Wiltfang, BDSG, § 11 Rz. 10; Engels, K&R 2011, 548; Plath in Plath, BDSG, § 11 Rz. 3.
344
Hartung/Storm
II. Datenschutzrechtliche Erlaubnistatbestnde
Rz. 48
Teil 4
Abs. 3 BDSG) und dem Betroffenen (§ 3 Abs. 1 BDSG) u.a. Auskünfte über die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, erteilen (§ 34 Abs. 1 BDSG). Zur Erfüllung der entsprechenden gesetzlichen Bestimmungen muss die verantwortliche Stelle besondere Vorkehrungen treffen“1. Den Gegensatz zur Auftragsdatenverarbeitung bildet die „Funktions- 46 übertragung“2, bei der Anbieter und Abnehmer jeweils eigenständige verantwortliche Stellen i.S.v. § 3 Abs. 7 BDSG darstellen. Das Zugänglichmachen von personenbezogenen Daten an den Anbieter bedeutet in diesem Fall eine Übermittlung an einen Dritten gemäß § 3 Abs. 4 Nr. 3 BDSG3, die einer Ermächtigungsgrundlage nach § 4 Abs. 1 BDSG bedarf, z.B. einer Einwilligung der Betroffenen oder eines Erlaubnistatbestandes nach § 28 BDSG (vgl. nachfolgend Rz. 54 ff.). Auch die weitere Verwendung der personenbezogenen Daten durch den Anbieter bedarf dann einer solchen Ermächtigungsgrundlage, für deren Vorliegen (anders als bei der Auftragsdatenverarbeitung) allein der Anbieter verantwortlich zeichnet. Während dies in der Praxis häufig zu ähnlichen Ergebnissen führt, zeigen 47 sich die Unterschiede bei besonderen Arten personenbezogener Daten, weil dort wesentlich enger gefasste gesetzliche Erlaubnistatbestände bestehen, die eine Cloud-Verarbeitung oft nicht zulassen (vgl. nachstehend Rz. 58 f.). Anders und vorteilhafter bei der Auftragsdatenverarbeitung: § 11 BDSG enthält zwar keine Sonderregelung. Dennoch ist anerkannt, dass die Auftragsdatenverarbeitung für besondere Arten personenbezogener Daten möglich ist4. Es sind gesteigerte technisch-organisatorische Maßnahmen zu vereinbaren, um dem erhöhten Schutzbedürfnis dieser Datenarten gerecht zu werden. b) Unterscheidung von Auftragsdatenverarbeitung und Funktionsübertragung Ob eine Auftragsdatenverarbeitung vorliegt oder nicht, ist nach herr- 48 schender Ansicht, unabhängig von den zugrunde liegenden zivilrecht1 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, S. 5 bzw. Ziff. 3.1 (S. 8). 2 Hoeren in Roßnagel, Handbuch Datenschutzrecht, Kap. 4.6 Rz. 96; Weichert, Cloud Computing & Data Privacy, Abschnitt 6.2, https://www.datenschutzzent rum.de/cloud-computing/20100617-cloud-computing-and-data-privacy.pdf; Gola/Schomerus, BDSG, § 11 Rz. 9; Petri in Simitis, BDSG, § 11 Rz. 22; Gabel in Taeger/Gabel, BDSG, § 11 Rz. 14; Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 11 Rz. 14 ff.; Schaffland/Wiltfang, BDSG, § 11 Rz. 7; Plath in Plath, BDSG, § 11 Rz. 28. 3 Sutschet, RDV 2004, 97 (98); Petri in Simitis, BDSG, § 11 Rz. 22; Gola/Schomerus, BDSG, § 11 Rz. 9; Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 11 Rz. 14; Schaffland/Wiltfang, BDSG, § 11 Rz. 7. 4 Gabel in Taeger/Gabel, BDSG, § 11 Rz. 11; vgl. auch Petri in Simitis, BDSG, § 11 Rz. 91; Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 11 Rz. 27. Hartung/Storm
345
Teil 4
Rz. 48
Datenschutz
lichen Verträgen, eine Frage der tatsächlichen Gegebenheiten1. Voraussetzung für eine Auftragsdatenverarbeitung ist ein weisungsgebundenes abhängiges Tätigwerden des Auftragnehmers für den Auftraggeber, der weiterhin „Herr der Daten“2 bleibt; dabei ist wesentlich, dass der Auftraggeber über die Zwecke und wesentlichen Mittel der Datenverarbeitung entscheidet3. Beispiele sind der Betrieb eines Rechenzentrums bzw. die Übernahme der Datenverarbeitung4 oder ein Call-Center5 bei genau definierten Service-Leistungen6. Die selbständige Wahrnehmung von Aufgaben mit eigener Entscheidungsbefugnis bzw. die Übertragung von gesamten Aufgabengebieten an den Anbieter oder wenn der Anbieter damit überwiegend eigene Geschäftszwecke erfüllt, ist eine Funktionsübertragung und der Anbieter wird selbst zur (insoweit) verantwortlichen Stelle7. Dies liegt insbesondere vor, wenn er über die rechnerische Durchführung der Verarbeitung hinaus materielle Leistungen mit Hilfe der überlassenen Daten erbringt und hierbei weitreichende eigene Entscheidungsbefugnisse hat8. Anerkannte Beispiele sind die Beauftragung eines externen Meinungsforschungsinstituts mit der Durchführung einer Meinungsumfrage9, die Übernahme der Aufgaben der Personalverwaltung durch die Konzernmutter für alle Konzernunternehmen10, wenn Löhne und Gehälter eigenständig errechnet, verwaltet und ausgezahlt 1 Sutschet, RDV 2004, 97 (99); Petri in Simitis, BDSG, § 11 Rz. 22; Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 11 Rz. 14. 2 Vander, K&R 2010, 292 (294); Leupold/Glossner, IT-Recht, Teil 5 Rz. 350; Niemann/Hennrich, CR 2010, 686 (687); Plath in Plath, BDSG, § 11 Rz. 49. 3 Hoeren in Roßnagel, Handbuch Datenschutzrecht, Kap. 4.6 Rz. 94; Schaffland/ Wiltfang, BDSG, § 11 Rz. 7; Hilber/Knorr/Müller, CR 2011, 417 (421); vgl. auch Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 11 Rz. 14; Funke/Wittmann, ZD 2013, 221 (223, 226 f.). 4 Gola/Schomerus, BDSG, § 11 Rz. 7; Schaffland/Wiltfang, BDSG, § 11 Rz. 7; Petri in Simitis, BDSG, § 11 Rz. 30, 32, 33 zu Cloud Computing, Hosting und Housing sowie Rz. 35 zur Konzerndatenverarbeitung. 5 Plath in Plath, BDSG, § 11 Rz. 31. 6 Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortliche“ und „Auftragsverarbeiter v. 16.2.2010 (00264/10/DE – WP 169), S. 34; Petri in Simitis, BDSG, § 11 Rz. 29; zur besonderen Problematik bei virtuellen Festplatten und Sharehostern vgl. Becker, WRP 2013, 41 (45); vertiefend zur urheberrechtlichen Ausgangsproblematik bei Sharehostern: Rössel, CR 2013, 229; BGH v. 12.7.2012 – I ZR 18/11, BGHZ 194, 339. 7 Gola/Schomerus, BDSG, § 11 Rz. 9; Hoeren in Roßnagel, Handbuch Datenschutzrecht, Kap. 4.6 Rz. 97 f.; Schaffland/Wiltfang, BDSG, § 11 Rz. 7 m.w.N.; Petri in Simitis, BDSG, § 11 Rz. 22 f.; kritisch gegenüber dieser h.M.: Sutschet, RDV 2004, 97 (100 ff.); Kahler, RDV 2012, 167 (168); Weichert, DuD 2010, 679 (683). 8 Petri in Simitis, BDSG, § 11 Rz. 23; vgl. auch die Hinweise der Aufsichtsbehörden, StAnz. Baden-Württemberg v. 1.4.1981, Nr. 26, 5 f. 9 Gola/Schomerus, BDSG, § 11 Rz. 9; differenzierend s. Plath in Plath, BDSG, § 11 Rz. 32. 10 Gola/Schomerus, BDSG, § 11 Rz. 9; Schaffland/Wiltfang, BDSG, § 11 Rz. 7; Petri in Simitis, BDSG, § 11 Rz. 37; Wronka, RDV 2003, 132 (133); Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 11 Rz. 15.
346
Hartung/Storm
II. Datenschutzrechtliche Erlaubnistatbestnde
Rz. 50
Teil 4
werden (im Gegensatz zu einer bloß ausführenden Lohn- und Gehaltsabrechnung)1, oder die Übermittlung von Daten vom Franchise-Geber an ein Franchise-Unternehmen2. Zur Beauftragung von Anbietern in Drittländern, die ebenfalls eine Funktionsübertragung darstellt3, vgl. nachstehend Rz. 235. Nach dem Arbeitspapier 169 der Art. 29-Datenschutzgruppe4 ist es kennzeichnend für einen Auftragsdatenverarbeiter, dass der Auftraggeber die wesentlichen Entscheidungen über die betroffenen personenbezogenen Daten, die Zweckbestimmung, den Umfang der Verarbeitung und die Auswahl der eingesetzten Mittel und Systeme selbst trifft5. Wenn ein Cloud-Angebot vom Anbieter eigenverantwortlich erstellt und 49 einer Vielzahl von Abnehmern angeboten wird, ist fraglich, welche Entscheidungsbefugnisse der einzelne Abnehmer hat. Sowohl die Art der möglicherweise damit zu verarbeitenden Daten sowie Umfang und Zweck einer Datenverarbeitung können durch das jeweilige Cloud-Angebot vorgegeben sein. Vor allem sind aber die eingesetzten Mittel und Systeme sowie die technisch-organisatorischen Maßnahmen in der Regel vom Anbieter gestaltet. Der Abnehmer hat lediglich die Möglichkeit, ein Angebot zu beziehen oder nicht. Aufgrund dieser Überlegung könnte man argumentieren, dass der Anbieter kein Auftragsdatenverarbeiter ist, sondern (mit-)verantwortliche Stelle. Dagegen sprechen jedoch verschiedene Argumente. Zunächst muss hier 50 nach den verschiedenen Cloud-Betriebsmodellen unterschieden werden. Bei einer Private Cloud geht es um die dedizierte Bereitstellung von auf die Wünsche des Abnehmers angepasste Services für einen definierten Abnehmer. Aber auch bei Public-Cloud-Angeboten, in denen einmal definierte Services generell für einen unbeschränkten Kundenkreis bereitgestellt werden, hat, je nach Verhandlungsposition von Abnehmer und
1 Schaffland/Wiltfang, BDSG, § 11 Rz. 7. 2 Schaffland/Wiltfang, BDSG, § 11 Rz. 1b; Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 11 Rz. 12. 3 Kahler, RDV 2012, 167 (168); Weichert, DuD 2010, 679 (682); Maisch, AnwZert ITR 15/2009, Anm. 4; Thalhofer, CCZ 2011, 222 (223); Plath in Plath, BDSG, § 11 Rz. 51 (vgl. aber Rz. 53). BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 52, http://www.bitkom.org/files/docu ments/BITKOM-Leitfaden-CloudComputing_Web.pdf. 4 Art. 29-Datenschutzgruppe WP 169 Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortliche“ und „Auftragsverarbeiter“ v. 16.2.2010, S. 32 f. 5 Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortliche“ und „Auftragsverarbeiter“ v. 16.2.2010 (00264/10/DE – WP 169), S. 32 f.; Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.1 (S. 8). Vgl. in der Literatur: Gola/Schomerus, BDSG, § 11 Rz. 6 ff.; Kramer/Hermann, CR 2003, 938; Sutschet, RDV 2004, 97 ff.; Petri in Simitis, BDSG, § 11 Rz. 22 ff. Hartung/Storm
347
Teil 4
Rz. 51
Datenschutz
Anbieter, der Abnehmer unter Umständen erhebliche Einflussmöglichkeiten und Entscheidungsbefugnisse. 51
Abgesehen davon kann man jedenfalls die Entscheidungsbefugnis über die einzubeziehenden personenbezogenen Daten, die Zweckbestimmung und den Umfang der Verarbeitung in den allermeisten Fällen dem Abnehmer zuschreiben. Nimmt er einen Cloud-Dienst in Anspruch, muss er sich im Rahmen der durch einen Dienst vorgegebenen Funktionalitäten und Möglichkeiten bewegen. Die Entscheidung darüber, ob er diesen Dienst überhaupt in Anspruch nehmen möchte, welche Daten er damit verarbeitet und für welche Zwecke und was er damit macht, obliegt ihm selbst1. Insofern ist kein grundlegender Unterschied zu einem vom Abnehmer selbst betriebenen IT-System oder im Wege des klassischen Outsourcing durch einen Outsourcing-Anbieter für den Abnehmer betriebenen IT-System erkennbar. Auch bei der Verwendung von Anwendungen von Dritten (z.B. SAP oder Microsoft Office) im Eigenbetrieb auf eigener Hardware ist eine verantwortliche Stelle durch die von der Anwendung ermöglichten Funktionalitäten und deren Begrenzungen limitiert. Gegenüber der Entscheidungsbefugnis des Abnehmers über die von ihm initiierten Datenverarbeitungsvorgänge tritt die Aufgabe und vorrangige Befugnis des Anbieters, die technische Erbringbarkeit des Dienstes sicherzustellen, datenschutzrechtlich in den Hintergrund2.
52
Daher lässt sich mit guten Argumenten vertreten, dass der Abnehmer die wesentliche Entscheidung über die Auswahl der eingesetzten Mittel und Systeme sowie technisch-organisatorische Maßnahmen trifft3. Denn er hat regelmäßig die Auswahl zwischen verschiedenen Cloud-Angeboten mit verschiedenen Funktionalitäten, Sicherheitsmerkmalen, etc. Eine entscheidende Voraussetzung für diese Entscheidungsbefugnis dürfte jedoch die umfassende Transparenz sein4. c) Die Ansichten der Aufsichtsbehörden
53
Nach dem Arbeitspapier 196 liegt eine Auftragsdatenverarbeitung vor und es wird festgestellt, dass es gerade bei der Auswahl der technischen Mittel sowie bei der Ausgestaltung der technisch-organisatorischen Maßnahmen eine Delegation der Befugnisse auf den Anbieter geben kann5.
1 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.3.1 (S. 7 f.); Funke/Wittmann, ZD 2013, 221 (222 f.). 2 Funke/Wittmann, ZD 2013, 221 (222 f.). 3 Unter Hinweis darauf, dass gerade wegen der Standardisierung beim Anbieter wenig Ausführungsermessen besteht: Hennrich, CR 2011, 546 (548). 4 Vgl. Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.1.1 (S. 13 f.). 5 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.3.1 (S. 10).
348
Hartung/Storm
II. Datenschutzrechtliche Erlaubnistatbestnde
Rz. 54
Teil 4
Dabei sollte der Abnehmer jedoch wesentliche Weisungsbefugnisse für den Fall eines möglichen Datenschutzverstoßes nicht aus der Hand geben1. Somit kommt es letztlich auf die Entscheidungsbefugnis des Abnehmers an, ein bestimmtes Cloud-Angebot anzunehmen oder nicht2. Regelmäßig soll beim Cloud Computing daher ein Fall der Auftragsdatenverarbeitung vorliegen3, wobei ein Anbieter dann selber zur verantwortlichen Stelle wird, wenn er Daten für eigene Zwecke verarbeitet4. Umgekehrt kann sich der Abnehmer nicht auf seine fehlende Vertragsmacht berufen: Entscheidet er sich für ein Cloud-Angebot, muss er – entsprechend § 11 Abs. 1 BDSG – die datenschutzrechtliche Verantwortung hierfür übernehmen und sich daran festhalten lassen5. Im Sopot Memorandum wird ebenfalls generell zugrunde gelegt, dass der Abnehmer verantwortliche Stelle und der Anbieter Auftragsdatenverarbeiter ist6, wenn der Anbieter die Daten nicht für eigene Zwecke verarbeitet und sich, etwa im Hinblick auf Entscheidungen über die Herausgabe an Dritte, nicht wie eine verantwortliche Stelle geriert7. In der Orientierungshilfe geht man ebenso davon aus, dass der Anbieter Auftragsdatenverarbeiter ist und nur ausnahmsweise verantwortliche Stelle8. 2. Gesetzliche Erlaubnistatbestände/Funktionsübertragung a) Gesetzlicher Erlaubnistatbestand nach dem BDSG Die Funktionsübertragung ist im BDSG nicht ausdrücklich erwähnt. Sie 54 liegt vor, wenn der Anbieter Zugriff auf die Daten des Abnehmers erhält und sie für eigene Zwecke nutzt bzw. die wesentlichen Entscheidungen
1 Art. 29-Datenschutzgruppe WP 169 Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortliche“ und „Auftragsverarbeiter“ v. 16.2.2010, S. 15, 32. 2 Vgl. Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.3.1 (S. 10 f.). 3 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 5 (S. 25); Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Zusammenfassung (S. 2 f.), Ziff. 4.1 (S. 20); Schröder/Haag, ZD 2011, 147 (148). 4 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.3.1 (S. 10), Ziff. 4.1 (S. 24). 5 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.3.1 (S. 10), Ziff. 4.1 (S. 24). 6 International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, S. 2. 7 International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, S. 8. 8 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.1 (S. 8); so auch Pohle/Ammann, K&R 2009, 625 (630). Hartung/Storm
349
Teil 4
Rz. 55
Datenschutz
über die Datenverarbeitung trifft1. Es gilt die bei jeder Erhebung, Verarbeitung oder Nutzung außerhalb einer Auftragsdatenverarbeitung erforderliche Notwendigkeit zur Rechtfertigung. Dabei wird beim Cloud Computing häufig nur der Erlaubnistatbestand des „berechtigten Interesses“ nach § 28 Abs. 1 Nr. 2 bzw. § 28 Abs. 2 Nr. 2a BDSG in Betracht kommen2. 55
Die Schwierigkeit bei der Anwendung dieses Tatbestandes ist weniger das Vorliegen eines eigenen berechtigten wirtschaftlichen Interesses des Abnehmers an einer Auslagerung3 oder eine Erforderlichkeit für diesen Zweck, sondern die Abwägung mit berechtigten Interessen der Betroffenen4. Mangels präziser gesetzlicher Kriterien5 ist schwierig zu ermitteln, ob ein Arbeitnehmer gerade bei sensiblen Daten davon ausgeht, dass diese bei seinem Arbeitgeber verbleiben6. Bei der Anwendung dieses offenen Tatbestands ergibt sich daher für den Abnehmer ein Restrisiko, dass dieser durch Einwilligungserklärungen der Betroffenen vermeiden oder jedenfalls verringern könnte.
56
Eine andere Methode zur Minimierung dieses Risikos könnte in der Schaffung freiwilliger vertraglicher Vereinbarungen oder Garantien mit dem Anbieter bestehen. Hier bieten sich die von den deutschen Datenschutzbehörden im Bereich der Beschäftigtendaten erarbeiteten Empfehlungen zum Schutze personenbezogener Daten bei einer Funktionsübertragung für eine entsprechende Anwendung an7, z.B. wenn Betroffenen-Rechte weiterhin gegenüber dem Abnehmer geltend gemacht werden können (selbst wenn nach einer Übermittlung hierfür der Anbieter zuständig wäre).
57
Ist ein Cloud-Vertrag mit einem Drittlandanbieter (der nach dem Wortlaut von § 3 Abs. 8 BDSG kein Auftragsdatenverarbeiter ist) unter Verwendung von Standardvertragsklauseln geschlossen worden und damit ähnlich einer Auftragsdatenverarbeitung nach § 11 BDSG ausgestaltet,
1 Opfermann, Datenschutzkonforme Vertragsgestaltung im Cloud Computing, S. 137. 2 Denn die Versicherungsverträge mit den Betroffenen werden entsprechende Auslagerungen nicht i.S.d. § 28 Abs. 1 Nr. 1 BDSG erfordern (sie sind dafür nur nützlich oder hilfreich aus Sicht des Versicherungsunternehmens). Die meisten Daten werden auch nicht öffentlich zugänglich sein i.S.v. § 28 Abs. 1 Nr. 3 BDSG. Vgl. auch Weichert, DuD 2010, 679 (683); Splittgerber/Rockstroh, BB 2011, 2179 (2181); ausführlich: Opfermann, Datenschutzkonforme Vertragsgestaltung im Cloud Computing, S. 137 ff. 3 Gola/Schomerus, BDSG, § 28 Rz. 24; Simitis, BDSG, § 28 Rz. 104 f. 4 Das berechtigte Interesse ablehnend: Weichert, DuD 2010, 679 (683). 5 Kritisch hierzu Simitis, BDSG, § 28 Rz. 126 f. 6 So ausdrücklich Regierung von Mittelfranken, 2. Tätigkeitsbericht 2006, S. 31. 7 Regierungspräsidium Darmstadt, Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“, erstellt am 11.1.2005, S. 11.
350
Hartung/Storm
II. Datenschutzrechtliche Erlaubnistatbestnde
Rz. 60
Teil 4
so beeinflusst dies die Interessenabwägung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG i.S.d. Zulässigkeit der Funktionsübertragung1. b) Besondere Arten personenbezogener Daten Spezielle Regelungen gelten für besondere Arten personenbezogener Da- 58 ten (§ 3 Abs. 9 BDSG: Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben). Relevant sind davon in der Praxis vor allem Gesundheitsdaten (etwa bei den Versicherungssparten Kranken, Unfall und Leben oder in den Personalsystemen eines Arbeitgebers). Für die Rechtfertigung einer Funktionsübertragung finden nur spezielle gesetzliche Erlaubnistatbestände in § 28 Abs. 6–9 BDSG Anwendung, die insbesondere keinen Erlaubnistatbestand des „berechtigten Interesses“ enthalten2. Die Unzulänglichkeit dieser Erlaubnistatbestände zeigt sich daran, dass die Aufsichtsbehörden für den Fall konzernweiter Übermittlungen von Arbeitnehmerdaten eine „Annexkompetenz“ zur Übermittlung besonderer Arten personenbezogener Daten anerkannt haben3. Cloud Computing zu Zwecken der Effizienzsteigerung im Wege der Funktionsübertragung kann somit regelmäßig nicht auf die gesetzlichen Erlaubnistatbestände gestützt werden4. Dies kann dazu führen, dass ein Cloud-Angebot (wie jede andere Form 59 der Auslagerung einer Datenverarbeitung auf Dritte) in diesen Fällen nach den gesetzlichen Erlaubnistatbeständen unzulässig wäre und zur Rechtfertigung der Cloud-Nutzung nur das Instrument der Einwilligung oder eine Auftragsdatenverarbeitung bleibt (vgl. hierzu die Lösungsvorschläge im Rahmen der internationalen Übermittlungen, Rz. 250 ff.). 3. Einwilligungserklärung Einwilligungserklärungen nach § 4a BDSG sind eine Möglichkeit, sämt- 60 liche der vorgenannten Konstellationen beim Cloud Computing rechtmäßig auszugestalten, einschließlich der Funktionsübertragung bei besonderen Arten personenbezogener Daten und Datenübermittlungen in Drittländer. Nach § 4a Abs. 1 BDSG muss jede Einwilligungserklärung auf einer ausreichenden vorherigen Information beruhen, freiwillig er1 Ausführungen und Kritik: Weber/Voigt, ZD 2011, 74 (76); wohl ablehnend: Weichert, DuD 2010, 679 (683); vgl. auch Hilber/Knorr/Müller, CR 2011, 417 (421 f.); Bosesky/Hoffmann/Schulz, DuD 2013, 95 (200); „Datentransfervehikel“: Splittgerber/Rockstroh, BB 2011, 2179 (2181); Voigt, ZD-Aktuell 2011, 30; zur analogen Anwendung von § 3 Abs. 8 BDSG Plath in Plath, BDSG, § 11 Rz. 53. 2 Vgl. die Übersicht bei Taeger in Taeger/Gabel, BDSG, § 28 Rz. 219 ff. 3 Arbeitsbericht der Ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“, August 2007, Ziffer 6.2 (S. 12) u.V.a. Ziffer 3.3 (S. 10). 4 International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, Rz. 2. Hartung/Storm
351
Teil 4
Rz. 61
Datenschutz
teilt werden und im Regelfall der dort genannten Schriftform genügen. In der Praxis ergeben sich jedoch eine Reihe von Schwierigkeiten. a) Ausreichende Information 61
Zunächst ist eine hinreichend detaillierte Information über die Datenverarbeitung einschließlich der Datenübermittlungen notwendig; bei standardmäßigen, vorformulierten Erklärungen gelten die Anforderungen des AGB-Rechts1. Pauschale und generelle „Vorratserklärungen“ sind regelmäßig nicht wirksam2.
62
Somit sollte bei der Einholung einer Einwilligung transparent und ausführlich über die betroffenen Daten, die Zweckbestimmung der Datenverarbeitung, die Datenverarbeitung selbst sowie die Empfänger aufgeklärt werden3. Bei den Empfängern sollten nach den Empfehlungen der Datenschutzbehörden Auftragsdatenverarbeiter und deren Subunternehmer genannt werden4. Insbesondere dann, wenn sich ein Cloud-Angebot fortlaufend und häufig in der Weise ändert, dass sich damit die in der Einwilligungserklärung beschriebene Datenverarbeitung ändert, ist mit dem Instrument der Einwilligungserklärung ein relativ hoher Aufwand verbunden.
63
Nach § 4a Abs. 3 BDSG muss ausdrücklich und hervorgehoben auf die Verarbeitung besonderer Arten personenbezogener Daten hingewiesen werden. Ähnliches haben die Aufsichtsbehörden für den Fall verlangt, dass mit einer Einwilligungserklärung die Übermittlung in ein unsicheres Drittland gerechtfertigt werden soll5. b) Ausdrücklichkeit der Einwilligungserklärung
64
Bei der Art und Weise, wie eine Einwilligungserklärung in der Praxis eingeholt wird, gibt es große Bandbreiten. Vom „Verstecken“ in allgemeinen 1 Simitis, BDSG, § 4a Rz. 84; vgl. auch Regierung von Mittelfranken, 4. Tätigkeitsbericht 2009/2010, S. 31 f.; Gola/Schomerus, BDSG, § 4a Rz. 2, 23, 31; Däubler in Däubler/Klebe/Wedde/Weichert, BDSG, § 4a Rz. 31 f.; vgl. auch Taeger in Taeger/Gabel, BDSG, § 4a Rz. 47. 2 Simitis, BDSG, § 4a Rz. 77; Taeger in Taeger/Gabel, BDSG, § 4a Rz. 29, § 4 Rz. 45; Däubler in Däubler/Klebe/Wedde/Weichert, BDSG, § 4a Rz. 18, 33; Schaffland/Wiltfang, BDSG, § 4a Rz. 11, 13. 3 Gola/Schomerus, BDSG, § 4a Rz. 26 f.; Simitis, BDSG, § 4a Rz. 70, 72; Taeger in Taeger/Gabel, BDSG, § 4a Rz. 48; Däubler in Däubler/Klebe/Wedde/Weichert, BDSG, § 4a Rz. 7 f. 4 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.2 (S. 16), Ziff. 4.1 (S. 25). 5 Art. 29-Datenschutzgruppe, Stellungnahme 15/2011 zur Definition von Einwilligung v. 13.7.2011 (01197/11/DE – WP 187), S. 23; Art. 29-Datenschutzgruppe, Arbeitsunterlage: Übermittlungen personenbezogener Daten an Drittländer: Anwendung von Art. 25 und 26 der Datenschutzrichtlinie der EU v. 24.7.1998 (GD XV D/5025/98 – WP 12), S. 26.
352
Hartung/Storm
II. Datenschutzrechtliche Erlaubnistatbestnde
Rz. 66
Teil 4
Geschäftsbedingungen bis zum gesonderten Unterschreiben bzw. Anklicken im Rahmen des Vertragsschlusses werden in der Praxis viele Varianten verfolgt. Nach der Rechtsprechung des BGH zur Ausdrücklichkeit von Einwilligungserklärungen (Happy Digits1 und Payback2) ist für eine Einwilligungserklärung nach § 7 UWG eine ausdrückliche Willensbetätigung erforderlich, im Bereich des § 4a BDSG jedoch weniger (so konnte im Antragsformular zu diesen Kundenbindungsprogrammen die vorformulierte datenschutzrechtliche Einwilligungserklärung nur durchgestrichen oder ausgekreuzt werden). Dies könnte ein Argument für die Zulässigkeit einer Einwilligungserklärung durch eine „Widerspruchslösung“ bzw. Einbindung in allgemeine Geschäftsbedingungen und sonstige Erklärungen sein3. Zu beachten ist aber, dass in den vom BGH entschiedenen Fällen eine aktive Willensbetätigung durch die Antragstellung gegeben war (Abgabe des Mitgliedsantrags). Für das praktische Vorgehen ist zu empfehlen, kein Risiko einzugehen 65 und entweder eine ausdrückliche Unterschrift bei schriftlichem Vertragsabschluss einzuholen oder ein ausdrückliches Anklicken bei einem Online-Vertragsabschluss4. Dabei sollte jeweils die gesamte Datenschutzerklärung einfach, nachvollziehbar und hervorgehoben sowie einfach abrufbar sein5. Unter Umständen kann man die Erklärung über die Abgabe der datenschutzrechtlichen Einwilligungserklärung mit der Unterschrift in die Annahme eines Vertragsangebots kombinieren, sofern dabei hinreichend klargestellt ist, worauf sich diese Unterschrift bzw. Erklärung bezieht6. In der Zukunft könnte diese Empfehlung zum gesetzlichen Regelfall wer- 66 den: Nach Art. 4 (8) des Entwurfs der Datenschutz-Grundverordnung muss eine Einwilligungserklärung eine für den konkreten Fall erfolgte explizite Willensbekundung darstellen. Damit dürfte in der Zukunft das „Verstecken“ von Erklärungen in Allgemeinen Geschäftsbedingungen oder die Anwendung eines „Implied Consent“ wie in anderen Ländern üblich, nicht mehr möglich sein7. Der Regelfall dürfte dann die „Optin“-Einwilligung i.S.d. Bundesgerichtshofs sein.
1 BGH v. 11.11.2009 – VIII ZR 12/08, NJW 2010, 864 ff. 2 BGH v. 16.7.2008 – VIII ZR 348/06, NJW 2008, 3055 (3057). 3 Gola/Schomerus, BDSG, § 4a Rz. 29; Simitis, BDSG, § 4a Rz. 40 f.; Taeger in Taeger/Gabel, BDSG, § 4a Rz. 24; Däubler in Däubler/Klebe/Wedde/Weichert, BDSG, § 4a Rz. 13. 4 BGH v. 11.11.2009 – VIII ZR 12/08, NJW 2010, 864 ff.; BGH v. 16.7.2008 – VIII ZR 348/06, NJW 2008, 3055 (3057). 5 Gola/Schomerus, BDSG, § 4a Rz. 26, 29, 31; Simitis, BDSG, § 4a Rz. 41, 72 a.E.; Taeger in Taeger/Gabel, BDSG, § 4a Rz. 24, 71; Däubler in Däubler/Klebe/Wedde/Weichert, BDSG, § 4a Rz. 13. 6 Gola/Schomerus, BDSG, § 4a Rz. 26, 31; Simitis, BDSG, § 4a Rz. 40 f.; Taeger in Taeger/Gabel, BDSG, § 4a Rz. 24, 71; Däubler in Däubler/Klebe/Wedde/Weichert, BDSG, § 4a Rz. 13. 7 Vgl. auch Eckhardt, CR 2012, 195 (197). Hartung/Storm
353
Teil 4
Rz. 67
Datenschutz
c) Freiwilligkeit 67
Außerdem muss die Einwilligung freiwillig erfolgen. Fraglich ist zunächst, ob die Freiwilligkeit bereits deshalb entfällt, weil der Anbieter die Erklärung vorgibt und zwingend zur Voraussetzung eines Vertragsabschlusses macht. Dies wäre jedoch zu weitgehend. Selbst branchenweit einheitliche Erklärungen wie in der Versicherungsbranche1 sind wirksam, weil es jedenfalls im Bereich der für die Durchführung des Versicherungsvertrages notwendigen Verarbeitungen bei der Freiheit der Versicherungsunternehmen bleiben muss, den Abschluss eines Vertrages von bestimmten Bedingungen abhängig zu machen, weil anders eine effiziente und kostengünstige Bearbeitung nicht möglich wäre. Ein Verbot der Kopplung des Vertragsschlusses an die Abgabe der Einwilligungserklärungen besteht nur im Bereich von Werbung (§ 28 Abs. 3b BDSG), im Umkehrschluss jedoch nicht für andere Arten der Datenverarbeitung2.
68
Allerdings ist die Freiwilligkeit der Abgabe einer Einwilligungserklärung dann fraglich, wenn zwischen der verantwortlichen Stelle und dem Einwilligenden ein Ungleichgewicht in den Beziehungen besteht3. Nach den Aufsichtsbehörden soll etwa im Verhältnis zwischen Arbeitgeber und Arbeitnehmer strukturell ein Ungleichgewicht bestehen4. Der Arbeitgeber sollte die für die Durchführung des Arbeitsverhältnisses und seine Tätigkeit zwingend notwendigen Datenverarbeitungen nicht auf eine Einwilligung stützen, weil ein Arbeitnehmer insoweit nachteilige Folgen befürchten muss, wenn er diese Einwilligungserklärung nicht abgibt5. Bejaht wurde die Wirksamkeit einer Einwilligungserklärung, wenn der Arbeitnehmer nachweislich die freie Wahl zwischen Alternativen hat, ohne nachteilige Konsequenzen befürchten zu müssen6.
69
Im Entwurf der Datenschutz-Grundverordnung soll die Einwilligung nach Art. 7 (4) Entwurf keine Rechtsgrundlage für die Datenverarbeitung sein, wenn zwischen den Positionen der betroffenen Person und des für die Verarbeitung Verantwortlichen ein erhebliches Ungleichgewicht be1 Vgl. andeutungsweise zu dieser Problematik: Simitis, BDSG, § 28 Rz. 295. 2 Gola/Schomerus, BDSG, § 4a Rz. 21; Simitis, BDSG, § 4a Rz. 63; ausführlich dazu: Taeger in Taeger/Gabel, BDSG, § 4a Rz. 50 ff.; vgl. auch Däubler in Däubler/ Klebe/Wedde/Weichert, BDSG, § 4a Rz. 23a. 3 Gola/Schomerus, BDSG, § 4a Rz. 19; Simitis, BDSG, § 4a Rz. 62; Däubler in Däubler/Klebe/Wedde/Weichert, BDSG, § 4a Rz. 1, 9, 23, 25 ff. 4 Art. 29-Datenschutzgruppe, Stellungnahme 15/2011 zur Definition von Einwilligung v. 13.7.2011 (01197/11/DE, WP 187), S. 16 f.; Art. 29-Datenschutzgruppe, Stellungnahme 8/2001 zur Verarbeitung personenbezogener Daten von Beschäftigten v. 13.9.2001 (5062/01/DE – WP 48), S. 27 f.; ausführlich auch: Taeger in Taeger/Gabel, BDSG, § 4a Rz. 58 ff. 5 Art. 29-Datenschutzgruppe, Stellungnahme 8/2001 zur Verarbeitung personenbezogener Daten von Beschäftigten v. 13.9.2001 (5062/01/DE – WP 48), S. 27 f. 6 Art. 29-Datenschutzgruppe, Stellungnahme 15/2011 zur Definition von Einwilligung v. 13.7.2011 (01197/11/DE – WP 187), S. 16.
354
Hartung/Storm
II. Datenschutzrechtliche Erlaubnistatbestnde
Rz. 72
Teil 4
steht. Hier spiegeln sich die Ansichten der europäischen Aufsichtsbehörden insbesondere zur Wirksamkeit einer Einwilligungserklärung im Arbeitsverhältnis wieder1. Sofern beim Cloud Computing ein Betroffener unmittelbar mit dem An- 70 bieter einen Vertrag abschließt und eine Einwilligungserklärung abgibt, bestehen an der Freiwilligkeit grundsätzlich keine Zweifel. Er hat die Möglichkeit, das Angebot anzunehmen oder abzulehnen und ein anderes Cloud-Angebot auszuwählen. Somit dürfte im B2C-Bereich die Einwilligungserklärung regelmäßig zulässig sein. Wenn der Abnehmer nicht personenbezogene Daten über sich selbst im Wege des Cloud Computing verarbeitet, sondern andere Personen Betroffene sind, etwa Arbeitnehmer oder Kunden des Abnehmers greifen regelmäßig die vorgenannte Argumentation und Bedenken, etwa im Arbeitsverhältnis. Wenn daher ein Arbeitgeber im Wege des Cloud Computing E-Mail-Fächer seiner Arbeitnehmer betreiben möchte oder etwa Personalverwaltungssysteme, ist zweifelhaft, ob er hierfür die wirksame Einwilligung seiner Arbeitnehmer einholen kann. Abgesehen von dabei auftauchenden praktischen Problemen, bestehen also in einigen Fällen, insbesondere im B2B-Bereich, Zweifel daran, ob eine Einwilligungserklärung wirksamer Erlaubnistatbestand für die Datenverarbeitung bei Cloud-Angeboten sein kann. d) Formerfordernisse Nach § 4a Abs. 1 Satz 3 BDSG ist die Einwilligung schriftlich abzugeben, 71 soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Im Anwendungsbereich des BDSG ist umstritten, ob die Einholung einer elektronischen Einwilligungserklärung im Rahmen einer OnlineAnmeldung bzw. dem Online-Vertragsschluss über Dienstleistungen (entsprechend den übrigen Vertragserklärungen) elektronisch abgegeben werden kann2. Obwohl die Argumentation nahe liegt, dass dies dem Kundenwunsch entspricht, ist dies von den Aufsichtsbehörden in Deutschland bislang nicht anerkannt worden. Soweit es sich um einen Telemediendienst handelt (vgl. Rz. 35), kann 72 nach § 13 Abs. 2 TMG eine Einwilligung elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass (1) der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, (2) die Einwilligung protokolliert wird, (3) der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und (4) der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
1 Art. 29-Datenschutzgruppe, Arbeitsdokument zur Überwachung der elektronischen Kommunikation von Beschäftigten v. 29.5.2002 (5401/01/DE/endg. – WP 55); Art. 29-Datenschutzgruppe, Stellungnahme 8/2001 zur Verarbeitung personenbezogener Daten von Beschäftigten v. 13.9.2001 (5062/01/DE – WP 48). 2 Gola/Schomerus, BDSG, § 4a Rz. 29; Simitis, BDSG, § 4a Rz. 36; Taeger in Taeger/Gabel, BDSG, § 4a Rz. 34. Hartung/Storm
355
Teil 4
Rz. 73
Datenschutz
73
Wenn die Einwilligung Voraussetzung für die Nutzung eines Vertragsangebotes ist, würde ein Widerruf dazu führen, dass die Vertragsleistungen nicht mehr erbracht werden können. Daher ist anerkannt, dass ein Widerruf der Einwilligungen nicht in der Weise willkürlich erfolgen kann, dass ein Betroffener vorzeitig von ihm geschlossene Verträge aufkündigt1.
74
Für die Zukunft könnte sich das in Deutschland bestehende strenge Schriftformerfordernis ändern: Nach Art. 7 des Entwurfs der Datenschutz-Grundverordnung ist die Schriftform zukünftig nicht mehr erforderlich (so bisher die Regelung in § 4a BDSG). Es reicht jede Art des Nachweises. Damit dürften dann endgültig elektronische Einwilligungen als Standard zulässig sein2. e) Praktische Schwierigkeiten und Schlussfolgerungen
75
Selbst wenn der Abnehmer im Rahmen eines Vertragsschlusses eine Einwilligungserklärung abgibt, bleibt das Problem, dass sich das Cloud-Angebot und die damit zusammenhängende Datenverarbeitung von Zeit zu Zeit ändert und die erneute Einholung einer Einwilligungserklärung erforderlich werden kann.
76
Eine größere Dimension haben die praktischen Probleme dann, wenn der Abnehmer nicht gleichzeitig alleiniger Betroffener ist, sondern personenbezogene Daten unter Umständen Tausender oder Millionen seiner Kunden im Rahmen des Cloud Computing verarbeiten möchte. Abgesehen davon, dass es unverhältnismäßig teuer und umständlich wäre, (schriftliche) Einwilligungserklärungen aller Betroffenen einzuholen, wird dies in der Praxis nie vollständig gelingen. Wenn aber einzelne Betroffene ihre Einwilligungserklärung nicht abgeben, steht der Abnehmer vor dem Problem, dass er personenbezogene Daten einer an sich einheitlichen Gruppe (Arbeitnehmer, Kunden etc.) nicht einheitlich verarbeiten kann. Demzufolge dürfte die Einwilligungserklärung häufiger im Verhältnis zu privaten Endkunden als Lösung in Betracht kommen, weniger jedoch im B2B-Umfeld.
III. Gestaltung des Auftragsdatenverarbeitungsvertrages 77
Wenn man mit den Aufsichtsbehörden davon ausgeht, dass im Falle von Cloud Computing regelmäßig eine Auftragsdatenverarbeitung vorliegt, benötigt man einen schriftlichen Vertrag über die Auftragsdatenverarbeitung mit den nach § 11 Abs. 2 BDSG zwingend aufzunehmenden 1 Gola/Schomerus, BDSG, § 4a Rz. 38 f.; Schaffland/Wiltfang, BDSG, § 4a Rz. 26; vgl. auch Däubler in Däubler/Klebe/Wedde/Weichert, BDSG, § 4a Rz. 38. 2 Hartung in Weber/Thonvenin, Neuer Regulierungsschub im Datenschutzrecht?, S. 43 f.
356
Hartung/Storm
III. Gestaltung des Auftragsdatenverarbeitungsvertrages
Rz. 78
Teil 4
Elementen1. Dabei sollte der Abnehmer die spezifischen vertraglichen Risiken beim Cloud Computing angemessen berücksichtigen2. Die Aufsichtsbehörden haben angekündigt, von der Verantwortung des Abnehmers auch dann nicht abzurücken, wenn der Anbieter seinen eigenen Standardvertrag vorgibt und es dem Abnehmer mangels Verhandlungsmacht schwer fällt oder unmöglich ist, diesen zu ändern3. Orientierungshilfen bei der Vertragsgestaltung bieten etwa die Vertragsmuster der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD), des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) sowie von Datenschutzbehörden4. Die inhaltlichen Anforderungen an einen wirksamen Vertrag dürften sich durch die geplante Datenschutzreform nicht wesentlich ändern. Dort ist in Art. 26 (2) des Entwurfs ein Kriterienkatalog von acht Merkmalen aufgenommen, welcher weitgehend an § 11 Abs. 2 BDSG angelehnt ist. Liegt hingegen tatsächlich keine Auftragsdatenverarbeitung vor (vgl. 78 Rz. 48 ff.), kann der Status „Auftragsdatenverarbeiter“ einem Anbieter nicht willkürlich auf vertraglicher Basis eingeräumt werden, wobei fraglich ist, welche Konsequenzen die Eingehung einer rechtlich falschen Vereinbarung über eine Auftragsdatenverarbeitung hat5.
1 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.1 (S. 8); Weichert, Cloud Computing & Data Privacy, Abschnitt 9, https://www.datenschutzzentrum.de/cloud-computing/20100617cloud-computing-and-data-privacy.pdf; Weichert, DuD 2010, 679 (684 f.); Hilber/ Knorr/Müller, CR 2011, 417 (421); Opfermann, Datenschutzkonforme Vertragsgestaltung im Cloud Computing, S. 134 ff.; Reintzsch, BRJ 2013, 23 (24 f.); zu Beschäftigtendaten: Gaul/Koehler, BB 2011, 2229 (2232). 2 International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, Rz. 16, 17. 3 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.2. (S. 15), Ziff. 3.5.1 (S. 21), Ziff. 4.1 (S. 24). 4 Vander, K&R 2010, 292 (297); Muster der Gesellschaft für Datenschutz GDD e.V.: https://www.gdd.de/nachrichten/news/neues-gdd-muster-zur-auftragsdaten verarbeitung-gemas-a7-11-bdsg; BITKOM e.V.: http://www.bitkom.org/de/publi kationen/38336_45940.aspx; Regierungspräsidium Darmstadt: http://www.lfd. niedersachsen.de/portal/live.php?navigation_id=12933&article_id=56176&_psm and=48; Muster des BITKOM e.V.: http://www.bitkom.org/files/documents/ Mustervertragsanlage_zur_Auftragsdatenverarbeitung_v_3_0.pdf; Muster der Gesellschaft für Datenschutz und Datensicherheit GDD e.v.: https://www.gdd.de/ nachrichten/news/neues-gdd-muster-zur-auftragsdatenverarbeitung-gemas-a711-bdsg/?searchterm=auftragsdatenverarbeitung%20muster. 5 Dies könnte z.B. zur Rechtswidrigkeit der gesamten Datenverarbeitung führen oder der Auftragnehmer schlicht als (mit-)verantwortliche Stelle angesehen werden (ähnliches wurde durch die EU-Datenschutzbehörden bei S.W.I.F.T. geltend gemacht: Artikel 29 Working Party, Stellungnahme 10/2006 zur Verarbeitung von personenbezogenen Daten durch die Society for Worldwide Interbank Financial Telecommunication (SWIFT) v. 22.11.2006, (01935/06/DE – WP 128), Hartung/Storm
357
Teil 4
Rz. 79
Datenschutz
1. Form 79
Fehlt eine schriftliche Vereinbarung nach § 11 Abs. 2 BDSG, liegt nach überwiegender Ansicht nach § 125 BGB keine wirksame Vereinbarung vor, weil es sich um eine gesetzlich angeordnete Schriftform handelt1. Das Schriftformerfordernis stellt insbesondere dann eine Herausforderung dar, wenn das Cloud-Angebot über das Internet abgeschlossen werden kann, d.h. weniger bei umfassenden Aufträgen im Bereich B2B oder Private-Cloud-Angeboten, aber bei Angeboten einer Public Cloud im Massenmarkt. Sofern hier die Zulässigkeit der Datenverarbeitung durch den Anbieter nicht auf eine Einwilligungserklärung, sondern auf eine Auftragsdatenverarbeitung gestützt werden soll (vgl. zuvor Rz. 42 ff.), muss der Abnehmer einen entsprechenden Vertrag ausdrucken und unterschrieben an den Anbieter senden. 2. Mindestkriterien nach § 11 Abs. 2 BDSG
80
Bis 2009 war z.T. umstritten, was notwendiger Inhalt der Auftragsdatenverarbeitungs-Vereinbarung sein sollte2. Nunmehr ist aber in § 11 Abs. 2 Satz 2 BDSG ein Katalog mit zehn zwingend schriftlich zu regelnden Punkten aufgenommen worden3. Die zuvor genannten Muster werden Ziffer 3.1. Zum Rückgriff auf die allgemeinen Erlaubnistatbestände siehe Plath in Plath, BDSG, § 11 Rz. 20 (möglich). 1 Nach einer Ansicht soll der Schriftform konstitutive Wirkung zukommen, so dass der Vertrag bei Nichteinhaltung nach § 125 BGB nichtig sei: Gola/Schomerus, BDSG, § 11 Rz. 17; vgl. Übersicht bei Reintzsch, BRJ 2013, 23 (25). Nach anderer Ansicht hat die Nichteinhaltung zur Folge, dass der Formmangel von den Aufsichtsbehörden nach § 38 Abs. 1 Satz 1 BDSG gerügt werden kann, während der Auftrag selbst bei Formmängeln wirksam bleibt: Hoeren in Roßnagel, Handbuch Datenschutzrecht, 2003, Kap. 4.6. Rz. 108. Über den Sinn und Zweck dieser Regelung besteht jedenfalls weitgehend dahin Einigkeit, dass das Schriftformerfordernis nicht den Funktionen der Warnung und Beratung der Parteien dient, sondern vorwiegend der Rechtsklarheit und Rechtssicherheit dient (so Gola/Schomerus, BDSG, § 11 Rz. 17). Daher sollte eine Nichtigkeit bei Abschluss einer Vereinbarung über eine Auftragsdatenverarbeitung, obwohl eine solche gar nicht vorliegt, ausscheiden. Nach dem Wortlaut von Art. 17 (2) der Richtlinie 95/46/EG reicht dagegen eine rechtlich verbindliche Form, wobei die europäischen Aufsichtsbehörden zu Zwecken der Beweisbarkeit ebenfalls die Schriftform empfehlen: Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE – WP 196), Ziff. 3.4.2 (S. 15), Ziff. 4.1 (S. 25 f.). Vgl. dazu auch Plath in Plath, BDSG, § 11 Rz. 96. 2 Nur die in § 11 Abs. 2 Satz 2 BDSG genannten Vertragsbestandteile (d.h. konkreter Auftrag, technische und organisatorische Maßnahmen und Unterauftragsverhältnisse): Walz in Simitis, BDSG, so noch in der 6. Auflage, § 11 Rz. 50; nicht eindeutig: Gola/Schomerus, BDSG, § 11 Rz. 17 und Schaffland/Wiltfang, BDSG, § 11 Rz. 9a ff. Anderer Ansicht war die Baden-Württembergische Datenschutzbehörde: Innenministerium Baden-Württemberg, Hinweis zum BDSG Nr. 31, Staatsanz. Nr. 1–2/1993. 3 Ausführlich hierzu: Weichert, Cloud Computing & Data Privacy, Abschnitt 9, https://www.datenschutzzentrum.de/cloud-computing/20100617-cloud-compu ting-and-data-privacy.pdf.
358
Hartung/Storm
III. Gestaltung des Auftragsdatenverarbeitungsvertrages
Rz. 82
Teil 4
von den deutschen Aufsichtsbehörden für das Cloud Computing empfohlen1. Eine fehlende oder unvollständige schriftliche Vereinbarung stellt mittlerweile nach § 43 Abs. 1 Nr. 2b BDSG eine Ordnungswidrigkeit dar, die mit einem Bußgeld von bis zu 50 000 Euro bzw. bis zur Höhe des aus dem Verstoß resultierenden wirtschaftlichen Vorteils belegt werden kann. Dabei sollte man eine bestimmte und konkrete Ausgestaltung bevorzugen. Die schlichte Übernahme des Gesetzeswortlauts genügt nach dem Wortlaut des Gesetzes („im Einzelnen festzulegen“) und den Gesetzesmaterialien nicht („Hinweis auf die gesetzlichen Bestimmungen“ oder „deren Wiedergabe“ genügt nicht)2. a) § 11 Abs. 2 Satz 2 Nr. 1 BDSG/Gegenstand und Dauer Zunächst müssen Gegenstand und Dauer der Auftragsdatenverarbeitung 81 beschrieben und definiert werden3. Eine gesonderte und dezidierte Beschreibung innerhalb des Vertrags über die Auftragsdatenverarbeitung ist nicht erforderlich. Ausreichend ist der Verweis auf einen Hauptvertrag. Empfehlenswert ist die Vereinbarung detaillierter Service-Level-Agreements, in denen die vom Anbieter geschuldeten Leistungen konkretisiert werden. Sie sollen die für den Auftraggeber zentralen Leistungen erfassen, sind klar zu beschreiben und müssen auf die vertraglich geschuldeten Leistungen Bezug nehmen. Zentraler Punkt ist z.B. die Verfügbarkeit des Cloud-Dienstes. Für den Fall der Nichteinhaltung empfiehlt es sich, Konsequenzen, etwa Vertragsstrafen, pauschalierte Minderungen oder Kündigungsrechte, zu regeln4. Die Vertragsdauer kann im Vertrag über die Auftragsdatenverarbeitung 82 definiert werden oder es wird auf die Regelungen zu Laufzeiten und Kündigungen des Hauptvertrags verwiesen. Wichtig ist, dass die Einhaltung der Verpflichtungen aus dem Auftragsdatenverarbeitungsvertrag als wesentliche Vertragspflicht gekennzeichnet wird, deren Verletzung zu einem Kündigungsrecht führt.
1 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.1 (S. 8). 2 Vander, K&R 2010, 292 (294); BR-Drucks. 4/1/09, S. 9. 3 So auch die Empfehlung nach europäischem Recht: Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.2 (S. 16). 4 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 4.1 (S. 24). Splittgerber/Rockstroh, BB 2011, 2179 (2183); Leupold/Glossner, IT-Recht, Teil 1 Rz. 352; Hoeren/Sieber, Multimedia-Recht, Teil 12 Rz. 405 f.; BITKOM, Cloud Computing – Was Entscheider wissen müssen, S. 41 f., http://www.cloud-practice.de/know-how/ cloud-computing-was-entscheider-wissen-muessen; Opfermann, Datenschutzkonforme Vertragsgestaltung im Cloud Computing, S. 154 ff. Hartung/Storm
359
Teil 4
Rz. 83
Datenschutz
b) § 11 Abs. 2 Satz 2 Nr. 2 BDSG/Art und Umfang Datenverarbeitung 83
Erforderlich ist ferner die Fixierung von Umfang, Art und Zweck der Datenverarbeitung, Art der Daten und Kreis der Betroffenen1. Der Zweck der Datenverarbeitung ist nicht bloß festzulegen, vielmehr ist der Auftragnehmer ausdrücklich daran zu binden, in Verbindung mit der Weisungsgebundenheit des Auftragnehmers nach § 11 Abs. 3 Satz 1 BDSG2. Die Angaben nach Nr. 2 sollen, genau wie die Leistungsbeschreibung selbst, hinreichend klar beschrieben werden3. Verweise auf andere Dokumente sind aber zulässig4. c) § 11 Abs. 2 Satz 2 Nr. 3 BDSG/technisch-organisatorische Maßnahmen
84
Dann sind konkrete und den spezifischen Risiken angepasste technischorganisatorische Maßnahmen zu vereinbaren5. § 9 BDSG und die Anlage dazu dienen nur als typisierte und generelle Umschreibung der erforderlichen Maßnahmen, ersetzen jedoch nicht die Beschreibung der Maßnahmen selbst (zu den Maßnahmen im Einzelnen vgl. Rz. 113 ff.). Die Einbindung von für andere Zwecke erstellten Dokumente, etwa von Sicherheitskonzepten, ist zulässig. Allerdings muss die verantwortliche Stelle sicherstellen, dass sämtliche erforderlichen technisch-organisatorischen Maßnahmen in den Dokumenten abgebildet sind. Gerade bei Massen-Angeboten von Cloud-Diensten (insbesondere im B2C-Bereich) ist regelmäßig fraglich, ob diese Anforderung in der Praxis erfüllt wird. d) § 11 Abs. 2 Satz 2 Nr. 4 BDSG/Berichtigung, Löschung, Sperrung
85
Die Aufsichtsbehörden empfehlen, die konkrete praktische Umsetzung der Betroffenenrechte (hierzu im Einzelnen Rz. 260 ff.) etwa durch technische Maßnahmen6 und die Mitwirkungspflichten des Anbieters zu re1 Gola/Schomerus, BDSG, § 11 Rz. 18a. So auch die Empfehlung nach europäischem Recht: Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.2 (S. 16); Söbbing, ITRB 2010, 36 (37). 2 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196, Ziff. 3.4.1.2 (S. 16), Ziff. 4.1 (S. 25); International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, Rz. 13. 3 Söbbing, ITRB 2010, 36 (37); Gola/Schomerus, BDSG, § 11 Rz. 18a; Gabel in Taeger/Gabel, BDSG, § 11 Rz. 43; Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 11 Rz. 35 ff. 4 Gola/Schomerus, BDSG, § 11 Rz. 18a. 5 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.2 (S. 16), Ziff. 4.1 (S. 27). 6 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.1 (S. 8).
360
Hartung/Storm
III. Gestaltung des Auftragsdatenverarbeitungsvertrages
Rz. 87
Teil 4
geln, wobei es beim Cloud Computing Aufgabe der verantwortlichen Stelle sei, für die rechtzeitige Löschung der personenbezogenen Daten zu sorgen1. Neben der allgemeinen Löschungspflicht, die in § 11 Abs. 2 Satz 2 Nr. 10 BDSG geregelt ist, geht es hier um die Löschung einzelner Daten zur Erfüllung der Betroffenenrechte. In Betracht kommt bei einer Löschung entweder die (beim Cloud Computing weniger relevante) physische Zerstörung von Datenträgern oder (hier vor allem einschlägig) das mehrfache Überschreiben durch spezielle Software-Werkzeuge2. Dabei ist unerheblich, wo und auf welchen Medien die Speicherung erfolgt; insbesondere Mehrfach-Speicherungen und Log-Dateien dürfen nicht übersehen werden3. Für die praktische Umsetzung geben die Aufsichtsbehörden leider keine Anleitung4. e) § 11 Abs. 2 Satz 2 Nr. 5 BDSG/Pflichten des Anbieters Die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Anbieters, ins- 86 besondere von diesem vorzunehmende Kontrollen, sind schriftlich zu fixieren. Hierzu gehört neben der Vereinbarung zum Einhalten der technisch-organisatorischen Maßnahmen insbesondere die Verpflichtung der Mitarbeiter und Subunternehmer des Anbieters auf das Datengeheimnis nach § 5 BDSG, die Ernennung eines betrieblichen Datenschutzbeauftragten nach §§ 4f, 4g BDSG und die Pflicht zur Mitwirkung an und Duldung der aufsichtsbehördlichen Kontrollmaßnahmen nach § 38 BDSG. In der Praxis wird häufig noch die Pflicht zur Mitwirkung bei der Erstellung des Verfahrensverzeichnisses durch den Abnehmer aufgenommen. Die Richtlinie 95/46/EG regelt ferner die Verpflichtung des Anbieters zur Vertraulichkeit, ohne jedoch die Anforderungen genauer zu spezifizieren5. Bei ausländischen Auftragnehmern sind diese Vorgaben nur angepasst zu 87 übernehmen. Während die Verpflichtung auf das Datengeheimnis nach § 5 BDSG wegen der fortgeltenden Anwendung des deutschen materiellen Rechts bei einer Auftragsdatenverarbeitung weiterhin Sinn macht, haben ausländische Auftragsdatenverarbeiter üblicherweise keine Pflicht 1 So die Empfehlung nach europäischem Recht: Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.1.3 (S. 14 f.). 2 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.1.3 (S. 14 f.), Ziff. 4.1 (S. 24); International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, Rz. 7. 3 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.1.3 (S. 14 f.). 4 Schröder/Haag, ZD 2011, 147 (149). 5 So auch die Empfehlung nach europäischem Recht: Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.3.1 (S. 9), Ziff. 3.4.2 (S. 15), Ziff. 4.1 (S. 24). Hartung/Storm
361
Teil 4
Rz. 88
Datenschutz
zur Bestellung eines betrieblichen Datenschutzbeauftragten; stattdessen sollte deshalb die Benennung eines für den Datenschutz rechtlich verantwortlichen Ansprechpartners aufgenommen werden. f) § 11 Abs. 2 Satz 2 Nr. 6 BDSG/Unterauftragsverhältnisse 88
Nach dem Wortlaut von § 11 Abs. 2 Satz 2 Nr. 6 BDSG ist nur vorgegeben, dass die „Berechtigung zur Begründung von Unterverhältnissen“ zu regeln ist1. Eine generelle Berechtigung des Anbieters zur eigenständigen Begründung von Unterauftragsverhältnissen mit Dritten kann man daraus wohl nicht ableiten, worauf man im Vertrag hinweisen sollte2.
89
Die deutschen Aufsichtsbehörden empfehlen, zu regeln, ob eine Berechtigung zur Begründung von Unterauftragsverhältnissen besteht, für die dann ebenfalls die Vorgaben der Auftragsdatenverarbeitung zu erfüllen sind3. Es ist zu vermeiden, dass die Einbeziehung von Subunternehmern durch den Anbieter (z.B. für einen kurzzeitig gestiegenen Bedarf an Rechenleistung) für den Abnehmer intransparent wird4. Auch darf die Kette der eingeschalteten Subunternehmer nicht unkontrollierbar lang sein5.
90
Die europäischen Aufsichtsbehörden empfehlen in Anlehnung an Klausel 11 der EU-Standardvertragsklauseln für Auftragsverarbeiter vom 5. Februar 20106, ein Zustimmungserfordernis des Abnehmers in den Vertrag aufzunehmen7. Eine Zustimmung kann ausweislich dieser Stellungnahme und der deutschen Muster für Standardverträge pauschal oder beschränkt auf bestimmte Unternehmen (z.B. Konzernunternehmen) bereits vorab im Vertrag erteilt werden, ohne dass jedes Mal eine erneute Zustimmung des Abnehmers notwendig wird8. Allerdings empfehlen die Aufsichtsbehörden, dass die Anbieter dann zumindest vertraglich verpflichtet werden, sämtliche Subunternehmer abschließend zu benennen und die für § 11 Abs. 2 BDSG relevanten Inhalte aus dem Vertrag mit
1 Schröder/Haag, ZD 2011, 147 (149); Schuster/Reichl, CR 2010, 38 (42). 2 Söbbing, ITRB 2010, 36 (38). 3 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.1 (S. 8); Niemann/Hennrich, CR 2010, 686 (691 f.). 4 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.1 (S. 8); Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.3.2 (S. 11). 5 Niemann/Hennrich, CR 2010, 686 (692). 6 Amtsblatt Nr. L 039 v. 12.2.2010 S. 0005–0018. 7 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.3.2 (S. 11 f.). Ziff. 3.4.2. (S. 15). 8 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.3.2 (S. 11 f.), Ziff. 3.4.2. (S. 15). Strengere Anforderungen der deutschen Aufsichtsbehörden sehen: Schröder/Haag, ZD 2011, 147 (149).
362
Hartung/Storm
III. Gestaltung des Auftragsdatenverarbeitungsvertrages
Rz. 92
Teil 4
dem Subunternehmer offen zu legen (wobei die Verantwortung für das Unterauftragsverhältnis beim Anbieter verbleibt)1. Die Verträge des Anbieters mit den Subunternehmern müssen denjeni- 91 gen mit dem Abnehmer entsprechen2. Der Abnehmer als verantwortliche Stelle3 muss mit seinen Weisungsrechten auf jeden Fall durchdringen können (vgl. gleich nachfolgend zu den Kontrollrechten)4. Auch eine direkte vertragliche Bindung bzw. Haftung der Subunternehmer im Verhältnis zum Abnehmer sollte in Betracht gezogen werden5, ebenso wie ein Kündigungsrecht des Anbieters bei Verstoß gegen die oben genannten Vorgaben6. g) § 11 Abs. 2 Satz 2 Nr. 7 BDSG/Kontrollrechte des Auftraggebers Der Auftraggeber muss sich ausreichende Kontrollrechte vorbehalten7. 92 Diese sollen insbesondere so gestaltet werden, dass den Kontrollrechten der Aufsichtsbehörden nachgekommen werden kann8. Zur Durchsetzung ist eine entsprechende Duldungspflicht des Auftragnehmers zu vereinbaren9. Die Aufsichtsbehörden empfehlen, auch entsprechende Rechte gegenüber Subunternehmern festzulegen10. Ein Verzicht auf Kontroll1 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.1 (S. 8); Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 2 (S. 6), Ziff. 3.3.2 (S. 11 f.), Ziff. 3.4.1.1 (S. 13), Ziff. 3.4.2. (S. 15), Ziff. 4.1 (S. 24); International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, Rz. 23, 24. 2 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 4.1 (S. 24); Niemann/Hennrich, CR 2010, 686 (692); vgl. auch Plath in Plath, BDSG, § 11 Rz. 57. 3 Söbbing, ITRB 2010, 36 (38); Leupold/Glossner, IT-Recht, Teil 5 Rz. 350. 4 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.3.2 (S. 11), Ziff. 3.4.2. (S. 15); vgl. auch Plath in Plath, BDSG, § 11 Rz. 57. 5 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.3.2 (S. 11 f.). 6 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 4.1 (S. 24). 7 So auch die Empfehlung nach europäischem Recht: Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE WP 196), Ziff. 3.4.2. (S. 15). 8 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 4.1 (S. 24). 9 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 4.1 (S. 24). 10 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing v. 1.7.2012 (01037/12/DE – WP 196, Ziff. 3.4.2 (S. 15); International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, S. 4 f.; Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 11 Rz. 54. Hartung/Storm
363
Teil 4
Rz. 93
Datenschutz
rechte vor Ort ist jedoch trotz der praktischen Schwierigkeiten (vgl. Rz. 104 ff.) nicht möglich1. 93
Die Kontrollrechte nach § 11 Abs. 2 Satz 2 Nr. 7 BDSG betreffen die Überprüfung der Einhaltung des Datenschutzes. Zusätzlich können Kontrollrechte im Hinblick auf kundeninterne Vorgaben wie Konzernregeln, Ethik- und Compliance-Regelungen erforderlich werden. Weiterer Kontrollbedarf kann aus wirtschaftlichen Gründen entstehen, etwa in Bezug auf den Umgang mit sensiblen Daten und Geschäftsgeheimnissen, die nicht von einem auf personenbezogene Daten gerichteten Audit erfasst werden2. Als Kontrollmechanismen können z.B. Weisungs-, Audit-, Mitbestimmungsrechte oder Reportingpflichten vereinbart werden3. h) § 11 Abs. 2 Satz 2 Nr. 8 BDSG/Mitteilungspflicht der Auftragnehmer
94
Der Anbieter muss die Pflicht übernehmen, ihm bekannt werdende Vertrags- und Datenschutzverstöße mit den notwendigen Einzelheiten innerhalb seines Unternehmens, einschließlich seiner Mitarbeiter, sowie innerhalb der Unterauftragsverhältnisse unverzüglich zu melden. Zugleich sollte er ihm bekannt gewordene oder mögliche Verstöße durch den Abnehmer und dessen Weisungen oder dessen Mitarbeiter melden und den Abnehmer darauf hinweisen4. Die europäischen Aufsichtsbehörden empfehlen, Änderungen der Dienste, wie etwa Funktionserweiterungen, in die Mitteilungspflicht aufzunehmen5. Nach den Vorgaben der europäischen Aufsichtsbehörden sollte ferner eine Mitteilungspflicht des Anbieters bei Anfragen von Sicherheitsbehörden aufgenommen werden, es sei denn, eine solche Mitteilung ist nach dem anwendbaren Recht unzulässig (vgl. hierzu auch Rz. 256 ff.)6. Die Konkretisierung dieser Pflichten beinhaltet Einzelheiten der Meldung, z.B. die Form und innerhalb welchen Zeitraums die Meldung erfolgen muss7.
1 A.A. Plath in Plath, BDSG, § 11 Rz. 55. 2 BITKOM, Cloud Computing – Was Entscheider wissen müssen, S. 52, http:// www.cloud-practice.de/know-how/cloud-computing-was-entscheider-wissenmuessen; Opfermann, Datenschutzkonforme Vertragsgestaltung im Cloud Computing, S. 156. 3 BITKOM, Cloud Computing – Was Entscheider wissen müssen, S. 52, http:// www.cloud-practice.de/know-how/cloud-computing-was-entscheider-wissenmuessen. 4 Söbbing, ITRB 2010, 36 (38). 5 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.2. (S. 14). 6 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.2. (S. 15). 7 Söbbing, ITRB 2010, 36 (38).
364
Hartung/Storm
III. Gestaltung des Auftragsdatenverarbeitungsvertrages
Rz. 97
Teil 4
Auch im Hinblick auf § 42a BDSG und vergleichbare Pflichten ist eine 95 Vereinbarung notwendig1. Der Abnehmer kann seinen Benachrichtigungspflichten gegenüber den Betroffenen und Aufsichtsbehörden (vgl. nachfolgend Rz. 275 ff.) nur nachkommen, wenn er selbst die erforderlichen Informationen rechtzeitig erhält. Da er die Datenverarbeitung nicht selbst betreibt, ist er insofern auf Auskünfte des Anbieters angewiesen. Es sollte also vereinbart werden, dass der Anbieter den Abnehmer rechtzeitig informiert2, und (nach Ansicht der Behörden deklaratorisch) klargestellt werden, dass nur die verantwortliche Stelle (der Abnehmer) für entsprechende Benachrichtigungen zuständig ist. i) § 11 Abs. 2 Satz 2 Nr. 9 BDSG/Umfang der Weisungsbefugnis Der Abnehmer als Auftraggeber muss im Hinblick auf die Verarbeitung 96 personenbezogener Daten (nicht in Bezug auf andere vertragliche Aspekte) ein Weisungsrecht gegenüber dem Anbieter als Auftragnehmer erhalten3. Fehlt die Weisungsbefugnis des Abnehmers, handelt es sich um eine Funktionsübertragung4. Weil § 11 Abs. 2 Nr. 9 BDSG Teil des Schriftformerfordernisses ist, sind die Weisungen grundsätzlich schriftlich zu erteilen oder, bei mündlicher Erteilung, schriftlich nachzuholen5. Ein Großteil der Weisungen wird durch die vertraglichen Vereinbarungen, insbesondere die Leistungsbeschreibung definiert. Insofern sollte man ausdrücklich festhalten, dass diese, einschließlich der Service-Level-Agreements, als Weisungen des Auftragsgebers gelten6. Grundsätzlich spricht nichts dagegen, für notwendige Änderungen (oder 97 Einzelweisungen) auf vertraglich geregelte Verfahren über Vertragsänderungen (Change Request) zu verweisen. Da innerhalb solcher Verfahren jedoch regelmäßig die Zustimmung des Anbieters erforderlich sein wird, sollte dies dahingehend ergänzt werden, dass Änderungswünsche des Abnehmers aus datenschutzrechtlichen Gründen vom Anbieter verpflichtend umzusetzen sind, selbstverständlich gegen angemessene Erstattung der dabei anfallenden Kosten. Ansonsten könnte das Zustimmungserfordernis des Anbieters als unzulässige Einschränkung des Weisungsrechts 1 International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, Rz. 20. 2 So auch die Empfehlung nach europäischem Recht: Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.2. (S. 15). 3 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.2 (S. 15). 4 Söbbing, ITRB 2010, 36 (38). 5 Gola/Schomerus, BDSG, § 11 Rz. 18h; Petri in Simitis, BDSG, § 11 Rz. 81; a.A. Schaffland/Wiltfang, BDSG, § 11 Rz. 9a; Gabel in Taeger/Gabel, BDSG, § 11 Rz. 54; Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 11 Rz. 64. 6 So auch die Empfehlung nach europäischem Recht: Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.2 (S. 15); vgl. auch Plath in Plath, BDSG, § 11 Rz. 56. Hartung/Storm
365
Teil 4
Rz. 98
Datenschutz
verstanden werden. In ähnlicher Weise könnte eine Regelung über ein Einzelweisungsrecht aufgenommen werden, sofern außerhalb eines vertraglichen Änderungsverfahrens kurzfristige Weisungen des Abnehmers möglich sein sollen. Dies sollte so abgefasst sein, dass solche Weisungen schriftlich erteilt werden oder, falls eine mündliche Weisung erfolgt, diese schriftlich bestätigt werden muss1. Die Aufsichtsbehörden empfehlen außerdem klarstellend eine ausdrückliche Regelung über die Bindung des Anbieters an die Weisungen des Abnehmers2. Bei dieser Anforderung wird kritisiert, dass Anbietern grundsätzlich mit mehr Misstrauen begegnet werden soll als anderen Dienstleistern3. 98
Zu beachten sind die tatsächlichen Grenzen der Weisungsbefugnis. Individuelle technische Weisungen sind dort nicht möglich, wo sie mit dem von Synergien und Standardisierung lebenden Geschäftsmodell zentraler Rechenzentren nicht kompatibel sind. Hier muss im Hinblick auf die technischen Vorgänge die allgemeine Weisung, die erforderlichen technischen Sicherheitsstandards einzuhalten, genügen. Individuelle Weisungen können sich dann nur auf den Umgang mit und die Löschung der Daten des Abnehmers beziehen4.
99
Die Aufsichtsbehörden empfehlen, Festlegungen zu treffen, die das Weisungsrecht des Auftraggebers absichern und ihm insgesamt eine starke Stellung einräumen, die sicherstellt, dass er „Herr der Daten“5 bleibt. Es sollten vor allem Regelungen zur Kündigung bei Datenschutzverstößen, Haftung, Vertragsstrafen und Beweislastumkehr vereinbart werden6. j) § 11 Abs. 2 Satz 2 Nr. 10 BDSG/Rückgabe und Löschung der Daten
100
Die Aufsichtsbehörden legen großen Wert darauf, dass Möglichkeiten der Löschung und Rückgabe der personenbezogenen Daten ausdrücklich ver-
1 Gola/Schomerus, BDSG, § 11 Rz. 18h; Petri in Simitis, BDSG, § 11 Rz. 81; Gabel in Taeger/Gabel, BDSG, § 11 Rz. 54; Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 11 Rz. 64. 2 International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, Rz. 12, 13, 41. 3 Schröder/Haag, ZD 2011, 147 (149). 4 Niemann/Hennrich, CR 2010, 686 (692); vgl. auch Plath in Plath, BDSG, § 11 Rz. 56. 5 Vander, K&R 2010, 292 (294); Leupold/Glossner, IT-Recht, Teil 5, Rz. 350; Niemann/Hennrich, CR 2010, 686 (687); Maisch, AnwZert ITR 15/2009, Anm. 4; zur Definition der Datenhoheit: Bosesky/Hoffmann/Schulz, DuD 2013, 95 (96 ff., 100). 6 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.1 (S. 8); Vander, K&R 2010, 292 (294); Splittgerber/Rockstroh, BB 2011, 2179 (2182); Reintzsch, BRJ 2013, 23 (25).
366
Hartung/Storm
III. Gestaltung des Auftragsdatenverarbeitungsvertrages
Rz. 103
Teil 4
einbart werden1. Zahlreiche Datenschutzverstöße wurden erst durch das Fehlen solcher Regelungen möglich, z.B. indem Daten nach Beendigung des Auftrags gewinnbringend an weitere Unternehmen verkauft wurden2. Die konkrete Regelung der Art und Weise der Rückgabe von Daten an den Abnehmer bzw. einen von diesem benannten Dritten (Stichwort: Datenportabilität) ist ein wesentlicher Bestandteil einer Exit-Regelung3. Unter dem Gesichtspunkt der Rückgabe bzw. Herausgabe muss außer- 101 dem einzelfallabhängig aus Sicht des Abnehmers spezifisch geregelt werden, wie er im Falle eines notwendigen Zugriffs auf die Daten für forensische Zwecke (z.B. Compliance-Prüfungen oder Pre-Trial-DiscoveryVerfahren) unter Wahrung der jeweiligen Anforderungen an Nachweisbarkeit an „seine“ Daten gelangt4. Bei einer Löschung (vgl. auch nachfolgend Rz. 269 ff.) sind die Besonder- 102 heiten des Cloud Computing zu berücksichtigen, insbesondere die Tatsache, dass eine physikalische Zerstörung der Datenträger regelmäßig nicht in Betracht kommt, weil die entsprechenden physischen Systeme für mehr als einen Kunden eingesetzt werden. Stattdessen sollen zuverlässige Löschungsverfahren durch Überschreiben der entsprechenden Daten vorgesehen werden, verbunden mit einer Protokollierung der Löschung zur Nachvollziehbarkeit5. k) Standort der Datenverarbeitung Der physische Standort der Daten ist eines der rechtlichen Kernprobleme 103 beim Cloud Computing. Er bestimmt nicht nur das anwendbare Recht (Auftragsverarbeitung in der EU oder in einem Drittland – Territorialitätsprinzip), sondern hat Einfluss auf die grundlegende Frage, wer verantwortliche Stelle und wer Auftragsverarbeiter ist. Die Entscheidungshoheit über die wesentlichen Schritte der Datenverarbeitung begründet die Stellung einer verantwortlichen Stelle (vgl. oben Rz. 48 ff.). Entsprechend haben die Aufsichtsbehörden mehrfach verlangt, dass der Ort der Datenverarbeitung (schriftlich) fixiert wird6, während Veränderungen des 1 So auch die Empfehlung nach europäischem Recht: Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.1.3 (S. 15), Ziff. 3.4.2 (S. 16). 2 Söbbing, ITRB 2010, 36 (38). 3 International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, Rz. 18; s. auch Reintzsch, BRJ 2013, 23 (25). 4 Hierzu eingehend Birk/Heinson/Wegener, DuD 2011, 329. 5 International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, Rz. 4. 6 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 5 (S. 25); Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.1.1 Hartung/Storm
367
Teil 4
Rz. 104
Datenschutz
Standortes durch Protokollierung nachvollziehbar gemacht werden sollen1. Für die Praxis beim Cloud Computing stellt sich dabei die Frage, woraus sich eine solche Pflicht ergeben soll, weil sie gesetzlich nicht vorgeschrieben ist2. Zumindest aber kann überlegt werden, diese Anforderung auf die relevanten Fälle der Wahrnehmung von Kontrollrechten und ähnlichen Anfragen des Abnehmers zu beschränken3. 3. Kontrolle des Auftragverarbeiters und Dokumentation 104
Darüber hinaus muss sich der Abnehmer nach § 11 Abs. 2 Satz 4 BDSG vor Beginn und danach regelmäßig von der Einhaltung der vereinbarten technisch-organisatorischen Maßnahmen des Anbieters überzeugen und dies dokumentieren4. Das Unterbleiben der vor Beginn der Auftragsdatenverarbeitung erforderlichen Prüfung stellt nach § 43 Abs. 1 Nr. 2b BDSG eine Ordnungswidrigkeit dar. Wird der Auftrag vor der ersten Kontrolle erteilt, so sollte ein Rücktrittsrecht für den Fall vereinbart werden, dass bei der ersten Kontrolle Mängel festgestellt werden, oder die Erteilung des Auftrags aufschiebend bedingt durch eine beanstandungsfreie Erstkontrolle erfolgen5. Die Intensität der Prüfung richtet sich nach Umfang und Komplexität der Datenverarbeitung und der Schutzbedürftigkeit der betroffenen Daten6. Die Erstkontrolle unterliegt besonders hohen Sorgfaltsanforderungen, während weitere Kontrollen grundsätzlich nur Veränderungen gegenüber der letzten Kontrolle zum Gegenstand haben7.
105
Wie die Prüfung genau erfolgen soll, ist im Einzelnen noch ungeklärt8. Es besteht die Möglichkeit (1) einer Vor-Ort-Kontrolle, (2) einer schriftlichen Abfrage von selbst aufgestellten Kriterien durch den Abnehmer und deren Beantwortung und Zusicherung durch den Anbieter, (3) das Abstellen auf Zertifizierungen oder (4) der Rückgriff auf die Kontrolle durch einen zuverlässigen, anerkannten Dritten, wie etwa einen Wirtschaftsprüfer.
1 2 3 4 5 6 7 8
(S. 13 f.), Ziff. 3.4.2. (S. 17), Ziff. 4.1 (S. 25); International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, Rz. 3, 10, 11, 22, 34. International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, Rz. 3, 11. Schröder/Haag, ZD 2011, 147 (149). Schröder/Haag, ZD 2011, 147 (149). Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.2 (S. 9); Schuster/Reichl, CR 2010, 38 (42). Bergt, ITRB 2012, 45 (46). Bergt, ITRB 2012, 45 (46). Vander, K&R 2010, 292 (295), m.w.N. Vgl. hierzu etwa Gola/Schomerus, BDSG, 10. Aufl., § 11 Rz. 21; Schröder/Haag, ZD 2011, 147 (149); Überblick über die verschiedenen Möglichkeiten bei: Reintzsch, BRJ 2013, 23 (25 f.).
368
Hartung/Storm
III. Gestaltung des Auftragsdatenverarbeitungsvertrages
Rz. 107
Teil 4
Aus der Gesetzesbegründung1 wird deutlich, dass eine Vor-Ort-Prüfung 106 nicht zwingend erforderlich ist2. Gegen eine Vor-Ort-Kontrolle spricht aus der Sicht des Abnehmers, dass nicht jeder Abnehmer über die erforderliche eigene Sachkunde verfügt, um eine zuverlässige Kontrolle durchführen zu können3. Durch die Reise vor Ort entstehen ebenso erhebliche Kosten wie für die Beschaffung externer Expertise. Die Vielfalt und der schnelle Wechsel der Datenverarbeitungsstandorte macht die Kontrolle am jeweiligen Ort des Geschehens unverhältnismäßig schwierig4. Aus Sicht des Anbieters ist es gerade bei Massenangeboten praktisch nahezu undenkbar, jedem einzelnen Kunden ein eigenes Kontrollrecht vor Ort einzuräumen5. Bildlich gesprochen könnte dies dazu führen, dass in den entsprechenden Rechenzentren jeden Tag hunderte oder tausende von Kontrollen stattfinden müssten. Aus der Sicht beider Beteiligten sind Vor-Ort-Kontrollen ferner sicherheitsgefährdend, weil sich die Gefahr unberechtigter Datenzugriffe oder Zugänge zu Datenverarbeitungsanlagen durch die Präsenz zahlreicher Unternehmen vor Ort nicht mindert, sondern, im Gegenteil, erhöht6. Das Aufstellen eigener Kriterienkataloge und eine fallbezogene Beant- 107 wortung durch den Anbieter werfen ebenfalls vielfache praktische Fragen auf und sind mit erheblichen Kosten verbunden. Ein Anbieter wird sich schwerlich darauf einlassen, individuelle Fragen für jeden Kunden zu beantworten. Andererseits besteht die Möglichkeit, dass der Anbieter für sämtliche Kunden entsprechende Informationen standardmäßig vorhält und der jeweilige Abnehmer diese dann unter Berücksichtigung der spezifischen Risiken evaluiert7. Im Bereich der sicherheitsrelevanten Information über technisch-organisatorische Maßnahmen werden diesem Vorgehen aber Grenzen gesetzt sein, um die Sicherheit nicht zu gefährden. Die Aufsichtsbehörden haben Bedenken gegen diese Methode, weil der Abnehmer sich nicht auf bloße Zusicherungen des Anbieters verlas1 BT-Drucks. 16/13 657, S. 29; dies auch nicht fordernd: Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.2 (S. 9). 2 Vgl. auch Bergt, ITRB 2012, 45 (46); Vander, K&R 2010, 292 (295); Heidrich/Wegener, MMR 2010, 803 (806); Plath in Plath, BDSG, § 11 Rz. 55 „im Falle des Cloud Computing auch praxisfern“; BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 52, http://www.bitkom.org/files/docu ments/BITKOM-Leitfaden-CloudComputing_Web.pdf. 3 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.2 (S. 9). 4 Niemann/Hennrich, CR 2010, 686 (691). 5 Vgl. Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 4.2 (S. 27). 6 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 4.2 (S. 27); Überblick zu den Problemen der Vor-Ort-Kontrolle: Selzer, DuD 2013, 215 f. 7 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 4.2 (S. 27). Hartung/Storm
369
Teil 4
Rz. 108
Datenschutz
sen soll, sondern eigene Recherchen betreiben muss, um sich Gewissheit darüber zu verschaffen, dass gesetzlich normierte oder vertraglich vereinbarte Sicherheitsstandards eingehalten werden1. 108
Aufsichtsbehörden befürworten das Abstellen auf Zertifizierungen, etwa das Siegel von EuroCloud2 oder des ULD Schleswig-Holstein3. Mehr auf die IT-Sicherheit bezogene Zertifizierungen, etwa nach ISO 27001, können dabei ebenfalls berücksichtigt werden. Es ist jedoch die begrenzte inhaltliche Reichweite dieser Zertifizierung zu beachten4. Ferner haben Datenschutzaudits in Deutschland mangels Umsetzung des 2009 geplanten Datenschutzauditgesetzes keine rechtliche Verankerung und Grundlage im Datenschutzrecht und deren Verlässlichkeit bzw. „Mehrwert“ ist daher noch unklar. Ein Abnehmer sollte sich daher nur dann auf eine Zertifizierung verlassen, wenn er eigene Risikokriterien aufgestellt und mit den von der Zertifizierungsstelle aufgestellten Anforderungen verglichen hat5. Die Aufsichtsbehörden weisen aus diesem Grund darauf hin, dass das Vorliegen von Zertifikaten nicht von der Kontrollpflicht entbindet6. Das Schrifttum plädiert hingegen vermehrt dafür, eine Zertifizierung des Auftragnehmers für die Kontrollpflicht nach § 11 Abs. 2 Satz 4 BDSG ausreichen zu lassen7. Da unter den Verfassern des Schrifttums Angehörige von Datenschutzbehörden sind8, bleibt abzuwarten, ob sich diese Auffassung mit der Zeit bei den Datenschutzbehörden durchsetzt. Die eigene Einschätzung muss er nach § 11 Abs. 2 Satz 4 BDSG zwingend dokumentieren (eine unterlassene Kontrolle ist eine Ordnungswidrigkeit nach § 43 Abs. 1 Nr. 2b BDSG)9. Er kann sich sämtlicher in Frage kommender Kapazitäten bedienen, d.h. der eigenen Sicherheitsbeauftrag1 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.2 (S. 9); Bergt, ITRB 2012, 45 (46); Vander, K&R 2010, 292 (295); Selzer, DuD 2013, 215 (217). 2 Zu Funktionsweise und Aussagekraft vgl. Giebichenstein/Weiss, DuD 2011, 338 ff. 3 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.2 (S. 9). 4 Vgl. dazu Hennrich, CR 2011, 546 (551 f.); Paulus, DuD 2011, 317 (318). 5 Z.B. Bundesamt für Sicherheit in der Informationstechnik, Sicherheitsempfehlungen für Cloud Computing-Anbieter, https://www.bsi.bund.de/SharedDocs/ Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfeh lungen-CloudComputing-Anbieter.pdf?__blob=publicationFile. 6 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.2 (S. 9); Selzer, DuD 2013, 215 (217 f.). 7 Bergt, ITRB 2012, 45 (46) m.w.N.; Vander, K&R 2010, 292 (295); Niemann/Hennrich, CR 2010, 686 (691); Heidrich/Wegener, MMR 2010, 803 (806). 8 Vgl. für den Bayerischen Landesdatenschutzbeauftragten: Bergt, ITRB 2012, 45 (46). 9 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.2 (S. 9).
370
Hartung/Storm
III. Gestaltung des Auftragsdatenverarbeitungsvertrages
Rz. 111
Teil 4
ten, externer Sachverständiger oder konzernweiter Kapazitäten. Angesichts dieser Ansicht der Aufsichtsbehörden stellt sich aber die Frage, was dann der praktische Vorteil einer Zertifizierung sein soll1. Die von der Praxis häufig angewandte Methode des Einsatzes der Audi- 109 tierung durch zuverlässige und unabhängige Dritte dürfte das bevorzugte Mittel der Kontrolle sein2. Dabei beauftragt der Anbieter einen zuverlässigen und unabhängigen Dritten (z.B. einen anerkannten Wirtschaftsprüfer) mit einer regelmäßigen Kontrolle seiner Datenverarbeitungsanlagen und technisch-organisatorischen Maßnahmen. Die Ergebnisse wird er, soweit die Sicherheit nicht durch die Bekanntgabe der Informationen als solche gefährdet wird, seinen Kunden zugänglich machen3. Optimalerweise erhält der Abnehmer das Recht, eine solche Prüfung zu veranlassen sowie Zweifel an der Zuverlässigkeit oder Unabhängigkeit des vom Anbieter gewählten Prüfers einzubringen. Die europäischen Aufsichtsbehörden haben ein solches Vorgehen ausdrücklich für ausreichend erklärt4. Nach Ansicht der Aufsichtsbehörden ist es aber trotzdem bedenklich, 110 wenn man sich, gerade im Hinblick auf behördliche Untersuchungen, ein eigenes Kontrollrecht vor Ort nicht wenigstens als Ultima Ratio vorbehält5. Für die Häufigkeit der nachvertraglichen Prüfungen kann man in Anleh- 111 nung an Abschlussprüfer die Prüfungen im jährlichen Prüfungsbericht6 oder an revisionstypischen Prüfungszyklen (1–3 Jahre) ausrichten7. Als Kriterien für die Kontrollhäufigkeit sind der Umfang der Auslagerung, die Sensibilität der betroffenen Daten und die geplante Laufzeit eines Auftrages einzubeziehen8.
1 Schröder/Haag, ZD 2011, 147 (149). 2 Pohle/Ammann, K&R 2009, 625 (630). Kritisch: International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, http://www.datenschutz-berlin.de/attachments/873/Sopot_Memorandum_Cloud_ Computing.pdf?1335513083; Schröder/Haag, ZD 2012, 362 (367); ausführlich zur Testatlösung des „Trusted Cloud“-Programms: Selzer, DuD 2013, 215 (218 f.). 3 Vander, K&R 2010, 292 (296). 4 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 4.2 (S. 27); International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, Rz. 15, 27, 44; dies begrüßend: Schröder/Haag, ZD 2011, 147 (149). 5 International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, Rz. 14. 6 Söbbing, ITRB 2010, 36 (38). 7 Vander, K&R 2010, 292 (295). 8 Vander, K&R 2010, 292 (295). Hartung/Storm
371
Teil 4
112
Rz. 112
Datenschutz
Sofern der Einsatz von Subunternehmern gestattet wird, so müssen im Rahmen der Unterbeauftragung die Vorgaben des Vertrags zwischen Abnehmer und Anbieter berücksichtigt werden. In diesem Fall muss der Anbieter im Rahmen der Unterbeauftragung eine Kontrolle nach § 11 Abs. 2 Satz 4 BDSG nach den eben genannten Maßstäben vornehmen (was im Vertrag als Bedingung für den Abschluss eines Vertrags mit dem Subunternehmer ausgestaltet werden soll) und dem Abnehmer auf Verlangen vorhandene Nachweise zu Zertifizierungen bzw. DatenschutzGütesiegeln der Subunternehmer vorlegen1.
IV. Technische und organisatorische Maßnahmen 1. § 9 BDSG als Maßstab für technisch-organisatorische Maßnahmen a) § 9 BDSG und die Anlage zu § 9 BDSG 113
Für technisch-organisatorische Maßnahmen enthält Art. 17 Abs. 1 der Richtlinie 95/46/EG als Vorgabe einmal deren Ziele (Schutz gegen zufällige oder unrechtmäßige Zerstörung, gegen zufälligen Verlust, gegen unberechtigte Änderungen, gegen unberechtigte Weitergabe oder Zugang insbesondere über das Internet sowie gegen jede andere Form der unrechtmäßigen Verarbeitung) und zum anderen Vorgaben für das konkrete Vorgehen: Bei der Auswahl der technisch-organisatorischen Maßnahmen können die verantwortlichen Stellen eine Abwägung vornehmen. Die Maßnahmen müssen zunächst den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen sein. Dabei muss die verantwortliche Stelle einerseits den Stand der Technik berücksichtigen, darf andererseits aber die dafür erforderlichen Kosten in die Abwägung einbeziehen2. Dem entspricht in der Systematik, wenn auch ungenauer formuliert, die Bestimmung des § 9 BDSG3. Danach sind alle erforderlichen technisch-organisatorischen Maßnahmen zu treffen, um die Einhaltung des Datenschutzrechts zu gewährleisten, wobei bei der Ermittlung der Erforderlichkeit der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen muss.
114
Damit wird klar, dass es keinen umfassenden Katalog technisch-organisatorischer Maßnahmen gibt, die für jede Datenverarbeitung anzuwenden sind. Die konkret erforderlichen Maßnahmen müssen sich anhand der folgenden grundsätzlichen Systematik und Vorgehensweise an der konkreten Datenverarbeitung ausrichten:
1 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.2 (S. 9); Niemann/Hennrich, CR 2010, 686 (691 f.). 2 Überblick bei: Weichert, DuD 2010, 679 (685 f.). 3 Ausführlich hierzu: Weichert, Cloud Computing & Data Privacy, Abschnitt 10, https://www.datenschutzzentrum.de/cloud-computing/20100617-cloud-compu ting-and-data-privacy.pdf.
372
Hartung/Storm
IV. Technische und organisatorische Maßnahmen
Rz. 117
Teil 4
(1) Zunächst muss eine Analyse der von der Datenverarbeitung ausgehenden spezifischen Risiken erfolgen, wobei hier die Art der zu schützenden Daten einbezogen werden muss (so sind etwa besondere Arten personenbezogener Daten nach § 3 Abs. 9 BDSG oder die in § 42a BDSG genannten Datengruppen besonders geschützt). (2) Von den konkreten Risiken ausgehend, sind dann geeignete, dem Stand der Technik genügende Maßnahmen zu ermitteln. (3) Unter den geeigneten oder mehreren geeigneten Maßnahmen ist dann schließlich im letzten Schritt zu prüfen, welche davon unter Berücksichtigung der anfallenden Kosten verhältnismäßig sind. Bei den konkreten technisch-organisatorischen Maßnahmen ist dann der 115 Katalog in der Anlage zu § 9 BDSG beachtlich. Dort werden acht typische Maßnahmen mit verschiedenen Zielrichtungen und bezogen auf verschiedene Stufen eines IT-Systems genannt (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und das Trennungsgebot). Dies ist aber nur eine beispielhafte und typisierende, ausführungsbedürftige Beschreibung, dort sind keinesfalls konkrete technisch-organisatorische Maßnahmen selbst beschrieben1. Das Kopieren der Anlage zu § 9 BGSG in einem Auftragsdatenverarbeitungsvertrag genügt daher nicht den gesetzlichen Anforderungen des § 11 Abs. 2 BDSG. Vielmehr müssen einzelne konkrete Maßnahmen beschrieben werden. Umgekehrt bedeutet dies aber auch, dass nicht für jede der dort beschriebenen Fallgruppen für jede Datenverarbeitung besondere Einzelmaßnahmen vereinbart werden müssen. b) Verschlüsselung als technisch-organisatorische Maßnahme Mit der BDSG-Reform von 2009 ist in Satz 3 der Anlage zu § 9 BDSG 116 ausdrücklich die Verschlüsselung für die Zugangs-, Zugriffs- und Weitergabekontrolle nach Nr. 2, 3 und 4 der Anlage zu § 9 BDSG als eine mögliche technisch-organisatorische Maßnahme genannt2. Entsprechend der eben dargelegten Systematik des § 9 BDSG bedeutet dies aber nicht, dass bei diesen Kontrollen immer und bei anderen Kontrollen nie eine Verschlüsselung vorzunehmen ist; vielmehr ist immer zu prüfen, ob eine Verschlüsselung in Betracht kommt und ob ersatzweise bzw. zusätzlich sonstige technisch-organisatorische Maßnahmen zu treffen sind3. Beim Einsatz der Verschlüsselung als technisch-organisatorische Maß- 117 nahme geht es nicht um die Anwendbarkeit des Datenschutzrechts (vgl. hierzu oben Rz. 29 ff.), sondern um den bei der Anwendung des Datenschutzrechts erforderlichen Schutz personenbezogener Daten vor Da1 Plath in Plath, BDSG, § 9 Rz. 21; Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 36. 2 Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 83. 3 Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 85. Hartung/Storm
373
Teil 4
Rz. 118
Datenschutz
tenveränderung, Datendiebstahl oder sonstiger missbräuchlicher Verwendung, insbesondere vor dem Hintergrund von Angriffen aus dem Internet1. 118
Gleichzeitig wird man mit der Verschlüsselung einem weiteren Grundsatz des Datenschutzrechts gerecht, der Datensparsamkeit und Datenvermeidung nach § 3a BDSG. Einmal wird eine Verschlüsselung zu einer Anonymisierung oder zumindest (wenn man der objektiven Betrachtungsweise folgt, vgl. Rz. 26) Pseudonymisierung nach § 3a Satz 2 BDSG führen und man kann dieser seit 2009 generellen Pflicht zur Anonymisierung bzw. Pseudonymisierung (soweit dies nicht unverhältnismäßigen Aufwand erfordert) genügen. Der in § 3a Satz 1 BDSG enthaltene Grundsatz, die Datenverarbeitungssysteme an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben und zu verwenden, entspricht den international verwendeten Begriffen des „Privacy by Design“ und „Privacy by Default“.
119
In Zukunft dürften diese Grundsätze im europäischen Recht noch genauer verankert werden: So sieht Art. 23 des Entwurfs der DatenschutzGrundverordnung die Pflicht zu „Privacy by Design/Default“ vor, d.h. die möglichst datenschutzfreundliche Ausgestaltung und Voreinstellung von Produkten und Diensten. Nach dem weiten Wortlaut in Art. 23 (2) Satz 2 des Entwurfs muss sichergestellt werden, „dass personenbezogene Daten grundsätzlich nicht einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.“ Eine Verschlüsselung erreicht dieses Ziel, die Daten nur einem begrenzten Kreis zugänglich zu machen. Hier darf man auf die beabsichtigten, von der EU-Kommission zu erlassenden Ausführungs-Vorschriften gespannt sein, vor allem inwieweit dort ausdrücklich die Verschlüsselung vorgeschrieben wird.
120
Bestimmte Verschlüsselungsverfahren (z.B. symmetrisch vs. asymmetrisch) werden im BDSG selbst nicht festgelegt. Z.T. verlangen Landesdatenschutzgesetze, dass durch die Verschlüsselung „die Kenntnisnahme des Inhalts der Daten nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist“2, was der Definition der Anonymisierung entspricht (vgl. hierzu Rz. 22 ff.). Nach Satz 3 der Anlage zu § 9 BDSG ist ein „dem Stand der Technik“ entsprechendes Verschlüsselungsverfahren vorgeschrieben. Der Begriff des „Stands der Technik“ wird vom Gesetzgeber in verschiedenen Zusammenhängen unterschiedlich verwendet (z.B. im Patentgesetz). Bei der Auswahl der Verschlüsselungsverfahren ist zu beachten, dass die Bestimmungen des BDSG für jedes Datenverarbeitung betreibende Unternehmen umsetzbar sein müssen und nach § 9 Satz 2 BDSG nur solche Maßnahmen erforderlich sind, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Gefordert werden also aktuelle, einen hohen Sicherheitsstandard liefern1 Ernestus in Simitis, BDSG, § 9 Rz. 165. 2 Ernestus in Simitis, BDSG, § 9 Rz. 167.
374
Hartung/Storm
IV. Technische und organisatorische Maßnahmen
Rz. 122
Teil 4
de Verfahren, die jedoch marktgängig und praxisbewährt sind, sowie – bezogen auf die jeweiligen Datenverarbeitungsvorgänge – wirtschaftlich betrieben werden können1. Sinnvolle Hinweise auf sichere Verfahren veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI), insbesondere zum Cloud Computing2. Die Sinnhaftigkeit einer Verschlüsselung beim Cloud Computing hängt 121 vom konkreten Cloud-Dienst ab. Etwa bei der Speicherung von Daten in der Cloud im Rahmen eines IaaS-Angebots ist eine Verschlüsselung der gespeicherten Daten durch die verantwortliche Stelle vielfach technisch möglich3, bzw. man wird inzwischen sogar eher dann unter Rechtfertigungszwang geraten, wenn man eine Verschlüsselung nicht anwendet. Denn hier sind technisch ausgereifte und kostengünstige (bzw. kostenlose) Verschlüsselungsverfahren verfügbar. Schwieriger einzuschätzen ist es aber bei kompletten Verarbeitungsprozessen (z.B. SaaS): Hier wird man im Einzelfall genau überlegen müssen, für welche Schritte eine Verschlüsselung überhaupt in Betracht kommt. Falls diese nicht möglich ist (z.B. während einer Verarbeitung durch den Anbieter)4, muss man prüfen, ob man andere geeignete Maßnahmen i.S.d. § 9 BDSG getroffen hat. Die Aufsichtsbehörden empfehlen jedenfalls für die Speicherung außerhalb einer Verarbeitung sowie für die Übertragung eine Verschlüsselung und begrüßen die Weiterentwicklung von Ansätzen zu einer vollständigen Verschlüsselung auch während der Verarbeitung5. 2. Die Risiko-Analyse für das Cloud Computing Bei der Analyse der verarbeitungsspezifischen Risiken und dann bei der 122 Festlegung der geeigneten angemessenen technisch-organisatorischen Maßnahmen ist es zunächst erforderlich, sich an den Schutzzielen der infrastrukturellen Rahmenbedingungen zu orientieren. Die Maßnahmen dienen keinem Selbstzweck, sondern sind immer an dem konkreten Schutzbedürfnis auszurichten6.
1 Ernestus in Simitis, BDSG, § 9 Rz. 171 ff.; Gola/Schomerus, BDSG, § 9 Rz. 29a; Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 86. 2 „BSI – Sicherheitsempfehlungen für Anbieter“, S. 36 f.; vgl. auch Hennrich, Compliance in Clouds, CR 2011, 546 (549 ff.). 3 Birk/Wegener, DuD 2010, 641 (643); Stiemerling/Hartung, CR 2012, 60 (66). 4 Birk/Wegener, DuD 2010, 641 (643); Stiemerling/Hartung, CR 2012, 60 (66). 5 „Working Paper on Cloud Computing – Privacy and Data Protection Issues – „Sopot Memorandum“ vom 24.4.2012 der internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation, Rz. 8; Birk/Wegener, DuD 2010, 641 (643). 6 Bergmann/Möhrle/Herb, Datenschutzrecht, Stand: 42. Ergänzungslieferung, Januar 2011, § 9 Rz. 27; Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 18. Hartung/Storm
375
Teil 4
Rz. 123
Datenschutz
a) Die Schutzziele der infrastrukturellen Rahmenbedingungen 123
Eine Herausforderung besteht grundsätzlich darin, den in § 9 BDSG gesetzlich geforderten Schutzzweck zu bestimmen, da die Norm keinerlei Aussage darüber trifft, wie hoch der Schutzbedarf einzelner personenbezogener Daten und der Systeme ist, die diese Daten verarbeiten. Im Gegenteil, die Formulierung in der Anlage zu § 9 BDSG, wonach es „auf die Art der zu schützenden Daten“ ankommt, weist bereits auf die Individualität der Bestimmung der einzelnen Schutzziele hin1.
124
Der Schutzzweck bestimmt sich grundsätzlich danach, wie sensibel die zu verarbeitenden Daten sind und als wie gefährdet sie unter Berücksichtigung aller relevanten Umstände angesehen werden müssen2. Dabei gilt das Prinzip, dass besonders sensible Daten i.S.d. § 3 Abs. 9 BDSG, gerade wegen ihrer eindeutigen Einordnung durch den Gesetzgeber, ein höheres Schutzbedürfnis haben als andere personenbezogene Daten3. Natürlich können auch andere personenbezogene Daten, die nicht unter die gesetzliche Definition fallen, ein erhöhtes Schutzbedürfnis haben. So müssen insbesondere zentrale Identifikationsdaten, wie z.B. Steueridentifikations- oder Sozialversicherungsnummern, als besonders schutzbedürftig angesehen werden, da sie zur Beschaffung weiterer zu der betroffenen Person gehöriger Daten verwendet werden können. Dies zeigt, dass neben der Sensibilität von personenbezogenen Daten ein weiterer Faktor, nämlich ihr individuelles Schadenspotential, für die Festlegung des Schutzzwecks eine Rolle spielen kann. Im Falle der Festlegung des individuellen Schadenspotentials einzelner personenbezogener Daten muss hypothetisch bestimmt werden, welche Auswirkungen ein Verlust oder eine fehlende Sicherung der betroffenen Daten gegen unbefugten Zugriff und Offenlegung hätte. Diese hypothetische Bestimmung des Schadenspotentials darf jedoch nicht jedes abstrakte und in der Theorie denkbare Risiko berücksichtigen, sondern muss anhand der konkreten Umstände des Einzelfalls erfolgen4. Eine Herausforderung in diesem Zusammenhang ist sicherlich, das Gefährdungspotential realistisch einzuschätzen. Bereits erkennbare bzw. sich abzeichnende Gefährdungslagen sollten auf jeden Fall Berücksichtigung finden. Zur Information über solche Gefährdungslagen kann auf Informationsquellen, wie zum Beispiel den im Zweijahresrhythmus vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten Lagebericht zur IT-Sicherheit5, zurückgegriffen werden. Eine Dokumentation der bei der Einschätzung des
1 Vgl. auch Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 9 Rz. 25; Ernestus/Geiger in Simitis, BDSG, § 9 Rz. 25; Schultze-Melling in Taeger/Gabel, § 9 Rz. 20. 2 Vgl. statt vieler Gola/Schomerus, BDSG, § 9 Rz. 9. 3 So auch Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 9 Rz. 25; Ernestus/ Geiger in Simitis, BDSG, § 9 Rz. 29. 4 Vgl. Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 9 Rz. 24. 5 Abrufbar unter der URL: http://www.bsi.bund.de/literat/Lagebericht2011.pdf.
376
Hartung/Storm
IV. Technische und organisatorische Maßnahmen
Rz. 127
Teil 4
Schadenspotentials zugrunde gelegten Annahmen empfiehlt sich in jedem Fall. Soweit Daten mit unterschiedlichen Schutzzwecken in ein- und dieselbe 125 Verarbeitung einbezogen werden, muss sich das anzuwendende Schutzniveau unabhängig von ihrem individuellen Anteil an den sensibelsten Daten orientieren1. Nach der Orientierungshilfe müssen im Falle des Cloud Computings bei 126 der Festlegung der technisch-organisatorischen Maßnahmen die folgenden Schutzziele beachtet werden2: – Verfügbarkeit: Personenbezogene Daten stehen zeitgerecht zur Verfügung und können ordnungsgemäß von autorisierten Benutzern verarbeitet werden. – Vertraulichkeit: Nur Befugte können personenbezogene Daten zur Kenntnis nehmen. – Integrität: Personenbezogene Daten bleiben während der Verarbeitung unversehrt, vollständig und aktuell. Die Funktionsweise der Systeme ist vollständig gegeben. – Revisionssicherheit: Es kann festgestellt werden, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat. – Transparenz: Die Verfahrensweise bei der Verarbeitung personenbezogener Daten ist vollständig, aktuell und in einer Weise dokumentiert, dass sie in zumutbarer Zeit nachvollzogen werden kann. b) Cloudspezifische Risiken Spezifische Risiken resultieren beim Cloud Computing aus seiner zen- 127 tralen Eigenschaft, dass Computerressourcen von den Abnehmern genutzt werden, auf die diese Abnehmer selbst keinen administrativen oder physischen Zugriff haben3. Diesem Umstand ist die Gefahr inhärent, dass der Abnehmer die Übersicht darüber verliert, wo und auf welchen Computersystemen Anwendungen und Daten gespeichert sind, ausgeführt oder verarbeitet werden. Dies ist nicht nur systemtechnisch bedingt, da Cloud Computing klassischerweise auf den Einsatz von Virtualisierungstechniken baut, um Rechen- und Speicherressourcen optimiert zu nutzen4. Darüber hinaus erfordert der Betrieb einer solchen Cloud re1 Vgl. Ernestus in Simitis, BDSG, § 9 Rz. 28; Schultze-Melling in Taeger/Gabel, BDSG, § 9 Rz. 22. 2 „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, Ziff. 4.1.1 (S. 13). 3 „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, Ziff. 4.1.2 (S. 14 f.). 4 Hedrich/Wegner, MMR 2010, 803. Hartung/Storm
377
Teil 4
Rz. 128
Datenschutz
gelmäßig den Zukauf spezifischer Technik und/oder Dienstleistungen, was – gerade bei wirklich globalen Cloud-Modellen – regelmäßig die Einschaltung einer Vielzahl von Subunternehmern in verschiedenen geographischen Lokationen erfordert. Denn insbesondere für Anbieter von PaaS- und SaaS-Diensten ist es aus technischen Gründen attraktiv, Ressourcen bei anderen Anbietern hinzuzukaufen1. Besonders also in solchen Fällen besteht die Gefahr, dass der Abnehmer die Übersicht über Systeme und Daten verliert, wenn der Einkauf dieser Subunternehmer nicht transparent für den Abnehmer geschieht2. Ein sich daraus ergebendes Anschlussrisiko ist die fehlende Überprüfbarkeit bzw. Auditierbarkeit der jeweiligen eingeschalteten Subunternehmer3. 128
Die Gefahr der Intransparenz über den Umgang mit den personenbezogenen Daten wird verstärkt durch den Umstand, dass ihre Verarbeitung und Speicherung auch fragmentiert und damit verteilt geschehen kann, gerade dann, wenn der Anbieter Teile seines Portfolios bei anderen Anbietern bezieht. Anbieter von Cloud-Services sind gemeinhin an Standorten angesiedelt, die über extrem breitbandige Internetanbindungen verfügen. Diese leistungsfähigen Anbindungen sind notwendig, um überhaupt Cloud-Services anbieten zu können; sie ermöglichen es aber auch, in kürzester Zeit große Datenmengen an andere Standorte zu verschieben oder zu kopieren4. Um dieser Gefahr zu begegnen, wird Cloud Computing-Anbietern und ihren Abnehmern insbesondere durch die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation empfohlen, automatisiert Protokolle darüber anzufertigen, wo und zu welchem Zeitpunkt personenbezogene Daten gespeichert und verarbeitet wurden5. Darüber hinaus wird gefordert, ausreichende technische Maßnahmen zu implementieren, mit denen verhindert werden kann, dass personenbezogene Daten rechtswidrig in Länder und deren Rechtsordnungen übertragen werden, die kein ausreichendes Datenschutzniveau gewährleisten.
1 Schröder/Haag, ZD 2011, 147. 2 „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, Ziff. 4.1.1 (S. 13). 3 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing v. 1.7.2012 (01037/12/DE – WP 196), Ziff. 4.2 (S. 27); Working Paper on Cloud Computing – Privacy and Data Protection Issues – „Sopot Memorandum“ – v. 24.4.2012 der internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation, Rz. 15, 27, 44. 4 „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, Ziff. 4.1.1 (S. 13). 5 Working Paper on Cloud Computing – Privacy and Data Protection Issues – „Sopot Memorandum“ – v. 24.4.2012 der internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation, Rz. 15, 27, 44. Das Working Paper ist z.B. abrufbar unter http://www.datenschutz-berlin.de/attachments/873/Sopot_Memo randum_Cloud_Computing.pdf (zuletzt besucht am 10.7.2013).
378
Hartung/Storm
IV. Technische und organisatorische Maßnahmen
Rz. 130
Teil 4
Unabhängig von der sich ergebenden Menge potentieller Verarbeiter und 129 der Vielzahl von geographischen Lokationen, in denen personenbezogene Daten verarbeitet werden können, verliert der Cloud Computing-Abnehmer insbesondere seine ausschließliche Kontrolle über Daten und die Fähigkeit, die technisch-organisatorischen Maßnahmen zu implementieren, die notwendig sind, um die Daten dem gesetzlichen Schutzbedürfnis entsprechend abzusichern1. Hierbei unterscheidet sich der Cloud Computing-Anbieter nicht grundlegend von herkömmlichen IT-Infrastrukturoder IT-Outsourcing-Anbietern. Insbesondere verliert er die ausschließliche Kontrolle über zentrale Aspekte der eigentlichen Datenverarbeitung: Das Löschen i.S.d. endgültigen Unkenntlichmachens von Daten kann 130 bei Anwendungen des Cloud Computing nicht ohne weiteres realisiert und überprüft werden (vgl. Rz. 270 ff.), insbesondere wenn dabei aktuelle Datensicherungsmechanismen und -intervalle, wie Backup-Prozeduren, berücksichtigt werden müssen. So besteht für den Abnehmer die Unsicherheit, ob (1) eine vollständige Löschung seiner Daten erfolgt, wenn er ein entsprechendes Kommando absetzt; (2) die Daten am vorherigen Ort zuverlässig und sicher gelöscht werden oder vor dem Zugriff späterer Anwender sicher geschützt sind, wenn der Anbieter den Ort der Erbringung der Dienstleistungen aus eigenen Erwägungen verlagert2. Daher empfiehlt die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation, dass entsprechende automatisiert angefertigte Protokolle eingesetzt werden, mit denen nachvollzogen werden kann, wann welche personenbezogenen Daten kopiert und gelöscht wurden, einschließlich der Anfertigung von Kopien und Löschungen durch die Subunternehmer des Cloud Computing-Anbieters und der Kontrolle über die Löschung bzw. Unkenntlichmachung von Daten in Backups3. Nach Ansicht der europäischen Aufsichtsbehörden sollten gegen das Risiko des unberechtigten Kopierens der personenbezogenen Daten des Abnehmers technisch-organisatorische Maßnahmen wie die Protokollierung und Überprüfbarkeit solcher Vorgänge, ggf. verbunden mit Vertragsstrafen bei Verstößen, vereinbart werden4.
1 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing v. 1.7.2012 (01037/12/DE – WP 196), Ziff. 4.2 (S. 27); Working Paper on Cloud Computing – Privacy and Data Protection Issues – „Sopot Memorandum“v. 24.4.2012 der internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation, Rz. 15, 27, 44. 2 „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, Ziff. 4.1.1 (S. 13). 3 Working Paper on Cloud Computing – Privacy and Data Protection Issues – „Sopot Memorandum“ – v. 24.4.2012 der internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation, Rz. 15, 27, 44. 4 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing v. 1.7.2012 (01037/12/DE – WP 196), Ziff. 3.4.1.2 (S. 14). Hartung/Storm
379
Teil 4
Rz. 131
Datenschutz
131
Eine trotz der Anfertigung von detaillierten Protokollen verbleibende Gefahr besteht, soweit Protokolle und Dokumentationen zur Datenverarbeitung in der Cloud sich nur beim Anbieter befinden, darin, dass die darauf aufbauende Kontrolle nicht unmittelbar durch den verantwortlichen Abnehmer, sondern nur durch den Anbieter erfolgen kann. Während der Abnehmer kaum über regelmäßige Reports, Informationen über Schwierigkeiten und wichtige Vorfälle sowie über System- und Nutzungsprotokolle verfügt, kontrolliert sich der Anbieter allenfalls selbst. Die hier dargelegten Herausforderungen im Umgang mit den konkreten Schritten der Datenverarbeitungen sind bereits in ähnlicher Form aus klassischen Hosting-Szenarien bekannt, sodass bei ihrer vertraglichen Ausgestaltung mit dem Cloud Computing-Anbieter auf diese Grundsätze zurückgegriffen werden kann1. Denkbar wären hier z.B. einerseits Formate für das Auslesen, Analysieren und weitere Verarbeiten der angefertigten Protokolle zu vereinbaren. Andererseits sollte der Abnehmer darüber nachdenken, Hinterlegungsszenarien für die für ihn complianceseitig unabdingbaren Protokolle mit dem Anbieter vertraglich zu verankern.
132
Darüber hinaus ist der Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder der Ansicht, dass Cloud-Services oft innerhalb sehr kurzer Zeiträume bereitgestellt werden können, da sie in der Regel vorkonfiguriert sind und damit schnell in Betrieb genommen werden können. Dies könne dazu verleiten, neue Verfahren zur Verarbeitung personenbezogener Daten ohne die erforderliche Sorgfalt einzurichten, indem insbesondere (1) nicht oder nur oberflächlich geprüft wird, ob bzw. unter welchen Bedingungen die vorgesehene Verarbeitung rechtlich zulässig ist, (2) Systeme nicht schrittweise mit sorgfältig ausgewählten Testdaten, sondern mit Echtdaten getestet werden2. Wie realistisch dieses Risiko tatsächlich ist, dürfte auch hier vom jeweiligen Einzelfall und vom gewählten Cloud-Szenario abhängen. Gerade bei SaaS- oder PaaS-Szenarien dürfte regelmäßig keine alleinstehende Cloud-Lösung durch den Abnehmer erworben werden, sondern eine in bestehende OnPremise-Lösungen zu integrierende Lösung. Allein diese Integrationsbestrebungen dürften die nötige Umsicht und Bedacht beim Einsatz solcher Cloud-Lösungen mit entsprechend detaillierter Risikoanalyse und Erarbeitung eines entsprechenden Konzeptes erfordern. Ferner wird häufig eine Migration existierender Datenbestände zur Verarbeitung durch die PaaS- oder SaaS-Lösung erforderlich sein. Dies kann ein komplexes Projekt erfordern, das ebenfalls nicht ohne weitere Prüfung durchgeführt werden kann. Eine gründliche Prüfung der datenschutzrechtlichen Zulässigkeit vor der Einführung liegt zweifellos im Verantwortungsbereich des Abnehmers. Derart sorglose Abnehmer, auf die hier angespielt wird, würden bei schlecht adminis1 Schröder/Haag, ZD 2011, 147 (151). 2 „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, Ziff. 4.1.3 (S. 15 ff.).
380
Hartung/Storm
IV. Technische und organisatorische Maßnahmen
Rz. 135
Teil 4
trierten Inhouse-Lösungen allerdings größere Probleme bekommen als bei der Nutzung der meisten Cloud-Lösungen1. Unabhängig davon muss jedes Unternehmen sich des wachsenden Trends bewusst sein, dass Fachabteilungen Cloud-Lösungen einführen, z.T. unabhängig von und unabgestimmt mit der im Konzern tätigen IT-Abteilung. Dabei spielen vor allem die für Cloud-Angebote immer wieder als typisch hervorgehobenen Vorzüge der schnellen Verfügbarkeit und der – zumindest bei manchen Nischenlösungen – sehr guten fachlichen Abdeckung des Bedarfs eine große Rolle. Unterstützt wird dies immer häufiger auch dadurch, dass die jeweilige Fachabteilung ohnehin der Budgetgeber ist und ohne die Einbindung der IT-Abteilung vermeintlich freier entscheiden kann. Gerade vor dem Hintergrund der Integration von Cloud-Lösungen in 133 bestehende On-Premise-Lösungen des Abnehmers sollten als cloudspezifisches Risiko mögliche Sicherheitslücken in den APIs (application programming interface) herausgestellt werden2. APIs sind die SoftwareSchnittstellen zwischen den Systemen von Anbieter und Abnehmer. Hier ist unbedingt darauf zu achten, dass ein sicheres Authentifizierungsverfahren zur Zugangskontrolle und eine Verschlüsselung zur Übermittlungskontrolle genutzt werden. Von Bedeutung ist zudem die Gefahr des Zugriffs von staatlichen Stellen bei Verarbeitungen in Drittstaaten (vgl. Rz. 258 f.). c) Allgemeine Risiken Neben den oben genannten, für Cloud Computing-Szenarien spezi- 134 fischen Risiken bestehen für Cloud Computing-Systeme grundsätzlich dieselben Risiken, wie sie sich bei klassischen IT-Systemen ergeben, wenn die bereits oben (vgl. Rz. 126) beschriebenen Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität, Revisionssicherheit und Transparenz wirksam verfolgt werden sollen. Dabei handelt es sich bei den meisten Risiken grundsätzlich um solche, die bereits aus ähnlichen Fallgestaltungen, wie dem Hosting, bekannt sind3. Wir möchten an dieser Stelle nur solche Risiken nennen, die zumindest 135 bedingt durch den Einsatz Cloud-spezifischer Technologie entstehen. Eine ausführlichere Auflistung allgemeiner Risiken findet sich in der Orientierungshilfe der deutschen Aufsichtsbehörden4. Dabei sei kritisch angemerkt, dass dort nicht immer eine saubere Trennung zwischen allgemeinen und wirklich Cloud-spezifischen Risiken gelingt und dass teilweise Risiken wegen ihrer logischen Fortsetzung aus einem Bereich der 1 2 3 4
Schröder/Haag, ZD 2011, 147 (151). Schröder/Haag, ZD 2011, 147 (151). Schröder/Haag, ZD 2011, 147 (151). „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, Ziff. 4.2 (S. 17 ff.). Hartung/Storm
381
Teil 4
Rz. 136
Datenschutz
technisch-organisatorischen Maßnahmen dann auch in einem anderen Bereich wiedererscheinen. 136
Z.B. besteht spezifisch beim Cloud Computing die Möglichkeit, dass andere Kunden Sicherheitslücken der beim Anbieter eingesetzten Systeme nutzen, um die Kontrolle über andere virtuelle Maschinen zu erlangen, Zugriffe auf das Dateisystem des Hosts zu bekommen, Denial-of-ServiceAngriffe auf den Hypervisor zu starten, Datenkommunikation zwischen virtuellen Maschinen abzuhören oder unberechtigte Speicherzugriffe durchzuführen. Diesen Risiken lässt sich maßgeblich durch eine Konfiguration der zugrundeliegenden Systeme gemäß den jeweils aktuellen Sicherheitsempfehlungen der jeweiligen Softwarehersteller begegnen.
137
Die bestehende Gefahr der Intransparenz über das Wo und Wie der Datenverarbeitung wiederum birgt das Risiko, dass Daten verschiedener Kunden beim Anbieter nicht hinreichend getrennt verarbeitet werden, was vor allem dann der Fall sein kann, wenn die eingesetzte Technologie bei der Ressourcenallokation und in der Virtualisierung nicht korrekt konfiguriert ist.
138
Die Art. 29-Datenschutzgruppe1 sieht darüber hinaus im Hinblick auf Cloud-Technologie insbesondere das Risiko, dass die Verfügbarkeit von Daten eingeschränkt sein könnte, dass das vom Cloud-Anbieter bereitgestellte Cloud-System nicht mit anderen Systemen anderer Anbieter interoperabel ist und damit die Abhängigkeit von einem einzelnen Anbieter entsteht (sog. Vendor Lock-In). Zudem könne gerade bei geographisch weit verteilten Systemen und der Speicherung von Daten auf diesen Systemen eine Gefahr für ihre Vertraulichkeit bestehen, wenn unter der Jurisdiktion des jeweiligen Landes Behörden Ansprüche auf Einsichtnahme oder Herausgabe der Daten geltend machen könnten, die EU-seitigen Rechtsgrundsätzen widersprechen (vgl. auch Rz. 258).
139
Die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation wiederum sieht den Schutz der Betroffenen in möglicherweise intransparenten Verarbeitungsketten bedroht, sollte der Cloud Computing-Anbieter eine Vielzahl von Subunternehmern einschalten2.
140
Sämtliche der vorgenannten Punkte sind sicherlich nicht von der Hand zu weisen. Allerdings ist das Risiko der fehlenden Datentrennung technologisch, z.B. über mandantenfähige Systeme, lösbar und bei entsprechend sorgfältiger Prüfung des Abnehmers vor Auftragserteilung beherrschbar.
1 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing v. 1.7.2012 (01037/12/DE – WP 196), Ziff. 2 (S. 6). 2 Working Paper on Cloud Computing – Privacy and Data Protection Issues – „Sopot Memorandum“ v. 24.4.2012 der internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation, Einleitung.
382
Hartung/Storm
IV. Technische und organisatorische Maßnahmen
Rz. 145
Teil 4
Das Risiko des sog. Vendor-Lock-In ist vergleichbar mit dem Risiko der 141 Verwendung von anderer Standardsoftware eines Herstellers. Dieses Risiko dürfte sich jedoch aufgrund der Marktanforderungen nach Interoperabilität einzelner Systeme mit anderen Systemen des Kunden, denen sich jeder Anbieter ausgesetzt sieht, relativieren. Gerade und vor allem im Bereich der Hybrid-Szenarien, bei denen Abnehmer einzelne Geschäftsprozess-Szenarien mit einer Cloud-Lösung abdecken wollen, die aber gleichzeitig in bestehende On-Premise-Lösungen integriert werden sollen. Bei drohender Intransparenz der Verarbeitungsketten durch eine hohe 142 Anzahl der eingesetzten Subunternehmer wiederum dürfte eine entsprechend sorgfältige Prüfung des Abnehmers unerlässlich sein. Vermeiden lassen wird sie sich im Zeitalter global eingekaufter IT-Dienstleistungen wohl nicht. d) Kritische Infrastrukturen Ein ganz neuer Aspekt ergab sich mit der Infiltration kritischer IT-Syste- 143 me durch staatliche Trojaner wie Stuxnet und Flame. „Der militärische Hacker“ als neue Bedrohung für IT-Systeme muss auch unter dem Stichwort „Cloud“ Berücksichtigung finden. Seine Präsenz könnte dazu führen, dass kritische Infrastrukturen gänzlich aus Umgebungen wie der Cloud verbannt werden müssen. Kritische Infrastrukturen (für IT-Infrastrukturen wird der Begriff „Informationsinfrastrukturen“ verwendet) sind Einrichtungen, Anlagen, Dienste und Systeme, auf die Staat und Gesellschaft existenziell angewiesen sind und deren Ausfall bzw. Störung zu gravierenden Schäden für das Gemeinwesen, Wirtschaft und Bevölkerung sowie für den Einzelnen führen würde. Unerheblich ist, ob die Infrastruktur privat oder öffentlich betrieben wird. Das BSI zählt zu kritischen Infrastrukturen Energie, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Gesundheit, Wasser, Ernährung, Staat und Verwaltung sowie Medien und Kultur. Der Schutz der IT-Sicherheit ist im deutschen Recht nur vereinzelt ge- 144 setzlich verankert (z.B. im BSIG), ein einheitliches Gesetz existiert nicht. Anforderungen an das Risikomanagement ergeben sich aus den allgemeinen Regelungen der § 91 Abs. 2 AktG, § 43 GmbHG. Die leitenden Organe juristischer Personen sind danach zur Einführung und Aufrechterhaltung von Risiko-Vermeidungsstrategien verpflichtet. In Bezug auf die IT-Systeme eines Unternehmens bedeutet dies, dass das Unternehmen den sicheren und zuverlässigen Betrieb seiner IT-Systeme zu gewährleisten hat. Als Reaktion auf die erkannten Risiken ist auch die Entnetzung in Erwä- 145 gung zu ziehen. Diese mag zwar nur als Ultima Ratio für besonders kritische IT-Infrastrukturen in Betracht kommen. Es wird jedoch sonst zu hinterfragen sein, ob bei kritischen IT-Infrastrukturen eine über den geHartung/Storm
383
Teil 4
Rz. 146
Datenschutz
genwärtigen Vernetzungsgrad hinausgehende weitere Vernetzung – wie im Falle der Cloud-Nutzung – sinnvoll und erforderlich ist und ob sich hierdurch die Risiken erhöhen. Die Sicherheitsvorkehrungen der jeweiligen Anbieter sowie die Sicherheit der Netzverbindungen zu diesen Anbietern werden besonders kritisch zu hinterfragen sein. 146
Eine technische Sicherheitsvorkehrung, die im Hinblick auf militärische Netzwerke, Regierungsnetzwerke, Kraftwerke, Luftfahrt und Medizin diskutiert wird, ist das sog. Air Gap („Luftspalt“). Dabei werden zwei unterschiedlich vertrauenswürdige IT-Systeme, die Daten des jeweils anderen Systems verarbeiten müssen, physisch und logisch voneinander getrennt, die Übertragung von Daten wird jedoch zugelassen. Nötigenfalls wird dabei sichergestellt, dass die Datenübertragung nur in einer Richtung erfolgt, sodass z.B. bei Übertragung von Malware kein Rückkanal zur Verfügung steht. 3. Anforderungen bei IaaS-Diensten
147
Bei der Festlegung der technisch-organisatorischen Maßnahmen für IaaSDienste ist zu beachten, dass im Rahmen dieser Dienste IT-Ressourcen zur Verfügung gestellt werden. Die deutschen Aufsichtsbehörden gehen dabei davon aus, dass es essentielle Ressourcen sind1. Im Wesentlichen sollen dabei Speicherressourcen, Rechenleistung und Kommunikationsverbindungen, meist virtualisiert in einem Cloud Computing-System von einem oder mehreren Anbietern bedarfsgerecht zur Verfügung gestellt werden. Ein direkter Zugriff des Abnehmers auf die bereitgestellten Systemkomponenten ist dabei nicht möglich. Das heißt, alle Maßnahmen, die der Erreichung der Schutzziele dienen, unterliegen ausschließlich dem Einflussbereich des Cloud-Anbieters. Die Installation und der Betrieb des Betriebssystems und etwaiger Anwendungskomponenten liegen jedoch im Verantwortungsbereich des Abnehmers. Bekannte Beispiele für IaaS-Realisierungen sind z.B. das Elastic Compute Cloud (EC2)-Angebot von Amazon2 oder das Angebot von Dropbox3.
148
Dennoch ist der Abnehmer verpflichtet, sich vor Erteilung des Auftrags zur Datenverarbeitung an den Cloud-Anbieter von der Angemessenheit des beim Cloud-Anbieter vorhandenen Stands der Informationssicherheit zu überzeugen. Dazu sollte der Abnehmer die Möglichkeit erhalten, die Seriosität der Anbieter verifizieren zu können, indem unabhängige Stellen Zertifikate für datenschutzkonforme Anbieter erteilen dürfen (vgl. oben Rz. 108).
1 „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, Ziff. 4.2 (S. 17 ff.). 2 Zu finden unter http://aws.amazon.com/ec2/. 3 Weitere Details zum Angebot unter www.dropbox.com.
384
Hartung/Storm
IV. Technische und organisatorische Maßnahmen
Rz. 152
Teil 4
In diesem Zusammenhang sind bei der Bestimmung des spezifischen 149 Schutzbedürfnisses (vgl. oben Rz. 123 ff.) Kumulationseffekte zu beachten, die aufgrund der systemimmanenten offenen, für eine Vielzahl von Abnehmern ausgerichteten Struktur entstehen. Bei IaaS-Diensten sind etwa in den folgenden Bereichen die konkreten Maßnahmen zwischen Anbieter und Abnehmer festzulegen: (1) dem Schutz der Gebäude und Räume, in denen die zu betrachtenden IT-Komponenten aufgestellt sind, (2) die Absicherung der IT-Systeme, auf denen die Prozesse und Berechnungen des Cloud-Abnehmers ausgeführt werden, (3) die Kommunikationsverbindungen zwischen Cloud-Anbieter und Cloud-Abnehmer, sowie (4) solche Maßnahmen, die die Absicherung des Hypervisors bezwecken. a) Gebäude und Räume Zum Schutz der Gebäude und Räume sollte darauf geachtet werden, z.B. 150 eine sichere Stromversorgung, Aspekte des Brandschutzes und der Klimatisierung, Zugangs-, Zutritts- und Zugriffssicherungsysteme sowie Redundanzen aller essentieller Komponenten festzulegen. Gerade im Bereich des Cloud Computing besteht eine spezifische Gefahr des Diebstahls nicht redundanter Hardware (z.B. Speichermodule oder Rechner) beim Cloud-Anbieter. b) IT-Systeme Im Bereich der IT-Systeme ist es hilfreich, einen Fokus auf die Beschrei- 151 bung von Zugriffsbeschränkungen, Patch-Management-Systemen, einer sicheren Grundkonfiguration (unter Einsatz von z.B. 2-Faktor-Authentifizierung)1, von Sicherheitsrichtlinien, Integritätsprüfungen, einer revisionssicheren Protokollierung, der Datensicherung, von Intrusion-Detection-Systemen (IDS), Firewalls und Virenschutz zu legen2. Hierbei ist sicherlich hilfreich, dass über den Einsatz des Hypervisors bei durchdachter und vorausschauender Festlegung der Sicherheitsmaßnahmen zusätzliche Sicherheit für die IT-Systeme und Umgebungen des jeweiligen Cloud-Abnehmers gewonnen werden kann. c) Kommunikationsverbindungen Bei den Kommunikationsverbindungen empfiehlt es sich, kryptographi- 152 sche Verfahren (End-to-End-Verschlüsselung zwischen den Kommunikationspartnern) festzulegen, mit denen die Kommunikationsverbindung 1 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing v. 1.7.2012 (01037/12/DE – WP 196), Ziff. 3.4.3.3 (S. 15). 2 „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, Ziff. 4.2 (S. 17 ff.); Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing v. 1.7.2012 (01037/12/DE – WP 196), Ziff. 3.4.3.2 (S. 15). Hartung/Storm
385
Teil 4
Rz. 153
Datenschutz
sowohl zwischen den Rechenzentren des Cloud-Anbieters als auch zwischen Cloud-Anbieter und Cloud-Abnehmer abgesichert wird1. Gerade im Bereich der für die Administration eingerichteten Fernwartungszugänge ist eine solche Verschlüsselung unbedingt zu empfehlen. Darüber hinaus versteht sich die Festlegung von Intrusion-Detection- und Intrusion-Prevention-Systemen, sowie die redundante Auslegung der Kommunikationsverbindungen zwischen den Rechenzentren des CloudAnbieters und deren Anbindung ans Netz von selbst2. d) Virtualisierung 153
Die oben beschriebenen Maßnahmen gewinnen durch den Einsatz des Hypervisors an zusätzlicher Komplexität, da für jedes virtualisierte ITSystem zusätzliche Kommunikationsverbindungen sowie Server- und Storagekonzepte entworfen und beschrieben werden müssen. Insbesondere zur Wahrung der Transparenz sollte der Cloud-Abnehmer darauf achten, dass der Cloud-Anbieter Benutzerrichtlinien zur Absicherung der virtuellen Systemlandschaft veröffentlicht sowie zertifizierte Virtualisierungssoftware einsetzt. Darüber hinaus empfiehlt die Internationale Arbeitsgruppe für Datenschutz in der Telekommunikation effektive Maßnahmen zu vereinbaren, mit denen verhindert wird, dass die betroffenen Daten im Rahmen der Virtualisierung illegal auf Systeme verlagert werden, die sich in Ländern mit unzureichendem Datenschutzniveau befinden3. Die Art. 29-Datenschutzgruppe wiederum empfiehlt, auch bei der Speicherung sog. „data at rest“ darauf zu achten, mit dem Cloud-Anbieter entsprechend umfassende Governance-Systeme zur Verwaltung von Zugriffs- und Berechtigungskonzepten festzuhalten, sowie deren regelmäßige Überprüfung. Dabei soll darauf geachtet werden, dass spezifische Rollen ausschließlich mit den absolut minimal erforderlichen Berechtigungen ausgestattet werden sollen, um ihre jeweilige Aufgabe zu erfüllen4.
1 Directive 95/46/EC – Recital 26: „(…); whereas the principles of protection shall not apply to data rendered anonymous in such a way that the data subject is no longer identifiable; (…)“; Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing v. 1.7.2012 (01037/12/DE – WP 196), Ziff. 3.4.3.3 (S. 18/Fn. 27): „Gleichermaßen führen die technischen Datenfragmentierungsprozesse, die im Rahmen der Bestimmungen von Cloud Computing-Diensten genutzt werden können, nicht zu einer unwiederbringlichen Anonymisierung der Daten und implizieren folglich nicht, dass die Datenschutzvorschriften keine Anwendung finden.“ 2 So auch Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing v. 1.7.2012 (01037/12/DE – WP 196), Ziff. 3.4.3.2 (S. 15). 3 Working Paper on Cloud Computing – Privacy and Data Protection Issues – „Sopot Memorandum“ – v. 24.4.2012 der internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation, Einleitung. 4 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing v. 1.7.2012 (01037/12/DE – WP 196), Ziff. 3.4.3.4 (S. 16).
386
Hartung/Storm
IV. Technische und organisatorische Maßnahmen
Rz. 158
Teil 4
4. Anforderungen bei PaaS-Diensten Nach der Orientierungshilfe1 bietet ein Anbieter bei PaaS-Diensten In- 154 frastrukturen zur Entwicklung von Cloud-Anwendungen an. In diesen Entwicklungsumgebungen, die auch als technische Frameworks oder Laufzeitumgebungen bezeichnet werden, können Abnehmer eigene Anwendungen entwickeln. Die Entwicklungsumgebung bietet technische Funktionen, wie Datenbanken und Werkzeuge, die es den Abnehmern ermöglicht, gleichzeitig an Programmen, Dokumenten und Daten zu arbeiten. Grundlegende Einstellungen an diesen Infrastrukturen können in der Re- 155 gel nicht oder nur in sehr begrenztem Umfang vom Abnehmer durchgeführt werden. Diese administrative Hoheit liegt daher beim Anbieter. Da die Abnehmer die Anwendungen selbst entwickeln, haben sie direkten Einfluss auf diese und somit auf die Art und Weise, wie Daten innerhalb der Anwendungen und der Laufzeitumgebungen verarbeitet werden. Die datenschutzrechtliche Verantwortung für diese Daten liegt bei den Abnehmern. Die Inanspruchnahme von PaaS-Diensten birgt deshalb grundsätzlich die 156 größten Risiken für die Abnehmer, da die vielen Abnehmer die ihnen zur Verfügung gestellte Plattform sehr unterschiedlich nutzen können und der Cloud-Anbieter daher nur sehr schwer eine Umgebung herstellen kann, die optimale Sicherheitsbedingungen für sämtliche Nutzungsarten gewährleistet2. Bei der Entwicklung der Anwendungen ist der Grundsatz der Datenspar- 157 samkeit zu beachten (§ 3a BDSG). Dies gilt sowohl für die innerhalb der Anwendung zu verarbeitenden Daten als auch für eventuelle Protokoll-Daten, die von den selbst entwickelten Anwendungen oder den dabei eingesetzten Funktionalitäten der PaaS-Umgebung erzeugt werden. Dabei ist auf jeden Fall darauf zu achten, dass sämtliche Protokolle der Verarbeitung personenbezogener Daten, einschließlich des Lesens und des Löschens sowie ihrer Verlagerung von einem System auf ein anderes (sog. location audit trails), jederzeit und transparent für den Cloud-Abnehmer vorgehalten werden und einsehbar sind3. Wie bei allen Cloud-Diensten gilt es, genaue vertragliche Regelungen 158 (Verträge nach § 11 BDSG bzw. in Standardverträgen und ggf. in separaten Verträgen, im folgenden vereinfachend insgesamt auch als ServiceLevel-Agreements bezeichnet, SLA) zwischen Anbieter und Abnehmer 1 „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, Ziff. 4.3 (S. 19 ff.). 2 Schröder/Haag, ZD 2011, 147 (152). 3 Working Paper on Cloud Computing – Privacy and Data Protection Issues – „Sopot Memorandum“ v. 24.4.2012 der internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation, Handlungsempfehlungen Ziffer 4 und 5. Hartung/Storm
387
Teil 4
Rz. 159
Datenschutz
festzulegen, um weitestgehende Kontrolle des Abnehmers über die Datenverarbeitung in der Cloud zu realisieren. Ändert der Anbieter Bestandteile seiner PaaS-Umgebungen, so darf das nur mit vorheriger Information – in Einzelfällen auch nur mit Zustimmung – des Abnehmers passieren. Die von der Orientierungshilfe propagierte Zielsetzung, vom Anbieter umfangreiche Sicherheitsmaßnahmen zu verlangen, ist aus Abnehmersicht zwar richtig und begrüßenswert, dürfte jedoch in der Praxis schwer durch- und umsetzbar sein. Gerade die Forderung, Änderungen in der bereitgestellten Umgebung nur mit Zustimmung des Abnehmers vornehmen zu dürfen, wird voraussichtlich an der großen Vielzahl der zu versorgenden Abnehmer und der damit wenig homogen zu gestaltenden Cloud-Umgebung scheitern. Insbesondere ist eine Weiterentwicklung der Umgebung ständig erforderlich und kann nicht vom Einverständnis einzelner Abnehmer abhängig gemacht werden1. Gerade die im Rahmen des Cloud Computing für den Abnehmer preislich so interessanten Skaleneffekte dürften bei solchen Mitbestimmungsrechten der Abnehmer nach ihren jeweiligen individuellen Vorstellungen schnell zunichte gemacht werden. 159
Auf der anderen Seite ist es für den Abnehmer von großer Wichtigkeit, Kontroll- und Regelungsmöglichkeiten zu erhalten, um die an ihn gerichteten gesetzlichen Datenschutzanforderungen erfüllen zu können. Die Anforderungen können nur bei ausreichender Transparenz, das heißt durch einen wohl informierten Kunden, wahrgenommen werden. Wohl informiert bedeutet in diesem Fall, dass der Abnehmer Hilfsmittel an die Hand bekommt, mit denen er sich von der datenschutzkonformen und vertragsgemäßen Verarbeitung personenbezogener Daten überzeugen kann. Diese Hilfsmittel können sowohl technischer als auch organisatorischer Natur sein. a) Transparenz
160
Aufgrund der im Cloud Computing nahezu durchgängig verwendeten Virtualisierungstechnik, die dann wiederum auf eine Vielzahl von physischen IT-Systemen an verschiedenen geografisch getrennten Standorten zugreift, können Daten und Anwendungen zeitgleich über eine Vielzahl von Standorten verteilt sein. Eine Vor-Ort-Kontrolle wird dadurch für den Abnehmer stark erschwert bis unmöglich2. Es sollte daher vertraglich geregelt werden, dass der Anbieter alle möglichen Subunternehmer sowie alle Standorte bekannt gibt, an denen die Verarbeitung stattfindet bzw. im Rahmen des Vertragsverhältnisses stattfinden könnte. Dazu gehören insbesondere auch die Standorte der Subunternehmer (vgl. oben Rz. 88 ff., 103). Dabei sollte jedoch berücksichtigt werden, dass diese An1 Vgl. Schröder/Haag, ZD 2011, 147 (152). 2 „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, Ziff. 4.3 (S. 19 ff.).
388
Hartung/Storm
IV. Technische und organisatorische Maßnahmen
Rz. 162
Teil 4
forderung der deutschen Aufsichtsbehörden möglicherweise über das bisherige Verständnis des § 11 Abs. 2 Satz 2 Nr. 6 BDSG deutlich hinausgeht1. Gemäß § 11 Abs. 2 Satz 2 Nr. 6 BDSG soll lediglich zu klären sein, ob und unter welchen Bedingungen Datenverarbeitungen im Unterauftragsverhältnis zulässig sind2. Eine Offenlegung sämtlicher Unterauftragsverhältnisse, und sogar bei Abschluss des Hauptvertrags abschließende Festlegung, ist nach dem Wortlaut dieser Regelung nicht zwingend notwendig. Unabhängig davon haftet der Anbieter für die Datenverarbeitung der Subunternehmer, hat aber mit zunehmender Anzahl von eingebundenen Subunternehmern selbst das Problem, die Kontrolle über die Daten zu verlieren. Sowohl für den Anbieter als auch den Abnehmer dürfte bei einer zu großen Anzahl von Subunternehmern das Problem der fehlenden Transparenz entstehen und damit eine Auftragsdatenverarbeitung unzulässig werden3. Dem Problem schwieriger Überprüfbarkeit der vertragsgemäßen Ver- 161 arbeitung der Daten kann unter Umständen dadurch begegnet werden, dass lediglich Angebote von Anbietern genutzt werden, die regelmäßig von unabhängigen Stellen überprüft und zertifiziert werden (vgl. oben Rz. 108 f.). Unabhängige Stellen können die Korrektheit der entsprechenden Verfahren zu einem Prüfzeitpunkt bestätigen. Zusätzlich ist es für die Transparenz gegenüber dem Abnehmer von Vorteil, wenn der Anbieter regelmäßig Berichte über das Sicherheitsumfeld zu den Diensten veröffentlicht4. Darüber hinaus kann der Transparenz durch die Einrichtung und Festlegung der bereits oben erwähnten Location Audit Trails Vorschub geleistet werden. Bei akuten Vorfällen ist eine unverzügliche und aussagekräftige direkte 162 Information der Cloud-Abnehmer erforderlich. Ein den deutschen Datenschutzanforderungen völlig gleichwertiges Datenschutzniveau ist lediglich dann gewährleistet, wenn personenbezogene Daten ausschließlich innerhalb der EU oder EWR-Vertragsstaaten stattfindet. Ein völlig gleichwertiges Niveau wird nicht erreicht, wenn die Daten in Unternehmen 1 Schröder/Haag, ZD 2011, 147 (149). 2 Keine weitergehenden Forderungen festhaltend Petri in Simitis, § 11 Rz. 30; Gola/Schomerus, § 11 Rz. 8; Wedde in Däubler/Klebe/Wedde/Weichert, BDSG, § 11 Rz. 44. 3 Bereits im Rahmen der Fernwartung von IT-Systemen vertreten die Landesdatenschutzbehörden zuweilen die Ansicht, dass bereits bei einer Anzahl von 15–20 eingesetzten Subunternehmern der verantwortlichen Stelle und dem Auftragsdatenverarbeiter die Möglichkeit fehle, angemessene Audits und Vor-Ort-Kontrollen durchzuführen. 4 „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, Ziff. 4.3 (S. 19 ff.); Working Paper on Cloud Computing – Privacy and Data Protection Issues – „Sopot Memorandum“ v. 24.4.2012 der internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation, Handlungsempfehlungen Ziffer 25, die darüber hinaus noch empfiehlt, ein entsprechendes Benchmarking durchführen zu lassen. Hartung/Storm
389
Teil 4
Rz. 163
Datenschutz
gespeichert und verarbeitet werden, die EU/EWR-fremden staatlichen Kontrollen unterstehen (vgl. unten Rz. 234 ff.). Das betrifft sowohl personenbezogene Daten, die in den innerhalb der PaaS-Umgebungen zu entwickelnden Anwendungen verarbeitet werden, als auch personenbezogene Daten, die in Protokolldaten anfallen. Protokolldaten können innerhalb der PaaS-Umgebung anfallen, aber auch „außerhalb“ in den Systemprotokollen der Anbieter. 163
Auch die Herausgabe von Richtlinien zur Erstellung von sicheren, datenschutzkonformen Anwendungen an die Abnehmer kann dem Schutzziel Transparenz dienen. b) Verfügbarkeit
164
Jeder Anbieter muss – wie jedes herkömmliche Rechenzentrum – zwingend über eine funktionierende Sicherheitsarchitektur und das zugehörige Management verfügen. Idealerweise nutzt jeder Anbieter nur entsprechend zertifizierte Rechenzentren.
165
Besonderes Augenmerk bei der Auswahl des Anbieters muss der Abnehmer grundsätzlich auch auf die Portabilität richten, um der Gefahr des sowohl national als auch international als Cloud-spezifischem Risiko erkannten „Vendor Lock-In“1 zu begegnen: Alle Inhalte der PaaS-Umgebung sollten ohne Probleme zu einem anderen Anbieter portierbar sein. Leider ist der Datenexport häufig nicht ohne größeren Aufwand möglich, da die Anwendungen in einem bestimmten Kontext entwickelt wurden. Portierbarkeit ist eine Vorsichtsmaßnahme, die besonders bei einer Insolvenz des Anbieters zum Tragen kommt, wenn der PaaS-Dienst nicht aufrechterhalten werden kann. Auch in diesem Zusammenhang muss der Abnehmer die Möglichkeit haben, trotz Insolvenz des Anbieters auf seine Daten zuzugreifen und diese aus den Systemen des Anbieters beispielsweise auf die Systeme eines anderen Anbieters zu transferieren. Sicherheitshalber wäre hier, wie nachfolgend im Rahmen der SaaS-Diskussion, die Anfertigung einer eigenen Sicherheitskopie der Daten durch den Abnehmer anzuraten. Die Art. 29-Datenschutzgruppe empfiehlt, bei der Anbieterauswahl darauf zu achten, dass dieser offene Datenformate und Schnittstellen verwendet2.
166
Eine (möglichst) geographisch verteilte, redundante Datenhaltung und -verarbeitung ist für die Verfügbarkeit von Daten in der Cloud von Vor1 Vgl. Bericht der ENISA, „Cloud Computing – Benefits, risks and recommendations for information security“, zu finden unter: http://www.enisa.europa.eu/ac tivities/risk-management/files/deliverables/cloud-computing-risk-assessment, Stand 9.6.2013; „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, Ziff. 4.3 (S. 19 ff.). 2 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing v. 1.7.2012 (01037/12/DE – WP 196), Ziff. 3.4.3.6 (S. 16).
390
Hartung/Storm
IV. Technische und organisatorische Maßnahmen
Rz. 169
Teil 4
teil, für die Transparenz von Nachteil. Eine leicht zu realisierende, geografisch vom jeweils aktuell genutzten Verarbeitungsstandort getrennte Datensicherung ist hinsichtlich der Verfügbarkeit notwendig. Wie immer im Zusammenhang mit Datensicherungen gilt: Werden Daten im Echtsystem ordnungsgemäß gelöscht, sollten diese auch aus den vorhandenen Datensicherungen irreversibel entfernt werden, was insbesondere bei Datensicherungen, die auf Bändern vorgenommen werden, u.U. zu erheblichen Umsetzungsschwierigkeiten führen kann. c) Revisionsfähigkeit Im Hinblick auf die Transparenz ist für den Abnehmer bei der Nutzung 167 von PaaS eine revisionssichere Protokollierung, sowohl der lesenden, als auch der ändernden, wie auch der löschenden Zugriffe auf die betroffenen personenbezogenen Daten erforderlich. Darüber hinaus ist zu empfehlen, die eingerichteten Location-Audit-Trails gleichfalls revisionssicher auszugestalten1. Das betrifft in erster Linie die Protokoll-Systeme des Anbieters. Die Abnehmer müssen in die Lage versetzt werden, Einsicht in eine lückenlose, unverfälschte Protokollierung zu erhalten, um etwaige unberechtigte Zugriffe auf personenbezogene Daten festzustellen. Die Durchsetzung einer solchen Forderung dürfte sich in der Realität schwer gestalten, aber zumindest sollte ein Einsichtnahmeanspruch bzw. ein Auskunftsanspruch vertraglich festgehalten werden. Weiterhin ist ein Konfigurationsmanagement seitens des Anbieters gebo- 168 ten, um sich selbst und auch den Abnehmer jederzeit in die Lage versetzen zu können, die jeweils aktuellen oder in der Vergangenheit in Betrieb befindlichen Cloud-Konfigurationen nachvollziehen zu können. 5. Anforderungen bei SaaS-Diensten Nach der Orientierungshilfe2 nutzt der Abnehmer bei der Nutzung eines 169 SaaS-Angebots die Infrastruktur, die Plattformen und Anwendungssoftware des Anbieters. Die „Schnittstelle“ zwischen Abnehmer und Anbieter ist dabei weiter in die Sphäre des Abnehmers und seiner konkreten Anwendungsbedürfnisse vorgerückt. Daher gelten die technischen und organisatorischen Anforderungen, die für die Betriebsformen Infrastructure as a Service (IaaS) und Platform as a Service (PaaS) formuliert worden sind, für SaaS gleichermaßen.
1 „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, Ziff. 4.3 (S. 19 ff.); Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing v. 1.7.2012 (01037/12/DE – WP 196), Ziff. 3.4.4.7 (S. 16). 2 „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, Ziff. 4.3 (S. 19 ff.). Hartung/Storm
391
Teil 4
Rz. 170
Datenschutz
170
Über die Anforderungen an technisch-organisatorische Maßnahmen bzgl. Infrastruktur und Plattformen hinaus trägt der Abnehmer die Verantwortung dafür, dass die von ihm über die Cloud bezogene Anwendung zur Datenverarbeitung den gesetzlich normierten Anforderungen entspricht. Auf die Gestaltung dieser Anwendung hat er jedoch – abgesehen von den standardmäßig vorgesehenen Parametrisierungsmöglichkeiten – zumeist gar keinen Einfluss. Ein Ziel des Einkaufs einer Cloud-basierten Lösung ist es ja gerade, über die Standardisierung und den Einsatz von in der Cloud-Lösung enthaltenen, sog. „Best of Breed“-Ansätzen, eine Vereinfachung und Optimierung der eigenen Prozesse zu erreichen. Dabei kann es sein, dass der Abnehmer je nach Bedeutung und Tiefe der Anwendung mehr oder weniger einschneidende Anpassungen seiner Strukturen und Geschäftsprozesse vornimmt.
171
In diesem Zusammenhang ist jedenfalls nach Ansicht der deutschen Aufsichtsbehörden das wichtigste Schutzziel, dessen Erreichung der Abnehmer vom Anbieter verlangen muss, die Transparenz1.
172
Die Orientierungshilfe empfiehlt die Festlegung entsprechend umfassender und anspruchsvoller Service-Level-Agreements mit dem jeweiligen Cloud-Anbieter. In der Praxis dürfte diese Absicherung jedoch oft nicht durchsetzbar sein, da die SaaS-Anbieter auf die Skaleneffekte ihrer jeweiligen Cloud-Lösungen angewiesen sind und daher bei einer Vielzahl von Abnehmern kaum individuell zugeschnittene SLAs werden anbieten können. Auch hier ist der Abnehmer zumeist abhängig vom geltenden Standard2. a) Transparenz
173
Der Abnehmer ist verpflichtet zu prüfen, ob der Anbieter hinreichende Garantien für die Sicherheit und Ordnungsmäßigkeit aller in der Cloud bereitgestellten Ressourcen anbietet und ob das Anwendungsverfahren hinsichtlich der Nutzung personenbezogener Daten den für den Abnehmer geltenden gesetzlichen Bestimmungen genügt. Dazu gehören sowohl die datenschutzrechtliche Zulässigkeit als auch die Beachtung des Gebots der Datensparsamkeit und die Umsetzbarkeit der Betroffenenrechte. Der Abnehmer muss dies durch vom Anbieter bereit gestellte Dokumentationen und Protokolle nachvollziehen und ggf. nachweisen können (vgl. oben Rz. 84, 104 ff.). Dabei würde ihm helfen, wenn der Anbieter auch Zertifikate unabhängiger Stellen vorlegen kann, die die Konformität der Anwendungssoftware mit den datenschutzrechtlichen Bestimmungen versichern, die für den Abnehmer gelten. Die Transparenz der Datenverarbeitung ist im Feld der SaaS-Anbieter sicherlich die heraus1 „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand 26.9.2011, Ziff. 4.3 (S. 19 ff.). 2 Vgl. auch Schröder/Haag, ZD 2011, 147 (152).
392
Hartung/Storm
IV. Technische und organisatorische Maßnahmen
Rz. 178
Teil 4
ragendste Herausforderung und der Abnehmer findet häufig anstatt „security by transparency“ eher „security by obscurity“1. b) Vertraulichkeit Die Vertraulichkeit der Anwendungsdaten wird durch die Verhinderung 174 des unbefugten Zugangs zu Netz-, Speicher- und Verarbeitungskomponenten der Infrastruktur und des unbefugten Zugriffs auf die Daten sowie durch die Nutzung kryptografischer Verfahren bei der Übertragung und Speicherung der Daten gewährleistet (gemäß Nr. 2 der Anlage zu § 9 Satz 1 BDSG). Die Sicherung des Zugangs zur Infrastruktur gehört ebenso zum Angebot des Anbieters wie auch die Bereitstellung kryptografischer Verfahren für die sichere Übertragung und Speicherung der Anwendungsdaten. Hinsichtlich des Einsatzes kryptographischer Verfahren bei der Erbringung der Cloud-Dienstleistungen verweisen wir auf die Ausführungen oben, vgl. Rz. 116 ff. Ebenfalls liegen die Sicherheitsmaßnahmen an der Abnehmer-Anbieter- 175 Schnittstelle in der Verantwortung des Abnehmers. Dies gilt sowohl für die Nutzung der Systeme des Abnehmers, von denen aus die Cloud-Anwendung betrieben wird, als auch für den Aufruf der Cloud-Anwendung über diese Systeme, bei dem allerdings das von der Anwendungssoftware des Anbieters bereitgestellte Authentifizierungsverfahren Verwendung findet. Der Umgang mit den Authentifizierungsmitteln, also mit Kennungen, 176 Passwörtern, PINs, TANs, maschinenlesbaren Ausweisen und Token, ggf. auch biometrischen Merkmalen liegt in der Verantwortung des Abnehmers, wobei die systemseitigen Voraussetzungen für diese Sicherheitshürden vom Anbieter zur Verfügung gestellt werden. Daher besteht die Verantwortung des Abnehmers darin, mit den zur Verfügung gestellten Mitteln angemessen umzugehen, während der Anbieter angemessene Mittel zur Verfügung zu stellen hat. Zum Beispiel wird er die Verwendung sicherer Passwörter ermöglichen müssen. c) Verfügbarkeit Hinsichtlich der Maßnahmen zur Absicherung der Verfügbarkeit einer 177 SaaS-Anwendung gelten die bereits oben (Rz. 160 ff.) zu IaaS- und PaaSDiensten gemachten Ausführungen entsprechend. Die Abnehmer sind für die Verfügbarkeit ihrer Seite der Abnehmer-An- 178 bieter-Schnittstelle verantwortlich, also in der Regel für den PC, die Internetverbindung und den Webbrowser für den Zugang zu der Cloud. Sofern die Datensicherung nicht Teil der Cloud-Dienstleistung ist, muss 1 Weichert, Cloud Computing und Datenschutz, Kap. 10, abrufbar unter: https:// www.datenschutzzentrum.de/cloud-computing/20100617-cloud-computing-unddatenschutz.html. Hartung/Storm
393
Teil 4
Rz. 179
Datenschutz
sie ferner vom Abnehmer über die Schnittstelle zur Cloud realisiert werden können. 179
Unabhängig davon empfiehlt die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation wenigstens eine unabhängig von der Cloud-Lösung nutzbare Kopie sämtlicher Anwendungsdaten außerhalb der Cloud-Lösung und des Einflussbereichs des Cloud-Anbieters zu speichern, um etwaigen Insolvenz- oder sonstigen Verfügbarkeitsrisiken auf Seiten des Cloud-Anbieters vorzubeugen1. d) Integrität
180
Die deutschen Aufsichtsbehörden sehen die Integrität der Anwendungsdaten hauptsächlich durch fehlerhafte bzw. nicht ordnungsgemäß gestaltete Verarbeitungsverfahren und durch unbefugte oder unbeabsichtigte Datenveränderungen gefährdet. Solche Mängel sind durch den Anbieter zu vermeiden bzw. zu beseitigen. Ebenfalls durch Angriffe auf Infrastruktur oder Plattform drohende unbefugte Datenveränderungen sind durch die ebenfalls oben beschriebenen Maßnahmen im Bereich der Gebäude und Räume sowie der IT-Systeme zu adressieren. Unzuverlässigen Mitarbeitern sowohl auf Seiten des Anbieters als auch des Abnehmers kann nur durch entsprechend sorgfältig gestaltete und implementierte Zugangs- und Zutritts-, sowie Rollen- und Berechtigungskonzepte vorgebeugt werden. e) Revisionsfähigkeit
181
Das Schutzziel Revisionsfähigkeit wird durch die nachträgliche regelmäßige oder anlassbezogene Prüfung sicherheitsrelevanter Vorgänge bei der Datenverarbeitung erreicht. Hiermit wird erreicht, dass festgestellt werden kann, wer was zu einem bestimmten Zeitpunkt getan hat und wie2. Diese Prüfung setzt voraus, dass die wichtigsten Angaben zu den sicherheitsrelevanten Vorgängen wie z.B. Veränderungen an der Infrastruktur, an den Plattformen und der Anwendungssoftware, wie bestimmte Systemverwaltereingriffe, Änderung und Löschung von Anwendungsdaten, Logins und Programmaufrufe von Anwendern, ebenso wie die Verlagerung der Speicherung individueller personenbezogener Daten im Kontext eigener geografisch getrennter Standorte (Location Audit Trails) einer Protokollierung unterliegen3. Entsprechende Anforderungen an Auditing- und Reportfunktionen sind in den SLAs festzulegen. 1 Working Paper on Cloud Computing – Privacy and Data Protection Issues – „Sopot Memorandum“ – v. 24.4.2012 der internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation, Handlungsempfehlungen Ziffer 19. 2 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing v. 1.7.2012 (01037/12/DE – WP 196), Ziff. 3.4.4.7 (S. 16). 3 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing v. 1.7.2012 (01037/12/DE – WP 196), Ziff. 3.4.4.7 (S. 16); Working Paper on Cloud Computing – Privacy and Data Protection Issues – „Sopot Memorandum“
394
Hartung/Storm
IV. Technische und organisatorische Maßnahmen
Rz. 184
Teil 4
Protokolle bezüglich der Infrastruktursicherheit sind vom Anbieter zu 182 führen und zu kontrollieren. Der Abnehmer sollte sich vertraglich vorbehalten, dass ihm Sicherheitsvorfälle, die seine Anwendungen betreffen können, rechtzeitig bekannt gemacht werden, damit er nötigenfalls eigene Konsequenzen ziehen kann. Seitens der Abnehmer sind die Aktivitäten an der Cloud-Schnittstelle einer Protokollierung zu unterwerfen, um fehlerhafte bzw. missbräuchliche Nutzungen des Cloud-Zugangs kontrollieren zu können. 6. BSI-Mindestanforderungen an Cloud Computing Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in 183 2011 ein Eckpunktpapier zu Sicherheitsempfehlungen für Cloud Computing-Anbieter veröffentlicht, mit dem es eine Grundlage für die Diskussion zwischen Cloud Computing-Anbietern und Cloud-Abnehmern bieten möchte. Weitergehend soll das Papier Empfehlungen für Behörden und Unternehmen zur Absicherung von Cloud-Services aussprechen, um Standards zu schaffen, auf deren Basis die Sicherheit von Cloud Computing-Plattformen überprüft werden kann. Das Papier geht zunächst auf die Erläuterung der Grundlagen des Cloud Computing ein, bevor es sich dann in den darauf folgenden Abschnitten mit konkreten Empfehlungen zu zentralen Elementen der Absicherung von Cloud Computing-Lösungen beschäftigt. In den dazu zur Verfügung gestellten Checklisten unterscheidet das BSI interessanterweise noch zwischen Betreibern von sog. Privateoder Public-Clouds und gewichtet die Anforderungen nach Basisanforderungen („B“), Anforderungen bei hohem Schutzbedarf („C+“) und solchen Anforderungen für Bereiche mit hohem Verfügbarkeitsbedarf („A+“). Im Folgenden werden die Inhalte dieser Abschnitte zusammenfassend wiedergegeben. a) Sicherheitsmanagement1 Im Bereich des Sicherheitsmanagements sieht BSI als zentrale, wichtige 184 Aufgaben des Cloud Computing-Anbieters zum einen an, die bereitgestellten Dienste kontinuierlich zu überwachen, um die vereinbarte und zum Teil auch garantierte Dienstgüte einhalten zu können. Dazu gehören u.a. etwaige Störungen und Ausfälle von Ressourcen, z.B. Virtualisierungsservern, virtuellen Maschinen, Load-Balancern etc. Darüber hinaus gehört es nach Ansicht des BSI zu den Aufgaben des Anbieters im Bereich des Sicherheitsmanagements dafür zu sorgen, dass ein ordnungsgemäßes
– v. 24.4.2012 der internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation, Handlungsempfehlungen Ziffer 19. 1 Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing-Anbieter, Bundesamt für Sicherheit in der Informationstechnik, Stand Februar 2012, Kap. 3, S. 23. Hartung/Storm
395
Teil 4
Rz. 185
Datenschutz
– Patch- und Änderungsmanagement, – Konfigurationsmanagement, – Netzmanagement, – System Management, – Application Management, und – Reporting aufgesetzt und unterhalten wird. 185
Darüber hinaus empfiehlt das BSI den Einsatz standardisierter Vorgehensmodelle wie ITIL oder COBIT, sowie zur Umsetzung eines effizienten Managements der Informationssicherheit (Information Security Management System, ISMS) die Beachtung der ISO 27001/2 oder bevorzugt den BSI-Standard 100-2 zur IT-Grundschutz-Vorgehensweise. Dabei sollte auf jeden Fall darauf geachtet werden, dass einmal implementierte Konzepte und Prozesse regelmäßigen Überprüfungen im Sinne eines PDCA-Zyklus (Plan-Do-Check-Act) unterzogen und weiterentwickelt werden.
186
Zum Nachweis der ausreichenden Sicherheit auch gegenüber den Abnehmern empfiehlt das BSI eine Zertifizierung des Informationssicherheitsmanagements gemäß ISO 27001 oder auf der Basis des vom BSI empfohlenen IT-Grundschutz. b) Sicherheitsarchitektur1
187
Zur Aufstellung einer ordnungsgemäßen Sicherheitsarchitektur empfiehlt das BSI, dieses Gebiet in fünf Unterbereiche aufzuteilen: 1. Rechenzentrumssicherheit, 2. Server-Sicherheit, 3. Netzsicherheit, 4. Anwendungs- und Plattformsicherheit, 5. Datensicherheit und 6. Verschlüsselung und Schlüsselmanagement. aa) Rechenzentrumssicherheit
188
Zur Gewährleistung der Rechenzentrumssicherheit empfiehlt das BSI die Einrichtung einer permanenten Überwachung der Zugänge, z.B. durch Videoüberwachungssysteme, Bewegungssensoren, Alarmsysteme und geschultes Sicherheitspersonal. Versorgungskomponenten, die für den Betrieb unverzichtbar sind, sollten redundant ausgelegt werden, wie z.B. die Stromversorgung, Klimatisierung und Internetanbindung. Brandschutz und Absicherung gegen Elementarschäden gehören ebenso zu den Vorkehrungen, wie die Vorhaltung redundanter, für den Fall eines unvorhergesehenen Katastrophenfalls geographisch ausreichend getrennter Re1 Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing-Anbieter, Bundesamt für Sicherheit in der Informationstechnik, Stand Februar 2012, Kap. 4, S. 27.
396
Hartung/Storm
IV. Technische und organisatorische Maßnahmen
Rz. 194
Teil 4
chenzentren, falls Cloud-Lösungen mit besonders hohen Verfügbarkeitsanforderungen angeboten werden sollen. Soweit der Anbieter SaaS-Dienste anbieten will und dabei keine eigene 189 Infrastruktur aufbaut, muss er entsprechend sicherstellen, dass die genannten Anforderungen von den jeweiligen Subunternehmern eingehalten werden. bb) Server-Sicherheit Hinsichtlich der Server-Sicherheit fokussiert sich das BSI mit seinen 190 Handlungsempfehlungen neben den üblichen Themen wie Host Firewalls, Host Based Intrusion-Detection Systems etc. auf die Absicherung des Hypervisors, der zentralen Komponente der Servervirtualisierung. Hierbei hebt es besonders die Gefahrenbereiche der Manipulation von 191 CPU-Registern, die die Virtualisierungsfunktion steuern, sowie Fehler in der Implementierung der Ressourcen an, die den virtuellen Maschinen durch den Hypervisor zur Verfügung gestellt werden. Zur entsprechenden Härtung der Hypervisoren, sowohl durch den Cloud-Anbieter, als auch den Cloud-Abnehmer (hin-/angewiesen durch den Anbieter, z.B. bei der Inanspruchnahme von IaaS-Diensten) empfiehlt das BSI die Beachtung der weltweit abgestimmten „Gemeinsamen Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik“ (kurz Common Criteria) mit einer Prüftiefe von mindestens EAL 4 (Evaluation Assurance Level, definiert in den Common Criteria, EAL 4 wird definiert als: Methodically Designed, Tested, and Reviewed) als erreichte Vertrauenswürdigkeitsstufe. cc) Netzsicherheit Netzsicherheit wird nach Ansicht des BSI zunächst durch die gängigen 192 IT-Sicherheitsmaßnahmen wie z.B. Virenschutz, Trojaner-Detektion, Spam-Schutz, Firewalls, Application Layer Gateways, IDS/IPS-Systeme gewährleistet. Darüber hinaus sollte jedoch darauf geachtet werden, dass jegliche Kommunikation zwischen Anbieter und Abnehmer sowie zwischen den Standorten des Anbieters, einschließlich etwaig eingeschalteter dritter Subunternehmer, verschlüsselt stattfindet. Insbesondere die Abwehr von sog. Distributed Denial of Service-Angrif- 193 fen (DDoS-Angriffe) und die Ergreifung von Maßnahmen zur Reduzierung des Risikos bei solchen Angriffen, z.B. auch über von ISPs zugekauften Lösungen, ist aus Sicht des BSI ein zentrales Element der Herstellung angemessener Netzsicherheit. Zur Relativierung eines Sicherheitseinbruchs sollte der Anbieter von 194 Cloud-Lösungen darüber hinaus je nach Schutzbedarf unterschiedliche Sicherheitszonen innerhalb seines Provider-Netzes einrichten, wie z.B. Hartung/Storm
397
Teil 4
Rz. 195
Datenschutz
– vom restlichen Cloud-Netz isolierte Sicherheitszone für das Management der Cloud; – Sicherheitszone für die Live Migration, falls Servervirtualisierung eingesetzt wird; – Sicherheitszone für das Storage-Netz; – eigene Sicherheitszonen für die virtuellen Maschinen eines Kunden bei IaaS. 195
Darüber hinaus empfiehlt das BSI die Einrichtung sicherer Kommunikationskanäle für die Fernadministration, wie SSH (Secure Shell), IPSec (Internet Protocol Security), TLS/SSL (Transport Layer Security/Secure Socket Layer), VPN (Virtual Private Network). dd) Anwendungs- und Plattformsicherheit
196
Vor allem im Bereich der PaaS-Dienste greifen Kunden zur Entwicklung eigener Software auf Kernfunktionalitäten der Plattform zurück. Daher ist es besonders wichtig, den Software-Stack der Plattform professionell und sicher (weiter) zu entwickeln. Um hier eine optimale Bereitstellung sicherzustellen, empfiehlt das BSI jedem Cloud-Anbieter die feste Einbindung von Sicherheit in seinen Software Development Lifecycle Prozess, mit jeweils fest vorgesehenen Testzyklen und Freigaben der einzelnen Softwareteile durch Sicherheitsverantwortliche. Für den Betrieb der PaaS-Dienste empfiehlt das BSI den Einsatz von Sandboxing-Technologie zur Isolierung der Kundenanwendung, damit diese nicht unberechtigt auf die Daten anderer Anwendungen zugreifen kann.
197
Darüber hinaus sollte der jeweilige Cloud-Anbieter seinen Abnehmern entsprechende Guidelines und Dokumentation zur Verfügung stellen, damit auch die Abnehmer auf der Plattform des Anbieters sichere Anwendungen entwickeln können und auch die Mindestanforderungen an Dokumentation und Qualität erfüllen können.
198
Beim Zukauf und Einsatz von Technologien dritter Hersteller, wie z.B. Web-Technologien wie Application Frameworks wie Java und .NET, Kommunikation über HTTP(S) sollte der jeweilige Anbieter sicherstellen können, dass bei ihm die Prinzipien zur sicheren Software-Entwicklung des Open Web Application Security Project eingehalten werden. ee) Datensicherheit
199
Ein zentrales Element der Datensicherheit sieht das BSI u.a. im Bereich der Speicherung der Daten durch verschiedenste Speichertechniken wie z.B. NAS, SAN, Object Storage etc. und dabei besonders darin, dass sich viele Kunden einen gemeinsamen Datenspeicher teilen. Dies erfordert unbedingt, dass eine sichere Trennung von Kundendaten sichergestellt ist. 398
Hartung/Storm
IV. Technische und organisatorische Maßnahmen
Rz. 203
Teil 4
Bei z.B. SaaS-Diensten steht zur Sicherstellung dieser Trennung beson- 200 ders die sog. Tenant-ID im Vordergrund, die bei unsicherer Konfiguration des Systems über eine SQL-Injection dazu führen könnte, dass ein Kunde unerlaubten Zugriff auf die Daten anderer Kunden gewinnen könnte. Darüber hinaus sollte der Cloud-Anbieter unbedingt ein umfassendes 201 Datensicherungskonzept und regelmäßige Datensicherungen durchführen und diese Datensicherungen auch in regelmäßigen Abständen überprüfen. Hilfreich könne es auch sein, wenn der Abnehmer die Gelegenheit erhält eigene Datensicherungen anzufertigen. ff) Verschlüsselung und Schlüsselmanagement Zudem empfiehlt das BSI den Einsatz geeigneter kryptographischer Ver- 202 fahren zur Speicherung, Verarbeitung und zum Transport sensibler Informationen. Mangels geeigneter Werkzeuge zur Verwaltung von Schlüsseln in komplexen Multi-Tenant-Umgebungen werden nach Aussage des BSI ruhende Daten meist nicht verschlüsselt. Daher empfiehlt das BSI dem Abnehmer, z.B. bei IaaS-Storage Angeboten seine Daten vor Speicherung selbst zu verschlüsseln. Somit behielte er die vollständige Kontrolle über die kryptographischen Schlüssel und müsste sich aber auch um die Schlüsselverwaltung kümmern. Soweit der Anbieter die Verschlüsselung übernimmt, muss sichergestellt 203 sein, dass Schlüssel vertraulich, integer und authentisch erzeugt, gespeichert, ausgetauscht, genutzt und vernichtet werden. Zur sorgfältigen Umsetzung empfiehlt das BSI die Erstellung eines Kryptokonzepts. Hierbei sollten besonders die folgenden Best Practices der Schlüsselverwaltung beachtet und umgesetzt werden: – Die Schlüsselerzeugung sollte in sicherer Umgebung und unter Einsatz geeigneter Schlüsselgeneratoren erfolgen. – Kryptographische Schlüssel sollten möglichst nur für einen Einsatzzweck dienen. – Generell sollten Schlüssel nie in klarer Form, sondern grundsätzlich verschlüsselt im System gespeichert werden. – Darüber hinaus muss die Speicherung stets redundant gesichert und wiederherstellbar sein, um einen Verlust eines Schlüssels zu vermeiden. – Die Schlüssel müssen sicher (vertraulich, integer und authentisch) verteilt werden. – Administratoren der Cloud dürfen keinen Zugriff auf Kundenschlüssel haben. – Es müssen regelmäßig Schlüsselwechsel durchgeführt werden. Die verwendeten Schlüssel sollten regelmäßig auf ihre Aktualität überprüft werden. Hartung/Storm
399
Teil 4
Rz. 204
Datenschutz
– Der Zugang zu Schlüsselverwaltungsfunktionen sollte eine separate Authentifizierung erfordern. – Die Schlüssel sollten sicher archiviert werden. – Nicht mehr benötigte Schlüssel (z.B. Schlüssel, deren Gültigkeitsdauer abgelaufen ist) sind auf sichere Art zu löschen bzw. zu vernichten. c) ID- und Rechte-Management1 204
Die Identitätsverwaltung sollte von jeder Cloud Computing-Plattform unterstützt werden (entweder nativ in der Lösung selbst oder durch eine Schnittstelle zu externen Lösungen). Vom BSI hervorgehobene Kernpunkte einer solchen Identitätsverwaltung liegen in der Authentifizierung und in der Autorisierung. Das BSI empfiehlt insbesondere die Zwei-Faktor-Authentifizierung bei sicherheitskritischen Anwendungsbereichen und Netzzugriffen und dem Zugriff durch Mitarbeiter des Anbieters.
205
Zusätzliche Komplexität wird bei der Föderation von Identitäten bei der Authentifizierung von Unternehmenskunden hinzugefügt, wenn diese z.B. sog. Single-Sign-On-Lösungen (SSO) nutzen und Identitätsattribute zwischen dem Cloud-Anbieter und dem Identitätsanbieter ausgetauscht werden müssen.
206
Das Rechtemanagement muss sicherstellen, dass jede Rolle nur die Daten (auch Metadaten) sehen darf, die zur Erfüllung der Aufgabe notwendig sind. Eine Zugriffskontrolle sollte rollenbasiert erfolgen und die eingerichteten Rollen und Berechtigungen regelmäßig überprüft werden, wobei hier natürlich das Least Privilege Model genutzt werden sollte. Darüber hinaus sollte das Rechtemanagement in der Lage sein, Datenexporte und -importe von und zum Cloud-Anbieter vollständig zu dokumentieren und zu kontrollieren. d) Kontrollmöglichkeiten für die Nutzer2
207
Da der Cloud-Abnehmer die Kontrolle der Systeme und Anwendungen trotz der Kontrollpflicht nach § 11 Abs. 2 Satz 4 BDSG häufig weitgehend aus der Hand gibt, ist es aus Sicht des BSI unerlässlich, dass sich der Abnehmer zumindest über eine Webschnittstelle oder API jederzeit über den Status und die Verfügbarkeit der gebuchten Dienste informieren kann. Weitergehende Monitoring-Möglichkeiten über CPU-Auslastung,
1 Eckpunktepapier – Sicherheitsempfehlungen für Cloud Bundesamt für Sicherheit in der Informationstechnik, Kap. 5, S. 42. 2 Eckpunktepapier – Sicherheitsempfehlungen für Cloud Bundesamt für Sicherheit in der Informationstechnik, Kap. 6, S. 46.
400
Hartung/Storm
Computing-Anbieter, Stand Februar 2012, Computing-Anbieter, Stand Februar 2012,
IV. Technische und organisatorische Maßnahmen
Rz. 212
Teil 4
Netzauslastung, Durchsatz, Latenz sowie durchschnittliche Transaktionszeit sollten auch gegeben sein. e) Monitoring und Security Incident Management1 Zur Sicherstellung der Informationssicherheit im laufenden Betrieb ist es 208 notwendig, die Cloud-Dienste rund um die Uhr (24/7) umfassend zu überwachen und Personal für zeitnahe Reaktionen bei Angriffen bzw. Sicherheitsvorfällen vorzuhalten. Darüber hinaus empfiehlt es sich, vorhandene Protokolldaten aus verschiedenen Überwachungssystemen wie z.B. IDS, IPS, Integritätschecker etc.) heranzuziehen und zu korrelieren. Sämtliche administrativen Handlungen, Daten aus den o.g. Anwendun- 209 gen, sowie etwaige Angriffe von innen und außen sollten protokolliert und revisionssicher abgespeichert werden, damit dem Cloud-Abnehmer nachvollziehbar dargestellt werden kann, wann, wer, welche Änderungen am Service vorgenommen hat. Des Weiteren empfiehlt das BSI die Speicherung dieser Protokolldaten in Formaten, die dem Cloud-Abnehmer schnell auch zur maschinellen Verarbeitung zur Verfügung gestellt werden können. f) Notfallmanagement2 Jeder Cloud-Anbieter sollte über ein funktionierendes Notfallmanage- 210 ment (Business Continuity Management) verfügen, basierend auf etablierten Standards wie z.B. BS 25999 oder BSI-Standard 100-4, die eine rasche Reaktion bei auftretenden Notfällen und die rasche Wiederaufnahme zumindest der wichtigsten Geschäftsprozesse ermöglichen. Dafür empfiehlt es sich, im Vorfeld eine Priorisierung der betriebenen Dienste und Geschäftsprozesse für den Wiederanlauf vorzunehmen. Des Weiteren ist es notwendig, sämtliche Maßnahmen im Bereich des 211 Notfallmanagements regelmäßigen Tests und Notfallübungen zu unterziehen, damit nicht nur bewiesen werden kann, dass die Pläne auch die gewünschten Ziele erreichen, sondern die Mitarbeiter auch Routine im Umgang mit Ausnahmesituationen gewinnen. Typische Übungen sollten hier sein:
212
– Funktionstests (z.B. von Stromaggregaten, Klimaanlagen, zentralen Servern); – Durchführung von Brandschutzübungen; 1 Eckpunktepapier – Sicherheitsempfehlungen für Cloud Bundesamt für Sicherheit in der Informationstechnik, Kap. 7, S. 48. 2 Eckpunktepapier – Sicherheitsempfehlungen für Cloud Bundesamt für Sicherheit in der Informationstechnik, Kap. 8, S. 52.
Computing-Anbieter, Stand Februar 2012, Computing-Anbieter, Stand Februar 2012,
Hartung/Storm
401
Teil 4
Rz. 213
Datenschutz
– Wiederanlauf nach Ausfall von einzelnen Ressourcen oder Geschäftsprozessen; – Räumung eines Bürogebäudes und Bezug einer Ausweichlokation und – Ausfall eines Rechenzentrums und Inbetriebnahme des Alternativrechenzentrums. g) Portabilität und Interoperabilität1 213
Zur Vermeidung eines sog. Vendor-Lock-In empfiehlt das BSI die Aufnahme einer Exit-Vereinbarung mit zugesicherten Formaten unter Beibehaltung aller logischen Relationen.
214
Bei IaaS-Diensten kann die Portabilität von Virtual Machines (also virtuellen Servereinheiten) durch den Einsatz von OVF (Open Virtualization Format) erreicht werden, einem plattformunabhängigen Standard zur Verpackung und Verteilung von virtuellen Applicances2, das bislang jedoch wenig durch die Cloud-Anbieter eingesetzt wird.
215
Darüber hinaus gibt es bereits mehrere Industrie-Standards zur Senkung von Interoperabilitäts- und Portabilitätsproblemen, wie z.B. das Open Cloud Computing Interface (OCCI) des Open Grid Forums3, die vCloud von VMWare4 oder das o.g. OVF-Format.
216
Das BSI empfiehlt dem Cloud Computing-Anbieter den Einsatz solcher Standards. h) Sicherheitsprüfung und -nachweis5
217
Für ein erfolgreiches Informationssicherheitsmanagement ist die regelmäßige Überprüfung der etablierten Sicherheitsmaßnahmen und Informationssicherheitsprozesse unerlässlich. Solche Informationssicherheits-Revisionen (IS-Revisionen) können vom Cloud-Anbieter selbst durchgeführt und deren Ergebnisse dann dem Cloud-Abnehmer ggf. zur Verfügung gestellt werden. Allerdings besteht in der Regel ein berechtigtes Interesse des Cloud-Abnehmers daran, eigene Sicherheitsüberprüfun1 Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing-Anbieter, Bundesamt für Sicherheit in der Informationstechnik, Stand Februar 2012, Kap. 9, S. 56. 2 Open Virtualization Format Specification, Februar 2009, http://www.dmtf.org/ standards/published_documents/DSP0243_1.0.0.pdf. 3 Open Cloud Computing Interface – Core & Models, January 2010 – http:// www.ggf.org/Public_Comment_Docs/Documents/2010-01/occi-core.pdf. 4 vCloud API Programming Guide, vCloud API 1.0, 2010 – http://communi ties.vmware.com/servlet/JiveServlet/downloadBody/12463-102-2-14932/vCloud _API_Guide.pdf. 5 Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing-Anbieter, Bundesamt für Sicherheit in der Informationstechnik, Stand Februar 2012, Kap. 10, S. 59.
402
Hartung/Storm
IV. Technische und organisatorische Maßnahmen
Rz. 223
Teil 4
gen, z.T. auch durch Dritte, beim Cloud-Anbieter durchzuführen und sich von der ordnungsgemäßen Umsetzung der vereinbarten Sicherheitsmaßnahmen zu überzeugen (vgl. oben Rz. 104 ff.). Ein geeigneter Bestandteil solcher IS-Revisionen können sog. Penetrationstests sein, mit denen die Erfolgsaussichten eines vorsätzlichen Angriffs auf einen Informationsverbund oder ein einzelnes IT-System vorab eingeschätzt werden können. Soweit Subunternehmer eingesetzt werden, ist der Cloud-Anbieter eben- 218 falls verpflichtet, regelmäßige IS-Revisionen bei ihnen durchzuführen, da er als Anbieter der Gesamtlösung für die ordnungsgemäße Leistungserfüllung gegenüber dem Cloud-Abnehmer einzustehen hat. Diese Erfordernisse gelten sowohl für Public als auch für Private Clouds.
219
i) Anforderungen an das Personal1 Grundsätzlich sind, besonders in Deutschland, die Möglichkeiten zur 220 Überprüfung von neuem oder fremdem Personal begrenzt. Das BSI empfiehlt daher, zumindest darauf zu achten, dass der vorgelegte Lebenslauf des Bewerbers aussagekräftig und vollständig ist und hinreichende Referenzen, z.B. aus anderen ähnlichen Arbeitsbereichen, vorliegen und ggf. auch Überprüfungen der akademischen und beruflichen Qualifikationen im Rahmen des datenschutzrechtlich Zulässigen durchgeführt werden. Das Gleiche gilt für den Einsatz von externem Personal. Darüber hinaus sollte der Cloud-Anbieter darauf achten, operative und 221 kontrollierende Funktionen auf verschiedene Personen zu verteilen, um Interessenskonflikte bei den handelnden Personen zu vermeiden. Es sollten regelmäßige Schulungen des Personals erfolgen, in denen die 222 Mitarbeiter in die Lage versetzt werden, mit allen eingesetzten Techniken, Komponenten und Funktionalitäten umzugehen und alle Sicherheitsimplikationen rund um diese Techniken zu kennen und im Griff zu haben. 7. Bewertungen ENISA Report 2009 Die European Network and Information Security Agency (ENISA) sieht 223 nach ihrer Selbsterklärung ihre Aufgabe darin, in der EU die erforderliche hochgradige Netz- und Informationssicherheit zu gewährleisten, indem sie (i) einzelstaatlichen Behörden und den EU-Institutionen fachkundige Ratschläge zur Netz- und Informationssicherheit erteilt, und (ii) als Forum für den Austausch bewährter Verfahren fungiert und Kontakte zwischen EU-Institutionen, staatlichen Behörden und Unternehmen er1 Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing-Anbieter, Bundesamt für Sicherheit in der Informationstechnik, Stand Februar 2012, Kap. 11, S. 62. Hartung/Storm
403
Teil 4
Rz. 224
Datenschutz
leichtert. Gemeinsam mit den EU-Institutionen und den staatlichen Behörden strebt die ENISA danach, eine Sicherheitskultur für EU-weite Informationsnetze zu entwickeln1. Dabei hat sie sich im Jahre ihrer Gründung unmittelbar in Form eines Berichts dem aktuellen Phänomen Cloud Computing gewidmet und ihre Einschätzungen zu den Risiken des Cloud Computing sowie Handlungsempfehlungen für Cloud-Anbieter und Cloud-Abnehmer veröffentlicht2. 224
Ihr Bericht aus dem Jahre 2009 erkennt den Umstand an, dass die Attraktivität von Cloud Computing im Zeitalter der Kosteneinsparungen und des Effizienzdrucks gerade in seinen Skaleneffekten besteht und durch massives Investment der jeweiligen großen Spieler in diesem Marktsegment stark hinzugewinnen wird3. Dabei stellt ENISA fest, dass gerade diese Skaleneffekte sowohl Segen, als auch Fluch für den Abnehmer von Cloud Computing-Leistungen sein können. Während der Abnehmer auf der einen Seite von den Kernkompetenzen und im Zweifel dem überlegeneren Know-how des Anbieters bei Infrastruktur und der Verteidigung derselben gegen Angriffe vertrauen darf, bietet die Konzentration von Daten und Ressourcen unterschiedlicher Kunden bei einem Anbieter natürlich ein lohnenderes Ziel für potentielle Angreifer. Daher erfordert die Auswahl eines entsprechenden Anbieters besonders viel Sorgfalt und führt somit zu erheblich mehr Prüf- und Auditierungsaufwand auf Seiten der Anbieters.
225
ENISAs Ziel in dem Bericht ist es, u.a. in Form eines Information Assurance Framework, Handlungs- und Strukturierungsempfehlungen auszusprechen, die es sowohl dem Cloud Computing-Abnehmer, als auch dem Anbieter ermöglichen, ihre jeweiligen Rollen gesetzeskonform auszuüben.
226
Die in dem Bericht von ENISA ausgesprochenen Handlungsempfehlungen und dort enthaltene Checklisten sind, sowohl inhaltlich, als auch in der Strukturierung weitestgehend ähnlich mit denjenigen anderer Institutionen, wie z.B. des BSI. Dies liegt nicht zuletzt daran, dass ENISA sich bei der Strukturierung und den empfohlenen Vorgehensmodellen auf dieselben Modelle, ISO-Normen und Standards, wie z.B. ITIL, COBIT, ISO 27001/2 und BS 25999 stützt (vgl. oben Rz. 185).
1 Vgl. http://www.enisa.europa.eu/, Stand 9.6.2013. 2 Vgl. Bericht der ENISA, „Cloud Computing – Benefits, risks and recommendations for information security“, zu finden unter: http://www.enisa.europa.eu/ activities/risk-management/files/deliverables/cloud-computing-risk-assessment, Stand 9.6.2013. 3 ENISA bezieht sich dabei auf Zahlen der IDC, die voraussagt, dass im Jahr 2013 der weltweite Umsatz mit Cloud Computing Services auf 44,2 Mrd. USD von 17,4 Mrd. USD in 2009 gestiegen sein wird. Der europäische Anteil soll sich 2013 bei rund 6 Mrd. Euro bewegen.
404
Hartung/Storm
V. Grenzberschreitender Datenverkehr
Rz. 230
Teil 4
Darüber hinaus spricht ENISA jedoch noch Recherche-Empfehlungen 227 aus, um die Absicherung von Cloud Computing-Lösungen sowohl auf Anbieterseite, als auch auf Abnehmerseite weiterhin zu verbessern. Hierbei finden sich u.a. Empfehlungen, sich mit den entsprechenden Governance-Prozessen der Vorgehensmodelle ITIL und COBIT auseinanderzusetzen, einhergehend mit der Aufforderung, Zertifizierung und Standardisierung in der Cloud voranzutreiben. Darüber hinaus finden sich Empfehlungen zur Recherche zu Themen wie: Return on Security Investments, Technologien, um die Transparenz bei der Datenverarbeitung zu erhöhen (wie z.B. Audit Location Trails) oder um die Vertraulichkeit der Datenverarbeitung zu erhöhen (wie z.B. verschlüsselte Datenverarbeitung innerhalb softwareseitiger Prozessschritte). Zudem finden sich Empfehlungen zur Recherche im Bereich des Daten- 228 schutzes bei Großrechnersystemen, wie z.B. der Datenvernichtung und des Data-Lifecycle-Managements, forensischer und Beweissicherungsmechanismen, sowie Recherchen zur Rechtslage bei multinationalen Cloud-Infrastrukturen, Mechanismen zur Isolation spezifischer Ressourcen, Interoperabilität zwischen Cloud-Anbietern und die Übertragbarkeit von Datenformaten aus der VM des einen Anbieters in die VM eines anderen Anbieters (zur Vermeidung des sog. Vendor-Lock-In). Gerade vor dem Hintergrund der jüngsten Ereignisse im Bereich Netz- 229 kommunikation sollte die Stimme der ENISA als Beraterin der EU-Kommission in Fragen der Netzsicherheit und bei der Sicherheit von Kommunikationsnetzen für die inhaltliche Ausgestaltung der Cloud-Angebote zumindest Berücksichtigung finden. Dies gilt umso mehr, als ihre Stellung durch die Einrichtung eines ständigen Sitzes im Hoheitsgebiet der Europäischen Union mit Verordnung vom 28. Februar 2013 (Nr. C7-0302/2010 – 2010/0275(COD)) gestärkt wurde.
V. Grenzüberschreitender Datenverkehr Beim Cloud Computing ermöglichen die Zugriffsmöglichkeit über das 230 Internet sowie die Virtualisierung, die Datenverarbeitung auf verschiedene Standorte aufzuteilen, wobei grundsätzlich unerheblich ist, wo diese Standorte sind1. Dabei können sich die Standorte typischerweise rasch ändern2. Eine grenzüberschreitende Datenverarbeitung und damit einhergehend ein grenzüberschreitender Datenverkehr ist dabei eher die Re-
1 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.4 (S. 9). 2 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.5 (S. 21). Hartung/Storm
405
Teil 4
Rz. 231
Datenschutz
gel als die Ausnahme1. Bei der Einbindung ausländischer Anbieter sind teilweise zusätzliche Anforderungen zu beachten2. 1. Transparenz über den Ort der Datenverarbeitung 231
Eine Anforderung der Aufsichtsbehörden in diesem Zusammenhang ist wegen der mit einem Cloud-Angebot grundsätzlich verbundenen Risiken und der Stellung des Abnehmers als verantwortliche Stelle, dass der Abnehmer über sämtliche in Frage kommende Verarbeitungsorte vor der Datenverlagerung informiert wird (vgl. oben Rz. 103)3.
232
Anbieter haben dies in der Vergangenheit häufig zurückgewiesen, unter anderem mit der Begründung, dass dies gar nicht möglich sei. Inzwischen geben Anbieter insbesondere im B2B-Bereich (und entsprechender Marktmacht des Abnehmers) verbindlich Auskunft oder vereinbaren, in welchen Ländern die Rechenzentren für die Datenverarbeitung eines konkreten Kunden stehen. Teilweise findet eine eigene Anbindung mit Standleitungen durch die Kunden an die Rechenzentren der Anbieter statt, so dass diesen Kunden der genaue Standort des Rechenzentrums ohnehin bekannt ist. Im Massenmarkt mit Verbrauchern hat sich die Vereinbarung eines konkreten Standorts bislang jedoch noch nicht durchgesetzt.
233
Dabei ist jedoch zu differenzieren. Regelmäßig werden Rechenzentren und damit die Speicherorte der Daten offengelegt. Es ist aber zu beachten, dass nach § 3 Abs. 4 Nr. 3b BDSG eine Übermittlung personenbezogener Daten an Dritte bereits dann vorliegt, wenn Dritten ein Zugang zu den Daten eingeräumt wird. Wenn der Anbieter, etwa bei einer Systembetreuung, mit Subunternehmern zusammenarbeitet, welche die Möglichkeit eines Fernzugriffs auf die Daten haben (z.B. zur Nutzung einer durchgängigen Systembetreuung nach dem „Follow the sun“-Prinzip), ist die Erfüllung dieser Informationspflichten über sämtliche Orte einer solchen Datenverarbeitung bzw. -nutzung durch Fernzugriff in der Praxis jedoch schwieriger.
1 International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, Rz. 34, 38. 2 Überblick: Weichert, Cloud Computing & Data Privacy, Abschnitt 11, https:// www.datenschutzzentrum.de/cloud-computing/20100617-cloud-computing-anddata-privacy.pdf; Blume, CRi 2011, 76 (79). 3 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.4 (S. 9 f.) sowie Ziff. 3.4.1 (S. 10); Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing v. 1.7.2012 (01037/12/DE – WP 196), Ziff. 2 (S. 6 ff.), Ziff. 3.4.2. (S. 17); Blume, CRi 2011, 76 (79).
406
Hartung/Storm
V. Grenzberschreitender Datenverkehr
Rz. 235
Teil 4
2. Anforderungen innerhalb des EWR Cloud Computing im Geltungsbereich der Richtlinie 95/46/EG (d.h. in 234 der EU und dem EWR) ist unter denselben Voraussetzungen zulässig wie in Deutschland, weil dort durch die Umsetzung der Richtlinie ein vergleichbares Datenschutzniveau geschaffen wurde1, insbesondere die Fiktion nach § 3 Abs. 8 Satz 3 BDSG funktioniert wie bei einer Auftragsdatenverarbeitung innerhalb Deutschlands2. Die Aufsichtsbehörden empfehlen aber auch in dieser Konstellation die Vereinbarung einer Pflicht des Anbieters, die Standorte der Datenverarbeitung zu offenbaren3 und nur technische Infrastruktur zu verwenden, die im Gebiet des EU/EWR belegen ist (europäische „Availability Zone“)4. 3. Grundsätzliche Anforderungen bei Anbietern außerhalb des EWR Beim Cloud Computing außerhalb des Geltungsbereichs des EWR liegt 235 rechtsdogmatisch keine Auftragsdatenverarbeitung5 vor, sondern immer eine Funktionsübertragung (dazu im Einzelnen Rz. 54 ff.), d.h., die Daten werden an den Anbieter als einen Dritten übermittelt6. Auch wenn beim Cloud Computing über einen Anbieter außerhalb des EWR keine Auftragsdatenverarbeitung vorliegt, so gilt dennoch der Pflichtenkatalog des § 11 BDSG. Denn der Entfall des Privilegs des § 3 Abs. 8 Satz 3 BDSG bedeutet nicht, dass kein Auftrag gegeben oder § 11 BDSG nicht anwendbar sein soll7. Die Zulässigkeit richtet sich nach den allgemeinen Vorschriften zur Datenübermittlung ins Drittland, d.h., es ist eine zweistufige Prüfung erforderlich: Auf der ersten Stufe muss die Zulässigkeit nach
1 Gola/Schomerus, BDSG, § 4b Rz. 2, 5; Simitis, BDSG, § 4b Rz. 26; Gabel in Taeger/Gabel, BDSG, § 4b Rz. 5. 2 Funke/Wittmann, ZD 2013, 221 (227); Plath in Plath, BDSG, § 11 Rz. 12. 3 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.4.1 (S. 10). 4 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.4.1 (S. 10); Marnau/Schlehahn, DuD 2011, 311 (316); Barnitzke, MMR 2011 Nr. 9, S. VI; Becker/Nikolaeva, CR 2012, 170; Niemann/Hennrich, CR 2010, 686 (687). 5 Schuster/Reichl, CR 2010, 38 (41); Weichert, DuD 2010, 679 (682); Heidrich/Wegener, MMR 2010, 803 (806); Maisch, AnwZert ITR 15/2009, Anm. 4; Gaul/Koehler, BB 2011, 2229 (2233); Plath in Plath, BDSG, § 11 Rz. 13, 51; Thalhofer, CCZ 2011, 222 (223); BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 52, http://www.bitkom.org/files/documents/BITKOM-LeitfadenCloudComputing_Web.pdf; „unechte Auftragsdatenverarbeitung“: Weber/Voigt, ZD 2011, 74 (75); einschränkend: Funke/Wittmann, ZD 2013, 221 (227 f.). 6 Kahler, RDV 2012, 167 (168); kritisch Plath in Plath, BDSG, § 11 Rz. 14, 53. 7 Funke/Wittmann, ZD 2013, 221 (227). Hartung/Storm
407
Teil 4
Rz. 235
Datenschutz
dem BDSG (anhand der in Rz. 41–76 beschriebenen Erlaubnistatbestände)1, auf der zweiten Stufe muss einer der Fälle nach §§ 4b, 4c BDSG zur Sicherstellung eines angemessenen Datenschutzniveaus im Drittland vorliegen2: – Das Empfängerland weist anerkanntermaßen ein ausreichendes Datenschutzniveau aus, d.h. ist als sicherer Drittstaat durch die EUKommission anerkannt3. In diesen Fällen ist eine Übermittlung nach denselben Voraussetzungen möglich wie im Geltungsbereich der Richtlinie 95/46/EG (mit Ausnahme der besonderen Arten personenbezogener Daten, vgl. Rz. 250 ff.). – Ein angemessenes Datenschutzniveau wird bei US-amerikanischen Unternehmen durch eine Zertifizierung im Rahmen des „Safe Harbor Abkommens“4 hergestellt (vgl. hierzu gleich Rz. 237 ff.)5. – Ein angemessenes Datenschutzniveau wird durch den Abschluss von Standardverträgen der EU-Kommission (entweder für Auftragsver-
1 Beachte: bei einer Rechtfertigung nach §§ 28 ff. BDSG ist das Interesse an der Kostenersparnis bzw. an der Vereinfachung von Geschäftsprozessen nicht ausreichend, Bosesky/Hoffmann/Schulz, DuD 2013, 95 (100). 2 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, S. 5 sowie Ziff. 3.4.2 (S. 10); Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing v. 1.7.2012 (01037/12/DE – WP 196), Ziff. 4.1 (S. 26). Weichert, Cloud Computing & Data Privacy, Abschnitt 11, https://www.datenschutzzentrum.de/cloud-computing/20100617-cloud-compu ting-and-data-privacy.pdf; Opfermann, Datenschutzkonforme Vertragsgestaltung im Cloud Computing, S. 141 ff. 3 Derzeit Andorra, Argentinien, Färöer Inseln, Guernsey, Israel, Isle of Man, Jersey, Kanada, Neuseeland, Schweiz: http://ec.europa.eu/justice/policies/privacy/thrid countries/index_en.htm; Weichert, Cloud Computing & Data Privacy, Abschnitt 11, https://www.datenschutzzentrum.de/cloud-computing/20100617-cloudcomputing-and-data-privacy.pdf; BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 53, http://www.bitkom.org/files/docu ments/BITKOM-Leitfaden-CloudComputing_Web.pdf. 4 Vgl. hierzu die offizielle Seite der U.S. Regierung mit den Regeln und der Liste der in den USA zertifizierten Unternehmen http://www.export.gov/safeharbor/ index.asp; Weichert, Cloud Computing & Data Privacy, Abschnitt 11, https:// www.datenschutzzentrum.de/cloud-computing/20100617-cloud-computing-anddata-privacy.pdf. 5 Vgl. hierzu Art. 29-Datenschutzgruppe, WP 155, 154, 153, 133, 108, 107, 102, 74; Weichert, Cloud Computing & Data Privacy, Abschnitt 11, https://www.daten schutzzentrum.de/cloud-computing/20100617-cloud-computing-and-data-priva cy.pdf; Leupold/Glossner, IT-Recht, Teil 5 Rz. 354; Weber/Voigt, ZD 2011, 74 (75); Weichert, DuD 2010, 679 (686 f.); Hilber/Knorr/Müller, CR 2011, 417 (422); Maisch, AnwZert ITR 15/2009, Anm. 4; Splittgerber/Rockstroh, BB 2011, 2179 (2181); BITKOM, Cloud Computing – Was Entscheider wissen müssen, S. 62 ff., http://www.cloud-practice.de/know-how/cloud-computing-was-entscheider-wis sen-muessen; Opfermann, Datenschutzkonforme Vertragsgestaltung im Cloud Computing, S. 143 ff.
408
Hartung/Storm
V. Grenzberschreitender Datenverkehr
Rz. 236
Teil 4
arbeitung1 oder für Datenübermittlung/Funktionsübertragung2) bei dem empfangenden Unternehmen hergestellt (vgl. hierzu gleich Rz. 242 ff.). Hinsichtlich der Standardvertragsklauseln wird angenommen, dass ihre Verwendung auch die Interessenabwägung auf der ersten Prüfungsstufe (§ 28 Abs. 1 Satz 1 Nr. 2 BDSG) beeinflusst und die Zulässigkeit der Datenübermittlung herstellt. An dieser Ansicht wird teilweise kritisiert, dass sie mit § 11 und § 28 BDSG zwei verschiedene Rechtsinstitute vermischt3. – Ein angemessenes Datenschutzniveau kann durch konzernweit geltende, aber genehmigungspflichtige Binding Corporate Rules („BCR“)4 hergestellt werden. BCR sind bislang aber nur innerhalb von Unternehmensgruppen einsetzbar5. Gehören Anbieter und Abnehmer eines Cloud Computing-Angebots zu derselben Unternehmensgruppe (z.B. bei einer Private Cloud, die durch eine konzerninterne IT-Gesellschaft angeboten wird), so erkennen die deutschen Aufsichtsbehörden BCR als mögliche Lösung an6. Bislang waren BCR nur für verantwortliche Stellen verfügbar. Die Art. 29-Datenschutzgruppe hat nun in ihren Arbeitspapieren 195 und 204 erste Kriterien für BCR für Auftragsverarbeiter beschlossen7. Dies könnte für Cloud-Anbieter zumindest für die Frage einer Weiterübermittlung der Daten des Abnehmers eine erfolgversprechende Gestaltungsmöglichkeit darstellen. Die zuvor genannten Maßnahmen zur Herstellung eines ausreichenden 236 Datenschutzniveaus beim Empfänger sind dann entbehrlich, wenn eine der gesetzlichen Ausnahmen nach § 4c Abs. 1 BDSG vorliegt. Dabei 1 Entscheidung der Kommission v. 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates [2010/87/EU]. 2 Entscheidung der Kommission v. 15.6.2001 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG [2001/497/EU]; Entscheidung der Kommission v. 27.12.2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer [2004/915/EU]. 3 Zu allem: Weber/Voigt, ZD 2011, 74 (76). 4 Ausführlich zu Binding Corporate Rules: Grapentin, CR 2009, 693. 5 Grapentin, CR 2009, 693, auch mit Hinweisen auf die Diskussion über die Möglichkeit eines Beitritts eines externen Vertragspartners zu den BCR. 6 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.4.2 (S. 12). 7 Art. 29-Datenschutzgruppe, Arbeitsdokument 2/2012 mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher Unternehmensinterna, Datenschutzregelungen (BCR für Auftragsverarbeiter) v. 6.6.2012 (00930/12/DE – WP 195) sowie Explanatory Document on the Processor Binding Corporate Rules v. 19.4.2013 (00658/13/EN - WP 204). Vgl. auch Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.5.4 (S. 23 f.). Hartung/Storm
409
Teil 4
Rz. 237
Datenschutz
kommen in erster Linie die Fälle der Nr. 1 und Nr. 2 in Betracht, d.h., wenn der Betroffene seine Einwilligung erteilt hat oder die Übermittlung für die Erfüllung eines Vertrages zwischen dem Betroffenen und der verantwortlichen Stelle erforderlich ist1. Wie oben bereits erläutert, kann eine Einwilligungserklärung und damit zusammenhängend der Vertrag ausdrücklich vorsehen, dass eine Datenübermittlung ins unsichere Drittland stattfindet. Es sei aber wiederum auf die begrenzte Reichweite und die in der Praxis beschränkte Einsetzbarkeit der Einwilligungserklärung (vgl. zuvor Rz. 75 f.) hingewiesen. Die anderen gesetzlichen Erlaubnistatbestände (Notwendigkeit für die Wahrung öffentlichen Interesses, lebenswichtige Interessen der Betroffenen oder Geltendmachung von Rechtsansprüchen vor Gericht) treffen im Normalfall nicht auf die Wahrnehmung von Cloud-Angeboten durch eine verantwortliche Stelle zu. Außerdem vertreten die europäischen Aufsichtsbehörden die Ansicht, dass sich die gesetzlichen Ausnahmetatbestände nicht für sich stetig wiederholende, massive und strukturelle Datenübermittlungen eignen, wie sie bei einer dauerhaften Nutzung von Cloud Computing gegeben wären2. 4. Verwendung des Safe Harbor-Abkommens zwischen EU und USA 237
US-amerikanische Anbieter und Subunternehmer können sich grundsätzlich auf das Safe Harbor-Abkommen zwischen der EU und den USA3 stützen4, wenn sie sich gegenüber dem US-Handelsministerium selbst zertifizieren (indem sie eine Beitrittserklärung unterzeichnen) und eine Datenschutzerklärung veröffentlichen.
238
Am Safe Harbor-Abkommen zwischen der EU und den USA haben deutsche und europäische Aufsichtsbehörden Zweifel geäußert, insbesondere an der Durchsetzung auf amerikanischer Seite5. So sei die Zertifizierung 1 Gola/Schomerus, BDSG, § 4c Rz. 4; Gabel in Taeger/Gabel, BDSG, § 4c Rz. 5 ff. 2 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.5.2 (S. 22 f.). 3 Safe Harbor Framework, http://export.gov/safeharbor/eu/eg_main_018365.asp; Safe Harbor FAQ, http://export.gov/faq/index.asp; Entscheidung der Kommission v. 26.7.2000 (2000/520/EG), http://eur-lex.europa.eu/LexUriServ/LexUriServ. do?uri=OJ:L:2000:215:0007:0047:DE:PDF. 4 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.4.2 (S. 11), Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.5.1 (S. 17); Weichert, Cloud Computing & Data Privacy, Abschnitt 11, https:// www.datenschutzzentrum.de/cloud-computing/20100617-cloud-computing-anddata-privacy.pdf; Leupold/Glossner, IT-Recht, Teil 5 Rz. 354; Thalhofer, CCZ 2011, 222 (224). 5 Hennrich, CR 2011, 546 (548, 552); eingehend dazu: Marnau/Schlehahn, DuD 2011, 311; Heidrich/Wegener, MMR 2010, 803 (806); Thalhofer, CCZ 2011, 222 (224); Galexia Studie 2008, The US Safe Harbor – Fact or Fiction? http://www.ga lexia.com/public/research/assets/safe_harbor_fact_or_fiction_2008/safe_harbor_
410
Hartung/Storm
V. Grenzberschreitender Datenverkehr
Rz. 239
Teil 4
als Hürde für Unternehmen sehr leicht zu nehmen. Sie müssen entweder einem selbstregulierenden Datenschutzprogramm beitreten, das sich auf die Anforderungen der Safe Harbor-Prinzipien stützt, oder eine eigene selbstbindende Datenschutzerklärung („Privacy Policy“) abgeben, welche mit den Safe Harbor-Prinzipien vereinbar ist. In der Regel wählen Unternehmen den zweiten Weg1. Die Einhaltung der Safe Harbor-Grundsätze werde von der zuständigen Aufsichtsbehörde FTC nur lückenhaft überprüft, weil Beschwerden von Betroffenen kaum Wirkung zeigten und die FTC, anstatt jeden Verstoß gegen Safe Harbor-Grundsätze sowie die Verweigerung der Zusammenarbeit mit den Aufsichtsbehörden für Datenschutz zu verfolgen, nur bei unfairen oder betrügerischen Handelspraktiken der betroffenen Unternehmen eingreife2. Dies führe dazu, dass die Zahl der Falschangaben von US-Unternehmen hinsichtlich des Vorliegens einer Safe Harbor-Zertifizierung beträchtlich sei, etwa in der Liste der zertifizierten Unternehmen auf der Website der FTC zahlreiche Unternehmen mit längst abgelaufener Zertifizierung, lediglich gekennzeichnet durch ein „not current“-Vermerk enthalten seien. Von den gültig zertifizierten Unternehmen würden viele die Safe Harbor-Anforderungen zudem nur formal erfüllen3. Zu dieser Kritik ist zunächst anzumerken, dass es sich hier um einen 239 verbindlichen völkerrechtlichen Vertrag handelt4. Inzwischen hat die amerikanische Regierung auch eine Erklärung abgegeben und ist diesen Vorwürfen entgegengetreten5. Unabhängig davon kann es beim Cloud Computing jedoch sinnvoll sein, die Empfehlungen der Datenschutzbehörden dennoch umzusetzen, weil diese bei einem seriösen Cloud-Anbieter unschwer erfüllt werden können. Ohne konkreten Bezug auf den Fall des Cloud Computing wurde von deutschen Aufsichtsbehörden ausgeführt, dass eine verantwortliche Stelle in Deutschland sich selbst von dem Bestehen und dem Fortbestand einer entsprechenden Zertifizierung durch das US-Unternehmen überzeugen muss und das Unter-
1 2 3
4 5
fact_or_fiction.pdf; Beschluss des Düsseldorfer Kreises v. 28./29.4.2010, http:// www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/Dues seldorferKreis/290410_SafeHarbor.pdf?__blob=publicationFile; Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.5.1 (S. 21 f.); Opfermann, Datenschutzkonforme Vertragsgestaltung im Cloud Computing, S. 143 f.; kritisch dazu: Schuppert/ von Reden, ZD 2013, 210 (212 f.). Marnau/Schlehahn, DuD 2011, 311 (313 f.). Marnau/Schlehahn, DuD 2011, 311 (314 m.w.N.). Marnau/Schlehahn, DuD 2011, 311 (313 f.); 2008 waren von 1597 angeblich zertifizierten Unternehmen nur 54 tatsächlich zertifiziert: Galexia Studie 2008, The US Safe Harbor – Fact or Fiction? S. 8, http://www.galexia.com/public/re search/assets/safe_harbor_fact_or_fiction_2008/safe_harbor_fact_or_fiction.pdf. Vgl. Schuppert/von Reden, ZD 2013, 210 (215). Clarifications Regarding the U.S.-EU Safe Harbor Framework and Cloud Computing, U.S. Department of Commerce International Trade Administration (ITA) v. 12.4.2013, http://export.gov/static/Safe%20Harbor%20and%20Cloud%20Compu ting%20Clarification_April%2012 %202013_Latest_eg_main_060351.pdf. Hartung/Storm
411
Teil 4
Rz. 240
Datenschutz
nehmen hierauf vertraglich verpflichten soll1. Konkret zum Cloud Computing verlangen die deutschen Aufsichtsbehörden folgende Maßnahmen von der verantwortlichen Stelle, um der Kontrollpflicht nach § 11 Abs. 2 Satz 3 BDSG zu genügen2: „Solange jedoch eine flächendeckende Kontrolle der Selbstzertifizierungen US-amerikanischer Unternehmen durch die Kontrollbehörden in Europa und den USA nicht gewährleistet ist, trifft auch die Unternehmen in Deutschland eine Verpflichtung, gewisse Mindestkriterien zu prüfen, bevor sie personenbezogene Daten an eine auf der Safe Harbor-Liste geführtes US-Unternehmen übermitteln. Daher ist zu fordern, dass sich der Cloud-Anwender mindestens davon überzeugt, ob das Zertifikat des Cloud-Anbieters noch gültig ist und sich auf die betreffenden Daten bezieht. Soweit EU-Personaldaten verarbeitet werden sollen, muss der Cloud-Anwender ferner prüfen, ob der CloudAnbieter sich gemäß FAQ 9 Frage 4 des Safe Harbor-Abkommens zur Zusammenarbeit mit den EU-Datenschutzaufsichtsbehörden verpflichtet hat. Ferner muss der Cloud-Anwender prüfen und mit dem Cloud-Anbieter im Innenverhältnis sicherstellen, dass er (der Cloud-Anwender) bei einer Anfrage durch einen Betroffenen auch die nötigen Informationen erhält, um die Anfrage beantworten zu können.“ Die Nachweispflicht wird auch von den europäischen Aufsichtsbehörden verlangt3. 240
Außerdem weisen die Aufsichtsbehörden darauf hin, dass bei Zweifeln andere Maßnahmen getroffen werden sollten, etwa im Bereich technischorganisatorischer Maßnahmen (die von den Safe Harbor-Grundsätzen nicht abgedeckt sind)4. Die deutschen und europäischen Aufsichtsbehörden haben ferner klargestellt, dass auf der ersten Prüfungsstufe weiterhin schriftliche Vereinbarungen entsprechend § 11 Abs. 2 BDSG (bzw. nach Art. 17 der Richtlinie 95/46/EG) zu treffen sind und verweisen auf die Antwort zu FAQ 105 zu den Safe Harbor-Grundsätzen6. 1 Beschluss des Düsseldorfer Kreises v. 28./29.4.2010; Marnau/Schlehahn, DuD 2011, 311. 2 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.4.2 (S. 11 f.); Beschluss Düsseldorfer Kreis v. 28./29.4.2010. So auch die Empfehlung nach europäischem Recht: Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.5.1 (S. 21 f.); Marnau/Schlehahn, DuD 2011, 311 (314 f.); BITKOM, Cloud Computing – Was Entscheider wissen müssen, S. 64, http://www.cloudpractice.de/know-how/cloud-computing-was-entscheider-wissen-muessen. 3 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.5.1 (S. 21 f.). 4 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.4.2 (S. 12); Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.5.1 (S. 22). 5 Safe Harbor FAQ, http://export.gov/faq/index.asp. 6 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0
412
Hartung/Storm
V. Grenzberschreitender Datenverkehr
Rz. 244
Teil 4
Hinzu gekommen ist angesichts der Berichte über die umfassenden 241 Überwachungsmaßnahmen ausländischer Geheimdienste eine Stellungnahme der Datenschutzbeauftragten des Bundes und der Länder vom 24. Juli 2013, nach der die in der Safe Harbor-Vereinbarung enthaltene Ausnahme für den Zugriff auf personenbezogene Daten durch nationale Behörden der USA überschritten worden sei. Weil sich diese Datenweitergabe nicht im Rahmen des Erforderlichen halte und exzessiv sei, werden die deutschen Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für Datenübermittlungen in Drittstaaten zur Nutzung von Cloud-Diensten erteilen und prüfen, ob solche Datenübermittlungen auszusetzen sind1. Insofern ist sorgfältig zu prüfen, ob die jeweils zuständige Aufsichtsbehörde ein komplettes Cloud Computing-Vorhaben untersagt. 5. Besonderheiten bei Verwendung des EU-Standardvertrags für Auftragsverarbeiter Für die Praxis besonders bedeutsam sind die Standardvertragsklauseln 242 für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG vom 5.2.20102. Auch hier ist zu beachten, dass die deutschen Aufsichtsbehörden vor dem Hintergrund der Berichte über die Übermittlungen von personenbezogenen Daten an Geheimdienste in den USA angekündigt haben, den Gebrauch von Standardvertragsklauseln im Verhältnis zu den USA wegen des nicht erforderlichen und exzessiven Gebrauchs der darin enthaltenen Ausnahmen auszusetzen. a) Die Stellung der Beteiligten Die Grundkonstellation eines Abnehmers in der EU und eines Anbieters 243 in einem Drittland ist dabei unstreitig: Der Abnehmer ist als verantwortliche Stelle Datenexporteur, der Anbieter hingegen Datenimporteur, sofern er in einem Drittstaat ansässig ist3. Schwieriger zu beurteilen sind Konstellationen, in denen mehrere Anbie- 244 ter bzw. Subunternehmer existieren und diese entweder alle in einem v. 26.9.2011, Ziff. 3.4.2 (S. 12). So auch die Empfehlung nach europäischem Recht: Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.5.1 (S. 21). 1 http://www.bfdi.bund.de/DE/Home/homepage_Kurzmeldungen2013/PMDerDSK _SafeHarbor.html?nn=408908. 2 S. hierzu die Entscheidungen der EU-Kommission: http://ec.europa.eu/justice/po licies/privacy/thridcountries/index_en.htm. Zur Auslegung und Umsetzung dieser Entscheidung s. die FAQs in WP 176 der Artikel 29-Gruppe: http://ec.euro pa.eu/justice/policies/privacy/workinggroup/wpdocs/2010_en.htm. 3 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.4.2 (S. 10). Hartung/Storm
413
Teil 4
Rz. 245
Datenschutz
Drittland oder teilweise im EWR und teilweise in einem Drittland ansässig sind. Die deutschen Aufsichtsbehörden haben in einer Arbeitshilfe des Düsseldorfer Kreises1 einige solcher Szenarien analysiert. Im Ergebnis fordern sie, dass der ursprüngliche Abnehmer als verantwortliche Stelle immer (auch) Vertragspartei des Standardvertrages werden muss, auf den eine Datenübermittlung in ein Drittland gestützt wird2. Somit muss, z.T. abweichend von der zivilrechtlichen Kette von Verträgen, der Auftraggeber bei einem solchen Drittlandtransfer unmittelbar mit einem Subunternehmer einen Standardvertrag abschließen3. Ausnahmen hiervon gibt es durch den neuen EU-Standardvertrag. b) Subunternehmer und deren Stellung nach dem EU-Standardvertrag 245
Der neue EU-Standardvertrag vom 5.2.2010 brachte gegenüber dem bis dahin gültigen EU-Standardvertrag einen erheblichen Vorteil, weil eine „Unter-Auftragsdatenverarbeitung“ über die Klausel 11 unmittelbar berücksichtigt wurde. Wesentliche Anforderung ist dabei, dass zwischen dem Anbieter und seinen Subunternehmern vergleichbare Verträge abgeschlossen werden4.
246
Die deutschen Aufsichtsbehörden erkennen diesen Fall, dass sowohl der Anbieter als auch sein Subunternehmer im Drittland sitzen, als zulässig an5.
247
Für Fallgruppen, die nicht unmittelbar von diesem EU-Standardvertrag abgedeckt sind, hat die Art. 29-Datenschutzgruppe eine weitere Stellung-
1 Fallgruppen zur internationalen Auftragsdatenverarbeitung, Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung v. 28.5.2007, http://www.daten schutz-berlin.de/attachments/456/HandreichungApril2007.pdf?1208354740. 2 Fallgruppen zur internationalen Auftragsdatenverarbeitung, Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung v. 28.5.2007, Fallgruppe B, S. 4 f., http://www.datenschutz-berlin.de/attachments/456/HandreichungApril 2007.pdf?1208354740. 3 Fallgruppen zur internationalen Auftragsdatenverarbeitung, Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung v. 28.5.2007, Fallgruppe B, S. 4 f., http://www.datenschutz-berlin.de/attachments/456/HandreichungApril 2007.pdf?1208354740. 4 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.5.3 (S. 19); Thalhofer, CCZ 2011, 222 (224). 5 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.4.2 (S. 10): „Gibt der im Drittstaat ansässige Cloud-Anbieter Daten an einen Unter-Anbieter, der ebenfalls seinen Sitz im außereuropäischen Raum hat, so wird Ersterer als Übermittler mitverantwortlich für die Rechtmäßigkeit der Datenübermittlung und -verarbeitung. Gleichwohl verbleibt eine Verantwortlichkeit des Cloud-Anwenders. Der Cloud-Anwender bleibt in jedem Fall haftungsrechtlich für sämtliche Schäden verantwortlich, die der Cloud-Anbieter oder Unter-Anbieter den Betroffenen zufügen.“
414
Hartung/Storm
V. Grenzberschreitender Datenverkehr
Rz. 249
Teil 4
nahme erlassen1. Die EU-Standardklauseln sollen nicht unmittelbar anwendbar sein, wenn der Anbieter selbst im EWR sitzt und nur einer oder mehrere seiner Subunternehmer in einem Drittland sitzen2. Daher könne man nicht für beide Übermittlungsschritte (Haupt-Auftragsdatenverarbeitung in der EU und Unter-Auftragsdatenverarbeitung in einem Drittland) denselben Vertrag verwenden (insbesondere weil die Bezeichnung als Datenimporteur und Datenexporteur für eine innerhalb Europas stattfindende Auftragsdatenverarbeitung nicht korrekt ist). Dies führt zu dem sehr unbefriedigendem Ergebnis, dass vom Abnehmer sowohl ein Vertrag über eine Auftragsdatenverarbeitung nach § 11 BDSG mit dem im EWR sitzenden Anbieter, als auch ein EU-Standardvertrag mit den im Drittland sitzenden Subunternehmern abgeschlossen werden müsste. c) Zusätzliche Vereinbarungen/Auftragsdatenverarbeitungsvertrag Umstritten ist, ob zusätzlich zum EU-Standardvertrag weitere Verein- 248 barungen nach § 11 Abs. 2 BDSG notwendig sind, um die Anforderungen der ersten Prüfungsstufe zu erfüllen. Der EU-Standardvertrag muss zwar unverändert übernommen werden (weil sonst eine Genehmigung der Aufsichtsbehörden notwendig ist), aber ergänzende, dem Datenschutz dienende zusätzliche Vereinbarungen sind zulässig3. Für den Fall, dass solche zusätzlichen Regelungen denjenigen des Standardvertrages widersprechen, ist den Bestimmungen des EU-Standardvertrags der Vorrang einzuräumen. Die deutschen Aufsichtsbehörden vertreten die Ansicht, dass in den 249 Standardvertragsklauseln nicht alle nach § 11 Abs. 2 BDSG notwendigen Regelungen abgebildet sind und daher zumindest ergänzende Regelungen notwendig sind, um den Anforderungen von § 11 Abs. 2 BDSG zu genügen4. Die vom Datenschutzbeauftragten des Landes Hessen veröffent1 Art. 29-Datenschutzgruppe, Häufig gestellte Fragen zu bestimmten Aspekten im Zusammenhang mit dem Inkrafttreten des Beschlusses 2010/87/EU der Kommission v. 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG v. 12.7.2010 (00070/2010/DE – WP 176). 2 Der Anwendungsbereich der Regelungen der neuen EU-Standardvertragsklauseln v. 5.2.2010 erfasst den Fall, dass sich ein in der EU ansässiger Auftragnehmer eines Unterauftragnehmers in einem Drittland bedient, nicht unmittelbar. Die EU-Kommission hat es den Mitgliedstaaten aber freigestellt, die Untervergabe eines Auftrags in einem solchen Fall unter den gleichen Voraussetzungen zuzulassen. Von den deutschen Aufsichtsbehörden wurde diesbezüglich der Abschluss eines eigenen Standardvertrages zwischen Auftraggeber, vertreten durch den Auftragnehmer, und Unterauftragnehmer verlangt. Der Abschluss eines Vertrages allein zwischen Auftragnehmer und Unterauftragnehmer wurde dagegen nicht als ausreichend angesehen. Gabel in Taeger/Gabel, BDSG, § 4c Rz. 26. 3 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.5.3 (S. 23). 4 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 Hartung/Storm
415
Teil 4
Rz. 250
Datenschutz
lichte Synopse1, welche Anforderungen von § 11 BDSG bei der Verwendung eines EU-Standardvertrages ergänzend berücksichtigt werden sollen, enthält folgende Empfehlungen: Gegenstand und Dauer des Auftrags sowie Umfang, Art und Zweck der Datenverarbeitung, die Arten der Daten und der Kreis der Betroffenen sollen, wie dort vorgesehen, in Anhang 1 des Standardvertrags ergänzt werden. In Anhang 2 des Standardvertrags sind wie dort ebenfalls vorgesehen, die technisch-organisatorischen Maßnahmen aufzunehmen sowie die bestehenden Kontrollpflichten. Als zusätzliche Anforderungen, die in diesen Anhängen nicht vorgesehen sind, werden empfohlen: eine ausdrückliche Regelung über Berichtigung, Löschung und Sperrung von Daten, den Umfang der Weisungsbefugnisse, die sich der Auftraggeber vorbehält, eine Präzisierung der Rückgabe- und Löschungsverpflichtungen und schließlich die Regelung von konkreten Unteraufträgen, sofern diese von vornherein beabsichtigt sind. Zumindest bei der Art und Weise der Umsetzung sind die Aufsichtsbehörden flexibel: „Dies kann durch Regelungen in den Anlagen zum Standardvertrag und/oder ergänzende geschäftsbezogene Klauseln oder durch separate vertragliche Regelungen erfolgen, die nicht inhaltlich von den Standardvertragsklauseln abweichen“2. 6. Besondere Arten personenbezogener Daten 250
Die deutschen Aufsichtsbehörden haben in der Orientierungshilfe auf ein Problem hingewiesen, das sich auf der ersten Stufe der Zulässigkeitsprüfung einer Datenübermittlung ins Drittland ergibt3. Es ist umstritten, ob im Bereich der Auftragsdatenverarbeitung die zuvor dargestellte Fiktion nach § 3 Abs. 8 BDSG, dass der Auftragsverarbeiter kein Dritter i.S.d. Datenschutzrechts ist, für einen Auftragnehmer in einem Drittland gilt4. Auslöser des Streits ist der Wortlaut von § 3 Abs. 4 Nr. 3 BDSG i.V.m. § 3 Abs. 8 Satz 3 BDSG, nach dem diese Fiktion nur für im Geltungsbereich der EU-Richtlinie ansässige Auftragsdatenverarbeiter gelten soll. Damit wäre die Datenweitergabe an eine Stelle im Drittland eine Übermittlung
1 2 3 4
v. 26.9.2011, Ziff. 3.4.2 (S. 11); dazu kritisch Schröder/Haag, ZD 2011, 147 (150); vgl. auch Funke/Wittmann, ZD 2013, 221 (227). Abgleich der Vorgaben des neuen § 11 BDSG mit denen der neuen und alten EUStandardvertragsklauseln/Auftragsdatenverarbeitung, Download über: http:// www.datenschutz.hessen.de/ft-auftragsdatenverarbeit.htm. Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.4.2 (S. 11). Vgl. auch Art. 29. Working Party, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 4 (S. 24). Dagegen: Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.4.2 (S. 11). Für eine analoge Anwendung: Nielen/ Thum, K&R 2006, 171 (174); Rather, DuD 2005, 461 ff. Zweifelnd Giesen, CR 2007, 543 (545). Dagegen: Gola/Schomerus, BDSG, § 11 Rz. 16; Heidrich/Wegener, MMR 2010, 803 (805); Kramer/Hermann, CR 2003, 938 ff.; Walz in Simitis, BDSG, § 11 Rz. 16.
416
Hartung/Storm
V. Grenzberschreitender Datenverkehr
Rz. 253
Teil 4
personenbezogener Daten an einen Dritten, die einer gesetzlichen Ermächtigungsgrundlage bedarf1. Nach Ansicht der Aufsichtsbehörden kommt man bei Abschluss eines 251 Vertrages nach § 11 BDSG über den Erlaubnistatbestand des berechtigten Interesses nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG in den meisten Praxisfällen dennoch zum gleichen Ergebnis wie bei einem Inlandssachverhalt: „Wenn der Datenexporteur mit dem Datenimporteur einen Vertrag mit Festlegungen entsprechend § 11 Abs. 2 BDSG geschlossen hat, kann dies dazu führen, dass die Datenübermittlung aufgrund der Interessenabwägung gerechtfertigt ist“2. Bei besonderen Arten personenbezogener Daten i.S.d. § 3 Abs. 9 BDSG 252 kann man dieses Privileg des § 11 BDSG nicht in Anspruch nehmen. Hier sind § 28 Abs. 1 Nr. 2 bzw. Abs. 2 Nr. 2a BDSG nämlich nicht anwendbar (§ 28 Abs. 8 BDSG). Dies hätte nach Ansicht der deutschen Aufsichtsbehörden zur Folge, dass eine Verwendung z.B. von Gesundheitsdaten in einem Drittland ohne Einwilligung der Betroffenen trotz einer Vereinbarung über eine Auftragsdatenverarbeitung unzulässig wäre, wenn die besonderen Tatbestände des § 28 Abs. 6–9 BDSG (wie regelmäßig der Fall) nicht erfüllt sind3. Allerdings sprechen gute Argumente dafür, dass diese Beschränkung des 253 § 3 Abs. 8 Satz 3 BDSG europarechtswidrig ist. Art. 17 der Richtlinie 95/46/EG enthält keine derartige Beschränkung auf europäische Auftragsdatenverarbeiter. Diese Einschränkung widerspricht dem sowohl in der EU-Richtlinie als auch im BDSG geltenden Grundsatz der zweistufigen Prüfung bei Auslandssachverhalten: Auf der ersten Stufe, worunter die Prüfung einer Zulässigkeit nach § 11 BDSG bzw. § 28 BDSG fällt, ist lediglich zu prüfen, ob eine Übermittlung bzw. Weitergabe von personenbezogenen Daten an einen Auftragsdatenverarbeiter überhaupt zulässig ist. Auf der zweiten Stufe ist dann zu beurteilen, ob in dem Drittland oder beim Empfänger selbst ausreichende Schutzvorkehrungen getroffen sind, wenn es sich nicht um ein Land im Geltungsbereich der EU-Richtlinie handelt. Dies wird durch Art. 25, 26 Richtlinie 95/46/EG bzw. §§ 4b, 4c BDSG exklusiv geregelt. Eine Einschränkung von Drittlandtransfers in Bezug auf besondere Daten, wie sie effektiv durch § 3 Abs. 8 Satz 3 BDSG begründet wird, ist danach jedoch nicht vorgesehen4. Dies 1 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.4.2 (S. 11). 2 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.4.2 (S. 11). 3 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.4.2 (S. 11); dazu auch Schröder/Haag, ZD 2011, 147 (150). 4 So insbesondere Erd, DuD 2011, 275 (276); Wybitul/Patzak, RDV 2011, 11 (12). Diese Problematik verkennen etwa Scholl/Lutz, CR 2011, 424 (426), welche sich Hartung/Storm
417
Teil 4
Rz. 254
Datenschutz
sieht auch der Bundesrat so, jedenfalls im Hinblick auf diejenigen Drittstaaten, bei denen die Europäische Kommission ein ausreichendes Schutzniveau verbindlich festgestellt hat (insbesondere die Schweiz)1. Allerdings sind diese Argumente bislang nicht allgemein anerkannt; die Aufsichtsbehörden stützen sich ausschließlich auf den Gesetzeswortlaut. 254
Alternativ sollte der Abnehmer unter Berücksichtigung der jeweiligen Umstände des Einzelfalls erwägen, ob andere Maßnahmen ergriffen werden können, um besondere Arten personenbezogener Daten im Rahmen des Cloud Computing zu verarbeiten. (1) Bei einer rein europäischen Cloud würde sich das Problem nicht stellen, weil innerhalb des EWR die Fiktionswirkung des § 3 Abs. 8 BDSG greift (vorstehend Rz. 250). (2) Im Übrigen sollte der Abnehmer zunächst prüfen, ob sich die Verwendung besonderer Arten personenbezogener Daten durch technische Maßnahmen bzw. Geschäftsanweisungen etc. vermeiden lässt (was bei einigen Systemen, z.B. im Bereich HR, aber nicht umsetzbar sein dürfte). (3) Anschließend sollte er prüfen, ob es möglich ist, kritische Inhalte derart zu verschlüsseln, dass der Anbieter keinen Zugriff auf besondere Arten personenbezogener Daten hat. Dann könnte man ggf. argumentieren, dass bei Anwendung eines relativen Begriffs der Bestimmbarkeit die Daten nicht personenbezogen sind und daher das BDSG nicht anwendbar ist (vgl. aber oben Rz. 25 ff.). Eine Verschlüsselung ist zu prüfen, aber es wird häufig – insbesondere bei SaaS – einzelne Verarbeitungsschritte geben, bei denen die Informationen auf den Rechnern des Anbieters unverschlüsselt vorliegen müssen2. (4) Der Abnehmer sollte ferner prüfen, ob eine Einwilligung der Betroffenen als Rechtfertigungsgrundlage in Betracht kommt (vgl. oben Rz. 60 ff.). (5) Schließlich sollte er prüfen, ob eine Betriebsvereinbarung ggf. mitbestimmungsrechtlich ohnehin notwendig ist und man die Zulässigkeit der Verarbeitung besonderer Arten personenbezogener Daten ausdrücklich darin vorsehen kann, ggf. in Kombination mit weiteren oben genannten Maßnahmen. Ob damit aber wirksam eine Ermächtigung begründet werden kann, ist strittig3. (6) Im Rahmen der grundsätzlichen Behandlung von Auftragsdatenverarbeitungen und Funktionsübertragungen im Konzern haben die deutschen Datenschutzbehörden anerkannt, dass bei der Funktionsübertragung von HR-Aufgaben besondere Arten personenbezogener Daten übertragen wernur mit der Problematik der Parallelität eines Vertrages nach § 11 BDSG und des EU-Standardvertrags beschäftigen, diesen Aspekt jedoch nicht ansprechen. 1 Stellungnahme des Bundesrats v. 5.11.2010 zum „Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes“, BR-Drucks. 535/10, S. 6. 2 Stiemerling/Hartung, CR 2012, 60 (61 f.). Da Daten in verschlüsseltem Zustand (noch) nicht verarbeitet werden können, besteht jedenfalls bei zu verarbeitenden Daten immer eine Phase, in der sie im Klartext vorliegen. 3 Sokol in Simitis, BDSG, § 4 Rz. 16 f.; Schaffland/Wiltfang, BDSG, § 4 Rz. 3. Auch der Entwurf zum Beschäftigtendatenschutzgesetz sah im Grunde vor, dass durch Betriebsvereinbarung das Datenschutzniveau des BDSG nicht wesentlich unterschritten werden kann: BT-Drucks. 17/4230 v. 15.12.2010.
418
Hartung/Storm
V. Grenzberschreitender Datenverkehr
Rz. 256
Teil 4
den dürfen. Begründet wurde dies durch eine „Annex-Kompetenz“ zu einem sonst gegebenen Erlaubnistatbestand für die anderen personenbezogenen Daten1. Diese Ansicht wurde jedoch nicht weiter bestätigt und entspricht nicht dem gesetzlichen Wortlaut. Somit gibt es beim Cloud Computing (wie auch bei anderen Formen ei- 255 ner Auslagerung) ganz erhebliche rechtliche Hürden für die Verarbeitung besonderer Arten von personenbezogenen Daten in Drittländern. Sofern keine der zuvor genannten Maßnahmen getroffen werden kann, ist die Übermittlung dieser Daten bereits auf der ersten Prüfungsstufe unzulässig. Dies wurde von deutschen Aufsichtsbehörden in konkreten Fallprüfungen vertreten und betrifft auch an und für sich unkritische Anwendungen wie die Verlagerung von E-Mail-Systemen, wenn (wie häufig) nicht ausgeschlossen werden kann, dass in E-Mails derartige Daten enthalten sind. 7. Zugriffsmöglichkeiten Dritter In der öffentlichen Diskussion über die generelle Zulässigkeit des 256 Cloud Computing wurde insbesondere die Zulässigkeit der Beauftragung eines Anbieters in Ländern angezweifelt, in denen Sicherheitsbehörden in erheblichem Umfang Zugang zu in ihrem Hoheitsbereich gespeicherten Daten erlangen können2. In diesem Zusammenhang wurde vor allem der US-Patriot-Act angesprochen3. Diese Ansicht ist in dieser Allgemeinheit jedoch nicht haltbar. Viel zu pauschal werden hier Befugnisse von Sicherheitsbehörden demokratisch legitimierter Staaten als zu weitgehend unterstellt. Unberücksichtigt bleibt dabei, dass viele Europäische Länder, etwa Großbritannien, in mindestens gleichem Umfang Zugangsbefugnisse ihrer Ermittlungsbehörden vorsehen. So ist die Möglichkeit eines Zugriffs von Sicherheitsbehörden in keiner der Stellungnahmen der Aufsichtsbehörden zum Cloud Computing als grundsätzliches Zulässigkeitsproblem angesehen worden4. Im Gegenteil, die Übertragung der Daten auf eine Cloud in einem solchen Land wurde als im Grundsatz zulässig erachtet5. Jedenfalls, sofern die Voraussetzungen der §§ 4b, 4c BDSG erfüllt sind6.
1 Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“, August 2007, Ziffer 6.2 (S. 12) u.V.a. Ziffer 3.3 (S. 10). 2 Allgemein: Weichert, DuD 2010, 679 (684). 3 Barnitzke, MMR-Aktuell 2011, 321103; Spies, MMR 2009, XI; Böken, Patriot Act und Cloud Computing, http://www.heise.de/ix/artikel/Zugriff-auf-Zuruf1394430.html. 4 Vgl. Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 4.1 (S. 21); Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, S. 10 ff. 5 Ausführlich zur Zulässigkeit: Schuppert/von Reden, ZD 2013, 210. 6 Schröder/Haag, ZD 2011, 147 (150). Hartung/Storm
419
Teil 4
Rz. 257
Datenschutz
257
Für praktische Lösungen in diesem Zusammenhang geben die europäischen Aufsichtsbehörden eine sehr instruktive und sinnvolle Anleitung1. Danach soll der Anbieter vertraglich darauf verpflichtet werden, Daten an Dritte einschließlich der Sicherheitsbehörden seines Landes nur dann herauszugeben, wenn tatsächlich eine Rechtspflicht hierzu besteht, nicht jedoch, wenn die Herausgabe in seinem Ermessen liegt2. Ferner soll der Abnehmer sobald wie möglich über eine Herausgabe informiert werden, es sei denn, dies verstößt gegen das anwendbare Recht (etwa weil dieses eine Geheimhaltungspflicht auferlegt)3. Dies scheint grundsätzlich eine angemessene Vorgabe zu sein, bei deren Beachtung nichts gegen die grundsätzliche Zulässigkeit eines drittländischen Cloud-Angebots spricht. Nur im Hinblick auf öffentliche Stellen raten die Aufsichtsbehörden vom Cloud Computing im Drittausland ab4. Für die Zukunft haben die Aufsichtsbehörden völkerrechtliche Vereinbarungen zum Schutz der personenbezogenen Daten gefordert5.
258
Die Zulässigkeit der Nutzung von Cloud-Angeboten im Drittausland ist von der Frage zu unterscheiden, ob Sicherheitsbehörden von Drittländern auf Cloud-Daten in Europa zugreifen dürfen. Auch dieses Szenario ist in den letzten Jahren wiederholt Diskussionsthema geworden6, mit dem US-Patriot-Act als Mittelpunkt des Interesses. Angenommen wurde, dass US-amerikanische Behörden aufgrund eben dieses Patriot-Acts auf Daten auf europäischen Servern zugreifen dürfen, solange diese sich im Besitz einer Gesellschaft befinden, die in irgendeiner Weise mit einer US-amerikanischen Gesellschaft verbunden ist. Zwar gelten US-Gesetze aufgrund der Gebiets- und Personalhoheit nur für das US-Territorium sowie die US-Staatsan- und -zugehörige und nicht unmittelbar für Daten auf europäischen Servern und Unternehmen mit Sitz in Europa7. Die USA
1 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.2 (S. 16), Ziff. 4.1 (S. 26). 2 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 4.1 (S. 26). 3 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.2 (S. 17), Ziff. 4.1 (S. 26). 4 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 4.3 (S. 28 f.). 5 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 4.3 (S. 28). 6 Ausführlich zu diesem Thema: Becker/Nikolaeva, CR 2012, 170; vgl. auch Barnitzke, MMR-Aktuell 2011, 321103; Spies, MMR 2009, XI; Böken, Patriot Act und Cloud Computing, http://www.heise.de/ix/artikel/Zugriff-auf-Zuruf1394430.html; Opfermann, Datenschutzkonforme Vertragsgestaltung im Cloud Computing, S. 148 f.; zum Zugriff auf allgemein zugängliche Daten bzw. Zugriff mit Zustimmung des Berechtigten und zu diesbezüglichen Regelungen der Convention on Cybercrime: Süptitz/Utz/Eymann, DuD 2013, 307 (311). 7 Becker/Nikolaeva, CR 2012, 170 (171 f.); Barnitzke, MMR-Aktuell 2011, 321103; Süptitz/Utz/Eymann, DuD 2013, 307 (311 f. mit Verweis auf Nr. 121 Abs. 1 RiVASt für das deutsche Recht).
420
Hartung/Storm
V. Grenzberschreitender Datenverkehr
Rz. 259
Teil 4
haben dennoch Regelungen für US-amerikanische Gesellschaften erlassen, die diese verpflichten, ihnen zugängliche Daten herauszugeben, gleichgültig, wo und bei wem diese gespeichert sind1. So kann eine USMuttergesellschaft verpflichtet werden, auf ihre europäische Tochter einzuwirken und die Datenherausgabe zu erzwingen2. Die US-Tochter kann verpflichtet werden, die Datenherausgabe bei ihrer europäischen Mutter zu erfragen3. Etwaige Kollisionen mit europäischem Recht sind für die Verbindlichkeit solcher Regelungen für US-Gesellschaften aus Sicht des US-Rechts grundsätzlich irrelevant4. Nach US-amerikanischem Recht5 dürfen amerikanische Behörden (namentlich FBI) tatsächlich gerichtliche Anordnungen erwirken oder selbst Anordnungen (National Security Letters) erlassen, die US-Gesellschaften zu umfassender Datenherausgabe verpflichten. Sie dürfen auch Schweigeverpflichtungen („gag orders“6) gegenüber den amerikanischen Gesellschaften aussprechen. Ob die europäischen Gesellschaften, mit einer Anfrage ihrer amerikanischen Mutter oder Tochter konfrontiert, die bei ihnen gespeicherten, von der amerikanischen Gesellschaft begehrten Daten tatsächlich herausgeben dürfen, ist zweifelhaft7. Die Datenherausgabe an eine amerikanische Gesellschaft zum Zwecke der Weiterleitung an die US-Behörden ist mit § 28 i.V.m. §§ 4b, 4c BDSG nicht vereinbar8. Entscheidende Gefahrenquelle im Hinblick auf einen Datenschutz- 259 rechtsverstoß innerhalb eines teilamerikanischen Konzerns ist somit weniger die Rechtslage, sondern der wirtschaftliche bzw. der rein tatsächliche Druck auf die europäischen Gesellschaften und ihre leitenden Organe9. Für dieses Problem kann nur eine politische Lösung10 auf Dauer
1 2 3 4 5 6 7
8 9 10
Becker/Nikolaeva, CR 2012, 170 (171 f., 174 f.). Becker/Nikolaeva, CR 2012, 170 (175). Becker/Nikolaeva, CR 2012, 170 (175). Ausnahmen bestehen im Rahmen des amerikanischen Richterrechts (Restatement (Third) of Foreign Relations): vgl. Becker/Nikolaeva, CR 2012, 170 (172, 175 m.w.N.). Ausführlich auch zu den einschlägigen Rechtsgrundlagen im US-Code: Becker/ Nikolaeva, CR 2012, 170 ff.; allgemein zur US-Rechtslage auch: Schuppert/von Reden, ZD 2013, 210 (216 f.). Becker/Nikolaeva, CR 2012, 170 (171 m.w.N.). Zur Rechtslage nach dem BDSG und zur konkreten Situation der Anbieter in verschiedenen rechtlichen Konstellationen: Becker/Nikolaeva, CR 2012, 170 (172 ff., 174 ff.); vgl. auch Barnitzke, MMR-Aktuell 2011, 321103; Wagner/Blaufuß, BB 2012, 1751 (1752). Becker/Nikolaeva, CR 2012, 170 (174). Ausführlich: Becker/Nikolaeva, CR 2012, 170 (174 f.); Barnitzke, MMR-Aktuell 2011, 321103; vgl. auch Plath in Plath, BDSG, § 11 Rz. 54 a.E. Zur Modernisierung des Datenschutzrechts und Schaffung internationaler Konzepte: Schaar/Onstein, BRJ 2011, 126 (131); zu Verhandlungen zwischen EU und USA: http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/609 &format=HTML&aged=0&language=DE&guiLanguage=en. Hartung/Storm
421
Teil 4
Rz. 260
Datenschutz
Abhilfe schaffen. Bis dahin sind Lösungen ausschließlich auf der wirtschaftlich-strategischen1 bzw. technischen2 Ebene zu suchen.
VI. Betroffenenrechte und Konsequenzen bei Verstößen 260
Die Betroffenenrechte sind zwingend und nach § 6 Abs. 1 BDSG nicht abdingbar. Bei Nichteinhaltung der Datenschutzbestimmungen drohen der verantwortlichen Stelle neben Informationspflichten gegenüber Aufsichtsbehörden und Betroffenen auch Anordnungen (nach § 38 Abs. 5 BDSG) der Aufsichtsbehörden, haftungsrechtliche Konsequenzen gegenüber den Betroffenen (Schadensersatz oder Unterlassung) sowie Bußgelder oder Straftaten3. 1. Betroffenenrechte
261
Die im BDSG sowie TMG bzw. TKG enthaltenen Rechte der Betroffenen4 beinhalten die proaktive Benachrichtigung bzw. Information, Auskunftsrechte sowie Rechte auf Berichtigung, Löschung und Sperrung von Daten (Meldepflichten bei Verstößen und Unterlassungs- sowie Schadensersatzansprüche werden nachfolgend gesondert dargestellt). Verantwortlich für die Einhaltung bleibt bei einer Auftragsdatenverarbeitung der Abnehmer als verantwortliche Stelle, die nach Ansicht der Aufsichtsbehörden wegen des eingeschränkten Zugriffs auf die Infrastruktur des Anbieters zur Umsetzung vertragsstrafenbewehrte Weisungsrechte, auch gegenüber Subunternehmern, vereinbaren sollte5. In anderen Fällen, wenn der Anbieter selbst verantwortliche Stelle bleibt, insbesondere bei B2C-Angeboten, hat der Anbieter unmittelbar für die Beachtung der Betroffenenrechte zu sorgen. a) Information/Benachrichtigung des Betroffenen
262
Anlassunabhängig und proaktiv muss die verantwortliche Stelle den Betroffenen über eine Datenverarbeitung informieren. Relevante Normen 1 Z.B. Differenzierung nach der Art und Sensibilität der Daten: Becker/Nikolaeva, CR 2012, 170 (175 f.). 2 Z.B. Verschlüsselung durch den Nutzer: Barnitzke, MMR-Aktuell 2011, 321103; „Privacy by Design“, „Privacy by Default“: Schaar/Onstein, BRJ 2011, 126 (131 f.); geschlossene Systeme: Schultze-Melling, ITRB 2011, 239 (240); s. auch: Böken, Patriot Act und Cloud Computing, http://www.heise.de/ix/artikel/Zu griff-auf-Zuruf-1394430.html. 3 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, S. 5. 4 Zum europarechtlichem Hintergrund vgl. Blume, CRi 2011, 76 (79 f.). 5 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, Ziff. 3.2 (S. 9).
422
Hartung/Storm
VI. Betroffenenrechte und Konsequenzen bei Verstçßen
Rz. 264
Teil 4
sind dabei § 4 BDSG für die Erhebung personenbezogener Daten beim Betroffenen sowie § 33 BDSG für die erstmalige Speicherung personenbezogener Daten ohne Kenntnis des Betroffenen1. Hinzu kommen spezifische Informationspflichten, etwa nach § 28 Abs. 4 BDSG für Werbung und Markt- oder Meinungsforschung oder § 13 Abs. 1 TMG und § 93 TKG. Generell muss über die Art der Daten, Art der Datenverarbeitung, Zweckbestimmung, Identität der verantwortlichen Stelle, Kategorien von Empfängern (soweit der Betroffene nach den Umständen des Einzelfalles nicht mit einer Übermittlung an diese rechnen muss) sowie über die Verarbeitung der Daten in Staaten außerhalb des EWR (ausdrücklich genannt in § 13 Abs. 1 TMG) unterrichtet werden. Hinzu kommen verschiedene spezifische Elemente, die sich aus den Umständen oder der konkreten Zweckbestimmung einer Datenverarbeitung geben, jedoch nicht von genereller Relevanz für das Cloud Computing sind. Für das Cloud Computing ist insbesondere die Information über Katego- 263 rien der Empfänger und über eine Übermittlung in Drittländer zu beachten. Ist der Abnehmer verantwortliche Stelle, stellt sich die Frage, ob über die Tatsache der Cloud-Nutzung und die Person des Anbieters informiert werden muss. Dabei verwendet der Wortlaut von § 4 Abs. 3 Nr. 3 BDSG den Begriff „Empfänger“, der nach § 3 Abs. 8 Satz 1 BDSG jede Person oder Stelle, die Daten erhält, umfasst2. Damit wäre ein Auftragsdatenverarbeiter Empfänger in diesem Sinn und es wäre über den Anbieter als Auftragsdatenverarbeiter zu informieren3. Normalerweise müssen Informationen hinreichend konkret sein. Der Gesetzeswortlaut des § 4 Abs. 3 BDSG stellt aber selbst auf „Kategorien von Empfängern“ ab. Vor diesem Hintergrund könnte es zulässig sein, lediglich in genereller Weise auf die Tatsache der Cloud-Nutzung und die möglichen Anbieter zu verweisen4. Während die europäischen Aufsichtsbehörden eine Information über die Tatsache der Cloud-Nutzung und der Auftragsdatenverarbeitung verlangen, bleibt offen, ob dabei die Namen der Auftragsdatenverarbeiter und deren Subunternehmer genannt werden müssen5. Für die Praxis können Ausnahmetatbestände von der Benachrichtigungs- 264 pflicht wichtig werden. Insofern sind die in § 33 Abs. 2 BDSG genannten 1 Gola/Schomerus, BDSG, § 4 Rz. 17, § 33 Rz. 10; Sokol in Simitis, BDSG, § 4 Rz. 38; Meents in Taeger/Gabel, BDSG, § 33 Rz. 5; Däubler/Klebe/Wedde/Weichert, BDSG, § 4 Rz. 11. 2 Gola/Schomerus, BDSG, § 3 Rz. 51; Dix in Simitis, BDSG, § 33 Rz. 33; Meents in Taeger/Gabel, BDSG, § 34 Rz. 21; Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, § 3 Rz. 64; teils werden selbst Organisationseinheiten innerhalb einer verantwortlichen Stelle zu den Empfängern gezählt, Buchner in Taeger/Gabel, BDSG, § 3 Rz. 55. 3 Vgl. Gola/Schomerus, BDSG, § 4 Rz. 33; Sokol in Simitis, BDSG, § 4 Rz. 43; Dix in Simitis, BDSG, § 33 Rz. 33; Meents in Taeger/Gabel, BDSG, § 34 Rz. 21; Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, § 3 Rz. 64. 4 A.A. Meents in Taeger/Gabel (Hrsg.), BDSG, § 34 Rz. 22. 5 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.1.1 (S. 13 f.), Ziff. 4.1 (S. 24). Hartung/Storm
423
Teil 4
Rz. 265
Datenschutz
Ausnahmefälle zu prüfen. Aus der Cloud-Nutzung als solcher resultierende Gründe sind dabei nicht ersichtlich1. Vielmehr muss man auf den eigentlichen Zweck der Datenverarbeitung abstellen und hieraus Ausnahmen herleiten (und dann nach § 33 Abs. 2 Satz 2 BDSG schriftlich festlegen). b) Auskunftsrecht 265
Das Auskunftsrecht der Betroffenen ist in § 34 BDSG geregelt. § 34 Abs. 1 enthält den Normalfall. Inhaltlich muss die Auskunft nach § 34 Abs. 1 BDSG die im Einzelnen über den Betroffenen gespeicherten Daten und deren Herkunft, den Empfänger oder die Kategorien von Empfängern sowie den Zweck der Speicherung umfassen. Wiederum muss über den Anbieter informiert werden, wenn der Abnehmer verantwortliche Stelle ist (Definition des Empfängers nach § 3 Abs. 8 Satz 1 BDSG)2. Für Spezialfälle wie den Adresshandel, Werbung usw. enthalten § 34 Abs. 1a, Abs. 2, Abs. 3, Abs. 4 BDSG spezifische Auskunftspflichten3.
266
Eine Auskunftserteilung muss nach § 34 Abs. 6 BDSG in Textform erfolgen und darf nur ausnahmsweise bei besonderer Begründung in einer anderen angemessenen Form erteilt werden. Die Auskunft ist nach § 34 Abs. 8 jedenfalls dann unentgeltlich zu erteilen, wenn der Betroffene die Auskunft nicht für kommerzielle Zwecke verlangt4. Dezidierte Zeitvorgaben für die Auskunftserteilung sind nicht vorgesehen5. In jüngerer Zeit gab es ferner Auseinandersetzungen darüber, was die Auskunft enthalten muss. Etwa beim Auskunftsbegehren von einem Telekommunikationsanbieter über die nach der Vorratsdatenspeicherung erfassten Daten oder im Fall der österreichischen Jurastudenten gegen Facebook wurde aber entschieden, dass grundsätzlich sämtliche gespeicherten Daten zu übermitteln sind, selbst wenn diese sehr umfangreich sind6.
267
Zukünftig soll es genauere Vorgaben für die Art und Weise der Information geben. Art. 11 (2) des Entwurfs der Datenschutz-Grundverordnung enthält Anforderungen an eine klare, transparente und angemessene Sprache vor dem Hintergrund des jeweiligen Empfängerhorizonts. Art. 12 (1) des Entwurfs regelt außerdem die Möglichkeit von automatisierten 1 Vgl. Gola/Schomerus, BDSG, § 33 Rz. 27 ff. 2 Gola/Schomerus, BDSG, § 34 Rz. 11; Meents in Taeger/Gabel, BDSG, § 34 Rz. 21. 3 Ausführlich: Dix in Simitis, BDSG, § 34 Rz. 32 ff. 4 Gola/Schomerus, BDSG, § 34 Rz. 20 f.; Dix in Simitis, BDSG, § 34 Rz. 63, 67; Meents in Taeger/Gabel, BDSG, § 34 Rz. 43, 45; Däubler in Däubler/Klebe/Wedde/Weichert, BDSG, § 34 Rz. 42 f. 5 Gola/Schomerus, BDSG, § 34 Rz. 16; Schaffland/Wiltfang, BDSG, § 33 Rz. 22; Meents in Taeger/Gabel, BDSG, § 34 Rz. 39; „unverzüglich“, § 121 BGB analog, 14 Tage: Däubler in Däubler/Klebe/Wedde/Weichert, BDSG, § 34 Rz. 25, § 33 Rz. 15. 6 Allgemein zum Umfang: Dix in Simitis, BDSG, § 34 Rz. 15; Schaffland/Wiltfang, BDSG, § 33 Rz. 6; Meents in Taeger/Gabel, BDSG, § 34 Rz. 17.
424
Hartung/Storm
VI. Betroffenenrechte und Konsequenzen bei Verstçßen
Rz. 270
Teil 4
Auskünften, d.h., Nutzer sollen ihr Auskunftsbegehren zukünftig automatisiert und jederzeit selbst ausüben können und nicht wie bisher eine entsprechende Anfrage an die Verarbeitende Stelle richten müssen, welche von dieser dann in einem zweiten Schritt zu beantworten ist1. Begleitet wird dies durch Vorgaben zur Geschwindigkeit der Auskunft sowie Rechtsbehelfe in Art. 12 des Entwurfs. Beim Cloud Computing muss der Abnehmer, soweit er verantwortliche 268 Stelle und daher zur Auskunft verpflichtet ist, sicherstellen, dass er diesem Begehren tatsächlich auch nachkommen kann, wenn die dafür benötigten Daten oder sonstige Informationen (etwa über die Tätigkeit des Anbieters) nicht unter seiner direkten Kontrolle stehen. c) Berichtigung, Löschung und Sperrung Nach § 35 Abs. 1 BDSG hat der Betroffene ein Recht auf Berichtigung un- 269 richtiger personenbezogener Daten sowie nach § 35 Abs. 2 BDSG auf Löschung (ersatzweise Sperrung nach § 35 Abs. 3 BDSG). Die für die Praxis wichtigsten Fälle einer Löschungspflicht sind die rechtswidrige Speicherung, für die keine rechtmäßige Grundlage bestand, sowie die Zweckerreichung der Datenverarbeitung. In der Praxis können dann die Ausnahmetatbestände nach § 35 Abs. 3 BDSG eingreifen, insbesondere die weitere Speicherung (dann aber Sperrung), vor allem zur Erfüllung von (insbesondere gesetzlichen) Aufbewahrungspflichten2 oder bei Unmöglichkeit der Löschung wegen unverhältnismäßig hohen Aufwands. Beim Cloud Computing ist jeweils zu klären, wie ein Löschungsbegehren 270 einzelner Betroffener technisch umgesetzt werden kann. Die Aufsichtsbehörden haben dazu leider keine konkrete Lösungsmöglichkeit unter Berücksichtigung der Besonderheiten des Cloud Computing aufgezeigt3. Insbesondere wird beim Cloud Computing regelmäßig eine Löschung durch Vernichtung der physischen Datenträger nicht möglich sein, wenn technische Ressourcen mithilfe der Virtualisierung für verschiedene Kunden verwendet werden4. Insofern ist entweder ein technischer Weg 1 Kuner, Privacy and Security Law Report Nr. 11 (2012), S. 6. Gerade dieses Recht wird wiederum im Internetbereich weitreichende Änderungen nach sich ziehen müssen. So ist etwa beim Online Behavioural Advertising oder bei Suchmaschinen zukünftig eine Möglichkeit einzurichten, dass der Nutzer jeweils erkennen kann, aufgrund welcher personenbezogenen Daten ihm eine konkrete Werbung, Suchanfrage etc. beantwortet oder angezeigt wird. Entsprechende Versuche einer Umsetzung in den USA existieren bereits. 2 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing v. 1.7.2012 (01037/12/DE – WP 196), Ziff. 3.4.1.3 (S. 14). 3 Schröder/Haag, ZD 2011, 147 (149). 4 Zur Virtualisierung: Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe – Cloud Computing, Version 1.0 v. 26.9.2011, S. 19; zur Löschung durch Überschreiben: Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.1.3 (S. 15). Hartung/Storm
425
Teil 4
Rz. 271
Datenschutz
zu definieren, wie eine Löschung durch Überschreiben erreicht werden kann (wobei diese alle Kopien umfassen muss, auch der Datensicherung1), oder zu eruieren und festzuhalten, warum etwa eine Ausnahme von der Löschungspflicht wegen der besonderen Art der Speicherung oder des unverhältnismäßig hohem Aufwands gegeben ist (wobei in diesem Fall dann eine Sperrung vorzunehmen ist). 271
Ein interessanter Ansatz in der Literatur ist die Löschung mittels Verschlüsselung der Daten. Dabei werden die Daten bei der erstmaligen Speicherung verschlüsselt; bei Eintritt der Löschungsverpflichtung werden die Schlüssel vernichtet, sodass die zurückbleibenden verschlüsselten Daten inhaltslos werden. Dies ist grundsätzlich zulässig, sofern die Klardaten mangels Schlüssel irreversibel unzugänglich geworden sind, in der Praxis häufig aber wegen der Komplexität nur schwer umsetzbar2.
272
Im Entwurf der Datenschutz-Grundverordnung soll in Art. 17 ein „Recht auf Vergessen“ eingeführt werden, das nach der Fassung des Kommissionsentwurfs letztlich ein etwas erweitertes Löschungsrecht darstellt, jedoch nichts mit dem in der Öffentlichkeit diskutierten umfassenden Rechtsanspruch zu tun hat3. Ergänzt werden soll diese Bestimmung durch ein Recht auf Datenübertragbarkeit gemäß Art. 18 des Entwurfs, falls personenbezogene Daten in einem „strukturierten, gängigen elektronischen Format“ verarbeitet werden. Ein jederzeitiges und providerunabhängiges Recht auf Datenmitnahme wird dadurch nicht begründet4.
273
Die Löschungsverpflichtung erfordert in Vereinbarungen über Cloud Computing genaue Maßgaben, wann und auf welche Methode der Anbieter Daten auf Wunsch des Abnehmers löschen wird, insbesondere auch Daten über einzelne Betroffene, nicht nur des gesamten Datenbestandes. d) Folgerungen für das Cloud Computing
274
Für das Cloud Computing ergibt sich insbesondere aus den Rechten der Betroffenen auf Auskunft, Berichtigung und Löschung die Notwendigkeit, zwischen Anbieter und Abnehmer in dem zugrunde liegenden Vertragsverhältnis eindeutig und detailliert zu regeln, wer und wie man solche Betroffenenrechte erfüllt, und zum anderen die technische Umsetzung dieser Rechte5. Üblicherweise sollte der Abnehmer als verantwort1 Dammann in Simitis, BDSG, § 3 Rz. 177 ff.; Stiemerling/Hartung, CR 2012, 60 (65). 2 Greveler/Wegener, DuD 2010, 467; Stiemerling/Hartung, CR 2012, 60 (65 f.). 3 Außer Art. 17 (2) Entwurf, so auch Koreng/Feldmann, ZD 2012, 311 (312). 4 Allerdings fragt der Deutsche Anwaltsverein in seiner Stellungnahme Nr. 47/2012 vom Mai 2012 auf S. 23 richtigerweise, ob elektronisch erfasste Daten denklogisch nicht immer strukturiert seien. 5 International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing – Privacy and data protection issues – „Sopot Memorandum“ v. 24.4.2012, Rz. 21.
426
Hartung/Storm
VI. Betroffenenrechte und Konsequenzen bei Verstçßen
Rz. 277
Teil 4
liche Stelle und Nutzer einer Datenverarbeitung in der Lage sein, in der Cloud gespeicherte Daten über Betroffene selbst abzurufen und Auskunft darüber zu erteilen1. Sofern dabei jedoch Nutzungs- und Logdaten des Dienstes selber relevant werden, ist er auf die Mithilfe des Anbieters angewiesen. 2. Meldepflichten bei Verstößen/Security Breach Notification Die 2009 in § 42a BDSG neu eingeführte und über die Verweisnormen in 275 § 15a TMG in Bezug genommene sowie in § 109a TKG eingeführte Benachrichtigungspflicht bei Datenschutzverstößen2 betrifft die Praxis vor allem beim Verlust von Datenträgern in Form von Laptops, USB-Sticks usw. aber auch bei illegalen Datenzugriffen nach Hacking-Angriffen. Von den Voraussetzungen des § 42a BDSG sind hervorzuheben: (1) Es muss sich um (besonders kritische, abschließend aufgezählte) Kategorien von (personenbezogenen) Daten handeln, (2) diese müssen unrechtmäßig übermittelt oder auf sonstige Weise einem Dritten unrechtmäßig zur Kenntnis gelangt sein und (3) es müssen schwerwiegende Beeinträchtigungen für die Rechte und schutzwürdigen Interessen der Betroffenen drohen3. Beim Cloud Computing müssen Anbieter und Abnehmer vertragliche 276 Regelungen treffen und zu ihrer Umsetzung Prozesse einrichten, um die verantwortliche Stelle (regelmäßig den Abnehmer) in die Lage zu versetzen, ihren Meldepflichten zeitgerecht (unverzüglich) nachzukommen4. Insofern ist von den Datenschutzbehörden trotz des missverständlichen Wortlauts anerkannt, dass die Benachrichtigungspflicht lediglich die verantwortliche Stelle trifft und nicht den Auftragsdatenverarbeiter5. Zusätzlich kann beim Cloud Computing über eine Absicherung gegen 277 den Eintritt eines Datenverlustes durch technische Vorkehrungen nachgedacht werden, insbesondere eine Verschlüsselung: Eine Verschlüsselung kann auf sämtliche der drei o.g. Voraussetzungen einwirken und dazu führen, dass trotz eines Verlustes der personenbezogenen, aber ver1 Vgl. zur primären Verantwortlichkeit des Auftraggebers in Bezug auf die Rechte des Betroffenen: Petri in Simitis, BDSG, § 11 Rz. 50. 2 Allgemeine Erläuterungen und Vorschläge zum Schutz vor und Reaktion auf Datenpannen: Seelos, VW 2012, 308. 3 Vgl. zur Informationspflicht gemäß § 42a BDSG allgemein: Gabel, Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten, BB 2009, 2045; zur Einführung der Europäischen Security Breach Notification und hieraus möglicherweise resultierendem Änderungsbedarf im Hinblick auf die bereits existierenden nationalen Vorschriften: Hanloser, MMR 2010, 300 ff.; vgl. auch die FAQ des LDI NRW, Stand 11/2010: https://www.ldi.nrw.de/mainmenu_Daten schutz/Inhalt/FAQ/Datenpannen.php (zuletzt 30.10.2013). 4 Gola/Schomerus, BDSG, § 11 Rz. 18c; Gabel in Taeger/Gabel, BDSG, § 11 Rz. 49, § 42a Rz. 9. 5 Petri in Simitis, BDSG, § 11 Rz. 50; Schaffland/Wiltfang, BDSG, § 33 Rz. 26; Gabel in Taeger/Gabel, BDSG, § 11 Rz. 49, § 42a Rz. 9. Hartung/Storm
427
Teil 4
Rz. 278
Datenschutz
schlüsselten Daten keine Benachrichtigungspflicht eintritt1. Wenn man mit dem subjektiven Ansatz vertritt, dass verschlüsselte Daten keine personenbezogenen Daten mehr sind (vgl. Rz. 29 ff.), fehlt es bereits an der ersten Voraussetzung. Außerdem müssen personenbezogen Daten übermittelt (d.h. nach § 3 Abs. 4 Nr. 3 BDSG bekannt gegeben) oder durch einen Dritten zur Kenntnis genommen worden sein. Dabei reicht nach den Datenschutzbehörden und der Literatur bereits eine hohe Wahrscheinlich der Kenntnisnahme bei Vorliegen ausreichender tatsächlicher Anhaltspunkte2. Der bloße Besitz oder Gewahrsam an den Daten ohne eine Möglichkeit der Kenntnisnahme reicht dagegen nicht, wenn dies durch eine Verschlüsselung wirksam verhindert werden kann3. Dies regelt etwa der neu eingefügte Art. 4 Abs. 3 Satz 3 u. 4 der ePrivacy-Richtlinie 2002/58/EG für den Bereich der Telekommunikation ausdrücklich4. Ähnlich kann man hinsichtlich einer drohenden Beeinträchtigung argumentieren. Erforderlich ist eine Gefahrenprognose über den zukünftigen hypothetischen Geschehensablauf5. Wenn es ausgeschlossen oder jedenfalls äußert unwahrscheinlich ist, dass die Daten überhaupt durch einen Dritten zur Kenntnis genommen werden können, scheidet eine wie auch immer geartete Beeinträchtigung der Betroffenen aus6. 278
Nach der Datenschutz-Grundverordnung soll zukünftig flächendeckend eine Meldepflicht bei Datenschutzverstößen (sog. Security Breach Notification) nach amerikanischem Vorbild eingeführt werden (Art. 31, 32 Entwurf). Hier wird der Entwurf noch erhebliche Unruhe auslösen, weil die dort genannten Fristen für behördliche Meldungen (24 Stunden nach Bekanntwerden) sowie der einschränkungslose Geltungsbereich für sämtliche personenbezogenen Daten (anstelle einer Beschränkung auf sensitive Daten) für die Praxis zu großen Problemen führen werden. 3. Behördliche Maßnahmen
279
Aufsichtsbehördliche Maßnahmen sind nach § 38 BGSG möglich. Die Rechte der Aufsichtsbehörden in § 38 Abs. 5 BDSG wurden durch die Datenschutzreform im Jahr 2009 nochmals erweitert.
280
Zunächst können Aufsichtsbehörden anlassabhängig oder -unabhängig kontrollieren (Amtsaufsicht)7. Häufiger Auslöser behördlicher Maßnah-
1 2 3 4 5 6
Stiemerling/Hartung, CR 2012, 60 (66 f.). Gabel, BB 2009, 2045 (2047). Gabel, BB 2009, 2045 (2047). ABl. L 337/11 vom 18.12.2009; Hanloser, MMR 2010, 300 (301). Gabel, BB 2009, 2045 (2047). BT-Drucks. 16/12011, S. 52; Greveler/Wegener, DuD 2010, 467 (468); Hanloser, MMR 2010, 300 (301). 7 Gola/Schomerus, BDSG, § 38 Rz. 14; Petri in Simitis, BDSG, § 38 Rz. 32; Schaffland/Wiltfang, BDSG, § 38 Rz. 3; Grittmann in Taeger/Gabel, BDSG, § 38 Rz. 1, 10; Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, § 38 Rz. 17.
428
Hartung/Storm
VI. Betroffenenrechte und Konsequenzen bei Verstçßen
Rz. 282
Teil 4
men wird in der Praxis eine Beschwerde von Betroffenen sein (Anlassaufsicht)1. Dies können in der Praxis betroffene Arbeitnehmer oder Kunden sein, die sich beschweren, Betriebsräte bei Streitigkeiten über die Einführung oder Änderung von IT-Systemen, Verbraucherschutzorganisationen usw. Ein solcher Anlass ist jedoch nicht erforderlich; die europäischen Datenschutzbehörden haben angekündigt, im Rahmen einer Zusammenarbeit verschiedener Branchen genauer zu kontrollieren2. Hierfür hat die Aufsichtsbehörde nach § 38 Abs. 3 und Abs. 4 BDSG umfangreiche Informations- und Kontrollrechte. Sie kann die verantwortliche Stelle oder einen Auftragsdatenverarbeiter verpflichtend zur Auskunftserteilung auffordern (in der Praxis wurde eine Vielzahl von Bußgeldern verhängt, weil derartige Auskünfte nicht erteilt wurden)3. Sie kann selbst Vor-Ort-Prüfungen und Kontrollen durchführen und dabei Unterlagen sowie Datenverarbeitungsanlagen einsehen; § 38 Abs. 4 Satz 4 BDSG enthält insofern eine Duldungspflicht des Auskunftspflichtigen4. Ein Streitpunkt ist, ob die Aufsichtsbehörden Zugriff auf die einem besonderen Berufsgeheimnis, insbesondere § 203 StGB, unterfallenden Angaben haben. Das Kammergericht Berlin hat dies im Fall eines Rechtsanwalts jedoch unter Verweis auf die Spezialität der berufsrechtlichen Vorschriften zurückgewiesen5. Im Hinblick auf diese Rechte sollte beim Cloud Computing im Rahmen 281 des Vertrags über die Auftragsdatenverarbeitung vereinbart werden, dass der Anbieter sich an solchen Prüfungen und Kontrollen beteiligt und aktiv daran mitwirkt bzw. eine entsprechende Duldungspflicht hat6. Derartige Verpflichtungen sind etwa Bestandteil der Standardverträge für eine Auftragsdatenverarbeitung7. Außerdem kann die Aufsichtsbehörde nach § 38 Abs. 5 BDSG zur Einhal- 282 tung sämtlicher Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße oder technischer bzw. organisatorischer 1 Gola/Schomerus, BDSG, § 38 Rz. 15; Petri in Simitis, BDSG, § 38 Rz. 32; Schaffland/Wiltfang, BDSG, § 38 Rz. 5; Grittmann in Taeger/Gabel, BDSG, § 38 Rz. 11. 2 Art. 29-Datenschutzgruppe, Declaration on Enforcement v. 25.11.2004 (12067/04/EN – WP 101), S. 5. 3 Gola/Schomerus, BDSG, § 38 Rz. 19 f.; Petri in Simitis, BDSG, § 38 Rz. 53 ff.; Schaffland/Wiltfang, BDSG, § 38 Rz. 10; Grittmann in Taeger/Gabel, BDSG, § 38 Rz. 25 ff.; Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, § 38 Rz. 20. 4 Gola/Schomerus, BDSG, § 38 Rz. 22 f.; Petri in Simitis, BDSG, § 38 Rz. 60 f.; Schaffland/Wiltfang, BDSG, § 38 Rz. 18; Grittmann in Taeger/Gabel, BDSG, § 38 Rz. 30 ff.; Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, § 38 Rz. 22. 5 KG v. 20.8.2010 – 1 Ws (B) 51/07 – 2 Ss 23/07, NJW 2011, 324; Petri in Simitis, BDSG, § 38 Rz. 23; Schaffland/Wiltfang, BDSG, § 38 Rz. 10b. 6 Petri in Simitis, BDSG, § 11 Rz. 78; Gabel in Taeger/Gabel, BDSG, § 11 Rz. 38, 48. 7 Z.B. Regierungspräsidium Darmstadt, Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG in Schaffland/Wiltfang, BDSG, § 11, Anh. 1, III Nr. 7. Hartung/Storm
429
Teil 4
Rz. 283
Datenschutz
Mängel anordnen und, sofern diese nicht binnen angemessener Zeit beseitigt werden, wegen schwerwiegenden Verstößen oder besonderer Gefährdung des Persönlichkeitsrechts die gesamte Datenverarbeitung untersagen1. Dies kann beim Cloud Computing im Extremfall bedeuten, dass die Cloud-Nutzung untersagt und die Herausgabe der Daten vom Anbieter an den Abnehmer angeordnet wird. Die Möglichkeit solcher Anordnungen muss daher im Cloud-Vertrag entsprechend berücksichtigt werden. Bei der Auftragsdatenverarbeitung dürfte die Umsetzung entsprechender Anordnungen vom Weisungsrecht des Auftraggebers abgedeckt sein, wobei dies zur Klarstellung hervorgehoben werden sollte2. Aber insbesondere die zeitnahe Umsetzung einer Untersagungsanordnung sollte ausdrücklich geregelt werden, insbesondere das Thema, wie (in welchem Format und auf welchem Wege) die Daten vom Anbieter zur Verfügung gestellt werden müssen. Auch die Bereitschaft des Anbieters zur Mitwirkung bei der Umsetzung sonstiger Lösungsmöglichkeiten (etwa Vertragsänderung) sollte vertraglich verankert werden. 4. Unterlassung und Schadensersatz 283
Betroffene haben bei Verletzung ihrer Rechte nach § 7 BDSG einen Anspruch auf Schadensersatz3. Auch die Berufung auf zivilrechtliche Anspruchsgrundlagen, insbesondere § 823 Abs. 1 BGB wegen Verletzung des Persönlichkeitsrechts, kommt daneben in Betracht4. Ansprüche nach § 823 Abs. 2 BGB bei Verletzung eines Schutzgesetzes, nach § 824 BGB wegen Kreditgefährdung oder nach § 826 BGB wegen Verletzung eines Verbotsgesetzes oder Sittenwidrigkeit sind ebenfalls möglich5. Allen Schadensersatzansprüchen ist gemein, dass sie verschuldensabhängig sind, wobei sich die verantwortliche Stelle exkulpieren kann, sofern sie die nach den Umständen des Falles gebotene Sorgfalt beachtet hat6. Die europäischen Aufsichtsbehörden haben betont, dass im Falle einer Auftragsdatenverarbeitung Schadensersatz vom Abnehmer als verantwortliche Stelle verlangt werden kann, bei einem Missbrauch von Daten aber auch der Anbieter zur verantwortlichen Stelle und unmittelbar selbst schadensersatzpflichtig werden kann7. Allerdings ist nur materieller 1 Gola/Schomerus, BDSG, § 38 Rz. 25 ff.; Petri in Simitis, BDSG, § 38 Rz. 73; Schaffland/Wiltfang, BDSG, § 38 Rz. 26; Grittmann in Taeger/Gabel, BDSG, § 38 Rz. 36 ff.; Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, § 38 Rz. 32. 2 Gola/Schomerus, BDSG, § 11 Rz. 18 f. 3 Gola/Schomerus, BDSG, § 7 Rz. 1; Simitis, BDSG, § 7 Rz. 5. 4 Gola/Schomerus, BDSG, § 7 Rz. 18a; Simitis, BDSG, § 7 Rz. 59; Schaffland/Wiltfang, BDSG, § 7 Rz. 5; Gabel in Taeger/Gabel, BDSG, § 7 Rz. 25. 5 Gola/Schomerus, BDSG, § 7 Rz. 18a f.; Simitis, BDSG, § 7 Rz. 68; Schaffland/ Wiltfang, BDSG, § 7 Rz. 5; Gabel in Taeger/Gabel, BDSG, § 7 Rz. 27 f.; Däubler in Däubler/Klebe/Wedde/Weichert, BDSG, § 7 Rz. 33. 6 Gola/Schomerus, BDSG, § 7 Rz. 2, 9; Simitis, BDSG, § 7 Rz. 21; Däubler in Däubler/Klebe/Wedde/Weichert, BDSG, § 7 Rz. 14 ff. 7 Art. 29-Datenschutzgruppe, Stellungnahme 5/2012 zum Cloud Computing, v. 1.7.2012 (010307/12/DE - WP 196), Ziff. 3.4.2 (S. 15).
430
Hartung/Storm
VI. Betroffenenrechte und Konsequenzen bei Verstçßen
Rz. 287
Teil 4
Schadensersatz geschuldet (anders als nach § 8 BDSG bei Datenschutzverletzungen durch öffentliche Stellen)1. Dies führt dazu, dass in der Praxis Ansprüche auf Schadensersatz äußerst selten bzw. so gut wie nie geltend gemacht werden, weil es bei den Betroffenen regelmäßig an einem nachweisbaren materiellen Schaden fehlt2. Ferner bestehen zivilrechtliche Unterlassungsansprüche nach § 1004 284 BGB analog als Rechtsmittel gegen die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten. Derartige Ansprüche sind durchaus praxisrelevant3. 5. Ordnungswidrigkeiten/Straftaten Datenschutzverstöße können zum einen Ordnungswidrigkeiten darstel- 285 len. Von hoher praktischer Relevanz sind die Ordnungswidrigkeitstatbestände des § 43 BDSG. Dort sind in Abs. 1 formelle Datenschutzverstöße und in Abs. 2 materielle Datenschutzverstöße geregelt4. Sämtliche Verstöße können im Bereich des Cloud Computing Relevanz erlangen. Besonders hervorzuheben sind jedoch die fehlende oder unvollständige Erteilung eines Auftrags zur Datenverarbeitung nach § 43 Abs. 1 Nr. 2b BDSG oder nach derselben Nummer die fehlende anfängliche Kontrolle der technisch-organisatorischen Maßnahmen. Auch die fehlende Benachrichtigung bzw. Auskunft kann nach § 43 Abs. 1 Nr. 8, Nr. 8a BDSG ein relevanter Ordnungswidrigkeitstatbestand sein. Ferner sind unzulässige Datenverarbeitungen nach § 43 Abs. 2 Nr. 1 oder fehlerhafte Breach Notifications nach § 43 Abs. 2 Nr. 7 BDSG denkbar. Ordnungswidrigkeiten können nach § 43 Abs. 3 BDSG im Falle von for- 286 malen Verstößen nach § 43 Abs. 1 BDSG im Regelfall mit Geldbußen bis zu 50 000 Euro und bei materiellen Verstößen nach § 43 Abs. 2 BDSG mit bis zu 300 000 Euro geahndet werden. Die Geldbuße kann jedoch diese Beträge überschreiten, wenn der wirtschaftliche Vorteil des Täters aus der Ordnungswidrigkeit diese Beträge übersteigt5. Hinzu kommen ggf. weitere, besondere Bußgeldvorschriften nach § 16 Abs. 2 Nr. 25 TMG oder § 149 Abs. 1 Nr. 16 ff. TKG mit teils anderen Sanktionshöhen. Im BDSG gibt es die Besonderheit, dass ein materieller Datenschutzver- 287 stoß i.S.d. § 43 Abs. 2 BDSG bei vorsätzlichem Handeln gegen Entgelt 1 Umstr.; Gola/Schomerus, BDSG, § 7 Rz. 12 (mit Verweisen auf die Gegenansicht); Schaffland/Wiltfang, BDSG, § 7 Rz. 9 (mit Verweisen auf die Gegenansicht); Gabel in Taeger/Gabel, BDSG, § 7 Rz. 16; Däubler in Däubler/Klebe/ Wedde/Weichert, BDSG, § 7 Rz. 19 f. 2 Däubler in Däubler/Klebe/Wedde/Weichert, BDSG, § 7 Rz. 3. 3 Schaffland/Wiltfang, BDSG, § 7 Rz. 7. 4 Gola/Schomerus, BDSG, § 43 Rz. 4 ff., 16 ff.; Ehmann in Simitis, BDSG, § 43 Rz. 20; Mackenthun in Taeger/Gabel, BDSG, § 4a Rz. 29. 5 Gola/Schomerus, BDSG, § 43 Rz. 29; Schaffland/Wiltfang, BDSG, § 43 Rz. 52; Mackenthun in Taeger/Gabel, BDSG, § 43 Rz. 74; Klebe in Däubler/Klebe/Wedde/Weichert, BDSG, § 43 Rz. 24. Hartung/Storm
431
Teil 4
Rz. 288
Datenschutz
oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, einen Straftatbestand nach § 44 BDSG darstellen kann1. Außerdem sind bei Datenschutzverstößen – je nach den Umständen des Einzelfalls – weitere Strafvorschriften, etwa §§ 202a, 203 oder 206 StGB, zu beachten. 288
Nach dem Entwurf der Datenschutz-Grundverordnung sollen die möglichen Bußgelder für Datenschutzverstöße erheblich heraufgesetzt werden und können dann bis zu 2 % des weltweiten Jahresumsatzes betragen (Art. 79 Entwurf). Die berechtigte Frage, welche Relation hier noch zwischen Verstoß und möglicher Sanktion besteht, wird derzeit nicht zufriedenstellend beantwortet.
1 Gola/Schomerus, BDSG, § 44 Rz. 1; Ehmann in Simitis, BDSG, § 43 Rz. 1 ff.; Schaffland/Wiltfang, BDSG, § 43 Rz. 1; Mackenthun in Taeger/Gabel, BDSG, § 43 Rz. 1; Klebe in Däubler/Klebe/Wedde/Weichert, BDSG, § 43 Rz. 1.
432
Hartung/Storm
Teil 5 Arbeitsrecht Rz.
Rz.
I. Einleitung . . . . . . . . . . . . . . . . . . . 1. Individualarbeitsrecht. . . . . . . . . . 2. Kollektives Arbeitsrecht, Mitbestimmung . . . . . . . . . . . . . .
1 5
II. Grundsatzfragen . . . . . . . . . . . . . . 1. EU-Rechtsrahmen . . . . . . . . . . . . . a) Richtlinie 95/46/EG und Richtlinie 2002/58/EG . . . . . . . b) Richtlinie 2002/14/EG . . . . . . . c) Richtlinie 98/59/EG . . . . . . . . . d) Richtlinie 2001/23/EG . . . . . . . 2. Anwendbares Recht und Gerichtsstand . . . . . . . . . . . . . . . . a) Individualarbeitsrecht . . . . . . . aa) Anwendbares Recht . . . . . . bb) Gerichtsstand . . . . . . . . . . . b) Kollektives Arbeitsrecht . . . . . aa) Anwendbares Recht . . . . . . bb) Gerichtsstand . . . . . . . . . . .
12 12
aa) Widerspruchsrecht des Arbeitnehmers . . . . . . . . . . 66 bb) Unterrichtungspflicht der Arbeitgeber . . . . . . . . . . . . . 67 cc) Verbot der Kündigung wegen Betriebsübergangs . . . . 69
III. Fragen des Individualarbeitsrechts . . . . . . . . . . . . . . . . . . . . . . . 1. Beschäftigtendatenschutz. . . . . . . 2. Weisungsrecht des Arbeitgebers nach § 106 GewO . . . . . . . . . . . . . a) Grundlagen . . . . . . . . . . . . . . . . b) Sanktionen . . . . . . . . . . . . . . . . 3. Unterrichtungs- und Fortbildungsrechte des Arbeitnehmers. . a) Grundlagen . . . . . . . . . . . . . . . . b) Sanktionen . . . . . . . . . . . . . . . . 4. Mögliche Notwendigkeit der Kündigung von Arbeitsverhältnissen. . . . . . . . . . . . . . . . . . . . a) Grundlagen . . . . . . . . . . . . . . . . aa) Betriebsbedingte Kündigung . . . . . . . . . . . . . bb) Sozialauswahl . . . . . . . . . . . cc) Weitere Schutzvorschriften . . . . . . . . . . . . . . . b) Sanktionen . . . . . . . . . . . . . . . . 5. Arbeitnehmerrechte nach § 613a BGB im Falle eines Betriebs(teil)übergangs . . . . . . . . . . . a) Grundlagen . . . . . . . . . . . . . . . . aa) Tatbestandsmerkmale . . . . bb) Kriterien nach BAG . . . . . . cc) Anwendungsbereich in Bezug auf Cloud Computing . b) Rechtsfolgen . . . . . . . . . . . . . . .
8
15 16 18 19 21 22 22 28 32 32 33 34 35 36 36 38 39 39 41 43 43 44 48 49 50 53 53 54 57 62 63
IV. Fragen des kollektiven Arbeitsrechts . . . . . . . . . . . . . . . . . 1. Informationsrechte nach § 80 BetrVG . . . . . . . . . . . . . . . . . . . . . . a) Grundlagen . . . . . . . . . . . . . . . . aa) Informationsrechte. . . . . . . bb) Hinzuziehung von Sachverständigen . . . . . . . . . . . . b) Sanktionen . . . . . . . . . . . . . . . . 2. Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG . . . . . . . . a) Grundlagen . . . . . . . . . . . . . . . . b) Sanktionen . . . . . . . . . . . . . . . . 3. Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1 BetrVG . . . . . . . . a) Grundlagen . . . . . . . . . . . . . . . . b) Sanktionen . . . . . . . . . . . . . . . . 4. Beratungsrechte nach § 90 BetrVG . . . . . . . . . . . . . . . . . . . . . . a) Grundlagen . . . . . . . . . . . . . . . . b) Sanktionen . . . . . . . . . . . . . . . . 5. Beteiligungsrechte nach §§ 92 ff. BetrVG . . . . . . . . . . . . . . . . . . . . . . a) Grundlagen . . . . . . . . . . . . . . . . b) Sanktionen . . . . . . . . . . . . . . . . 6. Mitbestimmungsrechte bei Massenentlassungen . . . . . . . . . . . a) Grundlagen . . . . . . . . . . . . . . . . aa) Mitbestimmung nach §§ 111, 112 BetrVG. . . . . . . bb) Beteiligung nach §§ 17 ff. KSchG . . . . . . . . . . . . . . . . . b) Sanktionen . . . . . . . . . . . . . . . . aa) Kein Versuch eines Interessenausgleichs . . . . . . . . . bb) Fehlen eines Sozialplans . . cc) Mangelhafte Beteiligung nach § 17 KSchG . . . . . . . . 7. Mitbestimmungsrechte beim Betriebs(teil)übergang . . . . . . . . . . a) Grundlagen . . . . . . . . . . . . . . . . b) Gegenstand der Mitbestimmung . . . . . . . . . . . . . . . . . . . . . c) Sanktionen . . . . . . . . . . . . . . . .
Hexel
70 70 70 71 74 75 77 77 82 84 84 86 87 87 90 91 91 93 95 95 96 102 107 108 111 112 113 113 115 117
433
Teil 5
Rz. 1
Arbeitsrecht
I. Einleitung 1
Anders als bei der verstärkten Einführung der elektronischen Datenverarbeitung in die Arbeitswelt in den 80er und 90er Jahren des vergangenen Jahrhunderts, die durchaus zu einer nachhaltigen Veränderung des Arbeitsalltags und der Ausgestaltung von Arbeitsplätzen in vielerlei Hinsicht geführt – und dementsprechend vielfältige arbeitsrechtliche Fragestellung mit sich gebracht hat, sind die Änderungen, welche das Cloud Computing als spezielle Form der ausgelagerten Datenverarbeitung mit sich bringt, aus rein arbeitsrechtlicher Sicht weniger gravierend. So verwundert es nicht, dass sich im Arbeitsrecht kaum Regelungen finden lassen, die sich ganz spezifisch und unmittelbar mit Fragen des Cloud Computing befassen oder deren Einführung historisch als Folge der vermehrten Nutzung von Cloud Computing-Services anzusehen ist.
2
Ungeachtet dessen kann die Nutzung, insbesondere aber auch die erstmaligen Einführung von Cloud Computing-Services durch einen Arbeitgeber, verschiedenste arbeitsrechtliche Implikationen haben. Die arbeitsrechtlichen Fragen, die das Cloud Computing aus Sicht des Auftraggebers – unabhängig von seiner technischen Ausgestaltung im Einzelfall – regelmäßig aufwirft, lassen sich in zwei wesentliche Kategorien aufteilen. Es ist zu unterscheiden zwischen individualarbeitsrechtlichen und kollektivrechtlichen Bestimmungen, die ein Arbeitgeber, der im Rahmen seiner Geschäftstätigkeit von den Möglichkeiten des Cloud Computing Gebrauch machen möchte, zu beachten hat.
3
Für den Anbieter von Cloud Computing-Services ergeben sich typischerweise keine spezifischen arbeitsrechtlichen Fragestellungen. Zu betrachten ist in wirtschaftlicher Hinsicht das bei Dienstleistern übliche Bestreben, entweder den Personalbedarf nach Möglichkeit an den Auftragsbestand bzw. die Auftragsentwicklung anpassen zu können oder stattdessen (ggf. auch zusätzlich) vertragliche „Mindestabnahmemengen“ vorzusehen. Die oft gerühmte Flexibilität von Cloud ComputingLeistungen, die es dem Auftraggeber ermöglicht, bei Bedarfsänderungen die Leistungen auch entsprechend anzupassen, besteht vor diesem Hintergrund in der Praxis nicht immer, weil z.B. das Vergütungsmodell des Anbieters eine Grundgebühr oder Mindestabnahme vorsieht. Bis zu einem gewissen Grad kann der Anbieter der Cloud-Services den Schwankungen auch auf andere Weise begegnen. Selbst bei flexiblen Abnahmemodellen können sich Nachfrageveränderungen unterschiedlicher Auftraggeber unter dem Strich ausgleichen. Daher ist in der Praxis festzustellen, dass Cloud-Anbieter nicht per se ein gesteigertes Interesse daran haben, Personalressourcen kurzfristig erhöhen oder reduzieren zu können und dafür vertraglich Vorsorge zu tragen. Allerdings kann die erstmalige Erbringung von Cloud Computing-Leistungen für einen Auftraggeber zu einem Betriebsübergang führen, in dessen Folge Arbeitsverhältnisse auf den Anbieter übergehen können (dazu Rz. 53 ff.).
434
Hexel
I. Einleitung
Rz. 6
Teil 5
Aus Sicht des Anbieters dürfte es im Übrigen – schon mit Blick auf die 4 Wettbewerbsfähigkeit des Service-Angebots – in erster Linie wichtig sein, darstellen zu können, dass er im Rahmen seiner Leistungen den Anforderungen an den Datenschutz gerecht wird. Der Auftraggeber hat immerhin die daraus resultierenden Persönlichkeitsrechte insbesondere gegenüber seinen Kunden, seinen Lieferanten und sonstigen Geschäftspartnern sowie insbesondere auch gegenüber seinen Arbeitnehmern zu wahren (vgl. zum Datenschutz Teil 4). 1. Individualarbeitsrecht Soweit das aus den arbeitsvertraglichen Absprachen mit dem einzelnen 5 Mitarbeiter abzuleitende Individualarbeitsrecht betroffen ist, stellen sich die aus praktischer Sicht wichtigsten Fragen im Hinblick auf den Beschäftigtendatenschutz. Mit der Nutzung von Cloud Computing durch den Arbeitgeber ist zwangsläufig eine Übertragung (auch) von Daten seiner Beschäftigten oder zumindest von bestimmten Beschäftigtengruppen verbunden. Offenkundig ist dies, wenn der Arbeitgeber Teile seiner Personaldatenverwaltung in eine Cloud auslagert. Aber auch, wenn der Arbeitgeber Anwendungen des Cloud Computing nicht für Zwecke des eigenen Personalwesens einsetzt, sondern für andere betriebliche Zwecke (z.B. Auslagerung von Kundendatenbanken), kommt es fast unweigerlich zur Übertragung von bestimmten mitarbeiterbezogenen Daten in die Cloud. So ist beispielsweise in aller Regel davon auszugehen, dass zu den in die Cloud ausgegliederten Daten unter anderem auch Informationen darüber gehören, wann oder wie häufig ein Mitarbeiter in einer bestimmten Angelegenheit tätig geworden ist. Aber selbst wenn nur die Zugriffe von Mitarbeitern des Arbeitgebers auf Anwendungen im Rahmen des Cloud Computing aufgezeichnet werden, enthalten die entsprechenden Logfiles datenschutzrechtlich relevante Arbeitnehmerdaten, die auf den Dienstleister als Dritten übertragen werden1. Die sich daraus ergebenden Fragen zum Beschäftigtendatenschutz werden nicht in diesem Kapitel erörtert, sondern finden sich in den Ausführungen zum allgemeinen Datenschutz (vgl. z.B. Teil 4 Rz. 68). Abgesehen von Fragen des Beschäftigtendatenschutzes wirft die Nut- 6 zung von Cloud Computing-Anwendungen in aller Regel keine spezifischen individualarbeitsrechtlichen Probleme auf. Die Verwendung von Cloud Computing-Anwendungen durch Arbeitnehmer und die dabei zu beachtenden Besonderheiten, insbesondere auch zur Sicherheit bei der Nutzung von Cloud Computing-Services, sind regelmäßig vom sog. Direktionsrecht/Weisungsrecht des Arbeitgebers nach § 106 GewO umfasst2 (vgl. im Einzelnen Rz. 36).
1 Vgl. Gaul/Koehler, BB 2011, 2229 (2235 f.). 2 Vgl. allgemein zum Direktionsrecht bezüglich des Inhalts der Arbeitsleistung: HWK/Lembke, § 106 GewO Rz. 15 ff.; ErfK/Preis, § 106 GewO Rz. 11 ff.; speziell Hexel
435
Teil 5
7
Rz. 7
Arbeitsrecht
Im Einzelfall können sich dennoch individualarbeitsrechtliche Fragen ergeben, wenn ein Arbeitgeber sich erstmalig zur Nutzung von Cloud Computing-Anwendung entschließt. Dieser Schritt kann Unterrichtungsrechte einzelner betroffener Mitarbeiter nach § 81 BetrVG wegen veränderter Arbeitsabläufe auslösen1. Unter Umständen kann die Beauftragung eines Dienstleisters im Übrigen dazu führen, dass es bei dem Arbeitgeber zum Wegfall von Arbeitplätzen oder im Rahmen eines Outsourcings zum Übergang von Arbeitsverhältnissen auf den Anbieter der Cloud Computing-Services kommt. In diesen Fällen kann die Kündigung von Arbeitsverhältnissen notwendig werden (vgl. dazu Rz. 43 ff.) oder es können Rechte von Arbeitnehmern wegen eines Betriebs(teil)übergangs i.S.v. § 613a BGB ausgelöst werden (vgl. dazu Rz. 53 ff.). Kommt es zu einem Betriebsübergang ist dies für den Auftraggeber wie für den Anbieter von Cloud Computing-Services gleichermaßen bedeutsam, weil § 613a Abs. 1 Satz 1 BGB als zentrale Vorschrift zum Betriebsübergang unter anderem vorsieht, das der Betriebsübernehmer kraft Gesetzes automatisch in die Arbeitgeberstellung des Auftraggebers eintritt; die im Betrieb(steil) bestehenden Arbeitsverhältnisse gehen auf den Anbieter über, der sie grundsätzlich zu unveränderten Kondition fortzuführen hat. 2. Kollektives Arbeitsrecht, Mitbestimmung
8
Die Entscheidung zur Nutzung von Cloud Computing-Services durch einen Arbeitgeber, bei dem ein Betriebsrat besteht, berührt fast unweigerlich Mitbestimmungsrechte des Betriebsrats nach dem BetrVG. Cloud Computing-Anwendungen stellen – wie praktisch jede andere Software auch – eine technische Einrichtung i.S.v. § 87 Abs. 1 Nr. 6 BetrVG dar, die – jedenfalls generell-abstrakt – geeignet ist, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen2. Damit hat der Betriebsrat vor der erstmaligen Nutzung von Cloud Computing-Anwendungen durch den Arbeitgeber ein Mitbestimmungsrecht, welches sich sowohl auf das „Ob“ der Nutzung als auch auf die Modalitäten der Nutzung („Wie“) erstreckt (vgl. dazu Rz. 77 ff.). Je nachdem, wie umfassend die Nutzungsanweisungen sind, welche der Arbeitgeber seinen Arbeitnehmern zum Umgang mit den Cloud Computing-Anwendungen auferlegt, kommt darüber hinaus auch ein Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 1 BetrVG (Fragen der Ordnung des Betriebs) in Betracht (vgl. dazu Rz. 84 ff.). Die gleichen Überlegungen gelten letztlich auch für den Anbieter der Cloud Computing-Services, bei dem ein etwaig vorhandener Betriebsrat jeweils die für die Mitarbeiter des Anbieters, die mit der Cloud-Technik arbeiten, seine Rechte wahrnehmen wird. zum Einsatz technischer Arbeitsmittel: Gaul/Koehler, BB 2011, 2229 (2234); Hallaschka/Jandt, MMR 2006, 436 (438); Brisch/Laue, MMR 2009, 813 (815). 1 Vgl. dazu Fitting, § 81 Rz. 18; GK-BetrVG/Wiese/Franzen, BetrVG § 81 Rz. 19; HWK/Schrader, § 81 BetrVG Rz. 18. 2 Vgl. HWK/Clemenz, § 87 BetrVG Rz. 121; Fitting, § 87 Rz. 246; Gaul/Koehler, BB 2011, 2229 (2235).
436
Hexel
II. Grundsatzfragen
Rz. 12
Teil 5
Überdies ist in diesem Zusammenhang § 80 Abs. 1 Nr. 1 BetrVG als all- 9 gemeiner „Türöffner“ oder als „Einfallstor“ für Beteiligungsrechte des Betriebsrats zu beachten. Nach dieser Vorschrift hat der Betriebsrat unter anderem darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze durchgeführt werden. Auch die Einhaltung der Regelungen zum (Beschäftigten-)Datenschutz gehören zweifelsohne dazu1. Für den Betriebsrat ergeben sich in diesem Zusammenhang aus § 80 Abs. 2 BetrVG umfassende Informationsrechte (vgl. dazu Rz. 70 ff.). Diese kann er auch geltend machen, um sich in die Lage zu versetzen, nach eigener Prüfung beurteilen zu können, ob und in welchem Umfang ihm im Hinblick auf bestimmte Maßnahmen des Arbeitgebers weiter gehende Beteiligungsrechte zustehen (vgl. dazu Rz. 72 f.). Aus § 90 Abs. 1 BetrVG kann sich ein über die bloße Informationserteilung hinausgehendes Recht des Betriebsrates auf Beratungen mit dem Arbeitgeber ergeben (vgl. dazu Rz. 87 ff.). Die Einführung von Cloud Computing kann bei denjenigen Mitarbeitern 10 des Arbeitgebers, die mit den entsprechenden Anwendungen arbeiten sollen, einen Schulungs- bzw. Qualifizierungsbedarf auslösen. In diesem Zusammenhang greifen Beteiligungsrechte des Betriebsrats im Rahmen der Personalplanung nach §§ 92 ff. BetrVG. Bei der Einführung erforderlicher Schulungsmaßnahmen hat der Betriebsrat in diesen Fällen beispielsweise Mitbestimmungsrechte nach §§ 96 ff. BetrVG (vgl. dazu Rz. 91 ff.). Schließlich sind noch Konstellationen denkbar, in denen es bei einem 11 Arbeitgeber, der sich zur Nutzung von Cloud Computing entschließt, zum Wegfall einer erheblichen Anzahl von Arbeitsplätzen kommt. Gleichermaßen kann es im Rahmen des Outsourcing von Services auf einen Cloud Computing-Anbieter je nach den Umständen des Einzelfalls zu einem (Teil-)Betriebsübergang kommen. In diesen Situationen können je nach Fallgestaltung auch Mitbestimmungsrechte des Betriebsrats wegen einer Betriebsänderung i.S.v. § 111 BetrVG (vgl. dazu Rz. 96 ff.) oder im Zusammenhang mit einer etwaig notwendigen Massenentlassungsanzeige i.S.v. § 17 KSchG (vgl. dazu Rz. 102 ff.) berührt werden.
II. Grundsatzfragen 1. EU-Rechtsrahmen Das deutsche Arbeitsrecht gehört zu einem der Rechtsgebiete, die durch 12 EU-Verordnungen, insbesondere aber auch durch zahlreiche EU-Richtlinien, bereits recht umfassend harmonisiert sind. Im Hinblick auf die spezifischen arbeitsrechtlichen Fragenkreise, die mit der Einführung bzw. der Nutzung von Cloud Computing verbunden sind, sind die zu beachtenden Regelungen des deutschen Rechts jedoch nur zum Teil auf europäisches Recht zurückzuführen. 1 So bereits BAG v. 17.3.1987 – 1 ABR 59/85, NZA 1987, 747. Hexel
437
Teil 5
Rz. 13
Arbeitsrecht
13
Nicht auf EU-rechtliche Vorgaben zurückzuführen sind insbesondere die relevantesten individualarbeitsrechtlichen Regelungen (ausgenommen solche zu Fragen des Beschäftigtendatenschutzes) wie auch die spezifischen Vorschriften zu den praktisch bedeutsamen Mitbestimmungsrechten des Betriebsrats nach § 87 BetrVG (vgl. Rz. 77 ff.) und zu seinen Informationsansprüchen nach § 80 Abs. 1 BetrVG (vgl. Rz. 70 ff.). Insoweit stehen jeweils in erster Linie Regelungen originären deutschen Rechts im Fokus der zu prüfenden Fragen.
14
Bedeutung erlangen EU-Richtlinien und die auf ihnen beruhenden deutschen gesetzlichen Regelungen in Fallkonstellationen, in denen es aufgrund der Entscheidung des Arbeitgebers, Teile seiner betrieblichen Aktivitäten im Wege des Cloud Computing durchzuführen, zu einem Wegfall einer nicht unerheblichen Zahl von Arbeitsplätzen oder zu einem Übergang von Arbeitsverhältnissen i.S.v. § 613a BGB auf den Cloud Computing-Anbieter kommt. Hier können Regelungen des deutschen Rechts zum Tragen kommen, die auf verschiedene EU-Richtlinien zurückzuführen sind. a) Richtlinie 95/46/EG und Richtlinie 2002/58/EG
15
Die Richtlinie 95/46/EG und die Richtlinie 2002/58/EG, die beide jeweils Fragen des Datenschutzes in Europa regeln, sind umfassend in Teil 4 (vgl. dort Rz. 2 und Rz. 3) dargestellt. b) Richtlinie 2002/14/EG
16
Die Richtlinie 2002/14/EG zur Unterrichtung und Anhörung der Arbeitnehmer zielt darauf ab, dass eine möglichst frühzeitige Unterrichtung und Anhörung von Arbeitnehmern oder ihrer Vertretungen über die jüngsten Entwicklungen und die wahrscheinliche Weiterentwicklung der Tätigkeit der Mitarbeiter sowie der wirtschaftlichen Situation des Unternehmens oder des Betriebs erfolgt. Gegenstand der Unterrichtung sollen dabei insbesondere die Beschäftigungssituation, die Beschäftigtenstruktur und die wahrscheinliche Beschäftigungsentwicklung sowie Entscheidungen sein, die wesentliche Änderungen der Arbeitsorganisation oder der Arbeitsverträge mit sich bringen können. Die Richtlinie kann somit – wenn auch nur mittelbar – namentlich bei der Einführung von Cloud Computing bei einem Arbeitgeber Bedeutung erlangen, wenn dieser Schritt zu einer erheblichen Veränderung der Beschäftigtensituation oder der Betriebsorganisation des Arbeitgebers führt. Denkbar ist dies in der Praxis beispielsweise, wenn aufgrund der Nutzung von Cloud Computing-Services die eigene IT-Abteilung des Arbeitgebers nachhaltig reorganisiert wird.
17
In Deutschland finden sich die maßgeblichen Regelungen, mit denen den Anforderungen der Richtlinie Rechnung getragen wird, im BetrVG, insbesondere in §§ 92 ff. BetrVG (Personalplanung) und §§ 111 ff. BetrVG 438
Hexel
II. Grundsatzfragen
Rz. 21
Teil 5
(Betriebsänderungen). Es handelt sich um allgemeine arbeitsrechtliche Vorschriften, die bei jeglichen Organisationsänderungen zur Anwendungen kommen können. c) Richtlinie 98/59/EG Die Richtlinie 98/59/EG zur Angleichung der Rechtsvorschriften der Mit- 18 gliedstaaten über Massenentlassungen zielt auf eine Milderung der nachteiligen Folgen von Massenentlassungen für die betroffenen Arbeitnehmer ab. Verwirklicht werden soll dieses Ziel in erster Linie durch umfassende Unterrichtungs-, Anhörungs- und Mitwirkungsrechte der Arbeitnehmer bzw. ihrer Vertretungen. In Deutschland finden sich die Regelungen zur Umsetzung der Richtlinie in den Vorschriften der §§ 17 ff. KSchG. Sie können im Rahmen der Einführung von Cloud Computing Bedeutung erlangen, falls es in einem Betrieb aufgrund der Umstellung der IT-Infrastruktur zu einem erheblichen Personalabbau kommt. d) Richtlinie 2001/23/EG Die Richtlinie 2001/23/EG zur Angleichung der Mitgliedstaaten über die 19 Wahrung von Ansprüchen der Arbeitnehmer beim Übergang von Unternehmen, Betrieben oder Unternehmens- oder Betriebsteilen zielt auf den Schutz der Arbeitnehmer und auf die Wahrung ihrer Ansprüche bei einem Inhaberwechsel ab. In Deutschland finden sich die Regelungen zur Umsetzung der Richtlinie in einem einzigen Paragraphen. Die Regelungen in den sechs Absätzen des § 613a BGB zum Betriebsübergang sind seit ihrem Inkrafttreten am 1.1.1980 bereits Gegenstand unzähliger Gerichtsentscheidungen, einschließlich hunderter (veröffentlichter) Urteile des BAG und immerhin 20 veröffentlichter Entscheidungen des EuGH, geworden. Ein klassischer Anwendungsbereich der Vorschriften zum Betriebsübergang sind Outsourcing-Szenarien jeglicher Art. In der Praxis des Cloud Computing stellt ein Betriebsübergang nicht den 20 Regelfall dar, weil der Service-Anbieter typischerweise keine sächlichen Betriebsmittel seines Auftraggebers übernehmen wird, sondern die Leistungen unter Nutzung seiner standardisierten Infrastruktur erbringt. Die Regelugen des § 613a BGB können aber dann zum Tragen kommen, wenn der Anbieter von Cloud Computing-Services im Zuge der Übernahme eines Auftrags eine nennenswerte Zahl von Arbeitnehmern des Auftraggebers, insbesondere aus dessen IT-Abteilung, „übernimmt“ und mit ihren bisherigen Aufgaben weiter beschäftigt, wodurch in diesen Fällen im Einzelfall ein Betriebsteilübergang „ausgelöst“ werden kann (vgl. Rz. 61 f.). 2. Anwendbares Recht und Gerichtsstand Für die arbeitsrechtlichen Fragen, die sich im Zusammenhang mit 21 Cloud Computing stellen können, gelten bezüglich des anzuwendenden Hexel
439
Teil 5
Rz. 22
Arbeitsrecht
Rechts und des für Rechtsstreitigkeiten maßgeblichen Gerichtsstands die allgemeinen arbeitsrechtlichen Regelungen, die sich zum einen in der ROM-I-VO und zum anderen vorwiegend im ArbGG und in der ZPO finden. a) Individualarbeitsrecht aa) Anwendbares Recht 22
Soweit sich im Rahmen der Einführung von Cloud Computing-Services bei einem in Deutschland ansässigen Arbeitgeber für die in Deutschland beschäftigten Mitarbeiter individualrechtliche Fragestellungen ergeben (vgl. dazu Rz. 34 ff.), werden diese in der Praxis in aller Regel nach deutschem Recht zu beantworten sein, wie die nachfolgenden Ausführungen zeigen. Selbst wenn es darum geht, ob eventuell ein (Teil-)Betriebsübergang (vgl. dazu Rz. 54 ff.) von einem deutschen Auftraggeber auf einen ausländischen Cloud-Anbieter erfolgt, beurteilt sich diese Frage regelmäßig nach dem deutschen Recht, wenn die fraglichen Arbeitnehmer zum Zeitpunkt des (vermeintlichen) Betriebsübergangs in einem Betrieb in Deutschland tätig sind1. Umgekehrt dürfte aufgrund der weitgehenden Harmonisierung der Regelungen zum internationalen Privatrecht innerhalb der EU davon auszugehen sein, dass Rechtsfragen in Bezug auf Arbeitnehmer, die in einem anderen EU-Staat – beispielsweise für einen ausländischen Cloud-Anbieter – tätig sind, jeweils nach dem dortigen Recht zu prüfen sind.
23
Dass in der Praxis die individualrechtlichen Fragen, welche die Arbeitsverhältnisse von in Deutschland tätigen Arbeitnehmern betreffen, meist auch nach deutschem Recht zu beurteilen sind, erklärt sich vor folgendem Hintergrund: Hinsichtlich des auf ein Arbeitsverhältnis anwendbaren Rechts gilt im Ausgangspunkt grundsätzlich das Recht der Parteien auf freie Rechtswahl2. Diese kann ausdrücklich erfolgen, aber auch konkludent, beispielsweise durch die Bezugnahme auf bestimmte Tarifverträge oder auf sonstige Regelungen einer bestimmten Rechtsordnung, aber auch durch die Vereinbarung eines Gerichtsstandes3. Der Wille der Parteien, eine Rechtswahl zu treffen, muss sich jedoch nach der für die Rechtswahl in vertraglichen Schuldverhältnissen heute maßgeblichen Rom-I-VO „eindeutig aus den Bestimmungen des Vertrages oder aus den Umständen des Einzelfalls ergeben“, vgl. Art. 3 Abs. 1 Satz 2 RomI-VO. In der Praxis ist es höchst unüblich, das Arbeitsverhältnis eines in Deutschland tätigen Arbeitnehmers, der für einen Arbeitgeber, der seinen Sitz oder eine Niederlassung in Deutschland hat, tätig wird, einem ausländischen Rechtsstatut zu unterstellen. 1 BAG v. 26.5.2011 – 8 AZR 37/10, NZA 2011, 1143. 2 Tschöpe/Kappelhoff, Anwaltshandbuch Arbeitsrecht, G. III 1, Rz. 6. 3 HWK/Tillmanns, Art. 3, 8, 9 Rom-I-VO Rz. 12 ff.; ErfK/Schlachter, Art. 9 Rom I-VO Rz. 6; vgl. auch BAG v. 1.7.2010 – 2 AZR 270/09, RIW 2011, 167–169.
440
Hexel
II. Grundsatzfragen
Rz. 26
Teil 5
Eine solche Rechtswahl hätte im Übrigen auch nur begrenzten Effekt, 24 denn die Wirkungen einer durch die Parteien auf diese Weise vereinbarten Rechtswahl sind nach Maßgabe der Rom-I-VO in mehrfacher Hinsicht eingeschränkt. Zwar erkennt die Rom-I-VO die Möglichkeit der freien Rechtswahl grundsätzlich an; wenn jedoch ein Arbeitsverhältnis insgesamt überhaupt nur an einen Staat anknüpft, ohne jegliche Auslandsberührung aufzuweisen, bleibt das gesamte zwingende Recht dieses Staates ungeachtet einer abweichenden Rechtswahl der Parteien anwendbar, sog. „Einbettungsstatut“ gem. Art. 3 Abs. 3 Rom-I-VO1. Überdies bestimmt Art. 8 Abs. 1 Satz 2 Rom-I-VO, dass dem Arbeitnehmer, der regelmäßig als der schwächere Vertragspartner angesehen wird, durch eine Rechtswahl auch bei einem Arbeitsverhältnis mit Auslandsberührung, für das insoweit Art. 3 Abs. 3 Rom-I-VO nicht greift, nicht der Schutz solcher zwingender Rechtsvorschriften entzogen werden darf, welche bei der nachfolgend beschriebenen objektiven Anknüpfung (vgl. Rz. 25) auf das Arbeitsverhältnis Anwendung finden würden2. Ergibt also ein Vergleich der Rechtsvorschriften des gewählten Rechts mit zwingenden Vorschriften des bei objektiver Anknüpfung maßgeblichen Rechts, dass dessen Regelungen zum Schutz des Arbeitnehmers für diesen günstigere Regelungen enthalten, als das gewählte Recht sie vorsieht, so setzen sich diese günstigeren Schutzvorschriften durch3. Fehlt es an einer Rechtswahl der Parteien, so bestimmt sich das anzu- 25 wendende Recht nach den Regelungen des Art. 8 Abs. 2 bis 4 Rom-I-VO. Dort werden objektive Anknüpfungspunkte beschrieben, nach denen das anwendbare Recht mangels Rechtswahl der Parteien zu bestimmen ist4. Nach Art. 8 Abs. 4 Rom-I-VO kann schließlich ungeachtet der Anknüpfungspunkte nach Absätzen 2 und 3 das Recht eines anderen Staates zur Anwendung kommen, wenn sich aus der Gesamtheit der Umstände ergibt, dass der Arbeitsvertrag eine engere Bindung zu diesem Staat aufweist5. Schließlich enthält Art. 9 Rom-I-VO noch Regelungen zugunsten des 26 deutschen sowie international zwingenden Rechts. Ein zuständiges deutsches Gericht hat danach sog. Eingriffsnormen des deutschen Rechts stets anzuwenden, vgl. Abs. 26. Als Eingriffsnormen in diesem Sinne, die sich dadurch kennzeichnen, dass sie zumindest auch dem öffentlichen Gemeinwohlinteresse dienen, hat das BAG beispielsweise die Vorschrif-
1 HWK/Tillmanns, Art. 3, 8, 9 Rom-I-VO Rz. 27; ErfK/Schlachter, Art. 9 Rom I-VO Rz. 20. 2 HWK/Tillmanns, Art. 3, 8, 9 Rom-I-VO Rz. 26; ErfK/Schlachter, Art. 9 Rom I-VO Rz. 29 ff. 3 Tschöpe/Kappelhoff, Anwaltshandbuch Arbeitsrecht, G. III 1, Rz. 8 ff. 4 HWK/Tillmanns, Art. 3, 8, 9 Rom-I-VO Rz. 16 ff.; ErfK/Schlachter, Art. 9 Rom I-VO Rz. 8 ff. 5 Tschöpe/Kappelhoff, Anwaltshandbuch Arbeitsrecht, G. III 1, Rz. 15 ff. 6 ErfK/Schlachter, Art. 9 Rom I-VO Rz. 33. Hexel
441
Teil 5
Rz. 27
Arbeitsrecht
ten zur Massenentlassung nach §§ 17 ff. KSchG1 sowie Regelungen zum Schutz von Müttern (§ 14 MuSchG) oder Kranken (§ 3 EFZG)2 angesehen. Für individualarbeitsrechtliche Fragen des Cloud Computing dürfte es im deutschen Recht – jenseits des Datenschutzes (vgl. Teil 4) – an relevanten Eingriffsnormen vergleichbarer Art fehlen. 27
Von noch geringerer Bedeutung dürften im Kontext des Cloud Computing im Arbeitsrecht die weiteren Einschränkungen der Rom-I-VO sein. Theoretisch könnten sich danach auch Eingriffsnormen eines ausländischen Staates, in dem der Arbeitnehmer regelmäßig seine Arbeitsleistung erbringt, unter den weiteren Voraussetzungen von Art. 9 Abs. 3 Rom-I-VO als Eingriffsnormen gegenüber dem ansonsten anwendbaren Recht durchsetzen. Erforderlich wäre dafür nach den weiteren Voraussetzungen von Art. 9 Abs. 3 Rom-I-VO, dass die Verletzung der fraglichen Normen zur Rechtswidrigkeit der Erfüllung des Arbeitsvertrages als solchem führen könnte. Dies ist in der Praxis kaum denkbar. Auch der ordre-public-Vorbehalt des Art. 21 Rom-I-VO spielt im Arbeitsrecht insgesamt angesichts der weitgehenden Harmonisierung keine praktische Rolle3. bb) Gerichtsstand
28
Funktionell zuständig für Streitigkeiten aus einem Arbeitsverhältnis sind nach § 2 Abs. 1 ArbGG ausschließlich die Arbeitsgerichte. Ein in Deutschland tätiger Arbeitnehmer wird, wie die nachfolgenden Ausführungen zeigen, regelmäßig gegen seinen Arbeitgeber vor einem deutschen Arbeitsgericht klagen können. Für den Gerichtsstand zur Anhängigmachung individualarbeitsrechtlicher Streitigkeiten gelten dabei zunächst die allgemeinen Regelungen der ZPO. So kann der Arbeitnehmer seinen Arbeitgeber insbesondere am allgemeinen Gerichtsstand des Sitzes bzw. Wohnorts verklagen und umgekehrt, § 12 i.V.m. § 13 bzw. § 17 ZPO. Wenn der Arbeitgeber in Deutschland keinen Sitz hat, kann dennoch ein besonderer Gerichtsstand der Niederlassung nach § 21 ZPO gegeben sein. Selbst wenn dies nicht der Fall ist, wird der klagende Arbeitnehmer regelmäßig ein deutsches Gericht anrufen können.
29
So besteht nach § 29 ZPO die Möglichkeit der Klage am Gerichtsstand des Erfüllungsorts. Erfüllungsort für die Verpflichtungen aus dem Arbeitsverhältnis ist regelmäßig der Sitz des Betriebes, an dem der Arbeitnehmer seine Arbeitsleistung regelmäßig erbringt4.
1 Vgl. Ausführungen bei BAG v. 24.8.1989 – 2 AZR 3/89, NZA 1990, 841 (unter A. II. 6. c der Gründe). 2 BAG v. 12.12.2001 – 5 AZR 255/00, NZA 2002, 734. 3 HWK/Tillmanns, Art. 3, 8, 9 Rom-I-VO Rz. 37; ErfK/Schlachter, Art. 9 Rom I-VO Rz. 26. 4 BAG v. 3.12.1985 – 4 AZR 325/84, AP Nr. 5 zu § 1 TVG Tarifverträge Großhandel; GMP/Germelmann, § 48 Rz. 42.
442
Hexel
II. Grundsatzfragen
Rz. 32
Teil 5
Darüber hinaus ergibt sich seit dem 1.4.2008 aus § 48 Abs. 1a ArbGG der 30 besondere Gerichtsstand des Arbeitsorts. Arbeitsgerichtliche Urteilsverfahren können nach Satz 1 der Vorschrift immer auch bei dem Arbeitsgericht anhängig gemacht werden, in dessen Bezirk der Arbeitnehmer gewöhnlich seine Arbeit verrichtet oder zuletzt gewöhnlich verrichtet hat1. § 48 Abs. 1a Satz 2 ArbGG enthält darüber hinaus einen Auffangtatbestand für Fälle, in denen sich ein gewöhnlicher Arbeitsort nicht feststellen lässt, wie beispielsweise bei Vertretern, Außendienstmitarbeitern oder Monteuren. Lässt sich hier feststellen, dass jedenfalls der (zeitliche) Schwerpunkt der Tätigkeit sich in einem Gerichtsbezirk ausmachen lässt, kann der Arbeitnehmer dort klagen2. Möglich ist dabei auch, dass der Schwerpunkt dort gesehen wird, von wo aus der Arbeitnehmer seine Tätigkeit organisiert, beispielsweise von einem eingerichteten Büro aus3. Dies kann durchaus zur Begründung eines Gerichtsstands am Wohnort des Außendienstmitarbeiters führen4. Nur eine sehr untergeordnete Rolle spielen im Arbeitsrecht Gerichts- 31 standsvereinbarungen. Die in § 38 Abs. 1 ZPO allgemein eröffnete Möglichkeit zur Vereinbarung eines Gerichtsstands scheitert regelmäßig daran, dass der Arbeitnehmer nicht zu dem Personenkreis gehört, der von der Vorschrift erfasst ist5. Im Arbeitsvertrag kann also eine Gerichtsstandsvereinbarung allenfalls unter den Voraussetzungen des § 38 Abs. 2 ZPO wirksam vorgenommen werden, wenn wenigstens eine der Vertragsparteien keinen allgemeinen Gerichtsstand in Deutschland hat6. Im Übrigen bleibt nur die ausdrückliche und schriftliche Gerichtsstandsvereinbarung gemäß § 38 Abs. 3 ZPO, die jedoch erst nach Entstehen der Streitigkeit, die gerichtlich beigelegt werden soll, wirksam getroffen werden kann. b) Kollektives Arbeitsrecht aa) Anwendbares Recht Wie eingangs des Kapitels erläutert wurde, kommen im Bereich des kol- 32 lektiven Arbeitsrechts im Zusammenhang mit dem Cloud Computing in erster Linie Mitbestimmungsrechte der Betriebsräte und damit Streitigkeiten zwischen den Arbeitnehmervertretungen und dem Arbeitgeber in Betracht. Die einschlägigen Rechte der deutschen Betriebsräte gründen alle jeweils auf deren Stellung nach Maßgabe des BetrVG, weil der Betriebsrat nur im Rahmen der Betriebsverfassung als Rechtssubjekt 1 GMP/Germelmann, § 48 Rz. 34 ff. 2 GMP/Germelmann, § 48 Rz. 36; s. zu Einzelheiten auch Domröse, DB 2008, 1626 (1630). 3 GMP/Germelmann, § 48 Rz. 36; Domröse, DB 2008, 1626 (1630); zum Europäischen Recht auch EuGH v. 9.1.1997 – C-383/95, NZA 1997, 227. 4 Bergwitz, NZA 2008, 443 (445). 5 GMP/Germelmann, § 48 Rz. 54. 6 ErfK/Koch, ArbGG § 48 Rz. 22. Hexel
443
Teil 5
Rz. 33
Arbeitsrecht
anerkannt ist1. Das deutsche Betriebsverfassungsgesetz ist gemäß dem Territorialitätsprinzip auf alle Betriebe anzuwenden, die in Deutschland liegen, ohne dass es auf die Nationalität des Arbeitgebers ankommt2. Unmittelbare Rechte der Betriebsräte gegenüber Dritten, insbesondere beispielsweise einem Anbieter von Cloud Computing-Services, mit dem der Arbeitgeber zusammenarbeitet, gibt es nach dem deutschen Betriebsverfassungsrecht nicht. Insoweit sind die Betriebsräte darauf beschränkt, ihren Arbeitgeber mit den Mitteln der Betriebsverfassung anzuhalten, auf den Dritten einzuwirken, damit etwaige Verletzungen der Rechte des Betriebsrats durch die Einschaltung des Dritten unterbleiben3. Wo der Anbieter von Cloud Computing-Services, den der Arbeitgeber beauftragt hat, seinen Sitz hat, ist insoweit also unbeachtlich, soweit es um die Rechte von dessen Betriebsrat geht. Ob der Anbieter seinerseits dem BetrVG unterliegt, richtet sich danach, ob er in Deutschland einen Betrieb unterhält. bb) Gerichtsstand 33
Soweit es zwischen den Betriebsparteien nach dem BetrVG zu Streitigkeiten kommt, eröffnet das ArbGG die Möglichkeit, ein arbeitsgerichtliches Beschlussverfahren gem. § 2a ArbGG einzuleiten. Die Arbeitsgerichte haben für solche Streitigkeiten eine ausschließliche Zuständigkeit. Örtlich zuständig ist nach § 82 Abs. 1 Satz 1 ArbGG regelmäßig das Arbeitsgericht, in dessen Bezirk der Betrieb liegt, auf den sich der Rechtsstreit bezieht. Maßgeblich ist danach der Betriebssitz, also der Ort an dem die Verwaltung des Betriebes ihre Tätigkeit entfaltet4. Auf den Unternehmenssitz, der insoweit nach § 17 ZPO zu bestimmen ist, kommt es gemäß § 82 Abs. 1 Satz 2 ArbGG nur an, wenn es um Streitigkeiten zwischen dem Arbeitgeber und dem Gesamtbetriebsrat im Rahmen von dessen originärer Zuständigkeit geht, wenn also Fragen auf Unternehmensebene, nicht in Bezug auf lediglich einen Betrieb, in Streit stehen5.
III. Fragen des Individualarbeitsrechts 34
Das Individualarbeitsrecht betrifft die Rechtsbeziehungen, die zwischen einem einzelnen Arbeitnehmer und seinem Arbeitgeber bestehen. Dies können Rechte sein, die unmittelbar aus dem zwischen den beiden ge1 Fitting, § 1 Rz. 195; GK-BetrVG/Franzen, BetrVG § 1 Rz. 74. 2 Fitting, § 1 Rz. 13 f.; GK-BetrVG/Franzen, BetrVG § 1 Rz. 4 f. 3 Vgl. dazu BAG v. 18.4.2000 – 1 ABG 22/99, NZA 2000, 1176; BAG v. 27.1.2004 – 1 ABR 7/03, NZA 2004, 556; Wiese, NZA 2003, 1113 (1120). 4 GMP/Matthes/Spinner, § 82 Rz. 8; LAG Baden-Württemberg v. 7.8.2009 – 3 SHa 2/09, LAGE § 82 ArbGG 1979 Nr. 2. 5 BAG v. 19.6.1986 – 6 ABR 66/84, BB 1987, 551; GMP/Matthes/Spinner, § 82 Rz. 9, 11.
444
Hexel
III. Fragen des Individualarbeitsrechts
Rz. 37
Teil 5
schlossenen Arbeitsvertrag stammen. Es kann aber auch um Rechte gehen, die sich aus einem der zahlreichen Gesetze ergeben, die – ausschließlich oder in Teilen – das Verhältnis zwischen dem einzelnen Arbeitnehmer und seinem Arbeitgeber betreffen. Im Hinblick auf Fragen des Cloud Computing soll hier in erster Linie betrachtet werden, welche arbeitsrechtlichen Vorschriften ein Arbeitgeber zu beachten hat, der sich dazu entschließt, sein IT-System oder Teile davon auf Cloud-Services umzustellen. 1. Beschäftigtendatenschutz Es liegt auf der Hand, dass die Rechte der Arbeitnehmer betroffen sein 35 können, sobald deren Daten im Rahmen des Cloud Computing auf Medien übertragen werden, die nicht mehr im unmittelbaren Einflussbereich des Arbeitgebers stehen. Die sich dann ergebenden praktisch sehr bedeutsamen Fragen der Sicherung des Beschäftigtendatenschutzes im Rahmen des Cloud Computing sind nach den in Teil 4 dargestellten allgemeinen Grundsätzen zu betrachten. 2. Weisungsrecht des Arbeitgebers nach § 106 GewO a) Grundlagen Wenn sich ein Arbeitgeber dazu entschließt, Cloud-Services zu nutzen, 36 hat er zwar die allgemeinen Schutzvorschriften, insbesondere die des BDSG, zugunsten seiner Arbeitnehmer zu berücksichtigen. Im Übrigen kann der einzelne Arbeitnehmer jedoch den Entschluss seines Arbeitgebers rechtlich nicht beeinflussen. Arbeitsvertraglich schuldet der Arbeitnehmer seine Arbeitsleistung. Einzelheiten der von ihm geschuldeten Tätigkeit legt der Arbeitgeber fest. Dies gilt insbesondere für deren Inhalt, aber auch im Hinblick auf die dazu zu verwendenden (technischen) Arbeitsmittel, welche der Arbeitgeber im Rahmen seines Direktionsrechts einseitig festlegt, vgl. § 106 GewO1. Begrenzt wird das Direktionsrecht des Arbeitgebers, wie sich aus § 106 37 GewO ergibt, zum einen durch Vereinbarungen im Arbeitsvertrag, durch Bestimmungen in Betriebsvereinbarungen oder durch einen anwendbaren Tarifvertrag. Es dürfte einen Ausnahmefall darstellen, dass derartige Regelungen das Recht des Arbeitgebers zur Nutzung von Cloud Computing-Services in der Praxis beschränken. Darüber hinaus hat der Arbeitgeber im Rahmen der Ausübung seiner Weisungsrechte nach § 106 GewO immer die Grenzen billigen Ermessens (nach § 315 BGB) zu wahren. Regelmäßig werden die Einführung von Cloud Computing-Services
1 ErfK/Preis, § 106 GewO Rz. 15; Gaul, BB 2011, 2229 (2234); vgl. auch LAG Niedersachsen v. 12.9.2011 – 8 Sa 355/11 (n. rkr.; Revision anhängig beim BAG – 10 AZR 270/12); LAG Hamm v. 8.2.2007 – 17 Sa 1453/06; LAG Hessen v. 19.12.2005 – 16 Sa 423/05. Hexel
445
Teil 5
Rz. 38
Arbeitsrecht
und die damit einhergehende Anweisung an die Arbeitnehmer zur Arbeit mit den entsprechenden Anwendungen nicht unbillig sein. b) Sanktionen 38
Sollte es bei der Einführung und Nutzung von Cloud Computing Services gegenüber dem einzelnen Arbeitnehmer im Ausnahmefall doch einmal zu einer Überschreitung des Direktionsrechts des Arbeitgebers kommen, könnte der Arbeitnehmer eine diesbezügliche Arbeitsanweisung unberücksichtigt lassen und ihr zuwider handeln, ohne dadurch seine arbeitsvertraglichen Pflichten zu verletzen1. 3. Unterrichtungs- und Fortbildungsrechte des Arbeitnehmers a) Grundlagen
39
Wenn auch der einzelne Arbeitnehmer, wie oben dargelegt (vgl. dazu Rz. 36), in aller Regel keine Möglichkeit haben wird, sich gegen die Einführung bzw. Nutzung von Cloud Computing-Services durch seinen Arbeitgeber zu „wehren“, so können sich für ihn je nach Fallkonstellation aufgrund der Entscheidung des Arbeitgebers dennoch bestimmte Rechte ergeben. So ist der Arbeitgeber nach § 81 Abs. 2 BetrVG gehalten, den vom Geltungsbereich des BetrVG erfassten Arbeitnehmer über Veränderungen in seinem Arbeitsbereich rechtzeitig zu unterrichten2. Relevante Änderungen, über die der Arbeitnehmer zu unterrichten ist, können sich dabei sowohl im Hinblick auf die Arbeitsorganisation und auf Arbeitsabläufe ergeben als auch im Hinblick auf die von dem Arbeitnehmer bei der Arbeit zu verwendende Technik3. § 81 Abs. 4 BetrVG sieht ein Unterrichtungsrecht speziell im Hinblick auf die Planung von technischen Anlagen und damit einhergehende Maßnahmen vor. Als technische Anlagen in diesem Sinne können auch EDV-Anlagen angesehen werden4. Eine Umstellung vorhandener eigener EDV-Technik des Arbeitgebers auf Anwendungen in der Cloud kann zu relevanten Änderungen führen und damit die Unterrichtungsrechte einzelner Arbeitnehmer auslösen. Denkbar sind derartige Änderungen bei der Einführung von Cloud ComputingServices theoretisch bei allen Arbeitnehmern, die mit den fraglichen IT-Systemen arbeiten, insbesondere also bei den verantwortlichen Mitarbeitern der IT-Abteilung. Dabei dürften in der Praxis relevante Änderungen, die eine Unterrichtung von Arbeitnehmern erforderlich machen, bei der Nutzung von PaaS- und SaaS-Angeboten eher eintreten, als bei IaaS-Angeboten (vgl. zu den Unterschieden Teil 1 A Rz. 10 ff.). Die bloße 1 BAG v. 25.10.1989 – 2 AZR 633/88, NZA 1990, 561; HWK/Lembke, § 106 GewO Rz. 133. 2 GK-BetrVG/Wiese/Franzen, BetrVG § 81 Rz. 7. 3 Fitting, § 81 Rz. 17; GK-BetrVG/Wiese/Franzen, BetrVG § 81 Rz. 8. 4 Fitting, § 90 Rz. 21; GK-BetrVG/Wiese/Franzen, BetrVG § 81 Rz. 14; vgl. auch LAG Hamburg v. 20.6.1985 – 7 TaBv 10/84, BB 1985, 2110.
446
Hexel
III. Fragen des Individualarbeitsrechts
Rz. 41
Teil 5
Nutzung externer Speicher- oder Rechenleistungsressourcen wird in aller Regel nicht zu spürbaren Änderungen der täglichen Arbeit mit den ITSystemen führen, während solche Änderungen bei der Anwendung neuer Software (unabhängig davon, wer deren Lizenznehmer ist) durchaus vorkommen mögen. Gerade wenn bei einem Arbeitgeber die Umstellung auf Cloud Compu- 40 ting-Services zur Nutzung neuer Software führt, ist es auch nicht ausgeschlossen, dass sich für die Arbeitnehmer, die mit der entsprechenden Software arbeiten müssen, aus § 81 Abs. 4 Satz 2 BetrVG noch weiter gehende Rechte ergeben. Sobald feststeht, dass sich wegen der Nutzung von Cloud-Anwendungen die Tätigkeit eines Arbeitnehmers ändern wird, und die beruflichen Kenntnisse oder Fähigkeiten des Arbeitnehmers zur Erfüllung seiner Aufgaben nicht mehr ausreichen werden, hat er einen Anspruch darauf, dass der Arbeitgeber mit ihm die Möglichkeiten zur Anpassung seiner fehlenden Kenntnisse und Fähigkeiten erörtert. Dazu kann der Arbeitnehmer auf seinen Wunsch ein Mitglied des Betriebsrats hinzuziehen, vgl. § 81 Abs. 4 Satz 3 BetrVG. Gegenstand der Erörterungen könnte im Kontext des Cloud Computing beispielsweise die Frage sein, ob und inwieweit einzelne Arbeitnehmer, um mit den Cloud-Anwendungen arbeiten zu können, einer vorherigen inner- oder außerbetrieblichen Weiterbildungsmaßnahme bedürfen1. Es besteht aufgrund entsprechender Aussagen in der Gesetzesbegründung Einigkeit, dass sich aus dem Erörterungsrecht des Arbeitnehmers hinsichtlich der Möglichkeiten und einer etwaigen Notwendigkeit von Fortbildungsmaßnahmen nicht auch ein Anspruch auf eine entsprechende Qualifikationsmaßnahme ergibt2. b) Sanktionen Auch wenn sich für den einzelnen Arbeitnehmer aus dem Erörterungs- 41 recht nach § 81 Abs. 4 Satz 2 BetrVG kein unmittelbarer Anspruch auf notwendige Qualifizierungsmaßnahmen ergibt, ist ein Verstoß des Arbeitgebers gegen seine Erörterungspflichten nicht folgenlos. Ob der Arbeitnehmer seinen Erörterungsanspruch unmittelbar im Wege der Leistungsklage, ggf. auch mittels Antrags auf eine einstweilige Verfügung einklagen kann, ist nicht ganz unumstritten, wenngleich dies überwiegend bejaht wird3. Unter Umständen können Arbeitnehmer, deren Recht auf Erörterung missachtet wird, ein Leistungsverweigerungsrecht nach § 273 BGB ausüben, d.h. sie brauchen ihre Arbeitsleistung nicht zu erbringen, behalten aber dennoch ihre Ansprüche auf Entgeltzahlung4. In 1 Fitting, § 81 Rz. 25; GK-BetrVG/Wiese/Franzen, BetrVG § 81 Rz. 21. 2 S. Nachweise bei GK-BetrVG/Wiese/Franzen, BetrVG § 81 Rz. 21. 3 Für ein einklagbares Recht sprechen sich beispielsweise aus: GK-BetrVG/Wiese/ Franzen, BetrVG vor § 81 Rz. 35; Fitting, § 81 Rz. 28; DKKW/Buschmann, § 81 BetrVG Rz. 24; anders: v. Hoyningen-Huene, BetrVG § 13 Rz. 8. 4 Fitting, § 81 Rz. 28, AR-Blattei SD/Hergenröder, 1880 Rz. 117. Hexel
447
Teil 5
Rz. 42
Arbeitsrecht
Betracht kommen wird dies im Kontext der Umstellung von IT-Anwendungen auf Cloud Computing allerdings nur, wenn der Verstoß von einem gewissen Gewicht ist, d.h. wenn der Arbeitnehmer aufgrund der fehlenden Unterrichtung und Erörterung an der ordnungsgemäßen Erbringung seiner Arbeitsleistung gehindert ist. Insoweit sind die Grundsätze von Treu und Glauben nach § 242 BGB zu berücksichtigen, so dass das Bestehen eines Leistungsverweigerungsrechts im Einzelnen zu prüfen ist1. Rechtstheoretisch denkbar sind auch Ansprüche auf Schadenersatz, da es sich bei den Unterrichtungs- und Erörterungspflichten um vertragliche Nebenpflichten handelt und da die individualrechtlichen Regelungen des § 81 BetrVG nach vielfach vertretener Auffassung Schutzgesetze i.S.v. § 823 Abs. 2 BGB sein sollen2. Es fällt allerdings schwer, sich in der Praxis einen erstattungsfähigen Schaden wegen des Ausbleibens der Unterrichtung und Erörterung durch den Arbeitgeber vorzustellen. 42
Relevanz kann die Verletzung der Pflichten des Arbeitgebers nach § 81 Abs. 4 BetrVG gegenüber dem einzelnen Arbeitnehmer möglicherweise haben, wenn es aufgrund der Einführung von Cloud Computing zur Notwendigkeit der Kündigung von Arbeitsverhältnissen kommt. Wenn der Arbeitgeber seinen Pflichten nicht nachgekommen ist, soll er gehindert sein, gegenüber betroffenen Arbeitnehmern eine personenbedingte Kündigung (wegen mangelnder Qualifikation) zu erklären, falls er ihnen nicht zuvor ausreichend Zeit zum Erwerb der fraglichen Qualifikationen eingeräumt hat3 (zu Fragen der betriebsbedingten Kündigung: vgl. nachfolgende Rz. 44 ff.). In der Praxis scheint diesem Ausschluss der personenbedingten Kündigung indes keine größere Relevanz zuzukommen; veröffentlichte Entscheidungen zu der Vorschrift gibt es kaum4. 4. Mögliche Notwendigkeit der Kündigung von Arbeitsverhältnissen a) Grundlagen
43
Es ist denkbar – wenn auch keineswegs zwingend –, dass die Einführung bzw. erstmalige Nutzung von Cloud Computing-Services bei einem Arbeitgeber dazu führt, dass der Arbeitsbedarf im Betrieb, der durch seine eigenen Mitarbeiter zu erledigen ist, sinkt. So kann beispielsweise bei der Inanspruchnahme von IaaS-Angeboten die Notwendigkeit zur Installation und Wartung eigener Speichermedien zurückgehen oder entfallen, wodurch Ressourcen in der IT-Abteilung des Arbeitgebers frei werden können. Im Rahmen einer umfassenden SaaS-Dienstleistung könnten diejenigen Arbeiten überflüssig werden, die mit dem Lizenzmanagement zusammenhängen (vgl. zu typischen Service-Umfängen Teil 3 Rz. 185 ff.). Von 1 GK-BetrVG/Wiese/Franzen, BetrVG vor § 81 Rz. 37 (m.w.N.). 2 GK-BetrVG/Wiese/Franzen, BetrVG vor § 81 Rz. 39 (m.w.N.). 3 Fitting, § 81 Rz. 28; DKKW/Buschmann, § 81 BetrVG Rz. 25; Löwisch, BB 1988, 1953 (1954); wohl auch: Hunold, DB 2009, 846 (849). 4 S. aber ArbG Bochum v. 20.4.2006 – 4 Ca 3329/05, NZA-RR 2006, 643.
448
Hexel
III. Fragen des Individualarbeitsrechts
Rz. 45
Teil 5
Cloud Computing betroffen sind demnach in der Regel die IT-Abteilung und ggf. die Einkaufsabteilung. Ein solcher Wegfall des innerbetrieblichen Beschäftigungsbedarfs kann, wenn er nicht mit einem Betriebsübergang verbunden ist (vgl. dazu nachfolgende Rz. 53 ff.), bei dem Arbeitgeber zu einem Arbeitskräfteüberhang führen. Auf der Seite des Anbieters von Cloud-Services kann sich ein Bedarf zur Verringerung seiner Personalstärke im Falle eines starken Auftragseinbruchs ergeben, aber auch dann, wenn aufgrund eines – vielleicht auch unbeabsichtigten – Betriebsübergangs die Arbeitsverhältnisse von Arbeitnehmern des Auftraggebers kraft Gesetzes auf den Anbieter übergehen. aa) Betriebsbedingte Kündigung Führen die betrieblichen Umstellungen, die sich aufgrund der Einfüh- 44 rung von Cloud Computing bei einem Arbeitgeber ergeben, dauerhaft zu einem Wegfall von Arbeitsbedarf und damit zu einem langfristigen Personalüberhang, kann dies je nach den Umständen des Einzelfalls gemäß § 1 Abs. 2 3. Variante KSchG ein Grund für die betriebsbedingte Kündigung von Arbeitsverhältnissen sein. Auf der Seite des Anbieters können Auftragsschwankungen hingegen erst dann eine betriebsbedingte Kündigung rechtfertigen, wenn sich die Nachfrage dauerhaft verschlechtert und das Arbeitsvolumen nachhaltig zurückgeht. Die übliche Volatilität bei den Auftragseingängen, die nur zu kurz- oder mittelfristigen Personalüberhängen führt, genügt zur sozialen Rechtfertigung einer Kündigung regelmäßig nicht. Betriebsbedingte Gründe ermöglichen einem Arbeitgeber, unter be- 45 stimmten Voraussetzungen die Arbeitsverhältnisse auch solcher Arbeitnehmer zu beenden, die gemäß § 1 Abs. 1 KSchG i.V.m. § 23 KSchG allgemeinen Kündigungsschutz genießen. Voraussetzung dafür wäre unter anderem, dass in dem betroffenen Betrieb des Arbeitgebers durch die Nutzung von Cloud Computing-Leistungen auch tatsächlich ein Personalüberhang entsteht, weil nicht an anderer Stelle im Betrieb zusätzliche Arbeiten anfallen, etwa zur Überwachung und Steuerung des CloudAnbieters. Ausgeschlossen wäre eine betriebsbedingte Kündigung auch dann, wenn es im zeitlichen Kontext der Umstellung auf die Cloud aus anderen Gründen zu einem Austritt von Personal oder sonst zu einem Rückgang der Personalstärke im Betrieb (z.B. wegen Umstellung auf Teilzeit, Eintritt in Elternzeit, Entsendung von Mitarbeitern) kommt1. Nach dem kündigungsschutzrechtlich zu beachtenden sog. Ultima-Ratio-Prinzip“2 muss der Arbeitgeber, bevor er wirksam eine betriebsbedingte Kündigung, ggf. auch als sog. Änderungskündigung (vgl. § 2 KSchG), erklären kann, versuchen, durch innerbetriebliche Maßnahmen kraft des ihm 1 Vgl. zum Arbeitskräfteüberhang als Voraussetzung für eine betriebsbedingten Kündigung KR/Griebeling, § 1 KSchG Rz. 514 f.; HWK/Quecke, § 1 KSchG Rz. 262 ff. 2 Vgl. erstmals BAG v. 30.5.1978 – 2 AZR 630/76, BB 1978, 1310. Hexel
449
Teil 5
Rz. 46
Arbeitsrecht
gegebenen Weisungs- und Versetzungsrechts gem. § 106 GewO und eventuell durch eine ergänzende Qualifikation von Arbeitnehmern die verbleibende Arbeit im Betrieb so aufzuteilen, dass die Trennung von Arbeitnehmern vermieden werden kann1. Außerdem ist der Arbeitgeber nach der inzwischen überwiegend vertretenen Auffassung im Geltungsbereich des KSchG unter Umständen gehalten, zuerst den Einsatz etwaig in seinem Betrieb tätiger Leiharbeitnehmer zu beenden, ehe er sich im Wege der Kündigung von seinem eigenen Personal trennt2. Die Möglichkeiten, sich von Leiharbeitnehmern zu trennen, richten sich dabei nach den mit dem Verleiher getroffenen Vereinbarungen, nicht nach dem KSchG. Typischerweise ist hier die Beendigung des Leiharbeitsverhältnisses innerhalb kürzester Fristen möglich. Die Bewahrung dieser Flexibilität ist häufig der tragende Grund für den Einsatz von Leiharbeitnehmern anstelle eigenen Personals. 46
Gleichermaßen steht es der Wirksamkeit einer betriebsbedingten Kündigung entgegen, wenn der Arbeitgeber die Möglichkeit hätte, den Arbeitnehmer auf einer freien Stelle in einem anderen Betrieb des Unternehmens – auch zu veränderten Arbeitsbedingungen – weiter zu beschäftigen3. Für eine Beendigungskündigung liegen bei Weiterbeschäftigungsmöglichkeiten auf freien Arbeitsplätzen im Unternehmen keine dringenden betrieblichen Erfordernisse i.S.d. § 1 Abs. 2 KSchG vor. Das Merkmal der „Dringlichkeit“ der betrieblichen Erfordernisse konkretisiert nach Auffassung des BAG insoweit den Grundsatz der Verhältnismäßigkeit (Ultima-ratio-Prinzip), aus dem sich ergeben soll, dass der Arbeitgeber vor jeder ordentlichen Beendigungskündigung von sich aus dem Arbeitnehmer grundsätzlich eine Beschäftigung auf einem freien Arbeitsplatz auch zu geänderten Arbeitsbedingungen anbieten müsse4. Voraussetzung dafür ist, dass der betroffene Arbeitnehmer für die Besetzung der Stelle die notwendigen Qualifikationen aufweist5. Im Rahmen von Cloud Computing werden, wenn es zum Wegfall von Arbeitsplätzen kommt, in vielen Fällen spezialisierte Fachkräfte betroffen sein, deren Einsetzbarkeit an anderer Stelle im Betrieb – gerade auch außerhalb von Abteilungen mit IT-Bezug – häufig nicht gegeben sein wird. Die Auswirkungen dieser Einschränkung der Kündigungsmöglichkeit dürften insoweit eher als gering einzuschätzen sein.
47
Hinsichtlich der Weiterbeschäftigungsmöglichkeiten, welche die soziale Rechtfertigung einer betriebsbedingten Kündigung ausschließen können, gibt es zugunsten des Arbeitgebers noch einige Einschränkungen. Nach ganz überwiegender Auffassung ist der Arbeitgeber nicht verpflichtet, ei1 KR/Griebeling, § 1 KSchG Rz. 214 f.; HWK/Quecke, § 1 KSchG Rz. 272. 2 Vgl. zu Einzelheiten BAG v. 18.10.2012 – 6 AZR 289/11, NZA-RR 2013, 68; BAG v. 15.12.2011 – 2 AZR 42/10, NZA 2012, 1044; KR/Griebeling, § 1 KSchG Rz. 219a; HWK/Quecke, § 1 KSchG Rz. 275. 3 BAG v. 21.9.2006 – 2 AZR 607/05, NZA 2007, 431. 4 BAG v. 21.9.2006 – 2 AZR 607/05, NZA 2007, 431. 5 KR/Griebeling, § 1 KSchG Rz. 224; HWK/Quecke, § 1 KSchG Rz. 276.
450
Hexel
III. Fragen des Individualarbeitsrechts
Rz. 48
Teil 5
nem Arbeitnehmer zur Abwendung einer Kündigung eine freie Stelle anzubieten, wenn damit eine Beförderung des Arbeitnehmers verbunden wäre; darauf hat der Betroffene keinen Anspruch1. Außerdem ist das Kündigungsschutzgesetz grundsätzlich unternehmensbezogen, d.h. der Arbeitgeber muss in aller Regel nur geeignete freie Stellen im eigenen Unternehmen anbieten. Zur einer „Unterbringung“ des Arbeitnehmers bei einem konzernverbundenen Unternehmen ist er im Rahmen des Kündigungsschutzrechts also nicht verpflichtet, selbst wenn dort freie Arbeitsplätze vorhanden sind2. Wenn beispielsweise innerhalb einer Unternehmensgruppe im Rahmen einer Umstellung auf Cloud-Services alle IT-Aktivitäten in einem Unternehmen der Gruppe zentralisiert werden, so dass in den Einzelunternehmen Arbeitsplätze im IT-Bereich wegfallen, verpflichtet das KSchG das Einzelunternehmen grundsätzlich nicht, dafür Sorge zu tragen, dass eigene IT-Mitarbeiter anstelle entlassen zu werden in die IT-Gesellschaft überführt werden. Ein Übergang der Arbeitsverhältnisse kann freilich je nach Fallgestaltung gemäß § 613a BGB erfolgen (s. dazu Rz. 53 ff.). Auch kann sich eine Verpflichtung zur Unterbringung von Arbeitnehmern innerhalb des Konzernverbundes aus etwaig bestehenden Konzernbetriebsvereinbarungen über eine unternehmensübergreifende Weiterbeschäftigungspflicht ergeben, was nicht ungewöhnlich ist3. bb) Sozialauswahl Erweist sich die Trennung von Arbeitnehmern aufgrund der Einführung 48 von Cloud Computing-Services und des sich daraus ergebenden zurückgegangenen Beschäftigungsbedarfs als unvermeidlich in dem oben dargestellten Sinne, so gilt es Weiteres zu beachten. Nach den Grundsätzen des KSchG zur betriebsbedingten Kündigung führt der Wegfall von Beschäftigungsbedarf nicht dazu, dass unbedingt die Arbeitsverhältnisse gerade derjenigen Arbeitnehmer beendet werden können, deren Arbeitsplatz durch die betrieblichen Umstellungen unmittelbar wegfällt bzw. betroffen ist. Vielmehr hat der Arbeitgeber bei betriebsbedingten Kündigungen im Rahmen der sog. Sozialauswahl aus der Gruppe vergleichbarer Arbeitnehmer im Betrieb diejenigen „auszuwählen“, die sich als sozial am wenigsten schutzwürdig erweisen4. Nach § 1 Abs. 3 Satz 1 KSchG in 1 Diesen allgemein anerkannten Grundsatz hat das BAG zuletzt sogar in Bezug auf den besonderen Kündigungsschutz eines Betriebsratsmitglied im Falle einer Betriebsteilstilllegung bestätigt: BAG v. 23.2.2010 – 2 AZR 656/08, NZA 2010, 1288; s. auch KR/Griebeling, § 1 KSchG Rz. 225; HWK/Quecke, § 1 KSchG Rz. 276. 2 KR/Griebeling, § 1 KSchG Rz. 539 ff.; HWK/Quecke, § 1 KSchG Rz. 278; zu Ausnahmefällen vgl. aber BAG v. 18.10.2012 – 6 AZR 41/11, DB 2013, 586 sowie BAG v. 23.4.2008 – 2 AZR 1110/06, NZA 2008, 939. 3 Vgl. z.B. zu einer solchen Vereinbarung innerhalb des Lufhansa-Konzerns BAG v. 10.5.2007 – 2 AZR 4/06, EzAÜG KSchG Nr. 19. 4 Vgl. zu den Grundlagen der Sozialauswahl KR/Griebeling, § 1 KSchG Rz. 656 ff.; HWK/Quecke, § 1 KSchG Rz. 327 ff. Hexel
451
Teil 5
Rz. 49
Arbeitsrecht
der heutigen Fassung vom 1.1.2004 ist die soziale Schutzwürdigkeit alleine nach den folgenden vier Kriterien zu bestimmen: die Dauer der Betriebszugehörigkeit, das Lebensalter, die Unterhaltspflichten und die Schwerbehinderung. Anders als unter der vorherigen Gesetzesfassung, die nur allgemein auf „soziale Gesichtspunkte“ abstellte, können wegen der nunmehr im Gesetz enthaltenen enumerativen Aufzählung der zu berücksichtigenden Kriterien keine weiteren Gesichtspunkte in die Sozialauswahl mit einbezogen werden1. Die Gruppe der zu vergleichenden Arbeitnehmer erstreckt sich dabei nicht nur auf Mitarbeiter, die dieselben oder ganz ähnliche Tätigkeiten erbringen wie derjenige, dessen Arbeit in Wegfall gerät. Vielmehr bestimmt sich die Vergleichbarkeit danach, ob der betroffene Arbeitnehmer auf Grund seiner Tätigkeit und Ausbildung eine andersartige, aber gleichwertige Tätigkeit ausführen kann, wobei die Notwendigkeit einer kurzen Einarbeitungszeit einer Vergleichbarkeit nicht entgegensteht2. Auch hier gilt, dass aufgrund der typischerweise innerhalb eines Betriebes bestehenden Spezialisierungen in den Bereichen, in denen die Umstellung auf Cloud Computing zu einem Arbeitsplatzwegfall führen kann, eine Ausweitung der Sozialauswahl auf andere Bereiche und Abteilungen des Unternehmens eher den Ausnahmefall als die Regel darstellen wird. cc) Weitere Schutzvorschriften 49
Auf die zahlreichen weiteren Fragen im Zusammenhang mit betriebsbedingten Kündigungen im Einzelfall sowie auf die bei oder vor dem Ausspruch einer arbeitgeberseitigen Kündigung – auch außerhalb des KSchG – zu beachtenden Formerfordernisse sowie auf Fragen des Sonderkündigungsschutzes kann an dieser Stelle nicht eingegangen werden. Hier ist auf die einschlägige Spezialliteratur zu verweisen3 (vgl. zur Massenentlassungsanzeige auch Rz. 102 ff.). b) Sanktionen
50
Falls ein Arbeitnehmer, dessen Arbeitsverhältnis ein Arbeitgeber anlässlich der Einführung von Cloud Computing durch eine Kündigung beendet, allgemeinen Kündigungsschutz nach dem KSchG genießt, weil er die Wartezeit nach § 1 KSchG4 erfüllt hat und weil die Voraussetzungen der Betriebsgröße nach § 23 KSchG5 erfüllt sind, kann er die Wirksamkeit der Kündigung gerichtlich überprüfen lassen. Dazu muss er gemäß
1 KR/Griebeling, § 1 KSchG Rz. 605; HWK/Quecke, § 1 KSchG Rz. 367. 2 BAG v. 5.6.2008 – 2 AZR 907/06, NZA 2008, 1120; KR/Griebeling, § 1 KSchG Rz. 618 ff.; HWK/Quecke, § 1 KSchG Rz. 356 f. 3 Einen ersten Überblick findet man bei Birk/Burk, BB-Special 2006, Nr. 5, 2–14 oder bei Ahlberg, AiB 2013, 176. 4 Vgl. KR/Griebeling, § 1 KSchG Rz. 90 ff.; HWK/Quecke, § 1 KSchG Rz. 7 ff. 5 Vgl. KR/Griebeling, § 23 KSchG Rz. 33 ff.; HWK/Quecke, § 23 KSchG Rz. 7 ff.
452
Hexel
III. Fragen des Individualarbeitsrechts
Rz. 52
Teil 5
§ 4 KSchG innerhalb von drei Wochen nach Erhalt der schriftlichen1 Kündigungserklärung eine Kündigungsschutzklage beim zuständigen Arbeitsgericht einreichen. Obsiegt der Arbeitnehmer mit seiner Klage beim Arbeitsgericht, weil 51 entweder der Arbeitgeber keine ausreichenden Gründe für die soziale Rechtfertigung der Kündigung darlegen und bei Bedarf auch beweisen kann oder weil die Kündigung in irgendeinem anderen Punkt nicht den rechtlichen Anforderungen entspricht, so wird das Arbeitsgericht feststellen, dass das Arbeitsverhältnis durch die Kündigung nicht beendet ist. Da der Kündigungsschutz nach dem KSchG primär als Bestandsschutz ausgestaltet ist, indem er für den Fall einer fehlerhaften Kündigung auf den Fortbestand des Arbeitsverhältnisses gerichtet ist, kann der Arbeitgeber also die von ihm gewünschte Trennung von dem Arbeitnehmer nicht durchsetzen und zwar im Regelfall selbst dann nicht, wenn er zur Zahlung einer Abfindung, sei sie auch vom Gericht festgesetzt, bereit wäre. Das KSchG ist seiner Konzeption nach ein Bestandsschutz- und kein Abfindungsgesetz2. Wenn ein Arbeitgeber also eine Umstellung auf Cloud Computing plant und die damit verbundenen Chancen, aber auch die Kosten und Risiken bewertet, wird er zu bedenken haben, dass er ggf. in einen eventuell notwendigen Arbeitsplatzabbau (mit Prozess- und Abfindungsrisiken) investieren muss. Dies kann dazu führen, dass sich geplante finanzielle Vorteile aus der Umstellung auf die Cloud erst später rechnen. Aus dem kündigungsschutzrechtlich gewährten Bestandsschutz im Falle 52 einer nicht ausreichenden sozialen Rechtfertigung einer arbeitgeberseitigen Kündigung folgt zunächst, dass ein Arbeitnehmer im Falle einer erfolgreichen Kündigungsschutzklage die aktive Weiterbeschäftigung, d.h. seine tatsächliche Beschäftigung, einfordern kann. Es gehört zu den Grundlagen des deutschen Arbeitsrechts, dass ein Arbeitnehmer aufgrund eines (fortbestehenden) Arbeitsverhältnisses nicht nur die vertraglich vereinbarte Vergütung beanspruchen kann, sondern darüber hinaus auch einen Beschäftigungsanspruch hat3. Soweit der Arbeitgeber während eines laufenden Kündigungsschutzverfahrens nach Ablauf der maßgeblichen Kündigungsfrist die Zahlung der vertraglichen Vergütung an den Arbeitnehmer eingestellt hat, wie es meist der Fall ist, kann der Arbeitnehmer, wenn er im Kündigungsschutzprozess obsiegt, sodann Annahmeverzugslohnansprüche nach § 615 BGB geltend machen4. Auch 1 Es gilt das strenge Schriftformerfordernis nach § 623 BGB unter Ausschluss der elektronischen Form. 2 So BAG v. 23.2.2010 – 2 AZR 554/08, NZA 2010, 1123. 3 Grundlegend: BAG v. 10.11.1955 – 2 AZR 591/54, ArbuR 1957, 217; zuletzt bestätigt: BAG v. 22.1.2009 – 8 AZR 808/07 NZA 2009, 547; s. auch ErfK/Preis, § 611 BGB Rz. 563 ff.; HWK/Thüsing, § 611 BGB Rz. 168 ff.; umfassend: Weber/ Weber, RdA 2007, 344. 4 ErfK/Preis, § 615 BGB Rz. 563 ff.; HWK/Krause, § 615 BGB Rz. 63; BAG v. 19.9.2012 – 5 AZR 627/11, NZA 2013, 101; Opolony, AuA 2007, 86. Hexel
453
Teil 5
Rz. 53
Arbeitsrecht
dieses Risiko wird ein Arbeitgeber einzukalkulieren haben, wenn er davon ausgehen muss, aufgrund der Umstellung auf Cloud-Services unter Umständen Arbeitnehmer entlassen zu müssen. 5. Arbeitnehmerrechte nach § 613a BGB im Falle eines Betriebs(teil)übergangs a) Grundlagen 53
Gegenstand von Verträgen über die Erbringung von Cloud ComputingServices ist regelmäßig, dass bestimmte Aufgaben bzw. Leistungen, die ein Unternehmen bisher selbst und mit eigenen Ressourcen – unabhängig davon ob diese Ressourcen im Eigentum des Unternehmens stehen oder ob dem Unternehmen anderweitig Nutzungsrechte eingeräumt wurden – erbracht hat, ganz oder teilweise im Rahmen einer (Dienst-)Leistung von dem Cloud-Services Anbieter übernommen werden. In den meisten Fällen bleibt die Verlagerung von Leistungen in die Cloud aber hinter der Fremdvergabe vollständiger Leistungspakete, wie sie beim „klassischen“ Outsourcing1 üblicherweise erfolgt, zurück. Anders als bei den bisher oft zu beobachtenden Fällen eines umfassenden Outsourcings von IT-Services, bei dem sich die Frage, ob mit der Beauftragung eines Dritten zur Erbringung eines kompletten Aufgabenpakets ein Betriebsübergang nach § 613a BGB einhergeht2, in aller Regel stellen dürfte, wird der Tatbestand des § 613a BGB bei vielen Formen der Umstellung auf Cloud ComputingServices nicht erfüllt sein. Bei nahezu allen Auslagerungen des IT-Betriebs kommen heutzutage allerdings Cloud Computing-Technologien zum Einsatz. Daher ist die Abgrenzung zwischen Cloud Computing-Vorhaben und IT-Outsourcings schwierig. Bei größeren Cloud-Vorhaben kann ein Betriebsübergang durchaus vorkommen. Bei kleineren Cloud-Transaktionen, die keinen eigenständigen Bereich beim Auftraggeber entfallen lassen und im Rahmen derer der Auftraggeber die bereits vorhandene Infrastruktur des Cloud-Anbieters nutzt, wird ein Betriebsübergang hingegen kaum vorkommen. Dies zeigen die nachfolgenden Überlegungen. aa) Tatbestandsmerkmale
54
Die Anwendbarkeit von § 613a BGB setzt in tatsächlicher Hinsicht voraus, dass (i) ein Betrieb oder Betriebsteil (ii) durch Rechtsgeschäft (iii) auf einen anderen Inhaber übergeht. Gegenstand und Anknüpfungspunkt der gesetzlichen Regelungen ist also ein Betrieb oder Betriebsteil, der quasi das Transaktionsobjekt darstellt3. Soweit es um die Frage eines etwaigen Betriebsübergangs bei der Inanspruchnahme von Cloud-Services geht, wird in den seltensten Fällen der Übergang eines gesamten Betriebs in Rede stehen. In der Praxis ist kaum eine Konstellation vorstellbar, in 1 Vgl. zum Begriff des Outsourcing Düwell, FS Dieterich, S. 101 (101 ff.). 2 Gennen, ITRB 2002, 291 (293 f.). 3 HWK/Willemsen, § 613a BGB Rz. 11.
454
Hexel
III. Fragen des Individualarbeitsrechts
Rz. 55
Teil 5
der von der Umstellung auf Cloud-Services die gesamten Aktivitäten eines kompletten Betriebs derart weitreichend erfasst werden, dass er vollständig auf den Anbieter der Cloud-Services übergehen würde. Durchaus denkbar ist hingegen, dass bestimmte Teilbereiche eines Betriebes je nach Fallgestaltung als übergangsfähiger Betriebsteil zu qualifizieren sein könnten, wenn dort die Arbeiten mit Anwendungen, die in die Cloud überführt werden sollen, den wesentlichen Gegenstand der Tätigkeit ausmachen. Bei einem Betriebsteilübergang erfassen die Regelungen des § 613a BGB die Arbeitsverhältnisse derjenigen Arbeitnehmer, die in dem betroffenen Betriebsteil tätig, also darin eingegliedert sind1. Nach der inzwischen gefestigten Rechtsprechung des BAG zeichnet sich 55 ein i.S.v. § 613a BGB übergangsfähiger Betriebsteil dadurch aus, dass er nach der durchzuführenden Gesamtbetrachtung eine selbständig abtrennbare organisatorische Einheit darstellt, mit der innerhalb des betrieblichen Gesamtzwecks ein Teilzweck verfolgt wird und in der nicht nur unerhebliche Hilfsfunktionen ausgeübt werden2. Dies setzt zunächst voraus, dass die fragliche Einheit eine ausreichende eigenständige Organisation aufweist, um vom restlichen Betrieb abgrenzbar und damit abtrennbar i.S.d. Rechtsprechung zu sein3. Nicht ausreichend ist, dass bestimmte Betriebsmittel lediglich faktisch einem bestimmten Teilzweck ständig zugeordnet sind. Es ist vielmehr notwendig, dass sie einen eigenständigen Funktions- und Organisationszusammenhang und eine gezielte und unternehmerisch gewollte dauerhafte Verknüpfung aufweisen4. Eine in diesem Sinne abgrenzbare Einheit, an deren Übergang im Rahmen der Implementierung von Cloud Computing-Services zu denken wäre, wird es allenfalls in relativ großen Betrieben geben, in denen es eine separate IT-Abteilung gibt, innerhalb derer wiederum abgrenzbare „Teams“ für die im Kontext des Cloud Computing-Vorhabens relevanten Fragen zuständig sind. Hierzu könnte ein für Daten- und Server- bzw. Kapazitätsmanagement zuständiger IT-Bereich oder eine für Softwarelösungen und Programmlizenzen zuständige Abteilung zählen. Die ITAbteilung in ihrer Gesamtheit wird in sehr vielen Fällen einen übertragungsfähigen Betriebsteil darstellen5; sie wird aber typischerweise nicht insgesamt von der Umstellung auf Cloud Computing-Services betroffen sein, weil ein (häufig sogar großer) Teil der Arbeiten im IT-Bereich – dies gilt letztlich für alle Erscheinungsformen des Cloud Computing – im Unternehmen verbleiben wird, wie beispielsweise die Anwenderbetreuung 1 BAG v. 21.6.2012 – 8 AZR 181/11, NZA-RR 2013, 6; BAG v. 18.10.2012 – 6 AZR 41/11, BB 2013, 956; BAG v. 25.4.2013 – 6 AZR 49/12, NZI 2013, 758; ErfK/ Preis, § 613a BGB Rz. 9. 2 St. Rspr., vgl. schon BAG v. 22.5.1985 – 5 AZR 30/84, NZA 1985, 775; zuletzt auch BAG v. 13.10.2011 – 8 AZR 455/10, NZA 2012, 504; BAG v. 24.4.2013 – 7 AZR 523/11, BB 2013, 1843; BAG v. 25.4.2013 – 6 AZR 49/12, NZI 2013, 758. 3 HWK/Willemsen, § 613a BGB Rz. 33. 4 HWK/Willemsen, § 613a BGB Rz. 34. 5 Vgl. BAG v. 21.6.2012 – 8 AZR 181/11, NZA-RR 2013, 6; BAG v. 21.6.2012 – 8 AZR 243/11, AP Nr. 430 zu § 613a BGB. Hexel
455
Teil 5
Rz. 56
Arbeitsrecht
und die Wartung und Instandhaltung der beim Arbeitgeber noch verbleibenden Hardware. 56
Wenn sich im Einzelfall eine ausreichend verselbständigte Einheit in einem Betrieb ausmachen lässt, die als übergangsfähiger Betriebsteil das Objekt eines Betriebsübergangs sein könnte, so kommen der bisherige Arbeitgeber einerseits und der Anbieter der Cloud Computing-Services andererseits als „Transaktionssubjekte“1 in Betracht. Im Falle der Anwendbarkeit von § 613a BGB wäre von einem Betriebsteilübergang vom Auftraggeber als bisherigem Betriebsinhaber auf den Service-Anbieter als neuem Inhaber auszugehen. Da der Transaktion regelmäßig ein Vertrag über die Cloud Computing-Services zugrunde liegen wird (vgl. zur Vertragsgestaltung Teil 2 Rz. 132 ff.), würde der Übergang auch regelmäßig mittels eines Rechtsgeschäfts erfolgen. Dieses Tatbestandsmerkmal ist ohnehin weit auszulegen. Es dient der negativen Abgrenzung zu Vermögensübergängen, die sich kraft Gesetzes vollziehen, wie beispielsweise im Erbfall2 oder bei der Privatisierung von Bundes- oder Landesbetrieben nach den einschlägigen Sondergesetzen3. bb) Kriterien nach BAG
57
Entscheidend für die Frage, ob es beim Vorhandensein einer übertragungsfähigen Einheit zu einem Teilbetriebsübergang i.S.v. § 613a BGB kommt, wird vor dem Hintergrund des Vorgesagten sein, ob im Hinblick auf diese Einheit von einem Wechsel des Inhabers auszugehen ist, ob also der Service-Anbieter die beim bisherigen Arbeitgeber existierende wirtschaftliche Einheit in eigener Regie unter Wahrung ihrer Identität fortführt4. Der übertragene Betriebsteil muss dabei nach Auffassung des BAG seine organisatorische Selbständigkeit beim Betriebserwerber allerdings nicht vollständig bewahren. Es genügt, dass der Betriebsteilerwerber die funktionelle Verknüpfung zwischen den übertragenen Produktionsfaktoren beibehält und ihm dadurch ermöglicht wird, diese Faktoren zu nutzen, um derselben oder einer gleichartigen wirtschaftlichen Tätigkeit nachzugehen5.
58
Ob diese Voraussetzungen im Einzelfall gegeben sind, ist im Rahmen einer umfassenden Gesamtbetrachtung zu beurteilen. Auch wenn der Anwendungsbereich des § 613a BGB durch die Rechtsprechung des BAG, 1 Vgl. WHSS/Willemsen, Rz. G 38. 2 HWK/Willemsen, § 613a BGB Rz. 186. 3 HWK/Willemsen, § 613a BGB Rz. 192 ff.; vgl. beispielsweise zu einer Übertragung staatlicher Aufgaben nach dem Sächsischen Personalüberleitungsgesetz: BAG v. 15.3.2012 – 8 AZR 858/09, EzTöD 100 § 34 Abs. 1 TVöD-AT Betriebsübergang Nr. 15; s. auch BAG v. 20.4.2011 – 5 AZR 184/10, AP Nr. 5 zu § 28g SGB IV. 4 St. Rspr., vgl. aus jüngerer Zeit BAG v. 10.5.2012 – 8 AZR 434/11, NZA 2012, 1161; BAG v. 25.4.2013 – 6 AZR 49/12, NZI 2013, 758. 5 BAG v. 25.4.2013 – 6 AZR 49/12, NZI 2013, 758.
456
Hexel
III. Fragen des Individualarbeitsrechts
Rz. 60
Teil 5
nicht zuletzt aber auch durch entsprechende Vorgaben des EuGH, insoweit in der Vergangenheit immer weiter ausgedehnt wurde1, so reicht nach wie vor die bloße sog. Funktionsnachfolge nicht aus, um einen Betriebsübergang zu begründen2. Wenn man den sog. „Sieben-Punkte-Katalog“ betrachtet, den das BAG seit vielen Jahren in ständiger Rechtsprechung3 in Anlehnung an die Rechtsprechung des EuGH4 heranzieht, um das Vorliegen der Voraussetzungen eines Betriebsübergangs zu prüfen, so liegt die Annahme nahe, dass bei der Inanspruchnahme von Cloud Computing-Services eines externen Anbieters der Betriebs(teil)übergang sicherlich nicht den Regelfall darstellt. Das BAG erachtet im Rahmen der Gesamtschau im Einklang mit dem 59 EuGH die folgenden Aspekte für maßgeblich5: – die Art des betreffenden Betriebs, – den Übergang materieller Betriebsmittel wie beweglicher Güter und Gebäude, – den Wert immaterieller Aktiva im Zeitpunkt des Übergangs, – die Übernahme der Hauptbelegschaft durch den neuen Inhaber, – der Übergang von Kundschaft und Lieferantenbeziehungen, – der Grad der Ähnlichkeit zwischen den vor und nach dem Übergang verrichteten Tätigkeiten – und die Dauer einer Unterbrechung dieser Tätigkeit. Dabei könne sich, so dass BAG, die Identität der Einheit auch aus an- 60 deren Merkmalen ergeben, wie ihrem Personal, ihren Führungskräften, ihrer Arbeitsorganisation, ihren Betriebsmethoden und ggf. den ihr zur Verfügung stehenden Betriebsmitteln. Den für das Vorliegen eines Übergangs maßgeblichen Kriterien komme je nach der ausgeübten Tätigkeit und je nach den Produktions- oder Betriebsmethoden unterschiedliches Gewicht zu6. In Branchen, in denen es im Wesentlichen auf die menschliche Arbeitskraft ankomme, könne auch eine Gesamtheit von Arbeitnehmern, die durch eine gemeinsame Tätigkeit dauerhaft verbunden seien, eine wirtschaftliche Einheit darstellen. Die Wahrung der Identität der wirtschaftlichen Einheit sei in diesem Falle anzunehmen, wenn der neue Betriebsinhaber nicht nur die betreffende Tätigkeit weiterführe, sondern auch einen nach Zahl und Sachkunde wesentlichen Teil des Personals 1 Vgl. zur Historie WHSS/Willemsen, Rz. G 5 ff. 2 St. Rspr., vgl. zuletzt BAG v. 24.1.2013 – 8 AZR 706/11, BB 2013, 1588 (m.w.N.); s. speziell zum Outsourcing auch Gennen, ITRB 2002, 291 (294) mit Verweis auf BAG v. 11.12.1997 – 8 AZR 699/96, ArbuR 1998, 202; BAG v. 22.1.1998 – 8 AZR 243/95, NZA 1998, 536. 3 Vgl. zuletzt BAG v. 15.11.2012 – 8 AZR 683/11, DB 2013, 1419. 4 Vgl. z.B. EuGH v. 11.3.1997 – C-13/95 („Ayse Süzen“). 5 BAG v. 15.11.2012 – 8 AZR 683/11, DB 2013, 1419. 6 BAG v. 15.11.2012 – 8 AZR 683/11, DB 2013, 1419. Hexel
457
Teil 5
Rz. 61
Arbeitsrecht
übernehme, das sein Vorgänger gezielt bei dieser Tätigkeit eingesetzt hatte1. 61
Betrachtet man auf der Basis dieser Überlegungen mögliche Szenarien im Bereich des Cloud Computing, so wird letzten Endes von einem Betriebsteilübergang allenfalls dann auszugehen sein, wenn es zumindest partiell zur Übernahme von Personal durch den Service-Anbieter kommt. Zwar mag die Ähnlichkeit der Tätigkeit des Service-Anbieters mit den bisher vom Auftraggeber erbrachten Leistungen gegeben sein. Auch wird es regelmäßig nicht zu Unterbrechungen der Services kommen, weil dem Auftraggeber an einer nahtlosen Fortführung seiner IT gelegen sein muss. Beides könnte für einen Betriebsübergang sprechen. Zu einem Übergang von materiellen oder immateriellen Betriebsmitteln wird es hingegen typischerweise nicht kommen, weil es ja gerade darum geht, anstelle eigener Hard- und Software auf die entsprechenden Assets „in der Cloud“ zurückzugreifen. Bei größeren Cloud-Vorhaben ist jedoch durchaus auch denkbar, dass der Anbieter sowohl Personal als auch Betriebsmittel übernimmt. Größere Unternehmen haben teilweise bereits intern auf Cloud-Technologien umgestellt, die sinnvoll in die Infrastruktur des Anbieters integriert werden können. Weder dem Wert der immateriellen Aktiva noch den Kunden- und Lieferantenbeziehungen des Auftraggebers kommt darüber hinaus bei der Umstellung auf Cloud Computing-Services eine maßgebliche Bedeutung zu. Damit wird sich die Frage, ob und inwieweit der Service-Anbieter auf Personal des Auftraggebers zurückgreift und dieses bei sich beschäftigt, häufig als zentral erweisen2. Wie viel Personal bei dem Service-Anbieter im Einzelfall weiterbeschäftigt werden muss, damit die Voraussetzungen des § 613a BGB vorliegen, wird je nach der Lage des Einzelfalls zu bestimmen sein und ist auch maßgeblich von der Qualifikation des Personals abhängig, welches bei dem Auftraggeber in der übertragungsfähigen wirtschaftlichen Einheit beschäftigt ist. Während bei sehr einfach gelagerten Tätigkeiten selbst die Übernahmen von rund 60 % oder gar 75 % der Belegschaft noch nicht ausreichend sein muss3, kann bei höherer Qualifikation der Mitarbeiter, gerade wenn wichtige Führungskräfte unter den übernommenen Arbeitnehmern sind, auch die Übernahme von insgesamt der Hälfte des in dem Betriebsteil beschäftigten Personals den Ausschlag geben4. cc) Anwendungsbereich in Bezug auf Cloud Computing
62
Im Zuge der Vergabe von Aufträgen zur Erbringung von Cloud Computing-Services an externe Dritte dürfte ein damit verbundener gezielter 1 BAG v. 15.11.2012 – 8 AZR 683/11, DB 2013, 1419; BAG v. 21.6.2012 – 8 AZR 243/11, AP Nr. 430 zu § 613a BGB. 2 Vgl. auch BAG v. 21.6.2012 – 8 AZR 181/11, NZA-RR 2013, 6. 3 S. Nachweise in BAG v. 15.12.2011 – 8 AZR 197/11, NZA-RR 2013, 179. 4 Vgl. Ausführungen in BAG v. 25.9.2008 – 8 AZR 607/07, NZA-RR 2009, 469; BAG v. 22.10.1998 – 8 AZR 752/96, EzB BGB § 613a Nr. 1.
458
Hexel
III. Fragen des Individualarbeitsrechts
Rz. 64
Teil 5
Transfer von Arbeitnehmern des Auftraggebers auf den Service-Partner und somit ein Betriebsteilübergang regelmäßig nur bei größeren CloudVorhaben vorkommen und demzufolge die Ausnahme darstellen. Eher denkbar ist eine solche Überleitung von Personal, die dann auch einen Betriebs(teil)übergang mit sich bringen kann, wenn mehrere Gesellschaften innerhalb eines Konzernverbundes bestimmte IT-Aktivitäten im Rahmen eines unternehmensübergreifenden Konzepts planmäßig an einer Stelle im Konzern bündeln. Geht die Einführung von Cloud Computing mit einer solchen Zentralisierung von IT-Kapazitäten im Konzern einher, so dass es zur Verlagerung ganzer Tätigkeitsfelder der einzelnen IT-Abteilungen in die Verantwortung eines Konzernunternehmens kommt, so kann dies durchaus den Tatbestand des § 613a BGB erfüllen. b) Rechtsfolgen Die Rechtsfolgen eines Betriebs(teil)übergangs für die davon betroffenen 63 Arbeitnehmer ergeben sich aus § 613a BGB. Die wohl wichtigste Rechtsfolge ist der Übergang der Arbeitsverhältnisse aller im Betrieb bzw. im relevanten Betriebsteil beschäftigten Arbeitnehmer kraft Gesetzes auf den neuen Betriebsinhaber, der damit in die Arbeitgeberstellung eintritt, vgl. § 613a Abs. 1 Satz 1 BGB1. Nach überwiegender Auffassung gehen im Regelfall die Arbeitsverhältnisse etwaig im übergehenden Betriebsteil tätiger Leiharbeitnehmer, die ja bei einem Dritten angestellt sind, nicht nach § 613a BGB auf den Betriebserwerber über2. Die Arbeitsverhältnisse gehen danach unter Beibehaltung der erworbe- 64 nen Besitzstände3, insbesondere auch unter Anrechnung aller beim bisherigen Betriebsinhaber verbrachten oder anerkannten Zeiten der Betriebszugehörigkeit, auf den neuen Arbeitgeber über4. Die Folgen des Übergangs des Arbeitsverhältnisses treffen gleichermaßen den bisherigen Arbeitgeber wie auch den neuen Betriebsinhaber, wobei sie für letzteren meist von gravierenderer Bedeutung sind, da er zusätzliche Arbeitnehmer erhält und die damit verbundenen Kosten und Risiken zu tragen hat. Wenn die Vertragspartner bei den Verhandlungen über die Ausgestaltung der Cloud-Services zu dem Ergebnis gelangen, dass von einem Übergang von Arbeitsverhältnissen nach § 613a BGB auszugehen ist, sollten die sich daraus ergebenden nachfolgend näher beschriebenen Folgen bei der Vertragsausgestaltung berücksichtigt werden. Die Rechte, die sich aus § 613a BGB im Verhältnis zu den betroffenen Arbeitnehmern ergeben, 1 HWK/Willemsen/Müller-Bonanni, § 613a BGB Rz. 221 f.; ErfK/Preis, § 613a BGB Rz. 66. 2 HWK/Willemsen/Müller-Bonanni, § 613a BGB Rz. 225; zur Möglichkeit einer abweichenden Betrachtung bei konzerninterner Arbeitnehmerüberlassung vgl. EuGH v. 21.10.2010 – C-242/09 („Albron Catering“); ErfK/Preis, § 613a BGB Rz. 67 (m.w.N.). 3 BAG v. 19.3.2009 – 8 AZR 722/07, NZA 2009, 1091. 4 HWK/Willemsen/Müller-Bonanni, § 613a BGB Rz. 236; ErfK/Preis, § 613a BGB Rz. 76. Hexel
459
Teil 5
Rz. 65
Arbeitsrecht
sind zwingend. Wie die Vertragsparteien Cloud-Service-Vertrages die die Pflichten gegenüber den Arbeitnehmern im Innenverhältnis verteilen, bleibt hingegen ihrer freien Verhandlung überlassen1. Findet der Betriebsübergang im laufenden Kalenderjahr statt, werden die beteiligten Arbeitgeber sich z.B. im Innenverhältnis meist darauf einigen, das jahresbezogene Sonderleistungen, die der Arbeitnehmer als Einmalzahlung erst am oder nach dem Jahresende erhält (z.B. Weihnachtsgeld oder variabler Jahresbonus), wirtschaftlich auf den Stichtag des Betriebsübergangs abgegrenzt werden. 65
Der neue Betriebsinhaber tritt nach § 613a Abs. 1 Satz 1 BGB in alle Rechte und Pflichten aus dem Arbeitsverhältnis ein und haftet danach insbesondere auch für rückständige Ansprüche des Arbeitnehmers, welche der bisherige Arbeitgeber bis zum Übergangsstichtag noch nicht erfüllt hat2. Nach § 613a Abs. 2 BGB kommt es gegenüber dem Arbeitnehmer, soweit nicht der bisherige Arbeitgeber beim Betriebsübergang durch Umwandlung (nach UmwG) erlischt, darüber hinaus für bestimmte Ansprüche zu einer gesamtschuldnerischen Haftung des bisherigen und des neuen Arbeitgebers3. Besonders geregelt ist in § 613a Abs. 1 Satz 2 bis 4 BGB die Fortgeltung von Rechten und Pflichten, die nicht auf dem Arbeitsvertrag beruhen, sondern auf Rechtsnormen eines Tarifvertrages oder einer Betriebsvereinbarung4. aa) Widerspruchsrecht des Arbeitnehmers
66
Das BAG hat schon gleich nach Einführung der Neuregelungen in § 613a BGB, die seit dem 15.1.1972 gelten und den gesetzlichen Übergang von Arbeitsverhältnissen regeln, – ohne dass die europäischen Richtlinien dies notwendig gemacht hätten – kraft Richterrechts ein Widerspruchsrecht der von einem Betriebsübergang betroffenen Arbeitnehmer statuiert5. Seit dem 1.4.2002 ist das Widerspruchsrecht der Arbeitnehmer in § 613a Abs. 6 BGB gesetzlich normiert. Der Arbeitnehmer, der von seinem Widerspruchsrecht Gebrauch machen möchte, dafür keines sachlichen Grundes6. Der form- und fristgerecht erklärte Widerspruch bewirkt nach ständiger Rechtsprechung, dass das Arbeitsverhältnis rechtlich als niemals auf den neuen Betriebsinhaber übergegangen zu behandeln ist, d.h. der Widerspruch wirkt ex tunc auf den Zeitpunkt des Betriebsübergangs zurück7. 1 WHSS/Willemsen, Rz. G 190 und G 199 ff. 2 HWK/Willemsen, § 613a BGB Rz. 231; ErfK/Preis, § 613a BGB Rz. 73. 3 S. Einzelheiten bei HWK/Willemsen/Müller-Bonanni, § 613a BGB Rz. 295 ff.; ErfK/Preis, § 613a BGB Rz. 133 ff. 4 S. Einzelheiten bei HWK/Willemsen/Müller-Bonanni, § 613a BGB Rz. 249 ff.; ErfK/Preis, § 613a BGB Rz. 111 ff. 5 BAG v. 2.10.1974 – 5 AZR 504/73, NJW 1975, 1378. 6 BAG v. 30.9.2004 – 8 AZR 462/03, NZA 2005, 43. 7 BAG v. 13.7.2006 – 8 AZR 305/05, NZA 2006, 1268; HWK/Willemsen/MüllerBonanni, § 613a BGB Rz. 295 ff.; ErfK/Preis, § 613a BGB Rz. 355 ff.; zu den da-
460
Hexel
III. Fragen des Individualarbeitsrechts
Rz. 68
Teil 5
bb) Unterrichtungspflicht der Arbeitgeber Bei der Ergänzung der gesetzlichen Regelungen des § 613a BGB um die 67 zusätzlichen Absätze 5 und 6 im Jahr 2002 hat der Gesetzgeber neben dem vom BAG entwickelten Widerspruchsrecht auch die vom BAG1 entwickelte Rechtsprechung zur Obliegenheit der am Betriebsübergang beteiligten Arbeitgeber, die betroffenen Arbeitnehmer über Einzelheiten des bevorstehenden Betriebsübergangs zu informieren2, aufgegriffen. Er hat dabei in § 613a Abs. 5 BGB eine ausführliche gesetzliche Regelung zur Unterrichtungspflicht aufgenommen. Primär geht es bei der Unterrichtung darum, dem Arbeitnehmer eine sachgerechte Entscheidung darüber zu ermöglichen, ob er von seinem Widerspruchsrecht Gebrauch machen möchte3. Die heutige gesetzliche Regelung reicht in mehrfacher Hinsicht weiter 68 als die bis dahin entwickelten Grundsätze der BAG-Rechtsprechung. Zum einen besteht Einigkeit, dass es sich bei der Unterrichtungspflicht nach § 613a Abs. 5 um eine echte Rechtspflicht handelt, so dass bei nicht oder nicht ordnungsgemäßer Unterrichtung auch Schadenersatzansprüche der betroffenen Arbeitnehmer in Betracht kommen4. Des Weiteren wurden die Anforderungen an den Inhalt der Unterrichtung durch die gesetzliche Regelung präzisiert5. Schließlich befindet das BAG in ständiger Rechtsprechung zu den Neuregelungen, dass die Monatsfrist für den Widerspruch des Arbeitnehmers nur durch eine ordnungsgemäße Unterrichtung in Gang gesetzt wird, so dass beim Unterbleiben einer Unterrichtung oder auch bei – möglicherweise auch geringfügigen – Fehlern in der Unterrichtung ein späterer Widerspruch bis zur Grenze der Verwirkung und damit je nach den Umständen des Einzelfalls sogar noch Jahre nach dem Betriebsübergang möglich ist6. Das sich daraus ergebende Risiko trifft vor allen Dingen den ehemaligen Arbeitgeber, der damit rechnen muss, auch Jahre nach dem Betriebsübergang damit konfrontiert zu werden, dass schon lange übergegangen geglaubte Arbeitsverhältnisse doch noch mit ihm bestehen und entsprechend – für die Vergangenheit und in Zukunft – abzuwickeln sind. Verlieren beispielsweise Arbeitnehmer, deren Arbeitsverhältnisse im Zuge der Umstellung auf Cloud-Services auf den Service-Anbieter übergegangen sind, dort später ihren Arbeitsplatz, ist es nicht ausgeschlossen, dass sie sich auf das Widerspruchsrecht be-
1 2 3 4 5 6
raus resultierenden Fragen des Annahmeverzugs Schneider/Sittard, BB 2007, 2230. BAG v. 17.11.1977 – 5 AZR 618/76, NJW 1978, 1653. Vgl. dazu BAG v. 22.4.1993 – 2 AZR 50/92, NZA 1994, 360. BAG v. 20.3.2008 – 8 AZR 1016/06, NZA 2008, 1354. BAG v. 11.11.2010 – 8 AZR 169/09, AuA 2011, 488; HWK/Willemsen/Müller-Bonanni, § 613a BGB Rz. 338; ErfK/Preis, § 613a BGB Rz. 94. Vgl. zur Unterrichtungspflicht im Einzelnen Fuhlrott/Ritz, BB 2012, 2689; Gaul/ Hiebert, ArbRB 2012, 183. BAG v. 15.3.2012 – 8 AZR 700/10, NZA 2012, 1097 (m.w.N.); kritisch zu den Folgen dieser Rechtsprechung Gehlhaar, BB 2009, 1182. Hexel
461
Teil 5
Rz. 69
Arbeitsrecht
sinnen und ein fortbestehendes Arbeitsverhältnis mit ihrem ehemaligen Arbeitgeber geltend machen. cc) Verbot der Kündigung wegen Betriebsübergangs 69
Schließlich ist noch auf den besonderen Kündigungsschutz nach § 613a Abs. 4 BGB hinzuweisen. Nach Satz 1 der Vorschrift ist eine Kündigung, die wegen eines Betriebsübergangs ausgesprochen wird, unwirksam. Die Vorschrift greift unabhängig davon, ob das Arbeitsverhältnis allgemeinem Kündigungsschutz unterliegt, d.h. insbesondere auch während der ersten sechs Monate der Anstellung1. Allerdings ergibt sich aus Satz 2 der Vorschrift, dass das Recht des Arbeitgebers zur Kündigung aus anderen Gründen unberührt bleibt. Der Betriebsübergang darf also nicht der tragende Grund für die Kündigung sein2. Wenn es im Rahmen der Umstellung auf Cloud Computing-Services zu einem Betriebsteilübergang kommt, bedeutet dies somit vom Grundsatz her, dass der bisherige Arbeitgeber nicht allein aus diesem Grund die Arbeitsverhältnisse der bislang bei ihm in dem übergehenden Betriebsteil tätigen Arbeitnehmer beenden kann.
IV. Fragen des kollektiven Arbeitsrechts 1. Informationsrechte nach § 80 BetrVG a) Grundlagen 70
Der Betriebsrat hat nach dem BetrVG umfassende Mitbestimmungsrechte in sozialen, personellen und wirtschaftlichen Angelegenheiten. Wie nachfolgend aufgezeigt wird, können einige dieser Mitbestimmungsrechte auch relevant werden, wenn sich ein Arbeitgeber dazu entschließt, bestimmte IT-Dienste zukünftig auf Cloud Computing umzustellen. Darüber hinaus hat der Betriebsrat nach § 80 Abs. 1 Nr. 1 BetrVG auch losgelöst von seinen Beteiligungsrechten einen ganz allgemeinen Überwachungsauftrag3. Ihm obliegt es danach als eine allgemeine Aufgabe, darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen durchgeführt werden.
1 HWK/Willemsen/Müller-Bonanni, § 613a BGB Rz. 304; ErfK/Preis, § 613a BGB Rz. 153. 2 BAG v. 20.9.2006 – 6 AZR 249/05, NZA 2007, 387; HWK/Willemsen/Müller-Bonanni, § 613a BGB Rz. 305; ErfK/Preis, § 613a BGB Rz. 155. 3 BAG v. 10.10.2006 – 1 ABR 68/05, NZA 2007, 99; BAG v. 19.10.1999 – 1 ABR 75/98, NZA 2000, 837; Fitting, § 80 Rz. 5; GK-BetrVG/Weber, BetrVG § 80 Rz. 6.
462
Hexel
IV. Fragen des kollektiven Arbeitsrechts
Rz. 72
Teil 5
aa) Informationsrechte Der Betriebsrat soll in die Lage versetzt werden, einerseits seinem all- 71 gemeinen Überwachungsauftrag nach § 80 Abs. 1 Nr. 1 BetrVG nachzukommen und andererseits in eigener Verantwortung zu prüfen, ob sich für ihn Aufgaben nach dem BetrVG ergeben, inwieweit ihm im Hinblick auf bestimmte Maßnahmen Mitbestimmungsrechte zustehen und ob und wie er zur Wahrung seiner Aufgaben tätig werden kann. Für diese Zwecke gewährt ihm § 80 Abs. 2 BetrVG umfassende Informationsrechte1. Nach § 80 Abs. 2 Satz 1 BetrVG hat der Arbeitgeber – von sich aus – den Betriebsrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend zu unterrichten und ihm nach Satz 2 auf Verlangen die zur Durchführung seiner Aufgaben erforderlichen Unterlagen zur Verfügung zu stellen2. Dieser Informationsanspruch besteht nach ständiger Rechtsprechung des BAG wegen der allgemeinen Aufgaben des Betriebsrats auch ohne konkreten Anlass, d.h. nicht erst dann und nicht nur insoweit, als Beteiligungsrechte oder allgemeine Rechte und Aufgaben des Betriebsrats aktuell sind3. Die Grenzen dieses Informationsanspruchs liegen nach dieser Rechtsprechung erst dort, wo eine Aufgabe des Betriebsrats offensichtlich nicht in Betracht kommt, also keine Anhaltspunkte für ein Recht des Betriebsrats gegeben sind; erst dann könne gesagt werden, dass die Information zur Durchführung der Aufgaben des Betriebsrats nicht erforderlich ist4. Im Kontext der von einem Arbeitgeber geplanten Nutzung von 72 Cloud Computing-Services kommen Informationsrechte des Betriebsrats im Hinblick auf seinen allgemeinen Überwachungsauftrag regelmäßig bereits deswegen in Betracht, weil die Nutzung von Cloud-Services in vielen Fällen dazu führen wird, dass unter anderem auch Daten von Beschäftigten des Arbeitgebers transferiert werden. Jedenfalls dann, wenn dies unverschlüsselt (vgl. dazu Teil 4 Rz. 29 ff.) und ohne Anonymisierung oder Pseudonymisierung geschieht (vgl. dazu Teil 4 Rz. 22 ff.), sind die Vorgaben des BDSG einzuhalten. Die Regelungen zum Beschäftigtendatenschutz gehören zu denjenigen, deren Einhaltung und Durchführung der Betriebsrat gemäß § 80 Abs. 1 Nr. 1 BetrVG zu überwachen hat5. Demnach hat der Betriebsrat Anspruch darauf, von dem Arbeitgeber alle Informationen zu erhalten, die er benötigt, um prüfen zu können, inwieweit das BDSG überhaupt einschlägig ist, und um sodann für diesen Fall beurteilen zu können, ob die Anforderungen des BDSG bei der vom Ar1 Vgl. BAG v. 19.10.1999 – 1 ABR 75/98, NZA 2000, 837. 2 Vgl. BAG v. 19.10.1999 – 1 ABR 75/98, NZA 2000, 837; Fitting, § 80 Rz. 48; GKBetrVG/Weber, BetrVG § 80 Rz. 54 f. 3 BAG v. 19.10.1999 – 1 ABR 75/98, NZA 2000, 837. 4 BAG v. 10.10.2006 – 1 ABR 68/05, NZA 2007, 99; BAG v. 19.10.1999 – 1 ABR 75/98, NZA 2000, 837. 5 So bereits BAG v. 17.3.1987 – 1 ABR 59/85, NZA 1987, 747; Bergmann, dbr 2011, 26 (27); Gaul/Koehler, BB 2011, 2229 (2235); Aghamiri, ITRB 2008, 21 (21); Färber, FS Gaul, S. 57 (62). Hexel
463
Teil 5
Rz. 73
Arbeitsrecht
beitgeber angestrebten Nutzung von Cloud Computing-Services erfüllt werden. Dazu benötigt der Betriebsrat neben einer genauen Information darüber, welche Daten überhaupt in welcher Form in die Cloud „geschickt“ werden sollen, auch detaillierte Angaben über die konkreten Zwecke der Datennutzung. Außerdem kann der Betriebsrat weitgehende Transparenz über die mit dem Anbieter der Cloud-Services zu vereinbarenden Verträge verlangen. So muss der Betriebsrat nachvollziehen können, ob der Service-Anbieter als Anbieter einer Auftragsdatenverarbeitung oder als Dritter i.S.d. § 3 Abs. 8 Satz 2 BDSG zu qualifizieren ist1. Speziell im Falle einer Auftragsdatenverarbeitung müssen die Informationen so detailliert sein, dass der Betriebsrat sich davon überzeugen kann, dass die Vereinbarungen den Voraussetzungen des § 11 BDSG (vgl. dazu Teil 4 Rz. 77 ff.) entsprechen2. Möchte der Arbeitgeber die Nutzung von Beschäftigtendaten in der Cloud auf eine Einwilligung der Arbeitnehmer stützen (vgl. dazu Teil 4 Rz. 68), kann der Betriebsrat die Vorlage eines entsprechenden Entwurfs und Angaben zum Procedere der Einwilligung verlangen, um deren Wirksamkeit beurteilen zu können. 73
Darüber hinaus ergibt sich für den Betriebsrat aus § 80 Abs. 2 BetrVG ggf. das Recht, von dem Arbeitgeber, der Cloud Computing einführen möchte, weitere Informationen zu erhalten. So muss der Betriebsrat insbesondere auch beurteilen können, ob im Hinblick auf die geplante Einführung der technischen Neuerungen Mitbestimmungsrechte des Betriebsrats bestehen3. Die diesbezüglich in erster Linie in Betracht kommenden Mitbestimmungsrechte werden nachfolgend erörtert. Vor dem Hintergrund, dass es für die Geltendmachung der Informationsrechte genügt, dass Mitbestimmungsrechte zumindest mit einer gewissen Wahrscheinlichkeit bestehen können4, wird der Arbeitgeber dem Informationsbegehren des Betriebsrats im Hinblick auf Cloud Computing-Anwendungen nur selten von vornherein einen offensichtlich fehlenden Bezug zu seinen Aufgaben entgegenhalten können. In der Praxis wird der Betriebsrat daher häufig sehr detaillierte und umfassende Informationen erhalten, was den – vom Gesetzgeber letztlich gewünschten – Effekt haben kann, dass für den Betriebsrat erst aufgrund dieser Informationen der Umfang seiner Mitbestimmungsrechte und des denkbaren Regelungsbedarfs bewusst wird. Die Regelungen des § 80 Abs. 2 BetrVG erweisen sich damit häufig als „Türöffner“ oder „Einfallstor“ für die aktive Mitbestimmung des Betriebsrats. bb) Hinzuziehung von Sachverständigen
74
Zu beachten ist des Weiteren, dass dem Betriebsrat im Rahmen von § 80 Abs. 3 BetrVG zur Wahrnehmung seiner Aufgaben nach dem BetrVG 1 2 3 4
Bergmann, dbr 2011, 26 (27); Gaul/Koehler, BB 2011, 2229 (2231 f.). Bergmann, dbr 2011, 26 (27). Fitting, § 80 Rz. 51; GK-BetrVG/Weber, BetrVG § 80 Rz. 58. So zuletzt nochmals BAG v. 23.3.2010 – 1 ABR 81/08, NZA 2011, 811.
464
Hexel
IV. Fragen des kollektiven Arbeitsrechts
Rz. 75
Teil 5
auch die Möglichkeit offen steht, nach näherer Vereinbarung mit dem Arbeitgeber (auf dessen Kosten) Sachverständige hinzuzuziehen1. Dies gilt, wie schon der Gesetzeswortlaut zeigt, freilich nur, soweit dies zur ordnungsgemäßen Erfüllung der Aufgaben des Betriebsrats erforderlich ist. Deswegen muss der Betriebsrat vor der Inanspruchnahme der Dienste eines externen Sachverständigen zunächst die innerbetrieblichen Erkenntnisquellen erschließen, ehe die mit Kosten verbundene Beauftragung eines Sachverständigen als erforderlich angesehen werden kann2. Die Mitglieder des Betriebsrats haben sich nach der Rechtsprechung des BAG insbesondere um die selbständige Aneignung der notwendigen Kenntnisse zu bemühen und ggf. vorrangig weitere, ihnen vom Arbeitgeber gebotene Möglichkeiten der Unterrichtung durch sachkundige Arbeitnehmer des Betriebs oder Unternehmens zu nutzen. Dies dürfe der Betriebsrat nicht von vornherein mit der pauschalen Begründung ablehnen, diese Personen besäßen nicht das Vertrauen des Betriebsrats, weil sie im Dienste des Arbeitgebers stünden und deshalb nicht als neutral oder objektiv angesehen werden könnten3. In Bezug auf die Fragen, die sich zum Cloud Computing stellen, kommen als Sachverständige neben Rechtsanwälten insbesondere auch technische Sachverständige in Betracht. Häufig wird es dem Betriebsrat darum gehen, die Wahrung des Beschäftigtendatenschutzes sicherzustellen oder zu verstehen, ob und in welchem Umfang sich aus der Cloud-Nutzung Möglichkeiten der Leistungs- und Verhaltenskontrolle einzelner Mitarbeiter ergeben. Um dies beurteilen zu können, kann es durchaus notwendig sein, sich mit den verwendeten Techniken und Programmen detailliert auseinanderzusetzen. b) Sanktionen Kommt der Arbeitgeber seinen Pflichten nach § 80 BetrVG nicht nach, 75 so ergeben sich die unmittelbaren Rechtsfolgen aus den allgemeinen Vorschriften des BetrVG. Seine Ansprüche kann der Betriebsrat gegen den Arbeitgeber im Wege des arbeitsgerichtlichen Beschlussverfahrens nach § 2a ArbGG durchsetzen4. Die Kosten des Verfahrens sind nach den Grundsätzen der Betriebsverfassung vom Arbeitgeber zu tragen. Dieser Weg betrifft die Erteilung von Auskünften und Informationen genauso wie die Zurverfügungstellung internen oder externen Sachverstands5. In dringenden Fällen kommt ein Antrag auf Erlass einer einstweiligen Verfügung zur Durchsetzung der Rechte des Betriebsrats in Betracht6. Ist in 1 2 3 4
Fitting, § 80 Rz. 86 ff.; GK-BetrVG/Weber, BetrVG § 80 Rz. 122 ff. BAG v. 16.11.2005 – 7 ABR 12/05, NZA 2006, 553. BAG v. 16.11.2005 – 7 ABR 12/05, NZA 2006, 553. BAG v. 17.5.1983 – 1 ABR 21/80, DB 1983, 1986; Fitting, § 80 Rz. 92 f.; GKBetrVG/Weber, BetrVG § 80 Rz. 135. 5 ErfK/Kania, § 80 BetrVG Rz. 36; Fitting, § 80 Rz. 93; GK-BetrVG/Weber, BetrVG § 80 Rz. 129, 135. 6 LAG Hamm v. 22.2.2008 – 10 TaBVGa 3/08; Fitting, § 80 Rz. 93. Hexel
465
Teil 5
Rz. 76
Arbeitsrecht
dem Verhalten des Arbeitgebers ein grober Pflichtverstoß zu sehen, was insbesondere im Falle einer wiederholten Missachtung der Informationsrechte des Betriebsrats indiziert sein kann, so kann der Betriebsrat nach § 23 Abs. 3 BetrVG vorgehen und auf die Verurteilung des Arbeitgebers zur Zahlung eines Ordnungsgeldes hinwirken falls dieser erneut gegen seine Pflichten verstößt1. 76
In praktischer Hinsicht erweist sich die Durchsetzung von Informationsrechten des Betriebsrats unmittelbar aus § 80 Abs. 2 BetrVG mittels arbeitsgerichtlicher Beschlussverfahren erfahrungsgemäß als weniger bedeutsam, als man es auf den ersten Blick annehmen sollte. Dies liegt vor allen Dingen daran, dass der Betriebsrat immer dann, wenn Mitbestimmungsrechte nach § 87 Abs. 1 BetrVG im Raum stehen, ein besseres Mittel hat, um seine Informationsrechte mittelbar durchzusetzen. So kann der Betriebsrat seine in sozialen Angelegenheiten notwendige Zustimmung (vgl. dazu Rz. 80 f.) ohne weiteres davon abhängig machen, dass ihm zunächst alle für seine Entscheidungsfindung von ihm für notwendig erachteten Informationen zur Verfügung gestellt werden. In diesem Fall wird der Arbeitgeber möglicherweise schon im Interesse einer raschen Einigung mit der Informationserteilung „großzügig“ umgehen. 2. Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG a) Grundlagen
77
Die Mitbestimmung des Betriebsrats in sozialen Angelegenheiten hat in der betrieblichen Praxis erhebliche Bedeutung. Der in § 87 Abs. 1 BetrVG zu findende Katalog von Gegenständen, in denen ein Mitbestimmungsrecht des Betriebsrats besteht, ist recht lang und betrifft viele Aspekte häufig zu regelnder bzw. wiederkehrender Angelegenheiten (z.B. Überstunden, Urlaubsgrundsätze, Lohngestaltung etc.). Im Hinblick auf die Einführung von Cloud Computing wird häufig der Mitbestimmungstatbestand des § 87 Abs. 1 Nr. 6 BetrVG einschlägig sein. Seinem Wortlaut nach erfasst er die Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Es besteht aber seit Langem Einigkeit, dass technische Einrichtungen schon dann unter den Anwendungsbereich der Vorschrift fallen, wenn sie eine Überwachung möglich machen würden, ohne dass es konkret darauf ankommt, ob der Arbeitgeber von diesen Möglichkeiten Gebrauch machen möchte2.
78
Die Umstellung bestimmter IT-Anwendungen bei einem Arbeitgeber auf eine Nutzung von Cloud Computing-Services wird in den meisten Fällen mit der Einführung neuer Softwarekomponenten einhergehen. Auch 1 ErfK/Kania, § 80 BetrVG Rz. 37. 2 So schon BAG v. 9.9.1975 – 1 ABR 20/74, NJW 1976, 261; zuletzt bestätigt durch BAG v. 25.9.2012 – 1 ABR 45/11, NZA 2013, 275; s. auch Fitting, § 87 Rz. 226; GK-BetrVG/Wiese, BetrVG § 87 Rz. 507 f.
466
Hexel
IV. Fragen des kollektiven Arbeitsrechts
Rz. 80
Teil 5
dürfte es – schon aus Datenschutzgründen – regelmäßig notwendig sein, den Zugriff auf Daten in der Cloud durch Mitarbeiter des Arbeitnehmers zu regulieren, was typischerweise einen individualisierten Zugang zu den Daten (Benutzer-Login) voraussetzen wird (vgl. zur Zugriffskontrolle Teil 4 Rz. 115). Es ist deswegen davon auszugehen, dass bereits die sich daraus ergebende Möglichkeit der Zugriffskontrolle (Login-Protokolle) Mitbestimmungsrechte des Betriebsrates auslöst1. Ohne Zweifel einschlägig ist das Mitbestimmungsrecht, wenn leistungsrelevante Daten, wie z.B. Terminkalender oder Auftragsprotokolle von Mitarbeitern in der Cloud gespeichert und durch die Cloud-Software verarbeitet werden2. Das Mitbestimmungsrecht entfällt auch nicht etwa deswegen, weil nicht 79 der Arbeitgeber selbst die Cloud und deren Anwendungen betreibt, sondern der Diensteanbieter als Dritter. Nach einer in der Literatur weitgehend befürworteten Entscheidung des BAG zum Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1 BetrVG, die auch auf die Regelung in Nr. 6 übertragbar ist, kann der Arbeitgeber sich nicht dadurch der Mitbestimmung entziehen, dass er sich darauf beruft, er müsse die Vorgaben eines Dritten akzeptieren und könne diese nicht beeinflussen3. Wenn der Arbeitgeber Regelungen des Dritten übernehme und sie seinen Arbeitnehmern vorgebe, sei ihm dies nur aufgrund seines mit dem Arbeitsverhältnis verbundenen Weisungsrechts möglich, wohingegen der Vertragspartner keine unmittelbaren vertraglichen Befugnisse gegenüber den für ihn fremden Arbeitnehmern habe. Daher mache es für das Mitbestimmungsrecht keinen Unterschied, ob ein Arbeitgeber seinen Mitarbeitern selbst bestimmte Vorschriften mache oder ob er sie anweise, die Regeln des Dritten zu beachten4. Der Arbeitgeber habe als Vertragspartner des Dritten die Möglichkeit und damit auch die Obliegenheit, darauf Einfluss zu nehmen, unter welchen Bedingungen „seine“ Arbeitnehmer innerhalb der Sphäre eines Dritten zu arbeiten hätten5. Beim Cloud Computing ist der Arbeitgeber auch regelmäßig – zumindest in datenschutzrechtlicher Hinsicht – berechtigt, dem als Auftragsdatenverarbeiter handelnden Anbieter Weisungen zu erteilen. Inhaltlich bedeutet das Mitbestimmungsrecht des Betriebsrats nach § 87 80 Abs. 1 Nr. 6 BetrVG, dass der Arbeitgeber mit dem Betriebsrat Einigkeit sowohl über das „Ob“ der Einführung von Cloud Computing als auch über das „Wie“ erzielen muss, bevor er die Nutzung der Cloud Compu-
1 So wohl auch Aghamiri, ITRB 2008, 21 (22); Gaul/Koehler, BB 2011, 2229 (2235); Fitting, § 87 Rz. 235 ff.; Färber, FS Gaul, S. 57 (70); vgl. auch BAG v. 6.12.1983 – 1 ABR 43/81, NJW 1984, 1476 (zur Einführung von sog. Datensichtgeräten). 2 Gaul/Koehler, BB 2011, 2229 (2235). 3 BAG v. 27.1.2004 – 1 ABR 7/03, NZA 2004, 556; so zuvor bereits Wiese, NZA 2003, 1113 (1115); s. auch: Gaul/Koehler, BB 2011, 2229 (2235); Fitting, § 87 Rz. 250; ErfK/Kania, § 87 BetrVG Rz. 20. 4 BAG v. 27.1.2004 – 1 ABR 7/03, NZA 2004, 556. 5 BAG v. 27.1.2004 – 1 ABR 7/03, NZA 2004, 556. Hexel
467
Teil 5
Rz. 81
Arbeitsrecht
ting für seine Arbeitnehmer anordnen bzw. freigeben darf1. Typischerweise erfolgt die Einigung im Bereich der sozialen Mitbestimmung nach § 87 Abs. 1 BetrVG in Form einer schriftlichen Betriebsvereinbarung nach § 77 BetrVG, die unmittelbare normative Wirkung für die Arbeitnehmer entfaltet2; denkbar ist auch eine (dann formlos mögliche) Einigung auf Basis einer sog. Regelungsabrede, die nur schuldrechtliche Wirkung zwischen dem Arbeitgeber und dem Betriebsrat entfaltet3. Die Regelungsgegenstände einer Betriebsvereinbarung zur Wahrung der Rechte nach § 87 Abs. 1 Nr. 6 BetrVG können vielfältig sein. Sie erstrecken sich insbesondere auf den Umfang der Nutzung von Arbeitnehmerdaten, insbesondere auch mit Blick auf den konkreten Verwendungszweck4. Die Betriebsparteien können (und sollen) aber auch Regelungen zur technischen oder organisatorischen Sicherung des Datenschutzes (z.B. Zugriffskontrolle, Speicherfristen etc.) vereinbaren. 81
Kommt eine Einigung zwischen den Betriebsparteien über die Inhalte einer Regelung zur Einführung oder Änderung einer technischen Einrichtung i.S.d. Mitbestimmungstatbestandes nicht zustande, bleibt ihnen nur der Ausweg über eine sog. Einigungsstelle nach § 76 BetrVG5. Unerheblich ist dabei, weswegen es nicht zu einer Einigung kommt. Auch wenn beispielsweise der Betriebsrat sich gegenüber einer Einigung (allein) deswegen verschließt, weil er sich nicht ausreichend informiert fühlt oder weil er aus prinzipiellen Erwägungen heraus ganz grundsätzlich gegen die arbeitgeberseitig geplante Maßnahme ist, muss der Arbeitgeber darauf hinwirken, dass die Einigungsstelle in seinem Sinne entscheidet. Die Einigungsstelle setzt sich aus einer gleichen Anzahl von Beisitzern zusammen, die Arbeitgeber und Betriebsrat jeweils benennen, vgl. § 76 Abs. 2 Satz 1 BetrVG. Außerdem müssen die Betriebsparteien sich auf einen unparteiischen Vorsitzenden einigen, der in der Praxis in aller Regel – aber nicht notwendigerweise – ein (ehemaliger) Arbeitsrichter sein wird6. Die Einigungsstelle hat die Aufgabe, notfalls durch Mehrheitsbeschluss (dann meist mit der entscheidenden Stimme des Vorsitzenden, vgl. § 76 Abs. 3 Satz 3 BetrVG), eine Einigung herbeizuführen, die schriftlich niederzulegen ist. Der so dokumentierte Spruch der Einigungsstelle ist im Bereich der zwingenden Mitbestimmung nach § 87 Abs. 1 BetrVG für die Betriebsparteien verbindlich7.
1 2 3 4 5 6 7
Gaul/Koehler, BB 2011, 2229 (2235). Dazu umfassend: Linsenmaier, RdA 2008, 1. Dazu instruktiv: Kleinebrink, ArbRB 2012, 27; Plocher, DB 2013, 1485. Fitting, § 87 Rz. 249. S. zum Einigungsstellenverfahren im Allgemeinen: Schulze, ArbR 2013, 321. ErfK/Kania, § 76 BetrVG Rz. 7; Fitting, § 76 Rz. 24. Fitting, § 76 Rz. 133 ff.; GK-BetrVG/Kreutz, BetrVG § 76 Rz. 135 ff.
468
Hexel
IV. Fragen des kollektiven Arbeitsrechts
Rz. 84
Teil 5
b) Sanktionen Im Falle der Missachtung des Mitbestimmungsrechts des zuständigen 82 Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG kann der Betriebsrat nach überwiegender Auffassung gegenüber dem Arbeitgeber einen Anspruch auf Unterlassung durchsetzen und dadurch verhindern, dass der Arbeitgeber beispielsweise Anwendungen des Cloud Computing ohne vorherige Einigung mit dem Betriebsrat bzw. ohne einen diese Einigung ersetzenden Einigungsstellenspruch nutzt1. In Eilfällen kommt auch der Erlass einer entsprechenden einstweiligen Verfügung in Betracht2. Teilweise wird vertreten, dass der Betriebsrat nicht die vollständige Unterlassung der Nutzung der technischen Einrichtung untersagen kann, sondern darauf beschränkt ist, die Ausnutzung der Möglichkeiten der Leistungsbzw. Verhaltenskontrolle zu unterbinden3. Schließlich hat nach der sog. Theorie der Wirksamkeitsvoraussetzung ei- 83 ne mitbestimmungswidrige Einführung einer technischen Überwachungseinrichtung auch zur Folge, dass die Verpflichtung zu deren Nutzung individualrechtlich nicht durchsetzbar ist. Den Arbeitnehmern steht insoweit ein Leistungsverweigerungsrecht zu4. Etwaig von dem Arbeitgeber mittels einer mitbestimmungswidrig genutzten technischen Einrichtung gesammelte Leistungsdaten dürfen von ihm nicht verwertet werden; sie sind vielmehr umgehend zu löschen5. 3. Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1 BetrVG a) Grundlagen Denkbar ist, dass die Einführung von Cloud Computing-Anwendungen 84 neben dem Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG auch der Mitbestimmung aufgrund von § 87 Abs. 1 Nr. 1 BetrVG unterliegt. Nach dieser Vorschrift hat der Betriebsrat mitzubestimmen bei Regelungen betreffend die Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb. Hierzu zählen nach allgemeiner Auffassung Maßnahmen des Arbeitgebers im Rahmen seines Direktionsrechts oder seiner Organisationsbefugnis zur Beeinflussung oder Koordination des betrieblichen Zusammenlebens und Zusammenwirkens der Arbeitnehmer im Betrieb6. Abzugrenzen sind Regelungen, welche die betriebliche Ordnung betreffen, von reinen Arbeitsanweisungen. Vorgaben, mit 1 BAG v. 27.1.2004 – 1 ABR 7/03, NZA 2004, 55; BAG v. 3.5.1994 – 1 ABR 24/93, NZA 1995, 40; Gaul/Koehler, BB 2011, 2229 (2236); Fitting, § 87 Rz. 256; GKBetrVG/Wiese, BetrVG § 87 Rz. 579 (m.w.N.). 2 GK-BetrVG/Wiese, BetrVG § 87 Rz. 579; Fitting, § 87 Rz. 256. 3 Aghamiri, ITRB 2008, 21 (23). 4 GK-BetrVG/Wiese, BetrVG § 87 Rz. 580; Fitting, § 87 Rz. 256. 5 GK-BetrVG/Wiese, BetrVG § 87 Rz. 581; Fitting, § 87 Rz. 256. 6 Vgl. zuletzt BAG v. 25.9.2012 – 1 ABR 50/11, NZA 2013, 467; BAG v. 7.2.2012 – 1 ABR 63/10, NZA 2012, 685; Fitting, § 87 Rz. 63; kritisch: GK-BetrVG/Wiese, BetrVG § 87 Rz. 176. Hexel
469
Teil 5
Rz. 85
Arbeitsrecht
denen alleine die Arbeitspflicht der Arbeitnehmer als Ausfluss des Weisungsrechts des Arbeitgebers unmittelbar konkretisiert wird, unterfallen nicht dem Tatbestand von § 87 Abs. 1 Nr. 1 BetrVG1. Gerade dann, wenn ein Arbeitgeber nicht nur solche Anwendungen in die Cloud auslagern möchte, die rein dienstlichen Zwecken dienen, sondern auch Anwendungen, bei denen eine private Nutzung denkbar ist (z.B. Mail-Verkehr, Textverarbeitung etc.), könnten Regelungen zur Nutzung der Cloud Computing-Anwendungen (z.B. Vorschriften zur Passwort-Verwendung oder zum Login-Verhalten) als mitbestimmungspflichtige Ordnungsanweisung angesehen werden2. 85
Für den Betriebsrat ergeben sich, falls die Einführung von Regelungen zum Cloud Computing außer nach § 87 Abs. 1 Nr. 6 BetrVG zusätzlich auch nach § 87 Abs. 1 Nr. 1 BetrVG mitbestimmungspflichtig ist, inhaltlich keine weiter gehenden Mitbestimmungsrechte. Die von den Betriebsparteien im Rahmen einer betrieblichen Einigung zu treffenden Regelungen entsprechen den oben beschriebenen Inhalten (vgl. Rz. 80). b) Sanktionen
86
Für die Sanktionen im Falle einer Verletzung der Mitbestimmungsrechte des Betriebsrats gelten die Ausführungen zu § 87 Abs. 1 Nr. 6 BetrVG im Wesentlichen entsprechend (vgl. Rz. 82 f.). Insbesondere dürfte ein Arbeitnehmer nicht sanktioniert werden (z.B. durch Ausspruch einer Abmahnung), wenn er einer Regelung zur Nutzung der ohne Wahrung der Mitbestimmungsrechte eingeführten Cloud Computing-Anwendung zuwider handelt. 4. Beratungsrechte nach § 90 BetrVG a) Grundlagen
87
Der Betriebsrat hat nach § 90 BetrVG gegenüber dem Arbeitgeber Ansprüche auf Unterrichtung und Beratung, sobald der Arbeitgeber Pläne im Hinblick auf technische Anlagen oder hinsichtlich Arbeitsverfahren und Arbeitsabläufen hat. Technische Anlagen i.S.d. Vorschrift können auch Computersysteme sein, so dass der Tatbestand des § 90 Abs. 1 Nr. 2 BetrVG bei der Planung eines Arbeitgebers zur Umstellung auf Cloud Computing regelmäßig erfüllt sein wird3. In Betracht kommt da-
1 St. Rspr., vgl. aus jüngerer Zeit BAG v. BAG v. 25.9.2012 – 1 ABR 50/11, NZA 2013, 467; BAG v. 10.3.2009 – 1 ABR 87/07, NZA 2010, 180. 2 Gaul/Koehler, BB 2011, 2229 (2235); vgl. zur Abgrenzung von Arbeits- und Ordnungsanweisungen auch BAG v. 14.1.1986 – 1 ABR 75/83, NZA 1986, 435; BAG v. 22.7.2008 – 1 ABR 40/07; NZA 2008, 1248. 3 Gaul/Koehler, BB 2011, 2229 (2234 f.); Aghamiri, ITRB 2008, 21 (23); s. auch bereits LAG Hamburg v. 20.6.1985 – 7 TaBV 10/84; GK-BetrVG/Weber, BetrVG § 90 Rz. 14; Fitting, § 90 Rz. 21.
470
Hexel
IV. Fragen des kollektiven Arbeitsrechts
Rz. 90
Teil 5
neben auch die Regelung in Nr. 3 der Vorschrift, falls mit der Einführung des Cloud Computing eine Änderung von Arbeitsabläufen verbunden ist. Die Ansprüche des Betriebsrats nach § 90 BetrVG sind inhaltlich nicht 88 grundverschieden von den Informationsansprüchen nach § 80 Abs. 2 BetrVG (vgl. Rz. 70 ff.), gehen aber in wenigstens zweierlei Hinsicht darüber hinaus. Zum einen verlangt § 90 Abs. 1 BetrVG ausdrücklich und unabhängig von einem Verlangen des Betriebsrats die Vorlage von Unterlagen, konkretisiert also die Anforderungen an die Art und Weise der Unterrichtung1. Des Weiteren hat der Betriebsrat hier nicht nur ein Unterrichtungsrecht, sondern darüber hinaus auch ein Recht auf Beratung, vgl. § 90 Abs. 2 Satz 1 BetrVG. Die Unterrichtung und anschließende Beratung muss, wie sich schon aus dem Gesetzeswortlaut ergibt, so rechtzeitig erfolgen, dass der Betriebsrat Einfluss bereits auf die Planung nehmen kann2. Allerdings ist der Arbeitgeber aufgrund des Beratungsrechts nur verpflichtet, die Argumente des Betriebsrats zu hören und ggf. dazu Stellung zu nehmen, er ist nicht zwingend gehalten, Vorschläge des Betriebsrats aufzunehmen und sich tatsächlich in seinen Planungen beeinflussen zu lassen3. Im Rahmen der Einführung von Cloud Computing wird in der Praxis 89 dem Unterrichtungs- und Beratungsrecht des Betriebsrats nach § 90 BetrVG häufig keine eigenständige Bedeutung zukommen, weil der Arbeitgeber im Rahmen des Beteiligungsverfahrens nach § 87 Abs. 1 BetrVG, der ein echtes Mitbestimmungsrecht des Betriebsrats statuiert (vgl. Rz. 80 f.), ohnehin dem Betriebsrat alle von diesem erbetenen Informationen zur Verfügung stellen muss, um zu erreichen, dass er eine zustimmende Entscheidung des Betriebsrats erhält. b) Sanktionen Für die Sanktionen, die auf den Arbeitgeber zukommen können, falls er 90 seinen Pflichten nach § 90 BetrVG nicht nachkommt, gelten zunächst die Ausführungen zu den Sanktionen bei mangelhafter Erfüllung der Pflichten nach § 80 Abs. 2 BetrVG im Wesentlichen entsprechend (vgl. Rz. 75 f.). Nach überwiegender Auffassung kann der Betriebsrat im Eilfall seine Rechte auch im Wege einer einstweiligen Verfügung durchsetzen, die jedoch nach richtiger Auffassung nur auf Erfüllung der Unterrichtungs- und Beratungspflicht, nicht auf eine Unterlassung der geplanten Maßnahmen gerichtet werden kann4. Zu beachten ist darüber hinaus, dass die Verletzung der Pflichten des Arbeitgebers eine Ordnungswidrig-
1 2 3 4
GK-BetrVG/Weber, BetrVG § 90 Rz. 12; Fitting, § 90 Rz. 21. GK-BetrVG/Weber, BetrVG § 90 Rz. 5 f.; Fitting, § 90 Rz. 9. GK-BetrVG/Weber, BetrVG § 90 Rz. 32. GK-BetrVG/Weber, BetrVG § 90 Rz. 47; Fitting, § 90 Rz. 48; a.A. DKKW/Klebe, § 90 BetrVG Rz. 38 (m.w.N.). Hexel
471
Teil 5
Rz. 91
Arbeitsrecht
keit darstellt, die gemäß § 121 Abs. 2 BetrVG mit einer Geldbuße von bis zu 10 000 Euro geahndet werden kann. 5. Beteiligungsrechte nach §§ 92 ff. BetrVG a) Grundlagen 91
Je nachdem, welche Form von Cloud Computing-Services ein Arbeitgeber in Anspruch nehmen möchte und wie umfassend sich die daraus resultierenden Änderungen in Bezug auf die Arbeitsorganisation im Betrieb des Arbeitgebers darstellen, kommen Mitbestimmungsrechte des Betriebsrats im Zusammenhang mit der Personalplanung gem. §§ 92 ff. BetrVG in Betracht. Die Personalplanung, die Gegenstand der Rechte des Betriebsrats ist, erstreckt sich dabei auf den Personalbedarf sowohl in quantitativer wie auch in qualitativer Hinsicht1. Sie kann also durch die Einführung von Cloud Computing insbesondere dann tangiert sein, wenn es zu einem Personalabbau (auch unterhalb der Schwellenwerte für die Beteiligungsrechte des Betriebsrates nach § 17 KSchG, §§ 111 ff. BetrVG, vgl. dazu Rz. 98) kommt oder wenn sich aufgrund der anderen Technik ein verändertes Anforderungsprofil für die Mitarbeiter ergibt, die mit den Anwendungen in der Cloud arbeiten sollen. Die Personalplanung umfasst insoweit nach allgemeiner Auffassung die Personalbedarfsplanung, die Personaldeckungsplanung, die Personalentwicklungsplanung und die Personaleinsatzplanung2. Ähnlich wie auch nach § 90 BetrVG (vgl. Rz. 88) ist der Arbeitgeber gehalten, den Betriebsrat über seine Personalplanung unter Vorlage von Unterlagen frühzeitig zu unterrichten und mit dem Betriebsrat Art und Umfang der erforderlichen Maßnahmen zu beraten, vgl. § 92 Abs. 1 Satz 1 und 2 BetrVG3.
92
Im Rahmen der betrieblichen Personalplanung haben Arbeitgeber und Betriebsrat gemäß § 96 Abs. 1 BetrVG insbesondere auch für eine Berufsbildung der Arbeitnehmer Sorge zu tragen. Ein besonderes Mitbestimmungsrecht sieht § 97 Abs. 2 BetrVG für den Fall vor, dass der Arbeitgeber Maßnahmen plant oder durchführt, die dazu führen, dass sich die Tätigkeit der betroffenen Arbeitnehmer ändert und ihre beruflichen Kenntnisse und Fähigkeiten zur Erfüllung ihrer Aufgaben nicht mehr ausreichen. In diesem Fall hat der Betriebsrat gemäß § 97 Abs. 2 Satz 1 BetrVG bei der Einführung von Maßnahmen der betrieblichen Berufsbildung mitzubestimmen. Ihm steht dann sogar ein Initiativrecht zu, d.h. er kann den Arbeitgeber zur Einführung von betrieblichen Berufsbildungsmaßnahmen anhalten und entsprechende Regelungen ggf. über die Errichtung einer Einigungsstellte (vgl. Rz. 81) auch gegen den Willen des Arbeitgebers durchsetzen4. 1 GK-BetrVG/Raab, BetrVG § 92 Rz. 12; Fitting, § 92 Rz. 12. 2 GK-BetrVG/Raab, BetrVG § 92 Rz. 13 ff.; Fitting, § 92 Rz. 11 ff. 3 Vgl. BAG v. 6.11.1990 – 1 ABR 60/89, NZA 1991, 358; instruktiv auch Scheriau, AiB 2009, 3. 4 GK-BetrVG/Raab, BetrVG § 97 Rz. 11 ff.; Fitting, § 97 Rz. 20 ff.
472
Hexel
IV. Fragen des kollektiven Arbeitsrechts
Rz. 95
Teil 5
b) Sanktionen Die Möglichkeiten des Betriebsrats, seine Beteiligungsrechte nach § 92 93 BetrVG in der Praxis effektiv durchzusetzen, sind begrenzt. Personelle Maßnahmen, die der Arbeitgeber durchführt, ohne dass zuvor dafür eine Basis auf der Grundlage einer mit dem Betriebsrat abgestimmten Personalplanung gelegt wurde, sind dennoch wirksam1. Auch steht dem Betriebsrat kein allgemeiner Unterlassungsanspruch im Hinblick auf Maßnahmen des Arbeitgebers zu, die trotz einer unzureichenden Beteiligung des Betriebsrats bei der vorherigen Personalplanung durchgeführt werden2. Bei groben Verstößen, insbesondere also im Wiederholungsfall, kann der Betriebsrat nach § 23 Abs. 3 BetrVG vorgehen und auf die Verurteilung des Arbeitgebers zur Zahlung eines Ordnungsgeldes hinwirken, falls dieser erneut gegen seine Pflichten verstößt3. Gleiches gilt für Verletzungen der Rechte des Betriebsrats nach § 97 Abs. 2 BetrVG4. Die Verletzung der Pflichten des Arbeitgebers nach § 92 Abs. 1 Satz 1 94 BetrVG stellt eine Ordnungswidrigkeit dar, die gemäß § 121 Abs. 2 BetrVG mit einer Geldbuße von bis zu 10 000 Euro geahndet werden kann. 6. Mitbestimmungsrechte bei Massenentlassungen a) Grundlagen Im Zusammenhang mit individualrechtlichen Regelungen zum Kündi- 95 gungsschutz wurde oben bereits dargestellt, dass es unter Umständen – wenn auch nicht regelmäßig – bei einem Arbeitgeber, der sich dazu entschließt, Cloud Computing-Services in Anspruch zu nehmen, zu der Notwendigkeit kommen kann, im eigenen Betrieb Arbeitsplätze abzubauen. Denkbar ist insbesondere, dass die Nutzung von Cloud Computing-Anwendungen eigene Ressourcen im IT-Bereich (z.B. HardwareWartung) oder bei der Softwarelizenzbetreuung überflüssig macht (vgl. Rz. 43). Dies ist vor allem bei größeren Cloud Computing-Vorhaben denkbar, die einem IT-Outsourcing ähneln, aber Cloud-Technologien zum Einsatz bringen. Ob und inwieweit sich in diesem Fall auf kollektivrechtlicher Ebene Mitbestimmungsrechte des Betriebsrats ergeben, hängt ganz maßgeblich ab von der Zahl der betroffenen Arbeitnehmer, für die der Arbeitsplatzwegfall (nachteilige) Folgen hat, im Verhältnis zur Gesamtzahl der Arbeitnehmer in dem fraglichen Betrieb. Werden bestimmte Schwellenwerte erreicht, können sich daraus Mitbestimmungsrechte des Betriebsrats wegen einer Massenentlassung nach §§ 111, 112 BetrVG sowie ggf. zusätzlich auch aus §§ 17, 18 KSchG ergeben.
1 2 3 4
GK-BetrVG/Raab, BetrVG § 92 Rz. 45; Fitting, § 92 Rz. 45. GK-BetrVG/Raab, BetrVG § 92 Rz. 45; Fitting, § 92 Rz. 45. GK-BetrVG/Raab, BetrVG § 92 Rz. 45; Fitting, § 92 Rz. 45. GK-BetrVG/Raab, BetrVG § 97 Rz. 30; Fitting, § 97 Rz. 38. Hexel
473
Teil 5
Rz. 96
Arbeitsrecht
aa) Mitbestimmung nach §§ 111, 112 BetrVG 96
Das BetrVG sieht besondere Rechte der Betriebsräte vor, wenn es in einem Unternehmen, welches regelmäßig mehr als zwanzig wahlberechtigte Arbeitnehmer beschäftigt, zu einer sog. Betriebsänderung kommt. Als in diesem Sinne mitbestimmungspflichtige Betriebsänderung gilt nach § 111 Satz 3 Nr. 1 BetrVG unter anderem auch die Einschränkung des Betriebs oder von wesentlichen Betriebsteilen. Eine Betriebseinschränkung in diesem Sinne kann in einer dauerhaften Herabsetzung der Leistung bzw. des Umfangs der Nutzung von Betriebsmitteln liegen, aber auch im Abbau von Arbeitsplätzen, ohne dass die Nutzung von Betriebsmitteln verändert wird1. Damit kommt es bei den hier zu beurteilenden Fällen maßgeblich darauf an, wie viele Arbeitsplätze im Betrieb des Arbeitgebers aufgrund der Umstellung auf Cloud Computing in Wegfall geraten.
97
Allerdings ist nach § 111 Satz 3 Nr. 4 BetrVG auch die grundlegende Änderung der Betriebsorganisation oder der Betriebsanlagen als Betriebsänderung anzusehen. Dieser Tatbestand soll aber nur erfüllt sein, wenn die Veränderungen grundlegend sind und sich auf den überwiegenden Teil der Belegschaft auswirken, indem sie einschneidende Auswirkungen auf den Betriebsablauf, die Arbeitsweise oder die Arbeitsbedingungen haben2. Es dürfte in der Praxis nur selten vorkommen, dass die Einführung von Cloud Computing-Services sich auf einen Betrieb insgesamt so nachhaltig auswirkt, dass eine Betriebsänderung unter diesem Gesichtspunkt anzunehmen ist. Sollte dies ausnahmsweise einmal der Fall sein, gelten die nachfolgenden Ausführungen zu den Rechten des zuständigen Betriebsrats im Hinblick auf Interessenausgleich- und Sozialplanverhandlungen sinngemäß.
98
Zu der Frage, ab welcher Zahl der von einer Einschränkung des Betriebs betroffenen Arbeitnehmer die Rechte des Betriebsrats nach §§ 111, 112 BetrVG greifen, besteht inzwischen weitest gehende Einigkeit darüber, dass im Regelfall die in § 17 KSchG zu findenden Schwellenwerte, nach denen das Vorliegen einer sog. Massenentlassung zu beurteilen ist, heranzuziehen sind, wobei für große Betriebe gewisse Modifikationen für angezeigt erachtet werden3. Danach gilt für die Anwendbarkeit von § 111 Satz 3 Nr. 1 BetrVG die nachfolgend beschriebene Staffel4, wobei teilweise vertreten wird, dass diese nur als Richtschnur anzusehen sei, die insbesondere in größeren Betrieben selbst bei geringfügiger Unterschreitung
1 Fitting, § 111 Rz. 71 ff.; GK-BetrVG/Oetker, BetrVG § 111 Rz. 112 ff. 2 BAG v. 18.3.2008 – 1 ABR 77/06, NZA 2008, 957; Fitting, § 111 Rz. 92, 95; GKBetrVG/Oetker, BetrVG § 111 Rz. 146 f. 3 Vgl. BAG v. 23.2.2012 – 2 AZR 773/10, NZA 2012, 992; BAG v. 31.5.2007 – 2 AZR 254/06, NZA 2007, 1307 (m.w.N.); Fitting, § 111 Rz. 73 ff.; GK-BetrVG/ Oetker, BetrVG § 111 Rz. 88. 4 Fitting, § 111 Rz. 75.
474
Hexel
IV. Fragen des kollektiven Arbeitsrechts
Rz. 100
Teil 5
der Schwellenwerte dennoch eine mitbestimmungspflichtige Betriebsänderung nicht ausschließen1: – Betriebe mit 21 bis 59 Arbeitnehmern: mehr als 5 Arbeitnehmer – Betriebe mit 60 bis 499 Arbeitnehmern: 10 % oder mehr als 25 Arbeitnehmer – Betriebe mit 500 bis 599 Arbeitnehmern: mindestens 30 Arbeitnehmer – Betriebe mit über 600 Arbeitnehmern: mindestens 5 % der Arbeitnehmer Im Unterschied zu den Regelungen des KSchG über Massenentlassungen 99 (vgl. Rz. 102) greift die Interessenausgleichspflicht auch in Betrieben mit regelmäßig nicht mehr als 20 Arbeitnehmern, wenn nur das Unternehmen insgesamt diese Arbeitnehmerzahl überschreitet2. Nach Auffassung des BAG müssen in solchen Kleinbetrieben mindestens sechs Arbeitnehmer von einer Maßnahme betroffen sein, damit diese als Betriebsänderung iSv. § 111 BetrVG gilt3. Für die Anwendbarkeit von § 111 BetrVG ist es grundsätzlich unerheblich, über welchen Zeitraum sich die Maßnahmen erstrecken. So lange ein ggf. auch zeitlich gestrecktes Maßnahmenpaket auf eine einzige unternehmerische Planungsentscheidung zurückzuführen ist, wird die Zahl der betroffenen Arbeitnehmer insgesamt betrachtet4. (1) Interessenausgleichsverhandlungen Wenn eine mitbestimmungspflichtige Betriebsänderung nach § 111 100 Satz 3 BetrVG vorliegt, ist der Arbeitgeber verpflichtet, den zuständigen Betriebsrat rechtzeitig und umfassend zu unterrichten und die geplante Betriebsänderung mit ihm zu beraten, vgl. § 111 Satz 1 BetrVG. Ziel der Gespräche soll die Abfassung eines schriftlichen Interessenausgleichs sein, in dem die Einzelheiten der geplanten Betriebsänderung, namentlich das „Ob und Wie“, geregelt werden5. Konkret kann es dabei neben der Frage, ob die geplante Änderung überhaupt durchgeführt wird, auch um Regelung dazu gehen, welchen Umfang z.B. ein geplanter Stellenabbau hat, welche Arbeitsplätze davon im Einzelnen betroffen sind, zu welchem Zeitpunkt die fraglichen Maßnahmen umgesetzt werden und mit welchen (arbeitsrechtlichen) Mitteln dies erfolgen soll. Damit dieses Ziel erreicht werden kann, hat der Arbeitgeber den Betriebsrat frühzeitig einzubeziehen und darf ihn nicht bei Beginn der Verhandlungen vor voll-
1 2 3 4 5
GK-BetrVG/Oetker, BetrVG § 111 Rz. 90. BAG v. 9.11.2010 – 1 AZR 708/09, NZA 2011, 466. BAG v. 9.11.2010 – 1 AZR 708/09, NZA 2011, 466. Fitting, § 111 Rz. 76; GK-BetrVG/Oetker, BetrVG § 111 Rz. 8 ff. Vgl. BAG v. 16.5.2007 – 8 AZR 693/06, NZA 2007, 1296. Hexel
475
Teil 5
Rz. 101
Arbeitsrecht
endete Tatsachen stellen, insbesondere also noch nicht mit der Durchführung der Maßnahme begonnen haben1. (2) Aufstellung eines Sozialplans 101
Wenn mit einer Betriebsänderung, die einen Arbeitsplatzabbau einschließt, auch die Beendigung von Arbeitsverhältnissen einhergeht, ist der Arbeitgeber verpflichtet, mit dem Betriebsrat einen Sozialplan zu verhandeln. Das wesentliche Ziel dieses Sozialplans ist es, für eine Kompensation oder Milderung der wirtschaftlichen Nachteile zu sorgen, die den Arbeitnehmern aufgrund der Maßnahmen, die Gegenstand der Interessenausgleichsverhandlungen sind, entstehen, vgl. § 112 Abs. 1 Satz 2 BetrVG. Der Verlust des Arbeitsplatzes ist für den Arbeitnehmer offenkundig regelmäßig mit tiefgreifenden wirtschaftlichen Nachteilen verbunden2. Typische Leistungen, die die nachteiligen Folgen des Verlustes des Arbeitsplatzes mildern, sind Abfindungsleistungen in Form von Einmalzahlungen3. Denkbar sind aber sonstige Maßnahmen, die dem Arbeitnehmer die Begründung eines neuen Arbeitsverhältnisses erleichtern sollen4, wie beispielsweise Transfer- oder Outplacementleistungen5. bb) Beteiligung nach §§ 17 ff. KSchG
102
Das KSchG sieht in seinem dritten Abschnitt (anzeigepflichtige Entlassungen) eine Verpflichtung des Arbeitgebers vor, vor der Entlassung einer bestimmten Anzahl von Arbeitnehmern eines Betriebes innerhalb eines Zeitraums von 30 Kalendertagen die Entlassungen der Agentur für Arbeit anzuzeigen. Nach § 17 KSchG gelten dabei folgende Schwellenwerte: – Betriebe mit 21 bis 59 Arbeitnehmern: mehr als 5 Arbeitnehmer – Betriebe mit 60 bis 499 Arbeitnehmern: 10 % oder mehr als 25 Arbeitnehmer – Betriebe mit 500 oder mehr Arbeitnehmern: mindestens 30 Arbeitnehmer
103
Bis zur „Junk-Entscheidung“ des EuGH vom 27.1.20056 war es das allgemeine Verständnis nach deutschem Recht, dass mit „Entlassung“ i.S.d. KSchG nicht der Ausspruch einer Kündigung oder der Abschluss eines Aufhebungsvertrages zu verstehen war, sondern (erst) der Zeitpunkt der darauf beruhenden rechtlichen Beendigung des Arbeitsverhältnisses, also
1 2 3 4 5 6
Fitting, § 111 Rz. 109 f.; GK-BetrVG/Oetker, BetrVG § 111 Rz. 182 ff. BAG v. 7.6.2011 – 1 AZR 34/10, NZA 2011, 1370. Fitting, § 112 Rz. 141. Fitting, § 112 Rz. 141; GK-BetrVG/Oetker, BetrVG § 112 Rz. 132. Vgl. dazu Bell, AiB 2013, 117 (117 ff.). EuGH v. 27.1.2005 – C-188/03, BB 2005, 331 („Junk“).
476
Hexel
IV. Fragen des kollektiven Arbeitsrechts
Rz. 105
Teil 5
der eigentliche „Austritt“ des Arbeitnehmers1. Seit der Junk-Entscheidung sind die Vorschriften des KSchG unionsrechtskonform dahingehend auszulegen, dass unter „Entlassung“ der Ausspruch der Kündigung bzw. der Abschluss eines Aufhebungsvertrages zu verstehen ist2. Das Gesetz sieht neben der Anzeigepflicht in § 17 Abs. 2 Satz 2 KSchG 104 auch eine Pflicht des Arbeitgebers vor, mit dem Betriebsrat Möglichkeiten zu beraten, Entlassungen zu vermeiden oder einzuschränken und ihre Folgen zu mildern. Ursprünglich war der Umgang mit den Regelungen zur Massenentlassungsanzeige in Deutschland schwerpunktmäßig darauf fokussiert, die Agenturen für Arbeit auf die größere Anzahl von Arbeitssuchenden in einer Region vorzubereiten3. Die im Gesetz vorgesehenen Beteiligungsrechte des Betriebsrats standen dabei nicht im Vordergrund. Deswegen hatte das BAG auch noch im Jahr 2003 ausdrücklich offen gelassen, ob ein Verstoß gegen die Beteiligungsrechte des Betriebsrats zur Unwirksamkeit der Anzeige führe, und darüber hinaus in Erwägung gezogen, dass jedenfalls eine bestandskräftige Zustimmung der Agentur für Arbeit zu einer angezeigten Massenentlassung etwaige Formfehler bei der Erstattung der Anzeige heilen könnte4. Nach verschiedenen in jüngerer Zeit ergangenen Entscheidungen des 105 BAG ist die Situation heute insgesamt etwas anders zu bewerten. Danach kommt der ordnungsgemäßen Beteiligung des Betriebsrats und dessen Stellungnahme im Rahmen des Massenentlassungsverfahrens eine wichtigere Bedeutung zu. Zum Schutz der Arbeitnehmer vor den Folgen von Massenentlassungen habe der Arbeitgeber dem Betriebsrat rechtzeitig die zweckdienlichen Auskünfte zu erteilen und ihn schriftlich zu unterrichten5. Die Arbeitnehmervertretung solle konstruktive Vorschläge unterbreiten können, um die Massenentlassung zu verhindern oder einzuschränken6. Die in der Praxis häufige Verbindung der Verfahren nach §§ 111 ff. BetrVG und § 17 KSchG sei zwar möglich, es müsse dabei aber hinreichend klargestellt werden, dass und welche Verfahren gleichzeitig durchgeführt werden sollen7. Dabei sei, so das BAG, zu berücksichtigen, dass es sich um unterschiedliche Verfahren handelt, die nicht vollständig deckungsgleich sind8. Ausgehend von den oben genannten Zwecken solle die vom Gesetz geforderte Stellungnahme des Betriebsrats gegenüber 1 2 3 4 5 6 7 8
Vgl. zuletzt noch BAG v. 18.9.2003 – 2 AZR 79/02, NZA 2004, 375. Nunmehr st. Rspr. seit: BAG v. 23.3.2006 – 2 AZR 343/05, NZA 2006, 971. Hamm, AiB 2009, 641 (642); KR/Weigand, § 17 KSchG Rz. 32e. BAG v. 18.9.2003 – 2 AZR 537/02, ZTR 2004, 535; zustimmend: Lipinski, BB 2004, 1790 (1790); zur Wirkung eines bestandskräftigen Verwaltungsakts nach §§ 17 ff. KSchG auch BAG v. 24.10.1996 – 2 AZR 895/95, NZA 1997, 373. BAG v. 20.9.2012 – 6 AZR 155/11, NZA 2013, 32. BAG v. 13.12.2012 – 6 AZR 752/11, BB 2013, 1267; BAG v. 20.9.2012 – 6 AZR 155/11, NZA 2013, 32. BAG v. 21.3.2013 – 2 AZR 60/12, DB 2013, 1912; BAG v. 20.9.2012 – 6 AZR 155/11, NZA 2013, 32. BAG v. 13.12.2012 – 6 AZR 752/11, BB 2013, 1267. Hexel
477
Teil 5
Rz. 106
Arbeitsrecht
der Arbeitsverwaltung belegen, ob und welche Möglichkeiten dieser sehe, die angezeigten Kündigungen zu vermeiden1. 106
Klargestellt hat das BAG in diesem Zusammenhang nunmehr, dass Fehler im Beteiligungsverfahren nach § 17 KSchG selbst durch einen nachfolgenden bestandskräftigen Verwaltungsakt der Agentur für Arbeit im Rahmen der Behandlung der Anzeige durch die Behörde nicht geheilt werden2 (vgl. zu den Folgen Rz. 112). b) Sanktionen
107
Die Sanktionen, welche ein Arbeitgeber zu fürchten hat, wenn er die hier beschriebenen Beteiligungsrechte des zuständigen Betriebsrats nicht wahrt, sind unterschiedlich. aa) Kein Versuch eines Interessenausgleichs
108
Aus § 113 Abs. 3 BetrVG ergibt sich zunächst, dass ein Arbeitgeber, der eine Betriebsänderung nach § 111 BetrVG durchführt, ohne über sie einen Interessenausgleich mit dem Betriebsrat versucht zu haben, den Mitarbeitern, die dadurch wirtschaftliche Nachteile erleiden, einen sog. Nachteilsausgleich (in Geld) schuldet3. Dabei geht das BAG in ständiger Rechtsprechung, die auch weitestgehend anerkannt ist, davon aus, dass zu einem ausreichenden „Versuch“ eines Interessenausgleichs mindestens gehört, dass der Arbeitgeber im Falle des Scheiterns der innerbetrieblichen Verhandlungen zumindest das Einigungsstellenverfahren (vgl. dazu Rz. 81) einleiten und in der Einigungsstelle bis zum Scheitern der Verhandlungen mit dem Betriebsrat eine Einigung suchen muss4. Setzt er die Betriebsänderung vorher um, kommt im Falle der Beendigung von Arbeitsverhältnissen gem. § 113 Abs. 1 BetrVG ein Nachteilsausgleich in Form einer Abfindung in Betracht.
109
Höchst umstritten ist die Frage, ob der Betriebsrat trotz dieser im Gesetz vorgesehenen individualrechtlichen Sanktion für die Umsetzung einer Betriebsänderung nach § 111 BetrVG ohne (ausreichenden) Versuch eines Interessenausgleichs aus eigenem Recht einen eigenen Anspruch auf Unterlassung hat und ob er diesen Anspruch im Wege einer einstweiligen Verfügung durchsetzen kann. Eine ganze Reihe von Landesarbeitsgerichten und ihnen folgend Teile der Literatur räumen dem Betriebsrat einen Unterlassungsanspruch ein und billigen ihm auch die Möglichkeit zu, dem Arbeitgeber im Wege der einstweiligen Verfügung die Durchführung 1 BAG v. 28.6.2012 – 6 AZR 780/10, NZA 2012, 1029. 2 BAG v. 21.3.2013 – 2 AZR 60/12, DB 2013, 1912; BAG v. 13.12.2012 – 6 AZR 752/11, BB 2013, 1267; BAG v. 28.6.2012 – 6 AZR 780/10, NZA 2012, 1029. 3 Fitting, § 113 Rz. 29 ff.; GK-BetrVG/Oetker, BetrVG § 113 Rz. 76 ff. 4 So bereits BAG v. 18.12.1984 – 1 AZR 176/82, NZA 1985, 400; zuletzt bestätigt durch BAG v. 16.8.2011 – 1 AZR 44/10, AP Nr. 55 zu § 113 BetrVG 1972; Fitting, § 113 Rz. 17 ff.; GK-BetrVG/Oetker, BetrVG § 113 Rz. 48 ff.
478
Hexel
IV. Fragen des kollektiven Arbeitsrechts
Rz. 111
Teil 5
von Maßnahmen, die bereits eine Umsetzung der Betriebsänderung bedeuten würden, zu untersagen, solange das Verfahren zur Herbeiführung eines Interessenausgleichs nicht beendet ist1. Demgegenüber verweisen andere Landesarbeitsgerichte und weite Teile der Literatur darauf, dass die Gesetzessystematik, insbesondere mit Blick auf die Regelungen zum individualrechtlichen Nachteilsausgleich, ein solches Verständnis nicht zuließen; der Gesetzgeber habe sich auch bei der letzten Reform des Betriebsverfassungsgesetzes nicht dazu durchringen können, die unternehmerische grundgesetzlich geschützte Betätigungsfreiheit zu Gunsten der Arbeitnehmermitbestimmung im Bereich der Betriebsänderungen weiter einzuschränken als es durch die Regelung des § 113 BetrVG gegeben sei2. Nach § 121 Abs. 1 BetrVG stellt eine Missachtung der Auskunftspflich- 110 ten des Arbeitgebers gem. § 111 BetrVG eine Ordnungswidrigkeit dar, die mit einer Geldbuße von bis zu 10 000 Euro geahndet werden kann. bb) Fehlen eines Sozialplans Einigkeit besteht im Hinblick auf die Möglichkeiten des Betriebsrats zur 111 Durchsetzung eines Sozialplans im Falle einer Betriebsänderung nach § 111 BetrVG. Kommt der Arbeitgeber seiner Pflicht zur Verhandlung über einen Sozialplan nicht nach oder können die Betriebsparteien über die Inhalte des Sozialplans innerbetrieblich keine Einigung finden, so kann der Betriebsrat die Einigungsstelle (vgl. dazu auch Rz. 81) anrufen. Diese kann dann den Sozialplan notwendigenfalls gegen die Stimmen der Arbeitgebervertreter durch einen Einigungsstellenspruch in Kraft setzen, vgl. § 112 Abs. 4 BetrVG3. Dem Arbeitgeber verbleibt dann nur die Möglichkeit zur nachträglichen gerichtlichen Kontrolle des Spruchs nach § 76 Abs. 5 Satz 4, § 112 Abs. 5 BetrVG, ob sich der Spruch der Einigungsstelle als angemessener Ausgleich der Belange des Betriebs und Unternehmens auf der einen und der betroffenen Arbeitnehmer auf der anderen Seite erweist4. Die Einigungsstelle kann über den Sozialplan auch noch nachträglich, d.h. nach Vollzug der Betriebsänderung, durch einen entsprechenden Spruch entscheiden5. Der Arbeitgeber trägt dann das Risiko, eine Maßnahme umzusetzen, ohne dabei bereits Gewissheit über die sich daraus ergebenden Sozialplankosten zu haben.
1 Eine Übersicht zur Rechtsprechung findet sich bei Lipinski/Melms, BB 2002, 2226 (2227); s. auch Seel, MDR 2010, 7 (10); Fitting, § 111 Rz. 131 ff.; Gruber, NZA 2011, 1011 (1015 f.). 2 So zuletzt LAG Köln v. 30.3.2006 – 2 Ta 145/06, AE 2007, 78; GK-BetrVG/Oetker, BetrVG § 111 Rz. 250 f. 3 Fitting, § 111 Rz. 18 ff.; GK-BetrVG/Oetker, BetrVG § 111 Rz. 8 ff.; Seel, MDR 2010, 241 (242). 4 Vgl. BAG v. 22.1.2013 – 1 ABR 85/11, DB 2013, 1182. 5 Vgl. zu einem solchen Sachverhalt BAG v. 6.5.2003 – 1 ABR 11/02, NZA 2004, 108; s. auch LAG Köln v. 5.3.2007 – 2 TaBV 10/07, ArbuR 2007, 395. Hexel
479
Teil 5
Rz. 112
Arbeitsrecht
cc) Mangelhafte Beteiligung nach § 17 KSchG 112
Aufgrund jüngst ergangener Entscheidungen des BAG1 steht nunmehr fest, dass Fehler des Arbeitgebers im Rahmen des Massenentlassungsanzeigeverfahrens nach § 17 KSchG, auch soweit es um die ordnungsgemäße Beteiligung des Betriebsrats geht, unmittelbar die Wirksamkeit der Kündigung der von der Massenentlassung erfassten Arbeitsverhältnisse berühren. Selbst wenn die zuständige Agentur für Arbeit im Rahmen des Verfahrens nach den §§ 17 ff. BetrVG die Anzeige unbeanstandet angenommen und diesbezüglich einen Verwaltungsakt erlassen hat, kann der einzelne Arbeitnehmer damit im Rahmen von §§ 4, 7 KSchG (vgl. Rz. 50) die Unwirksamkeit seiner Kündigung wegen Verfahrensfehlern und damit insbesondere auch wegen einer unterbliebenen Konsultation mit dem Betriebsrat geltend machen2. 7. Mitbestimmungsrechte beim Betriebs(teil)übergang a) Grundlagen
113
Oben wurde im Hinblick auf die individualrechtliche Norm des § 613a BGB zum Betriebsübergang bereits erläutert, weswegen es im Kontext der Einführung von Cloud Computing-Services in der Praxis wohl eher selten zu einem Übergang von Arbeitsverhältnissen von dem Auftraggeber auf den Dienstleister der Cloud Computing-Services kommen wird (vgl. Rz. 62). Sollte es aber doch einmal der Fall sein, etwa bei größeren Cloud-Vorhaben, dass eine übertragungsfähige Einheit/Abteilung auf den Anbieter der Services übertragen werden soll, so kann dies als Betriebsänderung in Form einer Betriebsspaltung nach § 111 Satz 3 Nr. 2 BetrVG einer Mitbestimmung des Betriebsrats des Auftraggebers unterliegen, wenn dieser regelmäßig mehr als zwanzig wahlberechtigte Arbeitnehmer in seinem Unternehmen beschäftigt3.
114
Anknüpfungspunkt für das Mitbestimmungsrecht des Betriebsrats ist in diesen Fällen nicht der Betriebs(teil)übergang als solcher; die Überleitung von Arbeitsverhältnissen von einem Arbeitgeber auf den Betriebserwerber erfüllt für sich genommen nach gefestigter Rechtsprechung des BAG nicht die Voraussetzung einer Betriebsänderung i.S.d. BetrVG4. Damit es aber im Zuge der Umsetzung eines Betriebsteilübergangs zur Überleitung einer übertragungsfähigen Einheit auf einen anderen Arbeitgeber kommen kann, muss diese Einheit denknotwendig im bisherigen Betrieb „isoliert“ bzw. aus diesem herausgelöst werden. Bei der Umstellung auf Cloud-Services wird regelmäßig nicht die gesamt IT-Abteilung betroffen 1 BAG v. 21.3.2013 – 2 AZR 60/12, DB 2013, 1912; BAG v. 13.12.2012 – 6 AZR 752/11, BB 2013, 1267; BAG v. 28.6.2012 – 6 AZR 780/10, NZA 2012, 1029. 2 BAG v. 13.12.2012 – 6 AZR 752/11, BB 2013, 1267. 3 Fitting, § 112 Rz. 252; GK-BetrVG/Oetker, BetrVG § 112 Rz. 294. 4 BAG v. 31.1.2008 – 8 AZR 1116/06, NZA 2008, 642; BAG v. 25.1.2000 – 1 ABR 1/99, NZA 2000, 1069.
480
Hexel
IV. Fragen des kollektiven Arbeitsrechts
Rz. 115
Teil 5
sein, sondern allenfalls (kleine) Teile davon, die typischerweise nicht die notwendige Eigenständigkeit aufweisen. Soweit es also im Zuge der Beauftragung von Cloud-Services überhaupt zu einem Betriebsteilübergang kommen soll bzw. kann, wird es regelmäßig notwendig sein, die Organisationsstrukturen der betroffenen Arbeitsbereiche zuvor entsprechend zu verändern. Dieser Vorgang der Spaltung zur Vorbereitung der Übertragung des Betriebsteils auf einen neuen Arbeitgeber erfüllt in aller Regel den Tatbestand des § 111 Satz 3 Nr. 2 BetrVG1. Anders als bei anderen Betriebsänderungen, die nach § 111 Satz 3 BetrVG mitbestimmungspflichtig sind und bei denen es für die Frage der Beteiligungsrechte des Betriebsrats auf die Zahl der von einer Maßnahme betroffenen Arbeitnehmer im Verhältnis zur Gesamtzahl der Arbeitnehmer im Betrieb ankommt (vgl. für die Betriebsteilstilllegung Rz. 98), spielt die Zahl der in dem abgespaltenen Betriebsteil tätigen Arbeitnehmer vom Grundsatz her nach überwiegender Auffassung keine Rolle2. Lediglich für sog. „Bagatellabspaltungen“, von denen nur eine ganz geringe Arbeitnehmerzahl betroffen ist, wird teilweise eine Unanwendbarkeit der Vorschrift aufgrund einer teleologischen Reduktion postuliert3, wobei das Bundesarbeitsgericht diese Frage bisher offen gelassen hat4. Ein Mitbestimmungsrecht besteht nach einer überzeugenden Auffassung auch nicht in den Fällen, in denen der aktuelle und der neue Betriebsinhaber den Betrieb, aus dem ein Betriebsteil übertragen wird, ungeachtet des Arbeitgeberwechsels unter Beibehaltung der betrieblichen Organisation als sog. Gemeinschaftsbetrieb fortführen5. b) Gegenstand der Mitbestimmung Wie bereits oben im Hinblick auf die Mitbestimmungsrechte des Be- 115 triebsrats bei Massenentlassungen beschrieben (vgl. Rz. 100), ist dem Arbeitgeber vor Durchführung einer nach § 111 BetrVG mitbestimmungspflichtigen Betriebsänderung aufgegeben, zuvor mit dem zuständigen Betriebsrat über einen Interessenausgleich zu verhandeln, d.h. wenigstens den Versuch einer einvernehmlichen Lösung zu unternehmen. Zu den Inhalten eines Interessenausgleichs bei einer Betriebsspaltung im Kontext eines Betriebsteilübergangs können insbesondere gehören: (i) der genaue Zeitpunkt der Spaltung, (ii) Festlegung der konkret betroffenen 1 BAG v. 10.12.1996 – 1 ABR 32/96, NZA 1997, 898; LAG Hamm, 28.8.2003 – 13 TaBV 127/03, NZA-RR 2004, 80; LAG Baden-Württemberg v. 4.12.2003 – 10 TaBV 2/03, ArbuR 2004, 118 (m.w.N.); Fitting, § 111 Rz. 87; GK-BetrVG/Oetker, BetrVG § 111 Rz. 134. 2 Fitting, § 111 Rz. 87; GK-BetrVG/Oetker, BetrVG § 111 Rz. 134. 3 Kock/Simon, ArbRB 2005, 115 (117); Meyer/Röger, BB 2009, 894; LAG Hamm v. 16.6.2008 – 10 TaBV 59/08; zum Meinungsstand: GK-BetrVG/Oetker, BetrVG § 111 Rz. 134. 4 BAG v. 10.12.1996 – 1 ABR 32/96, NZA 1997, 898. 5 Rieble, FS Wiese, S. 453 (473); Kraus/Tiedemann, ArbRB 2007, 207 (207); Kock/ Simon, ArbRB 2005, 115 (117); Ohlendorf/Fuhlrott, ArbR 2011, 654 (655); wohl auch: LAG Hamm v. 16.6.2008 – 10 TaBV 59/08. Hexel
481
Teil 5
Rz. 116
Arbeitsrecht
Arbeitnehmer, (iii) Beschreibung von Organisationsänderungen zum Zwecke der Abspaltung (z.B. Änderung der Teamstrukturen oder Berichtswege) und (iv) Beschreibung etwaiger räumlich-baulicher Veränderungen. 116
Außerdem kann der Betriebsrat, wie ebenfalls bereits oben im Hinblick auf die Mitbestimmungsrechte des Betriebsrats bei Massenentlassungen beschrieben, die Aufstellung eines Sozialplans verlangen und ggf. mithilfe einer Einigungsstelle auch gegen den Willen des Arbeitgebers durchsetzen (vgl. Rz. 101 und Rz. 111). Voraussetzung dafür ist aber, dass sich aus der Betriebsspaltung für die betroffenen Arbeitnehmer wirtschaftliche Nachteile ergeben, die überhaupt eine Kompensation erforderlich machen1. In den hier interessierenden Fällen einer Betriebsteilausgliederung auf den Anbieter der Cloud Computing-Services können solche Nachteile beispielsweise dann entstehen, wenn mit dem Arbeitgeberwechsel auch ein Wechsel des Arbeitsorts und damit vermehrter Aufwand für die Wegstrecke zur Arbeit und zurück verbunden ist2. Wirtschaftliche Nachteile können aufgrund der Regelung in § 613a Abs. 1 Satz 3 BGB aber auch dann entstehen, wenn sich die Arbeitsbedingungen – beispielsweise auch die Gehälter – der übergehenden Arbeitnehmer im Zuge des Betriebsübergangs verschlechtern, weil ungünstigere kollektivrechtliche Regelungen beim Übernehmer die bis zum Übergang geltenden Kollektivregelungen des bisherigen Arbeitgebers ablösen3. c) Sanktionen
117
Wie bereits im Zusammenhang mit den Mitbestimmungsrechten des Betriebsrats nach §§ 111 ff. BetrVG bei Massenentlassungen beschrieben, riskiert der Arbeitgeber, der sich nicht ausreichend um einen Interessenausgleich bemüht, neben einer Untersagung jeglicher Maßnahmen zur Umsetzung der Betriebsänderung durch eine einstweilige Unterlassungsverfügung auch, den betroffenen Arbeitnehmern nach § 113 Abs. 3 BetrVG einen Nachteilsausgleich zahlen zu müssen (vgl. Rz. 108).
118
Hinsichtlich des Sozialplans gilt ebenfalls das schon im Zusammenhang mit Ansprüchen des Betriebsrats bei Massenentlassungen Erläuterte. Die Aufstellung eines Sozialplans kann der Betriebsrat auch gegen den Willen des Arbeitgebers nach § 112 Abs. 4 BetrVG mittels eines Einigungsstellenverfahrens erzwingen (vgl. Rz. 111).
1 BAG v. 25.1.2000 – 1 ABR 1/99, NZA 2000, 1069; BAG v. 17.9.1991 – 1 ABR 23/91, NZA 1992, 227; Fitting, § 111 Rz. 118 f.; GK-BetrVG/Oetker, BetrVG § 111 Rz. 126 f. 2 Vgl. BAG v. 24.3.1981 – 1 AZR 805/78, NJW 1982, 70; s. auch Stück, MDR 2001, 312 (321). 3 Vgl. zu diesem Ablöseprinzip BAG v. 13.3.2012 – 1 AZR 659/10, NZA 2012, 990; BAG v. 21.4.2010 – 4 AZR 768/08, BB 2010, 2965; HWK/Willemsen/Müller-Bonanni, § 613a BGB Rz. 268 ff.; ErfK/Preis, § 613a BGB Rz. 123 ff.
482
Hexel
Teil 6 Steuerrecht Rz. I. 1. 2. 3.
Grundsatzfragen . . . . . . . . . . . . . . Rechtliche Rahmenbedingungen . Anwendbares Recht . . . . . . . . . . . Fernwirkungen anderer Steuerrechtsordnungen . . . . . . . . . . . . . .
1 2 4
II. Ertragsteuern und Betriebstätten . 1. Steuerliche Relevanz von Betriebstätten . . . . . . . . . . . . . . . . a) Nationales Recht . . . . . . . . . . . aa) Begriffsdefinition . . . . . . . . bb) Rechtsfolgen . . . . . . . . . . . . b) Internationales Recht . . . . . . . . aa) OECD-Musterabkommen . bb) UN-Musterabkommen/ keine Abkommen . . . . . . . 2. Serverbetriebstätten . . . . . . . . . . . a) Server als feste Einrichtung . . . b) Software und Betriebstätten. . . 3. Nutzung von SaaS-, PaaS- und IaaS-Dienstleistungen und Betriebstätten . . . . . . . . . . . . . . . . . . a) IaaS-Dienstleistungen und Betriebstätten . . . . . . . . . . . . . . aa) Grundsatz . . . . . . . . . . . . . . bb) Sonderfälle: örtlich festgelegte Cloud-Strukturen . . . cc) Ermittlung des der Betriebstätte zuzuweisenden Gewinns. . . . . . . . . . . . b) SaaS- und PaaS-Dienstleistungen . . . . . . . . . . . . . . . . . . . . 4. Steuerliche Behandlung der Erbringung von SaaS-, PaaS- und IaaS-Dienstleistungen . . . . . . . . . . a) Allgemeines zur steuerlichen Behandlung der Erbringung von Cloud-Dienstleistungen . . aa) Ertragsteuern . . . . . . . . . . . bb) Verkehrssteuern . . . . . . . . . b) Besteuerung von SaaS-Dienstleistungen . . . . . . . . . . . . . . . . . c) Besteuerung von PaaS-Dienstleistungen . . . . . . . . . . . . . . . . . d) Besteuerung von IaaS-Dienstleistungen . . . . . . . . . . . . . . . . . e) Besteuerung sonstiger CloudDienstleistungen (XaaS) . . . . . . 5. Besteuerung an der Quelle – Pflicht des Cloud-Anwenders zum Steuerabzug . . . . . . . . . . . . . . a) Katalogeinkünfte . . . . . . . . . . .
8
6
9 10 11 12 13 14 22 23 24 25 26 27 28 30 31 34 37 38 39 41 42 43 44 45 46 47
Rz. b) Beschränkte Steuerpflicht . . . . aa) Regelmäßig keine Überlassung von Urheberrechten bei Cloud-Services . . . . . . . bb) Cloud Computing regelmäßig keine Überlassung von Know-how . . . . . . . . . . cc) Inlandsbezug . . . . . . . . . . . . c) Rechtsfolge: Gegebenenfalls Quellensteuerabzug . . . . . . . . . aa) Abstandnahme vom Quellensteuerabzug . . . . . . bb) Verfahren. . . . . . . . . . . . . . . 6. Steuerliche Besonderheiten bei Cloud-Services im Konzern . . . . . a) Ermittlung und Festlegung angemessener Preise . . . . . . . . . b) Dokumentation der Verrechnungspreise bei grenzüberschreitenden Cloud-Services im Konzern . . . . . . . . . . . . . . . . c) Empfehlung für die Praxis . . . . III. Steuerliche Aufbewahrungspflichten . . . . . . . . . . . . . . . . . . . . . 1. Einführung . . . . . . . . . . . . . . . . . . . a) Konzepte zur Record Retention . . . . . . . . . . . . . . . . . . b) Elektronische Aufzeichnungen . . . . . . . . . . . . . . . . . . . . 2. Aufbewahrungsvorschriften nach deutschem Recht . . . . . . . . . a) Gegenstand der Aufbewahrungspflichten . . . . . . . . . . . . . . aa) Bücher, Jahresabschlüsse u.Ä. . . . . . . . . . . . . . . . . . . . bb) Geschäftsbriefe . . . . . . . . . . cc) Andere Aufzeichnungen . . b) Ort der Aufbewahrung . . . . . . . aa) Inland . . . . . . . . . . . . . . . . . bb) Ausland . . . . . . . . . . . . . . . . c) Dauer der Aufbewahrungspflichten . . . . . . . . . . . . . . . . . . d) Rechtsfolgen bei Verletzung der Aufbewahrungspflichten . . aa) Verwerfung der Buchführung . . . . . . . . . . . . . . . . . . . bb) Weitere Sanktionen . . . . . . 3. Erlaubnis für die Aufbewahrung außerhalb Deutschlands . . . . . . . . a) Buchführungsverlagerung . . . .
Knorr
49 51 55 56 58 59 61 62 63
66 69 70 74 74 78 80 81 82 83 85 87 91 92 93 94 95 96 99 100
483
Teil 6
Rz. 1
Steuerrecht Rz.
b) Besonderheiten bei Nutzung von SaaS-, PaaS- und IaaSDienstleistungen . . . . . . . . . . . aa) Systematische Unterschiede zur proprietären Auslagerung. . . . . . . . . . . . . . . . bb) Rechtliche Anforderungen c) Rückverlagerung . . . . . . . . . . . . IV. Umsatzsteuer. . . . . . . . . . . . . . . . . 1. Allgemeines zur Umsatzsteuer . . a) Abgrenzung zwischen Lieferung und Leistung. . . . . . . . . . . b) Ermittlung der Steuerbarkeit und Steuerfreiheit . . . . . . . . . . . c) Anwendbares Recht . . . . . . . . . 2. Leistungsort . . . . . . . . . . . . . . . . . . a) Umsatzsteuerliche Bedeutung des Leistungsortes . . . . . . . . . . b) Leistungsort bei Erbringung von SaaS-, PaaS- und IaaSDienstleistungen . . . . . . . . . . . aa) Leistungsort bei Lieferungen . . . . . . . . . . . . .
101 102 106 111 113 113 114 118 121 122 122 124 125
Rz. bb) Leistungsort bei B2B-Dienstleistungen (Bestimmungslandprinzip) . . . cc) Leistungsort bei B2C-Dienstleistungen (Ursprungslandprinzip) . . . c) Leistungsort für Nutzer von SaaS-, PaaS- und IaaS-Dienstleistungen . . . . . . . . . . . . . . . . . aa) Lieferungsort bei Lieferungen . . . . . . . . . . . . . bb) Leistungsort bei sonstigen Leistungen . . . . . . . . . . . . . 3. Steuersatz und Bemessungsgrundlage . . . . . . . . . . . . . . . . . . . . a) Steuersatz . . . . . . . . . . . . . . . . . b) Bemessungsgrundlage für die Umsatzsteuer . . . . . . . . . . . . . . 4. Steuerschuldner . . . . . . . . . . . . . . . a) Grundsatz: Leistungserbringer b) Wechsel der Steuerschuldnerschaft bei grenzüberschreitenden B2B-Umsätzen . . . . . . . . . . 5. E-Invoicing . . . . . . . . . . . . . . . . . . .
126 134 142 143 144 148 148 151 153 153 154 156
I. Grundsatzfragen 1
Sowohl die Nutzung als auch das Anbieten von Cloud-Services haben Auswirkungen auf die steuerliche Situation des jeweiligen Unternehmens. Für diejenigen, welche Cloud-Services anbieten, begründet das jeweilige Angebot sowohl ertragsteuerliche als auch umsatzsteuerliche Folgen. Aber auch der Nutzer von Cloud-Services muss sich der Auswirkungen der Nutzung dieser Services auf sein Unternehmen aus steuerlicher Sicht bewusst werden. Andernfalls droht ihm eine Haftungsinanspruchnahme, etwa wegen nicht abgeführter Kapitalertragsteuer, oder eine Sanktionierung wegen Verletzung von Buchführungs- bzw. Aufbewahrungspflichten. 1. Rechtliche Rahmenbedingungen
2
Ein besonderer, auf die Verhältnisse des Cloud Computing abgestimmter Rechtsrahmen existiert im deutschen Steuerrecht bislang nicht. Auch gibt es keine Einzelregelungen, welche gerade dem Cloud Computing Rechnung tragen. Insofern bedarf es der Anwendung eines rechtlichen Rahmens, der konzeptionell von einem physisch fixierten Unternehmen und von genau lokalisierbaren Leistungen ausgeht.
484
Knorr
I. Grundsatzfragen
Rz. 7
Teil 6
Wesentliche gesetzliche Regelungen, die steuerliche Folgen für das 3 Cloud Computing mit sich bringen, finden sich in den Ertragsteuergesetzen1 und im Umsatzsteuerrecht2, aber auch in der Abgabenordnung. 2. Anwendbares Recht Die Frage des anwendbaren Rechts ist für verschiedene Steuerarten und 4 für verschiedene steuerliche Verhältnisse unterschiedlich zu beantworten. Grundsätzlich unterliegt jede in Deutschland ansässige Person der deutschen Steuer, ebenso sind in Deutschland erbrachte Leistungen in Deutschland der Steuer unterworfen. Gerade im Bereich der schwer geographisch zuzuordnenden Cloud-Leistungen stoßen die bestehenden Abgrenzungssysteme jedoch an Grenzen. Ertragsteuern werden von im Inland ansässigen Steuerpflichtigen über 5 die Veranlagung erhoben, bei ausländischen Steuerpflichtigen kann es zu einer Besteuerung an der Quelle kommen. In solchen Fällen ist der Leistungsempfänger ggf. verpflichtet, Teile der von ihm geschuldeten Vergütung für Rechnung des leistenden Unternehmers an den Fiskus abzuführen, anstatt diese dem leistenden Unternehmer auszuzahlen. 3. Fernwirkungen anderer Steuerrechtsordnungen Gerade im Rahmen des Cloud Computing kommt es regelmäßig zu 6 grenzüberschreitenden Geschäften. Entweder werden Services nicht ausschließlich aus Deutschland heraus angeboten, oder sie werden nicht ausschließlich in Deutschland in Anspruch genommen. Solche grenzüberschreitenden Leistungen unterliegen regelmäßig mehreren Steuerrechtsordnungen und können so zu steuerlichen Auswirkungen in mehreren Staaten führen. Soweit eine Harmonisierung von Steuersystemen erfolgt ist3, sollte eine 7 doppelte Besteuerung derselben Leistung unterbleiben. Gerade aber dort, wo keine (vollständige) Harmonisierung erfolgt, kann es vorkommen, dass Cloud-Services mehrfach mit Steuern belegt werden. Zu beachten ist außerdem, dass auch harmonisierte Steuersysteme, welche eine dop1 Dies sind insbesondere das Einkommensteuergesetz, das Körperschaftsteuergesetz und das Gewerbesteuergesetz. 2 Hier gibt es Regelungen sowohl im nationalen Umsatzsteuergesetz als auch im europäischen Recht, in dem mit der Mehrwersteuersystemrichtlinie (2006/112/EG) ein umfassender Rechtsrahmen gesetzt wurde. 3 Harmonisierung besteht für die Umsatzsteuer innerhalb der EU durch die Mehrwersteuersystemrichtlinie (2006/112/EG). Im Rahmen der Ertragsteuern ist innerhalb des Netzwerks von Doppelbesteuerungsabkommen, welche die Bundesrepublik abgeschlossen hat, eine Doppelbesteuerung regelmäßig ausgeschlossen. Allerdings gibt es nicht mit allen Staaten Doppelbesteuerungsabkommen. Auch kommt es in seltenen Fällen bisweilen trotz bestehendem Abkommen zu einer doppelten steuerlichen Erfassung von Einnahmen, etwa wenn Qualifikationskonflikte vorliegen. Knorr
485
Teil 6
Rz. 8
Steuerrecht
pelte Steuerbelastung vermeiden, nicht automatisch einen doppelten administrativen Aufwand vermeiden. Bisweilen ist es etwa zur Vermeidung einer doppelten Besteuerung erforderlich, Anträge bei Steuerbehörden zu stellen. Unterlässt man die rechtzeitige Antragstellung, kann es auch dann zu einer doppelten Besteuerung kommen, wenn Mechanismen zur Vermeidung doppelter Besteuerung bestehen. Oftmals versagen dann sogar nationale Erleichterungsvorschriften zur Anrechnung ausländischer Steuern, weil die ausländische Steuer vermeidbar gewesen wäre. Dies trifft insbesondere Anbieter aus den USA1.
II. Ertragsteuern und Betriebstätten 8
Im Rahmen der Besteuerung insgesamt bilden die Ertragsteuern den wohl meistbeachteten Bereich. Gerade im Bereich der Besteuerung von Erträgen besteht über die entsprechenden Doppelbesteuerungsabkommen ein gewisses Maß an Harmonisierung, ebenso wie ein rechtlicher Rahmen zur Festlegung von Besteuerungsobjekten und zur Aufteilung von Besteuerungssubstrat. Zunächst wird die grundsätzliche steuerliche Relevanz von Betriebsstätten dargestellt (Ziffer 1). Anschließend wird erläutert, ob Server eine Betriebsstätte des Cloud-Kunden sein können (Ziffer 2) und ob ein Cloud-Kunde durch die Nutzung von Cloud-Services möglicherweise eine ausländische Betriebsstätte begründet mit der Folge, dass ausländische Steuern zu entrichten sind (Ziffer 3). Unter Ziffer 4 wird die steuerliche Behandlung der vom Cloud-Anbieter erzielten Einkünfte aus der Erbringung von Cloud Computing-Leistungen erörtert. Die Pflicht des Cloud-Kunden, Quellensteuer abzuführen wird unter Ziffer 5 sowie Besonderheiten im Konzern unter Ziffer 6 behandelt. 1. Steuerliche Relevanz von Betriebstätten
9
Im internationalen Rechtsrahmen, ebenso wie im nationalen Recht, bedarf die Besteuerung eines inländischen Anknüpfungspunktes. Dieser Anknüpfungspunkt ist, jedenfalls im unternehmerischen Bereich, regelmäßig die Betriebstätte. Sie hat Auswirkungen einerseits auf die Zuordnung des Besteuerungsrechts, andererseits kann eine Betriebstätte ihrerseits auch im Umsatzsteuerrecht als Anknüpfungspunkt für die Zuordnung von Umsätzen zur Besteuerung eines Staates bilden2. Dies gilt für Cloud-Anbieter und Kunde gleichermaßen.
1 So gewähren etwa die USA keine Anrechnung für sog. „voluntary taxes“, das heißt für Steuern, welche nicht kraft Gesetzes sondern wegen einer Handlung oder Unterlassung des Steuerpflichtigen gezahlt wurden. 2 Vgl. Anknüpfung an die Betriebstätte als Ort sonstiger Leistung in § 3a Abs. 2 Satz 2 UStG.
486
Knorr
II. Ertragsteuern und Betriebsttten
Rz. 11
Teil 6
a) Nationales Recht Nach § 1 Abs. 1 EStG unterliegen im Inland ansässige natürliche Per- 10 sonen der unbeschränkten deutschen Einkommensteuerpflicht. Einkommen können z.B. mit der Erbringung von Cloud-Services erzielt werden. Natürliche Personen kommen aber als Cloud-Anbieter nur in seltenen Fällen in Betracht. Ebenso unterliegen nach § 1 Abs. 1 KStG Körperschaften der unbeschränkten deutschen Körperschaftsteuerpflicht, wenn sie ihren Sitz oder ihre Geschäftsleitung im Inland haben. Die Erträge eines in Deutschland ansässigen Cloud-Anbieters unterliegen also regelmäßig der deutschen Körperschaftsteuer. Diese unbeschränkte Steuerpflicht führt im Ergebnis dazu, dass das ganze Welteinkommen der betreffenden Person in Deutschland besteuert wird, sofern es nicht ausdrücklich, etwa im Rahmen eines Doppelbesteuerungsabkommens, von der deutschen Steuer freigestellt ist. Die Betriebstätte des Cloud-Anbieters oder Kunden ist daher maßgeblicher Anknüpfungspunkt für die inländische Steuerpflicht1. Ebenso führt eine ausländische Betriebstätte in einem Staat, mit welchem Deutschland ein Doppelbesteuerungsabkommen unterhält, dazu, dass die entsprechenden Betriebstätteneinkünfte keiner deutschen Steuer unterliegen2. Es stellt sich also die Frage, in welchen Fällen im Inland ansässige Cloud-Anbieter und Kunden durch das Angebot bzw. die Nutzung von Cloud-Services möglicherweise eine ausländische Betriebsstätte begründen mit der Folge, dass keine deutschen Steuern auf die dort erzielten Gewinne zu entrichten sind, sondern allenfalls ausländische Steuern. Ausnahmen hierzu gibt es im Bereich passiver Einkünfte, welche regelmäßig von der Freistellung ausgenommen sind3. aa) Begriffsdefinition Abstrakt wird eine Betriebstätte definiert als „jede feste Geschäftsein- 11 richtung oder Anlage, die der Tätigkeit eines Unternehmens dient“4, bzw. als „jede feste Geschäftseinrichtung, durch die die Geschäftstätigkeit eines Unternehmens ganz oder teilweise ausgeübt wird“5. Die letztgenannte Definition ist für das nationale deutsche Steuerrecht zunächst ohne Belang, sie spielt lediglich für die Frage eine Rolle, ob Deutschland ein Besteuerungsrecht zusteht6.
1 Für die Umsatzsteuer regelt dies etwa im Falle sonstiger Leistung § 3a Abs. 2 Satz 2 UStG. 2 Im Rahmen des sog. Progressionsvorbehalts wird bei der Einkommensteuer allerdings der anzuwendende Steuersatz erhöht. 3 Schaumburg, Internationales Steuerrecht, Rz. 16.240. 4 Dies ist die nationale Definition in § 12 Abs. 1 AO. 5 So die Definition in Art. 5 Abs. 1 OECD-MA. 6 Vgl. Loschelder in Schmidt, § 49 Rz. 22. Knorr
487
Teil 6
Rz. 12
Steuerrecht
Geschäftseinrichtung ist dabei jeder körperliche Gegenstand, der geeignet ist, Grundlage für eine Unternehmenstätigkeit zu sein1. Daneben ist erforderlich, dass die Geschäftseinrichtung eine feste Beziehung zur Erdoberfläche hat2. Es kommt damit jedes Gebäude, aber auch eine bestimmte Fläche als Betriebstätte i.S.d. nationalen Rechtes in Betracht. Zur Verdeutlichung enthält § 12 Satz 2 AO daneben noch einen Katalog mit beispielhaft aufgezählten typischen Betriebstätten. Dies sind etwa die Stätte der Geschäftsleitung, eine Zweigniederlassung, Geschäftsstellen, aber auch Warenlager und Ein- oder Verkaufsstellen. bb) Rechtsfolgen 12
Aus dem Bestehen einer Betriebstätte nach nationalem, deutschen Recht folgt zunächst nur, dass nach nationalem Recht ein Anknüpfungspunkt für eine deutsche Besteuerung besteht. Zu den Konsequenzen siehe sogleich nachfolgend Rz. 20. Entsprechend ist nach § 49 EStG eine beschränkte Steuerpflicht natürlicher Personen und nach § 8 Abs. 1 Satz 1 KStG in Verbindung mit § 49 EStG für juristische Personen nach nationalem Recht begründet, sofern nicht ohnehin eine unbeschränkte Steuerpflicht besteht3. Außerdem ist das Betriebstättenfinanzamt regelmäßig das örtlich zuständige Finanzamt für gesonderte Feststellungen eines Steuerpflichtigen4. Daneben spielt das Vorhandensein einer Betriebstätte eine Rolle für die Gewerbesteuer, auch für Investitionszulagen und bestimmte Einzelsteuergesetze5. b) Internationales Recht
13
Wenn aufgrund Bestehens einer Betriebstätte nach nationalem Recht eine Besteuerung erfolgen soll, heißt dies noch nicht, dass diese Besteuerung im Inland erfolgt. Nach den jeweiligen von der Bundesrepublik Deutschland abgeschlossenen Doppelbesteuerungsabkommen6 steht der Bundesrepublik ein Besteuerungsrecht nur dann zu, wenn auch nach der in den Doppelbesteuerungsabkommen jeweils gewählten Definition eine Betriebstätte vorliegt. Hierbei ist die Definition der Betriebstätte weitaus enger gefasst, nicht zuletzt wegen des insoweit bestehenden Ausnahmekataloges.
1 2 3 4 5 6
So Musil in HHSp, § 12 AO Rz. 8. So Kruse in Tipke/Kruse, § 12 AO Rz. 6. Vgl. Loschelder in Schmidt, § 49 Rz. 22. § 18 Abs. 1 Nr. 2 AO. Siehe Musil in HHSp, § 12 AO Rz. 6. Vgl. zum gegenwärtigen Status der Doppelbesteuerungsabkommen der Bundesrepublik Deutschland das BMF-Schreiben vom 22.1.2013, IV B 2 - S 1301/07/10017-04.
488
Knorr
II. Ertragsteuern und Betriebsttten
Rz. 16
Teil 6
aa) OECD-Musterabkommen Die von der Bundesrepublik abgeschlossenen Doppelbesteuerungsab- 14 kommen folgen im Wesentlichen dem OECD-Musterabkommen. Dies ist ein auf Ebene der OECD1 entwickelter und von den dortigen Gremien verabschiedeter Entwurf eines Doppelbesteuerungsabkommens nebst Kommentar. Zuletzt wurde 2010 eine aktualisierte und überarbeitete Fassung veröffentlicht, eine Revision steht derzeit an. Der hierin zugrunde gelegte Betriebstättenbegriff befindet sich derzeit im 15 Fluss. Auf Ebene der OECD haben verschiedene working parties unterschiedliche Vorstellungen davon entwickelt und publiziert, ab wann sie das Vorhandensein einer Betriebstätte annehmen wollen. So hat die working party No. 12 in ihrem überarbeiteten Vorschlag zur Anwendung des Artikel 5 des Muster-DBA3 einen sehr weiten Betriebstättenbegriff propagiert, während die working party No. 64 eine Betriebstätte erst annehmen will, wenn eine gewisse ortsfeste, dem Steuerpflichtigen zuzuordnende Einrichtung unterhalten wird. So kommt die working party No. 6 jedenfalls dazu, dass selbst wenn eine weite Definition der Betriebstätte anwendbar sein mag, über eine Beschränkung der auf eine solchermaßen weit definierte Betriebstätte zuzurechnenden Einkünfte im Ergebnis kein Gewinn zugewiesen wird. Es wird also recht schnell eine Betriebstätte angenommen, dieser werden aber nicht ohne weiteres Einkünfte zugerechnet. Aus Sicht des Steuerpflichtigen ist diese Lösung unbefriedigend, weil sie, 16 jedenfalls grundsätzlich, sehr schnell zu einer Betriebstätte und damit verbunden der Anforderung von Steuererklärungen im Betriebstättenstaat führt, auch wenn in deren Folge keine Steuerfestsetzung erfolgt. Dieses Bestreben der Finanzverwaltungen, möglichst frühzeitig Informationen zu erhalten und eher zu viele Erklärungen zu erhalten als zu wenige, ist vor dem Hintergrund gefürchteter Steuerausfälle aufgrund nicht erklärter Betriebstätteneinkünfte sicher nachvollziehbar. Für den betroffenen Steuerpflichtigen ist es hingegen ein erheblicher zusätzlicher administrativer Aufwand, dem kein erkennbarer Nutzen gegenübersteht. Einzelne Staaten erkennen dies an und fordern nicht überall dort, wo dem Grunde nach eine Betriebstätte besteht, die Abgabe von Steuererklärungen an, wenn sichergestellt ist, dass einer solchen Betriebstätte keine Einkünfte zuzuweisen sind. Ob aber nach den jeweiligen nationalen Vor1 Organisation für wirtschaftliche Zusammenarbeit und Entwicklung. 2 Arbeitsgruppe Eins des OECD Committee on Fiscal Affairs zu Steuerabkommen und damit zusammenhängenden Fragen. 3 Revised discussion draft on the „Interpretation and Application of Article 5 (Permanent Establishment) of the OECD Model Tax Convention“ vom 19. Oktober 2012, einsehbar unter: http://www.oecd.org/ctp/treaties/PermanentEstablish ment.pdf. 4 Arbeitsgruppe Sechs des OECD Committee on Fiscal Affairs zur Besteuerung multinationaler Unternehmen. Knorr
489
Teil 6
Rz. 17
Steuerrecht
schriften des Staates, in dem eine Betriebstätte besteht, eine Steuererklärung abzugeben ist, ist in jedem Einzelfall zu verifizieren, um nicht Gefahr zu laufen, wegen Verletzung der entsprechenden Vorschriften belangt zu werden. 17
Es bleibt also abzuwarten, wie sich der Betriebstättenbegriff in der Definition auf Ebene der OECD weiter bewegt, zumal für 2014 eine Revision des Muster-Doppelbesteuerungsabkommens angekündigt ist, in der die Ergebnisse der working party No. 1 zum Betriebstättenbegriff einfließen sollen. (1) Physische Betriebstätte
18
Nach Art. 5 Abs. 1 OECD-Musterabkommen ist eine Betriebstätte jede feste Geschäftseinrichtung, durch welche das Geschäft ganz oder teilweise ausgeführt wird. Diese im Wesentlichen der nationalen Definition gleiche Definition wird in Art. 5 Abs. 4 OECD-Musterabkommen allerdings eingeschränkt. Diese Vorschrift nimmt Lager-, Ausstellungs- und Auslieferungseinrichtungen, Warenbestände, ebenso wie Einkaufs- oder Informationsbüros und sonstige Einrichtungen, von denen nur vorbereitende oder Hilfstätigkeiten ausgeführt werden, vom Anwendungsbereich des Betriebstättenbegriffs wieder aus. Für die Begründung einer Betriebstätte bedarf es daneben noch eines Unternehmens, dem die Betriebstätte dient1. Im Bereich privater Nutzung von Cloud-Services kommt es daher grundsätzlich nicht zur Begründung einer Betriebstätte des Nutzers. Umgekehrt wird eine geschäftlich genutzte Cloud-Dienstleistung stets dem Unternehmen dienen. Soweit nicht bloße Hilfstätigkeiten vorliegen, wird damit auch abkommensrechtlich überall dort, wo nach nationalem Recht eine Betriebstätte begründet wird, eine Betriebstätte anzunehmen sein2. Für die Inanspruchnahme und Erbringung von Cloud-Dienstleistungen kommt es jeweils auf die Umstände des Einzelfalles an, ob eine Betriebstätte vorliegt oder nicht (siehe dazu unten Rz. 23 ff.). (2) Vertreterbetriebstätte
19
Neben der physischen Betriebstätte kennt sowohl das nationale Recht3 als auch die Konzeption des OECD-Musterabkommens eine sog. Vertreterbetriebstätte, welche immer dann einschlägig ist, wenn im jeweiligen Land eine Person nachhaltig die Geschäfte eines Unternehmens besorgt. Abkommensrechtlich bedarf es zudem einer Abschlussvollmacht, also der Berechtigung, Geschäfte im Namen des Unternehmens einzugehen. 1 Siehe Görl in Vogel/Lehner, Art. 5 OECD-MA Rz. 19. 2 Vgl. Schaumburg, Internationales Steuerrecht, Rz. 16.241. 3 Der in § 13 AO geregelte „ständige Vertreter“ steht bezüglich der Begründung einer beschränkten Steuerpflicht nach § 49 Abs. 1 Nr. 2 Buchst. a) EStG der Betriebstätte gleich.
490
Knorr
II. Ertragsteuern und Betriebsttten
Rz. 21
Teil 6
Nach dem OECD-Musterabkommen wird in solchen Fällen eine Betriebstätte fingiert1. Da die Nutzung von Cloud-Services mit der Vertretungsmacht nicht zusammenhängt, wird nachfolgend im Wesentlichen die physische Betriebstätte näher betrachtet. (3) Rechtsfolgen Liegt nach alledem eine Betriebstätte vor, so weist das Musterabkommen 20 regelmäßig dem Betriebstättenstaat das Besteuerungsrecht für diejenigen Einkünfte zu, welche der Betriebstätte zuzuweisen sind. Es ist damit zu fragen, wie der Gewinn ermittelt werden kann, welcher der Betriebstätte zuzuweisen ist. Hierzu enthält das OECD-Musterabkommen seit der Revision des Abkommens 2010 die Regelung, dass die Gewinnermittlung so zu erfolgen hat, als wäre die Betriebstätte eine separate, unabhängige juristische Person2. Es wird also eine Selbständigkeitsfiktion für die Betriebstätte bemüht3. Auf diese Weise lässt sich ermitteln, welche Tätigkeiten der Betriebstätte zuzuweisen sind. Daneben ist zur Ermittlung des zuzuweisenden Gewinns jedoch der Gesamtgewinn aus einer Transaktion noch den einzelnen Funktionen zuzuweisen. Zur Zuordnung des Ergebnisses auf einzelne Funktionen wiederum bemühen die OECD-Grundsätze den Key Entrepreneurial Risk Taking (KERT)-Ansatz. Danach werden die unternehmerisch wesentlichen Entscheidungen im Ergebnis höher bewertet als die reinen Hilfsfunktionen. Ihnen ist daher ein größerer Gewinnanteil zuzuweisen. Diejenigen Einkünfte, die danach der Betriebstätte zuzuweisen sind, wer- 21 den nach dem DBA im Staat des Stammhauses4 nicht besteuert. Die Ausnahme von der nationalen Besteuerung kann hierbei auf zwei Arten erfolgen. Einerseits können die Betriebstätteneinküfte insgesamt nicht der Steuer des anderen Staates unterworfen und damit von dieser freigestellt werden. Andererseits besteht die Möglichkeit, die Einkünfte der Betriebstätte zwar zu besteuern, die ausländische Steuer hierauf jedoch umfänglich anzurechnen5. Deutschland stellt ausländische Betriebstätteneinkünfte regelmäßig von der deutschen Besteuerung frei6. Allerdings unterliegen diese Einkünfte dem Progressionsvorbehalt, so dass sie sich auf die Grenzsteuerbelastung des jeweiligen Steuerpflichtigen auswirken7. 1 2 3 4
Vgl. Vogel/Lehner, Art. 5 OECD-MA Rz. 111. Art. 7 Abs. 2 OECD-MA. Schaumburg, Internationales Steuerrecht, Rz. 16.266 f. Dies ist der Gegenpol zur Betriebstätte nach der Terminologie des OECD-Musterabkommens. 5 Die USA etwa verwenden regelmäßig die Anrechnungsmethode und gewähren eine Anrechnung für die im Ausland gezahlte Steuer. 6 Siehe Schaumburg, Internationales Steuerrecht, Rz. 16.543. 7 Dabei wird der Durchschnittssteuersatz, der auf die verbleibenden, nicht freigestellten Einkünfte erhoben wird, so ermittelt, als habe der Steuerpflichtige Knorr
491
Teil 6
Rz. 22
Steuerrecht
bb) UN-Musterabkommen/keine Abkommen 22
Neben dem hier dargestellten, von der Bundesrepublik Deutschland in der Doppelbesteuerungsabkommensgestaltung angewandten Musterabkommen der OECD gibt es auch ein zweites Muster-Doppelbesteuerungsabkommen. Dieses sog. UN-Musterabkommen unterscheidet sich konzeptionell vom OECD-Musterabkommen, als Besteuerungsrechte weniger an Betriebstätten und dafür mehr an Märkte geknüpft sind. So gibt es unter dem UN-Musterabkommen weiterreichende Quellenbesteuerungsrechte für den Staat, aus dem heraus Zahlungen für Leistungen erbracht werden. Dies begünstigt naturgemäß eher Staaten, die nicht über eine ausgeprägte Industrie- und Exportkultur verfügen, sondern eher negative Außenhandelsbilanzen aufweisen1. Entsprechend wird das UNMuster von der Bundesrepublik Deutschland abgelehnt und Abkommen auf dieser Grundlage nicht geschlossen. Es hat daher für Cloud-Services mit deutscher Beteiligung keine Bedeutung. Da es unterschiedliche Auffassungen zu den anzuwendenden DBA-Klauseln gibt und zudem Deutschland regelmäßig mit Steueroasen keine Doppelbesteuerungsabkommen abschließt2, kommt es vor, dass mit einzelnen Staaten kein Doppelbesteuerungsabkommen besteht. Sofern man Geschäftsbeziehungen mit diesen Staaten unterhält oder etwa Cloud-Services in diesen Staaten nutzt, kann man einer doppelten Besteuerung einmal im Ausland und einmal im Inland unterliegen. 2. Serverbetriebstätten
23
Die Frage, ob und inwiefern vom Cloud-Anbieter oder seinen Subunternehmern eingesetzte Server überhaupt Betriebstätten darstellen können, war lange umstritten3. Inzwischen hat sich jedoch verfestigt, dass für Servereinrichtungen letztlich nichts anderes gilt als für andere Geschäftseinrichtungen auch4. Insofern sind die allgemeinen Grundsätze auch auf Server anzuwenden.
1 2
3
4
die insgesamt erzielten Einkünfte zu versteuern. Dieser Durchschnittssatz wird dann auf die verbleibenden Einkünfte angewandt. Vgl. Schaumburg, Internationales Steuerrecht, Rz. 16.16. Hier schließt Deutschland regelmäßig Abkommen über den Austausch steuerlicher Informationen ab. Eine Ausnahme stellt insoweit Liechtenstein dar, welches über ein vollwertiges Doppelbesteuerungsabkommen mit der Bundesrepublik verfügt. Zum Teil wurde im Server, der ja kein Personal benötigt oder bindet, eine reine Hilfstätigkeit gesehen. Insbesondere vor dem Hintergrund des e-commerce hat sich jedoch der Vergleich etwa zu ebenfalls ohne Personal arbeitenden Explorationsanlagen durchgesetzt, die ebenfalls Betriebstättencharakter haben. Vgl. zum aktuellen Meinungsstand Tappe, IStR 2011, 870 f.
492
Knorr
II. Ertragsteuern und Betriebsttten
Rz. 25
Teil 6
a) Server als feste Einrichtung Grundsätzlich können Server eine feste Einrichtung des Steuerpflichti- 24 gen begründen. Sie sind daher geeignet, ein Besteuerungsrecht für das Land zu begründen, in welchem sie sich befinden1. Voraussetzung für das Vorliegen einer Betriebstätte ist jedoch, dass der Steuerpflichtige über diese Betriebstätte verfügt. Gerade dies kann bei Servern grundsätzlich abzulehnen sein in allen Fällen, in denen der Steuerpflichtige nicht selbst Eigner und Betreiber der Server ist, sondern diese von einem Dienstleister gestellt bekommt2. Dies bedeutet, dass die zur Erbringung von Cloud Computing-Leistungen eingesetzten Server mangels Besonderheiten keine Betriebsstätte des Cloud-Kunden begründen. Auch IaaSLeistungen, die ein SaaS-Anbieter beim Betreiber einer Hardware-Infrastruktur zukauft, begründen dementsprechend grundsätzlich keine Betriebsstätte des SaaS-Anbieters. Nur der Dienstleister, der selbst einen Server betreibt, den er geleast oder gekauft haben mag, begründet regelmäßig am Serverstandort eine steuerliche Betriebsstätte. b) Software und Betriebstätten Nach der oben (vgl. Rz. 18) dargestellten Definition der Betriebstätte als 25 ortsfester Einrichtung kann Software für sich genommen keine Betriebstätte begründen. Dies gilt auch für die Software in Verbindung mit den in sie eingepflegten Daten, z.B. bei einem webshop, da weder die Software noch die Daten einen physisch greifbaren Gegenstand darstellen und diese somit nicht ortsfest sein können3. Das Entstehen einer Betriebstätte kann daher nur im Zusammenspiel mit physisch greifbaren Gegenständen erfolgen, wie etwa mit den Servern. Die Nutzung von Hardware mit Software stellt dann jedenfalls eine Nutzung für das Unternehmen dar, so dass insoweit die Betriebstättendefinition erfüllt ist. Ob daneben aber im Einzelfall auch eine Verfügungsmacht über die Server besteht, welche erforderlich wäre, um eine Betriebstätte zu begründen, hängt von den Umständen des Einzelfalles ab und dürfte, von selbst errichteten und betriebenen Systemen abgesehen, eher selten der Fall sein. Für Cloud-Szenarien lässt sich hieraus der Schluss ziehen, dass die für Cloud Computing typische virtuelle Server, also mit Hypervisorentechnologie hergestellte virtuelle Servereinheiten, die von den eingesetzten Hardwareeinheiten getrennt sind, keine Betriebsstätte begründen dürften. Sofern der Betreiber dieser virtuellen Server ein anderer ist, als derjenige der Hardware-Infrastruktur, dürfte nur für letzteren eine Betriebsstätte bestehen. Häufig wird zwar der Betreiber der virtuellen Server auch die Hardware-Infrastruktur bereitstellen. Allerdings sind auch 1 Vgl. OECD-Musterkommentar zu Art. 5 Ziffer 42.2 f., wo dies mit Verweis auf andere automatisierte Mechanismen (z.B. Ölpumpen) bejaht wird. 2 So begründen Server eines Internet Service Providers (ISP) keine Betriebstätte für den Kunden. OECD-Musterkommentar zu Art. 5 Ziffer 42.3. 3 Entsprechend OECD-MA zu Art. 5 Ziffer 42.2. Knorr
493
Teil 6
Rz. 26
Steuerrecht
Szenarien denkbar, etwa wenn bei Spitzenlasten, Hardwareressourcen zugekauft werden, in denen dies anders ist. 3. Nutzung von SaaS-, PaaS- und IaaS-Dienstleistungen und Betriebstätten 26
Ertragsteuerlich bietet die Nutzung von Cloud-Services nur dort Anknüpfungspunkte für die Besteuerung, wo Betriebstätten des Nutzers vorliegen. Der Umfang, in welchem hieraus eine Steuerpflicht entsteht, unterscheidet sich erheblich in Abhängigkeit von der jeweiligen Ausgestaltung der genutzten Cloud-Services. Allgemeingültige Folgen, die für alle gleichermaßen gelten, wird es nicht geben. Für Nutzer der Cloud wird somit eine genaue Analyse der eigenen Situation zur korrekten Einordnung der steuerlichen Rahmenbedingungen unerlässlich sein. a) IaaS-Dienstleistungen und Betriebstätten
27
Da wesentliches Anknüpfungsmerkmal für die Besteuerung das Vorliegen einer Betriebstätte ist, welche wiederum physisch greifbare Gegenstände erfordert, mag die Überlassung von Infrastruktur im Rahmen von IaaS-Dienstleistungen einen Anknüpfungspunkt für die Besteuerung und damit für eine Veränderung des Steuerstatus gegenüber dem, der ohne Nutzung von Cloud-Services bestünde, bilden. aa) Grundsatz
28
Wer Infrastruktur nicht selbst anschafft, sondern über einen IaaS-ServiceProvider nutzt, wird nur dann nach den allgemeinen Grundsätzen eine Betriebstätte haben, wenn er über diese verfügt. Wie oben dargelegt (vgl. Rz. 24), genügt schon die Inanspruchnahme eines Internet-Service-Providers regelmäßig nicht, um eine Verfügungsmacht für den Kunden zu begründen und diesem so eine Betriebstätte zu vermitteln. Entsprechend wird bei der Inanspruchnahme von IaaS-Dienstleistungen der Nutzer regelmäßig keine Verfügungsmacht über die Server seines Cloud-ServiceProviders haben1.
29
Daneben dürfte fraglich sein, ob zur Nutzung überlassene Cloud-Infrastruktur überhaupt geeignet ist, eine Betriebstätte zu begründen. Betriebstätten müssen ortsfest sein2. Dies setzt eine gewisse Dauerhaftigkeit der örtlichen Verbindung der Betriebstätte mit Grund und Boden voraus3. Zwar mag die Hardware-Infrastruktur, die der Cloud-Service-Provider anbietet, ortsfest mit ihrem jeweiligen Standort verbunden sein, jedoch liegt es in der Natur des Cloud-Services, dass sich die Nutzung von IaaSLeistungen gerade nicht auf einen bestimmten Ort bezieht, sondern eine 1 So auch Musil in HHSp, § 12 AO Rz. 43g, ausdrücklich für Cloud-Nutzer. 2 Art. 5 Abs. 1 OECD-MA. 3 Vgl. OECD-Musterkommentar zu Art. 5 Ziffer 42.4.
494
Knorr
II. Ertragsteuern und Betriebsttten
Rz. 31
Teil 6
ständige geographische Fluktuation der von einem Cloud-Kunden genutzten virtuellen Systemressourcen stattfindet (oder zumindest stattfinden kann). Einer solchen fluktuierenden Nutzung fehlt damit regelmäßig die örtliche Verbundenheit, welche den Grund dafür bildet, dem jeweiligen Staat ein Besteuerungsrecht zuzuweisen. Daher sollte die Nutzung eines typischen Cloud-Services auch dann regelmäßig keine Betriebstätte begründen, wenn diese Cloud-Services dem Nutzer über seinen Fernzugriff eine gewisse Verfügungsmacht über die technischen Anlagen vermitteln. bb) Sonderfälle: örtlich festgelegte Cloud-Strukturen Ausnahmsweise mag der genutzten Infrastruktur dann die Eigenschaft 30 einer Betriebstätte zukommen, wenn tatsächlich der Nutzer die herrschende Verfügungsmacht über die physischen Serveranlagen hat und diese ortsfest sind. Dies kann dann der Fall sein, wenn diese nur an einem bestimmten Ort aufgestellt sind und er die Anlagen in seinem Zugriff hat, etwa weil sie auf seinem Gelände stehen oder durch seine Mitarbeiter technisch gewartet werden. Solche Konstellationen können im Rahmen von Private Clouds gelegentlich auftreten, auch wenn hier regelmäßig die Wartung und der Betrieb der Server Teil der vom Cloud-Service-Provider geschuldeten Leistung sind und damit oftmals gerade keine Verfügungsmacht des Nutzers begründet werden wird. Im Ergebnis wird es auf die Umstände des Einzelfalles ankommen, ob ausnahmsweise bei Nutzung einer solchen Private Cloud eine Betriebstätte anzunehmen ist. cc) Ermittlung des der Betriebstätte zuzuweisenden Gewinns Kommt man ausnahmsweise dazu, dass ein Cloud-Kunde aufgrund die- 31 ser Dienstleistungen über eine Betriebstätte verfügt, stellt sich die Frage, wie der Gewinn zu ermitteln ist, welcher dieser Betriebstätte zuzuweisen ist (zum Anbieter von Cloud-Services siehe unten Rz. 39). Die Selbständigkeitsfiktion der Betriebstätte (vgl. dazu oben Rz. 20) führt hier noch nicht zu einem befriedigenden Ergebnis, da isoliert betrachtet der beanspruchten Cloud-Dienstleistung kein Wertschöpfungsbeitrag beizumessen sein wird. Ein Geschäft, welches Gewinne und damit eine Grundlage für die Besteuerung erwirtschaften kann, bedarf jeweils einer Entscheidung, dieses Geschäft einzugehen. Diese Entscheidung kann nicht vom genutzten Cloud-Service getroffen werden. Selbst in Fällen, in denen die in der Cloud hinterlegte Software selbständig Geschäfte abwickelt, etwa weil sie bestimmte Handelsalgorithmen durchführt, wird der Gewinn oder Verlust aus diesen Geschäften nicht durch die Durchführung der Algorithmen sondern durch deren Bestimmung und Festlegung verursacht. Die wesentliche, den Gewinn treibende unternehmerische Entscheidung erfolgt also nicht in der Cloud, sondern beim Anwender selbst. Entsprechend sollte der ggf. bestehenden Betriebstätte hiernach kein Gewinn zuzuweisen sein. Knorr
495
Teil 6
32
Rz. 32
Steuerrecht
Eine Gewinnzuweisung erfolgt daneben auf eingesetztes Kapital, dem regelmäßig eine angemessene Verzinsung zukommen soll. Gerade dies fehlt bei Nutzung von Cloud-Services jedoch, da der Nutzer gerade die Kosten für eigene Einrichtungen und Infrastruktur spart. Insofern dürfte auch insoweit die Zuweisung eines steuerpflichtigen Einkommens über die Nutzung von Cloud-Services nicht begründet werden. Gleiches gilt auch für E-commerce-Plattformen. Auch bei diesen wird der etwaige Erfolg und damit der Gewinn nicht durch die Speicherung der Daten getrieben, sondern durch Vermarktung, Pricing, Aufbau und Struktur der Plattform. Damit sollte auch hier der wesentliche Beitrag zum Gewinn durch den Cloud-Kunden erfolgen und nicht durch den Service selbst. Daher dürfte selbst dann, wenn man dem Kunden eines Cloud-Service gelegentlich eine Betriebstätte zuerkennt, dieser Betriebstätte kein Gewinn zuzuweisen sein1.
33
Allerdings bleibt dort, wo eine Betriebstätte begründet wird, ein Anknüpfungspunkt für steuerliche Compliance-Anforderungen. Auch eine gewinnlose Betriebstätte verpflichtet oftmals zur Abgabe von Steuererklärungen und zu erweiterter Information der Steuerbehörden. Daneben gibt es Länder, die auch ohne ortsfeste Einrichtungen eine steuerliche Registrierung erfordern und die im Einzelfall auch ohne eine dauerhafte ortsfeste Geschäftseinrichtung Gewinne zu versteuern suchen, die unter Einschaltung von in ihrem Land belegenen Wirtschaftsgütern erzielt wurden2. Mitunter führt eine solche Geschäftstätigkeit in einem Land, ohne dass dort eine Geschäftseinrichtung betrieben wird, jedenfalls zu steuerlichen Erfassungs- und Rechnungslegungspflichten3. b) SaaS- und PaaS-Dienstleistungen
34
Auch dort, wo neben bloßen Infrastruktur-Leistungen weitere Dienstleistungen im Rahmen der Cloud bereitgestellt werden, stellt sich zunächst die Frage, ob eine Betriebstätte des Nutzers begründet wird. Wie oben dargelegt (vgl. Rz. 25), kann die Überlassung von Software oder jedenfalls einer Plattform insofern die Begründung einer Betriebstätte ermöglichen, als hierdurch die Nutzung der Infrastruktur für das Unternehmen begünstigt wird. Je nach Funktion der entsprechenden Zusatzdienste kann auch die Schwelle der bloßen Hilfstätigkeit im Einzelfall überschritten werden.
35
Dessen ungeachtet werden Cloud-Services, gleich welcher Intensität, nur in sehr speziellen Einzelfällen überhaupt zur Begründung von Be1 Vgl. Hemmelrath in Vogel/Lehner, Art. 7 OECD-MA Rz. 93. 2 Beispielhaft sei hier Indien genannt, wobei die Frage, ob eine Besteuerung dort erforderlich ist, von weiteren Umständen abhängt. 3 Kuwait fordert beispielsweise auch bei Erzielung nach DBA steuerfreier Einnahmen die Abgabe von testierten Jahresabschlüssen und Steuererklärungen in arabischer Sprache.
496
Knorr
II. Ertragsteuern und Betriebsttten
Rz. 39
Teil 6
triebstätten führen, da regelmäßig dem Nutzer die Verfügungsmacht über die Cloud-Infrastruktur fehlt. Insofern dürfte erst recht im Bereich der SaaS- und PaaS-Lösungen regelmäßig keine Steuerpflicht aufgrund der Nutzung der Services begründet werden, da PaaS- und SaaS-Anbieter häufig die Hardware-Infrastruktur nicht selbst betreiben. Selbst wenn, wäre auch dieser Nutzungsintensität nach diesseitiger Auffassung kein Gewinn zuzuweisen, welcher einer gesonderten Besteuerung unterliegen würde. Bei Nutzung von Cloud-Services, die über die bloße Bereitstellung von 36 Infrastruktur-Leistungen hinausgehen, besteht allerdings ein erhöhtes Risiko, dass ggf. eine Quellensteuerpflicht entsteht, wenn der Cloud-Anbieter nicht im Inland sitzt (vgl. Rz. 46 ff.). 4. Steuerliche Behandlung der Erbringung von SaaS-, PaaS- und IaaS-Dienstleistungen Die Erbringung von Cloud-Services ist im Grundsatz nicht anders zu be- 37 handeln als die Erbringung anderer Dienstleistungen. Eine Besonderheit besteht darin, dass oftmals mehrere Standorte in verschiedenen Ländern in die Erbringung einer Dienstleistung eingeschaltet sind, was die Zuordnung von Einkünften an einzelne Staaten erschwert. a) Allgemeines zur steuerlichen Behandlung der Erbringung von Cloud-Dienstleistungen Wo Cloud-Services erbracht werden, fallen regelmäßig sowohl Ertrag- 38 steuern als auch Verkehrssteuern wie etwa die Umsatzsteuer an. Die steuerliche Situation wird jedoch von Anbieter zu Anbieter erheblich abweichen, da sie maßgeblich von der genauen organisatorischen Struktur des Anbieters und seiner Dienstleistungen abhängt. Im Einzelnen wird bei der Bewertung dieser Struktur des Anbieters insbesondere Folgendes zu beachten sein: aa) Ertragsteuern Der Cloud-Service-Provider wird regelmäßig über eine Betriebstätte an 39 den Orten verfügen, an denen er selbst Server betreibt1. Die Server sind ortsfeste räumliche Einrichtungen des Cloud-Service-Providers, welche er zur Erzielung von Einnahmen betreibt. Zwar wird bisweilen bezweifelt, ob der Service-Provider tatsächlich über die Server verfügt, wenn er diese an fremde Dritte vermietet hat2. Dies sollte jedoch an der Betriebstätteneignung der Serveranlagen im Ergebnis nichts ändern, da der Service-Provider den Betrieb der Server regelmäßig selbst verantwortet und insofern selbst über die physischen Geräte und die entsprechenden Räu1 Vgl. auch Musil in HHSp, § 12 AO Rz. 43h. 2 Dazu Tappe, IStR 2011, 870 (873). Knorr
497
Teil 6
Rz. 40
Steuerrecht
me verfügt. Gerade bei Cloud-Services kann der Cloud-Anbieter selbst bestimmen, auf welchen seiner Systeme oder derjenigen dritter Subunternehmer er Kundendaten verarbeitet bzw. mit welchen Hardwaresystemen er die geschuldeten IaaS-Leistungen zur Verfügung stellt, da er regelmäßig nicht die Überlassung bestimmter Systeme an bestimmten Standorten schuldet1. Letztlich dürfte aber selbst bei Private-Cloud-Lösungen nur ausnahmsweise keine Betriebstätte des Cloud-Anbieters anzunehmen sein, wenn sich seine Dienstleistung in der Lieferung und regelmäßigen Wartung der Anlage erschöpft, diese Anlage sich jedoch im Verfügungsbereich (resp. Betrieb) des Kunden befindet. 40
Im Rahmen der Besteuerung des Cloud-Anbieters stellt sich dann die Frage, welches Einkommen der Serverbetriebstätte zuzuordnen ist. Auch hier gelten die oben dargestellten Grundsätze zur Gewinnzuweisung an Betriebstätten (vgl. Rz. 31 ff.). Die materiellen, der Betriebstätte zuzuordnenden Wirtschaftsgüter in Form der Server sind klar bestimmbar. Dies gilt jedenfalls dann, wenn sie vom Anbieter selbst betrieben werden, was regelmäßig ohnehin die Voraussetzung dafür ist, dass überhaupt eine Betriebsstätte des Cloud-Anbieters vorliegt. Die Frage aber, ob auch die damit zusammenhängenden immateriellen Wirtschaftsgüter der jeweiligen Server-Betriebstätte zuzuweisen sind, ist wieder nach dem „key entrepreneurial risk taking“-Ansatz zu entscheiden (vgl. dazu oben Rz. 20)2. Nur dann, wenn die Personen, welche für die betreffenden immateriellen Vermögensgegenstände verantwortlich sind, am Ort der Server sitzen, sind diesem auch die immateriellen Vermögensgegenstände für Zwecke der Einkommenszuordnung zuzuweisen. Dieser Regel kommt besondere Bedeutung zu, da die genutzte Hardware sich in Rechenzentren befindet, deren Standort – aus verschiedenen Gründen – anders belegen ist als die Niederlassungen, aus denen heraus das Personal die Software steuert, mit der die Cloud-Leistungen erbracht werden. Dies kann auch bei IaaSLeistungen der Fall sein, die auf dem Einsatz von Betriebssystemen, Software zur Bereitstellung virtueller Servereinheiten, Monitoringsoftware sowie Verwaltungs- und Abrechnungssoftware basieren. bb) Verkehrssteuern
41
Neben den Ertragsteuern ist der Anbieter von Cloud-Services regelmäßig dazu verpflichtet, auf seine Leistung Umsatzsteuer zu entrichten. Im internationalen Kontext kann es vorkommen, dass er nicht selbst Schuldner der Umsatzsteuer ist. Vgl. zu Einzelheiten Rz. 113 ff.
1 Entsprechend geht Ziffer 42.2 f. OECD-Musterkommentar auch beim Webhosting davon aus, dass der Webhoster eine Betriebstätte am Standort seiner Server hat. 2 Vgl. dazu Baldamus, IStR 2012, 317 (318).
498
Knorr
II. Ertragsteuern und Betriebsttten
Rz. 43
Teil 6
b) Besteuerung von SaaS-Dienstleistungen Bei SaaS-Angeboten stellt der Dienstleister seinen Kunden neben der In- 42 frastruktur auch in erheblichem Maße immaterielle Wirtschaftsgüter zur Verfügung. Diese Wirtschaftsgüter bestehen in dem Nutzungsrecht an der Software1, ebenso wie in der zur Verfügungsstellung des für das Angebot erforderlichen Know-how. Eine Gewinnzuweisung an den Server erfolgt nach den Authorised OECD Approach nur bezüglich des materiellen Wirtschaftsgutes Server. Der diesem zuzuweisende Gewinn mag aus Marktpreisen für vergleichbare, bare-bone-IaaS-Services ablesbar sein, wobei ein solcher Preis ggf. auch noch weitere Funktionen abdeckt, die nicht notwendigerweise am Serverstandort getragen werden (vgl. unten Rz. 44). Der auf die immateriellen Wirtschaftsgüter entfallende Anteil am Gesamtgewinn des angebotenen SaaS-Dienstes wird für Besteuerungszwecke dem Ort zugewiesen, an welchem die diesbezüglichen wesentlichen unternehmerischen Risiken getragen und verwaltet werden. Bei originären, vom Anbieter selbst kreierten SaaS-Angeboten ist regelmäßig der wesentliche Anteil des Gesamtgewinns der Software zuzuweisen. Diese ist der wesentliche selling point und damit der wesentliche Gewinntreiber. Dort, wo die Entwicklung und Steuerung der Software stattfindet, dürfte damit regelmäßig der wesentliche Teil des Gewinns aus SaaS-Angeboten zuzuweisen und damit zu besteuern sein. Bezüglich der im Rahmen dieser Dienste eingeräumten Nutzungsberechtigung an Software ist zu beachten, dass diese einer Quellensteuer unterliegen kann, wenn der Anbieter nur beschränkt steuerpflichtig ist (vgl. dazu Rz. 46 ff.). c) Besteuerung von PaaS-Dienstleistungen Auch die mittlere Ebene der Cloud-Services, die PaaS-Dienstleistungen, 43 gehen über das bloße Gestellen von Infrastruktur hinaus. Insoweit besteht nicht nur in der Infrastruktur und damit in den Servern ein wesentlicher Anknüpfungspunkt für die Besteuerung, sondern auch in den immateriellen Vermögensgegenständen, welche Teil der bereitgestellten Plattform sind, also wiederum Software. Diese Plattform-Software ist wiederum den sie verantwortenden Personen zuzuweisen, so dass ein nicht unerheblicher Teil des Gewinns regelmäßig wiederum nicht an die Serverstandorte zuzuweisen ist. Auch bei PaaS-Angeboten kommt bezüglich der überlassenen Nutzungsrechte ein Quellensteuerabzug in Betracht.
1 Im technischen urheberrechtlichen Sinn ist ein Nutzungsrecht an der Anwendungssoftware nicht erforderlich. Näher dazu Teil 3 Rz. 94 f. Knorr
499
Teil 6
Rz. 44
Steuerrecht
d) Besteuerung von IaaS-Dienstleistungen 44
Die Gewichtung zwischen physischen und immateriellen Wirtschaftsgütern, welche zur Erzielung eines Gewinns mit einer IaaS-Dienstleistung eingesetzt werden, unterscheidet sich zwar von der bei SaaS- und PaaS-Lösungen, es kommt jedoch auch bei reinen IaaS-Dienstleistungen zu einer Mischung von materiellen Wirtschaftsgütern in Form der eigentlichen Hardware-Infrastruktur und immateriellen Wirtschaftsgütern in Form der eingesetzten Software, welche die Zuweisung von Kapazitäten regelt und in Form des Know-hows um Art, Aufbau, Ausstattung und Betrieb der Hardware. Entsprechend ist auch der für IaaS-Dienstleistungen erzielte Gewinn nur zum Teil den Servern zuzuweisen. Für die immateriellen Wirtschaftsgüter wird der Gewinn wiederum dem Ort zugewiesen werden, an welchem die Personen tätig werden, welche diese immateriellen Wirtschaftsgüter verantworten. e) Besteuerung sonstiger Cloud-Dienstleistungen (XaaS)
45
Letztlich sind die oben genannten Grundsätze auf jede Form der CloudLeistungen übertragbar. Wie alle Technologien unterliegt Cloud Computing einem raschen Wandel, der stets neue Formen von Angeboten hervorbringt (vgl. dazu oben Teil 1 B Rz. 18). Wo auch immer die betreffende Dienstleistung damit einhergeht, dass vom Anbieter selbst physische Einrichtungen unterhalten werden, begründen diese eine Betriebstätte. Umgekehrt werden andere Dienstleistungen, die nicht auf eigenen physischen Einrichtungen basieren, regelmäßig keine Betriebstätte begründen und somit nicht zu einer beschränkten Steuerpflicht führen. Als Dienstleistungen unterliegen auch die Leistungen, welche unter everything bzw. anything as a service zu fassen sind, der Umsatzsteuer, sofern der jeweilige Leistungsort im Inland ist. Einzelheiten hängen erheblich von der genauen Beschaffenheit des Services aber auch von den persönlichen Umständen des Nutzers ab. Vgl. dazu im Einzelnen Rz. 113 ff. 5. Besteuerung an der Quelle – Pflicht des Cloud-Anwenders zum Steuerabzug
46
Oft übersehen wird im Zusammenhang mit Cloud-Services, dass der Nutzer solcher Dienstleistungen bei der Bezahlung der Dienstleistungen verpflichtet sein kann, für Rechnung des Service-Providers Quellensteuern einzubehalten und abzuführen, sofern der Service-Provider nicht unbeschränkt steuerpflichtig ist1. Zur beschränkten Steuerpflicht siehe nachfolgend Rz. 49.
1 Vgl. § 50a Abs. 1 Nr. 3 EStG.
500
Knorr
II. Ertragsteuern und Betriebsttten
Rz. 48
Teil 6
a) Katalogeinkünfte Die Verpflichtung zum Quellensteuerabzug besteht nicht für alle Ein- 47 künfte beschränkt Steuerpflichtiger. Vielmehr enthält die Vorschrift zur Quellensteuer in § 50a Abs. 1 EStG einen Katalog derjenigen Einkünfte, für welche ein Steuerabzug vorzunehmen ist. Im Rahmen von Cloud-Anwendungen sind von den Katalogeinkünften nur die Einkünfte, die aus Vergütungen für die Überlassung der Nutzung oder des Rechts auf Nutzung von Rechten, insbesondere von Urheberrechten und gewerblichen Schutzrechten, von gewerblichen, technischen, wissenschaftlichen und ähnlichen Erfahrungen, Kenntnissen und Fertigkeiten herrühren1. Die Überlassung eines Nutzungsrechts an Software genügt regelmäßig diesen Vorgaben2. Bei Cloud Computing ist man sich allerdings weitgehend einig, dass Nutzungsrechte an Software dem Kunden nicht eingeräumt werden müssen, da die Software nicht auf seinem Rechner läuft, sondern auf dem des Anbieters oder seiner Subunternehmer. Beim Kunden werden alleine die regelmäßig nicht geschützten Bildschirmdaten angezeigt. Nur falls die Nutzung des Dienstes einen anderen Client erfordert als den Internetbrowser, wäre für die Installation und den Betrieb eines solchen Clients ein urheberrechtliches Nutzungsrecht erforderlich. Vgl. dazu Teil 3 Rz. 95 ff. Vor diesem Hintergrund fragt sich, ob die für die Einräumung von urheberrechtlichen Nutzungsrechten an Software geltende steuerliche Behandlung trotz dieses Unterschieds auch für Cloud-Szenarien gilt. Da der Katalog der quellensteuerabzugspflichtigen Einkünfte abschließend formuliert ist, sollten nur solche Leistungen darunter erfasst werden, bei denen tatsächlich auch Nutzungsrechte gewährt werden. Dies wird daher regelmäßig bei Cloud-Szenarien nicht der Fall sein. Nur dort, wo es ausnahmsweise tatsächlich zur Überlassung von Nutzungsrechten kommt, sollte daher ein Quellensteuerabzug in Betracht kommen. In diesen Fällen wird regelmäßig nur ein Teil der Vergütung auf das Nutzungsrecht entfallen. Bei gemischten Vergütungen, welche nur teilweise den Katalogeinkünf- 48 ten des § 50a Abs. 1 Nr. 3 EStG unterfallen, ist eine Aufteilung der Vergütung vorzunehmen und diejenige, welche dem Nutzungsrecht zufällt, dem Steuerabzug zu unterwerfen3. Dies kann in der Praxis schwierig sein, da es für den Cloud-Nutzer, welcher den Steuerabzug vorzunehmen hat, kaum nachvollziehbar ist, wie die Wertschöpfungsbeiträge der einzelnen Teilleistungen des von ihm genutzten Cloud-Services ausgestaltet sind.
1 So der Wortlaut des § 50a Abs. 1 Nr. 3, erster Halbsatz EStG. 2 Vgl. Maßbaum in HHR, § 50a EStG Rz. 58. 3 Maßbaum in HHR, § 50a EStG Rz. 57. Knorr
501
Teil 6
Rz. 49
Steuerrecht
b) Beschränkte Steuerpflicht 49
Eine Pflicht zum Quellensteuerabzug nach § 50a EStG besteht nur bei beschränkt Steuerpflichtigen. Wo eine unbeschränkte Steuerpflicht besteht, wird diese Steuer beim Steuerpflichtigen selbst erhoben. Eine Abwälzung der Verpflichtung auf den Leistungsempfänger ist in solchen Fällen regelmäßig nicht vorgesehen1. Somit spielt der Quellensteuerabzug insbesondere dort eine Rolle, wo ein Cloud-Service-Provider aus dem Ausland operiert. Im Ergebnis greift dies auch dann, wenn der Cloud-Anbieter zwar im Inland eine Niederlassung betreibt, hier jedoch nicht seine Geschäftsleitung hat. Bestehen Zweifel an der unbeschränkten Steuerpflicht, so kann der Gläubiger, also der Cloud-Anbieter, dem Cloud-Kunden als Schuldner der Quellensteuer eine Bescheinigung des Finanzamtes vorlegen, aus der seine unbeschränkte Steuerpflicht hervorgeht2. Andernfalls muss der Nutzer von einer Einbehaltungspflicht ausgehen und einen Quellensteuerabzug vornehmen.
50
Neben der persönlichen beschränkten Steuerpflicht muss es sich auch um Einkünfte unterliegen, für die eine beschränkte Steuerpflicht nach § 49 EStG besteht3. Für die hier in Betracht kommenden Einkünfte kann eine solche sachliche beschränkte Steuerpflicht entweder nach § 49 Abs. 1 Nr. 6 oder Nr. 9 EStG bestehen. aa) Regelmäßig keine Überlassung von Urheberrechten bei Cloud-Services
51
Lizenzrechte für Software unterfallen dabei regelmäßig der Regelung des § 49 Abs. 1 Nr. 6 EStG4. Danach liegt eine sachliche beschränkte Steuerpflicht vor, wenn die betreffenden Rechte, die zeitlich befristet überlassen werden, in ein inländisches Register eingetragen werden oder in einer inländischen Betriebstätte oder in einer anderen Einrichtung verwertet werden. Bei Inanspruchnahme von Cloud-Services stellen sich hierbei zwei Fragen: Einerseits steht offen, ob die Nutzung von Software eine Wahrnehmung des Urheberrechts des Autors darstellt, andererseits steht offen, ob eine Verwertung in einer inländischen Betriebstätte oder anderen Einrichtung erfolgt. 1 Eine Ausnahme hierzu bilden Kapitalertragsteuern und Lohnsteuer, die jeweils ebenfalls an der Quelle erhoben werden. Grund hierfür ist, dass die Erhebung bei dem insoweit erfahrenen Auszahlenden (Bank bei der Kapitalertragsteuer bzw. Arbeitgeber bei der Lohnsteuer) eine deutliche Vereinfachung und eine bessere Sicherung der gleichmäßigen Steuererhebung bewirkt. 2 Vgl. § 73e Satz 6 EStDV. 3 Vgl. Kube in K/S/M, § 50a EStG Rz. B22. 4 Vgl. BFH v. 27.2.2002, BFH/NV 2002, 1142; Loschelder in Schmidt, § 49 EStG Rz. 113.
502
Knorr
II. Ertragsteuern und Betriebsttten
Rz. 53
Teil 6
Was Gegenstand der Nutzung von Software ist, wird von verschiedenen 52 Autoren unterschiedlich gesehen. Verschiedene Autoren unterscheiden zwischen der Überlassung von Standardsoftware und der Überlassung von speziell entwickelter bzw. angepasster Software1. Bei speziell entwickelter Software wird eine zeitlich befristete Überlassung regelmäßig deshalb verneint, weil diese wirtschaftlich regelmäßig dem Kunden zuzurechnen sei und daher in der Regel im Laufe des Vertrages wirtschaftlich verbraucht werde2. Dies mag zwar in aller Regel zutreffen, ist jedoch nicht zwingend. Wird Software im Wege des SaaS angeboten, wird regelmäßig ohnehin keine speziell für den Kunden entwickelte Software betroffen sein, da SaaS-Leistungen in der Regel auf im Kern standardisierter, von vielen Kunden genutzter Software basiert. In Betracht kommen lediglich Anpassungen der Standardsoftware, um besondere Anforderungen des Kunden umzusetzen, etwa im Bereich der Schnittstellen zu kundeneigenen Systemen. Hierauf wird regelmäßig aber nicht der Schwerpunkt liegen. Betreibt der Cloud-Kunde „seine“ Software auf der IaaS-Infrastruktur des Cloud-Anbieters, stellt letzterer keine Software zur Verfügung. Die zum Betrieb erforderlichen Rechte sind vielmehr vom Cloud-Kunden beizubringen. Daneben steht die Standardsoftware, bei welcher auch wirtschaftlich sinnvolle Pay-As-You-Go-Vergütungsstrukturen und andere Vergütungsformen denkbar sind, bei denen die Nutzung nicht so lang ist, wie die wirtschaftliche Nutzungsdauer der entsprechenden Software3. Hier wird darüber gestritten, ob die Überlassung der Software eine Erlaubnis zur Wahrnehmung des Urheberrechts4 oder eine „routinemäßige Auswertung und Anwendung der Erkenntnisse des Urhebers“5 ist. Die Rechtsprechung hat bezüglich der Überlassung einer Vertriebslizenz für Software eine Einräumung von Urheberrechten gesehen; die Nutzung als solche ist, soweit ersichtlich, bislang nicht entschieden worden6. Für die meisten Cloud-Services sollte in der Praxis die Überlassung von 53 Urheberrechten oder Nutzungsrechten am Urheberrecht jedoch ausscheiden. Gegenstand der Cloud-Services ist regelmäßig die Bereitstellung der Software auf der Infrastruktur des Anbieters oder auf von diesem mitbereitgestellter Infrastruktur eines Dritten, jedoch nicht deren Überlassung an den Kunden. Da die Software nicht auf den Systemen des Kunden läuft, sondern in der Cloud beim Anbieter, sollte im Regelfall kein Quellensteuerabzug nach § 49 Abs. 1 Nr. 6 EStG in Betracht kommen, unabhängig davon, ob es sich um Standard- oder Spezialsoftware handelt.
1 Siehe etwa Maßbaum in HHR, § 50a EStG Rz. 57, Heinsen/Voß, DB 2012, 1231 (1232). 2 So Heinsen/Voß, DB 2012, 1231 (1233). 3 Siehe Heinsen/Voß, DB 2012, 1231 (1232). 4 So offenbar Maßbaum in HHR, § 50a Rz. 57. 5 So Heinsen/Voß, DB 2012, 1231 (1232). 6 Siehe BFH v. 27.2.2002, BFH/NV 2002, 1142. Knorr
503
Teil 6
54
Rz. 54
Steuerrecht
Eine Ausnahme können spezielle Anwendungen im XaaS-Bereich sein, bei denen etwa Software tatsächlich auch auf den Systemen des Nutzers arbeitet. In diesen Fällen ist dann zu prüfen, ob eine Verwertung im Inland erfolgt und somit eine beschränkte Steuerpflicht und damit möglicherweise eine Steuerabzugsverpflichtung besteht. bb) Cloud Computing regelmäßig keine Überlassung von Know-how
55
Bisweilen wird auch argumentiert, dass im Rahmen von Cloud-Services Leistungen erbracht werden, welche einen Quellensteuerabzug nach § 49 Abs. 1 Nr. 9 EStG rechtfertigen1. Nach dieser Vorschrift unterliegt die Überlassung im Inland befindlicher beweglicher Wirtschaftsgüter ebenso wie die Überlassung von Know-how einer beschränkten Steuerpflicht. Nach derzeitiger Fassung der Regelungen zum Quellensteuerabzug ist die Vermietung beweglicher Wirtschaftsgüter nicht quellensteuerpflichtig2. Ob ein Cloud-Service im Einzelfall als Überlassung von Know-how gewertet werden kann, ist zweifelhaft. Üblicherweise wird Know-how dem Nutzer nicht überlassen, er nutzt viel mehr die mit dem Know-how des Service Providers erbrachte Dienstleistung. Im Bereich der Überlassung von Software, sofern eine solche bei Cloud-Services überhaupt denkbar ist, mag man ggf. eine Überlassung von Know-how sehen, wenn man die Überlassung von Urheberrechten verneint, weil der Nutzer kein Vervielfältigungsrecht erhält. In der Regel dürfte jedoch auch die Überlassung von Software keine Überlassung von Know-how darstellen3. cc) Inlandsbezug
56
Sofern aufgrund der Umstände des einzelnen Cloud-Service-Angebots dennoch ein Quellensteuerabzug grundsätzlich in Betracht kommt, bedarf es für die Quellensteuerpflicht eines Inlandsbezugs der betreffenden Leistung. Bei der Überlassung von Urheberrechten erfordert dieser Inlandsbezug die Verwendung in einer inländischen Betriebstätte oder anderen Einrichtung4. Als inländische Betriebstätten kommen auch die Betriebstätten von anderen Personen als dem beschränkt Steuerpflichtigen in Betracht5. Umgekehrt sollen andere Einrichtungen nur solche sein, die einer Betriebstätte vergleichbar sind, jedoch wegen des fehlenden ge-
1 Im Ergebnis zu Recht ablehnend Heinsen/Voß, DB 2012, 1231 ff. 2 Die Vermietung beweglicher Wirtschaftsgüter war zeitweilig ebenfalls quellensteuerpflichtig, die entsprechende Bestimmung in § 50a Abs. 1 Nr. 3 EStG ist jedoch wieder gestrichen worden. Dies unterliegt also einem gewissen Wandel, so dass die weitere Rechtsentwicklung in diesem Punkt jedenfalls dort zu beobachten ist, wo Cloud-Services unter Nutzung inländischer Ressourcen von ausländischen Anbietern vermarktet werden (vgl. im Einzelnen Heinsen/Voß, DB 2012, 1231 ff.). 3 Vgl. Klein in HHR, § 49 EStG Rz. 1110 „Standardsoftware“. 4 § 49 Abs. 1 Nr. 6 EStG. 5 Vgl. Wied in Blümich, § 49 EStG Rz. 208.
504
Knorr
II. Ertragsteuern und Betriebsttten
Rz. 59
Teil 6
werblichen Charakters1 nicht als solche qualifizieren2. Wo also tatsächlich eine Urheberrechtsüberlassung vorliegt, dürfte ein Quellensteuerabzug bei B2C-Leistungen mangels Inlandsbezugs ausscheiden, während er im B2B-Bereich bei Angeboten durch beschränkt steuerpflichtige Leistungserbringer tatsächlich in Betracht kommt. Bei den übrigen Fällen der Überlassung von Know-how ist lediglich des- 57 sen Nutzung im Inland erforderlich, um eine beschränkte Steuerpflicht zu begründen. Wie dargelegt, wird dieser Fall eher selten bei speziellen Bedingungen im Rahmen von XaaS-Angeboten überhaupt denkbar sein. Wenn er jedoch vorliegt, ist der Inlandsbezug schnell erreicht, da jede Nutzung im Inland eine beschränkte Steuerpflicht auslöst und, anders als bei § 49 Abs. 1 Nr. 6 EStG nicht das Vorhandensein einer Betriebstätte erforderlich ist. Entsprechend würde ein solcher Quellensteuerabzug auch im B2C-Bereich greifen. Allerdings fällt es schwer, Beispiele für B2C-Angebote zu nennen, in denen Know-how als Gegenstand eines Cloud-Service an private Nutzer überlassen wird. c) Rechtsfolge: Gegebenenfalls Quellensteuerabzug Nach alledem besteht ausnahmsweise dem Grunde nach eine Pflicht 58 zum Quellensteuerabzug, wenn und soweit im Rahmen einzelner CloudServices dem Nutzer das Urheberrecht an Softwareüberlassen wird. Mit Blick auf die Abgrenzungsschwierigkeiten zwischen der Nutzung des geschützten Werkes und der Nutzung des Schutzrechts sollte jeder CloudKunde, bei denen ihm Software tatsächlich überlassen wird, sorgfältig untersuchen, ob er zum Quellensteuereinbehalt verpflichtet ist. aa) Abstandnahme vom Quellensteuerabzug Im Einzelfall kann es möglich sein, dass eine Befreiung vom Quellen- 59 steuerabzug nach einem Doppelbesteuerungsabkommen oder der EUZins- und Lizenzrichtlinie3 in Anspruch genommen werden kann. Dies setzt zunächst voraus, dass entweder ein entsprechendes Doppelbesteuerungsabkommen vorhanden ist, auf dass sich der Cloud-Anbieter berufen kann, oder dass ihm der Schutz der EU-Zins-und-Lizenzrichtlinie zusteht. Wo ein Doppelbesteuerungsabkommen einschlägig ist4, stellt Deutschland Unternehmensgewinne ausländischer Steuerpflichtiger re1 2 3 4
Z.B. Rundfunkanstalten als Anstalten öffentlichen Rechts. Vgl. Klein in HHR, § 49 EStG Rz. 954. Richtlinie des Rates v. 3.6.2003, 2003/49/EG. Siehe zum Stand der deutschen Doppelbesteuerungsabkommen das jährlich neu herausgegebene BMF-Schreiben „Stand der Doppelbesteuerungsabkommen und anderer Abkommen im Steuerbereich sowie der Abkommensverhandlungen“, zuletzt v. 22.1.2013, einsehbar unter http://www.bundesfinanzministerium. de/Content/DE/Downloads/BMF_Schreiben/Internationales_Steuerrecht/Allgemei ne_Informationen/2013-01-22-Stand-DBA-1-Januar-2013.pdf?__blob=publication File&v=1. Knorr
505
Teil 6
Rz. 60
Steuerrecht
gelmäßig frei, soweit sie nicht in einer deutschen Betriebstätte erzielt wurden. Dies entspricht der Systematik des OECD-Musterabkommens1. Sofern ein ausländischer Cloud-Anbieter also keine Niederlassung im Inland unterhält und diesem der Schutz eines Doppelbesteuerungsabkommens zusteht, hat der Cloud-Anbieter regelmäßig Anspruch auf Abstandnahme vom Quellensteuerabzug. Innerhalb eines Konzerns sind Lizenzzahlungen, etwa für Urheberrechte, innerhalb der EU ebenfalls steuerbefreit unter der EU-Zins-und-Lizenzrichtlinie. Dies gilt allerdings nur für verbundene Unternehmen, die übrigen Unternehmen müssen sich auf den Schutz der Doppelbesteuerungsabkommen berufen. 60
Die besondere Herausforderung für den Cloud-Anbieter wird in einem solchen Fall darin bestehen, seine Abkommensberechtigung nachzuweisen. Die Schutznormen eines Doppelbesteuerungsabkommens kann ein Steuerpflichtiger nämlich nur dann beanspruchen, wenn er in dem Staat tatsächlich ansässig ist, mit dem Deutschland das betreffende Doppelbesteuerungsabkommen geschlossen hat. Für die Abkommensberechtigung ist dann zunächst der Sitz des Service-Providers maßgeblich. Verschiedene Doppelbesteuerungsabkommen sehen darüber hinaus aber weitere Einschränkungen der Abkommensberechtigung vor, wenn etwa die Tätigkeiten, für die der Schutz unter dem Doppelbesteuerungsabkommen beansprucht wird, nicht von dem Staat aus vorgenommen werden, dessen Abkommen genutzt werden soll. Insbesondere grenzüberschreitend operierende Cloud-Anbieter mögen entsprechend Schwierigkeiten haben, ihre Abkommensberechtigung nachzuweisen. bb) Verfahren
61
Gelingt dem Cloud-Anbieter dieser Nachweis, kann und sollte er beim Bundeszentralamt für Steuern die Ausstellung von Freistellungsbescheinigungen erwirken, welche er dann dem Vergütungsschuldner vorlegt, so dass dieser vom Quellensteuerabzug absehen kann2. Sofern der CloudKunde allerdings ohne Vorlage einer solchen Freistellungsbescheinigung den Steuerabzug unterlässt, kann er für die infolgedessen nicht erhobene Steuer in Haftung genommen werden3. Es obliegt dann ihm, den so von ihm gezahlten Betrag beim Cloud-Anbieter erstattet zu erlangen. Sofern der Nutzer vorsätzlich den Quellensteuerabzug unterlässt, stellt dies sogar den Tatbestand einer Steuerhinterziehung nach § 370 AO dar. Dies gilt selbst dann, wenn die betreffende Steuer schlussendlich vom Service Provider gezahlt wird. Insofern ist die Einhaltung des Verfahrens bei Abstandnahme vom Quellensteuerabzug in den seltenen Fällen, in denen im Kontext von Cloud Computing eine Pflicht zum Quellensteuerabzug bestehen mag, unbedingt geboten. 1 Vgl. Art. 5 und 7 OECD-Musterabkommen. 2 § 50d EStG bzw. für Lizenzzahlungen im Konzern innerhalb der EU § 50g EStG. 3 Vgl. Wied in Blümich, § 50a EStG Rz. 122 ff., § 50a Abs. 5 Satz 4 EStG.
506
Knorr
II. Ertragsteuern und Betriebsttten
Rz. 64
Teil 6
6. Steuerliche Besonderheiten bei Cloud-Services im Konzern Während im Verkehr unter fremden Dritten regelmäßig jede Partei die 62 für sie bestmögliche Vertragsgestaltung aushandelt, fehlt es innerhalb einer Gruppe verbundener Unternehmen an einem Interessengegensatz zwischen den Interessen der beiden Vertragspartner. Entsprechend erkennt die Finanzverwaltung Leistungsbeziehungen zwischen verbundenen Unternehmen nur insoweit an, als diese dem genügen, was unabhängige Dritte miteinander vereinbart hätten1. Die Erbringung und Nutzung von Cloud-Services innerhalb des Konzerns unterliegen deshalb besonders strengen Anforderungen an die Bepreisung und die Dokumentation. Dies gilt insbesondere dann, wenn die Services grenzüberschreitend angeboten bzw. erbracht werden. Diese Thematik ist von zunehmender Bedeutung, da konzerninterne IT-Service-Gesellschaften immer mehr auf Cloud-Technologie setzen, sei es durch zentrales Sourcing von durch dritte Anbieter erbrachte Cloud-Leistungen, sei es durch die Einführung von Cloud-Technologien in konzerninternen Rechenzentren. a) Ermittlung und Festlegung angemessener Preise Im Rahmen konzerninterner Leistungsbeziehungen stellt die Verein- 63 barung von Preisen, welche fremde Dritte miteinander nicht vereinbart hätten, regelmäßig eine verdeckte Gewinnausschüttung dar2. Durch Vereinbarung der unzutreffenden Preise erhält eine Gesellschaft entweder eine zu geringe Vergütung und mindert hierdurch ihren Gewinn oder es wird eine überhöhte Vergütung gezahlt, was den Gewinn des zahlenden Unternehmens mindert. Bei Beherrschungs- oder Mehrheitsbeteiligungsverhältnissen wird im Steuerrecht vermutet, dass solche unangemessenen Preise durch das Gesellschaftsverhältnis veranlasst sind, so dass sie, jedenfalls bei Beteiligung von Kapitalgesellschaften am Leistungsaustausch, steuerlich nicht anzuerkennen sind3. Es ist also der Besteuerung ein Preis zugrunde zu legen, wie ihn fremde, voneinander unabhängige Dritte vereinbart hätten4. Außerdem wird regelmäßig gefordert, dass eine klare Vereinbarung zwi- 64 schen den Parteien im Vorfeld getroffen wird5. In der Praxis ist stets zu empfehlen, solche Vereinbarungen schriftlich abzuschließen und diese schriftlichen Vereinbarungen sorgsam aufzubewahren, um Diskussionen im Rahmen der Betriebsprüfung zu vermeiden. Wo eine schriftliche Ver-
1 2 3 4
So etwa für Kapitalgesellschaften Ziffer R 36 KStR. Vgl. Rengers in Blümich, § 8 KStG Rz. 226. Siehe ausführlich Wilk in HHR, § 8 KStG Rz. 100. Siehe § 8 Abs. 3 KStG; bei Personengesellschaften wird eine unangemessene Leistungsverrechnung zwischen Gesellschaft und Gesellschafter regelmäßig über die Sonderbilanzgewinne und -verluste neutralisiert, so dass sie sich steuerlich nicht auf das Ergebnis der Gesellschaft im Ganzen auswirkt. 5 Siehe R 36 Abs. 2 KStR. Knorr
507
Teil 6
Rz. 65
Steuerrecht
einbarung fehlt, hindert das die Wirksamkeit jedoch nicht, so lange kein gesetzliches Schriftformerfordernis besteht1, 2. 65
Für die Bestimmung dessen, was fremde Dritte miteinander vereinbart hätten, haben sich im Wesentlichen drei Methoden herausgebildet. Dies sind die Preisvergleichs-, die Wiederverkaufspreis- und die Kostenaufschlagsmethode3. Vorrangig von diesen Methoden ist die Preisvergleichsmethode4. Gibt es also einen Marktpreis für die konzernintern erbrachte Dienstleistung, so ist dieser regelmäßig auch der internen Leistungsverrechnung zuzumessen5. Gerade bei Cloud-Services wird dies regelmäßig der Fall sein, da die meisten Leistungen, welche konzernintern angeboten werden, auch von unabhängigen Dritten bezogen werden können. In der Leistungsverrechnung im Konzern müssen daher in aller Regel die üblichen Marktpreise für vergleichbare Cloud-Services zugrunde gelegt werden. b) Dokumentation der Verrechnungspreise bei grenzüberschreitenden Cloud-Services im Konzern
66
Dort, wo konzernintern Cloud-Services über die Grenze erbracht bzw. in Anspruch genommen werden, gelten besondere Anforderungen an die steuerliche Dokumentation. In diesen Fällen sind die §§ 90 Abs. 3 und 162 Abs. 3 und 4 AO zu beachten. Die näheren Einzelheiten der zu führenden Aufzeichnungen sind in der Gewinnabgrenzungsaufzeichnungsverordnung6 geregelt. Nach dieser müssen Organisation und Beteiligungsstruktur, Geschäftsbeziehungen zwischen nahestehenden Personen, eine Funktions- und Risikoanalyse und eine Verrechnungspreisanalyse aufgezeichnet und dokumentiert werden7.
67
Ausnahmsweise ist die Dokumentation der Verrechnungspreise auch durch Vorlage vorhandener Unterlagen auf Anforderung des Finanzamts möglich, sofern das Unternehmen aus Leistungsbeziehungen mit nahestehenden Unternehmen Entgelte von nicht mehr als 500 000 Euro8 je Jahr erwirtschaftet9. Maßgeblich ist insoweit der insgesamt durch das in1 Dies ergibt sich aus H 36 KStR „Mündliche Vereinbarung“. 2 Gesetzliche Schriftformerfordernisse bestehen etwa bezüglich Grundstückskaufverträgen oder Anteilsübertragungen an GmbHs, regelmäßig sind jedoch Verträge über Dienstleistungen formfrei. 3 Vgl. Schaumburg, Internationales Steuerrecht, Rz. 18.134. 4 Wilk in HHR, § 8 KStG Rz. 132 „Indizwirkung des Fremdvergleichs“. 5 Schaumburg, Internationales Steuerrecht, Rz. 18.136. 6 Verordnung vom 13. November 2003 „zu Art, Inhalt und Umfang der Aufzeichnungen i.S.d. § 90 Abs. 3 der Abgabenordnung“ BGBl. III 2003, FNA 610-1-15. 7 § 4 Nr. 1 bis 4 GAufzV. 8 Sofern konzerninterne Lieferungen die Schwelle von 5 Mio. Euro überschreiten, führt dies ebenfalls zur Aufzeichnungspflicht. 9 Siehe § 6 Abs. 1 i.V.m. Abs. 2 GAufzV.
508
Knorr
II. Ertragsteuern und Betriebsttten
Rz. 69
Teil 6
ländische Unternehmen erzielte Umsatz aus solchen Geschäften im Konzern, nicht derjenige, welcher aus der konkreten Dienstleistung erwirtschaftet wird1. In allen anderen Fällen besteht die Pflicht zur umfassenden Dokumen- 68 tation der konzerninternen Leistungsbeziehungen und damit der konzernintern erbrachten Cloud-Services. Die Darstellung der Beteiligungsverhältnisse ist in der Praxis relativ leicht durch Vorlage von Organigrammen zu bewerkstelligen, die Erläuterung der jeweils bestehenden konzerninternen Leistungsbeziehungen sollte sich bestenfalls aus dem entsprechenden Vertrag ergeben. Die Funktions- und Risikoanalyse bedarf einer analytischen Betrachtung der unternehmensinternen Prozesse. Üblicherweise wird für eine konzerninterne Cloud-Dienstleistung die Funktion vollends beim konzerninternen Dienstleister liegen, die Risikoallokation hingegen schwankt in der Praxis erheblich. Hier spielt insbesondere eine Rolle, wer Ausfallzeitrisiken zu tragen hat und wer die Performance des Systems in welcher Weise zu gewährleisten hat. Bestenfalls ergeben sich diese Punkte aus den Service-Level-Agreements im Rahmen des Dienstleistungsvertrags. Vgl. dazu Teil 2 Rz. 196. Sollten, wie bei Cloud-Services üblich, Marktpreise für entsprechende Leistungen von dritter Seite bestehen und diese bekannt sein, so sollte es wohl genügen, wenn man diese Preise von Dritten aufzeichnet und aufbewahrt, um die Verrechnungspreisanalyse darzulegen. In einem solchen Fall hat der Steuerpflichtige die Marktpreise erhoben und dies dargelegt. Die Dokumentation ist bei erstmaliger Begründung solcher Leistungsbeziehungen innerhalb von sechs Monaten nach Abschluss des betreffenden Wirtschaftsjahres zu fertigen, sofern diese erhebliche Auswirkungen auf den Gewinn der Gesellschaft haben2. Andernfalls ist die Dokumentation binnen sechzig Tagen nach Aufforderung zur Vorlage, regelmäßig durch die Betriebsprüfung, vorzulegen. Unterlässt man die rechtzeitige Vorlage, so drohen empfindliche Sanktionen. So können Zuschläge zur Steuer wegen verspäteter Vorlage von bis zu 1 Million Euro erhoben werden, ggf. kann das Finanzamt auch zur Steuerschätzung befugt sein3. c) Empfehlung für die Praxis In der Praxis empfiehlt es sich, für konzerninterne Cloud-Services im 69 Voraus schriftlich einen den in diesem Buch beschriebenen Punkten gerecht werdenden Dienstleistungsvertrag abzuschließen. Vgl. dazu Teil 2 Rz. 132 ff. Zur Ermittlung der Preise sollte der Leistungsempfänger entsprechende Marktpreise erheben und aufzeichnen, sofern ihm dies mög-
1 Seer in Tipke/Kruse, § 90 AO Rz. 55. 2 Siehe § 3 GAufzV. 3 Vgl. § 162 Abs. 3, 4 AO. Knorr
509
Teil 6
Rz. 70
Steuerrecht
lich ist. Damit dürfte dann der wesentliche Teil der Verrechnungspreisdokumentation bereits gefertigt sein. Wo allerdings substantielle Dienstleistungen mit erheblichen Volumina getätigt werden, mag eine ausführlichere Dokumentation, insbesondere auch bezüglich der verschiedenen Leistungsbestandteile, angezeigt sein. Unseres Erachtens sollte dies jedoch aus kostenökonomischen Gründen erst dann erforderlich sein, wenn die Leistungsbeziehungen ein siebenstelliges Volumen erreichen.
III. Steuerliche Aufbewahrungspflichten 70
Ein aus steuerlicher Sicht besonders problematischer Cloud-Service ist die Verlagerung von Buchführungssystemen oder Teilen von diesen in die Cloud1. Neben den, insoweit relativ liberalen, handelsrechtlichen Vorschriften zu den Grundsätzen ordnungsmäßiger Buchführung enthält das Abgabenrecht weitere, spezifische Ordnungsvorschriften zur Buchführung für steuerliche Zwecke.
71
Insbesondere von Relevanz sind ferner die relativ weit gefassten handelsund steuerrechtlichen Aufbewahrungspflichten, die bei Cloud-basierten Archivierungslösungen zu beachten sind. So umfassen sie auch Geschäftsbriefe und für Steuerzwecke auch sonst steuerlich relevante Unterlagen. Insofern gehört zu den im Rahmen der Buchführung aufzubewahrenden Unterlagen mehr als das eigentliche Buchführungs- und Buchhaltungssystem. Auch allgemeine Korrespondenz unterliegt den Aufbewahrungsvorschriften, so dass ggf. auch die Umstellung von einer intern betriebenen E-Mail-Software auf einen E-Mail-Cloud-Service im Hinblick auf steuerliche Aufbewahrungspflichten zu beurteilen ist (dazu unten unter Rz. 83 f.).
72
Die meisten dieser Vorschriften sind gleichermaßen auf die Buchführung und Archivierung mittels proprietärer Systeme wie auf die Verwendung von Cloud-Services anzuwenden. Die Vorschrift des § 146 AO, welche den Standort der Buchführung regelt, bildet insofern praktisch eine Ausnahme, als sie bei Cloud-Systemen zu größeren Umsetzungsschwierigkeiten führt als bei proprietären Systemen.
73
Nach § 146 Abs. 2 AO ist die Buchführung grundsätzlich im Inland zu führen und dazugehörende Dokumente aufzubewahren (siehe Rz. 80 ff.). Dies gilt auch für die Daten der elektronisch geführten Bücher, so dass diese im Grunde ebenfalls im Inland zu führen und zu verwahren sind. Allerdings sieht § 146 Abs. 2a AO vor, dass dem Steuerpflichtigen auf schriftlichen Antrag gestattet werden kann, elektronische Bücher und Aufzeichnungen oder Teile davon im Ausland zu führen (dazu im Einzelnen Abschnitt 3. unten). 1 Vgl. schon Hilber/Knorr/Müller, CR 2011, 417 (419).
510
Knorr
III. Steuerliche Aufbewahrungspflichten
Rz. 76
Teil 6
Im Folgenden wird zunächst dargestellt, welche Formen der Aufzeichnung und Aufbewahrung zur Verfügung stehen (Abschnitt 1.). Sodann wird erläutert, welche Unterlagen einer Aufbewahrungspflicht unterliegen und wie die Aufbewahrung vonstattenzugehen hat und was bei der Aufbewahrung in der Cloud zu beachten ist (Abschnitt 2.). Da die Überführung der Aufbewahrung in die Cloud häufig einen Auslandsbezug hat und die Aufbewahrung im Ausland grundsätzlich nicht zulässig ist, werden sodann die Voraussetzungen dargestellt, unter denen ausnahmsweise eine Aufbewahrung im Ausland mit entsprechender Erlaubnis erfolgen kann (Abschnitt 3.). Zuletzt wird an einem Muster verdeutlicht, wie der Antrag für eine Aufbewahrung im Ausland aussehen kann (Anhang). 1. Einführung a) Konzepte zur Record Retention Man unterscheidet regelmäßig die physische Aufbewahrung von Unterla- 74 gen und die elektronische Aufbewahrung von Unterlagen, z.B. in der Cloud. Daneben gibt es Mischformen, bei denen etwa physisch vorhandene Unterlagen digitalisiert und dann elektronisch aufbewahrt werden oder elektronisch erstellte Unterlagen ausgedruckt und dann physisch aufbewahrt werden. Im Prinzip ist es Steuerpflichtigen freigestellt, ob sie ihre Aufzeichnungen 75 physisch oder elektronisch aufbewahren. Beide Formen der Buchführung stehen grundsätzlich gleichberechtigt nebeneinander1. Für Steuerzwecke ist es seit Einführung der E-Bilanz in § 5b EStG zwar erforderlich, bestimmte Teile der Buchführung elektronisch an die Finanzverwaltung zu übermitteln, ein Verbot der physischen Buchführung und Aufzeichnung ergibt sich hieraus jedoch nicht2. Handelsrechtlich bestimmt § 257 Abs. 3 Satz 2 HGB ausdrücklich, dass 76 auch elektronisch erstellte Unterlagen als Ausdrucke aufbewahrt werden können. Insofern ist handelsrechtlich eine elektronische Aufbewahrung auch dann nicht erforderlich, wenn software-gestützte Buchführungssysteme verwendet werden3. Im Bereich des Steuerrechts gilt dies nicht. Hier ist ausdrücklich angeordnet, dass originär digitale Unterlagen in maschinell verwertbarer Art und Weise aufzubewahren sind4. Insofern beschränkt der engere steuerliche Rahmen die Praxis in der Art und Weise, wie Unterlagen aufbewahrt werden, zumal elektronische Buchführungssysteme inzwischen nahezu ausnahmslos von allen bilanzierungspflichtigen Unternehmen eingesetzt werden.
1 Vgl. § 239 Abs. 4 HGB, ebenso Winkeljohann/Klein in BeBiKo, § 239 HGB Rz. 10. 2 Vgl. Hofmeister in Blümich, § 5b EStG Rz. 15. 3 Siehe § 257 Abs. 3 Satz 2 HGB. 4 Vgl. Winkeljohann/Philipps in BeBiKo, § 257 HGB Rz. 23. Knorr
511
Teil 6
77
Rz. 77
Steuerrecht
Allen Formen der Aufzeichnung und Aufbewahrung, also auch Cloud-basierten Lösungen, ist jedoch gemein, dass diese den Grundsätzen ordnungsmäßiger Buchführung nur genügen, soweit die aufbewahrten Daten und Unterlagen gegen Veränderung geschützt sind und sich jede Form der versuchten Veränderung nachvollziehen lässt. Bei physischen Unterlagen ist dies jedenfalls dann, wenn die Unterlagen in dokumentenechter Tinte ausgedruckt bzw. geschrieben sind, regelmäßig der Fall, bei elektronischen Aufzeichnungen, seien diese auf eigenen Systemen oder in der Cloud geführt, bedarf es zudem einer Sicherung der Unveränderlichkeit der Daten. Als Zwischenergebnis kann festgestellt werden, dass die Archivierung elektronischer Dokumente in der Cloud grundsätzlich möglich ist. b) Elektronische Aufzeichnungen
78
Für elektronische Aufzeichnungen, also z.B. solche, die in der Cloud gespeichert sind, gibt es spezielle Bilanzierungs- bzw. Buchführungsgrundsätze. Die im nationalen deutschen Recht zu findende Regelungsdichte ist sehr viel höher als der internationale Rechnungslegungsrahmen1. Art und Umfang der hierbei bestehenden Regelungen unterscheiden sich erheblich. Teilweise werden nur sehr weite Rahmenbedingungen vorgegeben, um dem schnellen Fluss der Technik die Ausgestaltung zu überlassen, teilweise erfolgen sehr engmaschige Regelungen, welche dann – gerade in Bezug auf neue Angebotsformen IT-gestützter Dienstleistungen wie der Cloud – Gefahr laufen, entweder technisch überholt zu sein oder der technisch möglichen Entwicklung im Wege zu stehen2. Im Bereich der internationalen Bilanzierung gibt es regelmäßig überhaupt keine Vorschriften zur Buchführung. Die entsprechenden Rahmenwerke der IFRS oder US-GAAP enthalten nur Vorgaben zur Aufstellung des Jahresabschlusses, nicht zur Buchführung3. Im Steuerrecht sind dies die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)4, welche ergänzt werden durch weitere Vorschriften zu den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GdPdU)5. Für den handelsrechtlichen Bilanzierungsbereich gibt es eine Vielzahl von Einzelverlautbarungen insbesondere des Instituts der Wirtschaftsprüfer, welche zwar keinen normsetzenden Charakter haben, jedoch die Praxis zur elektronischen Buchführung wesentlich prägen6.
1 Winnefeld, Rz. 1050. 2 So sind die Zugriffsformen, welche steuerlich in den GdPdU vorgegeben sind, in der Beschreibung der Zugriffsformen relativ offen gestaltet, konkrete Datenformate werden dort nicht vorgegeben. 3 So Winnefeld, Rz. 1050 f. 4 BMF-Schreiben v. 28.7.1995, BStBl. I 1995, 250 ff. 5 BMF-Schreiben v. 16.7.2001, BStBl. I 2001, 415 ff. 6 Vgl. etwa Fachausschussmitteilung in IDW Fachnachrichten 1996, 276, IDW RS FAIT 1 und 3.
512
Knorr
III. Steuerliche Aufbewahrungspflichten
Rz. 81
Teil 6
Wie jede Buchführung unterliegt auch die elektronische Buchführung in 79 der Cloud dem Belegprinzip, es gibt also grundsätzlich keine Buchung ohne Beleg1. Daneben sind alle Buchungen vollständig, richtig, zeitgerecht und geordnet vorzunehmen2. Bei elektronischen Buchführungsverfahren, z.B. in der Cloud, wird daneben regelmäßig die Implementierung eines internen Kontrollsystems erforderlich, welches gewährleistet, dass die Buchungen tatsächlich vollständig, richtig, zeitgerecht und geordnet erfolgen3. Sowohl nach den handelsrechtlichen Grundsätzen ordnungsmäßiger Buchführung als auch nach den steuerlichen Vorschriften der GoBS ist eine elektronische Aufzeichnung so durchzuführen, dass eine nachträgliche Änderung derselben nicht möglich ist4. Bezogen auf Cloud-Services bedeutet dies, dass auch bei der permanenten Umschichtung von Daten, welche diesen Services immanent ist, die eigentlichen Daten nicht verändert werden dürfen. Kann nicht lückenlos nachvollzogen werden, dass die Daten immer noch den ursprünglichen Buchungsdaten entsprechen, kann die Buchführung ggf. insgesamt verworfen werden, so dass das Finanzamt dann zur Steuerschätzung berechtigt wäre. 2. Aufbewahrungsvorschriften nach deutschem Recht Im deutschen Recht unterscheidet man zwischen den handels- und den 80 steuerlichen Aufbewahrungsvorschriften, welche allerdings in weiten Teilen übereinstimmen. a) Gegenstand der Aufbewahrungspflichten Nach § 257 Abs. 1 HGB erstreckt sich die Pflicht zur Aufbewahrung von 81 Buchführungsunterlagen auf Handelsbücher, Inventare, Jahresabschlüsse und vergleichbare Bilanzwerke, aber auch auf empfangene Handelsbriefe, Wiedergaben der abgesandten Handelsbriefe und Buchungsbelege. Steuerlich wird der Katalog der aufzubewahrenden Unterlagen noch um die Anlagen zu elektronischen Zollanmeldungen5 und sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind6, erweitert. Die nachfolgend aufgelisteten Unterlagen können dabei entweder beim Buchführungspflichtigen selbst auf eigenen Systemen oder unter Nutzung fremder Systemkapazitäten, etwa durch IaaS-Services aufbewahrt werden. Denkbar ist ferner die Aufbewahrung von Unterlagen durch im Wege des SaaS zur Verfügung gestellte Archivierungssysteme.
1 Winnefeld, Rz. A 403; Winkeljohann/Klein in BeBiKo, § 239 HGB Rz. 13. 2 So § 239 Abs. 2 HGB. 3 BMF-Schreiben v. 7.11.1995 zu den GoBS Abschnitt IV.; GoBS Abschnitt 4; Winkeljohann/Klein in BeBiKo, § 239 HGB Rz. 15. 4 Siehe § 239 Abs. 3 HGB. 5 Siehe § 147 Abs. 1 Nr. 4a AO. 6 So die generische Beschreibung in § 147 Abs. 1 Nr. 5 AO. Knorr
513
Teil 6
Rz. 82
Steuerrecht
aa) Bücher, Jahresabschlüsse u.Ä. 82
Den Kern der Buchführung bilden die Handelsbücher. Dies sind die Aufzeichnungen über jede einzelne Buchung. Sie sind insgesamt alle vollständig aufzubewahren, sowohl nach den handels- als auch nach den steuerrechtlichen Vorschriften. So sind Bücher auch dann insgesamt aufzubewahren, wenn einzelne Konten etwa keine steuerliche Relevanz haben1. Neben den eigentlichen Büchern sind auch Jahresabschlüsse, Einzel- und Konzernabschlüsse aufbewahrungspflichtig. Auch sind Inventare, Kontenpläne und andere Arbeits- und Organisationsunterlagen aufzubewahren2. Bei elektronischen Buchführungssystemen gehört zu den aufbewahrungspflichtigen Unterlagen der Buchführung auch die Dokumentation zum EDV-Buchführungssystem. Diese Dokumentation muss es einem sachverständigen Dritten in angemessener Zeit ermöglichen, den systematischen Ablauf der Buchungsprozesse im EDV-System nachzuvollziehen3. Entsprechend wird derjenige, welcher eine SaaS-Buchführungsanwendung nutzt, die Dokumentation zum EDV-Buchführungssystem als Gegenstand der zu überlassenden Unterlagen im Dienstleistungsvertrag mit dem Cloud-Anbieter festschreiben müssen. Andernfalls kann es sein, dass ihm die Vorlage der gesetzlich geforderten Unterlagen aufgrund der Nutzung von Cloud-Services nicht möglich ist. bb) Geschäftsbriefe
83
Sowohl Kopien ausgehender als auch eingehende Geschäftsbriefe sind aufzubewahren. Insgesamt soll die gesamte Korrespondenz einer Aufbewahrungspflicht unterfallen. Welche Form diese Korrespondenz hat, ist dabei unerheblich4. So unterfallen neben klassischen Briefen auch Telefaxe, Fernschreiben und E-Mails der Aufbewahrungspflicht5. Zu beachten ist jedoch, dass private Korrespondenz, die nicht im Zusammenhang mit dem Unternehmen steht, nicht aufbewahrt werden muss6.
84
Insbesondere die Verpflichtung, geschäftliche E-Mail-Korrespondenz aufzubewahren, hat erheblichen Einfluss auf die Inanspruchnahme von Cloud-Services. Einerseits wird die Aufbewahrungspflicht oft übersehen, andererseits ist gerade die im Datenvolumen stetig steigende Menge von E-Mails hervorragend geeignet, im Rahmen von Cloud-Services außerhalb der eigenen Systeme des Unternehmens gespeichert zu werden. 1 2 3 4 5
Vgl. Drüen in Tipke/Kruse, § 147 AO Rz. 4. Vgl. Winkeljohann/Philipps, § 257 HGB Rz. 13. Drüen in Tikpe/Kruse, § 147 AO Rz. 10, 11. Trzaskalik in HHSp, § 147 AO Rz. 24. Siehe Winkeljohann/Philipps in BeBiKo, § 257 HGB Rz. 18; Drüen in Tipke/Kruse, § 147 Rz. 17b. 6 Vgl. Sauer in Beermann/Gosch, § 147 Rz. 9.
514
Knorr
III. Steuerliche Aufbewahrungspflichten
Rz. 87
Teil 6
Dies gilt insbesondere für archivierte E-Mails. Wer solche Angebote nutzt, muss daher entweder sicherstellen, dass sein Dienstleister nur inländische Rechen- und Speicherkapazität zur Erfüllung seiner vertraglichen Pflichten nutzt, oder er muss eine Erlaubnis zur Aufbewahrung im Ausland nach § 146 AO erwirken (siehe zu den Voraussetzungen für die Erlaubnis unten Rz. 99 ff.). cc) Andere Aufzeichnungen Die übrigen aufzubewahrenden Aufzeichnungen bestehen somit aus den 85 Belegen, den Anlagen zu Zollanmeldungen und den sonstigen für die Besteuerung relevanten Unterlagen. Belege sind hierbei alle Unterlagen zu den jeweils durchgeführten Buchungen. So kommen etwa Rechnungen, Lieferscheine, Abgaben- und Steuerbescheide, Konnossemente, Lohnabrechnungen, Vertragsurkunden, Zahlungsanweisungen, Quittungen, Kontoauszüge, Wechsel und Schecks bzw. die hierüber bestehenden Unterlagen, Inventurlisten, Kassenauswertungen etc. in Betracht1. In Anbetracht des schon sehr weiten Begriffs der Belege ist der Begriff der 86 sonstigen Unterlagen als Auffangtatbestand zu verstehen. Der offene Begriff führt dazu, dass die Art der aufzubewahrenden Unterlagen einer gewissen Eingrenzung bedarf. Insofern wird zumeist vertreten, dass nur solche Unterlagen aufzubewahren sind, für die eine Aufzeichnungspflicht besteht2. Daneben sind nur solche Unterlagen aufzubewahren, welche für die Besteuerung relevante Inhalte haben. Dies wiederum können nur steuerlich relevante Tatsachen sein, so dass etwa Rechtsgutachten und andere Beratungsunterlagen, welche nur die Würdigung eines vorgegebenen Sachverhalts enthalten, nicht von der Aufbewahrungspflicht erfasst sind3. Regelmäßig können solche Belege bei Nutzung von elektronischen Buchführungslösungen in elektronischer Form, also als Scan-Kopien aufbewahrt werden. Wer jedoch die Daten in die Cloud und damit aus seinen Händen gibt, sollte zwingend sicherstellen, dass er diese jederzeit wieder erhalten kann. Andernfalls droht bei Vernichtung der physischen Belege ein erheblicher Steuerschaden, weil der Cloud-Nutzer etwa geltend gemachte Vorsteuer nicht mehr mit Rechnungen belegen kann und damit an das Finanzamt zurückzahlen muss. b) Ort der Aufbewahrung Im Handelsrecht ist zum Ort der Aufbewahrung keine Regelung getrof- 87 fen4. § 146 Abs. 2 Satz 1 AO bestimmt jedoch für Steuerzwecke, dass Bü1 Vgl. Drüen in Tipke/Kruse, § 147 AO Rz. 18. 2 Trzaskalik in HHSp, § 147 AO Rz. 25, Drüen in Tipke/Kruse, § 147 AO Rz. 23, ggf. weiter Sauer in Beermann/Gosch, § 147 Rz. 11. 3 Ebenso Drüen in Tipke/Kruse, § 147 AO Rz. 23. 4 Siehe Winkeljohann/Philipps in BeBiKo, § 257 HGB Rz. 18. Knorr
515
Teil 6
Rz. 88
Steuerrecht
cher und sonst erforderliche Aufzeichnungen im Inland zu führen und aufzubewahren sind. Daneben legt § 14b Abs. 2 UStG für inländische Unternehmer ebenfalls die Verpflichtung fest, Rechnungskopien im Inland aufzubewahren. Hierbei war lange umstritten, was denn der Ort der Aufbewahrung genau ist. Bei physischen Belegen ist klar, dass deren Aufbewahrungsort derjenige ist, an dem sie sich tatsächlich befinden. Für elektronische Daten ist dies nicht ohne weiteres klar. Zur Sicherheit wurde hier oftmals empfohlen, Spiegelserver im Inland zu unterhalten, was den mit der Auslagerung verbundenen Kosteneffekt konterkarieren würde1. Der Gesetzgeber hat hierzu klargestellt, dass Aufbewahrungsort der Ort ist, an welchem die betreffenden Daten gespeichert werden und dass dieser den Finanzbehörden gegenüber anzugeben ist2. Dies bedeutet bei proprietären Systemen, dass die Daten am Serverstandort aufbewahrt werden. Im Ergebnis ist dies eine sachgerechte Einordnung, wenngleich es in der Praxis kaum denkbar ist, dass Betriebsprüfer Daten unmittelbar am Server auslesen und nachverfolgen, wie die von ihnen am Terminal abgefragten Daten tatsächlich zu diesem Terminal gelangen. Eine Ausnahme mag insoweit bei Steuerfahndungsmaßnahmen bestehen, bei denen ein weitreichender Zugriff auch auf Server durchaus vorkommt. 88
Auch für die Aufbewahrung im Rahmen von Cloud-Services ergibt sich daraus, dass der Ort der Aufbewahrung im Inland befindlich sein muss. Bei Cloud-Services, die eine rein inländische Hardware-Infrastruktur nutzen (Deutschland-Cloud) ist dies unproblematisch der Fall. Häufig ist, vor allem im standardisierten Massengeschäft aus Kundensicht der Ort der Datenspeicherung nicht feststellbar. Bestenfalls lässt sich der Speicherort grob eingrenzen, etwa weil bestimmte Services nur auf bestimmte Serverfarmen zugreifen. In Fällen, in denen eine genauere Bezeichnung des Aufbewahrungsortes erforderlich ist, werden deshalb oftmals Private Clouds verwendet, also dedizierte Rechnerinfrastruktur, welche einem bestimmten Kunden zugewiesen ist.
89
Während der Dauer der Aufbewahrungspflichten muss jederzeit gewährleistet sein, dass elektronisch gespeicherte Daten in angemessener Frist (bzw. aus steuerlicher Sicht unverzüglich)3 lesbar gemacht werden können, entsprechend muss die Speicherung der Daten sicher und dauerhaft sein4. Die Dauerhaftigkeit der Datenaufzeichnung sollte hierbei nicht so zu verstehen sein, als müssten diese kontinuierlich auf demselben Speichermedium an derselben Stelle abgelegt sein. Dies würde nicht nur bei Cloud-Services, sondern bereits bei proprietären Speichersystemen zu Problemen führen, da schon eine Refraktionierung des Speichermediums 1 2 3 4
Vgl. hierzu von Freeden in Kilian/Heussen, Teil 9 IV.2. Rz. 40 f. In § 146 Abs. 2a Satz 2 Nr. 1 AO. Siehe hierzu Cöster in Pahlke/König, § 146 AO Rz. 44. Vgl. § 239 Abs. 4 Satz 2 HGB; ebenso Winkeljohann/Klein in BeBiKo, § 239 HGB Rz. 16.
516
Knorr
III. Steuerliche Aufbewahrungspflichten
Rz. 92
Teil 6
nicht erfolgen könnte. Zudem würde dies für die elektronisch verwahrten Daten eine weiterreichende Beschränkung bedeuten, als sie für die physisch aufbewahrten Belege gilt, da deren Lagerort jederzeit gewechselt werden kann. Umgekehrt muss aber sichergestellt sein, dass keine Daten im Rahmen der Umlagerung von einem Speicherort zu einem anderen verloren gehen oder verändert werden können. Dies dürfte auch bei der Nutzung von IaaS-Angeboten zur Speicherung bilanziell oder steuerlich relevanter Daten eine erfüllbare Voraussetzung sein. Dies spielt in der Praxis insbesondere bei Wechsel der Buchführungssys- 90 teme oder des Cloud-Anbieters eine wesentliche Rolle. Wird etwa der SaaS-Anbieter für Buchführungssysteme gewechselt, so müssen entweder die Daten migriert werden, oder es muss mit dem vorherigen SaaSAnbieter bezüglich der Altdaten bis zum Ablauf der hierfür geltenden Aufbewahrungsfristen weitergearbeitet werden. Sofern man eine Datenmigration vornimmt, muss auch hierbei sichergestellt sein, dass eine Veränderung der Daten zu keiner Zeit möglich ist und dass die geordnete Ablage der Daten bei der Migration nicht verletzt wird. aa) Inland Inland i.S.d. steuerlichen Bestimmungen zum Aufbewahrungsort ist da- 91 bei der räumliche Geltungsbereich der Abgabenordnung. Dieser ist zwar in der Abgabenordnung nicht ausdrücklich definiert, aus der Regelung des § 1 Abs. 1 Satz 2 AO, nach welcher das Gesetz nur auf diejenigen Steuern anzuwenden ist, welche von den Bundes- oder Landesfinanzbehörden verwaltet werden, ergibt sich aber, dass der Anwendungsbereich dem territorialen Hoheitsgebiet der Bundesrepublik Deutschland gleichkommt1. Entsprechend gehört auch der Bereich der Insel Helgoland und das Gebiet Büsingen zum Inland in diesem Sinne, auch wenn diese Gebiete umsatzsteuerlich nicht als Inland definiert sind2. bb) Ausland Im Umkehrschluss ist Ausland damit alles, was nicht Inland ist. Einen 92 Sonderfall bildet die Aufbewahrungspflicht nach § 14b Abs. 2 UStG. Hier wird im Rahmen der Aufbewahrungsvorschrift ausdrücklich klargestellt, dass die Aufbewahrung auch in den Gebieten erfolgen kann, welche umsatzsteuerlich nicht zum Inland zählen, völkerrechtlich jedoch Teil der Bundesrepublik Deutschland sind3. Die Aufbewahrung steuerlich relevanter Unterlagen außerhalb des völkerrechtlichen Staatsgebiets der Bundesrepublik Deutschland und damit im Ausland genügt den steuerli1 Vgl. Seer in Tikpe/Kruse, § 1 AO Rz. 5. 2 Seer in Tipke/Kruse, § 1 AO Rz. 6. 3 Dies sind Helgoland und das Gebiet Büsingen. Knorr
517
Teil 6
Rz. 93
Steuerrecht
chen Vorgaben regelmäßig nicht, sie bedarf im Einzelfall einer gesonderten Genehmigung (siehe hierzu unten Rz. 99 ff.). c) Dauer der Aufbewahrungspflichten 93
Handelsrechtlich und steuerlich bestehen zwei verschiedene Aufbewahrungsfristen. Die längere Frist von zehn Jahren gilt für Handelsbücher, Abschlüsse, Belege und im Steuerrecht auch für die Anlagen zur elektronischen Zollanmeldung1. Daneben gibt es eine kürzere sechsjährige Verjährungsfrist für die übrigen aufzubewahrenden Unterlagen. Dies sind die Handels- und Geschäftsbriefe, sowie im Steuerrecht zusätzlich die sonstigen Unterlagen, die für die Besteuerung von Bedeutung sind. Sofern aufzubewahrende Unterlagen unter mehrere Definitionen fallen, setzt sich die längere Aufbewahrungsfrist durch2. Die Aufbewahrungsfrist beginnt jeweils mit dem Ende des Kalenderjahres, in welchem die letzte Eintragung in das Buch oder das Inventarverzeichnis gemacht worden ist, bzw. mit Ende des Jahres, in dem Geschäftsbriefe versandt oder empfangen wurden. Insoweit besteht ein Gleichklang zwischen Handels- und Steuerrecht3. Der theoretische Gleichlauf der Fristen wird jedoch insoweit durchbrochen, als die steuerlichen Aufbewahrungsfristen nach § 147 Abs. 3 AO modifiziert werden. Danach soll die Aufbewahrungsfrist erst enden, wenn die Festsetzungsfrist für die Steuern abgelaufen sind, für welche die Unterlagen von Bedeutung sind. Dies kann insbesondere bei Steuerpflichtigen, welche der Betriebsprüfung unterliegen, oder welche finanzgerichtliche Streitverfahren führen, zu einer deutlich längeren Aufbewahrungspflicht führen und den Steuerpflichtigen mit komplexen Prüfungen belasten4. Wer seine Buchführungsunterlagen mittels eines Cloud-Services aufbewahrt, muss sicherstellen, dass ihm dieser Service für die gesamte Dauer der Aufbewahrungspflicht zur Verfügung steht oder aber durch eine geordnete Migration die pflichtgemäße Aufbewahrung der Daten auch nach Beendigung des Cloud-Vertrages ermöglicht. In Anbetracht der variablen steuerlichen Aufbewahrungspflichten ist dies durchaus schwierig. Bei Beendigung von Cloud-Dienstleistungen im Bezug auf aufbewahrungspflichtige Unterlagen ist die Übertragung der Daten entweder an den Nutzer zurück oder auf einen Nachfolger als Cloud-Service-Provider sicherzustellen. Dies muss regelmäßig bereits bei Vertragsabschluss bedacht und dort entsprechend geregelt werden (zu den Anforderungen an die Vertragsgestaltung in diesem Zusammenhang siehe Teil 2 Rz. 375 ff.).
1 Vgl. § 147 Abs. 3 Satz 1 AO; § 257 Abs. 4 HGB. 2 So Drüen in Tipke/Kruse, § 147 AO Rz. 22. 3 Entsprechend ist der Wortlaut von § 257 Abs. 5 HGB identisch mit dem des § 147 Abs. 4 AO. 4 Vgl. Drüen in Tipke/Kruse, § 147 AO Rz. 54 f.
518
Knorr
III. Steuerliche Aufbewahrungspflichten
Rz. 97
Teil 6
d) Rechtsfolgen bei Verletzung der Aufbewahrungspflichten Bei Verstößen gegen die Aufbewahrungspflicht kommen verschiedene 94 Sanktionen in Betracht. Einige der Sanktionen beziehen sich nur auf die steuerlichen Vorschriften, andere können auch bei Verletzung der handelsrechtlichen Vorschriften eingreifen. aa) Verwerfung der Buchführung Sofern die Verletzung der Buchführungspflichten so schwer wiegt, dass 95 ihre Beweiskraft fehlt, kann diese insgesamt verworfen werden, mit der Folge, dass das Finanzamt befugt ist, die Steuer nach § 162 AO zu schätzen1. Dies kann etwa dann in Betracht kommen, wenn die aufgezeichneten Daten nicht gegen Veränderung geschützt sind und sich Anhaltspunkte für eine tatsächliche Veränderung ergeben2. Auch wenn im Rahmen der Nutzung von SaaS-Buchführungsdiensten keine lückenlose Vollständigkeit der Buchführung sichergestellt ist und im Einzelfall Lücken zu vermuten sind, mag es zu Schätzungen kommen. Üblicherweise sind aber gerade spezialisierte Anbieter von SaaS-Lösungen im Stande, die Einhaltung der handels- und steuerrechtlichen Vorgaben zu dokumentieren und entsprechende Zertifizierungen vorzulegen. In diesen Fällen sollte eine Verwerfung der Buchführung wegen der Nutzung der SaaSDienstleistungen ausscheiden. bb) Weitere Sanktionen Verletzungen der Buchführungspflicht können zudem eine Ordnungs- 96 widrigkeit der Steuergefährdung nach § 379 AO begründen. Die Geldbuße hierfür kann bis zu 5000 Euro betragen. Auch weitergehende Steuerordnungswidrigkeiten oder Steuerstraftaten können mit Verletzungen der Buchführungspflicht einhergehen, insbesondere kann eine leichtfertige Steuerverkürzung nach § 378 AO gegeben sein, wenn ein Steuerpflichtiger Bücher leichtfertig nicht oder nicht ordnungsgemäß führt und so zu wenig Steuern zahlt. Eine besondere Sanktion ist das sog. Verzögerungsgeld nach § 146 Abs. 2b 97 AO. War zunächst umstritten, ob es sich hierbei um ein besonderes Zwangsgeld oder eine eigenständige Sanktion handelt, so dürfte dies spätestens seit den Beschlüssen des BFH vom 16. Juni 20113 und vom 28. Juni 20114 geklärt sein. Hierin hat der Bundesfinanzhof jeweils entschieden, dass es sich beim Verzögerungsgeld nicht um ein Zwangsgeld handelt und somit die wiederholte Festsetzung wegen desselben Versto1 Winkeljohann/Klein in BeBiKo, § 238 HGB Rz. 57. 2 Dies ist etwa der Fall, wenn Richtsätze für vergleichbare Unternehmen und deren Kennzahlen erheblich von denjenigen des Steuerpflichtigen abweichen und eine Veränderung der Daten nicht ausgeschlossen werden kann. 3 BStBl. II 2011, 855. 4 BFH/NV 2011, 1833. Knorr
519
Teil 6
Rz. 98
Steuerrecht
ßes nicht möglich ist. Umgekehrt entnimmt die Finanzverwaltung den Entscheidungen die Folge, dass ein festgesetztes Verzögerungsgeld auch dann beizutreiben ist, wenn nach der Festsetzung die entsprechende Maßnahme vom Steuerpflichtigen erfüllt wurde. Das Verzögerungsgeld beträgt zwischen 2500 und 250 000 Euro. Es wird dann festgesetzt, wenn ein Steuerpflichtiger dem Verlangen auf Vorlage von Unterlagen nicht fristgemäß nachkommt, oder wenn er ohne Bewilligung der Finanzbehörden seine Buchführung ins Ausland verlagert hat. Letzteres bedeutet, dass die Verlagerung der Buchführung etwa auf Cloud-Infrastruktur nur nach vorheriger Erlaubniseinholung erfolgen sollte. 98
Neben den steuerlichen Sanktionen bestehen auch wegen Verletzung der handelsrechtlichen Aufbewahrungspflichten Sanktionen. Einerseits kann bei prüfungspflichtigen Unternehmen bzw. freiwillig geprüften Unternehmen der Abschlussprüfer das Testat einschränken oder versagen, andererseits droht schlimmstenfalls auch eine strafrechtliche Sanktion nach den §§ 283, 283b StGB. Voraussetzung für eine Bestrafung nach diesen Vorschriften ist allerdings die Einstellung der Zahlungen durch den Schuldner oder die Eröffnung eines Insolvenzverfahrens oder dessen Ablehnung mangels Masse1. Zuletzt sei erwähnt, dass die Finanzverwaltung die Rückverlagerung einer ins Ausland verlagerten Buchführung verlangen kann, was nicht unmittelbar als Sanktion fungiert, für den Steuerpflichtigen jedoch mit massiven wirtschaftlichen Folgen einhergeht und daher durchaus einen sanktionierenden Charakter hat (vgl. dazu im Einzelnen unten Rz. 111 ff.). 3. Erlaubnis für die Aufbewahrung außerhalb Deutschlands
99
Wer Teile seiner steuerlich oder handelsrechtlich geschuldeten Aufzeichnungen außerhalb der Bundesrepublik verarbeiten oder aufbewahren möchte, was gerade bei Nutzung der Cloud der Fall sein wird, darf dies, wie oben dargestellt, nur dann, wenn er ausnahmsweise im Einzelfall hierzu die erforderliche Genehmigung nach § 146 Abs. 2a AO erhalten hat. Die generellen Voraussetzungen für die Erteilung dieser Genehmigung sind nachfolgend unter Buchst. a) dargestellt. Unter Buchst. b) werden die Besonderheiten für Cloud-basierte Aufbewahrungslösungen erörtert. Die drohende Konsequenz der Rückverlagerung wird in Buchst. c) behandelt. a) Buchführungsverlagerung
100
Die Verlagerung der Buchführung ins Ausland ist gesetzlich seit 2008 geregelt. Zuvor wurden vereinzelt unter einer allgemeinen Billigkeitsnorm „Erleichterungen der Buchführungs-, Aufzeichnungs- oder Aufbewah1 Siehe §§ 283 Abs. 6, 283b Abs. 3 StGB.
520
Knorr
III. Steuerliche Aufbewahrungspflichten
Rz. 102
Teil 6
rungsvorschriften“ gewährt, allerdings fehlte ein verbindlicher Rahmen hierfür. Dabei bestand weitgehend Einigkeit darin, dass das Verbot der Inanspruchnahme ausländischer Dienstleister für die Buchführung einen Verstoß gegen die Dienstleistungsfreiheit unter dem EU-Vertrag darstellt1. Die EU-rechtlichen Bedenken gegen das vollständige Verbot der Buchführungsverlagerung ins Ausland bewegten den Gesetzgeber, eine neue Vorschrift einzuführen, nach welcher die Verlagerung ins Ausland auf Antrag genehmigt werden kann. Voraussetzung für die Genehmigung nach § 146 Abs. 2a AO sind die Angabe des Serverstandortes, ein bislang redliches Verhalten des Steuerpflichtigen, eine kontinuierliche Datenzugriffsmöglichkeit für die Steuerbehörden und das Nichtvorliegen einer Gefährdung der Besteuerung. Eine etwas komplexere Regelung bestand kurzzeitig von 2008 bis 2010, diese ist jedoch inzwischen überholt. Mit der Neuregelung ist es jedem Steuerpflichtigen möglich, bei Bedarf eine Verlagerung seiner Buchführung zu beantragen. Der Antrag ist formfrei, ein Muster findet sich nachfolgend unter Rz. 112. b) Besonderheiten bei Nutzung von SaaS-, PaaS- und IaaS-Dienstleistungen Die Nutzung von fremder Infrastruktur bereitet bei der Beantragung ei- 101 ner Bewilligung zur Buchführungsverlagerung gewisse Probleme. Schon bei der Nutzung fremder, jedoch individuell zugewiesener Infrastruktur fehlen dem Nutzer oft wesentliche Informationen über deren Zusammensetzung und Standort. Wird stattdessen ein Cloud-Service genutzt, ist die Bestimmung eines Standortes der Infrastruktur oft gänzlich unmöglich. Auch wird der Service-Provider ggf. nicht preisgeben, wie und nach welchen Kriterien Daten einem bestimmten Speicher in der Cloud zugewiesen werden und wie lange sie dort verbleiben werden, bevor sie ggf. andernorts abgelegt werden. Wie bereits angesprochen erfasst die Vorschrift des § 146 AO, nach der Aufzeichnungen im Inland zu führen sind, auch die Verlagerung von E-Mail-Daten in die Cloud. Daher ist auch im Falle der Archivierung von E-Mails in der Cloud eine Erlaubnis erforderlich, da die E-Mails grundsätzlich als Geschäftsbriefe einer Aufbewahrungspflicht im Inland unterliegen2. Ausnahmsweise kann auf die Erlaubnis verzichtet werden, wenn feststeht, dass das betreffende E-Mail-Archiv nur auf inländische Rechner- und Speicherkapazität zurückgreifen wird. aa) Systematische Unterschiede zur proprietären Auslagerung Die Vorschriften zur Auslagerung der Buchführung sind originär für die 102 Auslagerung auf eigene Systeme im Ausland konzipiert. Die Idee eines 1 Vgl. Drüen in Tipke/Kruse, § 146 AO Rz. 31a; a.A. allerdings Sauer in Beermann/Gosch, § 146 Rz. 51.2 ff. 2 Vgl. § 146 Abs. 2 AO i.V.m. § 147 Abs. 1 Nr. 2 und 3 AO. Knorr
521
Teil 6
Rz. 103
Steuerrecht
fluktuierenden Datenvolumens auf fluktuierenden Speichern mit fluktuierender Rechenleistung ist in der Konzeption des Abgabenrechts nicht berücksichtigt worden. Insofern ergeben sich besondere Probleme dort, wo das Recht gerade auf die physischen Gegebenheiten der Auslagerung referenziert. (1) Ort der Aufbewahrung 103
Der wesentliche Unterschied zwischen der Verlagerung einer Buchführung auf ein proprietäres System im Ausland und der Verlagerung der Buchführung in die Cloud liegt im Ort der Aufbewahrung. Dieser ist bei proprietären Systemen fest lokalisiert oder jedenfalls genau eingrenzbar. Auch bei Cloud-Lösungen kann der Speicherort eingegrenzt und im Vertrag konkret festgelegt werden. Gleichzeitig haben Cloud Systeme aber die Eigenart, dass virtuelle Servereinheiten genutzt werden, die von der Hardwareinfrastruktur unabhängig sind. Daher wollen Anbieter, insbesondere die besonders preisgünstigen, sich häufig nicht festlegen, was den Speicherort angeht. Teilweise ist ihnen dieser sogar selbst unbekannt, etwa weil sie ihrerseits Subunternehmer einsetzen um Infrastrukturleistungen zu beschaffen. In diesen Fällen fehlt bei Cloud-Services naturgemäß gerade die Eingrenzbarkeit und die genaue Festlegung eines bestimmten, konkret benannten Speicherortes. Sofern die Buchführung also ohne Genehmigung verlagert werden soll, stehen insbesondere Private oder Community Cloud-Angebote zur Verfügung, bei denen dem Nutzer zugesagt wird, dass seine Daten auf einer bestimmten Infrastruktur im Inland gespeichert werden. Die Daten befinden sich dann zwar nicht auf dem Rechner des Kunden selbst, jedoch kann er gegenüber den Behörden angeben, wo die Daten verwahrt werden und darlegen, dass dies im Inland erfolgt. Gegebenenfalls sollte es jedoch auch ausreichen, wenn benannt werden kann, wer der Cloud-Service-Provider ist und wo er seine Server unterhält. Auch wenn dies mehrere Orte sind, so ist damit die nach § 146 Abs. 2a AO geforderte Information angegeben worden. Da das Besteuerungsinteresse an den ohnehin sicherzustellenden Datenzugriff anknüpft und über diesen sichergestellt ist, sollte eine solche Angabe mehrerer Standorte zulässig sein und einer Erlaubnis nicht entgegenstehen. (2) Zugriffsmöglichkeiten
104
Nach den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GdPdU)1 ist bei digitaler Archivierung von Buchführungsunterlagen der elektronische Zugriff auf die archivierten Daten sicherzustellen.
1 BMF-Schreiben v. 16.7.2001, BStBl. I 2001, 415 ff.
522
Knorr
III. Steuerliche Aufbewahrungspflichten
Rz. 107
Teil 6
Grundsätzlich kennen die GdPdU drei verschiedene Formen des Zugriffs auf die Daten des Steuerpflichtigen. Dies ist entweder ein direkter Zugriff auf die Daten des Steuerpflichtigen, andererseits die Beauftragung des Steuerpflichtigen, für die Finanzbehörden bestimmte Auswertungen der Daten vorzunehmen und diese bereitzustellen und zuletzt die Überlassung der Daten auf einem physischen Datenträger1. Cloud-Services sind grundsätzlich mit allen Formen des Datenzugriffs 105 vereinbar. SaaS-Dienste zeichnen sich gerade dadurch aus, dass ein Zugriff jederzeit von jedem an das Internet angeschlossenen Rechner möglich ist, somit auch der Steuerverwaltung. Dies gilt vor allem dann, wenn die Nutzung des Dienstes nicht mittels eines vom Anbieter zur Verfügung gestellten proprietären Clients erfolgt, sondern der Internetbrowser zum Zugriff verwendet wird. Es obliegt jedoch in jedem Fall dem Steuerpflichtigen, also dem Cloud-Kunden, die Zugriffsrechte des Betriebsprüfers auf diejenigen Daten zu beschränken, welche für die Besteuerung relevant sind und für welche eine Aufzeichnungspflicht besteht. Kann etwa ein SaaS-Service entsprechende Rechtebeschränkungen nicht abbilden, muss der Steuerpflichtige damit umgehen, dass der Betriebsprüfer mehr Informationen erhält, als ihm zustehen. Ein Grund, den Zugang zu verweigern oder auf andere Zugangsformen (z.B. die Überlassung eines Datenträgers) zu verweisen, besteht hierin nicht. bb) Rechtliche Anforderungen Die rechtlichen Anforderungen an die Beantragung einer Erlaubnis zur 106 Verlagerung von Buchführungsdaten in die – im Ausland befindliche Hardwareressourcen nutzende – Cloud sind relativ übersichtlich. Einerseits bedarf es eines formlosen Antrags, andererseits muss ein Datenzugriff der Finanzverwaltung jederzeit gewährleistet sein. Wenn der Steuerpflichtige ansonsten seine Pflichten regelmäßig ordentlich erfüllt hat, steht der Genehmigung nicht mehr viel im Wege. (1) Antrag nach § 146 Abgabenordnung Die Verlagerung der Buchführung ins Ausland ist nur bei Vorliegen einer 107 entsprechenden Erlaubnis zulässig. Diese Erlaubnis kann dem Steuerpflichtigen auf Antrag erteilt werden, wenn er den oder die Standort(e) der Datenverarbeitungssysteme benennt, sich bislang steuerlich ordnungsgemäß verhalten hat, jederzeitiger Datenzugriff möglich ist und die Besteuerung hierdurch nicht gefährdet ist. Einzelheiten zur Stellung des
1 Das BMF-Schreiben unterscheidet hier zwischen dem unmittelbaren Zugriff „Z 1“, dem mittelbaren Zugriff „Z 2“ und der Überlassung der Daten auf Datenträger „Z 3“. Knorr
523
Teil 6
Rz. 108
Steuerrecht
formfreien Antrages haben einzelne Finanzbehörden in Rundschreiben erläutert1. Im Rahmen des Antrags ist insbesondere eine ausführliche Beschreibung der geplanten Verlagerung der Buchführung unter Erläuterung der Abläufe erforderlich. Im Rahmen der Erläuterung, welche Bearbeitungsgänge oder Aufbewahrung künftig im Ausland erfolgen soll, ist auch die Darstellung der im Inland verbleibenden Bereiche geboten2. 108
Der Antrag ist an die zuständige Finanzbehörde zu richten. Sind verschiedene Finanzbehörden für verschiedene Steuerarten zuständig (z.B. Zollverwaltung für Zoll und örtliches Finanzamt für Ertragsteuern), kann jede Behörde nur für ihre Steuerart eine Erlaubnis nach § 146 Abs. 2a AO erteilen. Die Zuständigkeit der betreffenden Behörde ergibt sich jeweils aus den allgemeinen Vorschriften des Abgabenrechts3.
109
Da die Möglichkeit, eine Genehmigung nach § 146 AO zu erhalten, erst seit 2008 besteht, gibt es Fälle, in denen unter Berufung auf die EURechtswidrigkeit der vorherigen Rechtslage Teile der Buchführung bereits ins Ausland verlagert wurden. Ob diese durch nachträgliche Beantragung der Erlaubnis heilbar sind, ist fraglich. Problematisch ist, dass in diesen Fällen die Wohlverhaltensvoraussetzungen für die Bewilligung der Buchführungsverlagerung möglicherweise nicht erfüllt sind. Für Anträge, die relativ zeitnah nach Änderung der Rechtslage gestellt wurden, sollte dies der Bewilligung unseres Erachtens jedoch nicht entgegenstehen. (2) Gewährleistung von Erreichbarkeit und Zugriff
110
Die Erreichbarkeit der Daten muss auch bei Auslagerung ins Ausland jederzeit gewährleistet werden. Hierbei ist einerseits der Zugriff nach den GdPdU zu beachten, andererseits fordern die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS), dass die Daten jederzeit unverzüglich ausgelesen werden können. Auch die künftige Erreichbarkeit der Daten und die hierfür getroffenen Vorkehrungen sind im Antrag auf die Bewilligung nach § 146 Abs. 2a AO genauer darzulegen. Im Rahmen einer auf einen solchen Antrag erteilten Erlaubnis ist dann auch die Nutzung von (teilweise oder vollständig) ausländischen CloudServices für Buchführung, Geschäftsbriefe oder Geschäfts-E-Mails zulässig.
1 Vgl. Schreiben des Finanzministeriums Schleswig-Holstein v. 1.3.2012, DB 2012, 1839; Bayerisches Landesamt für Steuern v. 16.9.2010, IStR 2010, 851. 2 So FM Schleswig-Holstein v. 1.3.2012, DB 2012, 1839, II. 2. 3 Insbes. §§ 16 und 17 AO.
524
Knorr
III. Steuerliche Aufbewahrungspflichten
Rz. 112
Teil 6
c) Rückverlagerung Ein besonderes Instrumentarium für die Finanzverwaltung bei Buchfüh- 111 rungsverlagerungen besteht im sog. Rückverlagerungsverlangen. Nach § 146 Abs. 2a AO muss die Finanzverwaltung die Rückverlagerung der Buchführung ins Inland verlangen, wenn ihr Umstände bekannt werden, die zu einer Beeinträchtigung der Besteuerung führen. Nutzt ein Unternehmen also zur Buchführung mit behördlicher Genehmigung eine im Ausland betriebene SaaS-Lösung einschließlich Datenspeicherung, ist dieser Vertrag zu kündigen und die Daten sind im Inland mit einer (proprietären oder Cloud-basierten Lösung) zu verarbeiten. In Anbetracht des erheblichen Aufwandes, den die Verlagerung der Buchführung in die auf ausländischen Ressourcen basierende Cloud-Lösung mit sich bringt, führt ein Rückverlagerungsverlangen zu erheblichen frustrierten Kosten für den Betroffenen. Zudem ist oftmals die Infrastruktur für die Buchführung vor Ort nicht mehr vorhanden, so dass die Rückverlagerung weitere Anstrengungen und Investitionen erfordert. Der Schaden eines solchen Verlangens ist daher weitaus höher als der Verlust der über die Verlagerung erhofften Synergien. Dies führt umgekehrt dazu, dass die Rückverlagerung nur verlangt werden kann (und muss), wenn die Umstände, wegen der eine Rückverlagerung in Betracht gezogen wird, tatsächlich die Steuer gefährden. Aus Sinn und Zweck der Vorschrift wird oftmals zutreffend geschlossen, dass eine Rückverlagerung nur dann in Betracht kommt, wenn ein Zusammenhang mit der Verlagerung der Buchführung ins Ausland und der Gefährdung der Besteuerung besteht. Entsprechend muss ein etwa aufgetretener Fehler über das hinausgehen, was ohnehin bei Buchführung im Inland geschehen wäre1. Dies ist etwa dann der Fall, wenn erkennbar im deutschen Recht unkundiges Personal im Ausland die Buchführung erledigt und hierbei das geltende Recht in einer Art und Weise verkennt, die bei einer inländischen Buchführung nicht zu erwarten ist. Umgekehrt wird nicht jedes Mehrergebnis in der Betriebsprüfung ein Rückverlagerungsverlangen rechtfertigen. Anhang: Muster für einen Antrag nach § 146 AO
112
[Briefkopf des Antragstellers] An das Finanzamt […] Ort, Datum Steuernummer: […]
1 Vgl. Drüen in Tipke/Kruse, § 146 AO Rz. 47b und 47c. Knorr
525
Teil 6
Rz. 112
Steuerrecht
Fhrung und Aufbewahrung elektronischer Bcher und sonstiger Aufzeichnungen im Ausland Sehr geehrte Damen und Herren, hiermit beantragen wir die Zustimmung, elektronische Bcher und sonstige erforderliche elektronische Aufzeichnungen außerhalb Deutschlands zu fhren und aufzubewahren (§ 146 Abs. 2a AO). [Alternativ, sollte bereits ein Antrag gestellt und bewilligt worden sein: im Hinblick auf die uns erteilte Bewilligung zur Fhrung und Aufbewahrung elektronischer Bcher und sonstiger elektronischer Aufzeichnungen im Ausland nach § 146 Abs. 2a AO vom [… DATUM] (siehe Anlage) teilen wir Ihnen mit, dass sich die Ihnen benannten Umstnde wie nachfolgend beschrieben ndern. Sollten Sie der Auffassung sein, dass die beschriebenen Umstnde einer ergnzenden Bewilligung nach § 146 Abs. 2a AO bedrfen, wird hiermit der Antrag gestellt, die Fhrung und Aufbewahrung elektronischer Bcher und Aufzeichnungen auf Grundlage der Regelung in § 146 Abs. 2a Satz 1 AO ergnzend zu genehmigen.] Allgemeine Informationen Antragstellerin ist […], Steuernummer […]. Art und Umfang [Ausfhrliche Beschreibung der geplanten Buchfhrungsverlagerung unter Benennung der zu verlagernden Buchfhrungsteile etc., vgl. dazu oben Rz. 107 ff.] Vorliegen der Voraussetzungen, § 146 Abs. 2a Satz 2 AO Standort des Datenverarbeitungssystems und Name und Anschrift des beauftragten Dritten (§ 146 Abs. 2a Satz 2 Nr. 1 AO) [Aufzhlung der Standorte der physischen Datenverarbeitungssysteme und der Server bzw. der verwendeten Cloud-Farms des Cloud-Service-Providers] Ordnungsgemße Erfllung der sich aus den §§ 90, 93, 97, 140 bis 147 und 200 Abs. 1 und 2 AO ergebenden Pflichten (§ 146 Abs. 2a Satz 2 Nr. 2 AO) Wir haben unsere sich aus §§ 90, 93, 97, 140 bis 147 und 200 Abs. 1 und 2 AO ergebenden Pflichten stets ordnungsgemß erfllt. Mçglichkeit eines Datenzugriffs nach § 147 Abs. 6 AO (§ 146 Abs. 2a Satz 2 Nr. 3 AO) Ein elektronischer Zugriff auf die auf den Servern der […] fr Zwecke der elektronischen Buchhaltung gespeicherten Daten wird fr uns eingerichtet. Auf diese elektronischen Daten bzw. elektronischen Aufzeichnungen kann damit stets zugegriffen werden. Die Grundstze zum Datenzugriff und zur Prfbarkeit digitaler Unterlagen (GdPdU) i.S.d. BMF- Schreiben vom 16.7.2001 – IV D 2 - S 0316 - 136/01, BStBl. I 2001, 415) werden damit jederzeit eingehalten. Ein Datenzugriff i.S.d. § 147 Abs. 6 AO ist somit gewhrleistet.
526
Knorr
IV. Umsatzsteuer
Rz. 115
Teil 6
Keine Beeintrchtigung der Besteuerung (§ 146 Abs. 2a Satz 2 Nr. 4 AO) Eine Beeintrchtigung der Besteuerung ist durch die Fhrung und Aufbewahrung der elektronischen Bcher und sonstigen erforderlichen elektronischen Aufzeichnungen außerhalb Deutschlands nicht zu erwarten. [… Nur im Falle des erstmaligen Antrags:] Wir bitten daher, dem Antrag auf Grundlage der derzeitigen Regelung in § 146 Abs. 2a Satz 1 AO zuzustimmen. [Unterschrift]
IV. Umsatzsteuer 1. Allgemeines zur Umsatzsteuer Beim Anbieten und Nutzen von Cloud-Services ist auch umsatzsteuer- 113 lich einiges zu beachten. Das Umsatzsteuerrecht unterscheidet zwischen Lieferungen und sonstigen Leistungen. Die Abgrenzung ist maßgeblich für die Beantwortung der Frage, wie der Leistungsort und damit das anwendbare Recht bestimmt werden. a) Abgrenzung zwischen Lieferung und Leistung Cloud-Services stellen regelmäßig sonstige Leistungen dar. Lieferungen 114 werden umsatzsteuerlich hingegen nur bewirkt, wenn der Lieferer seinem Abnehmer ermöglicht, über einen Gegenstand zu verfügen1. Hierdurch setzt Deutschland die europarechtlichen Vorgaben der Mehrwertsteuersystemrichtlinie2 um. In der Richtlinie heißt es: „Als „Lieferung von Gegenständen“ gilt die Übertragung der Befähigung über einen körperlichen Gegenstand zu verfügen“3. Da es auf die körperliche Verfügungsmacht über Gegenstände ankommt, dürfte eine Lieferung bei Cloud-Services ausscheiden. Dies wird auch bei Bereitstellung von Infrastrukturleistungen aus Private Clouds gelten, da die Infrastruktur nicht in die Verfügungsmacht des Nutzers gelangt, sondern beim Cloud-Anbieter verbleibt und nur durch den Nutzer genutzt werden kann. Enthält ein Vertrag ausnahmsweise sowohl Elemente einer Lieferung als 115 auch solche einer sonstigen Leistung, so ist nach dem prägenden Charakter des Leistungsgegenstandes zu unterscheiden, ob eine Lieferung oder eine sonstige Leistung vorliegt4. Insofern kann Computerhardware im umsatzsteuerlichen Sinne geliefert werden, auch wenn ein Teil der Leistung in der Bestimmung der optimalen Architektur der Hardware liegt. Bei Software wird dagegen üblicherweise eine sonstige Leistung vorlie1 2 3 4
Sölch/Ringleb, § 3 UStG Rz. 41. Richtlinie v. 28.11.2006 (2006/112/EG). Art. 14 Abs. 1 der Richtlinie v. 28.11.2006 (2006/112/EG). Siehe Stadie, § 3 UStG Rz. 205. Knorr
527
Teil 6
Rz. 116
Steuerrecht
gen, da hier üblicherweise die Rechteüberlassung den Charakter des Geschäfts prägt1. Ausnahmsweise vertritt der Bundesfinanzhof die Ansicht, dass bei Überlassung von Standardsoftware auf Datenträgern keine sonstige Leistung (Rechteüberlassung), sondern eine Lieferung gegeben sei2. 116
Bei SaaS erfolgt aber gerade keine physische Überlassung von Datenträgern, sondern eine Bereitstellung von Software zur Nutzung. Auch die sonstige Lieferung per Download wird regelmäßig3 nicht als Lieferung beurteilt4. Insofern handelt es sich bei der Bereitstellung von Software im Rahmen von SaaS um sonstige Leistungen5. Das gleiche gilt für die Bereitstellung von Softwareplattformen im Rahmen von PaaS.
117
Insgesamt stellen sonstige Leistungen daher den Regelfall beim Cloud Computing dar. Lediglich zusätzliche, aus Anlass des Cloud Computing angebotene Lieferungen mögen bisweilen in Betracht kommen. So bieten SaaS-Anbieter im Bereich der digitalen Archivierung von Daten ihren Kunden bisweilen die zusätzliche Lieferung der Daten entweder auf Datenträgern oder in ausgedruckter Form an. Bei Lieferung der Daten auf Datenträgern dürfte jedoch, anders als im Falle der Standardsoftware, nicht die physische Lieferung des Datenträgers im Vordergrund der Leistung stehen, sondern das Zusammenführen der gesamten Daten des Nutzers und deren Übermittlung, welche dann in physischer Form erfolgt. Daher dürfte auch hier regelmäßig die sonstige Leistung Datenverarbeitung die damit einhergehende Lieferung überlagern. b) Ermittlung der Steuerbarkeit und Steuerfreiheit
118
Grundsätzlich sind alle Lieferungen und sonstigen Leistungen, die ein Unternehmer im Rahmen seines Unternehmens tätigt, umsatzsteuerbar6. Allerdings nimmt § 1 Abs. 1a UStG sog. Geschäftsveräußerungen insgesamt von der Steuerbarkeit aus. Solche nicht steuerbaren Geschäftsveräußerungen liegen immer dann vor, wenn ein Unternehmen oder ein gesondert geführter Betrieb im Ganzen veräußert wird7. Insbesondere die Frage, wann ein gesondert geführter Betrieb vorliegt, dessen Veräußerung nicht steuerbar ist, mag im Einzelfall schwer zu beantworten sein. Maßgeblich ist jedenfalls, dass der übertragene Teilbetrieb einen für sich lebensfähigen Organismus bildet8.
1 Vgl. Martin in Sölch/Ringleb, § 3 UStG Rz. 55. 2 BFH v. 13.3.1997, BStBl. II 1997, 372, ebenso Stadie, § 3 UStG Rz. 157. 3 Lüdemann vertritt in einem Aufsatz (UR 2000, 497 ff., 498) die Auffassung, auch die elektronische Lieferung von Standardsoftware sei umsatzsteuerlich als Lieferung zu behandeln. 4 Vgl. Sölch/Ringleb, § 3 UStG Rz. 55. 5 So auch Sinewe/Frase, BB 2011, 2198 (2201). 6 So § 1 Abs. 1 Nr. 1 UStG. 7 Stadie, § 1 UStG Rz. 125. 8 So Stadie, § 1 UStG Rz. 132.
528
Knorr
IV. Umsatzsteuer
Rz. 122
Teil 6
Im Rahmen von Cloud-Services ist eine nicht steuerbare Geschäftsver- 119 äußerung im Ganzen daher nur dann von Bedeutung, wenn ein CloudAnbieter sein Geschäft oder einen Teil davon veräußert. Bei Veräußerung des ganzen Geschäfts ist die Nichtsteuerbarkeit evident, wird dagegen nur ein Teilgeschäft veräußert, hängt es maßgeblich von den Umständen des Einzelfalls ab, ob eine hinreichende Selbständigkeit dieses Teilgeschäfts angenommen werden kann. Insbesondere Serverfarmen und andere Infrastruktur müssen gerade dem zu veräußernden Geschäft zuzuweisen sein, was in der Praxis oftmals schwer sein wird. Dort, wo verschiedene Teilgeschäfte sich Ressourcen teilen, scheidet eine Geschäftsveräußerung im Ganzen in aller Regel aus1. Eine steuerbare Leistung kann ggf. noch steuerfrei sein. Die einzelnen 120 Steuerbefreiungen für Leistungen sind in § 4 UStG aufgezählt, wobei für Cloud-Services allenfalls diskutiert werden mag, ob reine IaaS-Dienstleistungen als Vermietung von Grundstücken oder grundstücksgleichen Rechten angesehen werden können. Dies dürfte in der Praxis jedoch ausscheiden, zumal dem Angebot von Cloud-Services inhärent ist, dass sich diese nicht auf einen bestimmten, genau feststehenden Raum beziehen. c) Anwendbares Recht Von besonderer Relevanz für die Besteuerung von Cloud-Services ist die 121 Frage, welches Recht auf die Umsatzversteuerung anwendbar ist. Sie richtet sich innerhalb der EU nach dem Leistungsort. Leistungen unterliegen regelmäßig dem Umsatzsteuerrecht des Staates, in dem der Leistungsort liegt2. Bei grenzüberschreitenden Leistungen aus Ländern außerhalb der EU, fällt deutsche (Einfuhr-)Umsatzsteuer an. In diesen Fällen kann es allerdings vorkommen, dass auch eine Umsatzsteuer oder sonstige indirekte Steuer aus dem Staat, aus welchem die Leistung bezogen wird, anfällt, da unterschiedliche Rechtsordnungen zu unterschiedlichen Leistungsorten gelangen können. Nur innerhalb der Grenzen der EU ist dies im Rahmen der Harmonisierung des Umsatzsteuerrechts ausgeschlossen. 2. Leistungsort a) Umsatzsteuerliche Bedeutung des Leistungsortes Da über den Leistungsort ermittelt wird, welche steuerliche Rechtsord- 122 nung auf die jeweilige Leistung anzuwenden ist, ist der Leistungsort von erheblicher Bedeutung3. Einerseits richtet sich danach der anzuwendende Umsatzsteuersatz, was insbesondere im B2C-Bereich Auswirkungen 1 Nach der Entscheidung „Christel Schriever“ des EuGH (C-444/10 v. 10.11.2011) genügt ggf. die Nutzungsüberlassung der betreffenden Ressourcen; vgl. Sölch/ Ringleb, § 1 UStG Rz. 183. 2 Vgl. Korn in Buntjes, § 3a UStG Rz. 1. 3 Siehe Kessel/Kröhner/Köhler, Konzernsteuerrecht, Teil 1, Abschnitt 5, Rz. 295. Knorr
529
Teil 6
Rz. 123
Steuerrecht
auf den Endpreis von Leistungen für den Verbraucher hat, andererseits ergibt sich daraus auch, welche Vorschriften ansonsten zu beachten sind und welche Behörden für die Besteuerung zuständig sind. 123
Für den Cloud-Anbieter und den unternehmerischen Cloud-Kunden ist die Bestimmung des Leistungsortes und damit des anzuwendenden Steuersatzes in der Regel nicht von übermäßiger Bedeutung. Wer als Unternehmer umsatzsteuerpflichtige Leistungen erbringt, erhält nämlich grundsätzlich die von ihm auf bezogene Leistungen (sog. Eingangsleistungen) gezahlte Umsatzsteuer von den Finanzbehörden erstattet. Insofern spielt es für ihn keine wesentliche Rolle, wie hoch die gezahlte Umsatzsteuer ist. In den meisten Fällen kann der Erstattungsanspruch unmittelbar mit der höheren Steuerzahllast verrechnet werden, so dass nicht einmal ein Zinsschaden zwischen Zahlung und Erstattung zu befürchten ist1. Etwas Anderes gilt jedoch für Unternehmer, deren eigene Leistungen nicht der Umsatzsteuer unterliegen. Dies sind etwa Banken, Versicherungen und medizinische Leistungserbringer. Für diese ist gezahlte Umsatzsteuer oftmals nicht erstattungsfähig und damit eine echte Kostenbelastung. Insofern spielt für sie die Bestimmung des Leistungsortes auch wirtschaftlich eine Rolle. b) Leistungsort bei Erbringung von SaaS-, PaaS- und IaaS-Dienstleistungen
124
Wie bereits dargelegt, handelt es sich bei Cloud-Services regelmäßig um sonstige Leistungen und nur sehr vereinzelt um Lieferungen. Gerade im Bereich der sonstigen Leistungen ist die Bestimmung des Leistungsortes ganz maßgeblich davon abhängig, ob der Leistungsempfänger Unternehmer ist, der diese Leistung für sein Unternehmen bezieht, oder nicht. Im nichtunternehmerischen Bereich gilt grundsätzlich das Ursprungslandprinzip, während im unternehmerischen Bereich das Bestimmungslandprinzip eingreift. aa) Leistungsort bei Lieferungen
125
Sofern im Zusammenhang mit Cloud-Services auch Lieferungen erfolgen, etwa weil Kunden die notwendige Hardware für einzelne Anwendungen erhalten (z.B. Authentifizierungsgeräte etc.), unterliegen diese Lieferungen den allgemeinen umsatzsteuerlichen Vorschriften. Sie sind regelmäßig umsatzsteuerpflichtig und werden regulär versteuert.
1 Die Erstattung erfolgt dann im Grundsatz mit der nächsten Voranmeldung am 10. des auf die Zahlung folgenden Monats. Bei Dauerfristverlängerung verzögert sich zwar die nämliche Erstattung, es wird aber für die Dauerfristverlängerung in Höhe der üblicherweise erbrachten Vorsteuern keine Sicherheit gefordert, so dass sich auch hier kein wesentlicher zeitlicher Nachteil ergibt.
530
Knorr
IV. Umsatzsteuer
Rz. 128
Teil 6
Ausnahmsweise mag es sein, dass auch Leistungen als Cloud-Services bezeichnet werden, die in nicht unerheblichem Umfang Lieferungsbestandteile enthalten (z.B. im Bereich des Contracting für EDV-Anlagen). In diesen Fällen wird man regelmäßig die Leistungen aufteilen können in eine Lieferung und eine sonstige Leistung. Für die Lieferung befindet sich der Lieferort regelmäßig dort, wo die Lieferung beginnt. Hierbei dürfte eine Werklieferung üblicherweise ebenfalls als Lieferung zu behandeln sein, da die dann zu liefernden Komponenten nicht bloße Nebensachen handeln wird. Nur für diese ist die Werklieferung ausnahmsweise umsatzsteuerlich als sonstige Leistung anzusehen1. Entsprechend hängt der Lieferort regelmäßig davon ab, wo eine konkrete Lieferung beginnt. bb) Leistungsort bei B2B-Dienstleistungen (Bestimmungslandprinzip) Die Regelungen zur Bestimmung des Orts der Leistung wurde über das 126 sog. „VAT-Package“2 mit Wirkung zum 1.1.2010 grundlegend verändert. Bis dahin gab es eine Vielzahl verschiedener Regelungen, die bisweilen zu einer Besteuerung am Sitz des Leistungsempfängers, bisweilen zu einer Besteuerung am Sitz des Leistenden führten3. (1) Grundsätze Nach der seit 1.1.2010 geltenden Rechtslage werden sonstige Leistungen, 127 welche an einen Unternehmer für dessen Unternehmen erbracht werden, grundsätzlich nach § 3a Abs. 2 UStG an dem Ort ausgeführt, an welchem der Leistungsempfänger seinen Sitz oder seine Betriebstätte hat. Es gilt somit das sog. Bestimmungslandprinzip. Auf diese Weise wird sichergestellt, dass Cloud-Leistungen im unternehmerischen Bereich unabhängig davon, aus welchem Land sie bezogen werden, demselben Umsatzsteuersatz unterliegen. In der Praxis ist allerdings Voraussetzung für die Anwendung dieser Vor- 128 schrift, in deren Folge der leistende Unternehmer, also der ausländische Cloud-Anbieter, von der Pflicht zur Zahlung deutscher Umsatzsteuer befreit wird, dass er nachweisen kann, dass der Leistungsempfänger Unternehmer ist. Einen konkreten Nachweis fordert zwar weder das Gesetz noch die Mehrwersteuersystemrichtlinie, so dass eine konkrete Festlegung der erforderlichen Nachweise nicht besteht4. In der Praxis ist dem Cloud-Anbieter zu empfehlen, die Umsatzsteueridentifikationsnummer seines Leistungsempfängers abzufragen und diese im Bestätigungsverfahren beim Bundeszentralamt für Steuern zu verifizieren. So lang der leistende Unternehmer keine Kenntnis von fehlender Unternehmer1 2 3 4
§ 3 Abs. 4 UStG. Dies war Gegenstand der Änderungsrichtlinie 2008/8/EG. Wäger in Sölch/Ringleb, § 3a UStG Rz. 7. Wäger in Sölch/Ringleb, § 3a UStG Rz. 75 f. Knorr
531
Teil 6
Rz. 129
Steuerrecht
eigenschaft hat, kann er auf die bestätigte Umsatzsteueridentifikationsnummer vertrauen1. Auch darf er in diesem Falle darauf vertrauen, dass die Leistung für das Unternehmen des Leistungsempfängers bezogen wird, sofern ihm keine gegenteiligen Informationen hierzu vorliegen2. Hierbei hat er allerdings auch die Art der erbrachten Dienstleistung zu berücksichtigen3. Umgekehrt darf der leistende Unternehmer ausweislich der Durchführungsverordnung zur Mehrwersteuersystemrichtlinie4 wohl unterstellen, dass sein Leistungsempfänger kein Unternehmer ist, sofern dieser ihm keine Umsatzsteueridentifikationsnummer mitteilt5. Cloud-Anbieter, deren Leistungen sowohl von Unternehmern als auch Verbrauchern bezogen werden, sollten daher bei der Aufnahme des Auftrages (in aller Regel über Online-Formulare) die Angabe einer vorhandenen Umsatzsteueridentifikationsnummer verlangen. 129
Lässt sich der Sitz des Cloud-Kunden als Leistungsempfänger noch relativ leicht feststellen, so ist die Frage, wo er jeweils eine Betriebstätte hat und von welcher Betriebstätte aus eine Leistung in Anspruch genommen wird, ungleich schwieriger zu beantworten. Auch hier greift eine Fiktion zugunsten des Cloud-Anbieters, sofern er anhand der Art und der Verwendung der erbrachten Dienstleistung nicht ermitteln kann, wo die feste Niederlassung des Leistungsempfängers ist, von der aus die Cloud-Leistung in Anspruch genommen wird, und sich diese auch nicht über die vom Leistungsempfänger mitgeteilte Umsatzsteueridentifikationsnummer ermitteln lässt. In diesem Fall darf der Cloud-Anbieter davon ausgehen, dass die Cloud-Leistung am Sitz des Cloud-Kunden erbracht wird6.
130
In der Praxis stellt sich hier die Frage, ob und ggf. wie der Cloud-Anbieter anhand der Leistung prüfen kann und muss, von wo aus diese beansprucht wurde. Neben den begrenzten technischen Möglichkeiten hierfür, welche etwa in der Prüfung der vom Leistungsempfänger verwendeten IP-Adressen bestehen, sollten dem leistenden Unternehmer keine unverhältnismäßigen Kontrollpflichten aufzuerlegen sein. Auch wird er die datenschutzrechtlichen Rahmenbedingungen zu beachten haben, wenn er personenbezogene Daten seines Nutzers erhebt und ggf. speichert (dazu Teil 4 Rz. 21 ff.)7. 1 Verordnung des Rates (EU) Nr. 282/2011, Art. 18 Abs. 1 Buchst. a; siehe auch Wäger in Sölch/Ringleb, § 3a UStG Rz. 76. 2 Verordnung des Rates (EU) Nr. 282/2011, Art. 19 Satz 2. 3 So ist etwa eine evident nur privat nutzbare Dienstleistung kaum für unternehmerische Zwecke erbracht (z.B. Musiksammlung via SaaS, sofern die Nutzung ausschließlich für private Zwecke gestattet ist). 4 Verordnung des Rates (EU) Nr. 282/2011, Art. 18 Abs. 2. 5 Zu dem Ergebnis gelangt zutreffend auch Wäger in Sölch/Ringleb, § 3a UStG Rz. 76. 6 Verordnung des Rates (EU) Nr. 282/2011, Art. 22. 7 Sofern der Cloud-Anbieter aus eigenem Interesse Daten über den Kunden erhebt, hat er selbständig zu prüfen, ob eine Rechtsgrundlage hierfür besteht. Diese Da-
532
Knorr
IV. Umsatzsteuer
Rz. 133
Teil 6
(2) Ausnahmefälle Von dieser generellen Regel gibt es einige Ausnahmen. Diese betreffen 131 etwa Leistungen im Zusammenhang mit Grundstücken, Beförderungsleistungen und Transportleistungen, welche jedoch mit Cloud Computing nicht in Zusammenhang stehen. (3) Praktische Schlussfolgerungen Im Ergebnis sind verschiedene Konstellationen denkbar. Wenn ein deut- 132 scher Cloud-Service-Provider Leistungen an einen deutschen Nutzer erbringt, ist der Leistungsort in Deutschland, so dass deutsche Umsatzsteuer anfällt. Bei deutschen Cloud-Anbietern, die B2B-Leistungen an Kunden im Ausland erbringen, liegt der Leistungsort regelmäßig im Ausland. Sofern der Kunde in einem anderen Mitgliedsstaat der EU ansässig ist, fällt regelmäßig Umsatzsteuer in dem betreffenden EU-Mitgliedsstaat an. In einer Vielzahl von Mitgliedsstaaten wird in diesen Fällen der inländische Cloud-Service-Provider jedoch nicht selbst Schuldner der Umsatzsteuer sein (vgl. dazu unten Rz. 153 f.), je nachdem, wie der betreffende Mitgliedsstaat seine Wahlrechte unter der Mehrwertsteuersystemrichtlinie ausgeübt hat. Der deutsche Anbieter sollte jedoch nur von der Erhebung von Umsatzsteuer absehen, wenn er vom Nutzer dessen ausländische Umsatzsteueridentifikationsnummer erhalten und diese über die Website des Bundeszentralamtes für Steuern geprüft hat, um dem Risiko einer Inanspruchnahme für die Umsatzsteuer bestmöglich zu begegnen. Bietet ein deutscher Cloud-Anbieter seine Dienste an Nutzer außerhalb der EU an, so fällt bei B2B-Geschäften regelmäßig keine europäische Umsatzsteuer an. Allerdings kann, je nach Rechtslage am Sitz des CloudKunden, eine dortige vergleichbare Steuer einschlägig sein. In diesen Fällen ist besondere Sorgfalt bei der Dokumentation des Leistungsbezuges im Ausland erforderlich. Der Anbieter sollte daher darlegen, wie sich ergibt, dass seine Leistung außerhalb der EU genutzt wurde. Dies kann insbesondere anhand der außerhalb der EU liegenden Adresse des Kunden, welche bei der Registrierung für den Cloud-Service hinterlegt wird, aber auch anhand der verwendeten IP-Adressen plausibilisiert werden. Aus Sicht des Nutzers von B2B-Dienstleistungen ergeben sich bei An- 133 geboten ausländischer Anbieter besondere Aufzeichnungs- und Besteuerungsbedürfnisse, da hier regelmäßig der Kunde die Umsatzsteuer schuldet (vgl. unten Rz. 153 f.). Der ausländische Anbieter wird ebenfalls gut beraten sein, sich die Umsatzsteueridentifikationsnummer seines deutschen Kunden geben zu lassen. Bei Leistungen ohne Bezug zu Deutschland (Leistung eines EU-Service Providers an einen ausländischen Nutzer) fällt tenerhebung und -verarbeitung findet außerhalb der Auftragsdatenverarbeitung statt, im Rahmen derer der Anbieter die Daten des Kunden auftragsgemäß nach den Weisungen des Kunden in dessen Interesse verarbeitet. Knorr
533
Teil 6
Rz. 134
Steuerrecht
keine deutsche Umsatzsteuer an, nach dem Recht der Mehrwertsteuersystemrichtlinie sollte hier bei Drittlandskunden auch kein anderes EUUmsatzsteuerrecht eine Steuerpflicht begründen. cc) Leistungsort bei B2C-Dienstleistungen (Ursprungslandprinzip) 134
Der Leistungsort richtet sich bei B2C-Dienstleistungen nicht nach dem Bestimmungslandprinzip, sondern nach dem Ursprungslandprinzip1. Auf diese Weise wird sichergestellt, dass unabhängig vom Aufenthaltsort des Verbrauchers eine gleichmäßige Steuererhebung erfolgt2. (1) Grundsätze
135
Die allgemeine Regelung zum Leistungsort nach § 3a Abs. 1 UStG, welche im Verhältnis zu Verbrauchern Anwendung findet, statuiert den Unternehmensort als Ort der Leistung. Es ist also grundsätzlich eine sonstige Leistung an dem Ort erbracht, von dem aus der Cloud-Anbieter sein Unternehmen betreibt. Diese Grundregel greift jedoch nur dann, wenn keine speziellere Vorschrift besteht, welche eine andere Bestimmung des Leistungsortes anordnet. Insofern wird bisweilen bezweifelt, ob es sich hier um die Grundregel handelt oder ob der Unternehmerort nicht eher eine Auffangregelung darstellt3. (2) Ausnahmefälle
136
Die Zahl der Sonderregelungen für die Bestimmung des Leistungsortes im B2C-Geschäft ist umfangreich, allerdings sind von den gesondert geregelten Fallkonstellationen nur wenige für Cloud-Services relevant. So sind wiederum Grundstücks-, Beförderungs-, Transport- oder Bewirtungsleistungen nicht über Cloud-Services zu bewirken.
137
Für kulturelle, künstlerische, wissenschaftliche, unterrichtende, unterhaltende und ähnliche Leistungen sowie die damit zusammenhängenden Tätigkeiten enthält § 3a Abs. 3 Nr. 3 UStG eine Sonderregelung, nach der diese Leistungen am Tätigkeitsort erbracht werden. Hierbei ist jedoch zu beachten, dass die gemeinten Leistungen die in der Veranstaltung oder Aufführung vor Ort verkörperten Darbietungen und damit eng verbundene Leistungen sind. Die Übertragung von Aufzeichnungen solcher Veranstaltung oder die Bereitstellung solcher Aufzeichnungen wird regelmäßig keine unmittelbar mit der Veranstaltung verbundene Leis1 Korn in Buntjes, § 3a UStG Rz. 7. 2 Sonst müsste entweder der leistende ausländische Unternehmer in Inland steuerlich erfasst werden, oder der Verbraucher müsste selbst steuerlichen Erklärungs- und Zahlungspflichten unterworfen werden. Beides würde zu Steuerausfällen führen, da der Vollzug dieser Umsatzsteuer weder beim ausländischen Unternehmer noch beim inländischen Nichtunternehmer praktisch umfassend möglich ist. 3 Z.B. Stadie, § 3a UStG Rz. 2.
534
Knorr
IV. Umsatzsteuer
Rz. 139
Teil 6
tung mehr sein und damit nicht dem gesonderten Leistungsort nach § 3a Abs. 3 Nr. 3 UStG unterfallen. Dies dürfte etwa für eine als live stream über das Internet empfangene Wiedergabe eines Konzerts gelten, wobei diese Leistung nach der hier zu Grunde liegenden Definition ohnehin nicht als Cloud-Service zu verstehen ist. Insofern dürfte die Vorschrift im Ergebnis auf Cloud-Leistungen, die vorliegend als Erbringung und Bezug von IT-Ressourcen verstanden werden (siehe dazu Teil 1 A Rz. 44 f.), nur begrenzt anwendbar sein, wenn etwa für eine solche Veranstaltung wesentliche Daten über Cloud-Services bereitgestellt werden1. Daneben teilen Vermittlungsleistungen das Schicksal der Hauptleis- 138 tung2. Wo also eine bestimmte Leistung nur vermittelt wird, etwa weil bei SaaS Leistungen anderer Unternehmer eingebettet sind, richtet sich der Leistungsort insoweit nach der vermittelten Leistung. Dies gilt unabhängig davon, ob der Vermittler für den Erbringer oder den Empfänger der vermittelten Leistung tätig wird. Es kommen also sowohl Handelsvertreterstrukturen3 als auch vertragshändlerähnliche Strukturen als Vermittlungsleistungen in Betracht. Dies fordert in der Praxis gewisse Aufmerksamkeit, da in solchen Fällen eine gründliche Untersuchung erforderlich ist, wo der Leistungsort der Hauptleistung jeweils liegt. Regelmäßig ist dies, wie oben dargestellt, der Sitz des Unternehmers, dessen Leistung vermittelt wird. Da jedoch eigenständige Vermittlungsleistungen nur dann vorliegen, wenn für diese ein Entgelt gezahlt wird, dürfte es relativ leicht nachvollziehbar sein, wo solche Leistungen vorliegen. Es kommt dabei nicht darauf an, ob das Entgelt vom Kunden oder von demjenigen, dessen Leistung vermittelt wird, gezahlt wird4. Auch liegen nicht überall dort, wo Zahlungen von dritter Seite vorkommen, überhaupt Vermittlungsleistungen vor. Gegebenenfalls besteht kein Vermittlungsvertrag, sondern ein Werbevertrag, so dass dann keine Leistung zwischen Privatnutzer und Cloud-Anbieter zustande kommt, sondern eine Leistung zwischen Werbepartner und Cloud-Anbieter. Diese unterliegt nach oben Gesagtem regelmäßig der Besteuerung am Sitz des Empfängers der Leistung im Rahmen von B2B-Geschäften. Zudem gibt es noch eine Reihe von Leistungen im Leistungskatalog des 139 § 3a Abs. 4 UStG, bei denen der Leistungsort am Sitz des Verbrauchers liegt, sofern dieser aus dem Drittlandsgebiet kommt. Von den entsprechenden Katalogleistungen spielen beim Cloud Computing insbesondere 1 Denkbar ist dies etwa dann, wenn der Veranstaltung bestimmte Leistungen zugeliefert werden, etwa weil die technischen Daten (z.B. Beleuchtung und/oder Ton) von einem Cloud-Service-Provider aus der Cloud bereitgestellt werden. 2 § 3a Abs. 3 Nr. 4 UStG. 3 Bei diesen gehört der Ausgleichsanspruch nach § 89b HGB ebenfalls zur Vergütung im umsatzsteuerlichen Sinne (vgl. BFH v. 25.6.1998, BStBl. II 1999, 102). 4 Vgl. Wäger in Sölch/Ringleb, § 3a UStG Rz. 196. Knorr
535
Teil 6
Rz. 140
Steuerrecht
die Einräumung und Übertragung von Patenten, Urheberrechten, Markenrechten und ähnlichen Rechten nach § 3a Abs. 4 Nr. 1 UStG und die Datenverarbeitung nach § 3a Abs. 4 Nr. 4 UStG eine besondere Rolle. In allen Fällen, in denen solche Leistungen an private Endnutzer im Drittlandsgebiet erbracht werden, liegt der Leistungsort im Drittlandsgebiet, so dass sie nicht der deutschen Umsatzsteuer unterliegen. Selbst bei SaaS- und PaaS-Leistungen, die dem Kunden die Nutzung einer Software (-Plattform) ermöglichen, werden jedoch keine solchen Rechte eingeräumt oder gar übertragen. Siehe dazu oben Rz. 51 ff. Anders mag der Fall liegen, wenn ein Verbraucher Inhalte aus der Cloud herunterlädt, z.B. eBooks oder iTunes. Siehe dazu Teil 3 Rz. 30. Bei besagten Katalogleistungen an Kunden im Drittlandsgebiet kommt es daher im Ergebnis nicht mehr darauf an, ob diese an Unternehmer erbracht werden oder an Endnutzer, da in allen Fällen der Leistungsort außerhalb der EU beim Empfänger liegt. Ob in diesen Fällen eine vergleichbare Steuer im Drittlandsgebiet anfällt und erhoben wird, ist im Einzelfall zu prüfen. (3) Änderung der Rechtslage ab 2015 140
Mit Umsetzung der Änderungen des Art. 58 der Mehrwertsteuersystemrichtlinie ab 2015 ändert sich die Ermittlung des Leistungsortes im B2C-Bereich gerade für Cloud-Services. Ab 2015 soll Leistungsort für auf elektronischem Wege erbrachte sonstige Leistungen, die an Nicht-Unternehmer erbracht werden, am Ansässigkeitsort des Leistungsempfängers sein, unabhängig davon, wo dieser die Leistung nutzt1. Dies erhöht insbesondere die Rechtssicherheit und begrenzt den Verwaltungsaufwand für Anbieter von Cloud-Services im B2C-Bereich. (4) Praktische Schlussfolgerungen
141
In der Praxis wird der leistende Cloud-Anbieter regelmäßig die Umsatzsteuer seines Ansässigkeitsortes zusätzlich zum Preis der Cloud-Leistung beim Cloud-Kunden erheben und abführen. Nur wenn er ausnahmsweise als Leistungsvermittler für Leistungen Dritter auftritt, muss er die Umsatzsteuer nach dem Recht des Staates des Sitzes des Dritten, dessen Leistung er vermittelt, erheben und abführen. Dies gilt insbesondere für Cloud-Marktplätze. Wer Kunden gegenüber eine einheitliche Leistung anbietet und abrechnet, wird regelmäßig nicht vermitteln, sondern nur Leistungen Dritter beschaffen, um diese in seine eigene Leistung einzubinden. Nur, wer ein separates Vermittlungsentgelt erhält, muss genau prüfen, ob er bei Privatnutzern eine Umsatzsteuer nach anderem Recht als dem seines Sitzstaates erheben muss. Zur Abgrenzung der Frage, ob der Leistungsempfänger Unternehmer ist oder nicht, empfiehlt sich die Abfrage der Umsatzsteueridentifikationsnummer des Leistungsempfängers. Gibt er eine an, kann seine Unterneh1 Siehe Sölch/Ringleb, § 3a UStG Rz. 277.
536
Knorr
IV. Umsatzsteuer
Rz. 146
Teil 6
mereigenschaft unterstellt werden. Verwendet er keine, kann dies darauf schließen lassen, dass er kein Unternehmer ist. c) Leistungsort für Nutzer von SaaS-, PaaS- und IaaS-Dienstleistungen Für den Cloud-Kunden ergibt sich der Leistungsort grundsätzlich spiegel- 142 bildlich zu den oben für den Leistungserbringer genannten Bestimmungen. Aufgrund des etwas anderen Betrachtungswinkels ergeben sich folgende Besonderheiten, die auf Seiten des Leistungsempfängers zu beachten sind: aa) Lieferungsort bei Lieferungen Bei Lieferungen ergeben sich keine Besonderheiten aus Sicht des Leis- 143 tungsempfängers. bb) Leistungsort bei sonstigen Leistungen Entsprechend der Ausführungen für den leistenden Unternehmer ergibt 144 sich der Leistungsort für den Leistungsempfänger ebenfalls in Abhängigkeit davon, ob die Leistung im B2B-Bereich, also für einen Unternehmer für dessen Unternehmen erbracht wird, oder im B2C-Bereich und damit für den privaten Verbrauch. (1) Leistungsort bei B2B Im unternehmerischen Bereich greift grundsätzlich das Bestimmungs- 145 landprinzip (vgl. dazu oben Rz. 126). Die steuerliche Behandlung ist daher für leistenden Unternehmer und Leistungsempfänger regelmäßig identisch. Allerdings muss der inländische Leistungsempfänger beachten, dass Leistungen ausländischer Anbieter (u.A. von Cloud-Services) oftmals dem sog. „reverse-charge-Verfahren“ (siehe dazu unten Rz. 154) unterliegen, so dass der Leistungsempfänger die umsatzsteuerlichen Pflichten zu erfüllen hat. Eine Zahllast geht hiermit indes für ihn nur einher, soweit er nicht zum Vorsteuerabzug berechtigt ist1. (2) Leistungsort bei B2C Aus Sicht des privaten Nutzers ist der Leistungsort regelmäßig nicht von 146 wesentlicher Bedeutung. Eine Ausnahme hiervon spielen diejenigen Fälle, in denen § 13b UStG einen Wechsel der Steuerschuldnerschaft anordnet, sofern der Leistungsempfänger Unternehmer ist, ohne dass es 1 In allen anderen Fällen kann eine etwa geschuldete Umsatzsteuer auf die bezogene Leistung sofort mit dem gleichzeitig entstehenden Vorsteuererstattungsanspruch verrechnet werden. Es kommt nie zu einer finanziellen Belastung. Knorr
537
Teil 6
Rz. 147
Steuerrecht
hierbei darauf ankäme, dass die Leistung für das Unternehmen des Leistungsempfängers bezogen würde, siehe dazu Rz. 154. So kann es vorkommen, dass ein Einzelunternehmer, welcher beispielsweise eine IT-Beratung betreibt und hierüber Umsatzsteuer in Rechnung stellt, grundsätzlich verpflichtet ist, die an ihn erbrachte Leistung der deutschen Umsatzsteuer zu unterwerfen. Freilich wird es gerade in solchen Fällen besonders wichtig sein, dem ausländischen leistenden Unternehmer die eigene Unternehmereigenschaft (etwa durch Vorlage der Umsatzsteueridentifikationsnummer) nachzuweisen, da andernfalls droht, dass der ausländische Unternehmer mit ausländischer Umsatzsteuer abrechnet, ohne dass hierdurch die Steuerpflicht des inländischen Leistungsempfängers beseitigt würde. Im Ergebnis müsste der inländische Leistungsempfänger in einem solchen Falle erst die Korrektur der vom ausländischen Leistenden erhaltenen Abrechnung betreiben, um auf diese Weise eine doppelte Belastung mit Umsatzsteuer zu vermeiden. Ihm kämen auch die Vermutungen der Art. 17 ff. der Durchführungsverordnung zur Mehrwersteuersystemrichtlinie1 nicht zur Hilfe, da diese regelmäßig nicht den Leistungsempfänger, sondern den Leistenden Unternehmer schützen. (3) Sonderfälle: Öffentlicher Sektor als Leistungsempfänger 147
Neben der Einordnung in B2B- und B2C-Geschäfte gibt es noch die Inanspruchnahme von Cloud-Services durch den öffentlichen Sektor. Hierbei ist zu unterscheiden zwischen dem streng hoheitlichen Bereich und dem unternehmerischen Bereich juristischer Personen des öffentlichen Rechts2. Für juristische Personen des öffentlichen Rechts, denen eine USt-Identifikationsnummer erteilt wurde, gelten grundsätzlich die Vorschriften über den Leistungsort im B2B-Bereich entsprechend. Ausschließlich hoheitlich tätige juristische Personen des öffentlichen Rechts, denen keine USt-Identifikationsnummer erteilt wurde, unterliegen hingegen den Vorschriften, die auch im B2C-Bereich Anwendung finden. Wo eine juristische Person des öffentlichen Rechts sowohl unternehmerisch tätig ist als auch hoheitlich, greifen für sie die Vorschriften des B2B-Bereiches, und zwar unabhängig davon, ob sie hoheitlich oder unternehmerisch tätig wird. Dies führt zu Verwerfungen, da die Besteuerung von der rechtlichen Organisation der öffentlichen Hand abhängig gemacht wird, was wiederum dem Gebot der Neutralität der Umsatzsteuer widerspricht3. Die nationale Regelung bleibt hier noch etwas hinter der Mehrwertsteuersystemrichtlinie zurück, nach der nicht die tatsächliche Erteilung der USt-Identifikationsnummer, sondern die Verpflichtung zur umsatzsteuerlichen Registrierung maßgeblich für die An-
1 Verordnung des Rates (EU) Nr. 282/2011, Art. 18 Abs. 2. 2 Korn in Buntjes, § 3a UStG Rz. 39. 3 Wäger in Sölch/Ringleb, § 3a UStG Rz. 88.
538
Knorr
IV. Umsatzsteuer
Rz. 150
Teil 6
wendung der Vorschriften über den Leistungsort im B2B-Geschäft ist1. In der Verwaltungspraxis wird dies dadurch aufzufangen versucht, dass man jedenfalls eine Verpflichtung der juristischen Person der öffentlichen Hand sieht, eine erteilte USt-Identifikationsnummer auch tatsächlich zu verwenden2. In den meisten Fällen dürfte dies dazu führen, dass auch Leistungsempfänger der öffentlichen Hand unter die Regelungen für den B2B-Bereich fallen. 3. Steuersatz und Bemessungsgrundlage a) Steuersatz Der allgemeine Umsatzsteuersatz beträgt in Deutschland derzeit 19 %. 148 Für bestimmte Lieferungen und Leistungen ermäßigt sich jedoch der Umsatzsteuersatz auf 7 %. Im Rahmen des Cloud Computing ist ein ermäßigter Steuersatz allenfalls nach § 12 Abs. 2 Nr. 7 Buchst. c) UStG denkbar. Nach dieser Vorschrift ermäßigt sich der Umsatzsteuersatz bei der „Einräumung, Übertragung und Wahrnehmung von Rechten, die sich aus dem Urheberrechtsgesetz ergeben.“ Die Ausnahmevorschrift des § 12 Abs. 2 Nr. 7 Buchst. c) UStG ist eng 149 umrissen und erstreckt sich ausweislich des Gesetzeswortlauts im Gegensatz zur Vorschrift des § 3a Abs. 4 Nr. 1 UStG (siehe dazu oben Rz. 139) nicht auf Patente, Markenrechte und ähnliche Rechte3. Die Ermäßigung kann nur dann in Anspruch genommen werden, wenn die Lizensierung des Werkes der wesentliche Inhalt der Leistung ist4. Dies führt im Zusammenhang mit Software zu Abgrenzungsproblemen. 150 Grundsätzlich ist Software als urheberrechtliches Werk schutzfähig (vgl. Teil 3 Rz. 59 ff.). Allerdings räumt der Cloud-Anbieter im Rahmen von IaaS, PaaS und auch SaaS dem Cloud-Kunden in der Regel keine Rechte an Software ein. Denn die Software läuft auf dem System des Anbieters und nicht beim Kunden, bei dem lediglich die – in der Regel nicht urheberrechtlich geschützten – Bildschirmdaten angezeigt werden. Häufig ist die einzige vom Kunden zur Inanspruchnahme benötigte Software der Internetbrowser. Nur sofern ein proprietärer Client vom Anbieter zur Verfügung gestellt wird, der beim Kunden installiert wird und dementsprechend auf seinen Systemen abläuft, werden urheberrechtliche Nutzungsrechte eingeräumt. Von daher liegt die Anwendung dieser Ausnahmevorschrift auf Cloud Computing-Leistungen eher fern (siehe dazu Teil 3 Rz. 95 ff.). Selbst wenn im Einzelfall Software auf proprietären Clients zur Verfügung gestellt wird oder sonst urheberrechtliche Nutzungsrechte Be1 2 3 4
Wäger in Sölch/Ringleb, § 3a UStG Rz. 86. So in UStAE 3a.2 Abs. 7 Satz 3. Stadie, § 12 UStG Rz. 49. Klenk in Sölch/Ringleb, § 12 UStG Rz. 310. Knorr
539
Teil 6
Rz. 151
Steuerrecht
standteil der Cloud-Leistung sind, ist zu unterscheiden zwischen Leistungen, bei denen die Lizensierung des Werkes der wesentliche Inhalt der Leistung ist und Leistungen, bei denen die Einräumung des Lizenzrechts nur notwendige Folge der eigentlichen Leistung ist. Für Standardsoftware bedeutet dies, dass ihre Überlassung regelmäßig mit dem Regelsteuersatz von derzeit 19 % zu besteuern ist1. Bei anderer Software kommt es darauf an, was schlussendlich der Gesamtleistung den prägenden Charakter verleiht2. Nur wenn dies die Überlassung von Rechten ist, kann eine steuerermäßigte Überlassung eines Lizenzrechts gegeben sein, insbesondere dann, wenn der Steuerpflichtige zur Weitergabe der Software befugt ist. Ob dabei eine Weitergabe an Außenstehende Dritte oder im Konzern erfolgt, ist unerheblich3. Die Finanzverwaltung fordert hierbei, dass sowohl die vertraglichen Vereinbarungen zwischen Leistendem und Leistungsempfänger als auch die tatsächlichen Leistungen berücksichtigt werden4. Daneben soll der Steuerpflichtige auch objektive Beweisanzeichen, wie etwa die Tätigkeit des Leistungsempfängers, berücksichtigen müssen5. Insgesamt kommt eine ermäßigte Besteuerung in diesen Fällen danach nur in Betracht, wenn die Weitergabe der Software, z.B. im Konzern, wesentlicher Teil der vereinbarten Leistungen ist. Dies wiederum ist bei Cloud-Services nur dann überhaupt denkbar, wenn die Berechtigung zur Nutzung der betreffenden Software weitergegeben werden kann und insofern die urheberrechtliche Lizenz weitergegeben wird. Wo im Rahmen von Cloud-Service allerdings tatsächlich im Wesentlichen eine Urheberrechtseinräumung erfolgen kann, ist schwer vorzustellen. Sofern Rechte eingeräumt werden und IaaS bereitgestellt wird, wird insbesondere von Bedeutung sein, wie viel Systemressourcen im Zusammenhang mit dem Cloud-Service überlassen werden und wie deren Gewichtung im Verhältnis zur jeweiligen Softwareüberlassung ausfällt. Die Anwendbarkeit des ermäßigten Steuersatzes dürfte dabei eine seltene Ausnahme bleiben. b) Bemessungsgrundlage für die Umsatzsteuer 151
Bemessungsgrundlage für die Steuer ist nach § 10 UStG der Wert der Gegenleistung, regelmäßig also das, was der Leistungsempfänger an den Leistungserbringer zahlt6. Bei gemischten Umsätzen, bei denen einerseits eine Zahlung erfolgt, andererseits eine Art Tausch, ist auch der Wert der im Tausch erhaltenen Leistung der umsatzsteuerlichen Bemessungsgrundlage hinzuzurechnen7. 1 2 3 4 5 6 7
Klenk in Sölch Ringleb, § 12 UStG Rz. 321. Stadie, § 12 UStG Rz. 56. Stadie, § 12 UStG Rz. 56. In UStAE 12.7 Abs. 1 S. 9 f. UStAE 12.7 Abs. 1 S. 10. Klenk in Sölch/Ringleb, § 13a UStG Rz. 17. Nach Ziffer 10.5 Abs. 1 UStAE ist auf den objektiven Wert der erhaltenen Leistung abzustellen.
540
Knorr
IV. Umsatzsteuer
Rz. 152
Teil 6
Tauschgeschäfte und Umsätze bei denen, jedenfalls zum Teil, ein Tausch 152 vorliegt, kommen in der Praxis bei vielen Cloud-Dienstleistungen insbesondere im B2C-Bereich vor. Hier wird oft eine relativ geringe Gebühr, ggf. auch überhaupt keine Gebühr für die Bereitstellung von Cloud-Services vereinbart, umgekehrt erhält der Anbieter der Services das Recht, vom Nutzer bestimmte Daten zu erheben und diese zu verwerten. Da dies für ihn ein Treiber ist, den Service an den Nutzer bereitzustellen, ist dieser Verwertungsmöglichkeit eine Bemessungsgrundlage für Umsatzsteuerzwecke zuzuweisen1. In der Praxis ist es oftmals schwer, den Wert der vom Kunden auf diese Weise erbrachten Gegenleistung richtig zu beziffern. Da ein offener Markt für personenbezogene Daten auf Seiten der Nutzer nicht besteht, kann nicht ohne weiteres auf einen Marktpreis zugegriffen werden2. Die gewonnenen Daten werden zwar weitervertrieben, der hierfür erzielte Preis enthält jedoch mehr als die Daten als solche, da er regelmäßig mit einer Auswertung und ggf. auch mit weiteren Werbedienstleistungen einhergeht. Auch er bietet daher keinen tauglichen Anhaltspunkt für den Preis, welcher allein der Überlassung der Daten zur weiteren Nutzung zugrunde gelegt werden kann. Der Cloud-Service-Provider hat daher eine sachgerechte Schätzung vorzunehmen, wie hoch die Datenüberlassung des Kunden zu bewerten ist. Regelmäßig werden die Kosten, welche dem Service Provider je Kunde entstehen, den Wert der erlangten Daten abbilden. Andernfalls würde er die entsprechende Leistung nicht anbieten, da er damit Verluste erwirtschaften würde. Diese Selbstkosten dürften insgesamt einen sachgerechten Wert der Gegenleistung des Kunden darstellen, da etwaige Mehrpreise, welche etwa dem Risiko der Vermarktung der gewonnenen Daten zuzuweisen sind, regelmäßig nicht der Datengewinnung sondern der Datenverwertung und damit der weitergehenden Dienstleistung des Cloud-Service-Providers zuzurechnen sind3. Sofern es im B2B-Bereich zu Tauschumsätzen kommt, weil Teil der Gegenleistung etwa die Nutzung der so erlangten Daten ist, ist zusätzlich zu beachten, dass der Nutzer durch die Gestattung der Datennutzung seinerseits eine umsatzsteuerpflichtige Leistung erbringt. Für diese Leistung schuldet er dem Finanzamt die Umsatzsteuer und muss dem CloudService-Provider eine entsprechende Rechnung erteilen. In diesen Fällen empfiehlt es sich in der Praxis, im Service-Vertrag eine Klausel aufzuneh-
1 Entsprechend sieht UStAE 10.5 Abs. 2 vor, dass etwa die Entsorgung von wertvollen Abfällen nicht nur mit dem Lohn hierfür sondern auch mit der Verwertungsbefugnis für die wertvollen Abfälle vergütet wird und diese somit in die umsatzsteuerliche Bemessungsgrundlage einfließen muss. 2 Ein solcher Markt würde voraussetzen, dass Cloud-Nutzer (sprich Verbraucher) ihre persönlichen Daten in ähnlicher Weise auch zum Kauf anbäten. Solche Angebote sind indessen in der Praxis regelmäßig nicht zu finden. 3 So sieht auch Stadie (zu § 10 UStG Rz. 80) die Aufwendungen des Unternehmers als angemessenen Anhaltspunkt für die Bewertung, wenn andere Bewertungsmaßstäbe, wie etwa Marktpreise, nicht vorhanden sind. Knorr
541
Teil 6
Rz. 153
Steuerrecht
men, welche den Wert für die Datennutzung und die damit einhergehende Vergütung regelt. 4. Steuerschuldner a) Grundsatz: Leistungserbringer 153
Nach § 13a Abs. 1 Nr. 1 UStG schuldet der Cloud-Anbieter grundsätzlich die Umsatzsteuer auf die von ihm erbrachten Leistungen, d.h. er hat sie an die Finanzbehörde abzuführen. b) Wechsel der Steuerschuldnerschaft bei grenzüberschreitenden B2B-Umsätzen
154
Im grenzüberschreitenden Dienstleistungsverkehr sieht die Mehrwertsteuersystemrichtlinie1 die Möglichkeit vor, die Steuerschuldnerschaft bei sonstigen Leistungen auf den Leistungsempfänger zu verlagern. Dies ist in Deutschland für den Fall, dass der inländische Leistungsempfänger ein Unternehmer ist, geschehen2. Entsprechend sind die Leistungen ausländischer Cloud-Anbieter, die im Inland steuerbar und steuerpflichtig sind, nicht von diesem sondern vom deutschen Leistungsempfänger zu versteuern, sofern der Empfänger Unternehmer ist. Dies gilt selbst dann, wenn die Leistung nicht für das Unternehmen des Leistungsempfängers bezogen wird3. Wer also als Unternehmer Cloud-Services ausländischer Anbieter in Anspruch nimmt, muss darauf achten, diese selbst der Umsatzsteuer zu unterwerfen. Hierbei ist auch zu beachten, dass fälschlicherweise vom ausländischen Cloud-Service-Anbieter berechnete Umsatzsteuer nicht zum Vorsteuerabzug berechtigt und daher nicht gezahlt werden sollte.
155
Aus Sicht eines ausländischen leistenden Unternehmers ist zu bedenken, dass dieser nach § 14a Abs. 5 UStG verpflichtet ist, in der von ihm auszustellenden Rechnung ausdrücklich den Hinweis „Steuerschuldnerschaft des Leistungsempfängers“ aufzunehmen. Für deutsche Unternehmer, die entsprechende Umsätze im Ausland erbringen, gibt es in den meisten EU-Mitgliedstaaten entsprechende Vorschriften. 5. E-Invoicing
156
Gerade im elektronischen Dienstleistungsverkehr und damit insbesondere bei Cloud-Services spielt e-invoicing eine erhebliche Rolle. Im deutschen Umsatzsteuerrecht gibt es die Möglichkeit elektronsicher Rechnungen schon seit 2002. Allerdings fand diese Möglichkeit zunächst wenig praktische Nutzung, da Voraussetzung für die wirksame Erteilung 1 Richtlinie v. 28.11.2006 (2006/112/EG), dort Art. 194. 2 Siehe § 13b Abs. 5 UStG. 3 § 13b Abs. 5 Satz 3 UStG.
542
Knorr
IV. Umsatzsteuer
Rz. 158
Teil 6
einer elektronischen Rechnung die Ausstellung mittels qualifiziert elektronischer Signatur nach dem Signaturgesetz war1. Dieser technisch sehr aufwändige Prozess hat sich nicht durchgesetzt. Daneben wurde die Abrechnung mittels EDI-Verfahren, also im elektronischen Datenaustauschverfahren, gestattet, wobei zunächst die Übermittlung einer Sammelrechnung in Papierform erforderlich blieb2, was den Zweck elektronischer Abrechnungssysteme zur vollständigen automatisierten Integration in die Buchführung des Rechnungsempfängers unterlief. Die Übermittlung der Sammelrechnung wurde ab 2009 nicht mehr verlangt3. Zuletzt ist die Vorschrift jedoch mit Wirkung zum 1.7.2011 erheblich 157 vereinfacht worden. Nunmehr sieht § 14 Abs. 1 UStG vor, dass Rechnungen in jeder Form übermittelt werden können, bei der Echtheit der Herkunft der Rechnung, Unversehrtheit ihres Inhalts und Lesbarkeit der Rechnung gewährleistet sind. Die Erteilung elektronischer Rechnungen bedarf zudem der Zustimmung des Leistungsempfängers4. Sofern eine entsprechende Zustimmung erteilt wurde, ist der leistende Unternehmer frei darin, wie er eine Rechnung erteilt und dabei sicherstellt, dass Echtheit und Unversehrtheit der Rechnung gewährleistet sind. Rechnungen können damit nunmehr auf jeder Form der elektronischen 158 Übermittlung5 versandt werden. So besteht insbesondere die Möglichkeit, Rechnungen per E-Mail zu übermitteln, wobei dies auch durch Übermittlung als Dateianhang zu einer E-Mail möglich ist, sofern bei der E-Mail die Echtheit hinreichend sichergestellt ist6. Auch das Bereitstellen von Rechnungen zum Download dürfte ausreichend sein und in relativ unkomplizierter Weise die Echtheit der Rechnungen gewährleisten.
1 2 3 4 5
Siehe hierzu Stadie in Rau/Dürrwächter, § 14 UStG Rz. 220 ff. Vgl. Stadie, § 14 UStG Rz. 55. Wagner in Sölch/Ringleb, § 14 UStG Rz. 212. So § 14 Abs. 1 Satz 6 UStG. Keine elektronische Übermittlung in diesem Sinne ist die Übermittlung mittels klassischem Telefax (so Wagner in Sölch/Ringleb, § 14 UStG Rz. 80). 6 Wagner in Sölch/Ringleb, § 14 UStG Rz. 81. Knorr
543
Teil 7 Strafrecht und Strafprozessrecht Rz. I. Die Cloud als virtueller Kriminalitäts- und Ermittlungsraum . . . .
1
II. Problemaufriss: Rechtstatsächliche Besonderheiten bei Ermittlungen der Strafverfolgungsbehörden in der Cloud. . . . . . . . . . 4 1. Ermittlungsansätze . . . . . . . . . . . . 5 2. Zugriff auf Cloud-Inhalte . . . . . . . 10 III. Strafprozessuale Maßnahmen zur Ermittlung in der Cloud . . . . . . . . 1. Grundsätze. . . . . . . . . . . . . . . . . . . 2. Erhebung und Verwertung öffentlich zugänglicher Informationen . 3. Erhebung und Verwertung der Datenströme in der Cloud . . . . . . 4. Erhebung und Verwertung gespeicherter Cloud-Inhalte . . . . . . . 5. Insbesondere: Die Bedeutung des Serverstandorts bei Durchsuchungen und Beschlagnahmen in der Cloud . . . . . . . . . . . . . . . . . . a) Inländischer Serverstandort . . . b) Ausländischer Serverstandort . aa) Sachlicher Anwendungsbereich der Cyber-CrimeConvention . . . . . . . . . . . . . bb) EU-Ausland . . . . . . . . . . . . 6. Die Cloud als Anreiz für Verdunkelungshandlungen . . . . . . . . 7. Herausgabepflicht von CloudDiensteanbietern . . . . . . . . . . . . . . 8. Erhebung und Verwertbarkeit präventiv-polizeilich gewonnener Daten . . . . . . . . . . . . . . . . . . . .
15 15 18 21 31
33 34 40 41 44 45
Rz. IV. Notwendige Strafverfolgungsvorsorge seitens der Cloud-Diensteanbieter und Cloud-Nutzer . . . . 50 1. Personell-organisatorische Strafverfolgungsvorsorge. . . . . . . . 51 2. Technisch-organisatorische Strafverfolgungsvorsorge. . . . . . . . 52 V. Compliance bei IT-Outsourcing in die Cloud . . . . . . . . . . . . . . . . . . 1. Allgemeines zum Outsourcing aus strafrechtlicher Sicht . . . . . . . 2. Erscheinungsformen des Outsourcing . . . . . . . . . . . . . . . . . . 3. Zu den Voraussetzungen des § 203 StGB (Verletzung von Privatgeheimnissen) . . . . . . . . . . . 4. Inhaltliche und logische Trennung von Datenbeständen . . . . . . 5. Outsourcing in Shared Service Center (SSC) . . . . . . . . . . . . . . . . . . VI. 1. 2. 3. 4. 5. 6. 7.
46 8. 9.
59 59 61 63 66 67
Einzelfragen . . . . . . . . . . . . . . . . . . Back-Up-Dateien . . . . . . . . . . . . . . Berufsgeheimnisträger . . . . . . . . . Höchstpersönliche Daten . . . . . . . Passwörter und IT-Sicherheit . . . . Strafrechtliche Verantwortlichkeit der Anbieter von CloudDiensten . . . . . . . . . . . . . . . . . . . . . Verschlüsselung von Daten . . . . . Verwertbarkeit rechtswidrig erlangter Daten . . . . . . . . . . . . . . . . . Zufallsfunde. . . . . . . . . . . . . . . . . . Zugangssperren . . . . . . . . . . . . . . .
69 70 71 75 76 79 84 88 92 95
47
I. Die Cloud als virtueller Kriminalitäts- und Ermittlungsraum Mit der Entwicklung des Internets von einem vornehmlich als Informati- 1 ons- und Kommunikationsplattform genutzten Medium zum „Web 2.0“ und zum „Social Medium“ haben sich die Rolle und namentlich die Möglichkeiten und Grenzen des Nutzers grundlegend verändert. Der Nutzer wandelt sich vom reinen Konsumenten von Netzinhalten zum aktiven und auf den Inhalt Einfluss nehmenden Teilhaber. Er verwendet das Internet als Plattform für seine Geschäfte und nutzt die neuen Möglichkeiten dieser Dienste, um seine eigene Infrastruktur in das Netz auszulagern. Die Basis dieser Handlungen sind scheinbar unbegrenzte Datenspeicher, große Rechnerleistungen und Programme, welche die vom Trg/Mansdçrfer
545
Teil 7
Rz. 1
Strafrecht und Strafprozessrecht
Nutzer zur Verfügung gestellten Informationen verarbeiten (dazu ausführlich oben Teil 1 A Rz. 24 ff.). Das Spektrum krimineller Handlungen in der realen Welt wird entsprechend in der virtuellen Welt fortgeführt und dem Medium angepasst. Internetkriminalität ist längst nicht mehr gleichzusetzen mit Kinderpornographie und Urheberrechtsverletzungen1. Besonders beliebt sind im Rahmen der Internetkriminalität der zweiten Generation etwa Täuschungsdelikte, alle Formen von Äußerungsdelikten oder der Missbrauch des virtuellen Raumes zur Anbahnung von Straftaten in der physischen (realen) Welt2. Cloud-Dienste, die über den Browser mit Login und Passwort genutzt werden, eröffnen Tätern künftig noch weitere Tatgelegenheiten. Computerspezifische Delikte (computer crimes und computer related crimes3), wie etwa das Abfischen von Passwörtern (sog. Phishing)4 oder der Identitätsdiebstahl5, werden damit zunehmend bedeutsamer. Im Unterschied zu klassischer Kriminalität ist Cyberkriminalität oft automatisierbar, räumlich entgrenzt und flüchtig6. Kriminogenes Streben nach Macht, materiellen Gütern und die Befriedigung persönlicher Eitelkeit machen auch vor den Toren des Cyberspace nicht Halt, finden dort naturgemäß einen Nährboden, weil – anders als in der realen Welt – menschliche Kontrollinstanzen fehlen, d.h. Sozialkontrolle nicht stattfindet, mit der Folge, dass abweichendes Verhalten sich zunächst frei entfalten kann7. So verstanden zeigt sich die Cloud als virtueller Kriminalitätsraum8. In Folge dessen muss die Cloud schon vor dem Hintergrund des sog. Legalitätsprinzips (§ 152 Abs. 2 StPO) auch einen ebenso virtuellen, der Sache nach jedoch handfesten Ermittlungsraum für die Belange der Strafverfolgung darstellen. Den normativen Rahmen für diese Ermittlungen hält der Gesetzgeber bereit. Neben den auch auf die Internetkriminalität anwendbaren zentralen Tatbeständen des Kernstrafrechts, namentlich den Vermögensund Äußerungsdelikten, wurde inzwischen eine beachtliche Anzahl nebenstrafrechtlicher Normen erlassen, die speziell auf die neuen Medien zugeschnitten wurden und technische Eigenheiten berücksichtigen9. So 1 Beispielhaft zur urheberrechtlichen Strafbarkeit illegaler Musik- und Videodownloads, Lang, Filesharing und Strafrecht, 2009; zur Bedeutung der sog. Inhaltsdelikte Hilgendorf/Valerius, Computer- und Internetstrafrecht, Rz. 263 ff.; zum Urheberrecht in der Cloud oben Teil 3 Rz. 74 ff. 2 Beispielhaft dazu Vassilaki, MMR 2006, 212. 3 Zu dieser europäischen Terminologie Brodowski/Freiling, Cyberkriminalität, S. 30. 4 Stuckenberg, 118 (2006), 878. 5 Zu Tatgelegenheitsstrukturen mit rechtsvergleichendem Ansatz van der Meulen, Financial Indentity Theft, 2011, S. 249 ff. 6 Brodowski/Freiling, Cyberkriminalität, S. 53. 7 Näher dazu Sieber, Straftaten und Strafverfolgung im Internet, S. C 35 ff. 8 Zu diesem (scheinbaren) Verlust realer Örtlichkeiten vgl. Spoenle, S. 5 ff. 9 Vgl. §§ 201a, 202a, 303a StGB, 106 UrhG, dazu im Überblick Sieber, Straftaten und Strafverfolgung im Internet, S. C 40 ff. sowie für einen de lege ferenda zu schaffenden Tatbestand der „Datenuntreue“ C 93; ähnlich auch Brodowski/Freiling, S. 100 f.
546
Trg/Mansdçrfer
II. Problemaufriss: Rechtstatschliche Besonderheiten
Rz. 4
Teil 7
gesehen ist der Ermittlungsraum – und dies ist der erste Aspekt – lediglich Folge des Internets als Kriminalitätsraum. Die neuartigen Nutzungsmöglichkeiten des Internet wecken – als zwei- 2 ten Aspekt – jedoch geradezu zwangsläufig auch Begehrlichkeiten bei den dann auch formal als solche tätig werdenden Polizeibehörden sowohl zur Kriminalitätsvermeidung, d.h. zur polizeirechtlichen Gefahrenabwehr, als auch bei den Strafverfolgungsbehörden zur repressiven täterorientierten Kriminalitätsaufklärung1. Insoweit gilt das Internet in seiner jetzigen Form eben nicht nur als zunehmend bedeutsamer Raum von Internetkriminalität, sondern auch als wichtige Quelle zur Erhebung strafverfolgungsrelevanter Erkenntnisse, d.h. als Erkenntnisquelle bzw. strafprozessual ausgedrückt als Sammelbecken zur Erhebung von Beweismitteln2: Jede Bewegung eines Tatverdächtigen im Internet – und natürlich auch in der Internet-Cloud – hinterlässt Spuren. Kehrseitig verlieren klassische Ermittlungsinstrumente und reale Strafverfolgungsräume an Bedeutung. Wenn ein Steuerberater ein im Wesentlichen papierloses Büro „in der Cloud“ führt3, so muss die klassische Durchsuchung der Geschäftsräume (nach §§ 102, 103 StPO) in ihrem Ablauf und hinsichtlich des Zielobjekts neu justiert werden (näher dazu unten Rz. 10 ff.). Rechtstatsächlich schafft der Gesetzgeber durch den Erlass nationaler 3 Normen – international insbesondere durch die sog. Cyber-Crime-Konvention4 – und geplanten Institutionen wie das EU-Zentrum für Cyberkriminalität5 einen veritablen virtuellen Ermittlungsraum (näher dazu unten Rz. 35). Folge der beiden beschriebenen Aspekte ist, dass die Cloud die Ermittlungsbehörden in tatsächlicher wie rechtlicher Hinsicht vor ganz erhebliche neue Herausforderungen stellt.
II. Problemaufriss: Rechtstatsächliche Besonderheiten bei Ermittlungen der Strafverfolgungsbehörden in der Cloud Die folgenden drei Beispiele bilden für das Cloud Computing typische 4 Szenarien ab.
1 Beispielhaft dazu die Antwort der Bundesregierung „Sicherheit, Datenschutz und Überwachung von Cloud-Daten“ auf die entsprechende Kleine Anfrage der Fraktion DIE LINKE BT-Drucks. 17/12651 v. 8.3.2013. 2 Heinrichs/Wilhelm, Kriminalistik 2010, 30 (32). 3 Zu den insoweit in Bezug auf § 203 StGB entstehenden Fragen unten Rz. 60 ff. m.w.N. 4 Zum Ratifizierungsstand vgl. http://conventions.coe.int/Treaty/Commun/Cher cheSig.asp?CL=GER&CM=&NT=185&DF=&VL= (Abruf v. 23.10.2013). 5 Näher dazu Brodowski, ZIS 2011, 940 (941). Trg/Mansdçrfer
547
Teil 7
Rz. 5
Strafrecht und Strafprozessrecht
1. Ermittlungsansätze 5
Beispiel 1: Im Vorfeld eines Ermittlungsverfahrens gegen die Verantwortlichen eines Unternehmens U rechnet die Staatsanwaltschaft damit, dass U in erheblichem Umfang Cloud Computing betreibt. Die Staatsanwaltschaft will daher vor der Vornahme konkreter Durchsuchungsmaßnahmen ermitteln, bei welchem Anbieter und in welcher Form bzw. in welchem Umfang das Unternehmen Cloud Computing-Dienste nutzt. U könnte anstelle des Einsatzes eigener IT-Ressourcen alternativ für unterschiedlichste Zwecke Cloud Computing-Dienste in Anspruch nehmen. Zum Beispiel kann reiner Speicherplatz aus der Cloud bezogen werden, wenn die eigenen Speicherkapazitäten nicht ausreichen. Ferner können E-Mail- oder Textverarbeitungsprogramme aus der Cloud bezogen werden, anstatt sie auf dem eigenen Server zu installieren1. Will U als weiteren Verkaufskanal ein Webshop einrichten, kann auch dafür eine Plattform aus der Cloud eingesetzt werden.
6
Welche Dienste ein Unternehmen konkret einsetzt, ist durch technische Maßnahmen von außen nur schwer zu ermitteln. Eine Überwachung der von einem Unternehmen ausgehenden Datenkommunikation setzte zunächst voraus, dass den Strafverfolgungsbehörden der Internetzugangsprovider des Unternehmens bekannt ist, damit eine Überwachungseinrichtung dort installiert werden könnte bzw. der Provider selbst Adressat strafprozessualer Maßnahmen sein kann (dazu sogleich Rz. 7). Selbst im Falle der Kenntnis des Internetzugangsproviders aber ist der Einsatz von Cloud Computing schwer nachweisbar, da die hierfür versendeten und empfangenen Daten die gleiche Struktur aufweisen (d.h. die gleichen Protokolle zur Anwendung kommen) wie jede andere Internetnutzung. Nur wenn das Unternehmen über den Cloud-Anbieter keine interne Anwendung (z.B. Gehaltsabrechnung oder Textverarbeitung), sondern ein Internetangebot (z.B. einen Webshop, ein Webportal etc.) betreibt, kann durch eine DNS- oder „Who is“-Abfrage der Cloud-Anbieter bzw. der Internetzugangsprovider des Cloud-Anbieters ermittelt werden.
7
Freilich bleibt den Strafverfolgungsbehörden unbenommen, den IT-Leiter oder den Geschäftsführer des Providers als Zeugen zu vernehmen. Es besteht dann allerdings die Gefahr, dass die Ermittlungen bekannt werden und die Verdächtigen sich auf die Vorfeldermittlungen einstellen.
8
Beispiel 2: Im Rahmen ihrer Ermittlungen erfährt die Staatsanwaltschaft, dass das Unternehmen, der Anbieter eines Webportals, eine Public Cloud bzw. eine gemischte Cloud, d.h. eine sog. Hybrid Cloud, nutzt. Dienste aus einer Public Cloud zu beziehen, bedeutet, dass die Ressourcen, die vom Dienstleister zur Erbringung der Cloud-Leistungen für das Unternehmen eingesetzt werden, nicht von dem Unternehmen alleine genutzt werden, sondern auch von anderen Kunden des Dienstleisters. Daraus folgt allerdings nicht, dass die Daten der Kunden vermischt werden; diese sind vielmehr logisch (nicht physisch) getrennt. Außerdem sind auch Rechenzentren der Public Cloud in der Regel gegen den Zugriff Dritter geschützt. 1 Vgl. z.B. Wiehr, CIO-Magazin v. 14.3.2010, http://www.cio.de/healthcareit/strate gien/2308037/ (Abruf v. 23.10.2013).
548
Trg/Mansdçrfer
II. Problemaufriss: Rechtstatschliche Besonderheiten
Rz. 14
Teil 7
Um den Inhalt und den Austausch der Daten zwischen den Usern ermit- 9 teln zu können, kann die Ermittlungsbehörde – insbesondere bei Social Media oder nicht nur rein firmenintern genutzten collaboration tools – auch verdeckt als User an der Cloud teilnehmen. In der Regel wird es dazu nötig sein, dass die Ermittlungsbehörde unter einer Legende Kontakt zu einzelnen Teilnehmern herstellt. Nutzen die Unternehmen dagegen SaaS-Anwendungen, sind die Daten logisch separiert und daher nicht zugänglich. 2. Zugriff auf Cloud-Inhalte Beispiel 3:
10
Die Staatsanwaltschaft durchsucht die Büroräume eines Steuerberatungsbüros, um Belege für eine mutmaßliche Straftat eines Mandanten des Steuerberaters zu finden (§ 103 StPO). Im Zuge der Ermittlungen stellt die Staatsanwaltschaft fest, dass der Steuerberater ein sog. belegloses Büro führt und seine Daten bei einem Diensteanbieter online abgespeichert hat.
Die Staatsanwaltschaft möchte über den Rechner und den Onlinezugang 11 des Steuerberaters auf die in der Cloud abgelegten Daten bzw. auf die vom Anbieter zur Verfügung gestellten Cloud Computing-Dienste zugreifen. Um sicherzustellen, dass der Steuerberater keine beweiserheblichen Da- 12 ten löscht oder manipuliert, will die Staatsanwaltschaft über den Diensteanbieter den Zugang des Steuerberaters zu seinen Daten sperren und ferner die Herausgabe der von dem Diensteanbieter für den Steuerberater zu einem bestimmten Stichpunkt gespeicherten Daten verlangen. Die Herausgabe der Daten des Steuerberaters durch den Diensteanbieter 13 wirft Schwierigkeiten auf, weil die Daten physisch nicht von den Daten anderer Kunden getrennt sind, sondern vielmehr Daten mehrerer Kunden auf einer Hardwareeinheit (Server) verarbeitet werden. Selbst wenn ein gesamter Server mit wesentlich mehr Daten als nur denjenigen des Steuerberaters beschlagnahmt wird, sind die Daten regelmäßig nicht von der Festplatte in lesbarer Formatierung abrufbar, sondern müssen erst mittels einer Software in ein lesbares Format konvertiert werden. Schwierigkeiten kann zuletzt die Frage bereiten, in welchem Land sich 14 die Rechner mit den gespeicherten Daten befinden. Bei der Private Cloud wird der Rechner in aller Regel leicht zu konkretisieren sein; in der Public Cloud ist dies dagegen häufig nicht der Fall. Bestimmte Cloud-Anbieter haben indessen (auch aus Gründen des Datenschutzes) feste oder wählbare Rechenzentren in Europa. Beispielhaft hierfür ist etwa das europäische Rechenzentrum des Anbieters Amazon-Web-Services in Irland1.
1 Vgl. http://aws.amazon.com/de/ec2/#features (Abruf v. 29.10.2013). Trg/Mansdçrfer
549
Teil 7
Rz. 15
Strafrecht und Strafprozessrecht
III. Strafprozessuale Maßnahmen zur Ermittlung in der Cloud 1. Grundsätze 15
Nach dem verfassungsrechtlich abgesicherten Gebot des Gesetzesvorbehalts1 bedürfen strafprozessuale Ermittlungshandlungen, soweit sie mit Eingriffen in Grundrechte verbunden sind, einer speziellen gesetzlichen Ermächtigungsgrundlage. Entsprechend den Grundsätzen der Normenklarheit und der Tatbestandsbestimmtheit von strafprozessualen Eingriffsnormen sind die einzelnen Ermächtigungsgrundlagen weiter grundsätzlich eng auszulegen2. Trotz der mit dem Cloud Computing einhergehenden technischen Besonderheiten und trotz des kontinuierlich anwachsenden technischen Fortschritts sind die Handlungsbefugnisse der Strafverfolgungsbehörden daher auf die zum Zeitpunkt der Vornahme der jeweiligen Ermittlungshandlung gesetzlich niedergelegten Eingriffsbefugnisse begrenzt.
16
Der Gesetzgeber hat bei der Normierung einzelner Eingriffsbefugnisse einen nach der Art der erhobenen Daten typisierenden Ansatz gewählt. Generell wird daher bei der Erhebung von Daten aus modernen Kommunikationsmitteln zwischen Bestands-, Verkehrs-, Nutzungs- und Inhaltsdaten unterschieden3. Bestandsdaten sind die personenbezogenen Daten eines Users, die zur Begründung, inhaltlichen Ausgestaltung sowie Änderung oder Beendigung eines Vertragsverhältnisses erhoben werden4. Wird ein Dienst von einem Unternehmen in Anspruch genommen, sind dies die entsprechenden unternehmensbezogenen Daten. Verkehrsdaten sind die Daten, welche die konkrete Verbindung kennzeichnen, wie etwa die IP-Adresse, Verbindungsdaten, die Dauer der Verbindung oder den in Anspruch genommenen Telekommunikationsdienst (näher dazu unten Rz. 21)5. Nutzungsdaten sind inhaltlich aufgeladene Verkehrsdaten, welche die in Anspruch genommenen Datenmengen, Dienste oder sogar die im Einzelnen aufgerufenen Websites enthalten können6. Verkehrs- und Nutzungsdaten sind insbesondere zusammen mit Daten aus einer Observation des Beschuldigten in besonderem Maß geeignet, ein Tätigkeits- und Kontaktprofil der betroffenen Person zu erstellen. So kann etwa genau festgestellt werden, wann aus einem Unternehmen welche Datenmengen oder Dienste genutzt wurden und mit wem kommuniziert wurde. Zusammen mit anderen Daten lassen sich dazu Bewegungen des Verdächtigen im Raum konstruieren. So können z.B. leicht 1 BVerfG v. 1.3.2000 – 2 BvR 2017 u. 2039/94, NStZ 2000, 489 (490); Schwabenbauer, NJW 2009, 3207 (3208). 2 BVerfG v. 2.3.2006 – 2 BvR 2099/04, NJW 2006, 976; BVerfG v. 12.4.2005 – 2 BvR 581/01, NJW 2005, 1338. 3 Ausführlich zu dieser Unterscheidung Bär, Handbuch zur EDV-Beweissicherung, S. 24 ff. 4 Spindler/Schuster/Spindler/Nink, § 14 TMG Rz. 2. 5 Zur Bedeutung von Verkehrsdaten in Strafverfahren Velten in FS Fezer, S. 87 ff. 6 S. dazu Teil 8 A Rz. 60, 80.
550
Trg/Mansdçrfer
III. Strafprozessuale Maßnahmen zur Ermittlung in der Cloud
Rz. 19
Teil 7
die Beteiligten an Kartellabsprachen, Weisungsstrukturen oder andere strafbare Vorgänge ausermittelt werden. Der Begriff der Inhaltsdaten erfasst alle bei einem Telekommunikationsvorgang anfallenden Daten, insbesondere den konkret gesprochenen Inhalt. Entsprechend der jeweiligen Grundrechtsrelevanz der betroffenen Daten, 17 werden an die Erhebung der einzelnen Daten unterschiedlich strenge Anforderungen gestellt. Insgesamt verfügen die Ermittlungsbehörden über weitreichende strafprozessuale Eingriffsbefugnisse. Die Verlagerung von Daten in die Cloud sollte daher nicht mit der Erwartung verbunden werden, die ausgelagerten Daten effektiv dem Zugriff der Strafverfolgungsbehörden entziehen zu können. Im Gegenteil steigt die Gefahr von leichtfertig dokumentierten und im Ergebnis belastenden Materialien und Zufallsfunden1. Dies ist im Folgenden zu verdeutlichen: 2. Erhebung und Verwertung öffentlich zugänglicher Informationen Als Grundlage der Ermittlungen kommt zunächst – wie bei strafpro- 18 zessualen Ermittlungen im Internet allgemein – die Ermittlungsgeneralklausel in § 161 StPO in Betracht. § 161 Abs. 1 StPO, seinerseits gesetzgeberische Antwort auf das verfassungsrechtliche Gebot des Gesetzesvorbehalts in Gestalt des StVÄG aus dem Jahr 1999, ermächtigt die Strafverfolgungsbehörden zu Ermittlungen jedweder Art, soweit diese nicht mit einem mehr als unerheblichen Grundrechtseingriff verbunden sind. Gestützt auf § 161 Abs. 1 StPO können die Ermittlungsbehörden daher alle öffentlich zugänglichen Informationen erheben und für ihre Ermittlungen nutzen. Dazu gehören auch Kommunikationsinhalte in offenen Foren, Blogs und anderen nicht zugangsgesicherten Websites2. Während danach ein erheblicher Spielraum für Ermittlungsmaßnahmen 19 im Internet zu bestehen scheint, setzt die inzwischen ergangene konkrete Rechtsprechung3 den Ermittlungsorganen indes Grenzen: Die geheime Durchsuchung von PC und Laptops bzw. der auf der Festplatte und Arbeitsspeicher nach nicht öffentlich abgelegten Dateien (sog. verdeckte Online-Durchsuchung) wurde durch den Bundesgerichthof nicht nur auf der Grundlage der ermittlungsrechtlichen Generalklausel, sondern namentlich auch auf der Grundlage speziellerer Ermächtigungsgrundlagen wie etwa §§ 102 i.V.m. 110, 100a oder 100f Abs. 1 Nr. 2 StPO abgelehnt und für rechtswidrig befunden4. Gleichermaßen unzulässig ist es, durch die Kombination von Einzelelementen verschiedener Ermächtigungs-
1 Näher zur Problematik der Zufallsfunde unten Rz. 92 ff. 2 BVerfG v. 27.2.2008 – 1 BvR 370/07, Rz. 293. 3 Stellvertretend BGH v. 31.1.2007 – StB 18/06, BGHSt 51, 211 – Bundestrojaner, m. Anm. Fezer, NStZ 2007, 535; Hamm, NJW 2007, 932 sowie BVerfG v. 27.2.2008 – 1 BvR 370/07 – Grundrecht auf Computerschutz. 4 Zu Überlegungen de lege ferenda Kudlich, GA 2011, 193 (204). Trg/Mansdçrfer
551
Teil 7
Rz. 20
Strafrecht und Strafprozessrecht
grundlagen gleichsam mosaikartig neue, technisch mögliche Ermittlungsmaßnahmen zu schaffen1. 20
Auf dem Gebiet des Cloud Computing werden sich die auf die Generalklausel gestützten Ermittlungsmaßnahmen daher im Wesentlichen auf die dargestellte Nutzung von offen zugänglichen Plattformen – nicht zu verwechseln mit der Public Cloud! – beschränken2. Auf diesen Plattformen können dann für konkrete Ermittlungshandlungen auch nichtöffentlich ermittelnde Polizeibeamte (noeP) eingesetzt werden. Soll dauerhaft nichtöffentlich ermittelt werden, eine Vielzahl von Personen durch die Ermittlungsmaßnahme betroffen werden und ist zum Schutz des Polizeibeamten auch die Geheimhaltung seiner Identität in der Zukunft erforderlich, kann dies nur durch den Einsatz sog. verdeckter Ermittler gem. §§ 110a ff. StPO geschehen. Der Einsatz verdeckter Ermittler ist freilich nur zur Aufklärung von Straftaten von erheblicher Bedeutung bzw. von Verbrechen zulässig und auch nur dann, wenn andernfalls die Aufklärung der Straftaten aussichtslos bzw. wesentlich erschwert wäre. 3. Erhebung und Verwertung der Datenströme in der Cloud
21
Die regelmäßig tiefsten Grundrechtseingriffe sind mit der Erhebung von Inhaltsdaten bei der Übermittlung (Art. 10 GG) verbunden, die daher nur nach § 100a StPO (Überwachung der Telekommunikation) erhoben werden können. Verkehrsdaten werden grundsätzlich unter den weiteren Voraussetzungen des § 100g StPO (Erhebung von Verkehrsdaten) erhoben3. Bei Nutzungsdaten ist im Einzelfall zu unterscheiden, ob sie noch als Verkehrsdaten oder schon als Inhaltsdaten einzustufen sind. Benutzerdaten können verhältnismäßig leicht gem. §§ 111–113 TKG ermittelt werden. Diese Ermittlungen richten sich dann aber gegen den TK-Anbieter und in der Regel nicht gegen den Cloud-Anbieter4. Gespeicherte Daten können regelmäßig in verkörperter Form nach den Vorschriften zur Durchsuchung (§§ 102 ff. StPO) und Beschlagnahme (§§ 94 ff. StPO) sichergestellt werden. Im Einzelnen:
22
§ 100a StPO erlaubt die Überwachung der Telekommunikation. Die hierdurch eröffneten Möglichkeiten der Ermittlungsbehörden, auf im Rahmen des Cloud Computing verwendete Daten zurückzugreifen, sind in1 BGH v. 31.1.2007 – StB 18/06, Rz. 22. 2 Vgl. Kudlich, GA 2011, 193 (198). 3 In Bezug auf die Erhebung von Verkehrsdaten wurde § 100g Abs. 1 Satz 1 StPO mit dem Urteil des BVerfG v. 2.3.2010 für unvereinbar mit Art. 10 GG und damit für nichtig erklärt; vgl. BVerfG v. 2.3.2010 – 1 BvR 256/08 u.a., NJW 2010, 833 (848). 4 Näher zu Fragen des TKG im Zusammenhang mit Cloud Computing unten Teil 8 A Rz. 30 ff.
552
Trg/Mansdçrfer
III. Strafprozessuale Maßnahmen zur Ermittlung in der Cloud
Rz. 24
Teil 7
dessen geringer, als es auf den ersten Blick erscheinen mag: So muss der Computer bzw. das sonstige zum Cloud Computing genutzte Hardwaregerät zur Nutzung der Webdienste zunächst „online“ sein. Überdies begründet nicht jede Verbindung des Nutzers mit dem Cloud- 23 Dienst eine Telekommunikation. Der Begriff „Telekommunikation“ in § 100a Abs. 1 StPO ist gesetzlich nicht definiert und gerade auch im Hinblick auf Cloud Computing Anwendungen nicht hinreichend geklärt1: Bei einem extensiven Interpretationsansatz sind alle Formen der Nachrichtenübermittlung unter Raumüberwindung in nichtkörperlicher Weise mittels technischer Einrichtungen, auch von technischem Gerät zu technischem Gerät erfasst2. Dazu gehört auch die Übertragung von Informationen – gleich ob digital oder analog – vom Speicher eines PCs oder Datenpuffers zu einem anderen Datenträger3. Nach diesem Ansatz sind im Ergebnis auch alle neuen Formen der Nachrichtenübermittlung „Telekommunikation“4. Zur Begründung wird auf die Legaldefinition in § 3 Nr. 22 TKG verwiesen. Dort wird zur Gewährleistung eines umfassenden Schutzes des Fernmeldegeheimnisses des Art. 10 Abs. 1 GG5 Telekommunikation als der technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen (§ 3 Nr. 23 StGB) bestimmt. Gemeint ist wieder jeglicher Austausch von Informationen in Gestalt von Signalen durch Transport über gewisse Entfernungen mit Hilfe von technischen Mitteln6. Gegen eine solch extensive Auslegung spricht zunächst der grundlegend 24 andere Normzweck des § 100a StPO gegenüber der Regelung des TKG. Die strafprozessuale Eingriffsbefugnis des § 100a StPO erlaubt Eingriffe nicht nur in das Fernmeldegeheimnis des Art. 10 Abs. 1 GG7, sondern auch in das Allgemeine Persönlichkeitsrecht des Art. 2 Abs. 1 GG8. Der grundgesetzlich verbürgte Schutz darf aber nicht stärker eingeschränkt werden, als dies zur Erreichung des gesetzgeberischen Zwecks unbedingt notwendig ist9. Gegen eine weite Auslegung spricht außerdem das allgemeine Sprachverständnis. Kommunikation setzt danach eine Form der Verständigung durch Informationsübermittlung voraus10. Ein reiner 1 Zur Bedeutung dieser Problematik für das Cloud Computing auch Sieber, S. C 106. 2 KK-StPO/Nack, § 100a Rz. 4; BeckOK-StPO/Graf, § 100a StPO Rz. 6 ff. 3 KK-StPO/Nack, § 100a Rz. 5. 4 BGH v. 31.7.1995 – 1 BGs 625/95, NStZ 1997, 247 f. 5 KK-StPO/Nack, § 100a Rz. 4; Spindler/Schuster/Holznagel/Ricke, § 3 TKG Rz. 33. 6 Beck’scher TKG-Kommentar/Piepenbrock, § 3 Rz. 45. 7 So etwa SK-StPO/Wolter, § 100a Rz. 1, der sich für eine verfassungsrechtliche Reduktion des Anwendungsbereichs von § 100a StPO ausspricht. Wohl auch Meyer-Goßner, StPO, § 100a Rz. 1, der die Vorschrift als abschließende Regelung betrachtet, bei der eine erweiternde Auslegung nicht in Betracht komme. 8 BGH v. 22.2.1978 – 2 StR 334/77, NJW 1978, 1390 f. 9 BGH v. 15.3.1976 – AnwSt (R) 4/75, NJW 1976, 1462 (1463). 10 Brockhaus-Enzyklopädie, Bd. 12 (1990): „Kommunikation“. Trg/Mansdçrfer
553
Teil 7
Rz. 25
Strafrecht und Strafprozessrecht
Datenaustausch zwischen verschiedenen elektronischen Maschinen ist keine solche auf eine Verständigung angelegte Kommunikation1. Auch der Gesetzgeber wollte die Begriffe „Fernmeldeverkehr“ und „Telekommunikation“ keineswegs gleichsetzen2. Der neue durch Art. 2 IX Nr. 2 des Begleitgesetzes zum Telekommunikationsgesetz3 eingeführte Begriff sollte zwar die Vorgänge des Aussendens, Übermittelns und Empfangens von Nachrichten jeglicher Art, also grundsätzlich den gesamten Datenverkehr mittels Telekommunikationsanlagen umfassen4. Jedoch unterfällt nicht jeder technische Vorgang des Aussendens, Übermittelns oder Empfangens von analog oder digital codierten Daten der strafprozessualen Eingriffsbefugnis des § 100a StPO. Bereits in der Diskussion zum Gesetzgebungsverfahren zu § 100c StPO im Jahr 19925 bestand Einigkeit, dass sich § 100a StPO auf die mit dem Versenden und Empfangen von Nachrichten mittels Telekommunikationsanlagen in Zusammenhang stehenden Vorgänge beschränke. 25
§ 100a StPO erfasst also richtigerweise nur solche Vorgänge, bei denen sich eine Person einer Telekommunikationsanlage bedient, das heißt mithilfe einer solchen Anlage kommuniziert6, nicht indes die Datenübermittlung von technischem Gerät zu technischem Gerät.
26
§ 100a StPO erlaubt daher nur den Zugriff auf solche Nutzungen, in denen die Infrastruktur des Cloud Computing zur Telekommunikation genutzt wird. Darunter fallen neben klassischen Kommunikationsformen ferner alle Anwendungen, in denen die Cloud etwa als Infrastruktur für einen Geschäftsbetrieb mit direktem Kundenkontakt (z.B. Online-Shop etc.) genutzt wird. Schwieriger sind solche Anwendungen einzuordnen, die ihrer Struktur nach sowohl als reine Speicherdienste als auch zum Datenaustausch bzw. zur gemeinsamen Nutzung von Daten verwendet werden können. Die bloße Zugriffsmöglichkeit verschiedener Personen macht einen Datenspeicher noch nicht zum Kommunikationsmedium7. Anderes gilt für von mehreren Personen geteilte Arbeitsoberflächen (etwa zur gemeinsamen Bearbeitung von Dateien) sog. CollaborationsPlattformen. Hier erfolgt über die Plattform regelmäßig ein Gedankenaustausch, der über den reinen Datenaustausch hinausgeht. Jedenfalls in den Fällen, in denen z.B. über Bearbeitungsvermerke etc. über den kommentarlosen Datenaustausch hinausgehende Informationen ausgetauscht werden, liegt ein Telekommunikationsvorgang vor.
1 2 3 4 5 6
Vgl. BGH v. 21.2.2001 – 2 BGs 42/2001, NStZ 2002, 104 (103). BGH v. 21.2.2001 – 2 BGs 42/2001, NStZ 2002, 103 (104). BGBl. I 1997, 3108. Vgl. dazu Bär, CR 1998, 434 (435). BGBl. I 1992, 1302. BGH v. 14.3.2003 – 2 StR 341/02, NJW 2003, 2034 (unter 3. c) der Gründe), m.w.N. 7 So auch Sieber, S. C 107.
554
Trg/Mansdçrfer
III. Strafprozessuale Maßnahmen zur Ermittlung in der Cloud
Rz. 31
Teil 7
Anwendungen, die keine Kommunikation zum Gegenstand haben, fallen 27 nach hier vertretener Auffassung nicht unter § 100a StPO. § 100a StPO bietet daher keine Grundlage für Zugriffe auf die Auslagerung von Rechenleistung, Speicher und Arbeitsspeicher (= IaaS) oder von Anwendungen wie z.B. Textverarbeitung, CRM- oder ERP-Systemen (= SaaS) in die Cloud. Derartige Datenströme dürfen auf der Grundlage von § 100a StPO weder aufgezeichnet noch ausgewertet werden. Selbst in den Fällen, in denen Cloud-Anwendungen zumindest auch1 zur 28 Kommunikation genutzt werden, ist das Ermittlungsinstrument des § 100a StPO auf „schwere Straftaten“ nach § 100a Abs. 2 StPO beschränkt. Schwere Straftaten sind beispielsweise vorsätzliche Tötungsdelikte, schwere Sexualstraftaten, bestimmte Bandendelikte, Raub, Betrug, aber auch besonders schwere Fälle des Bankrotts, Straftaten gegen den Wettbewerb und Bestechungsdelikte. Gerade bei typischen Kommunikationsdelikten, aber auch bei Delikten aus dem Bereich der unteren oder mittleren Vermögenskriminalität darf die Telekommunikation nicht technisch überwacht und aufgezeichnet werden. Betroffener einer Anordnung nach § 100a StPO können nur der Beschul- 29 digte selbst oder solche Personen sein, von den aufgrund von bestimmten Tatsachen anzunehmen ist, dass sie für den Beschuldigten bestimmte oder von diesem herrührende Mitteilungen entgegennehmen oder weitergeben oder dass der Beschuldigte ihren Anschluss nutzt. Der Anbieter eines Cloud-Dienstes scheidet damit als Betroffener einer solchen Anordnung im Regelfall aus, weil der Cloud-Anbieter zumeist gerade kein Nachrichtenmittler ist, sondern lediglich seine besondere Hardware oder Software (Speicherplatz, Rechenleistung, Programme etc.) zur Verfügung stellt. Auch werden die Cloud-Dienste regelmäßig andere Zwecke verfolgen, als eine Form des Telekommunikationsanschlusses zu ermöglichen. Maßnahmen nach § 100a StPO dürfen nur auf Antrag der Staatsanwalt- 30 schaft durch das Gericht angeordnet werden (Richtervorbehalt). Die Anordnung ergeht schriftlich und muss neben dem Betroffenen, gegen den sich die Maßnahme richtet, insbesondere die Art, den Umfang und die Dauer der Maßnahme benennen. Der Anbieter eines Telekommunikationsdienstes ist gem. § 100b Abs. 3 StPO i.V.m. § 110 TKG einschließlich der Telekommunikationsüberwachungsverordnung (TKÜV) gesetzlich verpflichtet, den Ermittlungsbehörden die Maßnahmen nach § 100a StPO zu ermöglichen und die hierzu erforderlichen Auskünfte zu erteilen. 4. Erhebung und Verwertung gespeicherter Cloud-Inhalte Praktisch von großer Bedeutung ist der Zugriff auf gespeicherte Inhalte 31 von in der Cloud befindlichen Servern. Hier ähnelt die Rechtslage dem 1 Zumindest auch der Kommunikation dient etwa eine CRM-Anwendung mit Chat-Funktion. Der Zugriff bleibt dann aber auf die Chat-Funktionen begrenzt. Trg/Mansdçrfer
555
Teil 7
Rz. 32
Strafrecht und Strafprozessrecht
inzwischen ausführlich diskutierten heimlichen Zugriff auf eine passwortgeschützte Mailbox eines im Web befindlichen Mailservers1. 32
Der Bundesgerichtshof hat einen solchen Zugriff auf eine passwortgeschützte Mailbox auf einem im Web befindlichen Mailserver grundsätzlich für zulässig erachtet. Normativ ordnete er diesen Vorgang allerdings mit Recht nicht als Telekommunikationsvorgang ein. § 100a StPO findet in diesen Fällen deshalb keine Anwendung. Hier kann daher an die obigen Ausführungen angeknüpft werden. Vielmehr wendet der Bundesgerichtshof die Vorschriften der Sicherstellung analog § 94 StPO und (infolge eines Vergleichs der elektronischen mit der realen Post) der Postbeschlagnahme gem. § 99 StPO an2. Die dort angestellten Erwägungen sind auf Sachverhaltskonstellationen des Cloud Computing grundsätzlich übertragbar. Die Vorschriften der Postbeschlagnahme sind freilich nur insoweit anwendbar, als Datenspeicher auch als gemeinsame Postspeicher oder Ähnliches verwendet werden. Reine Speicherplätze können also bereits analog § 94 StPO sichergestellt werden (näher dazu unten Rz. 33). Beim Cloud Computing sollen die Daten – wiederum ähnlich wie bei einem im Web befindlichen Mailserver – gerade auf dem virtuellen Speicher abgelegt werden. Der Server des Cloud-Anbieters wird damit der Risikosphäre des Nutzers zugeordnet, so dass der Nutzer des CloudDienstes entscheiden muss, ob er bestimmte Daten löscht und wie lange er Sicherheitskopien von gelöschten Daten bereit halten will. Sind Daten nur unzureichend vordergründig gelöscht, aber mit Hilfe spezieller Widerherstellungs- oder Backup-Programme zu rekonstruieren, so dürfen die Ermittlungsbehörden in Ansehung von § 94 StPO analog auf den noch bestehenden Datentorso zurückgreifen. Das Zugriffsrecht der Ermittlungsbehörden gilt also auch für Datenspuren. 5. Insbesondere: Die Bedeutung des Serverstandorts bei Durchsuchungen und Beschlagnahmen in der Cloud
33
Die umfangreichen Datensammlungen in der Cloud und die Möglichkeit, diese Daten unter den niedrigen Voraussetzungen des § 94 StPO sicherstellen zu können (dazu oben Rz. 32), wecken Begehrlichkeiten der Ermittlungsbehörden, die entsprechenden Datenspeicher selbst durchsuchen zu können3. Die Erwartung, dem virtuellen Kriminalitätsraum entspreche ein tatsächlich virtueller Ermittlungsraum4, ist derzeit erst ansatzweise Realität und bleibt jedenfalls noch dort eine Wunschvorstellung, wo die physische Sicherung von Daten zur Debatte steht.
1 BGH v. 31.7.1995 – 2 BJs 94/94-6 u.a., NJW 1997, 1934; bestätigt durch BGH v. 14.3.2003 – 2 StR 341/02, NJW 2003, 2034. 2 BGH v. 12.3.2009 – 3 StR 568/08, NStZ 2009, 397 m. zust. Anm. Bär, ablehnend Gercke, StV 2009, 624. 3 Vgl. Singelnstein, NStZ 2012, 593 ff. 4 Zu dieser an sich naheliegenden Erwartung bereits oben Rz. 1.
556
Trg/Mansdçrfer
III. Strafprozessuale Maßnahmen zur Ermittlung in der Cloud
Rz. 36
Teil 7
a) Inländischer Serverstandort Einer Sicherstellung gem. § 94 StPO geht in der Praxis regelmäßig eine 34 Durchsuchung voraus (§§ 102 ff. StPO). Werden die im Rahmen einer Durchsuchung aufgefundenen Beweismittel nicht freiwillig herausgegeben, so kann das Gericht und bei Gefahr im Verzug die Staatsanwaltschaft die Beschlagnahme gem. § 98 StPO anordnen. Die Durchsuchung kann sich gegen den Verdächtigen (§ 102 StPO), aber auch gegen außenstehende Dritte (§ 103 StPO) – also namentlich auch gegen die Anbieter von Cloud-Diensten – richten. Gerade für die Anbieter von Cloud-Diensten empfiehlt es sich regelmäßig, die Daten für die einzelnen Kunden logisch getrennt zu führen und Kopien der Daten freiwillig herauszugeben. Auf diese Weise kann zumeist die Beschlagnahme von Hardware und umfangreichen Datenmengen vermieden und die Durchsuchungsmaßnahme selbst zeitlich abgekürzt werden. Der Cloud-Anbieter sollte daher in der Praxis sicherstellen, dass er die Daten auf Anforderung der Staatsanwaltschaft freiwillig herausgeben darf, ohne etwaige zivilrechtliche Pflichten zu verletzen1. Art. 19 Abs. 2 der Cyber-Crime-Konvention des Europarats vom 35 23.11.20012 verpflichtet die Unterzeichnerstaaten3, in ihrem nationalen Strafverfahrensrecht Bestimmungen vorzuhalten, die es bei der Durchsuchung eines Computersystems erlauben, zugleich auf Daten in einem anderen Computersystem im eigenen Hoheitsgebiet zuzugreifen4. In den entsprechenden Durchsuchungsbeschlüssen findet sich daher regelmäßig die Formulierung, die Durchsuchung erstrecke sich auch auf vom Durchsuchungsobjekt räumlich getrennte Speichermedien, soweit auf diese von den durchsuchten Räumlichkeiten aus zugegriffen werden kann. Diese Formulierung bezieht sich auf die zunehmend wichtigere Zugriffsregelung des § 110 Abs. 3 StPO. Ein sog. Quick-Freeze-Verfahren5 i.S.v. Art. 16 Abs. 2 Cyber-Crime-Konvention besteht im deutschen Recht derzeit (mit Ausnahme der durch §§ 94, 95 StPO eröffneten Möglichkeiten) nicht, befindet sich aber in der rechtspolitischen Diskussion6. § 110 Abs. 3 StPO erlaubt eine Online-Sichtung von Daten und führt da- 36 mit quasi zu einer „Online-Durchsuchung light“, jedoch ohne Einsatz technischer Mittel7. Der Gesetzgeber beugt dadurch dem Verlust beweis1 Näher zu der insoweit notwendigen Vorsorge seitens der Dienste-Anbieter unten Rz. 50 ff. 2 Zum Inkrafttreten der Cyber Crime Konvention Valerius, K&R 2004, 513. 3 Der jeweils aktuelle Stand der Unterzeichnerstaaten ist auf www.con ventions.coe.int abrufbar. Unterzeichnerstaaten sind neben den meisten Mitgliedsstaaten des Europarates zum Beispiel auch die USA, Japan und seit März 2013 auch Australien. 4 Bär, ZIS 2011, 53. 5 Ein Verfahren zur vorübergehenden Sicherung von Telekommunikations-Verkehrsdaten zu Zwecken der Strafverfolgung. 6 Näher dazu Sieber, S. C 123 f.; BMJ Eckpunktepapier-Entwurf v. 10.6.2011. 7 Bär, ZIS 2011, 53. Trg/Mansdçrfer
557
Teil 7
Rz. 37
Strafrecht und Strafprozessrecht
erheblicher Daten vor, die sich auf räumlich getrennten Speichermedien im Internet oder Intranet befinden. Daten, die sich bei einem Anbieter von Cloud-Diensten befinden, sind geradezu ein Musterfall des § 110 Abs. 3 StPO. Entsprechend seinem weiten Wortlaut erlaubt § 110 Abs. 3 StPO grundsätzlich den Zugriff auf alle externen Dateien. Der externe, z.B. gemietete Speicherplatz muss lediglich von einer während der Durchsuchung vorgefundenen EDV-Anlage aus zugänglich sein. Dazu muss dieses Computersystem so konfiguriert sein, dass die Durchsicht anderer über ein Netzwerk angeschlossener Speichermedien technisch möglich ist. Dies ist bei der Nutzung von IaaS-Diensten regelmäßig der Fall. Auch bei SaaS sind die Datenbanken in der Regel auf der vom Anbieter zur Verfügung gestellten Infrastruktur gespeichert und mittels des Zugangs des Kunden oder direkt beim Cloud-Anbieter zugänglich. 37
Damit können die Strafverfolgungsbehörden die Speicher eines Diensteanbieters also zunächst ohne dessen Wissen vom EDV-System eines Nutzers aus durchsuchen. Die Durchsuchung beschränkt sich allerdings nur auf diejenigen Daten, die der Verfügungsgewalt dieses Nutzers unterstellt sind. § 110 Abs. 3 StPO erweitert zwar die Durchsuchungsmöglichkeiten der Strafverfolgungsbehörden, legitimiert aber nicht das Eindringen in an sich „fremde“ und vom Durchsuchungsbeschluss nicht erfasste Daten“räume“.
38
Den Interessen des von der heimlichen Durchsuchung betroffenen Diensteanbieters trägt §§ 110 Abs. 3 Satz 2 Halbs. 2 i.V.m. 98 Abs. 2 StPO Rechnung. Der Diensteanbieter kann – nachdem er über die Durchsuchung in Kenntnis gesetzt wurde – nachträglich gem. § 98 Abs. 2 Satz 2 StPO die richterliche Bestätigung der Beschlagnahme verlangen und erhält auf diese Weise auch effektiven (nachträglichen) Rechtsschutz.
39
Noch wenig geklärt ist die Bedeutung der Dringlichkeitsklausel in § 110 Abs. 3 StPO. Danach ist die Durchsicht dieser Daten nur zulässig, wenn andernfalls mit einem Daten- bzw. Beweismittelverlust zu rechnen ist. Im Schrifttum wird teilweise die Auffassung vertreten, die Durchsicht der Daten sei regelmäßig zulässig, da eine Sicherstellung am Ort der Datenhaltung (also beim Anbieter des Cloud-Dienstes) meist mit zeitlichen Verzögerungen verbunden sein wird und daher regelmäßig die Gefahr des Datenverlustes bei Computerdaten bestehe1. Gerade bei Cloud-Diensten sind schematische Lösungen jedoch nur mit Zurückhaltung anzuwenden: Im Einzelfall kann die Ausgestaltung des konkreten Vertragsverhältnisses einer Anwendung des § 110 Abs. 3 StPO entgegenwirken. Dazu gehören Fälle, in denen in dem konkreten Vertrag Speicherfristen für mehrere Monate oder das Nachvollziehen von Änderungen in Datenbeständen vorgesehen sind und daher ein Beweismittelverlust gerade nicht droht. Im Übrigen greifen regelmäßig die §§ 9, 11 BDSG ein. Nach Nr. 5 Anlage zu § 9 BDSG sind seitens der Dienste-Anbieter „Maßnahmen zu 1 Bär, ZIS 2011, 53.
558
Trg/Mansdçrfer
III. Strafprozessuale Maßnahmen zur Ermittlung in der Cloud
Rz. 42
Teil 7
treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle).“ b) Ausländischer Serverstandort Durchsuchungen von Computersystemen im Ausland sind sowohl tech- 40 nisch als auch strafprozessual grundsätzlich ebenso möglich, wie Durchsuchungen im Inland. Der Zugriff auf Daten, die außerhalb des deutschen Staatsgebiets gespeichert sind, stellt freilich einen Eingriff in ausländische Souveränitätsrechte dar und bedarf daher einer rechtshilferechtlichen Grundlage. Die näheren Anweisungen für die Ermittlungsbehörde sind in den „Richtlinien für den Verkehr mit dem Ausland in strafrechtlichen Angelegenheiten“1 niedergelegt. Die Durchsuchung erfolgt hier grundsätzlich (vgl. aber sogleich unter Rz. 41 ff.) im Wege der Rechtshilfe durch die zuständigen Behörden des ersuchten ausländischen Staates. Derartige Rechtshilfeersuchen sind Standard in der täglichen Praxis der Strafverfolgungsbehörden. Den Behörden stehen dafür entsprechende Muster und Hinweise zu Rechtshilfeersuchen gegenüber nahezu jedem beliebigen Staat zur Verfügung2. aa) Sachlicher Anwendungsbereich der Cyber-Crime-Convention Eine Ausnahme von der grundsätzlichen Verweisung auf die Vorschriften 41 der internationalen Rechtshilfe in Strafsachen enthält die Cyber-CrimeConvention3. Das Übereinkommen ist die erste internationale Vereinbarung über mittels Internet oder sonstiger Computernetze begangene Straftaten4. Art. 29 und 32 der Cyber-Crime-Konvention erlauben in zwei Fällen einen einseitigen Zugriff auf ausländische gespeicherte Daten (sog. TransborderSearch): Art. 32 Cyber-Crime-Konvention regelt hier die für Fälle des Cloud Com- 42 puting zentrale Konstellation des grenzüberschreitenden Zugriffs auf Datenspeicher5. Nach Art. 32 Buchst. a Cyber-Crime-Konvention dürfen ausländische Daten immer dann ohne Rückgriff auf Rechtshilfeersuchen gesichert werden, wenn die gesuchten Dateien öffentlich zugänglich sind. Der Terminus „öffentlich zugänglich“ ist bislang kein eingeführter 1 Abrufbar unter www.bmj.de/SharedDocs/Downloads/DE/pdfs/RiVaSt_Textfas sung.html?nn=1608470. 2 Vgl. insbesondere RiVASt Muster 28 und 29. 3 BGBl. 2008 II, 1242, Schomburg/Lagodny/Gleß/Hackner, Internationale Rechtshilfe in Strafsachen, II D. 1. (S. 929 ff.). 4 Trautmann in Schomburg/Lagodny/Gleß/Hackner, Internationale Rechtshilfe in Strafsachen, vor Art. 1 EUCybercrimeÜbK Rz. 1. 5 Trautmann in Schomburg/Lagodny/Gleß/Hackner, Internationale Rechtshilfe in Strafsachen, Art. 32 Rz. 1 f. Trg/Mansdçrfer
559
Teil 7
Rz. 43
Strafrecht und Strafprozessrecht
Rechtsbegriff1 und daher im Einzelnen unklar. Sobald der Zugang von einer Einzelfallprüfung der Identität abhängt, sollen Daten aber nicht mehr öffentlich zugänglich sein. Damit sind aber viele Cloud-Anwendungen im Regelfall vom Anwendungsbereich des Art. 32 Buchst. a ausgenommen. Ein Rechtshilfeersuchen ist gem. Art. 32 Buchst. b Cyber-Crime-Konvention weiter unnötig, wenn die zur Datenübermittlung berechtigte Person – regelmäßig also der Cloud-User (!) – der Transborder-Search rechtmäßig und freiwillig zustimmt. In diesen Fällen kann daher auch auf E-Mail-Konten auf ausländischen Servern oder auf sonstige Daten, die im Rahmen von Cloud Computing ins Ausland ausgelagert wurden, zurückgegriffen werden. Eine Zustimmung gilt auch dann als „freiwillig“ i.S.v. Art. 32 Cyber-Crime-Konvention, wenn die entsprechende Erklärung nur deshalb abgegeben wurde, weil andernfalls die Verhängung eines Haftbefehls wegen Verdunkelungsgefahr gedroht hätte (näher dazu unten Rz. 45). 43
Sollte ein solcher unmittelbarer Zugriff nicht zulässig sein, können im Ausland befindliche Daten auf der Grundlage des Art. 29 Cyber-CrimeKonvention ohne vorheriges förmliches Rechtshilfeersuchen in einem beschleunigten Verfahren gesichert werden. Hierzu muss der ausländische Vertragsstaat formlos um die Vorabsicherung der beweisrelevanten Daten ersucht werden. Die inhaltlichen Anforderungen an dieses Sicherungsersuchen regelt Art. 29 Abs. 2 Cyber-Crime-Konvention. Das Ersuchen muss daher genau bezeichnen die Straftat, die Gegenstand der strafrechtlichen Ermittlungen oder Verfahren ist, eine kurze Sachverhaltsdarstellung, die gespeicherten Computerdaten, die zu sichern sind, den Zusammenhang zwischen ihnen und der Straftat, alle verfügbaren Informationen zur Ermittlung des Verwahrers der gespeicherten Computerdaten oder des Standorts des Computersystems, die Notwendigkeit der Sicherung und die Absicht der Vertragspartei, ein Rechtshilfeersuchen um Durchsuchung oder einen ähnlichen Zugriff, Beschlagnahme oder eine ähnliche Sicherstellung oder Weitergabe der gespeicherten Computerdaten zu stellen. Das eigentliche Rechtshilfeersuchen kann freilich zeitgleich mit dem Sicherungsersuchen an den ersuchten Staat mit übersendet werden. Der ersuchte Vertragsstaat muss gem. Art. 29 Abs. 3 Satz 1 Cyber-Crime-Konvention geeignete Maßnahmen zur umgehenden Sicherung der Daten treffen. Die beiderseitige Strafbarkeit des zur Last gelegten Verhaltens ist keine Voraussetzung für die Vornahme der Sicherung (Art. 29 Abs. 3 Satz 2 Cyber-Crime-Konvention). Die gesicherten Daten müssen dann gem. Art. 29 Abs. 7 Cyber-Crime-Konvention mindestens 60 Tage aufbewahrt werden. Erreicht umgekehrt die Bundesrepublik ein von einem anderen Staat gestelltes Sicherungsersuchen, werden die auf deutschem Hoheitsgebiet befindlichen Daten gem. § 67 Abs. 1 IRG vorläufig sichergestellt.
1 Trautmann in Schomburg/Lagodny/Gleß/Hackner, Internationale Rechtshilfe in Strafsachen, Art. 32 Rz. 6.
560
Trg/Mansdçrfer
III. Strafprozessuale Maßnahmen zur Ermittlung in der Cloud
Rz. 45
Teil 7
bb) EU-Ausland Durchsuchungen in Mitgliedstaaten der Europäischen Union sind künf- 44 tig durch die geplante sog. Europäische Beweisanordnung (EBA)1 bzw. durch eine Europäische Ermittlungsanordnung (EEA)2 geprägt. Bereits heute sieht der EU-Rahmenbeschluss über die Vollstreckung von Entscheidungen über die Sicherstellung von Vermögensgegenständen oder Beweismitteln vom 22.7.2003 (sog. RB-Sicherstellung) Regelungen zur Anerkennung von richterlichen Beschlüssen zur Durchsuchung und Sicherstellung von Beweismitteln in anderen EU-Mitgliedsstaaten ohne Anerkennungsverfahren mit schneller Vollstreckung bei 32 Deliktsgruppen (sog. Positivliste) vor. Die dortigen gegenüber der CybercrimeConvention vorrangigen3 Vorgaben wurden zwischenzeitlich in den §§ 94–97. IRG in nationales Recht umgesetzt. Danach wird auf die Prüfung der beiderseitigen Strafbarkeit der Vorwürfe im Bereich der Positivliste verzichtet, das Ersuchen erfolgt mit standardisierten Formularen, steht unter einem engen Fristenregime und schränkt die Verweigerungsund Aufschiebemöglichkeiten der Mitgliedstaaten stark ein4. Dem Sicherungsersuchen nach Art. 29 Cyber-Crime-Convention steht damit nicht zuletzt deshalb ein effektives Rechtshilfeinstrument zur Seite, weil die Positivliste explizit auch die Cyberkriminalität in den Anwendungsbereich des Rahmenbeschlusses einbezieht. Der kriminologisch geprägte Rechtsbegriff der Cyberkriminalität wird in Anlehnung an die einschlägigen internationalen bzw. europäischen Übereinkommen5 und somit in Anlehnung an den Rahmenbeschluss über Angriffe auf Informationssysteme6 und die Cybercrime-Convention7 ausgelegt werden. 6. Die Cloud als Anreiz für Verdunkelungshandlungen Wenn der Betroffene den Ermittlungsbehörden im Einzelfall den Zugang 45 zu im Ausland gespeicherten Daten in auffälliger Art und Weise (z.B. durch aktive Verschleierung bzw. gezielte Obstruktion) vorenthält, kann dies die Ermittlungsbehörden zu der Annahme veranlassen, der Verdäch1 Rahmenbeschluss 2008/978/JI des Rates v. 18.12.2008; dazu etwa Mavany, Die Europäische Beweisanordnung und das Prinzip der gegenseitigen Anerkennung, 2012. 2 Nach dem Richtlinienvorschlag über eine Europäische Ermittlungsanordnung (ABl. C 165 v. 24.6.2010) sollen die EBA und der RB-Sicherstellung aufgehoben und in ein neues Instrument zur Herausgabe von Beweismitteln überführt werden. Näher dazu Brodowski, ZIS 2011, 940 (950 f.) und ZIS 2012, 558 (568). 3 Vgl. hierzu auch OLG Köln v. 13.12.2010 – 6 AuslS 121/10-82. 4 Hackner in Schomburg/Lagodny/Gleß/Hackner, Internationale Rechtshilfe in Strafsachen, vor § 91 IRG Rz. 2. 5 Zu diesem Auslegunsansatz Böse in Grützner/Pötz/Kreß, Internationaler Rechtshilfeverkehr in Strafsachen, § 94 Rz. 6. 6 Rahmenbeschluss über Angriffe auf Informationssysteme v. 24.2.2005, ABl. L 69 v. 16.3.2005, S. 67. 7 Europäisches Übereinkommen über Computerkriminalität v. 23.11.2001, Cybercrime-Convention. Trg/Mansdçrfer
561
Teil 7
Rz. 46
Strafrecht und Strafprozessrecht
tige könnte beweiserhebliche Daten dem Zugriff entziehen. In diesem Fall besteht die Gefahr, dass die Staatsanwaltschaft den Erlass eines Haftbefehls wegen Verdunkelungsgefahr bei dem zuständigen Haftrichter beantragt (§ 112 Abs. 2 Nr. 3 StPO). Der in Untersuchungshaft befindliche Gefangene hat daher in der Untersuchungshaft insbesondere keinen Zugang zum Internet über Computer, Smartphones oder ähnlichen Geräten. 7. Herausgabepflicht von Cloud-Diensteanbietern 46
Die Anbieter von Cloud-Diensten sind als Gewahrsamsinhaber von Daten entsprechend § 95 StPO grundsätzlich verpflichtet, die Daten auf Anforderung der Ermittlungsbehörden vorzulegen und auszuliefern. Diese Herausgabepflicht erstreckt sich sowohl auf gespeicherte Daten und Spuren an sich gelöschter Daten als auch auf gespeicherte Passwörter und Zugangscodes. Zu Zwecken der Durchsicht von Daten können daher ggf. durch Auskunftsverlangen beim Anbieter gem. § 113 Abs. 1 Satz 2 TKG i.V.m. §§ 161, 163 StPO auch vorab die entsprechenden Zugangsdaten (Passwörter) herausverlangt werden1. 8. Erhebung und Verwertbarkeit präventiv-polizeilich gewonnener Daten
47
Polizeibehörden erheben Daten in der Cloud nicht nur zu Zwecken der Strafverfolgung. Häufig werden die einzelnen Polizeibehörden auch präventiv mit dem Ziel der Verhinderung von Straftaten tätig. In diesen Fällen muss eine gefahrenrechtliche oder nachrichtendienstliche, gesetzliche Ermächtigungsgrundlage vorliegen. Daten, die dergestalt aus präventiven Gründen gewonnen wurden, können grundsätzlich unbegrenzt in das Strafverfahren transferiert werden, soweit bei hypothetischer Betrachtung die präventiv erlangten Daten auch durch eine vergleichbare strafprozessuale Maßnahme rechtmäßig hätten erlangt werden können2.
48
Dies ergibt sich aus § 161 Abs. 2 StPO. Danach ist die Erhebung von Daten bei strafprozessualen Defiziten hinsichtlich der Ermächtigungsgrundlage indes nur bei Verdacht bestimmter Straftaten (zumeist von einigem Gewicht) zulässig. § 161 Abs. 2 StPO soll der Gefahr entgegenwirken, dass durch den Rückgriff auf präventiv-polizeiliche Ermächtigungsgrundlagen die spezielleren – und in der Regel strengeren – Eingriffsvoraussetzungen der StPO umgangen werden. Nach dem dort normierten Grundsatz des „hypothetischen Ersatzeingriffs“ dürfen Daten, die aus Maßnahmen resultieren, die nach der StPO nur beim Verdacht bestimmter schwerer Straftaten angeordnet werden dürfen, auch nur zur Aufklärung derartiger Straftaten verwendet werden. Finden gefahrenabwehrrechtliche oder nachrichtendienstliche Maßnahmen also in der StPO keine Entsprechung, scheidet mithin ein hypothetischer Ersatz1 Bär, ZIS 2011, 53. 2 Glaser/Gedeon, GA 2007, 415 (437 ff.).
562
Trg/Mansdçrfer
IV. Notwendige Strafverfolgungsvorsorge
Rz. 51
Teil 7
eingriff a priori aus, so können die erhobenen Daten nicht als Beweismittel in das Strafverfahren transferiert werden1. Selbst wenn die Voraussetzungen eines hypothetischen Ersatzeingriffs 49 nicht vorliegen, ist Folge nicht die vollständige Unverwertbarkeit bzw. Sperrung der Daten. Vielmehr dürfen die Erkenntnisse als sog. Spurenansatz für weitere Ermittlungen verwendet werden, mit dem Ziel, aus einem solchen Spurenansatz weitere Hinweise auf Beweismittel für eine Straftat zu erlangen. Das deutsche Strafrecht kennt also gerade keine dem common law vergleichbare „fruit oft he poisonous tree“-Doktrin2.
IV. Notwendige Strafverfolgungsvorsorge seitens der CloudDiensteanbieter und Cloud-Nutzer Die Ermittlungen der Strafverfolgungsbehörden können sich – wie be- 50 reits angesprochen – ohne weiteres auch auf die Anbieter und Nutzer von Cloud-Diensten erstrecken. Diensteanbieter werden dabei regelmäßig nicht als Verdächtige, sondern als Dritte (sog. Nichtverdächtige) in das Ermittlungsverfahren einbezogen (vgl. nur § 103 StPO). Sowohl Anbieter als auch Nutzer von Cloud-Diensten sollten daher – wie grundsätzlich alle Unternehmen hinsichtlich ihrer spezifischen strafrechtlichen Risikobereiche3 – präventive Beratung in Anspruch nehmen und bereits im Rahmen der grundlegenden organisatorischen Strukturierung ihres Unternehmens ihr Cloud Computing-System an das bestehende Strafbarkeitsrisiko (unten Rz. 79 ff.) und an erwartbare Anfragen der Staatsanwaltschaften anpassen (sog. strafrechtliche Compliance). Die hier gebotene Strafverfolgungsvorsorge umfasst sowohl personelle als auch technische Organisationsmaßnahmen. 1. Personell-organisatorische Strafverfolgungsvorsorge In personeller Hinsicht ist zu empfehlen, bereits im Vorfeld, d.h. losge- 51 löst von einem konkreten Ermittlungsverfahren, einen festen Ansprechpartner im Unternehmen (einschließlich Vertreter) zu bestimmen, der im Fall etwaiger Anfragen seitens der Ermittlungsbehörden mit diesen kommuniziert und auf diese Weise gewährleistet, dass mögliche Ermittlungsmaßnahmen den laufenden Geschäftsbetrieb nicht beeinträchtigen. Ermittlungsbeamte erwarten heute gerade bei größeren Unternehmen oftmals, dass diese auf Anfragen der Strafverfolgungsbehörden vorbereitet sind und professionelle sowie strafprozessual geschulte Ansprechpartner zur Verfügung stehen. Ein solcher unternehmensinterner Ansprechpartner muss über hinreichend Wissen und interne Kompetenzen ver1 KK-StPO/Griesbaum, § 161 Rz. 35. 2 Vgl. BVerfG v. 30.6.2005 – 2 BvR 1502/04, NStZ 2006, 46. 3 Ausführlich hierzu mit vielen praktischen Hinweisen und Checklisten Mansdörfer/Habetha, Das strafrechtliche Risikoprofil des Unternehmers, 2014. Trg/Mansdçrfer
563
Teil 7
Rz. 52
Strafrecht und Strafprozessrecht
fügen, um gewöhnliche Ermittlungsbegehren intern kommunizieren und die erforderlichen Schritte im Unternehmen durchsetzen zu können. Dazu gehört neben einem entsprechenden (straf)rechtlichen Vorwissen etwa ein direkter Draht zur Unternehmensleitung ebenso wie hinreichende (Eil-)Entscheidungskompetenzen oder ein unmittelbares, uneingeschränktes und gegenüber anderen Aufgaben prioritäres Weisungsrecht gegenüber den entsprechenden Personen in den technischen Abteilungen des Diensteanbieters. Wird eine Kooperation mit den Ermittlungsbeamten abgelehnt, besteht die konkrete Gefahr, dass die Strafverfolgungsbehörden zur Durchsetzung der anstehenden Ermittlungsmaßnahmen die Hardware etc. des Unternehmens in weit größerem Umfang beschlagnahmen bzw. sonst beeinträchtigen als bei kooperativem Verhalten. 2. Technisch-organisatorische Strafverfolgungsvorsorge 52
Von ebenso großer Bedeutung ist eine technisch-organisatorische Strafverfolgungsvorsorge. Weil die Ermittlungsbehörden auch beim Anbieter von Cloud-Diensten als einem nicht-verdächtigten Dritten (§ 103 StPO) durchsuchen können, muss sich auch der redliche Diensteanbieter bzw. -nutzer auf Durchsuchungsmaßnahmen der Staatsanwaltschaft einstellen. Wenn ein Diensteanbieter oder -nutzer im Besitz von Daten ist, die als Beweismittel in einem Strafverfahren von Bedeutung sein können, so ist er gem. § 95 StPO verpflichtet, diese auf Anforderung vorzulegen und auszuliefern (vgl. bereits oben Rz. 46). Die Pflicht zur Vorlage und Herausgabe der Daten ist regelmäßig unverzüglich zu erfüllen. Sollte der Diensteanbieter die Herausgabe der Daten verweigern, so kann ein Ordnungsgeld gegen ihn verhängt werden (§ 95 Abs. 3 i.V.m. § 70 StPO). Bestehen Unklarheiten darüber, ob Daten generell beschlagnahmefrei sind, so sollte der Beschlagnahme zunächst widersprochen und die Daten, soweit möglich, separiert werden. Dann sollte der Datenspeicher in versiegelter Form übergeben werden. Die Beschlagnahmefreiheit kann dann im unmittelbaren Anschluss mit der Staatsanwaltschaft geklärt werden.
53
Es empfiehlt sich aus Sicht des Cloud-Diensteanbieters daher aus strafrechtlichen – und nicht nur datenschutzrechtlichen – Gründen, die Daten grundsätzlich für jeden Kunden logisch separiert und physisch getrennt reproduzierbar vorzuhalten. Eine physische Separierung der Datenbestände ist nicht erforderlich. Regelmäßig wird es genügen, wenn die Daten eines Kunden vervielfältigt und dann in Form einer Sicherungskopie an die Ermittlungsbehörden herausgegeben werden können.
54
Der Diensteanbieter sollte darüber hinaus Sorge dafür tragen, dass er den Datenbestand eines Nutzers zumindest zum Zeitpunkt der Anfrage der Ermittlungsbehörden „einfrieren“ kann. Von diesen Daten sollte dann eine dauerhafte Sicherungskopie angefertigt werden, die den Ermittlungsbehörden ausgehändigt werden kann. Dazu sollte der Diensteanbieter bereits im Vorfeld Lese-, Lösch- und Editierberechtigungen klar und eindeutig festlegen und konkreten Einzelpersonen zuweisen. Unterneh564
Trg/Mansdçrfer
IV. Notwendige Strafverfolgungsvorsorge
Rz. 58
Teil 7
mensinterne IT-Richtlinien sollten gerade bei Diensteanbietern inzwischen selbstverständlich sein. Auch der von einer Durchsuchung potentiell betroffene Cloud-Nutzer 55 sollte entsprechende Vorsorgemaßnahmen treffen. Er sollte sicherstellen, dass die Daten der Mitarbeiter so separiert sind, dass auch ein Zugriff auf einzelne Daten eines Mitarbeiters möglich ist, um für den Fall, dass dieser Ziel der Ermittlungsmaßnahmen ist, nicht auch die Daten der übrigen Mitarbeiter oder gar die Abläufe des Unternehmens zu gefährden. Wenn die Daten eines Nutzers den Ermittlungsbehörden ausgehändigt 56 wurden, besteht grundsätzlich keine Pflicht des Diensteanbieters, die Daten noch für einen gesetzlich bestimmten Zeitraum vorzuhalten. Er sollte die Daten jedoch weiter im Rahmen der gegenüber dem Nutzer bestehenden vertraglichen Verpflichtung aufbewahren. Eine umfangreiche Durchsuchung kann sich im Einzelfall über mehrere 57 Tage erstrecken. Zur Vermeidung von Verdunkelungshandlungen können die Ermittlungsbeamten z.B. Räume, Aktenschränke oder EDV-Anlagen versiegeln. Erst recht ist nicht ausgeschlossen, dass auch Kunden des Unternehmens von den Ermittlungshandlungen erfahren oder im Falle einer Durchsuchung beim Diensteanbieter sogar in ihrem Betrieb beeinträchtigt werden. Ausmaß und Folgen von Durchsuchungshandlungen können praktisch regelmäßig dadurch abgemildert werden, dass die durch den jeweiligen Durchsuchungsbeschluss gedeckten Daten freiwillig an die Ermittlungsbehörden herausgegeben werden (vgl. hierzu oben Rz. 46). Der Diensteanbieter ist gem. § 100b Abs. 3 StPO ohnehin verpflichtet, die für eine Maßnahme nach § 100a StPO zur Überwachung der Telekommunikation notwendigen Daten den Ermittlungsbehörden zur Verfügung zu stellen. Eine zivilrechtliche Schadensersatzpflicht gegenüber Kunden wegen der Herausgabe dieser Daten scheidet dann aus. Der Diensteanbieter kommt mit der Herausgabe der Daten regelmäßig lediglich den ihm strafprozessual auferlegten Pflichten nach, sodass sein Verhalten zivilrechtlich nicht rechtswidrig ist. In keinem Fall sollten Angestellte ohne vorherige Rücksprache mit den 58 Ermittlungsbehörden Daten löschen, vernichten oder sonst beiseite schaffen. Derartige Verhaltensweisen können als Verdunkelungshandlungen angesehen werden, die – falls sich die strafrechtlichen Ermittlungen gegen Kunden oder Mitarbeiter richten – als Strafvereitelung, Begünstigung oder Beihilfe zur Haupttat zu einer Bestrafung oder – falls sich die Ermittlungen gegen Verantwortliche des Unternehmens selbst richten – auch zur Anordnung von Untersuchungshaft führen können.
Trg/Mansdçrfer
565
Teil 7
Rz. 59
Strafrecht und Strafprozessrecht
V. Compliance bei IT-Outsourcing in die Cloud 1. Allgemeines zum Outsourcing aus strafrechtlicher Sicht 59
Beim Outsourcing von Unternehmensprozessen sollen durch die Spezialisierung und Typisierung von einzelnen Handlungen Skaleneffekte generiert werden, mit deren Hilfe ein betriebswirtschaftlicher Vorteil erzielt werden kann. Beim Outsourcing von IT-Strukturen in die Cloud ist grundsätzlich besondere Sorgfalt geboten. Will ein Unternehmen ITStrukturen in die Cloud verlagern und somit als Nutzer von CloudDiensten auftreten, müssen im Vorfeld die bestehenden IT-Verhaltensrichtlinien, die unternehmensinterne E-Mail-Politik und die Vorgaben zur privaten Nutzung von Social Media abgestimmt werden. Hierbei sollten Mitarbeiter- und Unternehmensdaten stets logisch (nicht notwendigerweise physisch) voneinander getrennt werden. Der Diensteanbieter muss stets damit rechnen, dass die Strafverfolgungsbehörden auch wegen möglicher „privater“ Straftaten der Mitarbeiter auf im Unternehmen vorhandene Daten und Programme der Mitarbeiter (wegen privater Straftaten der Mitarbeiter) zugreifen1.
60
Ein unbekümmerter Umgang mit Daten kann im Übrigen leicht zu Kollisionen mit straf- und ordnungswidrigkeitenrechtlich sanktionierten Vorgaben des Datenschutzes führen2. Gerade in jüngster Zeit sind insbesondere die durch § 203 StGB (Verletzung von Privatgeheimnissen) gesetzten Schranken in den Fokus auch der Ermittlungsbehörden gerückt. Die dort abschließend aufgezählten Berufsgeheimnisträger machen sich strafbar, wenn sie Geheimnisse aus dem persönlichen Lebensbereich, Berufs- oder Geschäftsgeheimnisse ihrer Klienten an andere offenbaren. Für Steuerbehörden werden ähnliche Schranken durch § 355 StGB (Verletzung des Steuergeheimnisses) gesetzt; im übrigen Bereich der öffentlichen Verwaltung fordert § 353b StGB (Verletzung des Dienstgeheimnisses) für die Strafbarkeit über das Offenbaren eines Geheimnisses hinaus die Gefährdung wichtiger öffentlicher Interessen. Die nach §§ 203, 352b, 355 StGB geschützten Daten müssen in einer Weise verwahrt werden, dass es Dritten nicht möglich ist, Kenntnis zu nehmen. 2. Erscheinungsformen des Outsourcing
61
Grundlegend muss zwischen zwei verschiedenen Formen des Outsourcing unterschieden werden: dem externen Outsourcing als „echtem“ Outsourcing. Hier werden Geschäftsprozesse faktisch an externe Dienstleister ausgelagert, und dem internen Outsourcing, wo Prozesse intern spezialisiert abgearbeitet werden. Outsourcing an externe Dienstleister ohne eine hinreichende Kontroll- und Steuerungsmöglichkeit ist in Be1 Beispielhaft zu möglichen innerbetrieblichen Regelungen Rath/von Barby in Umnuß, Corporate Compliance, Kap. 7. 2 Sieber, Straftaten und Strafverfolgung im Internet, S. C 20; speziell zu Fragen des Datenschutzes in der Cloud oben Teil 4 Rz. 41 ff., 285 ff.
566
Trg/Mansdçrfer
V. Compliance bei IT-Outsourcing in die Cloud
Rz. 65
Teil 7
zug auf strafrechtlich geschützte geheime Daten grundsätzlich unzulässig. § 203 StGB statuiert insoweit ein klares Verbot1. Die lediglich interne Auslagerung von Geschäftsprozessen (sog. internes Outsourcing) wird dagegen einhellig als rechtlich zulässig erachtet2. Internes Outsourcing ist eine Form der unternehmensinternen Optimierung und stellt eine Substitutionsform des externen Outsourcing dar. Auch mit Blick auf das externe Outsourcing umstritten ist indes freilich 62 nicht selten das Vorliegen der tatbestandlichen Voraussetzungen des § 203 StGB: 3. Zu den Voraussetzungen des § 203 StGB (Verletzung von Privatgeheimnissen) Es besteht Uneinigkeit, ob ein Geheimnis erst offenbart wird, wenn das 63 Geheimnis einer anderen Person „mitgeteilt“ wird3 oder bereits dann, wenn Dritten die bloße Möglichkeit der Kenntnisnahme eingeräumt wurde. Im Vordringen ist die Unterscheidung zwischen verkörperten und unverkörperten Geheimnissen. Sind Geheimnisse an sich unverkörpert, sollen sie nur in der Weise offenbart werden können, dass sie einer anderen Person mitgeteilt werden. Verkörperte Geheimnisse, zu denen auch eine Verkörperung in Form eines elektronisch zu verarbeitenden Datensatzes gehört, werden bereits dann offenbart, wenn anderen die Möglichkeit zur Kenntnisnahme eröffnet wird4. § 203 Abs. 1 StGB bezieht das Verbot der Weitergabe von Privatgeheim- 64 nissen zunächst auf bestimmte Berufsgruppen (dazu ausführlich unten Teil 8 D Rz. 12 ff.). In § 203 Abs. 3 Satz 2 StGB werden den in § 203 Abs. 1 StGB genannten Personen deren „berufsmäßig tätigen Gehilfen“ gleichgestellt. Aus dieser Systematik wird allgemein abgelesen, dass die Mitteilung geheimhaltungsbedürftiger Daten an die berufsmäßigen Gehilfen zulässig ist. Ein geringerer Konsens besteht über die Frage, unter welchen Umständen eine Person als „berufsmäßiger Gehilfe“ angesehen werden kann5. Eine solche Gehilfenschaft ist jedenfalls bei einer abhängigen Beschäftigung mit einem entsprechenden Direktionsrecht des Arbeitgebers6 anzunehmen. Ein lediglich gelegentliches Tätigwerden in Randbereichen der berufsmäßigen Geschäftsausübung reicht dagegen nicht aus. Jenseits dieser Typisierung wurde in der Literatur eine Reihe von Krite- 65 rien aufgestellt, die erfüllt sein sollten, um eine Person als Gehilfe ein1 Ganz h.M., stellvertretend Hilgendorf in FS Tiedemann, S. 1125 ff. 2 Stellvertretend Lilie in FS Harro Otto, S. 673 (688); Bräutigam, AnwBl. 2012, 487; Recktenwald, AnwBl. 2012, 489; Spatscheck, AnwBl. 2012, 478 (479). 3 Fischer, StGB, § 203 Rz. 30. 4 MüKo-StGB/Cierniak, § 203 Rz. 48, 52. 5 Siehe ergänzend auch die Ausführungen unten Teil 8 D Rz. 47 ff. 6 LK-StGB/Schünemann, § 203 Rz. 77. Trg/Mansdçrfer
567
Teil 7
Rz. 66
Strafrecht und Strafprozessrecht
zustufen. Im Einzelnen wurden folgende Kriterien herausgearbeitet: das Bestehen einer Kontroll- und Steuerungsbefugnis1, die (organisatorische) Einbindung in den Geschäftsbetrieb2, das Vorliegen einer unmittelbaren Zusammenarbeit3, die Dauer und die Häufigkeit der Zusammenarbeit4, der Umfang des Auftrages5 sowie die zu §§ 97 Abs. 2 Satz 2, 53a StPO ergangene Rechtsprechung6. Ein allgemeiner Cloud-Anbieter ist danach kein Gehilfe i.S.v. § 203 Abs. 2 StGB. 4. Inhaltliche und logische Trennung von Datenbeständen 66
Generell sollte bereits beim Outsourcing auf die inhaltliche und logische Trennung verschiedener Arten von Datenbeständen (z.B. Geschäftsvorfälle, Personaldaten, Finanzverwaltung) geachtet werden. Auf diese Weise kann die Gefahr von Zufallsfunden (vgl. unten Rz. 92 ff.) durch eine übermäßige Beschlagnahme von Daten entgegen gewirkt werden. 5. Outsourcing in Shared Service Center (SSC)
67
Vergleichbare Fragen stellen sich auch bei der seit einigen Jahren verstärkten Ausgliederung von Geschäftsprozessen in sog. Shared Service Center (SSC), bei denen das Eigenkapital meist zu 100 % vom outsourcenden Unternehmen bereitgestellt wird. Durch die Kapitalmehrheit behält das ausgliedernde Unternehmen weiterhin die direkte und alleinige Kontrolle über das Tochterunternehmen. Soweit ersichtlich wird diese Form des Outsourcing bislang gerade auch strafrechtlich nicht bzw. allenfalls am Rande erörtert. Bei der Beurteilung besteht daher erhebliche Rechtsunsicherheit7. Obwohl bei derartigen Geschäftsauslagerungen nach wie vor eine hinreichende Kontroll- und Steuerungsmöglichkeit des outsourcenden Unternehmens besteht, bleibt doch ein Risiko, dass solche Auslagerungen (zumindest teilweise) als unzulässig und strafrechtlich relevant angesehen werden. Gründe hierfür könnten eine Einschränkung des Gehilfenbegriffs auf natürliche Personen sein (vgl. oben Rz. 65) sowie mögliche, vom eigentlichen Geschäftszweck des Berufsträgers divergierende weitergehende bzw. eigenständige Geschäftszwecke der neuen Dienstleistungseinheit.
68
In jedem Fall sollte im Fall des Outsourcing von Aufgaben in ein SSC zum Zweck der Sicherung des Gehilfenprivilegs des § 203 Abs. 3 Satz 2 1 2 3 4 5 6
Heghmanns/Niehaus, NStZ 2008, 57 (61 ff.). NK-StGB/Kargl, § 203 Rz. 38; Fischer, StGB, § 203 Rz. 21. Lilie in FS Harro Otto, S. 673 (676). Spatscheck, AnwBl. 2012, 478 (479). Spatscheck, AnwBl. 2012, 478 (479). Vgl. auch die entsprechenden Anforderungen in § 80 SGB X, dazu unten Teil 8 E Rz. 37. 7 Durchaus Outsourcing freundlich sind aber die Entscheidungen BGH v. 10.8.1995 – IX ZR 2004/94, NJW 1995, 2915, (2916); BGH v. 10.2.2010 – VIII ZR 53/09, NJW 2010, 2509.
568
Trg/Mansdçrfer
VI. Einzelfragen
Rz. 70
Teil 7
StGB ein über das faktische oder rechtliche Beherrschungsverhältnis hinausgehender Datenschutzvertrag geschlossen werden. Ein derartiger Vertrag sollte folgenden Mindestinhalt aufweisen1: die Verpflichtung des SSC, dem Auftraggeber tagesaktuell mitzuteilen, welche Mitarbeiter des SSC Zugriff auf die Datenbestände des Auftraggebers haben und mit der Verarbeitung erfasst sind; die Verpflichtung des SSC, die eingesetzten Mitarbeiter speziell datenschutzrechtlich zu schulen; ein direktes Weisungsrecht des Auftraggebers gegenüber den Angestellten des SSC; die Verpflichtung der Angestellten des SSC zur Geheimhaltung unmittelbar gegenüber dem Auftraggeber, d.h. nicht nur gegenüber dem SSC als Arbeitgeber, und das Recht des Auftraggebers, den Austausch einzelner Angestellter des SSC zu fordern. Cloud-Anbieter werden solch strenge Datenschutzverträge freilich nur ungern eingehen.
VI. Einzelfragen Über die bisher behandelten Punkte hinaus stellen sich im Umgang mit 69 dem Phänomen des Cloud Computing weitere straf- und strafverfahrensrechtliche Einzelfragen, die in verschiedenen Kontexten von Bedeutung sind. Die Fragen werden daher nachfolgend (nochmals) eigenständig angesprochen und diskutiert. 1. Back-Up-Dateien Für die Beurteilung der Verhältnismäßigkeit einzelner strafprozessualer 70 Maßnahmen kann es von Bedeutung sein, ob die Strafverfolgungsbehörden, etwa um den laufenden Geschäftsbetrieb eines Unternehmens nicht zu gefährden, auf die Beschlagnahme, Sicherstellung oder sonstige Verwendung von Back-up-Dateien verwiesen werden können2. Ist dies der Fall, so gibt es für den Rückgriff auf die eigentlichen (Original-)Dateien regelmäßig keinen rechtfertigenden Grund3. Diese Frage wird regelmäßig dort virulent, wo die Ermittlungsbehörden den Bestand bestimmter Daten zu einem konkreten Stichtag im Blick haben. Ein solcher Bestand kann technisch durch sog. Back-up-Dateien ermittelt werden. Ob der Diensteanbieter Back-up-Daten gespeichert hat, welche die an einem bestimmten Tag oder Woche etc. gespeicherten Daten sichern, hängt u.a. davon ab, welche Vereinbarung mit dem Kunden getroffen sind. Wenn Back-ups vorhanden sind, müssen die Daten ggf. vom Back-up-Medium erst wieder auf das System (d.h. die vom Kunden genutzte Software) 1 Vgl. dazu Kort, NStZ 2011, 193 (195). 2 Regelmäßig wird dies der Fall sein, vgl. auch Szesny, WiJ 2012, 228; BVerfG v. 12.4.2005 – 2 BvR 1027/02, ZUM-RD 2005, 322 (329 ff.), legt den Ermittlungsbehörden ein grundsätzlich selektives Vorgehen nahe. 3 Ähnlich unter Bezug auf den Gedanken der Verhältnismäßigkeit Nack, Karlsruher Kommentar, § 94 Rz. 4; LG Aachen v. 14.6.2000 – 65 Qs 60/00 betrachtet die Aufrechterhaltung einer Beschlagnahme eines Computers über einen Zeitraum von zwei Monaten. Trg/Mansdçrfer
569
Teil 7
Rz. 71
Strafrecht und Strafprozessrecht
hochgeladen werden, um lesbar zu sein. In diesem Fall ist es möglich, bestimmte Daten auch bezogen auf konkrete zeitliche Vorgänge zu erhalten und ggf. jede einzelne Änderung der Daten (z.B. einzelner Dokumente) nachzuvollziehen1. 2. Berufsgeheimnisträger 71
Für die in § 203 StGB genannten Berufsgeheimnisträger kann Cloud Computing zu einer unerwarteten „Strafbarkeitsfalle“ werden (dazu bereits oben Rz. 63 ff.). Die Geheimhaltungspflicht besteht grundsätzlich gerade auch im Rahmen der automatisierten Verarbeitung von Daten, der bloßen Speicherung der Daten, des Austauschs der Daten unter Berufskollegen bis hin zum Inkasso offener Forderungen weiter.
72
Zwar hat das Bundesverfassungsgericht in einer frühen Entscheidung die Weitergabe von Geheimnissen unter Geheimnisträgern jedenfalls dann für rechtmäßig erachtet, wenn die rechtliche Beziehung durch die Merkmale der Anonymität und der Schweigepflicht des Dritten gekennzeichnet war2. Die höchstrichterliche Rechtsprechung in Zivilsachen hat dieser durch das Verfassungsgericht verfochtenen Linie freilich die Gefolgschaft verweigert. Eine pauschale Befugnis zur Weitergabe von Daten unter Geheimnisträgern wird danach abgelehnt3. Nach dieser Auffassung des Bundesgerichtshofs verletzt etwa ein Vertrag über die Veräußerung einer Arztpraxis, Anwalts- oder Steuerberaterkanzlei, in der sich der Veräußerer zur Übergabe der kompletten Mandantenakten ohne Einwilligung der Mandanten verpflichtet, deren jeweiliges informationelles Selbstbestimmungsrecht. In der Konsequenz ist der Kaufvertrag selbst zivilrechtlich wegen § 134 BGB nichtig und der Veräußerer macht sich gem. § 203 StGB strafbar.
73
Selbst einzelne Daten aus dem persönlichen Lebensbereich dürfen nur in Ausnahmefällen weitergegeben werden, wenn sich aus dem speziellen Beratungsverhältnis eine diesbezügliche Notwendigkeit ergibt. Eine solche Notwendigkeit wurde etwa für die Weitergabe von Daten durch einen Berufsgeheimnisträger an einen Anwalt zum Zwecke der Forderungsdurchsetzung anerkannt, da der Berufsgeheimnisträger andernfalls rechtlos gestellt würde4.
74
Wenn und soweit ein Berufsgeheimnisträger Cloud-Dienste nutzen will, sollte er, etwa im Rahmen einer speziellen Datenschutzerklärung, die
1 Vgl. beispielhaft wiederum den Cloud Computing-Anbieter Dropbox www.drop box.com/help/11/en (Abruf v. 23.8.2012): „Dropbox is like a time machine. It keeps snapshots of every change in your Dropbox folder (…)“. 2 BVerfG v. 29.4.1996 – 1 BvR 1226/89, NJW 1997, 1633. 3 Vgl. bereits BGH v. 11.12.1991 – VIII ZR 4/91, BGHZ 116, 268 ff.; bestätigt durch BGH v. 13.6.2001 – VIII ZR 176/00, NJW 2001, 2462. 4 BGH v. 5.12.1995 – X ZR 121/93, NJW 1996, 775 (776) m.w.N.
570
Trg/Mansdçrfer
VI. Einzelfragen
Rz. 78
Teil 7
den Umfang der automatisierten Datenverarbeitung beschreibt, ex ante die Zustimmung seines Mandanten einholen1. 3. Höchstpersönliche Daten Soweit in der Cloud Daten abgelegt werden, die dem höchstpersönlichen 75 Lebensbereich einer Person (Kernbereich bzw. Intimbereich der Persönlichkeit) zuzuordnen sind, stehen diese Daten auch strafprozessual unter besonderem Schutz. Einfachgesetzlichen Niederschlag gefunden hat der Schutz höchstpersönlicher Daten in § 100a Abs. 4 StPO (siehe auch oben Rz. 22 ff.). Nach § 100a Abs. 4 Satz 2 u. 3 StPO dürfen Erkenntnisse aus dem Kernbereich privater Lebensgestaltung, die durch eine Maßnahme zur Überwachung der Telekommunikation nach Abs. 1 erlangt wurden, nicht verwertet werden (Satz 2) und sind unverzüglich zu löschen (Satz 3). Die Vorschrift spiegelt die grundlegende verfassungsrechtliche Rechtsprechung zum absoluten Schutz des Kernbereichs der Persönlichkeit wider2. Die durch das Bundesverfassungsgericht aus dem Gedanken der Menschenwürde entwickelten Überlegungen sind jedenfalls für strafprozessuale Eingriffe verallgemeinerbar. 4. Passwörter und IT-Sicherheit Bei einer privaten Cloud ändert sich bezüglich der allgemeinen Security 76 und der Ablage/Verwaltung der Kennworte nichts gegenüber herkömmlicher IT. Das Unternehmen verfügt hier über die maßgeblichen Informationen selbst. Darüber hinaus hält der Anbieter die Login-Daten zum Abgleich vor. Bei der Public Cloud hingegen werden Kennworte u.U. beim Cloud-Pro- 77 vider gespeichert. Vergeben werden diese aber nach wie vor vom Nutzer bzw. (bei Unternehmen als Nutzern) von dessen Administratoren. Möglich ist aber auch die Zugangskontrolle über Cloud-Identity-Management. Dann liegen die Kennworte nicht beim Provider, sondern beim Anbieter des Cloud-Identity-Managements3. Diensteanbieter untersagen ihren Angestellten regelmäßig die Einsicht 78 in konkrete Nutzerdaten und beschränken die Kenntnis der eigenen Angestellten regelmäßig auf Metadaten (z.B. Dateinamen und Speicherorte).
1 In diesem Sinn auch Kroschwald/Wicker, CR 2012, 758 (763). 2 Grundlegend bereits BVerfG v. 14.9.1989 – 2 BvR 1062/87, NStZ 1990, 89; BVerfG v. 27.7.2005 – 1 BvR 668/04, NJW 2005, 2603; zur Verfassungsgemäßheit der Neufassung von § 100a Abs. 4 StPO nunmehr BVerfG v. 12.10.2011 – 2 BvR 236/08, 2 BvR 237/08, 2 BvR 422/08, NJW 2012, 833. 3 Vgl. dazu Gesellschaft für Informatik e.V. MMR-Aktuell 2010, 312179 mit zehn Thesen zu Sicherheit und Datenschutz in Cloud Computing. Trg/Mansdçrfer
571
Teil 7
Rz. 79
Strafrecht und Strafprozessrecht
Gleichwohl können Diensteanbieter nicht umhin, zumindest einen kleinen Personenkreis Zugang zu den Nutzerdaten zu gewähren1. 5. Strafrechtliche Verantwortlichkeit der Anbieter von Cloud-Diensten 79
Die strafrechtliche Verantwortlichkeit der Anbieter von Cloud-Diensten wird im Schrifttum bislang nicht erörtert. Dieser Umstand ist insbesondere vor folgendem doppelten Hintergrund bemerkenswert: Die strafrechtliche Haftung von Internetprovidern wurde erstens gerade zu Beginn der generellen Diskussion des Themas „Internet und Strafrecht“ sehr heftig diskutiert und schließlich in den allgemeinen gesetzlichen Regelungen der §§ 7–10 TMG niedergelegt2. Zweitens beginnt aktuell eine entsprechende Diskussion um die strafrechtliche Verantwortlichkeit des sog. Admin-C (adminstrative contact) und des Usenet-Providers3. Die strafrechtliche Verantwortlichkeit der Anbieter von Cloud-Diensten ist in diesem Zusammenhang zu sehen und an die dort entwickelten Grundsätze anzulehnen.
80
Die genaue Begrenzung der strafrechtlichen Verantwortlichkeit eines Anbieters von Cloud-Diensten bedürfte einer ausführlichen monographischen Untersuchung. Holzschnittartig können folgende Aussagen getroffen werden: Auch die Anbieter von Cloud-Diensten sind nicht generell von einer strafrechtlichen Verantwortlichkeit freigestellt. Mangels einer expliziten gesetzlichen Sonderregelungen folgt die Verantwortlichkeit von Anbietern von Cloud-Diensten derzeit den allgemeinen strafrechtlichen (Zurechnungs-)Grundsätzen.
81
Nach diesen Grundsätzen sind Anbieter von Cloud-Diensten immer dann – wegen Beihilfe gem. § 27 StGB – strafbar, wenn sie ihre CloudDienste vorsätzlich zur Förderung von konkreten kriminellen Handlungen zur Verfügung stellen. Praktisch wird die drohende Beihilfestrafbarkeit allerdings durch die inzwischen gefestigte Rechtsprechung zur Einschränkung der Beihilfe durch berufstypische Handlungen (sog. neutrale Beihilfe) relativiert. Ein Berufsträger ist danach nicht bereits dann wegen Beihilfe strafbar, wenn er es im Sinne eines sog. Eventualvorsatzes lediglich für möglich hält, dass ein Kunde mithilfe der von ihm angebotenen Leistung eine Straftat begeht. Nach herrschender Auffassung4 ist der 1 Stellvertretend für den Cloud Computing-Dienst „Dropbox“ www.dropbox. com/help/27/en (Abruf v. 23.8.2012): „Dropbox employees are prohibited from viewing the content of files you store in your Dropbox account, and are only permitted to view file metadata (e.g. file names and locations). Like most online services, we have a small number of employees who must be able to access user data for the reasons stated in our privacy policy (e.g., when legally required to do so).“ 2 Vgl. auch die entsprechende Feststellung von Kudlich, StV 2012, 560. 3 Dazu stellvertretend B. Gercke, GA 2012, 474 (475 ff.) auch mit Hinweisen zu Rechtsprechung aus dem Zivil- und dem öffentlichen Recht. 4 Grundlegend war insoweit die Entscheidung BGHSt 46, 107 (112).
572
Trg/Mansdçrfer
VI. Einzelfragen
Rz. 84
Teil 7
Berufsträger nur dann strafbar, wenn er sich mit dem Haupttäter „solidarisiert“ und diesem wissentlich Hilfe leistet oder wenn er einen „erkennbar tatgeneigten Täter“ unterstützt. An diesen Voraussetzungen wird es bei Anbietern von Cloud-Diensten aufgrund des typischerweise anonymen Massenverkehrs in aller Regel fehlen. Generell ausgeschlossen ist eine entsprechende Verantwortlichkeit allerdings nicht. Besondere Probleme wirft die strafrechtliche Verantwortlichkeit des 82 Cloud-Anbieters in all denjenigen Situationen auf, in denen der Anbieter etwa durch außenstehende Dritte positive Kenntnis von einem strafbaren Missbrauch seiner Dienste erhält. In derartigen Fällen kann gegenüber dem Anbieter der Vorwurf erhoben werden, nach Kenntniserlangung dem Kunden seine Dienste weiter zur Verfügung gestellt zu haben und dadurch nachfolgende Taten gefördert zu haben. Darüber hinaus steht in derartigen Fällen ohne weiteres eine strafrechtliche Verantwortlichkeit wegen begehungsgleichen Unterlassens nach § 13 StGB im Raum, wenn der Anbieter des Cloud-Dienstes keine Maßnahmen unternimmt, um ihm bekannt gewordene Missstände abzustellen. Konkret wird der Anbieter insoweit Maßnahmen ergreifen müssen, um einen strafrechtlich relevanten Missbrauch der von ihm angebotenen Dienste zu unterbinden (etwa durch das Löschen eines bestimmten Profils oder das Sperren von Zugriffen bzw. des Zugangs). Die persönliche Verantwortlichkeit innerhalb des Anbieters von Cloud- 83 Diensten wird rechtspraktisch tendenziell auf der Ebene der Geschäftsführung verortet. Gerade bei Unterlassungsvorwürfen geht die Rechtsprechung im Ansatz von einer Allzuständigkeit und Generalverantwortlichkeit der Geschäftsführung aus. Dieser Ansatz hat zur Folge, dass gerade in strafrechtlichen Ermittlungsverfahren sehr häufig zumindest bei dem ersten Zugriff (auch) die Geschäftsführung im Fokus der Ermittlungen steht (sog. Top-down-Ermittlungen)1. Bereits aus diesem Grund muss die Geschäftsleitung jederzeit auf ein rechtmäßiges Handeln der im Unternehmen angestellten Mitarbeiter hinwirken (Corporate Compliance). Erhebliche Zurückhaltung übt die Rechtsprechung, wenn es darum geht, den Anbietern von Internetdiensten Prüfungspflichten in Bezug auf die bei ihnen eingestellten Inhalte aufzuerlegen2. 6. Verschlüsselung von Daten Angesichts der beschriebenen straf- und datenschutzrechtlichen Anfor- 84 derungen, aber auch wegen der weitreichenden Zugriffsmöglichkeiten der Ermittlungsbehörden stellt sich die Frage nach der Bedeutung von Verschlüsselungsprogrammen.
1 Ausführlich dazu Mansdörfer, Zur Theorie des Wirtschaftsstrafrechts, 2012, Rz. 610 ff. 2 Näher dazu B. Gercke, GA 2012, 474 (475 ff.). Trg/Mansdçrfer
573
Teil 7
Rz. 85
Strafrecht und Strafprozessrecht
85
Die straf- und datenschutzrechtlichen Anforderungen an den Umgang mit personenbezogenen Daten können nicht allein dadurch umgangen werden, dass die entsprechenden Daten verschlüsselt werden. Nach der zutreffenden herrschenden Auffassung verlieren die Daten ihren Personenbezug und ggf. ihren Kernbereichsbezug nicht schon deshalb, weil die Daten verschlüsselt sind1. Die Verschlüsselung der Daten ändert nicht den Inhalt der Daten, sondern erschwert lediglich den Zugriff.
86
Die Verschlüsselung von Daten bietet ferner trotz des damit erschwerten Zugriffs auf den gespeicherten Inhalt einen häufig nur geringen Schutz vor einem Zugriff der Ermittlungsbehörden: Die technische Ausstattung und Kompetenz der Strafverfolgungsbehörden, namentlich der Landeskriminalämter, ist inzwischen in einem Maß vorangeschritten, dass die meisten Verschlüsselungsprogramme etc. keinen Schutz vor Zugriffen Dritter bieten2. Wenn es den Ermittlungsbehörden im Einzelfall nicht möglich sein sollte, auf die verschlüsselten Daten zuzugreifen, kann die Verschlüsselung den Eindruck vermitteln, der Betroffene habe mit der Verschlüsselung Verdunkelungshandlungen vorgenommen. Im Ergebnis kann dies – zusammen mit anderen Erkenntnissen – die Anordnung von Untersuchungshaft wegen Verdunkelungsgefahr gem. § 112 Abs. 2 Nr. 3 StPO oder wegen sog. apokrypher, d.h. contra legem herbeigeführter Haftgründe3 befördern. Auch Nichtbeschuldigte müssen, wenn sie als Zeugen befragt werden, wahrheitsgemäß Zugangscodes oder ihr Wissen über Verschlüsselungen offenbaren4. Eine Pflicht zur eigenhändigen Entschlüsselung besteht dagegen nicht.
87
Die praktische Bedeutung von Verschlüsselungsprogrammen hat angesichts der vorgenannten Ermittlungsbefugnisse weniger prozessuale Bedeutung, sondern liegt in erster Linie im Umgang mit personenbezogenen und geheimhaltungspflichtigen Daten: Wenn und soweit Daten verschlüsselt sind, wird Dritten die Kenntnisnahme jedenfalls erschwert. Daten, die daher in verschlüsselter Form in der Cloud abgelegt werden, werden dem Diensteanbieter jedenfalls nicht „offenbart“ i.S.v. § 203 StGB5. 7. Verwertbarkeit rechtswidrig erlangter Daten
88
Spätestens seit den Enthüllungen von Edward Snowden über die USamerikanischen Überwachungs- und Spionagepraktiken kann auch das Thema Cloud Computing nicht mehr naiv angegangen werden. Wer Daten in die Cloud auslagert oder Cloud-Dienste in anderer Weise nutzt, 1 Wagner/Blaufuß, BB 2012, 1751. 2 Deutlich skeptischer ist in diesem Punkt die Einschätzung von Sieber, S. C 119; vgl. aber dagegen B. Gercke, GA 2012, 474 (487). 3 Widmaier/König, Münchener Anwaltshandbuch Strafverteidigung, B, § 4 Rz. 48. 4 Näher dazu Sieber, S. C 120. 5 So auch Rammos/Vonhoff, CR 2013, 265 (272).
574
Trg/Mansdçrfer
VI. Einzelfragen
Rz. 90
Teil 7
muss davon ausgehen, dass die Daten mehr oder weniger systematisch von privater und öffentlicher Seite auch jenseits der legalen Eingriffsbefugnisse erhoben oder zumindest angekauft1 werden. Aus strafrechtlicher Sicht steht diesbezüglich die Frage im Vordergrund, 89 ob und unter welchen Voraussetzungen rechtswidrig erhobene Daten zu Ermittlungszwecken bzw. im Strafverfahren verwertet werden dürfen. Das Strafverfahren kennt zwar keine Wahrheitsermittlung „um jeden Preis“2. Dies bedeutet indessen nicht, dass rechtswidrig erhobene oder erlangte Beweismittel überhaupt nicht verwertet werden dürften. Rechtswidrig erlangte Beweismittel dürfen auf der Grundlage der höchstrichterlichen Rechtsprechung nur dann nicht verwertet werden, wenn deren Verwertung nach einer Abwägung des Verstoßes mit dem staatlichen Anspruch auf effektive Strafverfolgung und ggf. nach einem Widerspruch der Verteidigung unverfügbare rechtsstaatliche Grundsätze und die Subjektstellung des Beschuldigten im Verfahren verletzen würde3. Im Ergebnis ist ein Beweisverwertungsverbot bislang nur in wenigen Fallgruppen anerkannt worden. Rechtswidrig durch Privatpersonen erhobene Beweise sind daher nach 90 Auffassung der Rechtsprechung grundsätzlich verwertbar. Einschränkungen macht die Rechtsprechung bei einer strafrechtlichen Verletzung der Vertraulichkeit des Wortes gem. § 201 StGB4. Ob die Rechtsprechung geneigt ist, diese Ausnahme auf rechtswidrig erlangte Daten aus der Cloud auszudehnen, ist derzeit offen. Nahe liegt eine solche Ausdehnung dort, wo Cloud Dienste zur Kommunikation genutzt werden (siehe dazu die Diskussion oben Rz. 23). Gegen die Annahme umfassender Beweisverwertungsverbote spricht die Verhaltensweise, die die Gerichte im Zusammenhang mit im Ausland erlangten Steuerdaten favorisiert haben (sog. Liechtenstein-Affäre5). Jedenfalls willkürliche und zielgerichtete Verstöße gegen das Völkerrecht und rechtshilferechtliche Verstöße sollten ein Beweisverwertungsverbot nach sich ziehen6. Das Bundesverfassungsgericht stellt insoweit freilich maßgeblich darauf ab, ob der ausländische Staat das entsprechende Verhalten rügt7.
1 Zur Zulässigkeit des Ankaufs deliktisch erlangter Daten durch deutsche Behörden übereinstimmend etwa Coen, NStZ 2011, 433 und Kaiser, NStZ 2011, 383. 2 BGHSt 14, 358 (365). 3 BGHSt 36, 167; 38, 214 (221 ff.). 4 BGHSt 34, 379 (400). 5 Dazu ausführlich Schünemann, NStZ 2008, 305; Trüg/Habetha, NJW 2008, 887 (890); zur Heranziehung entsprechender Daten zur Begründung eines strafrechtlichen Anfangsverdachts BVerfG, NJW 2011, 2417; zur Verwertbarkeit der Daten im Besteuerungsverfahren etwa FG Köln v. 15.12.2010 – 14 V 2484/10. 6 In diesem Sinn bereits Trüg/Habetha, NJW 2008, 887 (890) und Trüg, StV 2011, 11; aber für dem Staat zurechenbares Verhalten Privater Coen, NStZ 2011, 433 (434). 7 BVerfG, NStZ 1995, 95. Trg/Mansdçrfer
575
Teil 7
91
Rz. 91
Strafrecht und Strafprozessrecht
Für im Ausland erhobene Beweise wird innerhalb der Europäischen Union auf dem Grundsatz der gegenseitigen Anerkennung ein grundsätzlich uneingeschränkter grenzüberschreitender Transfer von strafprozessualen Beweisergebnissen angestrebt1. Die Rechtmäßigkeit der Beweiserhebung kann dann im Inland grundsätzlich nicht mehr eigenständig überprüft oder eigenen nationalen Standards unterworfen werden. 8. Zufallsfunde
92
Zufallsfunde, sind Daten oder Gegenstände, die anlässlich einer Durchsuchung gefunden und erhoben werden, die aber nicht in Beziehung zum verfahrensgegenständlichen Tatvorwurf stehen, sondern auf eine andere mögliche Straftat hindeuten. Gem. § 108 StPO können diese Gegenstände einstweilen in Beschlag genommen werden. Die Wahrscheinlichkeit von Zufallsfunden verringert sich aus Sicht des betroffenen Unternehmens, wenn die in einem Durchsuchungsbeschluss genannten Daten freiwillig herausgegeben werden.
93
In zulässiger Weise beschlagnahmte Zufallsfunde können im Ermittlungsverfahren gegen den Beschuldigten oder Dritte nach allgemeinen Grundsätzen uneingeschränkt verwendet werden2.
94
Zufallsfunde können dann nicht nach § 108 StPO erhoben werden, wenn die gefundenen Daten einem Beschlagnahmeverbot unterliegen3. Nicht beschlagnahmt werden dürfen daher etwa gem. § 97 StPO Mitteilungen zwischen dem Beschuldigten und Personen, die aus persönlichen oder beruflichen Gründen das Zeugnis verweigern dürfen (namentlich Rechtsanwälte gem. § 97 Abs. 1 Nr. 1 und 2 StPO). 9. Zugangssperren
95
Zur Sicherung eines bestimmten Datenbestandes oder auch zur Beseitigung etwa des Haftgrundes der Verdunkelungsgefahr kann es sowohl im Interesse des Beschuldigten als auch der Strafverfolgungsbehörden sein, dem Beschuldigten den Zugang zu den von ihm genutzten Cloud-Diensten zu sperren. Hierzu kann entweder der Dienstleister angewiesen werden, den Zugang zu bestimmten Daten zu sperren oder der Internetzugang des Betroffenen wird gesperrt (dies setzt die Kooperation des Internetzugangsproviders voraus). Schließlich könnten die Zugangsdaten beschlagnahmt und so geändert werden, dass der Zugang unter Kontrolle der Staatsanwaltschaft ist.
1 Rahmenbeschluss 2008/978/JI des Rates über die Europäische Beweisanordnung v. 18.12.2008 (ABl. EU L 350/72). 2 Vgl. BGH v. 26.2.2003 – 5 StR 423/02, NStZ 2003, 499 f. 3 Vgl. BVerfG v. 2.7.2009 – 2 BvR 2225/08, NJW 2009, 3225.
576
Trg/Mansdçrfer
Teil 8 Regulierte Märkte A. Telekommunikations- und Telemedienrecht Rz. I. Einschlägige Rahmenbedingungen für Anbieter und Nutzer von Cloud-Angeboten . . . . . . . . . . . . . 1. Deutschland. . . . . . . . . . . . . . . . . . a) Telekommunikations-Diensteanbieter für die Öffentlichkeit . . . . . . . . . . . . . . . . . . . . . . . b) Telekommunikations-Diensteanbieter. . . . . . . . . . . . . . . . . . c) Telemedien-Diensteanbieter . . 2. Europa . . . . . . . . . . . . . . . . . . . . . . a) e-Privacy-Richtlinie . . . . . . . . . b) Europäische Datenschutzrichtlinie . . . . . . . . . . . . . . . . . . c) Einzelstaatliche Regelungen . . 3. Internationaler Datenverkehr . . . 4. Verantwortlichkeiten im Rahmen von mehrstufigen Leistungsverhältnissen im sektorspezifischen Datenschutz . . . . . . . II. Telekommunikations- und Telemedienanteile beim Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . 1. Telekommunikation – Private Cloud – Public Cloud . . . . . . . . . . a) § 88 TKG – Fernmeldegeheimnis. . . . . . . . . . . . . . . . . . . . . . . . b) § 91 TKG – Datenschutz – Anwendungsbereich . . . . . . . . . c) § 93 TKG – Informationspflichten . . . . . . . . . . . . . . . . . . d) § 94 TKG – Einwilligung im elektronischen Verfahren . . . . . e) § 95 TKG – Vertragsverhältnisse . . . . . . . . . . . . . . . . . . . . . .
1 4 8 10 14 19 19 20 21 22
26
30 31 35 37 38 41
Rz. f) § 96 TKG – Verkehrsdaten . . . . g) § 98 TKG – Standortdaten . . . . h) § 115 TKG – Kontrolle und Durchsetzung von Verpflichtungen . . . . . . . . . . . . . . . . . . . . 2. Telemedien – Private Cloud – Public Cloud . . . . . . . . . . . . . . . . . a) §§ 7 ff. TMG – Die Verantwortlichkeit des TelemedienDiensteanbieters für die zur Verfügung gestellten Inhalte . . b) § 11 TMG – Anbieter-NutzerVerhältnis . . . . . . . . . . . . . . . . . c) § 12 TMG – Grundsätze . . . . . . d) § 13 TMG – Pflichten des Diensteanbieters . . . . . . . . . . . . e) § 14 TMG – Bestandsdaten . . . f) § 15 TMG – Nutzungsdaten. . . g) § 15a TMG – Informationspflicht bei unrechtmäßiger Kenntniserlangung . . . . . . . . . .
49 53 57 60
62 65 67 70 78 80 92
III. Vertriebsformen für Cloud Computing unter Berücksichtigung des Telekommunikations- und Telemedienrechts . . . . . . . . . . . . . 95 1. Private Cloud . . . . . . . . . . . . . . . . . 95 2. Public Cloud . . . . . . . . . . . . . . . . . 99 IV. Anwendbares Recht bei internationalen Cloud-Modellen . . . . . . . 106 V. Der Zugriff durch staatliche Bedarfsträger – Strafverfolgungsbehörden. . . . . . . . . . . . . . . . . . . . . 111
44
I. Einschlägige Rahmenbedingungen für Anbieter und Nutzer von Cloud-Angeboten Die rechtliche Zulässigkeit von Cloud Computing-Diensten richtet sich 1 bei der Erbringung der zentralen Dienstleistungen, Infrastructure as a Service (IaaS), Plattform as a Service (PaaS), Software as a Service (SaaS), nach den jeweiligen rechtlichen, insbesondere datenschutzrechtlichen
Ulmer
577
Teil 8 A
Rz. 2
Telekommunikations- und Telemedienrecht
Anforderungen an die im Rahmen dieser Dienste geplanten Datenverarbeitungen. 2
Die Dienste selber aber benötigen Schnittstellen und Übermittlungskapazitäten zu ihren Anwendern. Stand dies im Rahmen der großen Industrieanwendungen noch im Hintergrund, so werden die Schnittstellen und Übermittlungskapazitäten mit dem stärkeren Aufkommen von Public Cloud-Lösungen immer wichtiger.
3
Das Telekommunikationsgesetz (TKG)1 und das Telemediengesetz (TMG)2 bestimmen im Wesentlichen das Verhältnis zwischen dem Nutzer eines Portals3 oder einer Netzinfrastruktur und dem Anbieter dieser Lösungen. Nutzt also eine Privatperson oder ein Unternehmen etwa einen webbasierten E-Mail-Dienst aus der Cloud, ist zu prüfen, ob dieser E-Mail-Dienst als Telekommunikationsdienst und/oder Telemediendienst zu qualifizieren ist. Dabei treffen die Bestimmungen des Telekommunikationsgesetzes nicht nur die Telekommunikationsanbieter für die Öffentlichkeit. Es hängt in aller Regel davon ab, wie ein Geschäftsmodell einzuordnen ist, um die Anwendbarkeit und den Umfang der Anwendbarkeit der sektorspezifischen Regelungen bestimmen zu können. Teile des Telekommunikationsgesetzes, insbesondere die datenschutzrechtlichen Vorschriften (§§ 88 TKG ff.4), finden auch auf Dienstleister Anwendung, die ihre Dienste nicht für die Öffentlichkeit anbieten5, in bestimmten Fällen also auch auf Anbieter einer Private Cloud. Ebenso gilt es, einen genaueren Blick auf die Regelungslage in der Europäischen Union zu werfen6. 1 Telekommunikationsgesetz v. 22.6.2004 (BGBl. I S. 1190), zuletzt geändert durch Artikel 2 des Gesetzes v. 22.12.2011 (BGBl. I S. 2958). 2 Telemediengesetz v. 26.2.2007 (BGBl. I S. 179), zuletzt geändert durch Artikel 1 des Gesetzes vom 31.5.2010 (BGBl. I S. 692). 3 Im Sinne eines Zugangs zum Cloud-Angebot, auch Business Market Place etc. genannt. 4 § 88 TKG, Fernmeldegeheimnis, steht zwar nicht in Teil 7, Abschnitt 2, Datenschutz, ist aber begriffslogischer Bestandteil der Datenschutzregelungen. 5 Erbringung der Dienstleistungen für die Öffentlichkeit ist nach § 91 TKG für die Anwendbarkeit der Datenschutzbestimmungen nicht erforderlich. 6 Grundsätzlich ist Rechtsprechung im Bereich des Telekommunikations- und des Telemediendatenschutzes nur spärlich verfügbar. Das liegt zum einen daran, dass die Vorschriften relativ wenig Auslegungsspielraum zulassen und im Wesentlichen aus sich selbst heraus verständlich sind. Zum anderen unterliegen die entsprechenden Vorgänge im Telekommunikations- und Telemedienbereich der aufsichtsbehördlichen Regulierung durch die Datenschutzaufsicht und ggf. die Regulierungsbehörde. Ein Großteil der bestehenden Auslegungs- und Verständnisfragen wird daher in direkter Abstimmung mit den Aufsichtsbehörden geklärt. Die Ausführungen in diesem Abschnitt beruhen zu einem nicht geringen Teil auf den Ergebnissen der Abstimmungen des Autors und seiner Mitarbeiter mit den Aufsichtsbehörden. Vor dem Hintergrund dieser besonderen Regelungssituation im Telekommunikations- und Telemediendatenschutz empfiehlt sich ein proaktiver Umgang mit den zuständigen Aufsichtsbehörden. Ein-
578
Ulmer
I. Einschlgige Rahmenbedingungen fr Anbieter und Nutzer
Rz. 7
Teil 8 A
1. Deutschland In Deutschland ergeben sich die Rahmenbedingungen für die elektro- 4 nische Kommunikation aus den Regelungen des Telekommunikationsgesetzes und denen des Telemediengesetzes. Dort kommen im Wesentlichen die Vorschriften zum Datenschutz zur Anwendung. Welche Regelungen in welchem Umfang zur Anwendung kommen, be- 5 stimmt sich danach, wie der Anbieter von Diensten mit seinem Geschäftsmodell einzuordnen ist. Er kann Telekommunikations-Diensteanbieter für die Öffentlichkeit, Telekommunikations-Diensteanbieter, Telemedien-Diensteanbieter, das alles zusammen oder auch gar nichts davon sein. Je nach Einordung gelten im Verhältnis des Anbieter von Telekommunikations- oder Telemediendiensten und dem Nutzer die entsprechenden Vorschriften des TKG bzw. des TMG. Nutzt der Anbieter seinerseits Cloud-Leistungen, z.B. IaaS-Dienste zum Betrieb eines Portals, stellt sich die Frage, was für das Verhältnis zwischen dem Anbieter des Telekommunikations- und/oder Telemediendienstes und dem CloudAnbieter gilt. Hierzu nachfolgend in Rz. 26. Im Grundsatz gelten für die Beauftragung eines Cloud-Services durch Anbieter eines Telekommunikations- und/oder Telemediendienstes die Regelungen der Auftragsdatenverarbeitung nach § 11 BDSG, die in Teil 4 ausführlich beschrieben werden. Jedenfalls aber führt die Einstufung eines Anbieters als Telekommunika- 6 tions- oder Telemedien-Diensteanbieter unmittelbar zur Anwendbarkeit aller datenschutzrechtlichen Vorschriften aus dem einschlägigen Gesetz. Die maßgeblichen Rechtsgrundlagen sind daher zunächst in diesen sektorspezifischen Regelungen zu suchen. Eine nur fallweise Anwendung dieser sektorspezifischen Regelungen hat der deutsche Gesetzgeber – mit einer Ausnahme bei § 98 TKG1 – nicht vorgesehen. § 98 TKG gilt nämlich nicht nur für Anbieter von Telekommunikationsdiensten, sondern auch für Anbieter von Telemediendiensten, die Standortdaten über Nutzer öffentlicher Telekommunikationsnetze verarbeiten. Dies ist häufig bei auf Smartphones laufenden Klein-Applikationen (Apps) der Fall, bei denen der Anbieter auf telekommunikations-spezifische Standortinformationen zugreifen darf. Ferner stellen die datenschutzrechtlichen Vorschriften der §§ 91 ff. TKG 7 und der §§ 11 ff. TMG Sondervorschriften dar, die dem BDSG gemäß § 1 Abs. 3 Satz 1 BDSG vorgehen. Sofern das TKG und das TMG keine Regelungen vorsehen, stellt sich die Frage, ob auf die Normen des BDSG zurückgegriffen werden kann. Dies ist zu verneinen, sofern es um gesetzliche Erlaubnistatbestände geht, da insofern davon ausgegangen werden kann, dass der Gesetzgeber im TKG und TMG abschließende Regelungen mal gefundene Lösungsmodelle sollten daher in Zweifelsfällen auch mit den Aufsichtsbehörden erörtert werden. 1 S. unter Rz. 53 ff. Ulmer
579
Teil 8 A
Rz. 8
Telekommunikations- und Telemedienrecht
treffen wollte. Vgl. dazu näher Rz. 35 und Rz. 67. Allerdings kann ansonsten, vor allem bei allgemeinen Grundsätzen des Datenschutzrechts durchaus auf Vorschriften des BDSG zurückgegriffen werden, solange keine Sonderregelungen bestehen. a) Telekommunikations-Diensteanbieter für die Öffentlichkeit 8
Wird ein Unternehmen als Telekommunikations-Diensteanbieter für die Öffentlichkeit klassifiziert, treffen es weitergehende Anforderungen als den Anbieter von nicht für die Öffentlichkeit bestimmten Telekommunikationsdiensten, etwa die Meldepflicht nach § 6 TKG oder die Pflicht, technische Überwachungsmaßnahmen zur Verfügung zu stellen aus der Telekommunikations-Überwachungsverordnung1.
9
Telekommunikationsdienstanbieter für die Öffentlichkeit wird aber nur, wer Telekommunikationsdienste nicht nur für eine ausgesuchte Zahl von Kunden anbietet, sondern für jeden beliebigen Dritten. Deshalb sind in der Regel nur die in der Öffentlichkeit bekannten Telekommunikationsunternehmen, Voice-over-IP-Anbieter, Internet-Access-Anbieter (auch Hot-Spot-Infrastruktur)2 oder Anbieter von Nachrichtendiensten wie Web-Mails solche Telekommunikations-Diensteanbieter für die Öffentlichkeit. Die großen Anbieter halten zudem die notwendige Infrastruktur vor, um die Nachrichtenübermittlung zu ermöglichen. Die ganz überwiegende Mehrzahl der Cloud-Geschäftsmodelle setzt jedoch auf die bereits vorhandenen und betriebenen Infrastrukturen der Telekommunikations-Diensteanbieter für die Öffentlichkeit auf und bietet sie nicht selber an. b) Telekommunikations-Diensteanbieter
10
Anders, als bei den Telekommunikations-Diensteanbietern für die Öffentlichkeit kann ein Unternehmen bei Erfüllung bereits einiger weniger Voraussetzungen als Telekommunikations-Diensteanbieter (nicht „für die Öffentlichkeit“) einzustufen sein.
11
Den Telekommunikations-Diensteanbieter treffen bereits die Datenschutzanforderungen aus dem Telekommunikationsgesetz, also der §§ 88 bis 107 TKG. Darunter sind so spezielle Vorschriften, wie zum Beispiel die Informationspflicht, § 91 TKG, die besonderen Regelungen zur werblichen Ansprache der Kunden, etwa § 95 TKG, oder zum Umgang mit den Standortinformationen, § 98 TKG. Interessant sind die Anforderungen an die Qualifizierung eines Unternehmens als TelekommunikationsDiensteanbieter auch im Zusammenhang mit der privaten Nutzung von
1 § 3 Abs. 1 TKÜV (Telekommunikationsüberwachungsverordnung). 2 Beispiele: Deutsche Telekom AG für klassische Telekommunikationsdienste, United Internet für Internet Access Anbieter oder Skype für Voice over IP.
580
Ulmer
I. Einschlgige Rahmenbedingungen fr Anbieter und Nutzer
Rz. 14
Teil 8 A
dienstlichen Kommunikationsmitteln durch Mitarbeiter, die allerdings nicht Gegenstand dieser Ausführungen sind1. Telekommunikations-Diensteanbieter ist gemäß § 3 Nr. 6 TKG jeder, der 12 ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt. Dabei bedeutet „geschäftsmäßig“ nicht notwendiger Weise gegen Ent- 13 gelt. In diesem Zusammenhang kommt es auf die Nachhaltigkeit der Leistungserbringung an2. Jeder, der einem Dritten nachhaltig die Nutzung von Telekommunikationsdiensten anbietet, ist daher Telekommunikations-Diensteanbieter. Dazu gehören unter anderem Krankenhäuser, die ihren Patienten Telekommunikationsdienste anbieten, Hotels, die diese ihren Übernachtungsgästen anbieten und andere, insgesamt damit vergleichbare Gestaltungen, wie zum Beispiel Geschäfte oder Restaurants, die ihren Kunden ein eigenes W-LAN anbieten3. Cloud-Anbieter, die im Rahmen einer Private Cloud ihren Kunden Telekommunikationsdienste anbieten, können zu dieser Gruppe ebenso gezählt werden. Leistungsinhalt, Leistungsschwerpunkt und die Nachhaltigkeit der Leistung sind die Entscheidungsgrundlagen dafür, ob ein Cloud-Angebot unter die Regelungen des Telekommunikationsgesetzes fällt4. Im Ergebnis ist hier also eine Einzelfallbetrachtung und -bewertung vorzunehmen. Zur entscheidenden Frage nach der Differenzierung je nach Leistungsinhalt siehe nachfolgend unter Rz. 30 ff. c) Telemedien-Diensteanbieter Cloud-Anbieter können Telemedien-Diensteanbieter sein, wenn sie nach 14 den Regelungen des Telemediengesetzes ihren Kunden Telemediendienste anbieten. Gemäß § 2 Nr. 1 TMG ist Telemedien-Diensteanbieter jeder, der Telemediendienste zur Nutzung durch Dritte bereithält. Auch hier ist, wie bei den Telekommunikationsdiensten, insbesondere für die Anwendung der Datenschutzvorschriften, ein Drittbezug erforderlich. Bei der Bereitstellung von Telemediendiensten in einem Unternehmen für ausschließlich dienstliche Zwecke gelten die Datenschutzregelungen des TMG daher nicht5. Eine Abgrenzung zwischen Telemedien-Dienstean-
1 Interessant dazu und zu den notwendigen Abschichtungen: LAG Berlin-Brandenburg v. 16.2.2011, BB 2011, 2298; LAG Niedersachen v. 31.5.2010, MMR 2010, 639. 2 So auch Königshofen/Ulmer, Datenschutz-Handbuch Telekommunikation, Rz. 3 zu § 91 TKG. 3 Vgl. auch Munz in Taeger/Gabel, § 91 TKG Rz. 8. Nicht darunter fallen Angebote über TK-Anbieter. 4 Grünwald/Döpkens, MMR 2011, 287 (288); Schuster/Reichl, CR 2010, 38 (42/43). 5 § 11 Abs. 1 Nr. 1 TMG. Ulmer
581
Teil 8 A
Rz. 15
Telekommunikations- und Telemedienrecht
bieter und Telemedien-Diensteanbieter für die Öffentlichkeit, vergleichbar dem Telekommunikationsrecht, gibt es im Telemedienrecht nicht. Telemediendienste sind grundsätzlich zulassungs- und anmeldefrei zu betreiben1. 15
Telemediendienste werden nach deutschem Recht anders als Telekommunikationsdienste behandelt und sind daher von ihnen abzugrenzen. Eine solche Trennung in Telemedien und Telekommunikationsdienste wird auf europäischer Ebene nicht vorgenommen. Dort gilt für beide Dienstearten die Richtlinie für elektronische Kommunikation (e-Privacy Directive2), die sowohl die Telekommunikations- wie auch die Telemediendienste abdeckt. Die Differenzierung in Deutschland ist durch unterschiedliche Ressortzuständigkeiten in der ministerialen Verantwortung und unterschiedliche aufsichtsbehördliche Zuständigkeiten bedingt. Für die Telekommunikationsdienste gibt es nach § 115 Abs. 4 TKG die besondere Zuständigkeit des Bundesbeauftragten für den Datenschutz im Zusammenwirken mit der Bundesnetzagentur. Für die Anbieter von Telemediendiensten bleibt es bei der Zuständigkeit der Aufsichtsbehörden nach den allgemeinen datenschutzrechtlichen Vorschriften; das ist also die für den Sitz des Unternehmens zuständige Landesaufsichtsbehörde.
16
Inhaltlich werden die Telekommunikationsdienste und die Telemediendienste durch die Leistungsart unterschieden. Telekommunikationsdienste bestehen in der Übermittlung von Nachrichten und Informationen, Telemediendienste im zur Verfügung stellen von Nachrichten und Informationen sowie in Portalanwendungen3. Zu letzterem gehören etwa Wissensplattformen oder online durchführbare Dienste, wie ein OnlineÜbersetzungsprogramm.
17
Soweit für Cloud-Angebote das TMG zur Anwendung kommt, gelten dort für die datenschutzrechtliche Betrachtung die §§ 11 bis 15a TMG in Abschnitt 4 des Gesetzes.
18
Aufgrund der bestehenden Regelungsnähe des Telemediengesetzes zum Telekommunikationsgesetz sind auch die Datenschutzanforderungen eng aneinander angelehnt. Die Grundprinzipien entsprechen sich in vielen Bereichen, auch wenn die Bezeichnungen teilweise unterschiedlich gewählt sind.
1 § 4 TMG. 2 Richtlinie 2002/58/EG geändert durch die Richtlinie 2009/136/EG – über www.europa.eu; s.a. https://en.wikipedia.org/wiki/Directive_on_Privacy_and_ Electronic_Communications. 3 S. hierzu § 1 Abs. 1 TMG, der mit einer negativen Abgrenzung zu § 3 Nr. 25 TKG arbeitet.
582
Ulmer
I. Einschlgige Rahmenbedingungen fr Anbieter und Nutzer
Rz. 21
Teil 8 A
2. Europa a) e-Privacy-Richtlinie1 Die e-Privacy-Richtlinie der Europäischen Union hat keine unmittelbar 19 bindende Wirkung für die Bürger und die Diensteanbieter in der Europäischen Union. Sie bindet vielmehr die Mitglieder der Europäischen Union, ihre Umsetzungsgesetze, in Deutschland das Telekommunikationsgesetz und das Telemediengesetz, an diesen Vorgaben zur innereuropäischen Harmonisierung auszurichten2. In Deutschland ist dies durch die genannten Regelungen zur Telekommunikation und den Telemedien und im restlichen Europa durch entsprechende Gesetze erfolgt. Die Richtlinie differenziert im Bereich ihrer Anwendbarkeit grundsätzlich nicht nach der Frage des Adressatenkreises (Anbieter für die Öffentlichkeit), wie dies insbesondere das Telekommunikationsgesetz tut, sondern nach den genutzten Zugangskanälen. Sie gilt allgemein für die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Gemeinschaft3. Die besonderen Anforderungen an Telekommunikations-Diensteanbieter für die Öffentlichkeit sind dann im Folgenden anhand von Einzelvorschriften definiert. Das ist, nachdem auf europäischer Ebene die in Deutschland bestehende Trennung von Telekommunikationsdiensten und Telemediendiensten nicht vorgenommen wird, nur sachlogisch. b) Europäische Datenschutzrichtlinie Die Europäische Datenschutzrichtlinie4 sei hier erwähnt, da sie in der 20 e-Privacy Richtlinie in Art. 1 Abs. 2 ausdrücklich als Grundlage für die Regelungen in der elektronischen Kommunikation genannt wird. Inhaltlich hat das auf die regulierungsspezifischen Anforderungen in der Telekommunikation und in den Telemedien keinen Einfluss. Diese gelten zusätzlich zu den allgemeinen Anforderungen und sind in der e-PrivacyRichtlinie niedergelegt. c) Einzelstaatliche Regelungen Basierend auf den Vorgaben der Europäischen Union, insbesondere in der 21 hier interessierenden e-Privacy-Richtlinie haben die europäischen Staaten landesspezifische Umsetzungsgesetze in Kraft gesetzt. Eine Übersicht zu den Aufsichtsbehörden der europäischen Staaten hält die EU-
1 Richtlinie 2002/58/EG geändert durch die Richtlinie 2009/136/EG – über www.europa.eu https://en.wikipedia.org/wiki/Directive_on_Privacy_and_Elec tronic_Communications. 2 Art. 1 Abs. 1 der Richtlinie 2002/58/EG. 3 Art. 3 Abs. 1 der Richtlinie 2002/58/EG. 4 Richtlinie 95/46/EG. Ulmer
583
Teil 8 A
Rz. 22
Telekommunikations- und Telemedienrecht
Kommission vor1. Die Aufsichtsbehörden haben auf ihren Webseiten in der Regel die einzelstaatlichen Bestimmungen hinterlegt, auf die hier verwiesen sein soll. Inhaltlich müssen sich diese in jedem Fall an die von der Europäischen Union vorgegebenen Rahmenbedingungen halten, sodass bei einer ersten Bewertung von möglicherweise regulierungsbedürftigen Dienstleistungen in anderen europäischen Ländern als Grundlage auch auf die Ausführungen in diesem Abschnitt zurückgegriffen werden kann. 3. Internationaler Datenverkehr 22
Beim internationalen Datenverkehr und bei internationalen Angeboten sind die international einschlägigen Bestimmungen zum anzuwendenden Recht zu beachten. Von Bedeutung ist das insbesondere für Telemediendienste, die grundsätzlich von allen Standorten der Erde zugänglich sind, wenn sie öffentlich angeboten werden. Nach deutschem Telemedienrecht gilt bei Datenschutzfragen für deutsche Unternehmen das Sitzlandprinzip. Danach unterliegen gemäß §§ 3, 2a TMG deutsche Anbieter mit Sitz in Deutschland deutschem Datenschutzrecht, auch wenn sie ausschließlich für das europäische Ausland anbieten2. Für andere ausländische Unternehmen, die ihre Dienste für deutsche Kunden anbieten, gelten über den Verweis von § 3 Abs. 3 Nr. 4 TMG auf § 1 Abs. 5 BDSG die Regelungen des allgemeinen Datenschutzrechts. Danach kommt es bei diesen internationalen Fragestellungen bei Unternehmen mit Sitz im EWR (Europäischer Wirtschaftsraum) darauf an, wo innerhalb Europas sich der Sitz des Anbieters befindet oder ggf. eine Niederlassung3.
23
Weniger eindeutig ist die Regelung für Unternehmen außerhalb der europäischen Union, die ihre Leistungen deutschen Kunden anbieten. Nach § 1 Abs. 5 Satz 2 BDSG kommt deutsches Datenschutzrecht dann zur Anwendung, wenn die Daten in Deutschland erhoben, verarbeitet oder genutzt werden. Wann diese Tatbestandsanforderungen erfüllt sind, wird unterschiedlich bewertet4. Insbesondere bei Onlineportalen stellt sich die Frage, ob das Erheben der Daten i.S.d. Legaldefinition in § 3 Abs. 3 BDSG am Wohnort des Betroffenen erfolgt, etwa durch die Eingabe von Daten auf dem Computer oder die Verwendung von Cookies, oder ob das nicht doch an dem Ort erfolgt, an dem das Portal betrieben wird und wo die Daten erstmals gespeichert werden5. 1 http://ec.europa.eu/justice/policies/privacy/nationalcomm/index_en.htm – Anwaltskanzleien und Beratungsunternehmen haben zudem rechtsvergleichende Übersichten zum einzelstaatlichen Recht herausgegeben, die in aller Regel ohne Entgelt angefordert werden können. 2 S. Abel, Praxiskommentar, Kommentierung zu § 2a TMG, S. 24/25. 3 § 1 Abs. 5 Satz 1 BDSG; Gola/Schomerus, BDSG, § 1 Rz. 27. 4 Ausführlich dazu: Dix in Simitis, BDSG, § 1 Rz. 214 ff. 5 Legaldefinition in § 3 Abs. 3 BDSG: Erheben ist das Beschaffen von Daten über den Betroffenen. Etwa gab und gibt es bei großen sozialen Netzwerken die Auffassung, dass deutsches Recht nicht zur Anwendung kommt, wenn sie keine
584
Ulmer
I. Einschlgige Rahmenbedingungen fr Anbieter und Nutzer
Rz. 28
Teil 8 A
Werden umgekehrt von deutschen Unternehmen Telemediendienste in 24 anderen Staaten angeboten empfiehlt sich, die Rechtslage vor Ort zu prüfen1. Insbesondere im angloamerikanischen Raum ist es nicht ausgeschlossen, dass sich der Telemedien-Diensteanbieter durch sein internationales Angebot dem dortigen Recht unterwirft. Das gilt ebenso für Telekommunikationsdienstleistungen, die in fast al- 25 len Staaten der Erde reguliert sind2. 4. Verantwortlichkeiten im Rahmen von mehrstufigen Leistungsverhältnissen im sektorspezifischen Datenschutz Vereinfacht ausgedrückt ist es nach datenschutzrechtlichen Grundsätzen 26 immer die verantwortliche Stelle i.S.d. – auch im Bereich des TKG und TMG anzuwendenden – § 3 Nr. 7 BDSG, die für die Einhaltung der gesetzlichen Vorschriften gegenüber den Betroffenen i.S.d. BDSG Sorge zu tragen hat. Das kann bei Cloud-Angeboten, bei denen mehrere Leistungsteile von verschiedenen Anbietern erbracht werden, zu einer gewissen Komplexität führen. Recht einfach einzuordnen ist das Verhältnis zwischen dem Cloud-An- 27 bieter und den Nutzern, die natürliche Personen sind und die Dienste auch nur für den persönlichen Gebrauch verwenden. Diese Nutzer werden nach der gesetzlichen Definition für die verantwortliche Stelle nicht selbst zur verantwortlichen Stelle und sind also gegenüber dem CloudAnbieter Betroffene i.S.d. BDSG (und damit auch des TKG und TMG)3. Die verantwortliche Stelle ist in diesem Fall der Cloud-Anbieter. Ein Beispiel für diese Konstellation ist ein in der Cloud befindlicher Speicherplatz zur Fotoablage für Privatkunden. Zwischen dem Cloud-Anbieter und dem Nutzer besteht in diesem Fall ein einfaches vertragliches Nutzungsverhältnis. Ein Vertrag zur Auftragsdatenverarbeitung muss zwischen dem Nutzer und dem Cloud-Anbieter nicht abgeschlossen werden. Vielmehr hat der Cloud-Anbieter als verantwortliche Stelle in diesem Fall die Daten des Kunden nach den Vorschriften des TMG (oder TKG, falls der Anbieter gegenüber dem Nutzer Telekommunikationsdienste erbringt) zu verarbeiten. Bedient sich der Cloud-Anbieter allerdings weiterer Dienstleister, etwa 28 einem Speicherplatzanbieter (IaaS), muss er mit diesen entsprechende Niederlassung in Deutschland haben und die zur Diensteerbringung betriebenen Server auch nicht in Deutschland stehen; so wohl auch Stögmüller in Leupold/ Glossner, Münchener Anwaltshandbuch IT-Recht, Teil 5, VI, 1, Rz. 349. 1 Überblicke hierzu werden von Anwaltskanzleien und Beratungsfirmen oftmals unentgeltlich angeboten. 2 Letztlich weltweit vereinheitlicht wohl auf Grundlage der Telecommunications Treaty als Ergebnis der Plenipotentiary Conference in Nairobi 1982; vgl. Art. 22 der Treaty v. 6.11.1982. 3 S. Dammann in Simitis, BDSG, § 3 Rz. 225/226. Ulmer
585
Teil 8 A
Rz. 29
Telekommunikations- und Telemedienrecht
Auftragsdatenverarbeitungsverträge abschließen. Dasselbe gilt für weitere Unterlieferanten. Für diese Auftragsdatenverarbeitungsverträge gilt § 11 BDSG, da weder TMG noch TKG spezifische Regelungen hierzu enthalten, die § 11 BDSG verdrängen. Der Cloud-Anbieter muss dem Nutzer jederzeit Auskunft geben können, wo sich dessen Daten zu welchem Nutzungszweck befinden1 und hat sich daher in dem Auftragsdatenverarbeitungsvertrag entsprechende Rechte gegenüber dem Cloud-Anbieter zweiter Stufe (im Beispiel also dem Speicherplatzanbieter). 29
Ist der Nutzer des Cloud-Angebots bereits selbst verantwortliche Stelle gegenüber Personen, deren Daten er verarbeitet, ist der Sachverhalt anders zu bewerten. Das sind die Fälle, in denen Betriebe und Unternehmen auf Cloud-Dienste zugreifen, um etwa ihre betrieblichen Prozesse effizienter zu gestalten. Hier hat zum Beispiel die Bäckerei als verantwortliche Stelle gegenüber ihren Mitarbeitern als Betroffenen dafür Sorge zu tragen, dass die personenbezogenen Daten durch den Cloud-Anbieter datenschutzkonform verarbeitet werden. Für die Frage, ob im Verhältnis zu den Mitarbeitern das TKG und/oder das TMG gilt, kommt es darauf an, ob es um Mitarbeiterdaten geht, die das Unternehmen aus eigenem Interesse gespeichert hat (z.B. Personalakte oder Daten der Gehaltsbuchhaltung) oder ob Daten betroffen sind, die im Zusammenhang mit einem den Mitarbeitern auch zur privaten Nutzung angebotenen Dienst stehen (z.B. E-Mail-Dienst). Nur in letzterem Fall kann das TKG und/ oder TMG im Verhältnis Betroffener und Unternehmen (im Beispiel der Bäckerei) zur Anwendung kommen. Zu den Einschränkungen siehe oben Rz. 8–18. Für das Verhältnis zwischen dem Unternehmen als Cloud-Kunde und dem Cloud-Anbieter wirkt sich diese Unterscheidung allerdings nicht aus, da weder das TMG noch das TKG besondere Vorschriften zur Auftragsdatenverarbeitung enthalten. Eine Vereinbarung zur Auftragsdatenverarbeitung mit dem Cloud-Anbieter hat der Cloud-Kunde (im Beispiel die Bäckerei) daher in jedem Fall gemäß § 11 Abs. 1 BDSG zwingend abzuschließen. In diesem Fall wird also der Cloud-Anbieter seinerseits zum ersten Teil der Lieferkette nach dem Cloud-Kunden, der Bäckerei. Um beim Beispiel Bäckerei zu bleiben, muss diese sicherstellen, dass nunmehr sie die jederzeitige Kontrolle über die Verarbeitung der ihr anvertrauten Daten der Betroffenen hat. Die Anforderungen an die Auftragsdatenverarbeitung sind ausführlich in Teil 4 dargestellt. Nutzt der Cloud-Anbieter Unterlieferanten2, insbesondere aus dem außereuropäischen Ausland, hat die Bäckerei als verantwortliche Stelle zu prüfen, ob
1 Das ergibt sich nicht nur aus dem Auskunftsrecht nach § 34 BDSG. Die Anforderungen in der Anlage zu § 9 BDSG setzen die jederzeitige Kontrolle der verantwortlichen Stelle über die Verarbeitungs- und Nutzungsvorgänge voraus. 2 Ein Beispiel für solche Angebote sind die sog. Business Marketplaces (https:// apps.telekomcloud.com/home), die kleineren und mittleren Unternehmen die kostengünstige, zeitweise Nutzung insbesondere von Softwarelösungen anbieten. Dabei kommen unterschiedliche Angebote zum Einsatz, die nicht notwendiger Weise immer vom Cloud-Anbieter selbst stammen müssen.
586
Ulmer
II. Telekommunikations- und Telemedienanteile
Rz. 32
Teil 8 A
die ihr anvertrauten Daten der Mitarbeiter überhaupt von Unterlieferanten im außereuropäischen Ausland verarbeitet werden dürfen1.
II. Telekommunikations- und Telemedienanteile beim Cloud Computing Die Anwendbarkeit des Telekommunikationsgesetzes und des Teleme- 30 diengesetzes im Rahmen der bestehenden Leistungsbeziehungen bestimmt sich also wie dargestellt nach der konkreten Ausgestaltung der angebotenen Dienste2. Telekommunikations- beziehungsweise Telemedien-Diensteanbieter wird ein Anbieter, wie bereits dargestellt (Rz. 10 und 14), wenn er seine Dienste geschäftsmäßig für Dritte erbringt. In Betracht kommen hier wegen der typischen Ausgestaltung der Telekommunikations- und Telemediendienste vor allem die Angebote im Bereich Software as a Service (SaaS) und ggf. Infrastructure as a Service (IaaS). 1. Telekommunikation – Private Cloud – Public Cloud Die Legaldefinition der Telekommunikationsdienste umgrenzt den An- 31 wendungsbereich der Datenschutzvorschriften des Telekommunikationsgesetzes recht eindeutig auf die Übertragung von Signalen3. Dabei muss die Übertragung von Signalen Hauptbestandteil der dem Kunden gegenüber zu erbringenden Leistung sein. Das wird bei den Cloud-Angeboten, die lediglich die Nutzung von Anwendungen oder Infrastrukturen zu eigenen Zwecken des Kunden anbieten, in der Regel nicht der Fall sein. Positiv abgegrenzt können Cloud-Angebote dann dem Telekommunikationsgesetz unterliegen, wenn sie etwa die fallweise Nutzung von Voice over IP-Lösungen anbieten4. Die Übermittlung von Signalen innerhalb der Cloud selbst, etwa durch 32 die Verlagerung von Ressourcen von Rechenzentrum A nach B fällt dagegen nach überwiegender Auffassung nicht unter den Tatbestand der Erbringung von Telekommunikationsdiensten5. Unabhängig vom eigentlichen Leistungsgegenstand gegenüber dem Kunden enthalten diese Transfers zudem auch keine individuell zuordenbare Kommunikation, sondern reine „Maschine zu Maschine“ Kommunikation.
1 Die verantwortliche Stelle muss prüfen, ob die Voraussetzungen, insbesondere ein angemessenes Datenschutzniveau im Drittland bzw. beim eingebundenen Dienstleister, vorhanden ist (§ 4b Abs. 3 und 5 BDSG). 2 Nägele/Jacobs, ZUM 2010, 281 (284). 3 § 3 Nr. 24 TKG. 4 Sog. Internet-Telefonie – mit und ohne Bild –, die inzwischen auf breiter Basis nicht nur bei den klassischen Telekommunikations-Diensteanbietern verfügbar ist. 5 Schuster/Reichl, CR 2010, 38 (43). Ulmer
587
Teil 8 A
Rz. 33
Telekommunikations- und Telemedienrecht
33
Die telekommunikationsspezifische Regulierung kommt unabhängig davon zur Anwendung, ob die Cloud-Dienste im Rahmen einer Private Cloud oder einer Public Cloud angeboten werden. Entscheidend ist alleine, dass das Cloud-Angebot gegenüber Dritten erfolgt. Das ist immer dann der Fall, wenn es nicht gegenüber den eigenen Mitarbeitern ausschließlich für dienstliche Zwecke erfolgt1. Jedem Kunden gegenüber sind die besonderen Regelungen des Datenschutzes in der Telekommunikation also zu beachten.
34
Für Anbieter, die nicht von vornherein als Telekommunikations-Diensteanbieter einzustufen sind, kann insbesondere doch eine einzelne Regelung im Telekommunikationsdatenschutz dann zur Anwendung kommen, wenn sie beim Angebot von Lokalisierungsdiensten auf die Standortdaten der Mobilfunkanbieter zurückgreifen. § 98 TKG regelt besondere Anforderungen an die Hinweispflichten gegenüber dem Nutzer, dessen Standortdaten erfasst und ausgewertet werden (siehe unter Rz. 53). a) § 88 TKG – Fernmeldegeheimnis
35
Dem Fernmeldegeheimnis unterliegen die Inhalte und die näheren Umstände der Telekommunikation. Sein Schutzzweck bezieht sich auf die Übermittlung der Kommunikation an sich, da die Kommunikation bei der Übermittlung größeren Gefahren ausgesetzt ist, als wenn sich die Inhalte in der alleinigen Verfügungsbefugnis der Kommunikationsteilnehmer befinden würden. Dementsprechend wurde in strafrechtlichem Kontext von höchstrichterlicher Stelle auch entschieden, dass e-Mail Nachrichten, die vom Kommunikationsteilnehmer geöffnet und auf die Festplatte seines privaten Computers gespeichert wurden, jedenfalls dann nicht mehr vom Fernmeldegeheimnis geschützt sind2.
36
Für die Verwendbarkeit der im Rahmen eines Telekommunikationsvorgangs anfallenden Daten für den Telekommunikations-Diensteanbieter spielt das allerdings nicht die alleinige Rolle. Nach dem Prinzip des Erlaubnisvorbehalts und unter Beachtung des Vorranges der spezielleren Regelungen des Telekommunikationsgesetzes gegenüber dem Bundesdatenschutzgesetz, sind die Erlaubnis- und damit Verwendungstatbestände für die anfallenden Daten im Telekommunikationsgesetz abschließend definiert3. Ein Rückgriff auf das Bundesdatenschutzgesetz für den Fall, dass im Telekommunikationsgesetz kein Erlaubnistatbestand ge1 So kommt das TMG beispielsweise nicht im Verhältnis des Cloud-Providers zum Mitarbeiter des Cloud-Kunden, der dort die Mitarbeiterdaten verarbeiten lässt, zur Anwendung (Innenverhältnis). Hier kommt das TMG nur für die Nutzungsdaten durch die Inanspruchnahme des Zugangs selber zu Anwendung (Außenverhältnis); siehe Heidrich/Wegener, MMR 2010, 803 (805). 2 BGH v. 31.3.2009 – 1 StR 76/09, CR 2009, 446; vgl. auch VG Frankfurt, CR 2009, 125; VGH Hessen, NJW 2009, 2470. 3 Vgl. auch Munz in Taeger/Gabel, § 91 TKG Rz. 4 ff.
588
Ulmer
II. Telekommunikations- und Telemedienanteile
Rz. 39
Teil 8 A
funden wird, kommt nicht in Betracht1. Das gilt jedenfalls für die Fälle, für die ein Regelungswille des Gesetzgebers erkennbar ist. b) § 91 TKG – Datenschutz – Anwendungsbereich Die §§ 91 ff. TKG enthalten die konkreten Regelungen zum Umgang des 37 Telekommunikations-Diensteanbieters mit den Daten, die in Rahmen eines Telekommunikationsdienstes anfallen. In Abweichung zu dem sonst im Datenschutz geltenden Grundsatz, dass die Regelungen nur auf personenbezogene Daten, also die Daten natürlicher Personen, Anwendung finden2, erstreckt sich der Anwendungsbereich des Datenschutzes in der Telekommunikation gemäß § 91 Abs. 1 TKG zumindest auch auf die dem Fernmeldegeheimnis unterliegenden Einzelangaben über Verhältnisse einer bestimmten oder bestimmbaren juristischen Person oder Personengesellschaft. c) § 93 TKG – Informationspflichten Einer der zentralen Tatbestände für Telekommunikations-Dienstean- 38 bieter ist die Informationspflicht in § 93 TKG. Teilnehmer wie Nutzer3 von Telekommunikationsdiensten sind ausreichend umfänglich und verständlich zu informieren, welche grundlegenden Datenverarbeitungen im Rahmen der Erbringung von Telekommunikationsdiensten vorgenommen werden. Im Unterschied zu den allgemeinen Benachrichtigungspflichten des § 33 BDSG, sind die Informationspflichten des Telekommunikationsgesetzes dem Teilnehmer gegenüber bereits mit Vertragsabschluss zu erfüllen. In der Praxis werden diese Anforderungen dadurch erfüllt, dass die Datenschutzhinweise an das Vertragsdokument angeschlossen beziehungsweise direkt über die Buchungswebseite abrufbar sind4. Ebendort sind auch die für den Nutzer, der nicht Teilnehmer, also Vertragspartner ist, nötigen Informationen verfügbar. Der Teilnehmer ist im Rahmen der Informationspflichten zudem über 39 seine Wahlmöglichkeiten zur Ausübung seiner Rechte aufzuklären. Dies betrifft insbesondere die für die werbliche Ansprache des Kunden im Telekommunikationsbereich geltenden Sonderregelungen in den §§ 95 ff. TKG.
1 Vgl. Simitis in Simitis, BDSG, E, Rz. 48/49; Braun in Beck’scher TKG Kommentar, § 91 Rz. 7. 2 § 1 Abs. 2, 3 Abs. 1 BDSG; Dammann in Simitis, BDSG, § 3 Rz. 17. 3 Legaldefinitionen in § 3 Nr. 14 und Nr. 20 TKG – der Teilnehmer ist vereinfacht ausgedrückt der Vertragshalter eines Telekommunikationsdienstes, der Nutzer nutzt diesen lediglich, ohne notwendiger Weise ein Teilnehmer zu sein. 4 Beispiele für Datenschutzhinweise in der Telekommunikation finden sich öffentlich einsehbar etwa auf den Webseiten der großen Telekommunikationsdiensteanbieter für die Öffentlichkeit. Ulmer
589
Teil 8 A
40
Rz. 40
Telekommunikations- und Telemedienrecht
§ 93 Abs. 3 TKG verweist schließlich auf den mit dem Telekommunikationsgesetz 2012 neu eingeführten § 109a TKG, in dem die Rahmenbedingungen zur Meldung von Datenschutz- und Sicherheitsvorfällen im Telekommunikationsbetrieb definiert sind1. d) § 94 TKG – Einwilligung im elektronischen Verfahren
41
Die Einwilligung im elektronischen Verfahren ist ein gesetzlich geregelter Ausnahmetatbestand zum Schriftformerfordernis in § 4a BDSG. Sie entspricht der heute üblichen Vertragsabwicklung über Webportae und ist daher in vielen Bereichen, nicht nur in der Telekommunikation, zum Regelfall geworden2. Die Einwilligung ist zu protokollieren, also nachweisbar zu dokumentieren. Die ausreichende Dokumentation ist hierbei nicht nur im Interesse des Betroffenen, sondern, etwa bei wettbewerbsrechtlichen Auseinandersetzungen, auch im wohlverstandenen Interesse des Diensteanbieters. Werden Einwilligungen bei telefonischen Hotlines eingeholt3, ist zu deren gerichtsfesten Dokumentation ein unmanipuliertes Voice-Protokoll erforderlich. Alleine die schriftliche Bestätigung der Einwilligung durch den Dienstanbieter im Nachgang zum Vertragsschluss reicht nicht aus. Ebenso wenig reichen die Aussagen von CallCenter Mitarbeitern, dass die Einwilligungen im Regelfall abgefragt und nur bei positiver Aussage des Betroffenen auch eingetragen werden.
42
Die Einwilligung im elektronischen Verfahren ersetzt nicht die sonstigen Voraussetzungen an die Wirksamkeit einer Einwilligung nach § 4a BDSG, etwa das Erfordernis der Freiwilligkeit4.
43
Zu unterscheiden ist die „datenschutzrechtliche Einwilligung“ von der Einwilligung zur telefonischen Werbeansprache nach § 7 Abs. 2 Nr. 2 UWG, die gesondert abzugeben ist5. Es empfiehlt sich daher, die Tatbestände in den Einwilligungserklärungen auch gesondert auszuweisen und abzuhandeln6. e) § 95 TKG – Vertragsverhältnisse
44
Das Telekommunikationsgesetz unterscheidet grundsätzlich zwischen zwei Arten personenbezogener Daten. Den sog. Bestandsdaten und den sog. Verkehrsdaten7. § 95 TKG bestimmt den Umgang mit den Bestands1 S. dazu im Gesetz selbst. 2 S. dazu nunmehr auch § 28 Abs. 3a BDSG. 3 Wobei dahingestellt sein mag, ob es sich hier um eine durch das Geschäftsmodell bedingte Ausnahme zu § 4a Satz 3 BDSG oder eine Sonderform des § 94 TKG handelt. 4 Munz in Taeger/Gabel, § 94 TKG Rz. 3 ff. 5 Auch kanalspezifische Einwilligungserklärung genannt. 6 Beispiele hierzu finden sich in den Vertragsdokumenten der bekannten Telekommunikationsdiensteanbieter. 7 Legaldefinitionen in § 3 Nr. 3 und 30 TKG.
590
Ulmer
II. Telekommunikations- und Telemedienanteile
Rz. 48
Teil 8 A
daten. Die Verwendung der Bestandsdaten durch den Telekommunikations-Diensteanbieter ist erlaubt zur Erfüllung der Verpflichtungen aus dem Dienstverhältnis, also zur Leistungserbringung. Für alle anderen Verwendungen bedarf der Telekommunikations-Diensteanbieter einer Erlaubnis, die sich entweder aus dem Telekommunikationsgesetz ergeben muss, oder aus der Einwilligung des Teilnehmers bzw. Nutzers, mit einer Ausnahme: Der für die Übermittlung von Daten in das außereuropäische Ausland früher einschlägige § 92 TKG ist mit dem Telekommunikationsgesetz 2012 weggefallen. Für diese Fälle gilt nach der Begründung zum Regierungsentwurf nunmehr das Bundesdatenschutzgesetz abschließend1. Die Verwendung von Bestandsdaten für Werbezwecke, das sind vor allem 45 die Marktforschung und die kundenspezifische Beratung, ist im Gegensatz zu den allgemeinen Regelungen im Bundesdatenschutzgesetz2 schon seit jeher nur mit der vorherigen Einwilligung des Betroffenen zulässig, wenn nicht der Ausnahmetatbestand des § 95 Abs. 2 Satz 2 TKG greift. Danach kann ein Kunde auch ohne konkrete Einwilligung vom Telekommunikations-Diensteanbieter angesprochen werden, wenn die dort genannten Voraussetzungen erfüllt sind und der Kunde der Werbeansprache nicht widersprochen hat. In der Praxis führt die Abgrenzung der Nutzung von Bestandsdaten zu 46 Vertragszwecken oder zu Werbezwecken oftmals zu Schwierigkeiten. Hier ist also genau abzuwägen, ob der Telekommunikations-Diensteanbieter einer vertraglichen Nebenpflicht nachkommt (etwa Informationsund Aufklärungspflicht zu günstigeren Tarifen) oder bereits eine Werbemaßnahme vorliegt (etwa die Bewerbung neuer Tarife, um den Kunden länger an den Diensteanbieter zu binden)3. Zu beachten ist in allen Fällen, dass die Verwendung der personenbezoge- 47 nen Daten für die Werbezwecke erforderlich sein muss. Auch bei vorliegender Einwilligung hat deshalb eine entsprechende Prüfung stattzufinden. Ebenfalls im Unterschied zu den allgemeinen Löschregelungen im § 35 48 BDSG sind die Bestandsdaten gemäß § 95 Abs. 3 TKG mit Ablauf des auf die Beendigung des Vertragsverhältnisses folgenden Kalenderjahres zu löschen.
1 BT-Drucks. 17/5707, S. 79. 2 S. dort nunmehr § 28 Abs. 3 BDSG. 3 Vgl. bei Munz in Taeger/Gabel, § 95 TKG Rz. 17, der das anhand der Kundensegmentierung diskutiert. Nach Ansicht dieses Autors ist die Kundensegmentierung, solange sie nicht zur Schlechterstellung von Kunden im Vergleich zum „Durchschnittskunden“ führt, eine durchaus nach § 95 Abs. 1 TKG zulässige Maßnahme des Telekommunikations-Diensteanbieter. Ulmer
591
Teil 8 A
Rz. 49
Telekommunikations- und Telemedienrecht
f) § 96 TKG – Verkehrsdaten 49
Die Verwendung der Verkehrsdaten1 durch den TelekommunikationsDiensteanbieter ist noch strenger reglementiert, als die Verwendung der Bestandsdaten. Die Verkehrsdaten sind neben den Inhalten einer Kommunikation zentraler Gegenstand des Fernmeldegeheimnisses; oftmals können sie aussagekräftiger über die Person, ihr Umfeld und ihre Verhaltensmuster sein, als die Inhalte einer Kommunikation selbst.
50
Das Prinzip für den Umgang mit den Daten bleibt aber gleich: sie dürfen nur in dem im Gesetz genannten Umfang und für die im Gesetz genannten Zwecke verwendet werden. Die zentralen Verwendungstatbestände für Verkehrsdaten sind demnach die Verwendung für Abrechnungszwecke2 und für die Aufrechterhaltung der Netzdienste sowie zur Missbrauchsbekämpfung3.
51
Die Verwendung von Verkehrsdaten für eigene Werbezwecke ist nur mit Einwilligung des Betroffenen zulässig, der vorher ausreichend über die beabsichtigte Verwendung aufzuklären ist. Einen Ausnahmetatbestand wie bei den Bestandsdaten4, der das Einwilligungserfordernis relativiert, gibt es für die Verkehrsdaten nicht.
52
Die Verkehrsdaten sind unverzüglich nach Wegfall des Zwecks ihrer Verwendung, also nach Beendigung der Verbindung und soweit sie nicht für andere zulässige Zwecke benötigt werden, zu löschen. In der Praxis haben sich hierzu Speicherzeiträume für nicht abrechnungsrelevante Daten von 3 bis 7 Tagen etabliert, die auch aufsichtsbehördlich und gerichtlich bestätigt sind5. g) § 98 TKG – Standortdaten
53
§ 98 TKG hat in den letzten Jahren stark an Bedeutung verloren. Nichtsdestotrotz wurde er vom Gesetzgeber im TKG 2012 noch einmal neu gestaltet. Wesentlicher, und insbesondere auch für SaaS-Lösungen wichtiger Punkt ist die Änderung in der Frage des Normadressaten6. Nach der neuen Fassung ist die Einwilligung des Teilnehmers, also nicht des Nutzers7, gegenüber dem Anbieter des Lokalisierungsdienstes8 abzugeben.
1 Legaldefinition in § 3 Nr. 30 TKG. 2 § 97 TKG – Entgeltermittlung und Entgeltabrechnung. 3 § 100 TKG – Störungen von Telekommunikationsanlagen und Missbrauch von Telekommunikationsdiensten. 4 § 95 Abs. 2 Satz 2 TKG. 5 BGH v. 13.1.2011 – III ZR 146/10, CR 2011, 178; AG Bonn v. 5.7.2007 – 9 C 177/07, CR 2007, 640. 6 Vgl. die Begründung zum Regierungsentwurf zu § 98, BT-Drucks. 17/5707, S. 79. 7 Siehe zur Legaldefinition § 3 Nr. 14 und 20 TKG. 8 Sog. Dienst mit Zusatznutzen, § 3 Nr. 5 TKG.
592
Ulmer
II. Telekommunikations- und Telemedienanteile
Rz. 58
Teil 8 A
Das bedeutet, die Vorschrift des § 98 TKG findet nicht generisch Anwen- 54 dung auf den Telekommunikations-Diensteanbieter, sondern auf den, der die Standortdaten des Mobilfunks im Rahmen seiner Leistungen aus der Cloud heraus nutzt. Nicht zur Anwendung kommt § 98 TKG, wenn sich der Lokalisierungsdienst auf Informationen stützt, die nicht aus dem Kommunikationsverkehr herrühren, etwa auf Auswertungen der Daten aus eigenen Ortsfeststellungen eines Gerätes über satellitenunterstützte Lösungen, wie das GPS, das Global Positioning System. Werden Mobilfunkdaten zur Lokalisierung genutzt, ist es nach § 98 55 Abs. 1 TKG nicht ausreichend, dass der Teilnehmer dem Dienst grundsätzlich zugestimmt hat. Nachdem Teilnehmer und Nutzer im Telekommunikationsbereich unterschiedliche Personen sein können1, ist es erforderlich, dass der Nutzer über eine SMS an das Endgerät2 über jede vorgenommene Lokalisierung zu informieren ist. Das gilt nur dann nicht, wenn der Standort nur auf dem Endgerät angezeigt wird, dessen Lokalisierung vorgenommen wurde. Die Standortdaten nach § 98 TKG werden heute wegen der anderweiti- 56 gen Lokalisierungsmöglichkeiten kaum noch für personalisierte Dienste, wie die Friendsfinder-Dienste, verwendet. Sie kommen vor allem dann zur Anwendung, wenn sehr genaue Positionsbestimmungen nötig sind und dazu ein Mix aus unterschiedlichen Lösungen verwendet wird. Dies kann etwa im betrieblichen Flottenmanagement der Fall sein. Ferner spielen die Standortdaten aus den Mobilfunkverkehren in anonymisierter Form noch eine Rolle bei Echtzeit-Verkehrsinformationssystemen. Dabei werden die Bewegungsdaten der Endgeräte gemessen und darüber festgestellt, ob etwa der Verkehr auf einer Autobahn steht oder fließt3. h) § 115 TKG – Kontrolle und Durchsetzung von Verpflichtungen Für den Bereich der Telekommunikation gibt es eine Sonderzuständig- 57 keit der Bundesnetzagentur, die die Umsetzung der Anforderungen aus dem 7. Teil des Telekommunikationsgesetzes sicherstellt. Für die Aufsicht des Datenschutzes gilt im Telekommunikationsgesetz 58 ebenfalls eine Abweichung zu den allgemeinen Regelungen des § 38 BDSG. Ausschließlich zuständig für die Telekommunikations-Diensteanbieter ist gemäß § 115 Abs. 4 TKG der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Diese Sonderzuständigkeit umfasst allerdings nicht andere Tätigkeitsbereiche eines Unternehmens, führt also nicht zu einer All-Zuständigkeit.
1 Z.B. Schenker und Beschenkter. 2 I.d.R. Mobilfunkgerät, Smartphone, Tablet etc. 3 Beispiel unter: http://www.navifacts.de/news/1173-ifa-2010-tomtom-hd-traffic. html. Ulmer
593
Teil 8 A
59
Rz. 59
Telekommunikations- und Telemedienrecht
Für die übrigen Tätigkeitsbereiche gelten weiterhin die allgemeinen Vorschriften des § 38 BDSG1. Interessant ist diese Aufspaltung der Zuständigkeiten insbesondere dann, wenn ein Anbieter wegen seiner Dienstleistungen gleichzeitig als Telekommunikations-Diensteanbieter und Telemedien-Diensteanbieter zu qualifizieren ist, also etwa als Accessanbieter und Contentanbieter oder Cloudanbieter am Markt auftritt. Für den Contentbereich gilt das Telemediengesetz mit der nach § 38 BDSG zuständigen Aufsichtsbehörde, für den Accessbereich das Telekommunikationsgesetz, für dessen Anforderungen der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zuständig ist. Obwohl in beiden Gesetzen gleichartige Regelungstatbestände enthalten sind, kann es daher bei vergleichbaren Sachverhalten durchaus zu unterschiedlichen aufsichtsbehördlichen Beurteilungen kommen. 2. Telemedien – Private Cloud – Public Cloud
60
Bei der Erbringung von Cloud-Lösungen kann das Telemedienrecht in vielfältiger Weise eine Rolle spielen. Das gilt vor allem für Software as a Service-Lösungen, die öffentlich zugänglich zur Verfügung gestellt werden. Gemäß § 1 TMG umfasst der Anwendungsbereich des Telemediengesetzes alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nr. 24 TKG sind. Damit sind der Austausch und die Eingabe von Informationen, wie sie etwa beim Besuch einer Webseite oder beim Anlegen eines Benutzerkontos stattfinden, Teil der telemedienrechtlichen Regulierung2. Auch die Verhaltensinformationen, die sog. Nutzungsdaten3, die während des Besuchs einer Webseite und ihrer Anwendungen generiert werden, gehören dazu.
61
Ebenso wie in der eigentlichen Telekommunikation fallen bei den Telemedienanwendungen sehr sensible Daten an, die etwa dazu geeignet sind, sehr genaue Persönlichkeitsprofile zu erstellen. Die Regelungen zum Datenschutz (§§ 11 ff. TMG) sind im Telemediengesetz deshalb vergleichbar streng ausgefallen4. a) §§ 7 ff. TMG – Die Verantwortlichkeit des Telemedien-Diensteanbieters für die zur Verfügung gestellten Inhalte
62
Den datenschutzrechtlichen Vorgaben, die das direkte Verhältnis zwischen Telemedien-Diensteanbieter und dem Nutzer der Dienste regeln, 1 Vgl. Abel, Praxiskommentar, S. 280. 2 Vgl. Moos in Taeger/Gabel, Einführung zum TMG Rz. 4; Abel, Praxiskommentar, S. 14/15. 3 S. dazu mehr bei den Ausführungen zu § 15 TMG. 4 Es darf an dieser Stelle noch einmal darauf hingewiesen werden, dass die in Deutschland vorgenommene Trennung in Telemedien- und Telekommunikationsdienste willkürlich und nur den unterschiedlichen politischen Zuständigkeiten geschuldet ist. Auf europäischer Ebene ist die e-Privacy-Richtlinie maßgeblich, RL 2002/58/EG, die hier richtiger Weise nicht differenziert.
594
Ulmer
II. Telekommunikations- und Telemedienanteile
Rz. 64
Teil 8 A
hat der Gesetzgeber in den §§ 7 ff. TMG die allgemeine Verantwortlichkeit des Telemedien-Diensteanbieters für Inhalte vorangestellt, die der Telemedien-Diensteanbieter anbietet. Als Grundsatz gilt, dass der Telemedien-Diensteanbieter nur für die eigenen Inhalte verantwortlich ist bzw. für Inhalte Dritter, die er sich erkennbar zu Eigen macht1. Der Gesetzgeber wollte mit den Regelungen in den §§ 7 bis 10 TMG der Entwicklung der Internetangebote Rechnung tragen, die immer mehr in Richtung der Vermittlung von Angeboten und Leistungen Dritter ging, etwa bei Online-Auktionsplattformen. Gemäß § 7 Abs. 2 TMG sind die Telemedien-Diensteanbieter nicht verpflichtet, diese dritten Angebote regelmäßig zu überwachen oder Nachforschungen anzustellen. Nur im Falle konkreter Hinweise besteht eine Aufklärungs- und Handlungspflicht2. Bei Cloud-Angeboten, insbesondere bei Software as a Service (SaaS) kom- 63 men sowohl Dienste in Betracht, bei denen sich der Cloud-Anbieter die Angebote von Dritten im Sinne eines Generaldienstleisters zu Eigen macht, oder bei denen er lediglich Vermittler einer Möglichkeit zum Vertragsabschluss mit dem Softwareanbieter ist. Je nach Ausgestaltung ist der Cloud-Anbieter entsprechend den Regelungen in den §§ 7 ff. TMG für die Gesetzeskonformität der eingestellten Angebote selbst verantwortlich oder er hat die Gesetzeskonformität nur bei Hinweis zu überprüfen. Freilich ist heute davon auszugehen, dass auch in den Fällen, in denen die Drittanbieter selber grundsätzlich für ihre Angebote verantwortlich sind, den Portalbetreiber zumindest gewisse Pflichten zur Plausibilisierung der Gesetzeskonformität treffen können3. Aus datenschutzrechtlicher Sicht ist darauf zu achten, dass der Kunde ei- 64 nes Cloud Angebots, der als verantwortliche Stelle gegenüber den Endkunden bzw. Nutzern einzustufen ist, auch bei einem reinen Vermittlungsmodell mit dem SaaS-Anbieter eine individuelle Vereinbarung zur Auftragsdatenverarbeitung abzuschließen hat, sofern personenbezogene Daten verarbeitet werden sollen. Die Einordnung einer Stelle als verantwortliche Stelle i.S.d. Datenschutzrechts kann also unterschiedlich zu den allgemeinen Verantwortlichkeiten nach den §§ 7 ff. TMG sein. Da Auftragsdatenverarbeitungs-Vereinbarungen, jedenfalls im Umfeld der Betriebs- und Unternehmenslösungen mit einer Vielzahl von möglichen Unterlieferanten, zu einem unangemessenen Aufwand für den Cloud Kunden führen können, sind die etablierten Vermittlungsmodelle aus datenschutzrechtlicher Sicht grundsätzlich als One-Stop-Shop ausgestaltet. 1 Hoffmann in Spindler/Schuster, Recht der elektronischen Medien, § 7 TMG Rz. 6 ff. 2 S. dazu im Einzelnen die einschlägige Kommentarliteratur. Der Verfasser beschränkt sich hier auf den konkreten Bezug zu den Angeboten bei Cloud-Diensten. 3 S. zum Konflikt mit den Verbot proaktiver, allgemeiner Überwachungspflichten Hoffmann in Spindler/Schuster, Recht der elektronischen Medien, § 7 Rz. 28, 30/31. Ulmer
595
Teil 8 A
Rz. 65
Telekommunikations- und Telemedienrecht
Das bedeutet, der Cloud-Anbieter hat mit den von ihm eingebundenen Unterlieferanten bereits Vereinbarungen zur Auftragsdatenverarbeitung abgeschlossen, deren Regelungen er direkt an den Cloud Kunden weitergeben kann. Dies entspricht zwar nicht dem rechtsdogmatisch zu erwartenden Vorgehen. Es ist aber gesetzlich nicht ausgeschlossen, dass der Cloud-Anbieter dem Kunden die zugrunde zu legenden vertraglichen Regelungen vorschlägt. b) § 11 TMG – Anbieter-Nutzer-Verhältnis 65
§ 11 TMG definiert den Anwendungsbereich der Datenschutzvorschriften des Telemediengesetzes. Die Datenschutzvorschriften finden nicht auf alle Nutzungsverhältnisse Anwendung, insbesondere dann nicht, wenn für den Dienst kein Drittbezug gegeben ist1. Ausgeschlossen ist die Anwendbarkeit der Datenschutzvorschriften daher, wenn die Nutzung der Telemediendienste im Dienst- und Arbeitsverhältnis zu ausschließlich beruflichen Zwecken erfolgt (§ 12 Abs. 1 Nr. 1 TMG). Im Umkehrschluss führt die nicht ausschließliche Nutzung für berufliche Zwecke unmittelbar zur Anwendbarkeit der Datenschutzvorschriften des Telemediengesetzes. Die Bewertung des Nutzungszwecks ist dabei nicht von der formalen Regelungslage in einem Unternehmen abhängig, sondern von der tatsächlichen Ausgestaltung. Damit führen geduldete private Nutzungen sehr schnell zur Anwendbarkeit der strengeren Regelungen des Telemediengesetzes2.
66
Die Legaldefinition des Nutzers aus Datenschutzsicht ist in § 11 Abs. 2 TMG niedergelegt. Wichtig für die Bewertung ist die tatsächliche Inanspruchnahme der angebotenen Dienste durch eine natürliche Person, zunächst unabhängig davon, ob dieser Nutzung ein konkretes Vertragsverhältnis zugrunde liegt3. Auch bei nur kurzen Besuchen eines Nutzers kommen damit die Vorschriften des § 11 TMG zur Anwendung. Zugleich enthält der Bezug auf die natürliche Person eine klare Abgrenzung zu den übrigen Regelungen des Telemediengesetzes, die grundsätzlich auch für juristische Personen gelten4. c) § 12 TMG – Grundsätze
67
Die besonderen Rechtsvorschriften des Telemediengesetzes stellen erhöhte Anforderungen an den Umgang des Telemedien-Diensteanbieters mit den personenbezogenen Daten seiner Nutzer. Wegen der vom Ge1 Vgl. Moos in Taeger/Gabel, § 11 TMG Rz. 9 ff. 2 Vgl. dazu die einschlägige Kommentarliteratur zum Beschäftigtendatenschutz. Zur grundsätzlichen Problematik sei hier nur allgemein verwiesen auf Gola, Datenschutz und Multimedia am Arbeitsplatz, 2005. 3 So auch Moos in Taeger/Gabel, § 11 TMG Rz. 25. 4 § 2 Nr. 3 TMG; Moos in Taeger/Gabel, § 11 TMG Rz. 24. Im Gegensatz dazu erklärt § 91 Abs. 1 Satz 2 TKG die Datenschutzvorschriften des TKG zumindest teilweise für juristische Personen für anwendbar.
596
Ulmer
II. Telekommunikations- und Telemedienanteile
Rz. 72
Teil 8 A
setzgeber unterstellten höheren Sensibilität der Daten, dürfen diese nur verwendet werden, soweit es im Telemediengesetz selbst erlaubt ist oder eine andere Rechtsvorschrift dies vorsieht, die sich ausdrücklich auf das Telemediengesetz bezieht, oder der Nutzer selbst eingewilligt hat (§ 12 Abs. 1 TMG). Durch diese Sonderregelung ist etwa der Rückgriff auf das Bundesdatenschutzgesetz versagt. Dies ist nicht nur wegen des Grundsatzes „Lex Specialis vor Lex Generalis“ der Fall, vgl. § 1 Abs. 3 Satz 1 BDSG. § 12 Abs. 2 TMG verlangt für Verwendungszwecke von Daten, die durch die Bereitstellung von Telemedien erhoben wurden und die außerhalb des Telemediengesetzes geregelt werden sollen, den bereits erwähnten ausdrücklichen Bezug auf die Telemedien. Ein solcher Bezug ist im Bundesdatenschutzgesetz an keiner Stelle hergestellt. Die Regelungstatbestände des Telemediengesetzes zur zulässigen Ver- 68 wendung der personenbezogenen Daten der Nutzer sind in den Folgeparagrafen abschließend zusammengestellt. Auf diese wird im Anschluss näher eingegangen. § 12 Abs. 2 TMG ist etwas missverständlich formuliert, setzt aber vo- 69 raus, dass bereits zulässiger Weise Nutzerdaten für die Erbringung von Telemediendiensten erhoben sind und regelt deren weitere Verwendbarkeit. Er greift somit den Vorschriften der §§ 15 und 16 TMG vor, in denen die Einzelbefugnisse ausdrücklich und gesondert aufgeführt sind. d) § 13 TMG – Pflichten des Diensteanbieters Informations-, Gestaltungs- und Einwilligungsanforderungen hat der Ge- 70 setzgeber in dem recht umfangreichen § 13 TMG zusammengeführt. Strukturell wäre eine Trennung der Regelungsbereiche und die Aufteilung in gesonderte Paragraphen sicherlich sinnvoller gewesen. Gemäß Absatz 1 ist der Nutzer zu Beginn des Nutzungsvorgangs über 71 die anstehenden Datenverarbeitungen zu unterrichten. Die Anforderungen an die Inhalte der Information und die Widerruflichkeit entsprechen den allgemeinen Anforderungen an elektronische Einwilligungen, wie wir sie aus anderen Gesetzen kennen1. Die Informationspflicht ist keine aufdrängende, es reicht vielmehr, wenn der Nutzer die Möglichkeit hat, jederzeit von den Inhalten Kenntnis zu nehmen (Abs. 1 Satz 3). Diese Verpflichtung ist mit der gut auffindbaren Einstellung der Datenschutzhinweise im jeweiligen Telemedienangebot als erfüllt anzusehen. Auch für Cloud-Angebote i.S.v. SaaS gilt diese Anforderung uneinge- 72 schränkt zumindest dann, wenn es sich um öffentliche Angebote handelt. Dem Nutzer muss transparent sein, welche Verarbeitungen seiner Daten durch den Anbieter in der Cloud erfolgen2. 1 Z.B. §§ 93/94 TKG. 2 LG Berlin v. 6.3.2012 – 16 O 551/10, openJur 2012, 603 – zur Unzulässigkeit des Versands von E-Mail-Einladungen ohne Einwilligung. Diese Entscheidung refeUlmer
597
Teil 8 A
Rz. 73
Telekommunikations- und Telemedienrecht
73
Aus gutem Grunde hat der Gesetzgeber in Abs. 3 den Zeitpunkt des Hinweises auf die jederzeitige Widerruflichkeit einer Einwilligung gesondert geregelt. Dieser muss vor der Abgabe der Einwilligung erfolgen. Damit soll ein Verstecken des Hinweises in den allgemeinen Datenschutzhinweisen vermieden werden. Unabhängig vom gesetzlichen Anspruch macht diese Regelung aber auch unternehmenspolitisch durchaus Sinn. Der informierte Nutzer, der von der jederzeitigen Widerruflichkeit seiner Einwilligung ausgehen kann, ist eher geneigt, die mit einer Einwilligung etwa verbundenen Unsicherheiten zu akzeptieren.
74
Abs. 4 listet technische und organisatorische Maßnahmen auf, die der Telemedien-Diensteanbieter zu gewährleisten hat, um die sichere und zuverlässige Nutzung seiner Angebote zu ermöglichen. Einige davon sind wesentlich für Cloud Computing Anwendungen, vor allem im Massenmarkt und für kleine bis mittlere Unternehmen. Insbesondere spielt in der Cloud wegen der viel umfassenderen Datenverarbeitung und -speicherung der Schutz der Daten vor der Kenntnisnahme durch Dritte eine große Rolle1. Mit der Gewährleistung dieser Rahmenbedingung stehen und fallen die angebotenen Cloud-Services. Ohne Vertrauen der Kunden in die vertrauenswürdige und sichere Datenverarbeitung beim Cloudanbieter werden seine Angebote keine Akzeptanz finden und nicht nachhaltig genutzt werden.
75
Wichtig ist aus den Maßgaben des Abs. 4 auch die Regel, dass grundsätzlich zulässige, pseudonyme Nutzungsprofile2 nicht mit konkreten Angaben über die Person des Nutzers zusammengeführt werden. Diese Regel kann natürlich nur vor dem Hintergrund Gültigkeit haben, als für die Zusammenführung keine Einwilligung auf informierter Grundlage nach den Abs. 1 und 2 vorliegt.
76
Nach den Bestimmungen in Abs. 5 ist die Weitervermittlung zu einem anderen Telemedien-Diensteanbieter dem Nutzer anzuzeigen. Das gilt allerdings nur für die Weitervermittlung zu eigenständig tätig werdenden Telemedien-Diensteanbietern, nicht für die im Innenverhältnis bestehenden Auftragsdatenverarbeitungsverträge mit technischen Dienstleistern. Der Empfänger muss also dem Nutzer gegenüber als eigenständiger Telemedien-Diensteanbieter auftreten. Gleichwohl hat der TelemedienDiensteanbieter für die Cloud-Services seine Kunden im Rahmen der allgemeinen Datenschutzhinweise darüber zu informieren, wenn er im
renziert, wie oft zu beobachten, auf das Gesetz gegen den unlauteren Wettbewerb (UWG) und die allgemeinen datenschutzrechtlichen Vorschriften. Die spezielleren Vorschriften des Telemediengesetzes und des Telekommunikationsgesetzes werden oft nicht gesehen. 1 Insbesondere Nr. 3, aber auch mit Nr. 2 und 4. 2 S. bei § 15 TMG Rz. 80 ff.
598
Ulmer
II. Telekommunikations- und Telemedienanteile
Rz. 79
Teil 8 A
Innenverhältnis Subunternehmer einsetzt und/oder die Daten Landesgrenzen überschreiten sollten1. Eine weitere zentrale Anforderung insbesondere für Cloud-Angebote ist 77 die Notwendigkeit, dem Nutzer die Inanspruchnahme der Telemediendienste anonym oder pseudonym zu gewährleisten (Absatz 6). Freilich ist das eingeschränkt durch die nach dem allgemeinen Stand der Technik vertretbaren Möglichkeiten. Diese Einschränkung auf das wirtschaftlich Sinnvolle war ein seinerzeitiges Zugeständnis des Gesetzgebers an die Wirtschaft, die sich bei einem Leading-edge-Ansatz vor übermäßige Herausforderungen gestellt sah. Wegen der rasanten technischen Entwicklung in den letzten Jahren, insbesondere in den Bereichen Prozessorkapazitäten und Speicherkapazitäten, sind die Angebote von anonymer und pseudonymer Inanspruchnahme heute eher darstellbar. Für Cloud-Anbieter, die eine internationale Infrastruktur nutzen wollen, gilt es vor dem Hintergrund der strengen Regelungen zur internationalen Datenübermittlung, von Beginn der Planungen an ein besonderes Augenmerk auf die Möglichkeiten von anonymer oder stark pseudonymer Datenverarbeitung zu legen. Anonymisierung und Pseudonymisierung können grundsätzlich entweder durch die Reduktion der Informationen, die die Bezugnahme zu einer Person herstellen, erfolgen (beispielsweise die Kürzung der IP-Adresse um die letzten 4 Ziffern). Besser ist heute aber die Verwendung von anerkannten Verschlüsselungsverfahren, wie die beispielsweise Hash-Verfahren oder die AES-Verschlüsselung2. e) § 14 TMG – Bestandsdaten Personenbezogene Daten der Nutzer, die nicht Nutzungsdaten sind3, darf 78 der Telemedien-Diensteanbieter nur verwenden, soweit sie für die Vertragserfüllung benötigt werden. Dies spielt gerade im Public-CloudBereich eine Rolle, wenn die Nutzer Konten beim Telemedien-Diensteanbieter einrichten, die mit weiteren Informationen zu Adresse, Bankverbindung etc. hinterlegt sind. Die darüber hinaus gehende Verwendung der Informationen über den Nutzer ist entsprechend den Grundsätzen in § 12 TMG dann zulässig, wenn dies gesetzlich erlaubt ist oder der Nutzer eingewilligt hat. Solange die Daten vorhanden sind, müssen sie nach den Regelungen des 79 § 14 Abs. 2 TMG herausgegeben werden, wenn das von den zuständigen Stellen, die in aller Regel öffentliche Stellen sind, auf rechtmäßiger Grundlage angeordnet wird. Eine Auflistung der Zugriffberechtigten und der Zugriffgrundlagen erfolgt dem Grunde nach bereits in Absatz 2 1 Abs. 1, s. aber auch § 33 Abs. 1 BDSG und in Fortsetzung für die interne Verzeichnispflicht § 4e i.V.m. § 4g Abs. 2 BDSG. 2 S. zu den Verfahren in der einschlägigen Literatur, etwa Schneier, Angewandte Kryptographie, 2005, oder Schmeh, Kryptographie, 5. Aufl. 2013. 3 § 15 TMG. Ulmer
599
Teil 8 A
Rz. 80
Telekommunikations- und Telemedienrecht
selbst. Trotzdem ist immer darauf zu achten, dass die spezialgesetzliche Rechtsgrundlage, auf die sich eine Stelle beruft, auch existent ist. Eine inhaltliche, also materiell-rechtliche Prüfpflicht des Telemedien-Diensteanbieters, ob eine Anordnung oder Anfrage rechtmäßig ist, wird in aller Regel nur dann verneint, wenn die anfordernde Stelle einen Beschluss eines Gerichts vorweisen kann1. In diesen Fällen ist es ausreichend, dass die Prüfung der Rechtmäßigkeit bereits durch das Gericht als unabhängige Instanz erfolgt ist. In allen anderen Fällen ist der Telemedien-Diensteanbieter gut beraten, wenn er die Rechtmäßigkeit des Herausgabeverlangens vor der Datenübermittlung sorgfältig prüft. Denn er ist die gegenüber den Nutzern verantwortliche Stelle und haftet dafür entsprechend. f) § 15 TMG – Nutzungsdaten 80
§ 15 ist die eine der wichtigsten Vorschriften für die Datenschutzanforderungen im Telemedienbereich. Die Nutzungsdaten sind die Daten, die im Zusammenhang mit der Nutzung von Telemediendiensten entstehen2. Sie sind im ersten Absatz im Einzelnen definiert. Insbesondere die „Angaben über die vom Nutzer in Anspruch genommenen Telemedien“ (Nr. 3) eignen sich besonders gut dazu, Nutzerprofile zu erstellen, da sie Aufschluss über die Surfgewohnheiten und die inhaltlichen Vorlieben des Nutzers geben3.
81
aa) § 15 TMG enthält als abschließende Regelung den Erlaubnistatbestand zur Verwendung der Nutzungsdaten durch den TelemedienDiensteanbieter4. Werden die Nutzungsdaten nicht oder nicht mehr für die in § 15 TMG aufgeführten Verwendungen benötigt, sind sie unverzüglich zu löschen. Das ergibt sich zwar nicht wörtlich aus dem § 15 TMG, wohl aber aus der einschränkenden Erlaubnis „… nur erheben und verwenden, soweit …“5. Bei den Cloud-Angeboten hat § 15 TMG vor allem Relevanz im Bereich der Cloud-Lösungen für den Massenmarkt. Bei Angeboten zu Software as a Service über Portallösungen sind die Nutzungsdaten der Kunden zu den Bewegungen auf den Portalen und den aufgerufenen Inhalten entsprechend den Regelungen des § 15 TMG zu behandeln. Das ist von besonderem Interesse, wenn der Anbieter aus dem Nutzungsverhalten der Nutzer Profile erstellen möchte, die ihn bei der Individualisierung des Angebots seiner Leistungen unterstützen sol1 Insbesondere im Telekommunikationsbereich und im Internet-Access-Bereich ist das etwa bei den Beschlüssen nach §§ 100g und 100h StPO oder den Beschlüssen nach § 101 Abs. 9 UrhG zu beachten. 2 Vergleichbar den Verkehrsdaten im Telekommunikationsbereich (§ 96 TKG), die nicht zu den Nutzungsdaten zählen, aber bei Anspruch der Dienste über ein Telekommunikationsnetz zeitgleich mit ihnen anfallen. 3 S. zur Definition ausführlicher Zscherpe in Taeger/Gabel, § 15 TMG Rz. 12 ff. 4 Zscherpe in Taeger/Gabel, § 15 TMG Rz. 5. 5 S. zur Löschverpflichtung auch die Entscheidung des AG Berlin-Mitte v. 27.3.2007 – 5 C 314/06, CR 2008, 194.
600
Ulmer
II. Telekommunikations- und Telemedienanteile
Rz. 82
Teil 8 A
len. Diese Lösungen bauen in der Regel auf softwaregestützten Tracking Tools auf, die die Bewegungen auf Basis der IP-Adresse des Nutzers verfolgen und speichern. bb) Wie die IP-Adresse rechtssystematisch einzuordnen ist, ist nicht un- 82 umstritten. Eine Minderheit nimmt an, dass es sich bei IP-Adressen gar nicht um personenbezogene Daten handelt1. Abgesehen von einigen Ausnahmen bei der reinen „Maschine zu Maschine“-Kommunikation ist diese Auffassung jedoch nicht haltbar. Die IP-Adressen, auch die dynamischen IP-Adressen, sind durch ihre Zuordenbarkeit zu einem Anschluss und damit zu einem Anschlussinhaber zumindest personenbeziehbar2. Eine andere, wesentlich interessantere Frage ist, ob dynamische IP-Adressen als pseudonyme3 Daten i.S.d. § 15 Abs. 3 TMG qualifiziert werden können. Ist das der Fall, dürfen sie zunächst ohne vorherige Einwilligung des Nutzers für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der angebotenen Dienste verwendet werden. Die klare Auffassung der obersten Aufsichtsbehörden in Deutschland dazu ist: die IP-Adresse ist kein Pseudonym i.S.d. Telemediengesetzes4. Das kann natürlich argumentativ in Zweifel gezogen werden, denn die dynamische IP-Adresse ist eigentlich der klassische Fall für ein Pseudonym. Bei der Nutzung des Internets tritt der Nutzer zunächst alleine über die IP-Adresse in Erscheinung. Die IP-Adresse ersetzt also als Alias die Klarinformationen über den Nutzer und ist daher ein pseudonymes Datum. Die Rückbeziehung auf den Nutzer ist nur über die Verlinkung mit anderen Datenbanken möglich5.
1 Vgl. Meyerdierks, MMR 2009, 8 ff. 2 Der Access-Provider, also ein Telekommunikations-Diensteanbieter, kann über die IP-Adresse und den entsprechenden Zeitstempel nachvollziehen, welchem Anschluss die IP-Adresse zu einem fraglichen Zeitpunkt zugeordnet war. Diese Zuordenbarkeit geht mit der Löschung der IP-Adressen beim Access-Provider verloren. Ab diesem Zeitpunkt können sie als anonymes Datum gewertet werden. Vgl. zum Umfang der Definition der personenbezogenen Daten Gola/Schomerus, BDSG, § 3 Rz. 2 ff.; ausführlich zur Bestimmtheit oder Bestimmbarkeit, Dammann in Simitis, BDSG, § 3 Rz. 20 ff. 3 Legaldefinition der Pseudonymisierung in § 3 Abs. 6a BDSG. 4 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich („Düsseldorfer Kreis“) am 26./27.11.2009 in Stralsund. Die Anforderungen von Aufsichtsbehörden an die konkrete Ausgestaltung der Pseudonymisierung können recht unterschiedlich sein. Es empfiehlt sich daher bei komplexen Projekten die frühzeitige Abstimmung mit der zuständigen Behörde. So können unnötige Projektverzögerungen und Folgekosten vermieden werden. 5 Verlässlich erfolgt eine solche Verlinkung nur über den Access-Provider. Sollte aber etwa ein Portalbetreiber – nach deutschem Recht zulässig – die IP-Adresse eines Nutzers mit den Anmeldedaten seines Portal-Accounts zusammenbringen und speichern, ist auch diesem Anbieter eine konkrete, wenn auch nicht zwingend verlässliche, Zuordnung, möglich. Unter Berücksichtigung dieses Gedankens erklärt sich auch die strikte Auffassung der Aufsichtsbehörden zur IPAdresse. Ulmer
601
Teil 8 A
Rz. 83
Telekommunikations- und Telemedienrecht
83
Das Tracking von Nutzungsverhalten, das einer IP-Adresse zugeordnet ist, für eigene Zwecke des Unternehmens ist daher nach Auffassung des Verfassers zulässig i.S.d. § 15 Abs. 3 TMG. Aufgrund der klaren Positionierung der Aufsichtsbehörden haben die Anbieter von Tracking-Lösungen allerdings bereits weitere Maßnahmen ergriffen, um die Rückbeziehbarkeit von IP-Adressen weiter zu erschweren. Daher werden für die gängigen Lösungen nur stark gekürzte IP-Adressen verwendet. Werden zur Auswertung der Nutzerdaten Dritte eingebunden, die entsprechende Analysesoftware anbieten, ist mit diesen aber wegen der grundsätzlichen Personenbeziehbarkeit von Pseudonymen ein entsprechender Auftragsdatenverarbeitungsvertrag abzuschließen. Die Verarbeitung der Daten für eigene Zwecke der Dritten verbietet sich auf dieser Grundlage.
84
cc) Werden zur Analyse von Nutzerverhalten Cookies eingesetzt ist darauf hinzuweisen, dass hierzu die e-Privacy-Richtlinie1 eine Regelung trifft, die den Einsatz von Cookies für diese Zwecke von der Zustimmung des Nutzers abhängig macht (Art. 5 Abs. 3 der Richtlinie). Diese Anforderung wurde von der Bundesregierung bislang nicht explizit in deutsches Recht umgesetzt, obwohl die Umsetzungsfrist mit dem 25.5.2011 bereits abgelaufen ist. Betroffene können sich daher ggf. direkt auf die Vorgaben der Richtlinie berufen. Allerdings ist der Wortlaut der Richtlinie nach verschiedener Auffassung nicht ausreichend bestimmt, um durchsetzungsfähig sein zu können2. Insbesondere ist aus der Regelung nicht klar, ob es tatsächlich ein Opt-In erfordert, oder ob ein OptOut ausreichend ist. Insofern kann die Auffassung vertreten werden, dass eine Umsetzung für Deutschland nicht notwendig war, da die erforderlichen Regelungen bereits in § 15 Abs. 3 TMG enthalten sind. Die Telemedien-Diensteanbieter sollten aber darauf achten, dass die Informationen der Nutzer in den Datenschutzhinweisen ausreichend transparent und ausführlich sind.
85
dd) Sollten Dritte die Verwendung von Nutzungsinformationen wünschen, geht das aus der Systematik des Gesetzes heraus nur mit der vorherigen, aktiven Einwilligung des Betroffenen (§ 12 Abs. 1 TMG) oder bei Verwendung anonymisierter Daten (§ 15 Abs. 5 Satz 3 TMG).
86
ee) Nutzungsprofile, die auf Grundlage von pseudonymisierten Daten erstellt wurden, dürfen nicht mit den konkreten Daten über den Träger des Pseudonyms zusammengeführt werden3. Für die konkrete, individualisierte werbliche Nutzung der Informationen, also die namentliche Ansprache, ist daher ebenfalls zwingend die vorherige Einwilligung des Nutzers erforderlich. Das betrifft insbesondere Newsletter-Dienste, grundsätzlich aber auch die Nutzer-Konto bezogene Werbemaßnahmen. 1 S. oben Rz. 19. 2 Vgl. Hinzpeter, Britta, „Cookie-Richtlinie“ in Europa, Beitrag in Computerwoche.de v. 11.1.2013. 3 Zscherpe in Taeger/Gabel, § 15 TMG Rz. 73.
602
Ulmer
II. Telekommunikations- und Telemedienanteile
Rz. 91
Teil 8 A
ff) Betrachten wir die sog. Social-Plug-Ins1 ergibt sich für die Handhabung 87 nichts anderes. Allerdings werden durch die Social-Plug-Ins in der Regel Nutzungsdaten unmittelbar an die Anbieter der Plug-In-Lösungen weitergegeben. Dies ist daher nur auf der Grundlage von § 15 Abs. 5 Satz 3 TMG möglich, also eine Übermittlung anonymisierter Daten. In jedem Fall verbietet sich die Verwendung der individuellen Nutzungs- 88 daten, ohne dass der Nutzer vorher transparent über die Verwendung und ihren Zweck nach § 13 Abs. 1 TMG informiert wurde und – soweit § 15 Abs. 5 Satz 3 nicht greift – auch gefragt wurde, ob er der Nutzung zustimmt. Ein Hinweis auf die Funktionalität der Plug-Ins in den Datenschutzhinweisen mit einer verbundenen Widerspruchsmöglichkeit ist bei anderen als anonymisierten Daten nicht ausreichend. Für die anforderungskonforme Implementierung von Social Plug-Ins mit Datenabfluss an Dritte bleiben daher im Wesentlichen zwei Möglichkeiten. Dem Nutzer wird vor dem Laden der Seite die Wahlmöglichkeit gegeben, der Weitergabe der Daten zuzustimmen; die Plug-Ins sind per Default deaktiviert und der Nutzer muss das Plug-In selbst durch eine bewusste Handlung aktivieren2 oder die abfließenden Informationen über den Nutzer werden vor der Weitergabe an die sozialen Netzwerke anonymisiert3. gg) § 15 TMG enthält über die Regelungen zur Verwendung der Nutzer- 89 daten zu Werbe- und Marktforschungszwecken hinaus Regelungen zur Verwendung der Nutzungsdaten zu Abrechnungszwecken. Abs. 2, teilweise Abs. 5 und Abs. 6 sind hier einschlägig. Bei Cloud-Diensten kommen diese Regelungen nur dann zur Anwendung, wenn die zeitabhängige Nutzung eines Portals an sich abgerechnet werden muss, also unabhängig von der konkreten Inanspruchnahme der angebotenen Funktionalitäten durch den Kunden die reine Verweildauer in der Anwendung abgerechnet wird. Oftmals wird in diesem Bereich über Flatrate-Angebote gearbeitet, die eine Vielzahl der bei einem Portalbesuch anfallenden Nutzungsdaten für die Abrechnung überflüssig machen. Aber auch die fallweise Inanspruchnahme einer Funktionalität ist abre- 90 chenbar. Zum Beispiel beim Abruf von Einzellizenzen im Rahmen von Software as a Service-Lösungen kann der Bestellvorgang über die anfallenden Nutzungsdaten abgerechnet werden. In diesem Zusammenhang ist das Heranziehen von Nutzungsdaten für 91 Abrechnungszwecke also weitgehend entbehrlich. Sie müssen unverzüglich gelöscht werden. Ergeben sich tatsächliche, zu dokumentierende Anhaltspunkte, die einen Verdacht auf missbräuchliche Inanspruchnah1 Die bekanntesten sind die Buttons von Facebook, Twitter oder Google+; zur wettbewerbsrechtlichen Zulässigkeit von „Like“-Buttons siehe auch KG Berlin v. 29.4.2011 – 5 W 88/11, CR 2011, 468. 2 Umgesetzt etwa bei www.heise.de oder www.t-online.de. 3 Z.B. durch Kürzung um die letzten drei Nummern der IP-Adresse; Legaldefinition von Anonymisierung in § 3 Abs. 6 BDSG. Ulmer
603
Teil 8 A
Rz. 92
Telekommunikations- und Telemedienrecht
me i.S.d. § 15 Abs. 8 TMG ergeben, dürfen die Nutzungsdaten gespeichert werden1, allerdings erst ab diesem Zeitpunkt. Die präventive Datenspeicherung für diese Zwecke ist daher unzulässig2. g) § 15a TMG – Informationspflicht bei unrechtmäßiger Kenntniserlangung 92
Eine besonders schmerzliche, aber für die nachhaltige Etablierung von Cloud-Diensten umso wichtigere Regelung ist die Informationspflicht gemäß § 15a TMG. Fließen Nutzerdaten unberechtigt ab, egal ob durch eigene Versäumnisse oder Dritteinwirkung, und besteht dadurch das Risiko von erheblichen Nachteilen für die Nutzer, sind diese und die Aufsichtsbehörde entsprechend den Vorschriften des § 42a BDSG zu informieren. § 15a TMG enthält eine Rechtsfolgenverweisung3 auf das Bundesdatenschutzgesetz, das den weiteren Ablauf bestimmt. Dort sind in § 42a BDSG insbesondere die Sätze 2–5 zu befolgen.
93
Wann eine schwerwiegende Beeinträchtigung i.S.d. TMG vorliegt, ist jeweils im Einzelfall zu beurteilen. Zum Anhalt genommen werden können dafür aber auch die Grundaussagen in § 42a Satz 1 BDSG. Es muss sich um Informationen handeln, deren Kenntnisnahme durch Dritte geeignet ist, die Position des betroffenen Nutzers nachhaltig negativ zu beeinflussen. Dazu gehören dürften also vor allem aus dem Bereich der Bestandsdaten die Zahlungsinformationen und ggf. die Kontaktdaten. Bei den Nutzungsdaten sind insbesondere die zuordenbaren Nutzungsprofile kritisch.
94
An dieser Stelle kann aus den gemachten praktischen Erfahrungen heraus nur empfohlen werden, den Begriff der „schwerwiegenden Beeinträchtigung“ nicht zu eng auszulegen, sondern bei Problemen eher proaktiv auf Nutzer und Aufsichtsbehörden zuzugehen. Das gebietet nicht nur der Grundgedanke oder die Kultur des transparenten Handelns. Ist ein Telemedien-Diensteanbieter einmal wegen unterbliebener Information der Nutzer und Aufsichtsbehörden in die öffentliche Kritik geraten, wird er dort nur schwerlich wieder herausfinden. Raum und Zeit für Diskussionen, ob es sich bei den abhandengekommenen Informationen nun um kritische oder um gerade noch nicht Kritisches handelte, gibt es in der öffentlichen Debatte nicht.
1 Bei § 15 Abs. 8 TMG handelt es sich um die Konkretisierung des Verhältnismäßigkeitsgrundsatzes. Deshalb müssen die Anhaltspunkte möglichst konkret sein, Zscherpe in Taeger/Gabel, § 15 TMG Rz. 91. Ob letztendlich ein konkreter Strafverdacht im strafprozessualen Sinne vorliegt, obliegt der Beurteilung und Entscheidung durch die Staatsanwaltschaft. 2 Zscherpe in Taeger/Gabel, § 15 TMG Rz. 94. 3 Gabel, BB 2009, 2046; Moos in Taeger/Gabel, § 15a TMG Rz. 2.
604
Ulmer
III. Vertriebsformen fr Cloud Computing
Rz. 99
Teil 8 A
III. Vertriebsformen für Cloud Computing unter Berücksichtigung des Telekommunikations- und Telemedienrechts 1. Private Cloud1 Die entscheidende Frage für die Anwendung des Telekommunikations- 95 bzw. Telemedienrechts ist die oben anhand der einzelnen Themenbereiche erörterte Qualifizierung eines Angebots als Telekommunikationsoder Telemediendienst. Bei Private-Cloud-Angeboten als unternehmensinternen Cloud-Diens- 96 ten, richtet sich die Anwendbarkeit im Verhältnis zwischen dem Unternehmen als Abnehmer von Cloud-Leistungen und seinen eigenen Mitarbeitern nach der konkreten unternehmensinternen Ausgestaltung des Cloud-Angebots. Dürfen die Mitarbeiter die vom Unternehmen gebuchten Dienste auch zu privaten Zwecken nutzen, kommt die Anwendbarkeit des Telekommunikations- und Telemedienrechts in Betracht. Wenn nicht, bestimmen sich die Regelungen zwischen dem Unternehmenskunden und seinen Mitarbeitern nach den Bestimmungen des Bundesdatenschutzgesetzes, insbesondere dem § 32 BDSG, der für den Umgang mit Beschäftigtendaten einschlägig ist. Haben Dritte Zugriff auf diese internen Cloud-Dienste, ist im Einzelfall 97 zu prüfen, ob im Verhältnis zu diesen das Recht der elektronischen Kommunikation (also TKG und/oder TMG) zur Anwendung kommt. Das ist jedenfalls dann zu verneinen, wenn die Dritten, etwa freie Mitarbeiter, wie die festangestellten Mitarbeiter ausschließlich zur Erfüllung des Geschäftszwecks des Unternehmens (der verantwortlichen Stelle) auf die Dienste zugreifen. Im Verhältnis des Unternehmens als Cloud-Kunde zu seinem Dienstleis- 98 ter, dem Cloud-Anbieter, wird bei diesen intern und exklusiv ausgestalteten Bindungen i.S.v. Geschäftsprozess-Outsourcing das Telekommunikations- und Telemedienrecht nicht zur Anwendung kommen. Als verantwortliche Stelle nutzt der Kunde den Dienstleister aber als Auftragsdatenverarbeiter i.S.v. § 11 BDSG (siehe dazu oben Rz. 26 ff.). 2. Public Cloud Die Public Cloud zeichnet sich aus durch Dienste, die einer unbestimm- 99 ten Anzahl von Cloud Abnehmern zur kurz- oder längerfristigen Inanspruchnahme zur Verfügung gestellt werden. Die Kosten für den Nutzer bestimmen sich nach der einzelnen Inanspruchnahme („pay as you go“)
1 Zur Begriffsbestimmung von Private Cloud und Public Cloud s. Teil 1 A Rz. 14 ff., Teil 1 C Rz. 13 ff. Aufschlussreich sind auch die Darstellungen in Wikipedia zum Begriff Cloud Computing, dort insbesondere unter den Absätzen „Begriffsbestimmung“ und „Organisatorische Arten von Clouds“. Ulmer
605
Teil 8 A
Rz. 100
Telekommunikations- und Telemedienrecht
oder über Gebühren, bzw. eine Flatrate, die die Inanspruchnahme bestimmter Dienste im Rahmen von Laufzeitverträgen gewährt. 100
Bei der Public Cloud im Sinne einer Open Cloud, die im Wesentlichen für den Massenmarkt konzipiert aber zumindest einem offenen Kundenkreis zugänglich ist, ist der Cloud-Anbieter dann verantwortliche Stelle, wenn seine Kunden unmittelbar die datenschutzrechtlich betroffenen Einzelpersonen sind. Erbringt er aber Public-Cloud-Leistungen für Unternehmen, die diese ihrerseits zur Verarbeitung der von Ihnen als verantwortliche Stelle gespeicherten Daten (z.B. über Mitarbeiter oder Kunden) einsetzen, ist der Cloud-Anbieter Auftragsdatenverarbeiter. Im Verhältnis zu den Kunden, gleich ob Unternehmens- oder Privatkunde, ist der Cloud-Anbieter auch Anbieter von Telekommunikations- bzw. Telemediendiensten, je nach Ausgestaltung des Zugangs zu den Diensten. Zwar ist der Anbieter datenschutzrechtlich primär durch den Auftragsdatenverarbeitungsvertrag und § 11 Abs. 4 BDSG gebunden, aber es können trotzdem Vorschriften des TKG oder TMG anwendbar sein, da etwa die §§ 91 ff. TKG auch für Unternehmensdaten gelten, § 91 Abs. 1 Satz 2 TKG.
101
Auf Nutzerseite sind zunächst die Privatnutzer1. Sie werden wie bereits ausgeführt durch die Verwendung des Cloud-Angebotes nicht zur verantwortlichen Stelle. Dies gilt ohnehin soweit nur die sie selbst betroffenen Daten in der Cloud verarbeitet werden. Da das Datenschutzrecht nach den heutigen Definitionen auf die rein private Nutzung von personenbezogenen Informationen keine Anwendung findet, gilt dies selbst dann, wenn eine Privatperson personenbezogene Daten über andere Personen in der Cloud verarbeitet (z.B. Speicherung privater Fotos von Bekannten)2.
102
Ist der Kunde ein Unternehmen, das das Cloud Angebot zur Erfüllung eigener Geschäftszwecke wahrnimmt, bleibt es gegenüber den Betroffenen, deren personenbezogenen Informationen es verarbeitet, weiterhin verantwortliche Stelle, d.h. die Verantwortlichkeit geht alleine durch die Nutzung von fremden Diensten nicht per se auf den Cloud-Anbieter über. Das den Cloud Dienst nutzende Unternehmen hat also auch in diesem Fall die Einhaltung aller datenschutzrechtlichen Anforderungen sicherzustellen. Liegen die Voraussetzungen für eine Auftragsdatenverarbei1 § 1 Abs. 2 Nr. 3 BDSG. 2 Nachdem Privatpersonen spätestens seit dem interaktiven Ansatz von Web 2.0 eine immer stärkere Rolle Internet spielen, sind die Gefahren, die sich daraus für andere Nutzer und deren Daten ergeben, gestiegen. Zukünftig wird deshalb darüber nachgedacht werden müssen, den Privat-Nutzern im Rahmen der gesetzlichen Neuregelungen mehr Verantwortung zukommen zu lassen. Allerdings muss das zunächst i.S.d. Handhabbarkeit sorgfältig geprüft werden. Wenn etwa die Anforderungen aus einer Auftragsdatenverarbeitung nach § 11 BDSG auf alle Privat-Nutzer Anwendung finden würden, käme das Geschäft mit dem Internet wohl zum Erliegen, um nur ein Beispiel zu nennen.
606
Ulmer
III. Vertriebsformen fr Cloud Computing
Rz. 104
Teil 8 A
tung nicht vor, etwa weil der Cloud-Anbieter nicht weisungsgebunden ist und ein eigenes Ermessen bei der Verarbeitung ausübt, muss der Cloud Kunde prüfen, ob ein datenschutzrechtlicher Erlaubnistatbestand für die Übermittlung der Daten an den Cloud-Anbieter vorliegt. Während im Anwendungsbereich des BDSG eine Übermittlung bei überwiegendem berechtigten Interesse des Cloud Kunden nach § 28 BDSG zulässig ist, erlauben die abschließenden und restriktiven Erlaubnistatbestände des TKG und TMG in der Regel eine Übermittlung nicht oder nur mit vorheriger Einwilligung des Betroffenen. Bei der Public Cloud, die den Nutzern auch die fallweise Inanspruchnah- 103 me von Diensten (häufig über ein Internet-Portal) erlaubt, ergibt sich im Vergleich zu langfristigen vertraglichen Engagements, wie etwa in einer Exclusive Cloud oder Private Cloud, folgende Besonderheit, auf die gesondert hinzuweisen ist. Public-Cloud-Angebote, etwa die Umwandlung von digitalen Dokumen- 104 ten in ein anderes Format, erschöpfen sich oft in der einmaligen Inanspruchnahme des Angebots, d.h. der Zweck der Datenverarbeitung entfällt unmittelbar nach Abschluss der Inanspruchnahme. Die Daten des Nutzers, die im Rahmen der Inanspruchnahme angefallen sind und insbesondere die zwischengespeicherten Inhaltsdaten, etwa von Dokumenten, sind damit zu löschen1. Da Public-Cloud-Angebote grundsätzlich pseudonym oder anonym nutzbar sein müssen, ist das für die reinen Nutzungsdaten weniger kritisch. Diese erschöpfen sich, wenn kein Account angelegt wurde, in den IP-Adressen und den Log-Daten der Angebote, die unmittelbar zu löschen sind2. Problematisch kann das aber bezüglich der Informationen sein, die sich aus den vom Nutzer gelieferten Inhalten, in unserem Beispiel also der umgewandelten Dokumente, ergeben. Bei der Formatumwandlung müssen die Dokumente nämlich erst in die Cloud hochgeladen werden, um verarbeitet werden zu können. Nach der Verarbeitung liegen die Informationen in der Cloud immer noch vor und damit können konkrete und qualifizierte Rückschlüsse auf den Nutzer oder in den Dokumenten genannte Personen gezogen werden. Unabhängig von der vertraglichen Grundlage der Zusammenarbeit muss bei Cloud-Angeboten daher sichergestellt werden, dass diese Informationen gelöscht oder auf andere Weise irreversibel unauswertbar gemacht werden3. 1 Und zwar nicht nur die Nutzungs- oder Zugangsdaten nach TMG und TKG, sondern nach § 35 Abs. 2 BDSG vor allem auch die Verarbeitungsdaten aus dem Vorgang an sich. 2 Legt der Nutzer trotz der Möglichkeit, das Angebot anonym oder pseudonym zu nutzen, ein Nutzerkonto an, ist dies allerdings ein Indiz für die Absicht, den Dienst auf wiederkehrender Basis zu nutzen. In diesem Fall kann es zulässig sein, die Daten für eine angemessene Frist weiterhin zu speichern. 3 Bei der Auftragsdatenverarbeitung und bei der Funktionsübertragung – in beiden Fällen kommt für die Inhaltsdaten § 35 BDSG zur Anwendung und für die Nutzungsdaten § 13 Abs. 4 TMG. Ulmer
607
Teil 8 A
105
Rz. 105
Telekommunikations- und Telemedienrecht
Anstatt der Löschung der Inhalte kann die einzelne Inanspruchnahme von Diensten alternativ unter zu Hilfenahme eines Einmal-Verschlüsselungsverfahrens abgewickelt werden, bei dem der Schlüssel nach Abschluss der Inanspruchnahme „weggeworfen“ wird. In diesem Fall sind die verschlüsselten Informationen ebenfalls nicht wieder herstellbar, jedenfalls gilt dies bei Einsatz hinreichend sicherer Verschlüsselungsverfahren zum heutigen Stand.
IV. Anwendbares Recht bei internationalen Cloud-Modellen 106
Die Frage des anwendbaren Datenschutzrechts bestimmt sich grundsätzlich nach der Rechtsordnung, die für das Verhältnis zwischen dem von der Verarbeitung Betroffenen und der verantwortlichen Stelle gilt.
107
Die anzuwendende Rechtsordnung bestimmt sich für verantwortliche Stellen im EWR nach dem Sitz der Niederlassung, die die Daten erhebt1. Dies ergibt sich aus § 1 Abs. 5 BDSG, der für den Telekommunikationsund Telemediendatenschutz ebenso gilt2. Das ist unabhängig davon, an welchem Ort die verantwortliche Stelle die Verarbeitung der Daten tatsächlich vornimmt. Demnach gilt deutsches Recht also für alle Unternehmen, die personenbezogene Daten deutscher oder ausländischer Nutzer über eine in Deutschland ansässige Niederlassung oder Gesellschaft erheben. Dies gilt auch dann, wenn diese die Daten im Auftrag in der Cloud in einem anderen Land verarbeiten lassen.
108
Bei europäischen Unternehmen, die sich Cloud-Services bedienen und darin die Daten ihrer Kunden oder Mitarbeiter verarbeiten, ist das in der Regel unkritisch, da hier das Sitzprinzip gilt. Anders mag diese Beurteilung übrigens bezogen auf die Zugriffe staatlicher Bedarfsträger ausfallen, die ggf. länderübergreifend spezifischer Rechtsgrundlagen bedürfen.
109
Die zugrunde zu legende Rechtsordnung im Verhältnis des Nutzers zum Cloud-Provider kann dann unsicher sein, wenn der Cloud-Provider seinen Sitz außerhalb der Europäischen Union und des europäischen Wirtschaftsraums hat. Das ist insbesondere bei direkt an Privatkunden gerichtete Angeboten im Public-Cloud-Bereich zu beachten. Solange der Anbieter keine Niederlassung in Europa hat, oder sich in seinen Nutzungsbedingungen selbst schon auf europäisches Recht bezieht, kann die Anwendbarkeit europäischen Rechts nur über die eingangs genannte Hilfskonstruktion hergeleitet werden (siehe oben Rz. 22 ff.). Danach müsste etwa durch den Verweis auf die Verwendung von Cookies auf dem Rechner des Nutzers argumentiert werden, dass damit auch die Da1 Niederlassungsprinzip, Dammann in Simitis, BDSG, § 1 Rz. 198 ff. (199). 2 Dieselben Rahmenbedingungen, wie sie für das allgemeine Datenschutzrecht gültig sind, gelten damit auch für die Telemediendienste. Das stellt der Verweis in § 3 Abs. 3 Nr. 4 TMG ausdrücklich klar. Ebenso gilt das für die §§ 91 ff. TKG, die wegen fehlender Sonderreglungen einen Rückgriff auf das BDSG zulassen.
608
Ulmer
V. Der Zugriff durch staatliche Bedarfstrger
Rz. 113
Teil 8 A
tenverarbeitung am Ort des Nutzers stattfindet und nicht am – außereuropäischen – Sitz des Telemedien-Diensteanbieters. Im Bereich des TKG und des TMG stellt sich ferner die Frage, wann die 110 nicht den Datenschutz betreffenden Normen Anwendung finden. Dies ist im TKG nicht ausdrücklich geregelt. Daher geht die h.M. davon aus, dass nach dem im öffentlichen Recht grundsätzlich geltenden Territorialitätsprinzip die Telekommunikationsregulierung, insbesondere auch das Fernmeldegeheimnis, für alle Unternehmen gilt, die in deutschem Territorium Telekommunikationsdienste anbieten. Dadurch kann also auch ein nicht-deutsches Unternehmen mit Sitz in der EU dem TKG unterfallen.
V. Der Zugriff durch staatliche Bedarfsträger – Strafverfolgungsbehörden Der Grundsatz für alle Datenzugriffe der Eingriffsverwaltung ist: Er 111 bedarf einer gesetzlichen Grundlage. Einer allgemeingesetzlichen Grundlage für den Bereich des allgemeinen Datenschutzrechts und einer gesondert ausgewiesenen gesetzlichen Grundlage für die Eingriffe in das Telekommunikationsgeheimnis1. Wichtig dabei ist, dass es sich um eine gesetzliche Grundlage deutschen 112 Rechts handeln muss. Ausländisches Recht kommt in Deutschland nicht zur Anwendung, außer es wäre vom deutschen Parlament ratifiziert und damit unmittelbar zur Anwendung kommendes deutsches Recht geworden oder es würde sich um eine EU-Verordnung handeln, die ebenfalls unmittelbar geltendes Recht ist. Andere außerstaatliche Regelungen sind keine Rechtsgrundlage für Eingriffe in die Rechte der deutschen Unternehmen oder Bürger. Das gilt es deshalb zu betonen, weil einige Staaten in ihren Regelungen deren Anwendbarkeit auch außerhalb ihrer eigenen Souveränität für gegeben unterstellen2. Sollten deshalb Anfragen von staatlichen Stellen außerhalb Deutsch- 113 lands erfolgen, sind diese Stellen ggf. auf ein einzuleitendes Amtshilfeverfahren zu verweisen. Immer hat der Cloud-Provider daher die Pflicht, die um Auskunft ersuchende Stelle nach der Rechtsgrundlage zu fragen, aufgrund derer sie ihre Ansprüche geltend macht. Aus dieser Rechtsgrundlage können sich weitergehende Formalien ergeben, die vom Aus-
1 Grundrechte, in die aufgrund staatlicher Maßnahmen eingegriffen werden kann, sind in diesem Bereich insbesondere Art. 2, Art. 10 und Art. 13 GG. Letzterer vor allem wegen einer möglichen Beschlagnahme von Gegenständen (Datenträgern) in der Wohnung eines Beschuldigten. 2 Z.B. der U.K. Bribery Act – http://www.fco.gov.uk/en/global-issues/conflict-mi nerals/legally-binding-process/uk-bribery-act. Ulmer
609
Teil 8 A
Rz. 114
Telekommunikations- und Telemedienrecht
kunftsersuchenden einzuhalten und vom Cloud-Provider zu prüfen sind1. 114
Ein inhaltliches, also materielles Prüfungsrecht, inwieweit der geltend gemachte Anspruch tatsächlich begründet ist, hat der Cloud-Provider jedenfalls dann nicht, wenn ihm ein rechtskräftiger richterlicher Beschluss ordnungsgemäß zugestellt wird2.
115
Die Anspruchsgrundlagen der Strafverfolgungsbehörden müssen sich immer gegen den zur Auskunft Verpflichteten richten. Damit ist es einer Staatsanwaltschaft etwa verwehrt, mit einem Durchsuchungs- und Beschlagnahmebeschluss, mit dem der Computer eines Beschuldigten beschlagnahmt werden sollte, dessen Verkehrsdaten beim Telekommunikationsprovider heraus zu verlangen. Dazu bedarf es dann eines gesonderten richterlichen Beschlusses gegen den Telekommunikations-Diensteanbieter nach § 100g StPO3.
116
Der Zugriff auf Informationen über den Beschuldigten kann bei diesem selbst über einen Beschlagnahmebeschluss gemäß §§ 94 ff. StPO erfolgen. Auch auf die in der Cloud hinterlegten Daten, die sog. entfernten Speichermedien, kann dabei über § 110 Abs. 3 StPO vom Computer des Beschuldigten aus zugegriffen werden4. Der Cloud-Provider wird davon in der Regel nur den berechtigten Zugriff seines Kunden bemerken.
117
Soweit die Daten verschlüsselt sind und die Möglichkeit für die Verfolgungsbehörde besteht, diese zu entschlüsseln, ist dies ebenfalls von den Vorschriften der Strafprozessordnung gedeckt5. Im Gegenzug heißt das aber, die Verschlüsselung von Daten ist nicht verboten und der Schlüssel muss wohl auch nicht herausgegeben werden, da sich der Beschuldigte nicht selbst belasten muss.
118
Soll ein Zugriff auf die Daten eines Beschuldigten über den Cloud-Provider erfolgen, bedarf es einer gesonderten Rechtsgrundlage gegen den Provider. Diese kann sich aus den bereits erwähnten Rechtsgrundlagen zur Beauskunftung von Verkehrsdaten oder den direkt im Telekommuni-
1 Im gängigen Fall des Auskunftsersuchens von Urheberrechts-Verwertungsgesellschaften gegen Zugangs-Provider, wem zu welchem Zeitpunkt eine bestimmte IP-Adresse zugeordnet war, muss etwa ein richterlicher Beschluss für diese Beauskunftung vorgelegt werden (§ 101 Abs. 9 UrhG). Dazu interessant auch OLG Köln v. 21.10.2008 – 6 Wx 2/08, MMR 2008, 820. 2 Vgl. Graf in Beck’scher Online-Kommentar StPO, § 100a Rz. 137 und Bär, Handbuch der EDV-Beweissicherung im Strafverfahren, 2007, S. 81 Rz. 112. 3 Hier ist zu beachten, dass § 100g StPO insoweit nichtig ist, als er sich auf den Auskunftsanspruch nach § 113a TKG (Vorratsdaten) bezieht (BVerfG v. 2.3.2010 – 1 BvR 256/08, BGBl. I 2010, 272, Tenor Nr. 2. 4 Obenhaus, NJW 2010, 651 (652). 5 Obenhaus, NJW 2010, 651 (653).
610
Ulmer
V. Der Zugriff durch staatliche Bedarfstrger
Rz. 121
Teil 8 A
kationsgesetz bzw. Telemediengesetz hinterlegten Rechtsgrundlagen, etwa § 113 TKG/§ 14 TMG ergeben1. Ein Zugriff auf die Daten beim Cloud-Provider ohne Rechtsgrundlage ist 119 also ebenso unzulässig wie es das beim Beschuldigten selbst wäre. Wegen des Grundsatzes, dass das speziellere Gesetz dem allgemeinen Gesetz vorgeht, ist insbesondere auch kein Rückgriff auf das Bundesdatenschutzgesetz möglich, das von den Regelungen im Telekommunikationsgesetz und im Telemediengesetz verdrängt wird. Damit kann insbesondere keine Interessenabwägung, etwa zugunsten der Strafverfolgungsbehörde und zum Nachteil des Beschuldigten, vorgenommen werden. Diese Abwägung hat bereits der Gesetzgeber durchgeführt, indem er die gesetzlichen Regelungen und deren Hierarchien bestimmt hat2. Ein Zugriff ausländischer Behörden auf Cloud-Provider in Deutschland 120 kann, wie bereits ausgeführt (Rz. 112 f.), nur erfolgen, wenn das für das Unternehmen geltende Recht dafür eine Rechtsgrundlage enthält. Das gilt auch dann, wenn das Unternehmen Tochtergesellschaften im Ausland hat. Es ist nicht zulässig, über die ausländischen Tochtergesellschaften auf in 121 Deutschland liegende Daten zuzugreifen. Es mag vorkommen, dass ausländische Behörden in dieser Beziehung Druck auf das deutsche Unternehmen ausüben, indem sie der Tochtergesellschaft Konsequenzen androhen. Aber auch hier bleibt nur klarzustellen, dass Drohungen keine Rechtsgrundlage für die Herausgabe von Daten sind. Konflikte dieser Art müssen daher auf andere Weise gelöst werden.
1 Obenhaus, NJW 2010, 651 (653). 2 Ein expliziter, sondergesetzlicher Herausgabeanspruch ist etwa in § 20m des Bundeskriminalamtsgesetzes (BKAG) enthalten. Ulmer
611
B. Regulierte Finanzdienstleister Rz. I. Einleitung . . . . . . . . . . . . . . . . . . .
II. Regelungskomplex für Auslagerungen von Finanzdienstleistern . 5 1. Entwicklung . . . . . . . . . . . . . . . . . 6 2. Die aufsichtsrechtlichen Pflichten des § 25a KWG . . . . . . . . . . . . 8 a) Pflicht zur ordnungsgemäßen Geschäftsorganisation . . . . . . . 8 b) Auslagerung wesentlicher Dienstleistungen . . . . . . . . . . . 11 III. Aufsichtsrechtliche Anforderungen an Auslagerungen . . . . . . . 1. Gestaltungsspielräume der MaRisk . . . . . . . . . . . . . . . . . . . . . . 2. Cloud Computing unter der MaRisk . . . . . . . . . . . . . . . . . . . . . . a) Auslagerungstatbestand bei Cloud Computing . . . . . . . . . . . b) Wesentliche Auslagerungen in die Cloud . . . . . . . . . . . . . . . . c) Gesamtverantwortung und Strategie der Geschäftsleitung . d) Risikomanagement, Risikosteuerung und Überwachung. . e) Auslagerungsprüfungsprozess . aa) Dienstleisterbezogene Zulässigkeitsprüfung . . . . . bb) Anforderungen der einzelnen Kontrollfunktionen. . . f) Vertragliche und organisatorische Anforderungen . . . . . . . .
Rz.
1
15
g) h) i)
16 j) 18 19 27
aa) Vertragliche Anforderungen der MaRisk . . . . . . . . . . bb) Spezifikation der Leistung . cc) Informations-, Prüfungsund Kontrollrechte . . . . . . . dd) Weisungsrechte . . . . . . . . . ee) Datenschutz . . . . . . . . . . . . ff) Vertragsbeendigung . . . . . . gg) Weiterverlagerungen an Subunternehmer. . . . . . . . . Zugriffsrechte und Mandantentrennung. . . . . . . . . . . . . . . . Steuerung des Dienstleisters . . Technisch-organisatorische Ausstattung . . . . . . . . . . . . . . . . Notfallplanung . . . . . . . . . . . . .
43 44 51 61 64 65 69 71 75 78 82
IV. Bankgeheimnis und Vertraulichkeitspflichten . . . . . . . . . . . . . 84 V. Weitere Compliance-relevante Vorschriften . . . . . . . . . . . . . . . . . . 87
33
VI. Folgen einer mangelhaften Umsetzung . . . . . . . . . . . . . . . . . . . 90
35 36
VII. Sonstige Auslagerungsvorschriften im Finanzsektor . . . . . . . . . . . 92
37 40
VIII. Globale Finanzdienstleister im Spannungsfeld nationaler Regelungen. . . . . . . . . . . . . . . . . . . 94 IX. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 98
42
I. Einleitung 1
Aufgrund des schwierigen Marktumfelds, Wettbewerbsdrucks und steigender Kosten durch neue, regulatorische Auflagen werden Cloud-Services für Finanzdienstleister zunehmend attraktiv, da diese viele Vorteile wie effektivere Ressourcennutzung und Kostenmanagement durch Payas-you-go-Modelle bieten und dabei Innovationen und Flexibilität in Aussicht stellen1. 37 % der Unternehmen in Deutschland nutzen bereits die Cloud, und der Finanzsektor gilt hierbei sogar als Vorreiter2. Gleichzeitig hält die EU-Agentur für Internetsicherheit die hohe Konzentration 1 Lehmann/Giedke, CR 2013, 608 (609); Kühn, BankPraktiker 02/2013, 30 (32). 2 BITCOM Pressemitteilung „Jedes vierte Unternehmen nutzt bereits Cloud Computing“ (7.3.2012), siehe http://www.bitkom.org/de/presse/74532_71446.aspx; sowie „Umsatz mit Cloud Computing steigt auf fast 8 Milliarden Euro“ (6.3.2013), siehe http://www.bitkom.org/de/presse/8477_75301.aspx (Stand 28.10.2013).
612
Glaus/Horras
I. Einleitung
Rz. 4 Teil 8 B
von Nutzerdaten im Finanzwesen im Zusammenhang mit Cloud Computing für bedenklich1. Aus der Sicht von Finanzinstituten sind, neben sonstigen rechtlichen 2 Rahmenbedingungen, eigene Anforderungen an Cloud-basierte Dienste zu berücksichtigen, die sich maßgeblich aus dem Bankaufsichtsrecht ergeben. Gesetzgeber und Aufsichtsbehörden regulieren in vielen Rechtsordnungen den Geschäftsbetrieb von Instituten aufgrund der Systemrelevanz des Finanzsektors für die Wirtschaft. Hierbei wird sowohl der IT-Betrieb selbst als auch die Nutzung von Leistungen von Drittanbietern im Sinne einer Auslagerung als mögliches Risiko identifiziert und besonderen Regelungen unterworfen. Ein gutes Jahrzehnt nach den ersten großen Rechenzentrums- und anderen IT-Infrastrukturauslagerungen im Finanzsektor haben sich entsprechende Outsourcing-Servicemodelle inkl. sog. „Nearshoring“ oder „Offshoring“ weitgehend als gängige Praxis etabliert und erreichen über das Business Process Outsourcing komplexe Bereiche wie Kunden- und Kreditrisikomanagement2. Laut einer Veröffentlichung der Bundesanstalt für Finanzdienstleistungen (BaFin) nutzen alle großen Institute – allerdings in unterschiedlichem Umfang – bereits heute Auslagerungen, v.a. um Kosten zu sparen3. Public und Private Clouds werden in der Regel von Dienstleistern außer- 3 halb des Finanzsektors angeboten. Technische Weiterentwicklungen und die damit verbundenen neuen bzw. andersartigen Risiken erfordern jeweils eine gewissenhafte Untersuchung, ob, in welchem Umfang und unter welchen Maßgaben diese durch Institute unter Berücksichtigung bankaufsichtsrechtlicher Besonderheiten, v.a. dem Erfordernis risikoorientierter Auslagerungsregelungen, genutzt werden können. Darüber hinaus müssen Finanzdienstleister auch alle sonstigen anwendbaren Gesetze und Vorgaben wie den allgemeinen Datenschutz beachten. In der Praxis sind hierbei oft große Diskrepanzen zwischen aufsichtsrechtlichen Anforderungen einerseits sowie den Standardbedingungen des Drittanbieters andererseits festzustellen. Die Leichtigkeit einer IT-Nutzung in der Cloud kann im „Plug-and- 4 Play“-Zeitalter in einem bemerkenswerten Kontrast zur Schwere von Haftungsfolgen, regulatorischen Implikationen und sonstigen Konsequenzen stehen4. Die neue Bedrohungslage im Bereich von Cybercrime zeigt deutlich, dass ein Risikomanagement zu Cloud Computing allgemeine Anforderungen an eine Cybersecurity-Strategie sowie effektive Maßnahmen zum Schutz von Informationen berücksichtigen muss und 1 Viefhues, ENISA: Warnungen vor Risiken des Cloud Computing, MMR-Aktuell 2013, 343183. 2 Messner, die bank 3/2012, 38; Söbbing/Weinbrenner, WM 2006, 165. 3 Konschalla, BaFin Mitteilung v. 1.8.2013 „Outsourcing: BaFin vergleicht Auslagerungen bei Instituten“; weitere Marktdetails in Keibel in Grieser/Heemann, Bankaufsichtsrecht, S. 1060 ff. 4 Heckmann, MMR 2006, 280 (281). Glaus/Horras
613
Teil 8 B
Rz. 5
Regulierte Finanzdienstleister
bei einer Auslegung der allgemeinen Vorgaben zur Auslagerungsplanung und -umsetzung eine Rolle spielen wird1.
II. Regelungskomplex für Auslagerungen von Finanzdienstleistern 5
Cloud-Services stehen in der Regel in einem Zusammenhang zu den datenverarbeitenden IT-Systemen der Bank, die für die Durchführung des Bankgeschäfts von elementarer Bedeutung sind. Die Regulierung und Kontrolle von derartigen Auslagerungen dient entsprechend dem Zweck, das Risiko einer Unterbrechung der Datenverarbeitung oder gar den Verlust von Daten zu steuern und damit eine Einschränkung der Funktionsfähigkeit der Finanzwirtschaft zu verhindern2. Die allgemeine Anforderung an einen Aufbau eines IT-Risiko-Management-Systems gilt darüber hinaus auch für sonstige Unternehmen etwa im Zusammenhang mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich sowie den allgemeinen Anforderungen an eine IT-Compliance3. Spezielle Anforderungen der Bankenaufsicht zur Cloud sind allerdings bisher nicht bekannt4. 1. Entwicklung
6
Die ersten gesetzlichen Regelungen zur Auslagerung wurden in Deutschland 1998 im Rahmen der 6. Novelle des Gesetzes über das Kreditwesen (KWG) durch § 25a Abs. 2 KWG und § 33 Abs. 2 WpHG eingeführt. Diese Regelungen sind als spezielle Ausformulierungen allgemeiner Anforderungen an IT-Compliance eines Unternehmens als Untergruppe allgemeiner Organisationspflichten zu verstehen5. 2001 folgte ein Rundschreiben des Bundesamts für Kreditaufsicht (BAKred), welches konkrete Anforderungen an einen Auslagerungsvertrag formulierte. Die Einhaltung wurde nach Anzeige des Instituts an die BAKred vorab geprüft6. Die Anforderungen wurden 2005 durch eine Zusammenstellung von Musterklauseln für Auslagerungsverträge ergänzt7.
7
Im Rahmen von Bestrebungen zur Novellierung und Vereinheitlichung des Europäischen Bankaufsichtsrechts haben die Empfehlungen des Baseler Ausschusses und des Committee of European Banking Supervisors 1 Gercke, CRi 2013, 136 (137); Weber, CRi 2007, 13 (15 und 17 f.). 2 Duisberg/Eckhardt/Grudzien/Hartmann/u.a., S. 48 f. 3 Siehe KonTraG v. 27.4.1998, insb. § 91 Abs. 2 AktG; Lensdorf/Steger, ITRB 2006, 206 ff.; Niemann/Paul, K&R 2009, 444 (450). 4 Duisberg/Eckhardt/Grudzien/Hartmann/u.a., S. 48. 5 Lensdorf, CR 2007, 413 (414); Lensdorf/Steger, ITRB 2006, 206 (208). 6 BAKred Rundschreiben 11/2001 „Auslagerung von Bereichen auf ein anderes Unternehmen gemäß § 25a Abs. 2 KWG“ v. 6.12.2001, siehe http://www.uni-leip zig.de/bankinstitut/alt/dokumente/2001-12-06-01.pdf (Stand 20.10.2013). 7 Ferstl in Bräutigam, IT-Outsourcing, S. 626 f. Rz. 12.
614
Glaus/Horras
II. Regelungskomplex fr Auslagerungen von Finanzdienstleistern Rz. 9 Teil 8 B
(CEBS) aus den Jahren 2005 und 2006 über die Finanzmarktrichtlinie (MIFID) und die zugehörige Durchführungsrichtlinie im europäischen Recht Eingang gefunden1. Diese Empfehlungen sahen einen erheblich stärker risikoorientierten Selbstregulierungsansatz vor. In Deutschland machten diese Vorgaben im Jahr 2007 eine Reformierung der aufsichtsrechtlichen Vorschriften erforderlich. Seitdem sind Auslagerungen eigenverantwortlich vor allem unter verschiedenen Risikogesichtspunkten gemäß der nachfolgenden Ausführungen zu prüfen. 2. Die aufsichtsrechtlichen Pflichten des § 25a KWG a) Pflicht zur ordnungsgemäßen Geschäftsorganisation Nach der Definition des § 1 Abs. 1b KWG gelten die Auslagerungsregeln 8 für alle Institute im Anwendungsbereich des KWG2. Der persönliche Anwendungsbereich des KWG ist auch dann eröffnet, wenn es sich entweder um Zweigstellen deutscher Institute im Ausland oder um inländische Zweigstellen von Unternehmen mit Sitz im Ausland handelt, soweit es sich nicht um andere Finanzinstitute aus dem Europäischen Wirtschafsraum mit dem sog. Europäischen Pass handelt3. Die Frage, ob deutsches Aufsichtsrecht auf einen Cloud-Service Anwendung finden wird, richtet sich, anders als das für den Auslagerungsvertrag anzuwendende Recht4, ausschließlich nach der Regulierungszuständigkeit bzgl. des betroffenen Instituts selbst. Gesellschaftsrechtlichen Organisationspflichten nicht unähnlich sieht 9 § 25a Abs. 1 KWG vor, dass Finanzdienstleister jederzeit über eine ordnungsgemäße Geschäftsorganisation zur Einhaltung gesetzlicher Bestimmungen und betriebswirtschaftlicher Notwendigkeiten verfügen müssen, was insbesondere durch ein angemessenes und wirksames Risikomanagement umzusetzen ist. Das Risikomanagement eines Finanzinstituts umfasst neben typischen Risikoszenarien wie beispielsweise Liquiditätsengpässe oder Kreditausfallrisiken auch die interne operative Organisation, die personelle und technisch-organisatorische Ausstattung und Notfallkonzepte für IT-Systeme. Entsprechend ist bei allen Auslagerungen die allgemeine Anforderung zu berücksichtigen, dass ein Cloud-Service weder die Ordnungsmäßigkeit der Geschäfte noch die Geschäftsorganisati1 Richtlinie 2004/39/EG des Europäischen Parlamentes und des Rates v. 21.4.2004 über Märkte für Finanzinstrumente sowie Richtlinie 2006/73/EG der Kommission v. 10.8.2006 zur Durchführung der Richtline 2004/39/EG; Brogl in Berndt, Outsourcing in Kreditinstituten, A. Rz. 3 ff., 27 f. 2 Sowohl Kreditinstitute nach § 1 Abs. 1 KWG als auch Finanzdienstleistungsinstitute nach § 1 Abs. 1a KWG; Ketessidis in Hanten/Görke/Ketessidis, Outsourcing im Finanzsektor, B. I. Rz. 65 ff.; Braun/Wolfgarten in Boos/Fischer/ Schulte-Mattler, Kreditwesengesetz, Rz. 865 ff. 3 Für inländische Niederlassungen von Instituten mit Sitz in einem Staate des EWR gelten gem. § 53b KWG die Vorgaben ihres Hauptsitzes; Ferstl in Bräutigam, IT-Outsourcing, S. 628 Rz. 17. 4 Sujecki, K&R 2012, 312 (313 ff.). Glaus/Horras
615
Teil 8 B
Rz. 10
Regulierte Finanzdienstleister
on des Instituts beeinträchtigen darf. Das Institut muss hierzu gewährleisten, dass für die ausgelagerten Aktivitäten und Prozesse ein angemessenes und wirksames Risikomanagement besteht1. 10
Das Institut verfügt dabei jedoch über einen weiten Umsetzungsspielraum und kann sich im Hinblick auf den erforderlichen Regelungsbedarf an den bestehenden Risiken orientieren; allerdings wird eine Auslagerung niemals vollkommen risikofrei sein. Es ist damit durchaus möglich, dass ein als nicht wesentlich eingestufter Cloud-Service aufgrund seines Risikoprofils dennoch praktisch alle Regelungen einer wesentlichen Auslagerung beachten muss, während etwa unkritische Softwaretestumgebungen in der Cloud deutlich geringeren Anforderungen unterliegen können. Auch nicht wesentliche Auslagerungen in die Cloud werden in jedem Fall eine sorgfältige Auswahl des Dienstleisters sowie die Überwachung der Ordnungsgemäßheit der Leistungserbringung erfordern2. b) Auslagerung wesentlicher Dienstleistungen
11
Bei der Auslagerung von Aktivitäten und Prozessen, die für die Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen wesentlich sind, hat das Institut risikoabhängig angemessene Vorkehrungen zu treffen, um übermäßige zusätzliche Risiken zu vermeiden. Zunächst darf die ordnungsgemäße Geschäftsführung i.S.v. § 25a Abs. 1 KWG nicht beeinträchtigt werden. Die ausgelagerten Aktivitäten und Prozesse sind in das Risikomanagement des Instituts einzubeziehen. Das Institut bleibt weiterhin für die Einhaltung aller anwendbaren gesetzlichen Bestimmungen verantwortlich. Ein Anhaltspunkt für die Wesentlichkeitsschwelle ist die Prüfung, ob die in die Cloud ausgelagerten Prozesse bei einer unzureichenden oder unterlassenen Wahrnehmung zu einer wesentlichen Beeinträchtigung der Leistungsfähigkeit oder Kontinuität der Tätigkeiten des Instituts führen würden3.
12
Rundschreiben der Finanzaufsicht konkretisieren dabei unbestimmte Rechtsbegriffe wie in § 25a KWG und haben als Verwaltungsvorschriften norminterpretierenden Charakter, was aber nicht über ihre praktische Relevanz täuschen sollte4. Erstmals erließ die BaFin 2005 das Rundschreiben „Mindestanforderungen an das Risikomanagement“ (MaRisk)5, welches
1 Duisberg/Eckhardt/Grudzien/Hartmann/u.a., S. 49 f. 2 Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), S. 415; Achtelik, BankPraktiker 01/2008, 14. 3 Art. 13 Abs. 1 MIFID Durchführungsrichtlinie. 4 Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), S. 277; Ferstl in Grieser/Heemann, Bankaufsichtsrecht, S. 1037. 5 Rundschreiben 18/2005 v. 20.12.2005 – Mindestanforderungen an das Risikomanagement.
616
Glaus/Horras
II. Regelungskomplex fr Auslagerungen von Finanzdienstleistern Rz. 14 Teil 8 B
in seiner derzeitigen Fassung vom 14. Dezember 2012 gültig ist1. Die Neuerung gegenüber den bisherigen Regeln liegt darin, dass sich die MaRisk stärker an Prinzipien und konsequenter Risikoorientierung anlehnt und den Instituten Gestaltungsspielräume im Rahmen angemessenen Risikomanagements als eigenverantwortliche Unternehmensentscheidung überlässt2. Die MaRisk enthält hierzu nur eine generische Definition ohne konkrete Fallbeispiele. Die Institute entscheiden selbst anhand einer Risikoprüfung im Rahmen von festgelegten Prozessen über das Vorliegen einer Auslagerung und ihrer Wesentlichkeit. Bei der Analyse sind alle für das Institut maßgeblichen Aspekte zu berücksichtigen und die maßgeblichen Organisationseinheiten einzubeziehen3. Der Ansatz prinzipienorientierter Regulierung bedeutet im Hinblick auf die Prüfung des Vorliegens einer Auslagerung, dass bereits Umgang und Tiefe der Analyse von der Komplexität und vom Risikogehalt der ausgelagerten Aktivitäten und Prozesse abhängen4. Die Nutzung neuester technischer Standards in der Cloud kann dabei nicht nur größere Investitionen des Instituts vermeiden, sondern auch bereits bestehende Risiken reduzieren. Die Risikoanalyse erfordert die Einbindung aller maßgeblichen Organisa- 13 tionseinheiten und erfasst operationelle, betriebswirtschaftliche, strategische und sonstige Risiken5. Dies bedeutet, dass alle relevanten Risikokontrollfunktionen wie etwa die Bereiche für IT und Informationssicherheit, Erfassung und Management operativer Risiken, Rechtsabteilung, Compliance, Datenschutz und zwingend die Interne Revision auf der Basis eines definierten Verfahrens zur Erfassung und Bewertung von Auslagerungsrisiken im Zusammenhang mit Cloud-Services eingebunden werden müssen. Auch bei einem konzerninternen Outsourcing in eine Private Cloud sind 14 zunächst alle Anforderungen an eine Auslagerung entsprechend zu berücksichtigen, da die MaRisk hierzu keine Ausnahmen beinhaltet und lediglich in den Erläuterungen risikominimierende Aspekte wie etwa bei einem Risikomanagement auf Konzernebene sowie Durchgriffsrechte
1 BaFin Rundschreiben 10/2012 (BA) „Mindestanforderungen an das Risikomanagement – MaRisk“ v. 14.12.2012, siehe http://www.bafin.de/SharedDocs/Veroef fentlichungen/DE/Rundschreiben/rs_1210_marisk_ba.html?nn=2818068 (Stand 27.10.2013). 2 Schwirten, die bank 2008, 61; Brogl in Berndt, Outsourcing in Kreditinstituten, A. Rz. 36 ff. 3 Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), S. 277. 4 BaFin Erläuterungen zu MaRisk in der Fassung v. 14.12.2012, AT 9 Tz. 2 Abs. 1, siehe http://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs12 10_erlaeuterungen_ba.pdf?__blob=publicationFile&v=3 (Stand 27.10.2013). 5 MaRisk AT 9 Tz. 2; Ketessidis in Hanten/Görke/Ketessidis, Outsourcing im Finanzsektor, B. I. Rz. 101 f.; Brogl in Berndt, Outsourcing in Kreditinstituten, A. Rz. 55; Kleemann in Becker/Berndt/Klein, Neue MaRisk, Rz. 398. Glaus/Horras
617
Teil 8 B
Rz. 15
Regulierte Finanzdienstleister
vorsieht1. Allerdings wird im Rahmen der Risikobewertung bei Berücksichtigung des gemeinsamen Reputationsinteresses sowie gesellschaftsrechtlicher Steuerungsmöglichkeiten und gemeinsamer Konzernrichtlinien eine konzernintern betriebene Private Cloud eher als nicht wesentlich einzustufen sein2, es sei denn, das neue Servicemodell beinhaltet neue operative Risiken etwa im Hinblick auf die Datensicherheit. Konzerninterne Serviceverträge sollten hierbei zumindest alle regulatorischen Mindestanforderungen an einen Vertrag beinhalten und gewährleisten, dass nachvollziehbare Verrechnungspreise zur Cloud-Nutzung verwendet werden3.
III. Aufsichtsrechtliche Anforderungen an Auslagerungen 15
Diese aufsichtsrechtlichen Anforderungen an Auslagerungen sind von einem Institut, welches beabsichtigt, Cloud-Dienstleistungen zu beziehen, umfassend umzusetzen. Hierbei sind die generischen Vorgaben zu Auslagerungen von Geschäftsprozessen und IT-Systemen auf die spezifische, technische und organisatorische Ausgestaltung des Services zu transferieren. Das Auslagerungsprüfungsverfahren mit Blick auf Vorliegen einer Auslagerung, Auslagerungsfähigkeit, Wesentlichkeit und Detailanforderungen4 wird im Folgenden im Hinblick auf Cloud Computing näher beleuchtet. 1. Gestaltungsspielräume der MaRisk
16
§ 25a Abs. 2 KWG sowie Anforderungen an das Auslagerungsverhältnis gem. MaRisk AT 9 finden dem Wortlaut nach nur auf wesentliche Auslagerungen Anwendung. Für Auslagerungen, die das Institut unter Risikogesichtspunkten für nicht wesentlich erachtet, verweist auch die MaRisk in erster Linie auf die Einhaltung der ordnungsgemäßen Geschäftsorganisation5. Allerdings bezieht die MaRisk viele der organisatorischen Anforderungen an das Risikomanagement ausgelagerter Prozesse in ihren Anwendungsbereich ein. In der Praxis führt dies bei Instituten oftmals zu ähnlichen Verfahren im Umgang mit einfachen und wesentlichen Auslagerungen, weil man davon ausgeht, dass die für wesentliche Auslagerungen vorgesehenen Prozesse und Prüfungen die Auslagerungen allgemein immanenter Risiken angemessen adressieren und man diese 1 BaFin Erläuterungen zu MaRisk, AT 9 Tz. 2 Abs. 2; Ketessidis in Hanten/Görke/ Ketessidis, Outsourcing im Finanzsektor, B. I. Rz. 104 ff.; Achtelik, BankPraktiker 01/2008, 14 (16); Brogl in Berndt, Outsourcing in Kreditinstituten, C. Rz. 148 ff. 2 Schwirten, die bank 2008, 61 (62). 3 Klinkert, Kreditwesen – Ausgabe Technik, 2/2004, 29 (32). 4 Siehe Prüfungsschema von Braun/Wolfgarten in Boos/Fischer/Schulte-Mattler, Kreditwesengesetz, Rz. 870 f. 5 MaRisk AT 9 Tz. 3.
618
Glaus/Horras
III. Aufsichtsrechtliche Anforderungen an Auslagerungen
Rz. 19 Teil 8 B
auch unter dem Gesichtspunkt ordnungsgemäßer Geschäftsführung entsprechend durchführen würde. Da sich ein Institut seiner Verantwortung für die auszulagernden Leis- 17 tungen, Prozesse und Aktivitäten nicht durch die Auslagerung selbst entledigen kann, bleibt es sowohl gegenüber seinen Kunden als auch aufsichtsrechtlich für jegliche Folgen von Mängeln im Rahmen der Auslagerung verantwortlich. Aufgrund der Deregulierung des IT-Outsourcing durch die MaRisk eröffnen sich für Institute jedoch Gestaltungsspielräume, die einzelfallbezogen ausgefüllt werden können1. Ein Schwerpunkt für eine Risikobewertung von Cloud-Services wird in den operationellen IT-Risiken liegen. Hierunter versteht die Bankenaufsicht alle Risiken für die Vermögens- und Ertragslage der Institute, die das IT-Management bzw. die IT-Steuerung, die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität der Daten, das interne Kontrollsystem der IT-Organisation, die IT-Strategie, -Leitlinien und -Aspekte der Geschäftsordnung oder den Einsatz von IT betreffen2. 2. Cloud Computing unter der MaRisk Die MaRisk Regelungen zur Auslagerung sowie zur Organisation von IT- 18 Systemen stellen als Mindeststandard aufsichtsrechtliche Anforderungen für jeden geplanten Cloud-Service dar und beinhalten damit Prüfungspunkte, die ein Institut vor einer Nutzung zunächst abarbeiten und im laufenden Betrieb weiterhin beachten muss. a) Auslagerungstatbestand bei Cloud Computing In einem ersten Schritt sind Cloud-Services im Hinblick auf das Vorlie- 19 gen eines Auslagerungstatbestands zu prüfen. Eine Auslagerung liegt vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden3. Der Auslagerungsbegriff ist hierbei nicht auf unmittelbare Aktivitäten und Prozesse zur Durchführung von Bankgeschäften beschränkt, sondern umfasst zunächst jeglichen Rückgriff auf Dritte zur Wahrnehmung betrieblicher Aufgaben im Zusammenhang mit eigenen Dienstleistungen und Tätigkeiten als Finanzinstitut4. Ein ausdrückliches Kriterium der Dauerhaftigkeit der Auslagerung besteht nicht (mehr) und
1 Ferstl in Bräutigam, IT-Outsourcing, S. 627 f. Rz. 15; Ferstl in Grieser/Heemann, Bankaufsichtsrecht, S. 1045. 2 Kokert/Held, BaFin Journal 11/2013, 22 (23). 3 MaRisk AT 9 Tz. 1. 4 Art. 13 Abs. 5 MIFID-Richtlinie bzw. Art. 2 Nr. 6 MIFID-Durchführungsrichtline; Gennen/Schreiner, CR 2007, 757 (758). Glaus/Horras
619
Teil 8 B
Rz. 20
Regulierte Finanzdienstleister
wäre nicht mit der rein risikoorientierten Sichtweise vereinbar1. Allerdings wird in der Regel zumindest eine gewisse Nachhaltigkeit des Fremdbezugs erwartet2. Ein einmaliger Abruf einer Cloud-Dienstleistung wäre damit nicht als regelmäßige Geschäftstätigkeit im Sinne einer Auslagerung zu sehen. 20
Der gelegentliche oder dauerhafte Bezug von allgemein erhältlichen Sachgütern und typischen Infrastrukturleistungen Dritter sowie der Kauf und die Wartung von Software wird selbst bei grundsätzlich großer Bedeutung wie etwa, wenn das Telekommunikationsnetz betroffen ist, nicht als Auslagerung erfasst. Die Auslagerungsdefinition erfordert einen direkten Bezug der ausgelagerten Aktivität zu einer institutstypischen Dienstleistung3. Obwohl z.B. der Bezug von Strom für ein Institut zweifelsohne von eminenter Bedeutung sein dürfte, stellt es ein klassisches Beispiel für eine Leistung dar, welche typischerweise nicht von einer Bank selbst erbracht wird4.
21
Cloud-Dienste als Form von IT-Leistungen im Zusammenhang mit Geschäftsprozessen werden regelmäßig der Prüfung unterliegen müssen, ob eine Auslagerung i.S.d. Bankaufsichtsrechts vorliegt. Die Frage des spezifischen Cloud-Servicemodells sowie des Vergütungsmodells, die in starkem Kontrast zu klassischen Auslagerungsdiensten stehen, spielen bei der Qualifikation als Auslagerung eine eher untergeordnete Rolle.
22
Software as a Service (Saas) kann als Auslagerung qualifiziert werden, wenn die betreffenden Applikationen oder Anwendungen selbst sowie die Geschäftsprozesse, die sie abbilden, im Zusammenhang mit der Durchführung von Bankgeschäften oder Finanzdienstleistungen stehen und ansonsten vom Institut selbst erbracht würden. Hierzu gehören etwa sog. Customer Relationship Management (CRM) Services, d.h. Lösungen für Kundenbeziehungsmanagement. Die Administration und ordnungsgemäße Handhabung von Kundendaten sowie zugehörige Daten für Geschäftsanbahnungsprozesse bilden eine der Kerntätigkeiten eines Finanzdienstleisters. Gleichzeitig verliert das Institut jedoch die unmittelbare Kontrolle über den Prozess und entscheidet nur noch über den Inhalt der Eingabe5. Darüber hinaus können diese Daten neben datenschutzrechtlichen Vorgaben auch durch das Bankgeheimnis besonders geschützt sein. Entsprechend stellt eine derartige Dienstleistung regelmäßig eine 1 Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), S. 406; Ketessidis in Hanten/Görke/Ketessidis, Outsourcing im Finanzsektor, B. I. Rz. 58. 2 Braun/Wolfgarten in Boos/Fischer/Schulte-Mattler, Kreditwesengesetz, Rz. 883; Ferstl in Grieser/Heemann, Bankaufsichtsrecht, S. 1041. 3 Ketessidis in Hanten/Görke/Ketessidis, Outsourcing im Finanzsektor, B. I. Rz. 53 ff.; Brogl in Berndt, Outsourcing in Kreditinstituten, A. Rz. 44. 4 Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), S. 280. 5 Kroschwald, ZD 2013, 388 (391).
620
Glaus/Horras
Rz. 24 Teil 8 B
III. Aufsichtsrechtliche Anforderungen an Auslagerungen
Auslagerung dar. Auf die Frage der eigentlichen Technologieplattform, die zur Umsetzung dieses Geschäftsprozesses genutzt wird, kommt es dann darüber hinaus für die Auslagerungsbeurteilung nicht an. Ebenso wenig spielt es eine Rolle, ob der Anbieter seine Dienste exklusiv als Private Cloud anbieten würde oder ob er mehrere Mandanten auf derselben Infrastrukturplattform betreibt. Diese Fragen sind allerdings bei der nachgelagerten Risikobewertung relevant. Auch Cloud-Dienstleistungen wie Platform as a Service (PaaS) oder Infra- 23 structure as a Service (IaaS) können Auslagerungen darstellen, soweit die jeweils aus der Cloud bezogenen Dienste selbst als Auslagerung zu bewerten sind. Eine allgemeingültige Regel, welche infrastrukturspezifischen Cloud-Dienste als Auslagerung zu qualifizieren sein werden, gibt es nicht. Mit PaaS und SaaS stehen dem Institut bis auf wenige, systembedingte Vorgaben viele Möglichkeiten eines „elektronischen Werkzeugkastens“ zur Verfügung, Inhalte selbst zu gestalten und eine Datenverarbeitung zu spezifizieren1. Man kann aber davon ausgehen, dass für solche Dienste, die unter Verwendung herkömmlicher Technologien unter den Auslagerungsbegriff fallen würden, dies auch künftig bei Cloudbasierten Services gelten wird. Ein typisches Beispiel für eine Auslagerung stellt hierbei der klassische Serverbetrieb in einem Rechenzentrum durch Dritte dar, da hier der operative Betrieb der Bankserver teilweise auf einen Dienstleister ausgelagert wird und große Einflussmöglichkeiten des Dienstleisters bestehen2. Werden derartige Hostingleistungen zukünftig flexibel über Cloud-basierte Lösungen angeboten, ändert dies nichts an dem Vorliegen eines Auslagerungstatbestandes. Umgekehrt stellt die reine Anmietung von Fläche in einem Rechenzentrum (Housing) zumeist keine Auslagerung dar. Zusammenfassend kann davon ausgegangen werden, dass Cloud-Ser- 24 vices, die in unmittelbarem Zusammenhang mit der Erbringung von Finanzdienstleistungen stehen, einschließlich zugehöriger Applikationen und Plattformen, regelmäßig als Auslagerung qualifiziert werden dürften. Ein möglicher Zugriff des Dienstleisters auf Kundendaten stellt dabei einen Indikator für diese Einschätzung dar. In diesem Zusammenhang ist allerdings festzuhalten, dass Institute aufgrund ihrer internen Auslagerungskontrollprozesse möglicherweise sogar zu unterschiedlichen Ergebnissen kommen. Dieser Umstand ist Ausfluss des Proportionalitätsprinzips der MaRisk, welches es den Instituten erlaubt, ihre Prozesse in Abhängigkeit der eigenen Bewertung des Geschäftsbetriebs sowie der zugehörigen Risikoeinschätzung zu gestalten3. Da der Auslagerungsbegriff aber dynamisch zu verstehen ist, können sich zukünftige be-
1 Kroschwald, ZD 2013, 388 (391). 2 Bergmann, Funktionsauslagerung bei Kreditinstituten, S. 265. 3 Bergmann, Funktionsauslagerung bei Kreditinstituten, S. 312 f. Glaus/Horras
621
Teil 8 B
Rz. 25
Regulierte Finanzdienstleister
stimmte Cloud-Aktivitäten zu einem typischen Normalfall und somit zu einem gewöhnlichen Fremdbezug von Leistungen entwickeln1. 25
Die vom Institut getroffene Qualifikation als Auslagerung steht in den späteren Verhandlungen mit dem Dienstleister nicht zur Disposition, auch wenn dies in der Praxis immer wieder versucht wird. Die durch die internen Auslagerungskontrollen getroffenen Entscheidungen sind dann lediglich in den Verhandlungen mit dem Anbieter noch vertraglich gestaltend umzusetzen und nicht durch den Geschäftsbereich des Instituts ohne erneuten Prüfungsprozess revidierbar. Standardisierte Marktangebote von Cloud-Dienstleistern vernachlässigen oftmals Besonderheiten regulierter Industriesektoren. Auslagerungsspezifische Anforderungen stehen dann in einem Konflikt zu einem standardisierten Angebot auf der Basis von Anbieterbedingungen. Im Falle einer Auslagerung treffen jedoch auch einen Cloud-Dienstleister die gleichen Anforderungen wie den betroffenen Geschäfts- oder Infrastrukturbereich des Finanzinstituts, der hier bestimmte Tätigkeiten weiterverlagert. Das Institut muss dies gegenüber dem Dienstleister gem. MaRisk AT 9 Rz. 6 und Rz. 9 vertraglich sicherstellen.
26
Weiter ist zu beachten, dass bestimmte Auslagerungen per se unzulässig sein können2. Im Zusammenhang mit typischen IT-Dienstleistungen aus der Cloud dürften jedoch unter MaRisk-Gesichtspunkten Konstellationen einer unzulässigen Auslagerung selten sein, solange die Anforderungen an eine ordnungsgemäße Geschäftsorganisation eingehalten werden können und ein adäquates Risikomanagement sichergestellt ist. Die Auslagerung von Rechenkapazitäten oder Programmierung lässt jedenfalls keinen Verlust von Kernkompetenzen befürchten3. b) Wesentliche Auslagerungen in die Cloud
27
Nachdem das Vorliegen einer zulässigen Auslagerung festgestellt ist, stellt sich die Frage nach deren Wesentlichkeit. Ob das Kriterium der Wesentlichkeit vorliegt, wird anhand des Risikoprofils im Wege einer internen Analyse durch das Finanzinstitut festgelegt4. Bei Cloud-Services wird hierbei ein besonderer Prüfungsschwerpunkt auf die Kritikalität für bzw. Abhängigkeit des Instituts von den in der Cloud verarbeiteten Geschäftsprozessen zu legen sein, da das Betriebsausfallrisiko nicht mehr durch das Institut selbst gesteuert wird und von den Prozessen des Anbieters abhängt. Darüber hinaus liegt ein weiterer Schwerpunkt im Be1 Schwirten, die bank 2008, 61 (62). 2 Gemäß MaRisk AT 9 Tz. 4 ist eine Auslagerung von Leitungsaufgaben der Geschäftsleitung oder eine vollständige Virtualisierung des Instituts bis hin zu einer „Briefkastenfirma“ unzulässig; siehe Ketessidis in Hanten/Görke/Ketessidis, Outsourcing im Finanzsektor, B. I. Rz. 75 f. 3 Bergmann, Funktionsauslagerung bei Kreditinstituten, S. 263 f. 4 Ketessidis in Hanten/Görke/Ketessidis, Outsourcing im Finanzsektor, B. I. Rz. 29.
622
Glaus/Horras
III. Aufsichtsrechtliche Anforderungen an Auslagerungen
Rz. 29 Teil 8 B
reich der Informationssicherheit, da ein Verlust oder eine sonstige Manipulation von verarbeiteten Daten für den Geschäftsbetrieb hochrelevant sein kann. Dies dürfte regelmäßig bei Finanztransaktionsdaten oder dem Bankgeheimnis unterliegenden Informationen der Fall sein. Damit sind vor allem die in Betracht kommenden Daten und Applikationen des Instituts zu identifizieren und zugehörige Anforderungen zu bestimmen1. Die Prüfung der Wesentlichkeit muss hierbei den vollständigen, im Zusammenhang mit Cloud-Dienstleistungen stehenden Geschäftsprozess und die zugrundeliegende Infrastruktur umfassen und alle hierbei relevanten Risiken untersuchen. Schließlich wird das Institut in der Lage sein müssen, Interner Revision sowie Aufsicht und Abschlussprüfern zu erläutern, warum eine Auslagerung als (un-)wesentlich eingestuft wurde2. Daher sind die internen Prozesse aus eigenem Interesse zu dokumentieren. Cloud-Dienstleistungen, die als Infrastructure as a Service angeboten 28 werden, sind aufgrund der zugrundeliegenden IT-Infrastruktur mit Rechenzentrumsdienstleistungen vergleichbar. Im Gegensatz zu einer reinen Bereitstellung einer Rechenzentrumsumgebung mit Strom, Kühlung und Anschlüssen für eigene Server betreibt der Cloud-Dienstleister eine vollständige Plattform mit eigenen Rechnerkapazitäten, weshalb regelmäßig bereits ein Auslagerungstatbestand vorliegen dürfte, auch wenn das Institut alle Applikationen und Daten noch selbst steuert. Die Hardwareumgebung, ihre Steuerung sowie zugehörige Software und ggf. Betriebssysteme werden vom Dienstleister verantwortet. Die Wesentlichkeitsprüfung wird sehr stark durch die in der Cloud vom Finanzinstitut betriebene IT-Umgebung beeinflusst sein. Soweit eine relevante Abhängigkeit des Geschäftsbetriebs von diesen Applikationen festgestellt wird, liegt eine wesentliche Auslagerung vor. Entsprechend muss der Service bei jeder neuen Applikation oder sonstigen Erweiterung der Nutzung neu bewertet werden. Eine vergleichbare Prüfung ist bei Cloud-Dienstleistungen, die als Platt- 29 form as a Service angeboten werden, durchzuführen, da in diesem Fall lediglich mit der sog. Middleware eine weitere Softwarekomponente in der Betriebsverantwortung des Dienstleisters gesteuert wird. Soweit hierbei Rechenkapazitäten lediglich für Entwicklungs- oder Testumgebungen genutzt werden, hat ein Ausfall oder eine sonstige Beeinträchtigung in der Regel keine Auswirkungen auf den Produktivbetrieb. Ein derartiger Cloud-Service wäre dann auch nicht geschäftsrelevant und daher keine wesentliche Auslagerung3. Allerdings ist hierbei nicht zuletzt auch aus Datenschutzgesichtspunkten darauf zu achten, dass keine echten Transaktions- oder Kundendaten für Test- oder Entwicklungszwecke in der Cloud gespeichert oder verarbeitet werden. 1 Hennrich, CR 2011, 546 (548). 2 Schwirten, die bank 2008, 61 (62). 3 Söbbing, ZBB/JBB 2013, 364 (367). Glaus/Horras
623
Teil 8 B
Rz. 30
Regulierte Finanzdienstleister
30
Bei Software as a Service oder sonstigen über die Cloud angebotenen Dienstleistungen übernimmt der Cloud-Dienstleister den vollständigen Betrieb einer IT-Umgebung inkl. der Verantwortung für alle zugehörigen Datenverarbeitungsprozesse. Hierbei wird sich die Wesentlichkeitsprüfung auf die Relevanz des durch die Cloud-Anwendung unterstützten Geschäftsprozesses konzentrieren. So ist neben einem Ausfallrisiko auch eine mögliche Abhängigkeit sowie mögliche Auswirkungen fehlerhafter Verarbeitungen zu prüfen, um die Bedeutung der Auslagerung für das Institut zu bewerten. Eine Verlagerung von Transaktionsverarbeitungen im Zahlungsverkehr oder in Handelssystemen bis hin zu vollständigen Kernbanksystemen wird hierbei aufgrund der Relevanz regelmäßig als wesentliche Auslagerung zu qualifizieren sein. Auch Risikosteuerungsund Risikomanagementanwendungen sind üblicherweise wesentliche Auslagerungen, da spätestens seit der MaRisk das Risikomanagement von der BaFin als Kernverantwortung des Instituts angesehen wird und eine entsprechende Unterstützung durch IT-Prozesse eine sehr hohe Bedeutung für das Bankgeschäft hat1. Im Hinblick auf Cloud-Anwendungen, die Daten von Bankkunden verarbeiten (wie etwa für ein Kreditscoring), wird man bereits aufgrund der Sensitivität der verarbeiteten Informationen regelmäßig zu einer wesentlichen Auslagerung kommen.
31
Entsprechend wird eine Prüfung von Cloud-CRM-Systemen vor allem von der Kritikalität der Daten abhängen. Soweit das Management von Kundenbeziehungen die Verarbeitung vom Bankgeheimnis geschützter Daten umfasst (was bei vielschichtigen Geschäftsbeziehungen regelmäßig der Fall ist) und nicht lediglich ein reines Geschäftsanbahnungstool darstellt, dürfte das sog. „Bruttorisiko“ der Auslagerungen etwa im Hinblick auf einen möglichen Datendiebstahl oder einer Verletzung des Bankgeheimnisses durch unzureichende Sicherheits- und Datentrennungsvorkehrungen zu einer Einstufung als wesentlich führen, selbst wenn das Ausfallrisiko aufgrund entsprechender Absicherungen und geringer Relevanz für Verarbeitungsprozesse sonst niedrig ist2. Daneben können jedoch den allgemeinen Bankbetrieb lediglich unterstützende Dienstleistungen aus der Cloud wie etwa Einkaufs- und Rechnungsstellungsplattformen (sog. Procurement-Systeme) bei hiervon unabhängigen Kontoverwaltungs- und Archivierungsprozessen aufgrund der beschränkten Abhängigkeit und begrenzter Sensitivität der Daten in der Regel keine wesentliche Auslagerung darstellen.
32
Im Ergebnis wird der Kontrollverlust des Finanzinstituts sowie die Überlassung von Betriebsverantwortung oftmals zu einer Qualifikation eines Cloud-Services als Auslagerung führen. Eine Einordnung als wesentliche
1 So auch Söbbing, ZBB/JBB 2013, 364 (367), der auf die Wesentlichkeit von Bereichen zur Risikokontrolle bereits unter dem BaFin Rundschreiben von 11/2001 hingewiesen hat. 2 A.A. Söbbing, ZBB/JBB 2013, 364 (367).
624
Glaus/Horras
III. Aufsichtsrechtliche Anforderungen an Auslagerungen
Rz. 34 Teil 8 B
Auslagerung hängt dann vor allem von der Kritikalität des betroffenen Geschäftsprozesses und der verarbeiteten Daten ab. c) Gesamtverantwortung und Strategie der Geschäftsleitung Die Geschäftsleitung trägt gesellschaftsrechtlich (z.B. über § 91 Abs. 2 33 AktG) die Gesamtverantwortung für die ordnungsgemäße Geschäftsorganisation und somit auch für die Einrichtung eines angemessenen Risikomanagements1. Sie unterliegt daneben einer Vielzahl unternehmerischer Pflichten zur Beachtung IT-sicherheitsrechtlicher Maßstäbe für die gesamte Prozesskette (end to end)2. Die MaRisk bezieht dabei ausgelagerte Bereiche explizit in die Verantwortung der Geschäftsleitung ein3. Dies bedeutet, dass eine Beeinträchtigung in einem ausgelagerten Bereich, unabhängig von einer Wesentlichkeit der Auslagerung, den Geschäftsleitern zugerechnet wird, welche hierfür letztlich haftbar gemacht werden können. Auch der Einkauf von hochstandardisierten und verbreiteten Cloud-Services entbindet die Geschäftsleitung nicht von ihrer übergeordneten Verantwortung für den Auslagerungsprozess und sollte nicht als „Standardeinkauf“ verstanden werden, der einzelnen Geschäftsbereichen überlassen bleibt4. Daneben bleibt sie auch nach allgemeinen IT-Compliance-Anforderungen für die Einhaltung zwingender Vorgaben verantwortlich und muss sicherheits- oder unternehmensrelevante Daten schützen5. Hierbei sollten etwaige Verpflichtungen des Instituts aus anderen Rechtsordnungen wie etwa Sec. 302 und Sec. 404 des Sarbanes Oxley Act (SOX) bei einer Börsennotierung in den USA berücksichtigt werden, die als besondere Ausprägung interner Kontrollsysteme eine formale Bestätigung interner Kontrollen im Zusammenhang mit Finanzdaten erfordern6. Soweit Cloud-Services in SOX-relevante Systemabläufe eingebunden werden, müssen diese Verpflichtungen auf den Anbieter vertraglich ausgeweitet werden. Folgerichtig sind Auslagerungen immer in der Geschäfts- und Risiko- 34 strategie zu berücksichtigen, und das Institut ist angehalten, Aussagen zu einer zukünftigen Ausgestaltung der IT-Systeme und zum Outsourcing (make or buy) zu treffen7. Die immanenten Auslagerungsrisiken sind zumindest grundsätzlich zu erwägen. Eine längerfristige Abhängigkeit vom Dienstleister, Reputationsrisiken, Wahrnehmung durch den Kunden, regionale Ausrichtung des Instituts und sonstige operative Risi1 Niemann/Paul, K&R 2009, 444 (450). 2 Heckmann, MMR 2006, 280 (282); Ketessidis in Hanten/Görke/Ketessidis, Outsourcing im Finanzsektor, B. I. Rz. 108. 3 MaRisk AT 3 Tz. 1; Kühn, BankPraktiker 2/2013, 30 (31 ff.). 4 IT-Governance als Verantwortung der Geschäftsleistung in Kokert/Held, BaFin Journal 11/2013, 22 (23). 5 Rath/Rothe, K&R 2013, 623 (624). 6 Weber, CRi 2007, 13 (18); Lensdorf, CR 2007, 413 (414). 7 MaRisk AT 4.2 Tz. 2; Reuse, BankPraktiker 02/2013, 8 (9); Ketessidis in Hanten/ Görke/Ketessidis, Outsourcing im Finanzsektor, B. I. Rz. 111. Glaus/Horras
625
Teil 8 B
Rz. 35
Regulierte Finanzdienstleister
kobewertungen können Einfluss auf geplante Auslagerungen haben. Die Festlegung einer grundsätzlichen Strategie der Geschäftsleitung im Hinblick auf den Umgang und die Nutzung von neuen technologischen Entwicklungen wie Cloud Computing erscheint daher empfehlenswert. Hierbei erscheinen vor allem Planungen zur Sicherstellung von Maßnahmen zur Informationssicherheit sowie zum Management standardisierter IT-Dienstleistungen sinnvoll. d) Risikomanagement, Risikosteuerung und Überwachung 35
Die Berücksichtigung von Auslagerungen in der Geschäftsstrategie sowie die zugehörige Verantwortung der Geschäftsleitung bedeuten letztlich, dass in geeigneter Weise sicherzustellen ist, dass die ausgelagerten Bereiche die Anforderungen an eine ordnungsgemäße Geschäftsorganisation in der Weise erfüllen, wie sie bei einer Leistungserbringung im Institut selbst einzuhalten wären1. Diesem Prinzip wird bei Auslagerungen in der Praxis durch Integration des Auslagerungsdienstleisters in das institutseigene Risikomanagement Rechnung getragen. Diverse interne Maßnahmen, die der Erfassung, Dokumentation, angemessenen Adressierung, Früherkennung und Überwachung von internen Risiken im Zusammenhang mit dem betroffenen Geschäftsprozess dienen, sind – auf vertraglicher Grundlage – auch beim Cloud-Dienstleister umzusetzen. Darüber hinaus sind die mit einem Dienstleistungsverhältnis verbundenen Risiken wie Zuverlässigkeit des Dienstleisters, Ausfallrisiko sowie Steuerung und Überwachung des Dienstleisters (Vendor Management) zu berücksichtigen. Risikosteuerungs- und Risikocontrollingprozesse müssen hierzu gewährleisten, dass wesentliche Risiken auch im Hinblick auf ausgelagerte Aktivitäten und Prozesse frühzeitig erkannt, vollständig erfasst und in angemessener Weise dargestellt werden können2. Dies bedeutet, dass ein Cloud-Service als Auslagerung dem vollständigen, institutsinternen Prüfungsprozess zu unterwerfen ist. e) Auslagerungsprüfungsprozess
36
Ein Institut hat schriftliche Organisationsrichtlinien festzulegen und diese den Mitarbeitern bekannt zu machen. Insbesondere gibt die MaRisk hierzu vor, dass Richtlinien auch Regelungen zu Verfahrensweisen bei wesentlichen Auslagerungen zu beinhalten haben3. Auf dieser Basis wird ein geplanter Cloud-Service in den Instituten vor einer Auslagerung einen Prozess in der folgend dargestellten oder ähnlichen Form durchlaufen. Die Entscheidung über das Vorliegen einer (wesentlichen) Auslagerung ist frühzeitig vor avisiertem Beginn des Leistungsbezugs von einer spezifizierten Kontrollfunktion (z.B. Auslagerungsbeauftragter, Compliance- oder Rechtsabteilung) zu treffen und dokumentieren. Liegt sie ein1 Braun/Wolfgarten in Boos/Fischer/Schulte-Mattler, Kreditwesengesetz, Rz. 904. 2 MaRisk AT 4.3.2 Tz. 2. 3 MaRisk AT 5 Tz. 3.
626
Glaus/Horras
III. Aufsichtsrechtliche Anforderungen an Auslagerungen
Rz. 39 Teil 8 B
mal vor, dann löst diese Qualifikation eine Reihe von prozessgesteuerten und oftmals auch zeitintensiven Prüfungsanforderungen der institutsinternen Kontrollfunktionen aus. aa) Dienstleisterbezogene Zulässigkeitsprüfung Zunächst sind dienstleisterbezogene Kriterien auf ihren Risikogehalt zu 37 prüfen. Sitzland, finanzielle Ausstattung und Stabilität, Reputation, ggf. die gesellschaftsrechtliche Struktur und die vom Dienstleister avisierte operative Gestaltung des Dienstes, einschließlich der Frage nach der Lokation von Datenzentren, Technologie und dem Einsatz von Subunternehmern, sind hier näher zu beleuchten und anhand von vorab definierten Vorgaben zu bewerten. Auch das Rating des Auslagerungsunternehmens ist ein Indikator1. Die Prüfung wird sich hierbei nicht nennenswert von einer traditionellen Auslagerung unterscheiden. Im Gegensatz zum „klassischen“ Auslagerungsdienstleister im Finanz- 38 sektor gehen jedoch viele Cloud-Dienstleister aufgrund entsprechender Praxis in anderen Regionen, Industriebereichen oder sogar dem Konsumentenbereich eher davon aus, dass sich der Kunde nicht ernsthaft um eine Bewertung der Dienstleisterrisiken kümmert. Erfahrungsgemäß ist es auf Institutsseite bereits schwierig, nachvollziehbare und umfassende Informationen als Grundlage einer ausreichenden Prüfung zu erhalten. Die Prüfung ist jedoch im Falle von wesentlichen Auslagerungen nicht abdingbar und wird auch üblicherweise, ggf. in einer eingeschränkten Form, als Bestandteil einer ordnungsgemäßen Geschäftsführung bei einer nicht wesentlichen Auslagerung vorausgesetzt. Insbesondere wenn planungsgemäß Kundendaten in der Cloud verarbeitet werden sollen, unterscheidet sich das Bankaufsichtsrecht an dieser Stelle kaum von datenschutzrechtlichen Anforderungen. Der Finanzdienstleister muss im Sinne eines angemessenen Risikomanagements wissen, wo, wie und durch wen seine Daten verarbeitet werden. Das für Cloud-Dienstleistungen typische Konzept der Nutzung diverser Datenzentren in Abhängigkeit von Auslastung und anderen Faktoren steht dem nicht grundsätzlich entgegen. Allerdings muss das Institut verstehen, welche Datenzentren in wessen Verantwortung nach welchen Maßgaben genutzt werden. Die auf diese Weise festgestellten Fakten sind auch im Vertrag festzuhalten. Im Rahmen einer Zuverlässigkeitsprüfung ist eine Verhältnismäßigkeit 39 zwischen Anforderungen an den Dienstleister einerseits und Risikoprofil der Cloud-Dienstleistung andererseits zu beachten. Je geringer etwa eine Abhängigkeit vom Dienstleister insbesondere im Hinblick auf Alternativprovider, Datensicherungen und Migrationsfähigkeit des Services zu bewerten ist, desto niedriger sollten der Prüfungsmaßstab und die Anforderungen ausfallen. Entsprechend können hochstandardisierte und marktgängige Dienstleistungen im Cloud-Umfeld zu geringeren Anforde1 Keibel in Grieser/Heemann, Bankaufsichtsrecht, S. 1068. Glaus/Horras
627
Teil 8 B
Rz. 40
Regulierte Finanzdienstleister
rungen der Finanzinstitute gegenüber ihren Dienstleistern führen. Das Institut muss allerdings auch das IT-Risiko einer Konzentration konzerneigener Prozesse bei einem Dienstleister berücksichtigen sowie mögliche Konzentrationsrisiken eines marktdominanten Anbieters für den Finanzsektor im Auge behalten1. bb) Anforderungen der einzelnen Kontrollfunktionen 40
Weiterhin werden die einzelnen Risikogesichtspunkte eines Auslagerungstatbestandes zu prüfen sein. Üblicherweise ordnen Institute mögliche Risiken einzelnen Kategorien zu, für die spezielle Einheiten oder Bereiche innerhalb der Organisation verantwortlich sind und die den Auslagerungssachverhalt detailliert analysieren2. Jede Kontrollfunktion entwickelt Maßgaben zur Definition, Identifikation und letztlich Vermeidung der Verwirklichung des von ihr verantworteten Risikos, z.B. durch standardisierte Fragebogen mit den relevanten Entscheidungskriterien, die etwa über Score-Werte zu einem Gesamturteil kommen3. Vielfach werden risikoreduzierende Maßnahmen in der Organisation durch Erlass von Richtlinien, die allgemeingültige Standards, Pflichten der Mitarbeiter, Vorgaben zu regelmäßigen Schulungen, Berichtswesen und Überwachungsmaßnahmen enthalten, konzernweit festgelegt. Organisationsrichtlinien stellen dabei einen wichtigen Bestandteil der ordnungsgemäßen Geschäftsorganisation dar4. Für Cloud-Services werden über die eigentlichen Auslagerungsrichtlinien hinaus und neben den für den ausgelagerten Geschäftsbereich gültigen Regelungen v.a. Richtlinien zur Informationssicherheit, Notfallplanung, Datenschutz, EDV-Architektur, Nutzerrollen- und Zugriffsrechteverwaltung und Archivierung relevant. Eine transparente Darstellung des Cloud-Services und der damit verbundenen Prozesse und Sicherheitsstandards stellt hierfür einen wichtigen Baustein bei der Risikoprüfung dar. Entsprechend können Cloud-Dienstleister mit einem Fokus auf den Markt für Finanzdienstleister mit aufbereiteten Informationen und Transparenz einen wichtigen Marktvorteil erlangen.
41
Werden hierbei bestimmte Risiken identifiziert, sind die jeweiligen Anforderungen und Standards auf den Dienstleister so anzuwenden, wie sie im Unternehmen selbst angewendet würden. Dies reicht von Vorabprüfungen über Selbstauskünfte und -bewertungen des Dienstleisters bis zur Umsetzung von Richtlinien und standardisierten Anforderungen, die im Zweifel vertraglich umgesetzt werden müssen. Aufgrund der mangelnden Flexibilität von standardisierten Cloud-Lösungen wird es jedoch oft unmöglich sein, besondere technische oder organisatorische Anforderun1 2 3 4
Kokert/Held, BaFin Journal 11/2013, 22 (25). MaRisk AT 9 Tz. 2. Braun/Wolfgarten in Boos/Fischer/Schulte-Mattler, Kreditwesengesetz, Rz. 895. Ketessidis in Hanten/Görke/Ketessidis, Outsourcing im Finanzsektor, B. I. Rz. 115 ff.
628
Glaus/Horras
III. Aufsichtsrechtliche Anforderungen an Auslagerungen
Rz. 43 Teil 8 B
gen zu stellen, die nicht bereits als Bestandteil des Service angeboten werden. In diesen Fällen ist eine sorgfältige Prüfung der Vereinbarkeit der Dienstleistung mit Institutsanforderungen umso wichtiger, da man dann nur entweder die Cloud „as is“ nutzen kann oder sich für eine andere Lösung entscheiden muss. Damit ist eine frühzeitige Prüfung dringend erforderlich, um bereits angefallene Vorbereitungskosten im Falle einer negativen Entscheidung im Rahmen des Auslagerungsprozesses zu beschränken. f) Vertragliche und organisatorische Anforderungen Die MaRisk enthält dezidierte Anforderungen an den Inhalt des mit dem 42 Anbieter der Auslagerungsdienstleistung abzuschließenden Vertrags sowie diverse organisatorische Anforderungen, die vorzubereiten und während des Leistungsbezuges umzusetzen sind. Eine Melde- bzw. Anzeigepflicht gegenüber den Aufsichtsbehörden besteht dagegen nicht mehr1. aa) Vertragliche Anforderungen der MaRisk Mit der Aufhebung des BAKred Auslagerungsrundschreibens 11/2001 43 und der Integration der Anforderungen in die MaRisk liegt zunächst nur eine Liste wesentlicher Vertragselemente vor, die vom Institut mit gewisser Gestaltungsfreiheit in der Umsetzung risikoangemessen implementiert werden müssen. Dennoch betrachten viele Institute die Vorgaben des früheren Rundschreibens sowie zugehörige Musterverträge in Verbindung mit den MaRisk-Vorgaben weiterhin als „Best Practice“, da die umfassenden Regelungen eine Vielzahl von möglichen Risiken abdecken2. Die Anforderungen an einen Auslagerungsvertrag mit dem Cloud-Dienstleister werden hierbei oftmals in einem Konflikt mit Standardgeschäftsbedingungen oder Standardservicebeschreibungen des Cloud-Dienstleisters stehen. § 25a Abs. 2 Satz 8 KWG setzt hierbei einen schriftlichen Vertrag voraus, was im Ergebnis mit den Formanforderungen an einen Auftragsdatenverarbeitungsvertrag gem. § 11 Abs. 2 Satz 2 BDSG vergleichbar ist und Beweis- sowie Kontrollzwecken dient3. Eine einfache Bestellung von Cloud-Services über elektronische Eingabemasken oder sog. Click-Wrap-Agreements ist damit ausgeschlossen. Zu einer effektiven Rechtedurchsetzung ist gerade gegenüber international agierenden Cloud-Providern eine aus der Sicht des Instituts geeignete Gerichtsstandvereinbarung sowie Rechtswahl sinnvoll4.
1 Siehe § 25a Abs. 2 Satz 3 KWG a.F. i.V.m. § 20 AnzV. 2 BaFin Merkblatt v. 10.6.2005: Hinweise zu § 25a Abs. 2 KWG – Auslagerung von Bereichen auf ein anderes Unternehmen (aufgehoben). 3 Funke/Wittmann, ZD 2013, 221 (225). 4 Nach Art. 23 Abs. 1 EuGVVO sowie Art. 3 Rom I-VO; Sujecki, K&R 2012, 312 (313 f.); Splittgerber/Rockstroh, BB 2011, 2179 (2184). Näher zur Vereinbarung des anwendbaren Rechts und des Gerichtsstandes siehe Teil 2 Rz. 169 ff. Glaus/Horras
629
Teil 8 B
Rz. 44
Regulierte Finanzdienstleister
bb) Spezifikation der Leistung 44
Die MaRisk verlangt die Spezifizierung und ggf. Abgrenzung der vom Auslagerungsunternehmen zu erbringenden Leistung1. Diese Anforderung hat nicht ausschließlich zivilrechtliche Bedeutung2. Sie dient zum einen zur Dokumentation der Abgrenzung von Verantwortlichkeiten und zur Definition der Beistellungs- und Zulieferpflichten des Instituts, zum anderen aber auch als Basis für die regelmäßige Überwachung und Beurteilung der Leistung. Die Gestaltung des Übergangs zur erstmaligen Nutzung des neuen Services (sog. Transition & Migration Management) wird in der Regel bei standardisierten „out of the box“-Angeboten im Servicevertrag eine geringere Rolle spielen, aber v.a. für die interne Machbarkeits- und Kompatibilitätsanalyse relevant bleiben.
45
Von Cloud-Anbietern gerne verwendete, knapp gehaltene Auswahllisten, auf deren Basis ein Kunde etwa durch Ankreuzen einzelne Leistungsbausteine hinzufügen oder abwählen kann, sind in der Regel nicht ausreichend. Erforderlich ist vielmehr eine detaillierte Ablauf- und Prozessbeschreibung, Festlegung der Verantwortlichkeiten sowie die Beschreibung detaillierter Service-Parameter wie Geschwindigkeit und Volumenspezifikationen, Service-Zeiten, Supportdienstleistungen, Schnittstellen, Datenformate etc. Insoweit unterscheidet sich die Spezifikationsanforderung nicht wesentlich von den Anforderungen an Auslagerungsdienstleister, die auf Basis von herkömmlichen Technologien arbeiten. Der Anbieter wird dabei gerade bei hochstandardisierten Dienstleistungen durch das Vorhalten entsprechender Spezifikationen diesen Anforderungen genügen können und wenig Folgeaufwand mit verschiedenen Kundeninstituten haben. Aufgrund der Vielzahl von denkbaren Lokationen eines Cloud-Services bietet es sich dabei für eine effektive Durchsetzung vertraglicher Ansprüche an, eine Erfüllungsortvereinbarung in die Vertragsdokumentation aufzunehmen3.
46
Ein Institut erleidet bei einem Transfer von Daten in die Cloud einen Kontrollverlust, da diese die „Sphäre des Dateneigentümers“ verlassen bzw. in die „technische Obhut“ des Cloud-Anbieters gelangen und seinem unmittelbaren Zugriff entzogen werden sowie in einem komplexen geographischen Rahmen zwischen einer Vielzahl von Verarbeitungszentren transferiert und dort verarbeitet werden4. Da ein Cloud-Betreiber durch seine Programme das Ressourcenmanagement in der Cloud kontrolliert, kann er die Allokation der Daten des Instituts nachvollziehen. Hierbei gilt es aber zu bedenken, dass ein entsprechender Dokumentationsaufwand gerade bei einer Vielzahl von Datenbewegungen die Vorteile
1 MaRisk AT 9 Tz. 6 Buchst. a). 2 A.A. Braun/Wolfgarten in Boos/Fischer/Schulte-Mattler, Kreditwesengesetz, Rz. 915. 3 Art. 5 Nr. 1 Buchst. A EuGVVO; Sujecki, K&R 2012, 312 (315 f.). 4 Wagner/Blaufuß, BB 2012, 1751; Kroschwald, ZD 2013, 388 (390).
630
Glaus/Horras
III. Aufsichtsrechtliche Anforderungen an Auslagerungen
Rz. 48 Teil 8 B
des Modells wie Flexibilität und Effizienz einschränken kann1. Der Verlust einer faktischen Kontrollmöglichkeit kann jedoch je nach Risikoprofil durch „funktionsäquivalente“ Kontrollen wie Monitoring und Virtualisierungssteuerung, die durch den Einsatz neuer Technologien möglich sind, sowie vertragliche Kontrollbefugnisse kompensiert werden2. Es wird außerdem regelmäßig erwartet werden, dass messbare Leistungs- 47 kriterien, d.h. Service-Level-Agreements (SLAs), mit entsprechenden Service Credits als pauschalierte Vergütungsreduzierungen oder Vertragsstrafen angeboten werden, um eine Schlechtleistung oder andere Leistungsfaktoren frühzeitig als mögliche Risiken festzustellen und durch ein Pönalisierungskonzept möglichst zu vermeiden bzw. zu minimieren3. Bei Service-Levels im Zusammenhang mit Leistungen „out-of-thebox“ ist die Messbarkeit und Dokumentation der einzelnen Parameter etwa in Betriebshandbüchern wesentliche Grundlage für eine Steuerbarkeit der Auslagerung4. Die Anforderung an eine Mess- und Kontrollierbarkeit der Leistung durch das auslagernde Institut kann normalerweise nicht durch rein dienstvertragliche Verpflichtungen zu einem angemessenen Bemühen („reasonable efforts“) erfüllt werden, da hiermit keine sinnvolle Leistungsüberwachung möglich ist. Gerade bei Leistungen aus der Cloud besteht ein geringeres Interesse an technischen Vorgaben oder bloßen Verarbeitungsschritten innerhalb der IT-Umgebung des Anbieters, und liegt verstärkt in dem Bereich der Verarbeitungsqualität sowie dem Erreichen des gewünschten Ergebnisses (Output). Damit ist es beispielsweise weniger wichtig, wie die IT-Systeme selbst (Prozessoren, Netzwerkdetails, etc.) gestaltet sind, und interessanter, welche Geschwindigkeiten, Volumina und sonstige Outputkriterien zugesichert werden. Service-Levels sollen hierbei auch Kenntnisse über Risiken erbringen, denen noch vor einem etwaigen Schadenseintritt entgegengewirkt werden kann5. Klare Leistungskriterien sind allerdings nicht nur im Interesse des Kunden, der analog § 243 Abs. 1 BGB Leistungen „mittlerer Art und Güte“ fürchten muss, sondern auch im Interesse der CloudDienstleister, um eigene, unbestimmte Leistungspflichten oder sogar eine 100 % Verfügbarkeit etwa bei mietvertragsähnlichen Leistungskomponenten zu vermeiden6. Eine besondere Herausforderung wird in diesem Zusammenhang das 48 Thema der Verfügbarkeit darstellen, da Cloud-Dienste regelmäßig über standardisierte Netzwerkanschlüsse oder über Internet-Zugänge (web1 Lehmann/Giedke, CR 2013, 608 (612). 2 Lehmann/Giedke, CR 2013, 608 (616). 3 Schulz, Rechtliche Aspekte der Cloud im Überblick, in Taeger/Wiebe, Inside the Cloud, S. 403 (409). 4 Klinkert, Kreditwesen – Ausgabe Technik, 2/2004, 29 (30); Hartung/Stiemerling, CR 2011, 617 (620 ff.). 5 Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), S. 436; Kleemann in Becker/Berndt/Klein, Neue MaRisk, Rz. 414. 6 Niemann/Paul, K&R 2009, 444 (447). Glaus/Horras
631
Teil 8 B
Rz. 49
Regulierte Finanzdienstleister
based Services) zur Verfügung gestellt werden. Verbindungsstörungen bis hin zur Nichtverfügbarkeit eines Dienstes können für das Institut erhebliche Risiken bergen. Im „klassischen Outsourcing“ etwa von Rechenzentrumsdienstleistungen wird dieser Problematik durch die Installation dezidierter redundanter Leitungen begegnet. Cloud-Provider lehnen jedoch üblicherweise eine Verantwortung für die Anbindung an ihr standardisiertes Service-Model ab. Entsprechend muss sich das Institut mit der Überprüfung und dem Management der Netzwerke besonders auseinandersetzen und bei Leistungsstörungen unklare Zuordnungen und Verantwortlichkeiten zwischen dem Netzwerkanbieter und dem CloudAnbieter vermeiden. Eine alternative Lösung könnte hierbei, neben einem alternativen Leitungsanschluss an die Cloud-Infrastruktur, eine Bündelung der Netzwerk- und Cloud-Dienste aus einer Hand darstellen, um sich vertraglich einen Mindeststandard für die Gesamtverfügbarkeit zusichern zu lassen1. In jedem Fall erscheint eine klare Zuordnung von Verantwortlichkeiten innerhalb der gesamten Leistungskette sinnvoll. 49
Aufgrund der Dauer der Leistungsbeziehung sollten die institutsinterne Risikoanalyse und daraus resultierend der Servicevertrag sowohl mögliche Änderungen der betrieblichen Erfordernisse des Instituts als auch technische Weiterentwicklungen der Plattform berücksichtigen und ein ausreichendes Change Management implementieren2. Hierbei wird das Institut Änderungswünsche zur Verbesserung von Risikosituationen einbringen wollen3 oder zumindest eine fehlende Flexibilität aufgrund der Standardisierung des Cloud-Angebots ggf. durch eine entsprechende ExitStrategie kompensieren müssen.
50
Es wäre für das Institut jedenfalls unzulässig, die Fragestellung der Leistungskriterien sowie der Verfügbarkeit im Rahmen der Auslagerungsprüfung nicht zu thematisieren. Die Beurteilung wird sich auch hier regelmäßig an der Kritikalität der betroffenen Anwendung bzw. Plattform orientieren. Geschäftskritische Anwendungen oder Plattformen unterliegen bei einer einfachen Anbindung über das Internet ohne zusätzliche Absicherungsmaßnahmen einem Ausfallrisiko. cc) Informations-, Prüfungs- und Kontrollrechte
51
Gemäß MaRisk sind sowohl zugunsten der Internen Revision des Instituts und externer Prüfer Informations- und Prüfungsrechte festzulegen, als auch zugunsten der Bankenaufsicht eine Sicherstellung der Informations- und Prüfungsrechte sowie zugehörige Kontrollmöglichkeiten zu gewährleisten4. Derartig umfassende Rechte im Zusammenhang mit den 1 Grünwald/Döpkens, MMR 2011, 287. 2 Klinkert, Kreditwesen – Ausgabe Technik, 2/2004, 29 (30); Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), S. 425. 3 Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), S. 435. 4 MaRisk AT 9 Tz. 6 Buchst. b) und c).
632
Glaus/Horras
III. Aufsichtsrechtliche Anforderungen an Auslagerungen
Rz. 54 Teil 8 B
Systemen und Geschäftsprozessen des Cloud-Dienstleisters sind jedoch oftmals nicht in den standardisierten und für eine Vielzahl von Kunden vorgesehenen Dienstleistungsangeboten vorgesehen, jedoch gerade bei wesentlichen Auslagerungen aufsichtsrechtlich zwingend erforderlich. (1) Prüfungsrechte Grundsätzlich hat sich die Prüfungsaktivität der Internen Revision auf 52 alle Aktivitäten und Prozesse eines Instituts zu erstrecken1. So unterliegen auch ausgelagerte Prozesse und Aktivitäten der Prüfung durch die Interne Revision im Hinblick auf die Wirksamkeit und Angemessenheit des Risikomanagements2. Dies hat bereits das BAKred AuslagerungsRundschreiben als „jederzeitiges, vollumfängliches und ungehindertes Einsichts- und Prüfungsrecht“ inkl. „Zugang zu allen Dokumenten, Datenträgern und Systemen“ eingefordert. Eine vollständige Ersetzung von eigenen Prüfungsrechten durch Drittzertifizierungen zur Vermeidung von Vor-Ort-Kontrollen, wie im Datenschutzrecht von der Art. 29-Datenschutzgruppe vorgeschlagen, kann hierbei nicht erfolgen3. (2) Prüfung von Mehrmandantenumgebungen In der Cloud wird aufgrund der „Shared Services“-Strukturen und einer 53 effizienten Nutzung der verfügbaren IT-Umgebung typischerweise auf eine feste Zuordnung von Infrastrukturkomponenten zu einem konkreten Kunden verzichtet. Dies führt zu der besonderen Problemstellung, wie eine Prüfung der Systeme einer standardisierten Dienstleistung im Massengeschäft ohne Beeinträchtigung der Geschäftsabläufe oder Einblicke in Daten von Drittkunden durchführbar ist4. Das Aufgabenspektrum bei einer Prüfung durch die Interne Revision ist 54 grundsätzlich umfassend und unterliegt keiner Begrenzung5. Im Hinblick auf die Infrastruktur eines Cloud-Providers bedeutet dies zunächst, dass alle Lokationen, auf denen Prozesse des Instituts potentiell abgebildet sein könnten, der Prüfung der Internen Revision unterliegen. Daher ist erforderlich, diese Adressen inkl. Subdienstleisterlokationen und späterer Änderungen gegenüber dem Institut offenzulegen und im Vertrag zu spezifizieren. Dies sollte für den die Prozesse steuernden Dienstleister auch jederzeit möglich sein, insbesondere da es sich hier nicht um eine Einschränkung des Dienstleisters in der Auswahl der Lokationen handelt, sondern lediglich um die Herstellung von Transparenz, welche die erforderliche Einsichtnahme ermöglichen soll und mit der datenschutz1 2 3 4 5
MaRisk BT 2.1 Tz. 1. MaRisk AT 4.4.3 Tz. 3. Schröder/Haag, ZD 2012, 495 (499 f.); Rath/Rothe, K&R 2013, 623 (627). Brogl in Berndt, Outsourcing in Kreditinstituten, C. Rz. 128 ff. Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), S. 647. Glaus/Horras
633
Teil 8 B
Rz. 55
Regulierte Finanzdienstleister
rechtlich gebotenen Transparenz und Auditierbarkeit gem. § 11 BDSG vergleichbar ist. Allerdings fordert das Bankaufsichtsrecht eindeutig, dass der Umfang der eigenen Revision durch eine Auslagerung nicht eingeschränkt werden darf1, was etwa im Hinblick auf Ausgestaltungsmöglichkeiten der Kontrollrechte des nicht regulierten Auftraggebers nach § 11 Abs. 2 Satz 1 Nr. 7 BDSG ggf. anders gesehen werden kann2. 55
Gerade in der Public Cloud könnten von einer Prüfung auch die Geschäftsprozesse anderer Kunden und deren Daten betroffen sein. Hierbei handelt es sich allerdings weniger um eine Cloud-spezifische Fragestellung, da es auch bereits vor der Entwicklung von Cloud-Technologie Mehrmandanten-Dienstleister etwa im Bereich der Rechenzentrumsdienstleistungen gegeben hat. Der Dienstleister kann dieser Thematik durch mehrmandantenfähige Prozesse begegnen. So sollte zumindest eine Zuordnung der verarbeiteten Daten möglich sein und durch eine logische Trennung der verarbeiteten Daten sowie eingeschränkter Nutzungsund Zugriffsrechte nur eine Sichtung der Daten des Instituts selbst erfolgen. Für IaaS- oder PaaS-Angebote könnte dies beispielsweise durch die Einrichtung virtueller Server mit eigenen Adressbereichen erreicht werden3. Darüber hinaus kann der Gefahr des Offenlegens von Daten anderer Kunden durch eine Absprache der Prüfungsprozesse zwischen Institut und Anbieter begegnet werden, da sich der risikoorientierte Prüfungsansatz eher auf die Strukturen und Verarbeitungsprozesse inklusive der Umsetzung von Sicherheitsvorgaben konzentrieren kann und weniger die zwingende Prüfung einzelner Geschäftsvorfälle bzgl. Detailverarbeitungen vorsieht4.
56
Ein jährliches Audit „vor Ort“ wird hierbei nicht den besonderen Prüfungsanforderungen einer virtualisierten Umgebung gerecht, in der auf physisch vorhandenen Hardwarelandschaften virtuelle Strukturen betrieben werden, die sowohl vernetzt als auch voneinander abgeschirmt werden können5. Nicht nur eine Vielzahl von Mandanten mit unterschiedlichen Profilen und Anforderungen erhöht die Komplexität. Gerade die Skalierbarkeit und Flexibilität der Cloud führt zu einer ständigen Änderung der verwendeten IT-Ressourcen und Systemstrukturen, die eine kontinuierliche und kundespezifische Kontrolle erfordern6. Prüfkriterien wie Speicherstandorte, Mandantentrennung, Sicherheitsniveau und institutsspezifische Anforderungen sollten daher für eine Prüfung durch automatisch auswertbare Log-Daten für den gesamten Prozess zur Verfügung stehen. Informations-, Prüfungs- und Kontrollrechte werden aus diesem Grund einen Fokus auf die Vollständigkeit, Plausibilität, Integrität und Authentizität einer Auswertung dieser Daten und zugehöriger 1 2 3 4 5 6
MaRisk AT 4.4 Tz. 3. Schröder/Haag, ZD 2012, 495 (498). Schröder/Haag, ZD 2012, 495 (499). MaRisk BT 2.1 Tz. 1. Pohle/Ammann, CR 2009, 273 (274). Kunz/Niehues/Waldmann, DuD 2013, 521 f.
634
Glaus/Horras
III. Aufsichtsrechtliche Anforderungen an Auslagerungen
Rz. 58 Teil 8 B
Testate oder Zertifikate setzen. Eine Übertragung von Überwachungstätigkeiten an Dritte kann hierbei aufgrund entsprechender Expertise und Zugriffsmöglichkeiten durchaus sinnvoll sein, sofern eine angemessene Kontrolle dieser Tätigkeiten aufgrund vorhandener Dokumentation und Zertifizierungen gewährleistet ist1. Darüber hinaus enthält die MaRisk selbst bei wesentlichen Auslage- 57 rungen Erleichterungen für Mehrmandantendienstleister, da die Interne Revision dort unter bestimmten Voraussetzungen auf eigene Prüfungshandlungen verzichten kann2. Die Revision des Dienstleisters, anderer Kunden (Institute) oder die Beauftragung Dritter durch das Institut selbst oder durch den Dienstleister kommt alternativ in Betracht, wenn eine ausreichende Revisionstätigkeit durch diesen Dritten übernommen wird3. Die Revisionstätigkeit des Dritten muss sich an den Anforderungen der MaRisk orientieren und in den Prüfungsplan der Internen Revision integriert werden4. So sind etwa Prüfungsschwerpunkte festzulegen und auf Basis der Auswertung der Prüfungsberichte bzw. Informationen der externen Prüfer die Ergebnisse der Prüfung zu überwachen. Auch bleibt die Interne Revision zur Prüfung des Dienstleisters weiterhin verpflichtet, soweit sie von der Funktionsfähigkeit des beauftragten Prüfers nicht überzeugt ist oder anlassbezogene Kontrollmaßnahmen erforderlich erscheinen. Es muss daher das grundsätzliche Recht, weitere Informationen einfordern zu können und ggf. eigene Prüfungen vorzunehmen, erhalten bleiben und im Auslagerungsvertrag festgelegt werden5. Somit enthält das Bankaufsichtsrecht zumindest eine Erleichterung, die 58 eine Prüfung des normalen Geschäftsbetriebs von Cloud-Anbietern durch Anbieter von Zertifikaten oder standardisierten Auditprozessen mit für Mandanten geeigneten Abschlussberichten zulassen würde6. Dies ist auch im Interesse der Internen Revision, die damit im Idealfall einen umfassenden, sachverständigen und dokumentierten Bericht erhält und die eigenen Prüfungshandlungen auf eine Schlüssigkeitsprüfung und ggf. stichprobenhafte Prüfung der Zuverlässigkeit der Inhalte beschränken kann. SAS-70 bzw. die aktuelleren SSAE 16/ISAE 3402 Zertifizierungen erlauben jedoch keinen zwingenden Rückschluss etwa auf Datenschutzkonformität, da keine besonderen Cloud-Konstellationen in diesen Standards vorgesehen und daher Inhalte dieser Zertifikate kritisch im Hinblick auf Kontrollziele und Wirksamkeit zu hinterfragen sind7. Darüber hinaus sind die internen Anforderungen des Instituts als Prü1 2 3 4 5 6
Lensdorf, CR 2007, 413 (418). BaFin Erläuterungen zu MaRisk AT 9 Tz. 6. BaFin Erläuterungen zu MaRisk BT 2.1 Tz. 3. MaRisk AT 4.4 und BT 2. Braun/Wolfgarten in Boos/Fischer/Schulte-Mattler, Kreditwesengesetz, Rz. 917. Zu Zertifizierungslösungen siehe Art. 29 Data Protection Working Party, Opinion 5/2012 on Cloud Computing. 7 Rath/Rothe, K&R 2013, 623 (627 f.); Söbbing, ZBB/JBB 2013, 364 (371 f.); Hennrich, CR 2011, 546 (551 f.). Glaus/Horras
635
Teil 8 B
Rz. 59
Regulierte Finanzdienstleister
fungsmaßstab zugrunde zu legen, die aufgrund des risikoorientierten Ansatzes des Bankaufsichtsrechts zwischen den einzelnen Instituten variieren können. Entsprechend müssen Cloud-Anbieter hierbei einen Prüfungsstandard vorhalten, der nicht nur allgemeines Datenschutzrecht berücksichtigt, sondern auch den gehobenen IT-Sicherheitsstandards der Finanzindustrie genügt. Dies bedeutet, dass ein Finanzinstitut die angebotenen Zertifikate und Prüfungsabschlüsse sorgfältig mit eigenen Prüfungsmaßstäben vergleichen muss und sich in jedem Fall das vertragliche Recht vorbehalten sollte, bei besonderen Vorfällen oder Unstimmigkeiten eigene Prüfungstätigkeiten ggf. vor Ort durchzuführen1. Der Cloud-Dienstleister muss nach der MaRisk alle eigenen, für das auslagernde Institut relevanten Prüfungsergebnisse an die Interne Revision des Instituts selbst weiterleiten und ist hierzu vom Institut vertraglich zu verpflichten2. (3) Abschlussprüfer 59
Der Prüfungsumfang der Jahresabschlussprüfung von Finanzinstituten ergibt sich aus dem besonderen Pflichtenkatalog des § 29 Abs. 1 KWG, welcher explizit auf § 25a Abs. 2 KWG Bezug nimmt und damit die Prüfung der Erfüllung dieser Anforderungen der Abschlussprüfung unterstellt3. Sollten rechnungslegungsrelevante Funktionen in die Cloud verlagert worden sein, so wird auch die Angemessenheit und Wirksamkeit des internen Kontrollsystems (IKS) des Cloud-Anbieters Prüfungsgegenstand werden4. Hierbei sind bestehende Prüfungsstandards zu berücksichtigen, die auch „im Interesse einer wirksamen und wirtschaftlichen Prüfung“ die Möglichkeit eines Zugriffs auf Prüfungsergebnisse Dritter eröffnen5. Dies kann bei Cloud-Diensten insbesondere automatisierte Testate zu vordefinierten Prüfkriterien umfassen6. Letztlich muss sich das Institut aber auch für den Abschlussprüfer die Rechte einer umfassenden Prüfung analog zur Internen Revision vertraglich vorbehalten, um eine Beeinträchtigung des Bestätigungsvermerks für den Jahresabschluss etwa nach § 322 HGB zu vermeiden7.
1 Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), S. 429. 2 MaRisk BT 2.1 Tz. 3 S. 3. 3 Lensdorf/Steger, ITRB 2006, 206 (208); Braun/Wolfgarten in Boos/Fischer/Schulte-Mattler, Kreditwesengesetz, Rz. 919. 4 Wagner/Blaufuß, BB 2012, 1751 (1754); Söbbing, ZBB/JBB 2013, 364 (372). 5 Siehe etwaige Prüfungsstandards des Instituts der Wirtschaftsprüfung, insb. IDW PS 330; Sowa, DuD 2007, 835 (838 f.); Lensdorf, CR 2007, 413 (418); Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), S. 305. 6 Kunz/Niehues/Waldmann, DuD 2013, 521 (523). 7 Lensdorf/Steger, ITRB 2006, 206 (208).
636
Glaus/Horras
III. Aufsichtsrechtliche Anforderungen an Auslagerungen
Rz. 61 Teil 8 B
(4) Aufsichtsbehörden § 25a Abs. 2 KWG bestimmt, dass die Bankenaufsicht durch eine Aus- 60 lagerung an der Wahrnehmung ihrer Aufgaben nicht gehindert werden darf. Ihre Auskunfts- und Prüfrechte sowie Kontrollmöglichkeiten müssen sichergestellt sein. Legte das BAKred Auslagerungs-Rundschreiben noch die Anforderung einer jederzeitigen vollumfänglichen und ungehinderten Einsehbarkeit und Prüfbarkeit des ausgelagerten Geschäftsbereichs fest, fordert die MaRisk in den Anforderungen an (wesentliche) Auslagerungsverträge, dass die „Sicherstellung der Informations- und Prüfungsrechte sowie Kontrollmöglichkeiten der Bundesanstalt für Finanzdienstleistungsaufsicht“ gewährleistet sein muss1. Darüber hinaus bestimmt § 44 Abs. 1 Satz 2 KWG, dass Auslagerungsunternehmen, auf die wesentliche Bereiche nach § 25a Abs. 2 KWG ausgelagert worden sind, Gegenstand einer aufsichtsrechtlichen Prüfung werden können. Das Finanzinstitut ist dafür verantwortlich, bei Cloud-Anbietern im Ausland vertragliche Prüfungsrechte für die BaFin bzw. die Deutsche Bundesbank oder Dritte, derer sich die Aufsichtsbehörden bei der Prüfung bedienen, sicherzustellen. Diese Prüfungsrechte sind im Gegensatz zu Gestaltungsmöglichkeiten für die eigene Überwachung nicht einzuschränken2. dd) Weisungsrechte Das BAKred Auslagerungs-Rundschreiben legte fest, dass Weisungsrech- 61 te so abgesichert sein müssten, „dass sie zur Sicherstellung einer ordnungsgemäßen Durchführung der ausgelagerten Tätigkeiten und Funktionen unmittelbar und unabhängig von etwaigen konkurrierenden Weisungsrechten durchsetzbar sind“3. Die MaRisk sieht explizit für wesentliche Auslagerungen nur noch vor, dass der abzuschließende Vertrag „soweit erforderlich, Weisungsrechte“ enthalten müsse4. Zielsetzung dieser Weisungsrechte ist die Sicherstellung der operativen Kontrolle über ausgelagerte Prozesse, so dass das Institut jederzeit korrigierend eingreifen kann und bei Schlechtleistungen oder Ausfällen die Auswirkungen auf den Geschäftsbetrieb begrenzt. Dieser mögliche Eingriff in den Prozessablauf und damit in die hochstandardisierte Betriebsumgebung eines Cloud-Dienstleisters könnte allerdings schwer umsetzbar sein und sogar zu Konflikten in einer Mehrmandantenumgebung führen. Entspre1 BAKred Auslagerungs-Rundschreiben 11/2001, Rz. 33 vs. MaRisk AT 9 Tz. 6 Buchst. c). 2 Es ist hierbei zu beachten, dass unabhängig vom Bankaufsichtsrecht auch noch weitere Aufsichtsbehörden eigene Prüfungsrechte einfordern, etwa für die Datenschutzaufsicht bei der Auftragsdatenverarbeitung. 3 BAKred Auslagerungs-Rundschreiben 11/2001, Rz. 30. 4 MaRisk AT 9 Tz. 6 Buchst. d); kritisch Gennen/Schreiner, CR 2007, 757 (761); Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), S. 430 f.; sehr weitgehend für die Praxis Achtelik, BankPraktiker 01/2008, 14 (17). Glaus/Horras
637
Teil 8 B
Rz. 62
Regulierte Finanzdienstleister
chend wird dieses aufsichtsrechtlich gebotene Weisungsrecht oftmals von Anbietern als Gefährdung des Geschäftsmodells für Cloud-Dienstleistungen verstanden. 62
Cloud-Dienstleister müssen sich bei Erschließen des Kundensegments der Finanzindustrie mit den zwingenden, rechtlichen und regulatorischen Anforderungen auseinandersetzen. Umgekehrt darf auch nicht der gestiegene Kostendruck auf die IT-Bereiche der Finanzdienstleister dazu verleiten, unzulässigerweise an der Einhaltung von rechtlich gebotenen Anforderungen zu „sparen“. Die in der Auftragsdatenverarbeitung zwingend gebotenen Weisungsrechte gem. § 11 Abs. 2 Satz 1 Nr. 9 BDSG sind in ihrem Umfang ebenso ausdrücklich vertraglich festzulegen und aufgrund der verbleibenden Verantwortung des Auftraggebers gegenüber dem Auftragnehmer mit der bankaufsichtsrechtlichen Weisung vergleichbar. Mögliche finanzielle Auswirkungen der Weisung sind von dem grundsätzlichen Bestand dieses Rechts zu unterscheiden und ggf. von den Vertragsparteien davon unabhängig zu regeln.
63
Die Anforderungen an ein Weisungsrecht gegenüber Cloud-Dienstleistern können jedoch abhängig von der Risikorelevanz der Auslagerung unterschiedlich ausfallen. Die MaRisk-Anforderungen finden zunächst nur auf wesentliche Auslagerungen Anwendung. Da jedoch die Anforderungen an eine wesentliche Auslagerung auch bei der Ausgestaltung einer einfachen Auslagerung im Sinne einer ordnungsgemäßen Geschäftsorganisation zu berücksichtigen sind, werden Institute zur Erfüllung eines angemessenen Risikomanagements ausreichende Weisungsrechte auch für einfache Auslagerungen einfordern. Umgekehrt können Institute selbst im Fall von wesentlichen Auslagerungen auf ausdrückliche Durchgriffsrechte verzichten, soweit diese im Hinblick auf das Risikoprofil der Auslagerung oder aufgrund der sonstigen Ausgestaltung der Dienstleistung von den zuständigen Kontrollfunktionen des Instituts etwa bei einem Mehrmandantendienstleister nicht für erforderlich erachtet werden1. Ein Weisungsrecht kann damit bei Cloud-Services inhaltlich auf das erforderliche Maß beschränkt werden oder sogar entfallen, soweit die Risiken der Dienstleistung bereits ausreichend durch eine hinreichend spezifizierte Leistungsbeschreibung sowie zugehörige Steuerungsmöglichkeiten kontrolliert und begrenzt werden2. Folglich bietet sich hier für Anbieter von Clouds ohne kritisches Risikoprofil die Möglichkeit, durch ein umfassendes Angebot von standardisierten Zugriffs- und Steuerungsmöglichkeiten der vorgesehenen Cloud-Anwendungen oder -Plattformen individuelle Anforderungen und damit Beeinträchtigungen des eigenen Geschäftsmodells zu vermeiden.
1 Brogl in Berndt, Outsourcing in Kreditinstituten, C. Rz. 131 f.; kritisch Bergmann, Funktionsauslagerung bei Kreditinstituten, S. 341 f. 2 BaFin Erläuterungen zu MaRisk AT 9 Tz. 6.
638
Glaus/Horras
III. Aufsichtsrechtliche Anforderungen an Auslagerungen
Rz. 66 Teil 8 B
ee) Datenschutz Die in der MaRisk enthaltene Anforderung der Sicherstellung daten- 64 schutzrechtlicher Bestimmungen1 hat, obwohl regelmäßig personenbezogene Daten betroffen sind2, streng genommen keinen eigenen Regelungsgehalt. Finanzinstitute sind ohnehin an Recht und Gesetz gebunden, was gem. § 25a Abs. 1 Satz 1 KWG als Zielsetzung einer ordnungsgemäßen Geschäftsorganisation ausdrücklich festgelegt ist. Die rechtlichen Anforderungen aus dem BDSG, TMG und sonstiger Datenschutznormen sind bei Auslagerungsdienstleistungen grundsätzlich eigenständig zu erfüllen und werden im Hinblick auf die bestehende Regelungsdichte im Vergleich zu dem risikogetriebenen Ansatz der MaRisk eine eigenständige Rolle spielen. ff) Vertragsbeendigung Das Erfordernis von „Kündigungsrechten und angemessenen Kündi- 65 gungsfristen“ ergibt sich vor allem aus der aufsichtsrechtlichen Anforderung an eine effektive Kontrolle und Steuerung zur Sicherstellung des Geschäftsbetriebes3. Es muss grundsätzlich die Möglichkeit bestehen, dass bei einer Vertragsbeendigung durch den Dienstleister ausreichend Zeit bleibt, um im Bedarfsfall den ausgelagerten Bereich wieder zu integrieren oder die Leistungen an einen neuen Dienstleister zu vergeben. Eine angemessene Frist soll sicherstellen, dass das Institut eine sinnvolle Alternativlösung finden und umsetzen kann4. Ein Anhaltspunkt für die erforderliche Kündigungsfrist kann der zeitliche Erstauslagerungsaufwand inklusive Prüfung der Auslagerung, Risikoanalyse und etwaiger Vertragsverhandlungen darstellen. Umgekehrt muss das Institut sicherstellen, dass es nicht nur bei besonderen Vorfällen, sondern auch aus übergeordneten Überlegungen wie etwa Marktentwicklungen die Leistungsbeziehung kurzfristig beenden kann. Je nach Kritikalität der Dienstleistung können aus diesem Grund sogar einseitige Kündigungsrechte und Verlängerungsoptionen für das Institut angemessen sein. Hierbei sind Mindestlaufzeiten und Kündigungsrechte von den kommer- 66 ziellen Folgen einer Kündigung, wie etwa Kündigungsgebühren (Termination Fees) oder die Ausgestaltung der Kosten für eine Migration auf einen Nachfolgeprovider, zu unterscheiden5. Insoweit ergeben sich für Cloud-Dienstleister keine Besonderheiten gegenüber sonstigen Auslagerungsdienstleistern. Da bei Cloud-Services gerade die Flexibilität der Leistungsbeziehung auf der Basis möglichst standardisierter Schnittstel1 MaRisk AT 9 Tz. 6 Buchst. e). 2 Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), S. 308. 3 § 25a Abs. 2 Satz 8 KWG i.V.m. MaRisk AT 9 Tz. 6 Buchst. f). 4 So noch ausdrücklich im BAKred Auslagerungs-Rundschreiben 11/2001, Rz. 31. 5 Klinkert, Kreditwesen – Ausgabe Technik, 2/2004, 29 (32). Glaus/Horras
639
Teil 8 B
Rz. 67
Regulierte Finanzdienstleister
len eine große Rolle spielt, sollten lange Vertragslaufzeiten eher die Ausnahme darstellen. Allerdings muss umgekehrt verstärkt darauf geachtet werden, dass die ggf. kurzen Kündigungsfristen des Dienstleisters noch ausreichen, um den betroffenen Service auch nach einem Auswahlprozess von einem Alternativdienstleister oder wieder aus dem Institut selbst zu beziehen. Hierbei wird vor allem die Dauer einer entsprechenden Datenmigration sowie die Anbindung des neuen Dienstleisters an die IT-Infrastruktur des Instituts von Bedeutung sein. Angemessene Kündigungsfristen sind damit wichtiger Bestandteil einer „Exit-Strategie“ aus der Cloud1. 67
Gerade bei standardisierten Cloud-Lösungen kann der Wechsel auf alternative Anbieter sowie die Sicherstellung unabhängiger Back-up Lösungen aufgrund proprietärer Datenmodelle und besonderer Schnittstellen problematisch werden. Durch einen umfassenden „Out-of-the-Box“-Service besteht ein Risiko höherer Abhängigkeit von den Standards des ausgewählten Dienstleisters, insb. wenn Alternativanbieter andere Verarbeitungskonzepte oder Schnittstellen nutzen oder die in der Cloud gespeicherten Daten für das Institut nicht mehr verwendbar sind bzw. mit hohem Aufwand transformiert werden müssen (Vendor Lock-in)2.
68
Die MaRisk sieht hierzu vor, dass ein Institut umfassende Vorkehrungen treffen muss, um auch nach Beendigung des Auslagerungsverhältnisses die Kontinuität und Qualität der ausgelagerten Aktivitäten und Prozesse sicherzustellen3. Aus diesem Grund stellen bestehende Abhängigkeiten einen wichtigen Bestandteil der Risikoanalyse dar und berücksichtigen eine vorzeitige Kündigung durch eine Vertragspartei. Darüber hinaus muss die Analyse auch einen unerwarteten Ausfall des Dienstleisters antizipieren und zugehörige Handlungsoptionen sowie ihre Durchführbarkeit untersuchen4. Hierbei ist es jedoch nicht erforderlich, alle denkbaren Ausfallrisiken umfassend zu minimieren, sondern diese Möglichkeiten in die abschließende Auslagerungsrisikobewertung einfließen zu lassen. Um die Folgen einer Vertragsbeendigung zu beherrschen und einen späteren Wechsel des Anbieters zu ermöglichen, sollte zumindest bei nicht trivialen Auslagerungen ein Exit Management Konzept vertraglich vereinbart werden, in dem die Leistungen und Pflichten des bisherigen Anbieters etwa bei einem Wechsel auf einen neuen Anbieter klar beschrieben sind und in einer festgelegten Übergangsphase geleistet werden müssen. Hierzu gehört insbesondere eine Definition der zu übermittelnden Daten, Protokolle und Formate sowie der Art und Weise der Bereitstellung inkl. der Transparenz etwaiger Kosten5. 1 Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), S. 432. 2 Lehmann/Giedke, CR 2013, 608 (609); Paulus, DuD 2011, 317 (318). 3 MaRisk AT 9 Tz. 5 S. 1. 4 MaRisk AT 9 Tz. 5 S. 2. 5 Splittgerber/Rockstroh, BB 2011, 2179 (2184).
640
Glaus/Horras
III. Aufsichtsrechtliche Anforderungen an Auslagerungen
Rz. 70 Teil 8 B
gg) Weiterverlagerungen an Subunternehmer Eine kontrollierte Weiterverlagerung an Erfüllungsgehilfen des Cloud- 69 Dienstleisters zur Erbringung von Teilen der Auslagerungsdienstleistung stellt oftmals eine große Herausforderung für das Institut dar. CloudDienste werden oft nicht aus einer Hand erbracht, sondern im Sinne einer arbeitsteiligen Wertschöpfungskette aus Leistungsbestandteilen verschiedener Unternehmen möglichst flexibel zusammengestellt. Dennoch sind die Anforderungen an die (Erst-)Auslagerung auch bei der entsprechenden Weiterverlagerung zwingend zu beachten1. Damit sind auch im Hinblick auf einen Subunternehmer vergleichbare Prüfungsschritte wie bei dem Dienstleister selbst anzuwenden, um den bankaufsichtsrechtlichen Anforderungen weiterhin zu genügen2. Allerdings fordert die MaRisk lediglich die Regelung von Möglichkeiten und Modalitäten einer Auslagerung und bietet damit einen Gestaltungsspielraum, so dass auch bestimmte Teilprozesse ohne Zustimmung des Instituts weiterverlagert werden könnten3. Das BAKred Auslagerungs-Rundschreiben hatte hierzu ausdrücklich die 70 Anforderung gestellt, dass sich das Institut vom Auslagerungsdienstleister einen Zustimmungsvorbehalt zur Weiterverlagerung sowie deren Modalitäten vertraglich einräumen lassen musste4. Für eine sinnvolle Risikokontrolle bei Weiterverlagerungen i.S.d. MaRisk wird ein Institut dies auch nach der aktuellen Rechtslage zumindest für alle relevanten Leistungsbestandteile einer wesentlichen Weiterverlagerung konsequent umsetzen müssen. In diesem Fall ist dann zunächst bei Vertragsschluss eine Offenlegung und Dokumentation der bestehenden Unterauftragsverhältnisse als vertragliche Zustimmung zu den bereits vorhandenen Weiterverlagerungen erforderlich. Änderungen werden über das ChangeControl-Verfahren gesteuert5. Das IT-Outsourcing-typische Risiko der schwer zu steuernden Kettenverlagerung (Chain Outsourcing) erfordert eine sorgfältige Balance zwischen wirtschaftlich sinnvollen Arbeitsteilungsprozessen und der Kontrolle der Weiterverlagerungsrisiken durch das Institut, welches zu jeder Zeit seine Steuerungs- und Überwachungsfunktionen ausüben können muss6. Cloud-Dienstleister sind in der Regel im Hinblick auf eine Limitierung der eigenen Weiterverlagerungsmöglichkeiten sehr zurückhaltend, um die Flexibilität des eigenen Geschäfts1 MaRisk AT 9 Tz. 9. 2 Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), S. 433; Bergmann, Funktionsauslagerung bei Kreditinstituten, S. 334 ff. 3 MaRisk AT 9 Tz. 6 Buchst. g); Achtelik, BankPraktiker 01/2008, 14 (17); Ferstl in Grieser/Heemann, Bankaufsichtsrecht, S. 1051 f. 4 BAKred Auslagerungs-Rundschreiben 11/2001, Rz. 32. 5 Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), S. 310; Keibel in Grieser/Heemann, Bankaufsichtsrecht, S. 1070. 6 Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), S. 442; Ketessidis in Hanten/Görke/Ketessidis, Outsourcing im Finanzsektor, B. I. Rz. 139. Glaus/Horras
641
Teil 8 B
Rz. 71
Regulierte Finanzdienstleister
modells sicherzustellen. Die aufsichtsrechtlich gebotene Risikosteuerung durch das Institut erfordert jedoch die vertragliche Vereinbarung einer Weiterverlagerungskontrolle, die sicherstellt, dass aus Risikogesichtspunkten relevante Subunternehmer vom Institut ebenso vorab geprüft werden können wie der Dienstleister selbst. In unkritischen Bereichen wie Änderungen von Subunternehmern ohne Datenzugriff und relevante Ausfallrisiken kann mit Anzeigepflichten und Widerspruchsrechten bei begründeten Bedenken oder alternativen Kündigungsrechten des Instituts eine ausreichende Kontrolle ermöglicht werden. g) Zugriffsrechte und Mandantentrennung 71
Zentralisierung und Konsolidierung von Cloud-Systemen wie etwa bei Shared Services erzielen oftmals Effizienzgewinne durch eine möglichst vereinheitlichte Datenverarbeitung verschiedener Kunden1. Dies kann jedoch in einem möglichen Konflikt zu dem bankaufsichtsrechtlichen (und datenschutzrechtlichen) Grundprinzip der Mandantentrennung bzw. Mehrmandantenfähigkeit (Data Segregation) stehen. Die eingesetzten IT-Systeme sollen in der Lage sein, Daten in einer Datenbank logisch zu trennen und zu verwalten und nicht nur eine getrennte Speicherung, sondern auch entsprechend eingeschränkte Zugriffsrechte zu beinhalten2. Diese allgemeine Anforderung aus dem Bereich der IT-Sicherheit und des Datenschutzes umfasst nicht nur die klare Trennung der Daten des Instituts von denen anderer Kunden des Cloud-Dienstleisters, sondern auch die Möglichkeit einer Separierung verschiedener Unternehmen im Konzern des Instituts bis hin zu einer Trennung einzelner Datensätze der Kunden eines Instituts. Operativ sollte gerade in der Public Cloud die mögliche Abhängigkeit von anderen Service-Nutzern sowie mögliche Auswirkungen von deren Verhalten auf den eigenen Service berücksichtigt werden3.
72
Das BAKred Auslagerungs-Rundschreiben verweist bereits in Ziffer 5 auf angemessene Maßnahmen wie den Schutz von Kundendaten durch angemessene technische und organisatorische Maßnahmen. Insbesondere sind die Systeme zu schützen gegen unbefugte oder zufällige Vernichtung, zufälligen Verlust, technische Fehler, Fälschung, Diebstahl, widerrechtliche Verwendung, unbefugtes Ändern, Kopieren, Zugreifen und
1 Rath, „Corporate Awareness“ und Mandantentrennung, www.computerwoche. de/a/gemeinsame-strukturen-getrennte-daten,2531043# (Stand 26.10.2013). 2 „Technische und organisatorische Anforderungen an die Trennung von automatisierten Verfahren bei der Benutzung einer gemeinsamen IT-Infrastruktur – Orientierungshilfe Mandantenfähigkeit“ von der 84. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 7./8.11.2012, siehe www.bfdi.bund. de/DE/Themen/TechnologischerDatenschutz/TechnologischeOrientierungshil fen/Artikel/OrientierungshilfeMandantenfähigkeit.PDF (Stand 27.10.2013). 3 Schulz, Rechtliche Aspekte der Cloud im Überblick, in Taeger/Wiebe, Inside the Cloud, S. 403 (415 f.).
642
Glaus/Horras
III. Aufsichtsrechtliche Anforderungen an Auslagerungen
Rz. 73 Teil 8 B
andere unbefugte Bearbeitungen1. Unter der Ziffer 6 wird schließlich ausdrücklich eine Mandantentrennung zur Wahrung des Geschäfts- und Bankgeheimnisses gefordert. Sollte das Auslagerungsunternehmen seine Dienstleistungen mehreren Instituten anbieten, so ist durch besondere technische, personelle und organisatorische Maßnahmen sicherzustellen, dass die Vertraulichkeit der Daten nicht nur gegenüber Dritten, sondern auch zwischen den verschiedenen auslagernden Instituten gewahrt bleibt2. Dies bedeutet, dass Daten, die einer besonderen Vertraulichkeit unterliegen (v.a. Bankkundendaten und Geschäftsgeheimnisse), so geschützt werden müssen, dass ein Dienstleister diese Daten getrennt vorhalten muss und kein Kunde auf die Daten des anderen Kunden zugreifen kann. Da Datenschutz und Bankgeheimnis auch zwischen verschiedenen Rechtseinheiten im Konzern zu beachten sind, finden diese Regelungen bei konzerninterner Datenverarbeitung entsprechende Anwendung3. In der MaRisk findet sich eine derartige Anforderung nicht mehr aus- 73 drücklich, sondern es wird nur noch in allgemeiner Form darauf verwiesen, dass datenschutzrechtliche Bestimmungen zu beachten und damit verbundene Risiken angemessen zu steuern und überwachen sind4. Da sich eine Anforderung an Mandantentrennung aber bereits aus dem Datenschutzrecht bzw. dem Bankgeheimnis ergibt, besteht hier kein Widerspruch. Das aktuelle Rundschreiben stellt zur technisch-organisatorischen Ausstattung eines Instituts darüber hinaus ausdrückliche Anforderungen an eingeschränkte Zugriffsrechte5. Bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter (etwa über Rollenmodelle) nur über die Rechte verfügt, die er für seine Tätigkeit und damit beschränkt auf das eigene Institut benötigt (Information Rights Management)6. In den zugehörigen MaRiskErläuterungen verweist die BaFin darauf, dass die eingerichteten Berechtigungen nicht im Widerspruch zur organisatorischen Zuordnung von Mitarbeitern stehen dürfen. Insbesondere bei Berechtigungsvergaben im Rahmen von Rollenmodellen ist darauf zu achten, dass Funktionstrennungen beibehalten bzw. Interessenkonflikte sowohl zwischen den einzelnen Unternehmen als auch zwischen den einzelnen Bereichen (z.B. Trennung von Front-Office-Tätigkeiten von Back-Office-Funktionen) vermieden werden7. Darüber hinaus sind IT-Berechtigungen wie Cloud-Zugriffe anlassbezogen, in jedem Fall aber jährlich, bei kritischen Berechti1 BAKred Auslagerungs-Rundschreiben 11/2001, Rz. 42. 2 BAKred Auslagerungs-Rundschreiben 11/2001, Rz. 44. 3 Keine Privilegierung konzerninterner Verlagerung, siehe BAKred AuslagerungsRundschreiben 11/2001, Rz. 50. 4 MaRisk AT 9 Tz. 6 und 7. 5 MaRisk AT 7.2 Tz. 2; Lorenz in Eller/Heinrich/Perrot/Reif, MaRisk in der Praxis, S. 90 ff. 6 Paulus, DuD 2011, 317 (320); Münch/Doubrava/Essoh, DuD 2011, 322 (327). 7 BaFin Erläuterungen zu MaRisk AT 7.2 Tz. 2. Glaus/Horras
643
Teil 8 B
Rz. 74
Regulierte Finanzdienstleister
gungen sogar halbjährlich, zu überprüfen, was zu einer aufwändigen Implementierung von neuen Überprüfungsprozessen führen kann1. 74
Auf dieser Basis sollte vor einem Einsatz von Cloud-Services durch das Institut sorgfältig geprüft werden, inwiefern die angebotenen Zugriffsbeschränkungen und Datenbankstrukturen eine ausreichende Trennung der betroffenen Datensätze ermöglichen und es hierbei für eine technisch-organisatorische Sicherheit des IT-Systems unter Berücksichtigung gängiger Standards ermöglicht wird, eine definierte Berechtigungsvergabe zur Sicherstellung von Funktionstrennungen einzurichten. Ansonsten hätte das Institut nur noch die Alternative einer ausreichenden Verschlüsselung einzelner Datensätze2. Vor allem in Public Clouds mit vielen unterschiedlichen Kunden und begrenzten Einflussmöglichkeiten könnte die Vertraulichkeit der Daten gefährdet sein3. Die organisatorischen Anforderungen an die Aufstellung eines Instituts für in die Cloud ausgelagerte Prozesse beinhalten neben einer Mandantentrennung bei der Datenverarbeitung auch ausreichend beschränkte Zugriffsrechte. h) Steuerung des Dienstleisters
75
Die Aufbau- und Ablauforganisation eines Instituts hat im Hinblick auf die Definition ihrer Prozesse und die damit verbundenen Aufgaben auch Kompetenzen, Verantwortlichkeiten, Kommunikationswege und Schnittstellen zu definieren und aufeinander abzustimmen4. Eine Auslagerung auf einen Cloud-Dienstleister darf damit weder zu Unklarheiten noch zu einem Kontrollverlust im Hinblick auf die Steuerung der Geschäftsprozesse führen. Es sollte hierbei eine verantwortliche Stelle im Institut vorgehalten werden, die den Dienstleister überwacht und für das zugrundeliegende Vertragsmanagement sowie die Kommunikation verantwortlich ist. Die BaFin fordert neben einem stabil funktionierenden IT-Betrieb eine professionelle Verwaltung der IT-Dienste als Grundvoraussetzung für die Verfügbarkeit der Bankprozesse5.
76
Diese sog. Retained Organisation oder ein operatives Vendor-Management ist die Schnittstelle zu den anderen Bereichen im Institut und sollte die Verteilung der Leistung in das Institut hinein organisieren, den internen Bedarf inkl. etwaiger Änderungsanforderungen steuern, die Leistungsströme durch Auswertung von Berichten und Überwachung von Service-Levels kontrollieren und im Ergebnis frühzeitig Risiken er-
1 MaRisk AT 4.3.1 Tz. 2 sowie BaFin Erläuterungen zu MaRisk AT 4.3.1 Tz. 2; Reuse, BankPraktiker 02/2013, 8 (9, 12). 2 Paulus, DuD 2011, 317 (319). 3 Stögmüller in Leupold/Glossner, Münchener Anwaltshandbuch IT-Recht, Teil 5, Rz. 368. 4 MaRisk AT 4.3.1 Tz. 2. 5 Kokert/Held, BaFin Journal 11/2013, 22 (24).
644
Glaus/Horras
III. Aufsichtsrechtliche Anforderungen an Auslagerungen
Rz. 78 Teil 8 B
kennen und minimieren1. Auch standardisierte Dienstleistungen aus der Cloud erfordern zumindest eine sorgfältige Regelung der zugelassenen Nutzer, ein einheitliches Vertragsmanagement sowie eine verantwortliche Stelle zur Umsetzung regulatorischer Anforderungen. Gerade aufgrund des denkbar einfachen Einkaufs von Cloud-Dienstleistungen etwa über Internetportale empfiehlt es sich, die Bestellung von derartigen Services nur über etablierte Verfahren durchführen zu lassen, um eine ausreichende Aufbau- und Ablauforganisation sicherzustellen. Der Cloud-Dienstleister ist allerdings auch selbst im Auslagerungsver- 77 trag darauf zu verpflichten, das Institut über alle Entwicklungen zu informieren, die eine ordnungsgemäße Erledigung der ausgelagerten Aktivitäten und Prozesse beeinträchtigen könnte2. Durch diese Informationen soll das Institut in die Lage versetzt werden, schon frühzeitig Risiken zu erkennen und zu eliminieren, bevor sich eine entsprechende Beeinträchtigung realisiert, weshalb die Verpflichtung über eine Abgabe von Fehlermeldungen hinausgeht. Cloud-Anbieter sind daher angehalten, pro-aktive Informations- und Kommunikationsstrukturen für Institute vorzuhalten. i) Technisch-organisatorische Ausstattung Das Institut ist verpflichtet, die verwendeten IT-Systeme und die zugehö- 78 rigen IT-Prozesse so aufzusetzen, dass die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten sichergestellt wird3. Detaillierte Vorgaben für eine konkrete Systemkonzeption bestehen zwar nicht, aber technische Regelwerke können als Auslegungshilfen dienen4. Hierbei wird erwartet, dass die Infrastruktur gängigen Standards wie dem ITGrundschutzkatalog des BSI oder internationalen Sicherheitsstandards wie ISO/IEC 2700X entspricht5. Dies ist vor einem ersten Einsatz von fachlich qualifiziertem Personal zu testen und regelmäßig zu prüfen. Damit müssen auch standardisierte Cloud-Dienstleistungen vor einem Einsatz von Spezialisten des Instituts etwa zur IT-Sicherheit geprüft und freigegeben werden. Sollte das BSI (neben dem bereits bestehenden Eckpunktepapier „Sicherheitsempfehlungen für Cloud Computing-Anbieter“) besondere Aspekte des Cloud Computing den IT-Grundschutzkatalogen bis Ende 2013 hinzufügen, wäre dies ein hilfreicher Schritt zu vereinheit1 Söbbing, ZBB/JBB 2013, 364 (370); Kleemann in Becker/Berndt/Klein, Neue MaRisk, Rz. 377 ff.; Serafin/Bopp in Grieser/Heemann, Bankaufsichtsrecht, S. 1081 ff. 2 MaRisk AT 9 Tz. 6 Buchst. h; Hannemann/Schneider, Mindestanforderungen an das Risikomanagement (MaRisk), S. 433; Achtelik, BankPraktiker 01/2008, 14 (17). 3 MaRisk AT 7.2 Tz. 2. 4 Eckhardt, DuD 2008, 330 f. 5 BaFin Erläuterungen zu MaRisk AT 7.2 Tz. 2; weitere Regelwerke: Control Objectives for Information and Related Technology (CoBIT), ITIL, ITSEC; Ullrich in Beck u.a., MaRisk-Umsetzungsleitfaden, S. 127 f. Glaus/Horras
645
Teil 8 B
Rz. 79
Regulierte Finanzdienstleister
lichten Prüfkriterien1. Hierbei hat der Cloud-Dienstleister die Möglichkeit, durch die Implementierung von anerkannten Standards wie einer Zertifizierung nach ISO 27001:2013 Prüfungsprozesse zu vereinfachen, auch wenn diese Standards stets zu hinterfragen und auf den entsprechenden Einzelfall anzupassen sind2. So sollte bedacht werden, dass der „mittlere“ IT-Grundschutz des BSI in der Regel noch nicht den Anforderungen eines Kreditinstituts entspricht3. Daneben sind noch industriespezifische Standards zu beachten wie etwa im Kreditkartenbereich der Payment Card Industry Data Security Standard (PCI DSS)4. Darüber hinaus könnten für Banken (als kritische Infrastrukturen) auch noch weitere Anforderungen zu einem Mindestniveau an IT-Sicherheit durch das geplante IT-Sicherheitsgesetz sowie dem Entwurf der EU-Richtlinie zur Cybersicherheit hinzukommen5. 79
Für die aufsichtsrechtlichen Anforderungen an das IT-Risikomanagement von Cloud-Services vor allem im Bereich SaaS erscheint es sinnvoll, dass sich das Institut auch an den Anforderungen zur Softwarebeschaffung orientiert. Hier erwartet die BaFin dieselbe Sorgfalt wie bei der Eigenentwicklung von Software, insbesondere von der Risikoanalyse bis hin zur Anforderungsplanung und Dokumentation der Tests und der Abnahme6. Ein derartiger Regelprozess umfasst eine Planung, Entwicklung, Prüfung und Implementierung in der Produktionsumgebung auf der Basis gängiger Standards7. Vor einer Verlagerung von softwaregestützten Prozessen in die Cloud sollte daher eine vergleichbare Kontrolle greifen, die eine Nutzung minderwertiger oder unsicherer Komponenten ausschließt.
80
Die Vereinbarkeit des Cloud-Servicemodells mit den institutsinternen Kontrollsystemen und -anforderungen wie den innerbetrieblichen Organisationsrichtlinien bis hin zu Vorgaben zur Umsetzung eines Vier-Augen-Prinzips ist eine besondere Herausforderung8. Während ein CloudAnbieter einerseits aufgrund einer breiten Kundenbasis daran interessiert 1 BSI: Richtlinien für sicheres Cloud Computing angekündigt, ZD-Aktuell, 2013, 03655; Rath/Rothe, K&R 2013, 623 (627 f.); Hennrich, CR 2011, 546 (548 f.). 2 Splittgerber/Rockstroh, BB 2011, 2179 (2182). 3 Sowa, DuD 2007, 835 (837). 4 Siehe https://www.pcisecuritystandards.org (zuletzt 30.10.2013). 5 Der Gesetzesentwurf ist verfügbar auf der Webseite des Bundesministeriums des Inneren, siehe http://www.bmi.bund.de/DE/Nachrichten/Dossiers/ITSicherheit/ itsicherheit_node.html (zuletzt 31.10.2013); Proposal for a Directive of the European Parliament and of the Counsel concerning measures to ensure a high common level of network and information security across the Union, siehe http:// ec.europa.eu/digital-agenda/en/news/eu-cybersecurity-plan-protect-open-internetand-online-freedom-and-opportunity-cyber-security (zuletzt 1.11.2013). 6 Kokert/Held, BaFin Journal 11/2013, 22 (25); Lorenz in Eller/Heinrich/Perrot/ Reif, MaRisk in der Praxis, S. 97 ff. 7 MaRisk AT 7.2 Tz. 3. 8 Söbbing/Weinbrenner, WM 2006, 165 (167); Lorenz in Eller/Heinrich/Perrot/ Reif, MaRisk in der Praxis, S. 94 f.
646
Glaus/Horras
III. Aufsichtsrechtliche Anforderungen an Auslagerungen
Rz. 81 Teil 8 B
ist, allgemeine Industriestandards anzubieten, wird er auch andererseits kaum in der Lage sein, besondere Anforderungen eines Instituts ohne erheblichen Mehraufwand umzusetzen. Entsprechend rückt der Prüfungsprozess der Vereinbarkeit des Angebots mit institutsinternen Mindestanforderungen dann in den Vordergrund. Gerade als webbasierte Dienstleistungen bietet eine Cloud eine größere 81 Angriffsfläche gegenüber internen Lösungen1. Es bestehen Sicherheitsrisiken durch Hackerangriffe oder sog. „Denial-of-Service“ Attacken. Deshalb werden die Anforderungen an die IT-Sicherheit dieser Dienste regelmäßig hoch sein und Prüfungen auf mögliche Schwachstellen umfassen (sog. Penetration Testing). IT-Security-Audits sollten hierzu eine Auswertung von Systemlogs, Zugangsberechtigungen und Intrusion Detection System (IDS) Logs beinhalten2. Weitere technisch-organisatorische Anforderungen können an Verschlüsselungsstandards und Abschottungsmaßnahmen durch effektive Virtualisierung, Virenschutz, Filtertechniken sowie sonstigen Schutzmaßnahmen gestellt werden3. In diesem Zusammenhang sollte auch eine Trennung der Cloud-Inhalte von Benutzerdaten und Berechtigungsinformationen berücksichtigt werden4. Auch die physische Datensicherheit der Rechenzentren durch Zugangskontrollen und Wachpersonal sollte sichergestellt sein5. Darüber hinaus wird auch die Frage nach einer sicheren Datenlöschung eine große Rolle spielen. Selbst in einer Private Cloud gibt es durch Kompromittierung, Auslesen, Ausfall oder Fehlkonfiguration eine Vielzahl von Gefährdungen im Betrieb6. Anforderungen an das vorzuhaltende Mindestmaß an IT-Sicherheit mit Bestimmungen zur Kontrolle und einem Berichtswesen bei Vorfällen (manchmal auch bezeichnet als Security Service-Level-Agreements – SSLA) sollten aus diesen Gründen vertraglich vereinbart werden7. Je nach Kritikalität des Service und Sensitivität der Daten können auch Anforderungen an die Verwendung von qualifiziertem Personal sowie ggf. Sicherheitsüberprüfungen relevant werden. Datenverarbeitungsprozesse sind hierbei so zu gestalten, dass das Institut seinen Verpflichtungen zu einer ordnungsgemäßen Buchführung und Archivierung von elektronischen Informationen nachkommen kann8. Dies kann beispielsweise durch die Vereinbarung von eigenständigen Archivierungsdienstleistungen oder durch automatisierte Zugriffe auf die Cloud-Datenbanken auf der Basis regelmäßiger Datenspeicherungsprozesse in eigene Systeme erfolgen.
1 2 3 4 5 6 7 8
Lehmann/Giedke, CR 2013 608 (610). Sowa, DuD 2007, 835 (838). Wagner/Blaufuß, BB 2012, 1751 (1754 f.). Paulus, DuD 2011, 317 (321). Splittgerber/Rockstroh, BB 2011, 2179 (2183). Münch/Doubrava/Essoh, DuD 2011, 322 (323 ff.). Paulus, DuD 2011, 317 (319). Etwa nach HGB, AO, GoB/GoBS und GDPdU; Weber, CRi 2007, 13 (18); Lensdorf/Steger, ITRB 2006, 206 (207 f.); Niemann/Paul, K&R 2009, 444 (450 f.). Glaus/Horras
647
Teil 8 B
Rz. 82
Regulierte Finanzdienstleister
j) Notfallplanung 82
Die Sicherstellung eines robusten Bankgeschäfts durch Business Continuity-Maßnahmen ist schon seit längerer Zeit eine wichtige Anforderung vieler Bankaufsichtsbehörden1. Notfallkonzepte und Wiederanlaufpläne des Instituts sind im Fall von Auslagerungen von zeitkritischen Aktivitäten und Prozessen zwischen dem auslagernden Institut und einem Auslagerungsunternehmen aufeinander abzustimmen2. Die Absicherung von Betriebsausfallrisiken hat gerade aufgrund der hohen Abhängigkeit vom Cloud-Dienstleister eine hohe Priorität3. Dies bedeutet, dass ein Institut prüfen muss, ob ein in die Cloud ausgelagerter Prozess bei einem Ausfall zu einer Beeinträchtigung der eigenen Geschäftstätigkeit führen kann. In diesem Fall muss mit dem Dienstleister z.B. in einem Notfallhandbuch vereinbart werden, welche Maßnahmen bei einem Ausfall einer Partei zur Minderung einer Beeinträchtigung sowie zur Wiederherstellung der Leistungsfähigkeit greifen. Diese „Business Continuity und Disaster Recovery“ (BC/DR) Fähigkeiten sowie die zugehörigen Kommunikationswege sind zu dokumentieren und regelmäßig durch Notfalltests zu überprüfen4.
83
Im Hinblick auf kritische Cloud-Services wird das Institut vor allem die BC/DR-Pläne der verwendeten Rechenzentren (z.B. unterbrechungsfreie Stromversorgung) sowie Datensicherungen prüfen5. Daneben könnte auch eine alternative Anbindung an den Cloud-Anbieter eine Rolle spielen, falls ein Leitungsausfall den gesamten Service beeinträchtigen würde. Bei kritischen Daten in der Cloud werden die Anforderungen an die Notfallplanung von der eigenen Verfügbarkeit und Fähigkeit zur Wiederherstellung dieser Daten über eine System-Back-Up abhängen. Das Risiko eines späteren Datenverlusts könnte etwa durch permanent aktualisierte „Sicherheitskopien“ des Instituts in eigenen Systemen bis hin zu parallel betriebener Infrastruktur deutlich reduziert werden6.
IV. Bankgeheimnis und Vertraulichkeitspflichten 84
Sollten geschützte Daten an einen Cloud-Dienstleister weitergegeben werden, sind das Bankgeheimnis und sonstige Vertraulichkeitsverpflichtungen zu beachten. Im Unterschied zu anderen Rechtsordnungen wie 1 Weber, CRi 2007, 13 (19). 2 MaRisk AT 7.3 Tz. 1; Ketessidis in Hanten/Görke/Ketessidis, Outsourcing im Finanzsektor, B. I. Rz. 123 ff.; Stabenau in Berndt, Outsourcing in Kreditinstituten, E. Rz. 320 f.; Ullrich in Beck u.a., MaRisk-Umsetzungsleitfaden, S. 130 ff. 3 Schulz, Rechtliche Aspekte der Cloud im Überblick, in Taeger/Wiebe, Inside the Cloud, S. 403 (410). 4 Söbbing, ZBB/JBB 2013, 364 (370). 5 Splittgerber/Rockstroh, BB 2011, 2179 (2183). 6 Wagner/Blaufuß, BB 2012, 1751 (1755); Söbbing, ZBB/JBB 2013, 364 (369); Splittgerber/Rockstroh, BB 2011, 2179 (2183).
648
Glaus/Horras
IV. Bankgeheimnis und Vertraulichkeitspflichten
Rz. 85 Teil 8 B
etwa der Schweiz oder Luxemburg handelt es sich bei dem Bankgeheimnis in Deutschland um eine zivilrechtliche Zusage des Finanzdienstleisters gegenüber seinem Kunden. So ist die Bank regelmäßig zur Verschwiegenheit über alle kundenbezogenen Tatsachen und Wertungen verpflichtet, von denen sie Kenntnis erlangt1. Die Reichweite des Bankgeheimnisses kann sogar zu einer Abgrenzung des Personenkreises innerhalb eines Instituts führen (inneres Bankgeheimnis)2. Sollte keine ausdrückliche Zustimmung des Kunden vorliegen, so ist eine Weitergabe zunächst nur im Falle einer gesetzlichen Ermächtigung oder der Befugnis zur Erteilung einer Bankauskunft zulässig3. Die Allgemeinen Geschäftsbedingungen der Banken sehen jedoch darüber hinaus ebenso vor, dass die Bank auch für Verschulden von Personen, die sie zur Erfüllung ihrer Verpflichtungen hinzuzieht, haftet4. Diese Haftungsregelung wird so verstanden, dass die Weitergabe von Kundendaten an Dienstleister im Rahmen der Vertragserfüllung zulässig sein muss, solange diese entsprechend selbst ausdrücklich auf das Bankgeheimnis verpflichtet werden (verlängertes Bankgeheimnis). Dieses Verständnis ist auch in der ausdrücklichen Verpflichtung des Auslagerungsdienstleisters auf das Bankgeheimnis und der Wahrung von Vertraulichkeit nach dem BAKred Auslagerungs-Rundschreiben erkennbar5. Auch wenn die MaRisk dies nicht mehr ausdrücklich erwähnt, stellt diese Verpflichtung eine Mindestanforderung an den Vertrag mit einem Cloud-Dienstleister dar, sobald kundenbezogene Daten in den Service einbezogen werden. Eine vereinbarte Vertraulichkeitspflicht sollte auch nach Vertragsende weitergelten und kann durch Vertragsstrafen abgesichert werden6. Darüber hinaus ist bei einer Auslagerung zu beachten, dass in bestimmten 85 Institutsbereichen, wie etwa in der Vermögensverwaltung, individualvertragliche Vertraulichkeitsvereinbarungen ohne einen ausdrücklichen Auslagerungsvorbehalt bestehen können. Derartige Kundenanforderungen nehmen aufgrund der gestiegenen Bedeutung der Informationssicherheit zu7. Eine Weitergabe von Daten dieses Kunden an Drittdienstleister oder an konzernangehörige Institute könnte dann einem Genehmigungsvorbehalt oder zumindest Informationspflichten unterliegen, soweit nicht eine entsprechende Auslegung der Vertraulichkeitsregelungen eine Inanspruchnahme ausgelagerter Leistungen auch ohne gesonderte Zu-
1 Ziffer 2 Abs. 1 der Muster AGB-Banken, siehe http://www.bankenverband.de/ downloads/072012/agb-banken-deutsch-ab-05-2012.pdf (Stand 27.10.2013). 2 Steding/Meyer, BB 2001, 1693 (1695); Bunte in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, § 7 Rz. 9. 3 Steding/Meyer, BB 2001, 1693 (1695). 4 Ziffer 3 Abs. 1 der Muster AGB-Banken. 5 BAKred Auslagerungs-Rundschreiben 11/2001, Rz. 43; Duisberg/Eckhardt/Grudzien/Hartmann/u.a., S. 52; a.A. Steding/Meyer, BB 2001, 1693 (1696 f.). 6 Splittgerber/Rockstroh, BB 2011, 2179 (2182); Stabenau in Berndt, Outsourcing in Kreditinstituten, E. Rz. 323 f. 7 Wagner/Blaufuß, BB 2012, 1751 (1753). Glaus/Horras
649
Teil 8 B
Rz. 86
Regulierte Finanzdienstleister
stimmung ermöglicht1. Bevor derartig sensitive Daten in die Cloud wandern, ist eine Analyse der Kundenvereinbarungen gemeinsam mit dem betroffenen Geschäftsbereich empfehlenswert. Bestehen hierbei kritische Vertraulichkeitspflichten, ist (plattformunabhängig) die Zustimmung des Kunden einzuholen oder eine Übermittlung der Daten etwa durch Anonymisierung oder Verschlüsselung so zu limitieren, dass keine Verletzung entsprechender Vereinbarungen möglich ist. 86
Einer Geheimhaltungsverpflichtung kann auch gegenüber Dienstleistern durch Vertragsstrafen ein entsprechendes Gewicht verliehen werden. Allerdings gilt es zu bedenken, dass ein rechtmäßiger Datenzugriff durch Dritte, vor allem durch Behörden oder Gerichte, nicht durch Vertraulichkeitsklauseln oder sonstige, privatrechtliche Vereinbarungen vermieden werden kann2. Typische Beispiele hierfür sind das US E-Discovery bzw. Pretrial Discovery-Verfahren3, eine Überwachung auf der Grundlage des Stored Communications Act, US Patriot Act oder gar ein nachrichtendienstlicher Zugriff wie etwa durch Geheimdienste bis hin zu PRISM4. Gerade im Hinblick auf mögliche E-Discovery-Verfahren gegen das Institut sollte der Vertrag mit einem Cloud-Provider Art, Umfang und Verfahren einer Beweissicherung von Daten festhalten, um Haftungsrisiken aufgrund nicht verfügbaren Beweismaterials bei einem „Litigation Hold“ zu minimieren5. Der sonstige Zugriff auf Daten mag im Einzelfall durch technische Maßnahmen wie Verschlüsselung oder Pseudonymisierung eingeschränkt werden können. Es ist aber aufgrund lokaler Rechtsvorschriften mit einer sanktionsbewehrten Herausgabepflicht von Schlüsseln oder einer Überwindung technischer Sicherheitsvorkehrungen durch staatliche Stellen zu rechnen6. Diese Möglichkeit und etwaige Folgen sind im Rahmen einer umfassenden Risikoanalyse der Standorte des Cloud-Dienstleisters sowie im Hinblick auf Zwecke und Sensitivität der geplanten Datenverarbeitung zu berücksichtigen7. Umgekehrt könnte auch die BaFin eine Übermittlung von Daten in Drittstaaten ausdrücklich untersagen8.
1 Schmitz, CR 2012, 557 (561) sieht diese Möglichkeit, soweit die Informationsweitergabe durch Vertraulichkeitsverpflichtungen und technische und organisatorische Schutzvorkehrungen abgesichert ist. 2 Karger/Sarre, Wird Cloud Computing zu neuen juristischen Herausforderungen führen?, in Taeger/Wiebe, Inside the Cloud, S. 427 (435 f.); Schröder/Haag, ZD 2012 (500); Duisberg/Eckhardt/Grudzien/Hartmann/u.a., S. 52. 3 Geercken/Holden/Rath/Surguy/Stretton, CRi 2013, 44 ff. 4 Wagner/Blaufuß, BB 2012, 1751 (1752); Lehmann/Giedke, CR 2013, 608 (610); Rath/Rothe, K&R 2013, 623 (628 f.); Spies, MMR 2009 XI (XII); Schuppert/von Reden, ZD 2013, 210 (216 ff.); Becker/Nikolaeva, CR 2012, 170 (171 f.). 5 Birk/Heinson/Wegener, DuD 2011, 329 (332); Niemann/Paul, K&R 2009, 444 (450); Spies/Schröder, MMR 2008, 275 ff.; Brisch/Laue, RDV 2010, 1 ff. 6 Weichert, DuD 2010, 679 (683 f.). 7 Becker/Nikolaeva, CR 2012, 170 (176). 8 Gemäß § 44a Abs. 1 Satz 2 KWG; Söbbing, ZBB/JBB 2013, 364 (371).
650
Glaus/Horras
Rz. 89 Teil 8 B
V. Weitere Compliance-relevante Vorschriften
V. Weitere Compliance-relevante Vorschriften Neben allgemeinen Auslagerungsbestimmungen gelten für Finanzdienst- 87 leister als Verpflichtete gem. § 2 Abs. 1 GWG erweiterte Sorgfaltspflichten und Sicherungsmaßnahmen, die im Einzelfall Einfluss auf die Zulässigkeit bzw. Struktur des Bezugs von Dienstleistungen aus der Cloud haben können. Im Bereich der Geldwäschebekämpfung kommt die Beauftragung eines Cloud-Dienstleisters mit der Durchführung von Pflichten nach dem Geldwäschegesetz gem. § 7 Abs. 1 Satz 3 GWG wohl nicht in Frage, soweit er nicht selbst ein Finanzinstitut ist. Allerdings ist der Einsatz als Infrastrukturdienstleister oder zur Administration der Prozesse und Daten im Rahmen der Durchführung der geldwäscherechtlichen Pflichten denkbar, da die Einschaltung von Dritten hierzu gesetzlich unter § 7 Abs. 2 Satz 2 und 3 GWG in engen Grenzen und auf Grundlage einer sorgfältigen Auswahl und Überwachung vorgesehen ist. Die Anforderungen sind hierbei im Ergebnis mit einer wesentlichen Auslagerung vergleichbar, weshalb § 7 Abs. 2 Satz 4 GWG auch auf § 25a Abs. 2 KWG verweist. Darüber hinaus ist zu beachten, dass bei einer Auslagerung geldwäscherelevanter Tätigkeiten auch ggf. interne Sicherungsmaßnahmen des Instituts gem. § 9 GWG vom Dienstleister umgesetzt werden müssen. Entsprechend sollten betroffene Geschäftsprozesse von der zuständigen Compliance-Abteilung geprüft werden, um mögliche GWG-relevante Anforderungen rechtzeitig zu identifizieren. Ein Cloud-Dienstleister könnte darüber hinaus bestimmungsgemäß oder 88 aufgrund möglicher Datenzugriffe Informationen über nicht öffentlich bekannte Umstände erhalten, die für Wertpapiere kurserheblich sein können und ihn damit als sog. „Insider“ gem. §§ 12 ff. WpHG besonderen Regelungen unterwerfen1. Dies kann etwa dann der Fall sein, wenn der Cloud-Service im Zusammenhang mit Accounting-Dienstleistungen einen Zugang zu noch nicht veröffentlichten Jahresergebnissen ermöglicht oder im Zusammenhang mit CRM-Services Daten zu geplanten M&A Transaktionen speichert. Die gesetzlich vorgegebenen Insider-Verpflichtungen beinhalten präventive Maßnahmen und Organisationspflichten, die der Cloud-Dienstleister selbst umsetzen muss. Es ist jedoch für das Finanzinstitut empfehlenswert, Auslagerungen, die möglicherweise insiderrelevante Sachverhalte betreffen, selbst vorzeitig zu identifizieren und zur Sicherstellung einer angemessenen Umsetzung entsprechende Regelungen wie etwa das Führen von Insider-Verzeichnissen bereits vertraglich aufzunehmen. Die sog. „Living Will“-Anforderungen an systemrelevante Institute zur 89 Ermöglichung der eigenen Abwicklung können Auswirkungen auf die Ausgestaltung von Cloud-Verträgen haben. Im Rahmen des Restrukturierungsverfahrens kann die Bankenaufsicht die Übertragung systemrelevanter Unternehmensteile eines Instituts auf eine Brückenbank anord1 Bergmann, Funktionsauslagerung bei Kreditinstituten, S. 316 f. Glaus/Horras
651
Teil 8 B
Rz. 90
Regulierte Finanzdienstleister
nen, um eine drohende Bestands- und Systemgefährdung zu verhindern1. Kritische Infrastrukturverträge mit Dienstleistern müssen zukünftig geeignet sein, diesen Prozess zu unterstützen, so dass die neue Brückenbank weiterhin Bankgeschäfte betreiben kann und die Auslagerung kein Hindernis für eine Ausgliederung darstellt.
VI. Folgen einer mangelhaften Umsetzung 90
Auch wenn das MaRisk Rundschreiben der BaFin keinen formalen Verwaltungsakt oder eine Rechtsverordnung darstellt, haben derartige Verlautbarungen einer Aufsichtsbehörde für Finanzinstitute große Bedeutung, da sie eine Richtschnur für ordnungsgemäße Geschäftsführung darstellen2. Die BaFin ist im Rahmen der Anordnungen an die Anforderungen der MaRisk durch ihren Charakter als Verwaltungsvorschrift gebunden. Da es sich jedoch um „Mindestanforderungen“ handelt, kann im Einzelfall unter differenzierter Abwägung der Interessen wohl auch darüber hinausgegangen werden3. Auch die Abschlussprüfer orientieren sich bei der Prüfung der Geschäftstätigkeiten und des Risikomanagements gem. § 29 Abs. 1 Satz 2 KWG an diesen Vorgaben, weshalb eine Nichteinhaltung regelmäßig zu Beanstandungen führen wird. Die Durchsetzungs- und Sanktionsmöglichkeiten der Aufsichtsbehörden nach § 25a Abs. 3 KWG beinhalten zunächst Prüfungs- und Kontrollrechte. Darüber hinaus kann die BaFin im Einzelfall gem. § 25a Abs. 1 Satz 8 KWG Anordnungen treffen, um die ordnungsgemäße Geschäftsorganisation des Instituts sicherzustellen.
91
Sollte keine ordnungsgemäße Geschäftsorganisation im Zusammenhang mit der Auslagerung vorliegen, kann die BaFin besondere Maßnahmen gem. § 45b Abs. 1 Nr. 1 KWG anordnen, um insbesondere Risiken aufgrund einer Auslagerung von Aktivitäten oder durch die Nutzung eines bestimmten Systems zu reduzieren. Darüber hinaus droht bei einem nachhaltigen Verstoß gegen die Regelungen des KWG die Abberufung der Geschäftsleitung gem. § 36 KWG oder im schlimmsten Fall gem. § 35 Abs. 2 Nr. 6 KWG der Entzug der gem. § 32 KWG erteilten Banklizenz4. Die Verantwortung der Geschäftsleitung für Auslagerungsprozesse sollte daher ernst genommen werden. Neben aufsichtsrechtlichen Folgen ist zu beachten, dass die Verletzung von Pflichten im Zusammenhang mit ITCompliance, wie etwa mangelhafte Kontroll- und Erkennungssysteme oder unzureichende Anzeigen bestehender Risiken im Zusammenhang
1 Siehe Restrukturierungsgesetz bzw. Übertragungsanordnung gemäß § 48a KWG. 2 Ferstl in Bräutigam, IT-Outsourcing, S. 626 Rz. 11. 3 Braun/Wolfgarten in Boos/Fischer/Schulte-Mattler, Kreditwesengesetz, Rz. 57. 4 Brogl in Berndt, Outsourcing in Kreditinstituten, A. Rz. 58 ff.
652
Glaus/Horras
VII. Sonstige Auslagerungsvorschriften im Finanzsektor
Rz. 92 Teil 8 B
mit Cloud-Dienstleistungen, zu einem Verlust eines etwaigen Versicherungsschutzes führen kann1.
VII. Sonstige Auslagerungsvorschriften im Finanzsektor Neben der MaRisk sind im Zusammenhang mit Auslagerungen in die 92 Cloud noch eine Vielzahl von Spezialregelungen von Finanzdienstleistern zu beachten, die nachfolgend lediglich exemplarisch aufgeführt werden. Versicherungsunternehmen unterliegen gemäß § 64a Abs. 4 VAG ähnlichen Anforderungen wie Bankinstitute2. Wertpapierdienstleistungsunternehmen i.S.d. § 2 Abs. 4 WpHG müssen die organisatorischen Vorschriften des § 33 WpHG beachten3. Hierbei gilt neben besonderen Einschränkungen zu einer Auslagerung der Finanzportfolioverwaltung die dort ausdrücklich aufgeführte Norm des § 25a Abs. 2 KWG entsprechend4. Zahlungsdienstleister und Anbieter von E-Geld-Geschäften unterliegen gem. § 20 ZAG vergleichbaren Regelungen und müssen eine Auslagerung von wesentlichen, betrieblichen Aufgaben anzeigen5. Für Investment- und Kapitalverwaltungsgesellschaften ist § 36 KAGB für Auslagerungen zu beachten6. Darin werden über die Vorgaben aus dem Bankaufsichtsrecht hinaus vor allem inhaltlich weitergehende Beschränkungen und Genehmigungspflichten festgelegt7. Börsen haben bei Auslagerungen §§ 5 Abs. 3 und 12 Abs. 2 Börsengesetz zu beachten, wobei hier v.a. Handelssysteme und die Abwicklung von Börsengeschäft als we-
1 Lensdorf/Steger, ITRB 2006, 206 (209). 2 Zur Regulierung ausgegliederter Funktionen und übertragener Aufgaben von Versicherungsunternehmen gem. § 64a Abs. 4 VAG siehe Ziffer 8 des BaFin Rundschreiben 3/2009 (VA) „Aufsichtsrechtliche Mindestanforderungen an das RisikoManagement (MARisk VA)“ vom 22.1.2009; Ferstl, in Bräutigam, IT-Outsourcing, 2. Aufl. 2009, Teil 9 Rz. 53; Duisberg/Eckhardt/Grudzien/Hartmann/ u.a., S. 53; Ketessidis in Hanten/Görke/Ketessidis, Outsourcing im Finanzsektor, B. I. Rz. 156 ff. 3 Ferstl in Bräutigam, IT-Outsourcing, 2. Aufl. 2009, Teil 9 Rz. 47 ff.; Ferstl in Grieser/Heemann, Bankaufsichtsrecht, S. 1053 ff.; Ketessidis in Hanten/Görke/ Ketessidis, Outsourcing im Finanzsektor, B. I. Rz. 37 ff. 4 BaFin Rundschreiben 4/2010 (WA) – Mindestanforderungen an die ComplianceFunktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach §§ 31 ff. WpHG für Wertpapierdienstleistungsunternehmen (MaComp); Stand: 30.11.2012; siehe http://www.bafin.de/SharedDocs/Veroeffentlichungen/ DE/Rundschreiben/rs_1004_wa_macomp.html. 5 Braun/Wolfgarten in Boos/Fischer/Schulte-Mattler, Kreditwesengesetz, Rz. 869. 6 Bis 21.7.2013: § 16 InvG nach den Vorgaben von Art. 5g der OGAW-Richtlinie 85/611/EWG; siehe auch Ferstl in Bräutigam, IT-Outsourcing, 2. Aufl. 2009, Teil 9 Rz. 46. 7 BaFin „Häufige Fragen zum Thema Auslagerung gemäß § 36 KAGB“ vom 10.7.2013, siehe http://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/FAQ/ faq_kagb_36_auslagerung_130710.html (zuletzt 31.10.2013). Glaus/Horras
653
Teil 8 B
Rz. 93
Regulierte Finanzdienstleister
sentlich angesehen werden1. Selbst Ratingagenturen unterliegen Auslagerungsanforderungen2. 93
Für bestimmte Finanzdienstleistungen gibt es bereichsspezifische Ausnahmen, z.B. bei der unzulässigen Auslagerung der Führung des Refinanzierungsregisters durch Pfandbriefbanken gem. § 22a Abs. 3 KWG, zu Auslagerungen im Zusammenhang mit OTC-Derivaten3 und bei Bausparkollektiven4.
VIII. Globale Finanzdienstleister im Spannungsfeld nationaler Regelungen 94
Da die aufsichtsrechtlichen Prinzipien der MaRisk auf EU-Vorgaben beruhen, ist die Rechtssituation bei Auslagerungen durch Finanzinstitute in vielen Ländern der Europäischen Union zumindest vergleichbar. Manche Rechtsordnungen verlangen allerdings darüber hinaus weiterhin die Einhaltung stark formalisierter Vorgaben insb. im Hinblick auf Verträge, Antragsformerfordernisse und Erlaubnispflichten. Aufgrund der hohen Regulierungsdichte in der Finanzindustrie gibt es praktisch in fast allen relevanten Rechtsordnungen Regelungen zu Outsourcing. Soweit ein Finanzinstitut als Konzern mit Tochtergesellschaften in verschiedenen Ländern eine einheitliche Auslagerung mit Leistungen an diese Institute plant, muss das Vorhaben in den betroffenen Ländern vorab geprüft werden. Hierbei können nationale Vorgaben und Antragserfordernisse signifikanten Anpassungsbedarf hervorrufen und langwierige Genehmigungsverfahren erfordern oder den Konzern sogar am Ende zwingen, einzelne Länder bzw. Institute aus dem geplanten Service herauszunehmen. Gerade standardisierte Cloud-Services ohne besondere Flexibilität im Hinblick auf die Ausgestaltung der Prozesse sollten normalerweise nur Land für Land umgesetzt werden, da ein globaler Roll-Out (Big Bang) eine Vielzahl paralleler Prüfungen und Umsetzungsanforderungen erfordert.
95
Viele Aufsichtsbehörden sehen Cloud Computing als eine Form der Auslagerung. Die niederländische Aufsicht DNB hat dies beispielsweise ausdrücklich in einem Rundschreiben festgehalten und eine Risikoanalyse sowie aufsichtsrechtliche Durchgriffsrechte eingefordert5. Die DNB hat hierzu sogar die Initiative ergriffen und verhandelt mit großen Cloud-Anbietern wie Microsoft und Amazon umfassende Auditrechte zugunsten 1 Groß in Groß, Kapitalmarktrecht, 5. Aufl. 2012, § 5 BörsG Rz. 10. 2 Art. 25 VO(EU) 449/2012 zur Ergänzung der VO(EG) 1060/2009. 3 Art. 35 VO(EU) 648/2012 über OTC-Derivate, zentrale Gegenparteien und Transaktionsregister. 4 Ketessidis in Hanten/Görke/Ketessidis, Outsourcing im Finanzsektor, B. I. Rz. 84 ff. 5 DNB Circulaire Cloud Computing: English final dated 10.1.2012, siehe http:// www.toezicht.dnb.nl/en/binaries/Circulaire%20cloud%20computing_tcm51224828.pdf (zuletzt 3.11.2013).
654
Glaus/Horras
VIII. Globale Finanzdienstleister
Rz. 96 Teil 8 B
von Bankaufsichtsbehörden1. In Polen gibt es dagegen Genehmigungserfordernisse durch die polnische Finanzaufsichtsbehörde für Auslagerungen außerhalb der EU. Obwohl seit einer Gesetzesänderung 2011 Erleichterungen vorgesehen sind, gestalten sich Weiterverlagerungen an Subdienstleister immer noch schwierig und müssen vom Finanzinstitut ausdrücklich genehmigt werden2. Eine Nutzung global tätiger Cloud-Anbieter mit wechselnden Subunternehmern erscheint hier im Zusammenhang mit regulierten Dienstleistungen schwierig. In der Türkei sind ebenfalls in der Praxis aufwendige Anforderungen der „Banking Regulation and Supervision Agency“ wie Verwendung der türkischen Sprache in dem Auslagerungsvertrag zu beachten. Es hat eine gründliche Prüfung des Dienstleisters (und vor allem der Mitglieder seiner Organe) und seiner Eigentümer zu erfolgen, die über die Zuverlässigkeitsprüfungen der MaRisk an einigen Stellen deutlich hinausgeht3. Cloud Computing wird in einzelnen Ländern bereits sehr kritisch gesehen. Die „Monetary Authority of Singapore“ (MAS) sah 2012 Auslagerungen in die Cloud als eines der Top-5 Technologierisiken für Finanzinstitute4. Die MAS befürchtet hierbei gegenüber sonstigen Auslagerungen besondere Informationssicherheitsrisiken bei Cloud-Services, die von einem auslagernden Institut sorgfältig geprüft und limitiert werden müssen5. Wesentliche Auslagerungen in die Cloud muss sich das Institut unter Abgabe eines umfangreichen Technologie-Fragebogens durch die MAS genehmigen lassen. Darüber hinaus gibt es viele (Aufsichts-)Rechtsordnungen, die mittelbar 96 oder unmittelbar verlangen, dass Bankdaten ausschließlich auf dem jeweiligen Staatsgebiet verarbeitet werden. Eine Verlagerung der Verarbeitung von Kundendaten in die Cloud kann entsprechend einen Datentransfer darstellen, der gegenüber den jeweiligen Aufsichtsbehörden angezeigt werden muss oder sogar genehmigungspflichtig ist. Hierbei ist etwa Luxemburg zu erwähnen, welches eine Verarbeitung von Bankdaten außerhalb des eigenen Landes praktisch nicht zulässt6. Darüber hinaus stellt ein starkes Bankgeheimnis wie etwa das strafrechtlich bewehrte Schweizer Bankgeheimnis ein Auslagerungshindernis dar, welches im Falle einer geplanten Auslagerung umfassende Informationspflichten 1 Use of Amazon’s cloud approved for Dutch banks (29.7.2013), siehe http:// www.pcworld.com/article/2045480/use-of-amazons-cloud-approved-for-dutchbanks.html (zuletzt 3.1.2013). 2 Polish Act Amending the Act – Banking Law and the Consumer Credit Act on 19 August 2011. 3 Turkish Regulation of the Banking Regulation and Supervision Agency under the Banking Law No. 5411. 4 Siehe enterpriseinnovation.net/article/monetary-authority-singapore-weighstechnology-risk-management-issues. 5 MAS Circular „Technology Questionnaire for Outsourcing“ dated 14.7.2011 and MAS Technology Risk Management Guidelines, June 2013, No. 5.2. 6 Art. 41 of Luxembourg Law of 5 April 1993 on the Financial Sector; Art. 458 of the Luxembourg Criminal Code. Glaus/Horras
655
Teil 8 B
Rz. 97
Regulierte Finanzdienstleister
gegenüber Kunden auslösen kann1. Schließlich bestehen in manchen Rechtsordnungen und Geschäftsbereichen aufgrund regulatorischer Vorgaben weitere organisatorische Compliance-Anforderungen an das Institut, wie etwa die Vorgabe der Errichtung sog. „Chinese Walls“, die eine sichere Trennung von Kundendaten bzw. Transaktionsinformationen aus dem Privatkundengeschäft oder dem Investmentbanking zwischen verschiedenen Geschäftsbereichen oder zwischen Front- und Backoffice vorschreiben2. Diese Trennung muss in den Datenbanken und entsprechenden Zugriffsrechten auf den Cloud-Service umgesetzt werden. 97
Bei einem Service, der Leistungen für Kunden in mehreren Ländern vorsieht, müssen die Vorgaben der einzelnen Rechtsordnungen daher vorab individuell geprüft und umgesetzt werden. Dieser Aufwand muss unabhängig vom Umfang der Dienstleistungen betrieben werden und kann im ungünstigsten Fall deutlich höher als die operativen Einsparungen ausfallen.
IX. Fazit 98
Auslagerungen eines Finanzinstituts in die Cloud können zu einer Vielzahl aufsichtsrechtlicher Fragestellungen führen, die in einem Widerspruch zu einer einfachen und standardisierten Inanspruchnahme von Cloud-Services stehen können, allerdings auch oft mit den Anforderungen aus der Auftragsdatenverarbeitung vergleichbar sind. Hierbei bietet der risikobasierte Ansatz der MaRisk einen gewissen Gestaltungsspielraum, den Cloud-Anbieter mit einem hohen und zertifizierten Sicherheitsstandard durch geeignete Angebote ausnutzen können, um auch den Finanzsektor als Kundensegment zu erschließen. Auf dieser Basis sind Institute in der Lage, den Einkauf von derartigen Dienstleistungen in die internen Auslagerungsprüfungsprozesse effektiv zu integrieren und können dann auch von den wirtschaftlichen Vorteilen dieser neuen Technologie profitieren. Es kann jedoch nicht ausgeschlossen werden, dass gerade bei Finanzdienstleistern die erwarteten Kostenersparnisse v.a. von Public Clouds durch umfangreiche Kontrollprozesse, zusätzliche Anforderungen an den Service und rechtliche Herausforderungen relativiert werden und aus diesem Grund eine Auslagerung in Private Clouds aufgrund des geringeren Risikoprofils Umsetzungsvorteile bietet.
1 Art. 47 of Swiss Federal Act on Banks and Savings Banks (FBA) and FBC Outsourcing Circular 99/2. 2 Duisberg/Eckhardt/Grudzien/Hartmann/u.a., S. 52.
656
Glaus/Horras
C. Öffentliche Verwaltung Rz. I. Einleitung . . . . . . . . . . . . . . . . . . .
1
II. Vergaberecht . . . . . . . . . . . . . . . . . 1. EU-Rechtsrahmen für öffentliche Ausschreibungen. . . . . . . . . . . . . . 2. Nationaler Rechtsrahmen für öffentliche Ausschreibungen . . . . a) Anwendungsbereich des GWB – Vierter Teil . . . . . . . . . . . . . . . b) Ausnahmen vom Anwendungsbereich des vierten Teils des GWB . . . . . . . . . . . . . . 3. Rechtsschutz im Vergaberecht. . . 4. In-House-Vergabe . . . . . . . . . . . . . 5. Einkaufsgemeinschaften . . . . . . . 6. VOL/A: Vergaberechtliche Fragen bei Cloud Computing . . . . . . . . . . a) Anwendungsbereich . . . . . . . . . b) Grundsatz der losweisen Vergabe . . . . . . . . . . . . . . . . . . . c) Wahl der Vergabeart . . . . . . . . . aa) Offenes Verfahren, § 3 EG Abs. 1 Satz 1 VOL/A, § 101 Abs. 2 GWB. . . . . . . . bb) Nicht offenes Verfahren, § 3 EG Abs. 2 VOL/A, § 101 Abs. 3 GWB. . . . . . . .
6 6 10 13 22 32 41 50 54 54 57 59 62 74
Rz. cc) Verhandlungsverfahren, § 3 EG Abs. 3, 4 VOL/A, § 101 Abs. 5 GWB . . . . . . . . dd) Wettbewerblicher Dialog, § 3 Abs. 7 EG VOL/A, § 101 Abs. 4 GWB . . . . . . . . d) Rahmenvereinbarungen . . . . . . aa) Allgemeines . . . . . . . . . . . . bb) Verfahren. . . . . . . . . . . . . . . cc) Rahmenvertrag mit einem Vertragspartner . . . . . . . . . . dd) Rahmenvertrag mit mehreren Vertragspartnern . . . . ee) Gestaltung der Vergabeunterlagen, Rahmenvertragsmodell . . . . . . . . . . . . . e) Vergaberechtliche Sonderprobleme . . . . . . . . . . . . . . . . . . aa) Projektantenproblematik. . bb) Grundsatz der produktneutralen Ausschreibung. . 7. Wahl der Vertragsgrundlage; Anwendung der EVB-IT . . . . . . . . a) Allgemeines . . . . . . . . . . . . . . . b) Anwendungspflicht . . . . . . . . . c) Die Wahl des richtigen Vertragstypus. . . . . . . . . . . . . . .
81 100 109 109 112 117 123 129 138 138 141 145 145 151 158
I. Einleitung Auch im Bereich der öffentlichen Verwaltung gewinnt das Thema 1 Cloud Computing immer mehr an Relevanz, sei es auf Grund von Bestrebungen der Kommunal-, Länder- und Bundesbehörden eigenständige „Verwaltungs-Clouds“ selbst zu betreiben oder aber entsprechende, von Dritten erbrachte, Cloud-Services im Rahmen von öffentlichen Vergaben zu beschaffen. Begründen lässt sich diese wachsende Relevanz in erster Linie mit dem im Zusammenhang mit Cloud Computing immer wieder genannten Einsparungspotential1. Bereits heute gibt es eine Vielzahl von kommunalen Rechenzentren so- 2 wie einige IT-Dienstleister, die in Form von Anstalten des öffentlichen Rechts organisiert sind und sich als „Full-Service-Provider“ verstehen2.
1 Eine Cloud für alle deutschen Länder und Kommunen? eGovernment: Hessen plant Verwaltungs-Cloud für alle: http://www.egovernment-computing.de/pro jekte/articles/315835/ (zuletzt besucht am 1.12.2012). 2 http://www.dataport.de (zuletzt besucht am 1.12.2012). Erben
657
Teil 8 C
Rz. 3
ffentliche Verwaltung
Die Leistungen dieser öffentlich-rechtlichen IT-Dienstleister reichen von der Gebrauchsüberlassung von Softwarelösungen über entsprechende Support- und Schulungsleistungen bis hin zum Hosting der überlassenen Softwarelösungen. 3
Insbesondere Geschäftsmodelle, die – sowohl im Bereich der öffentlichen Verwaltung, als auch in der Privatwirtschaft – bislang als Betrieb (von Software), Outsourcing, Hosting, Application Service Providing o.Ä. bezeichnet werden, sind mitunter nicht trennscharf gegen den in den letzten Jahren entstandenen Begriff des Cloud Computing abzugrenzen.
4
Es lässt sich jedenfalls festhalten, dass in Deutschland im Bereich der öffentlichen Verwaltung bereits Szenarien existieren, die entweder unter die Definition von Cloud Computing (vgl. insg. Teil 1) fallen oder aber eine sehr große Schnittmenge zu den genannten Definitionen haben.
5
Im Rahmen dieses Teils 8 C erfolgt eine vergaberechtliche Würdigung der Beschaffung von Cloud-Services und der in diesem Zusammenhang für den öffentlichen Auftraggeber und den jeweiligen Bieter auftretenden Probleme.
II. Vergaberecht 1. EU-Rechtsrahmen für öffentliche Ausschreibungen 6
Grundlegendes Ziel sämtlicher vergaberechtlicher Regelungen ist zum einen die möglichst wirtschaftliche Beschaffung der jeweiligen Leistung durch den öffentlichen Auftraggeber, zum anderen die Gewährleistung eines fairen Wettbewerbs zwischen den Bietern.
7
Innerhalb des primären Gemeinschaftsrechts finden sich keine expliziten Regelungen zur öffentlichen Auftragsvergabe. Allgemein werden jedoch die Grundsätze der Gemeinschaftsverträge, so z.B. die Schaffung eines gemeinsamen (Binnen-)Marktes und die Beseitigung innergemeinschaftlicher Handelshemmnisse, als Grundlage für die Umsetzung in Europäisches (Sekundär-)Vergaberecht, vor allem Richtlinienrecht, gesehen. Eine wesentliche Bedeutung in diesem Zusammenhang spielen die im Vertrag über die Arbeitsweise der europäischen Union (AEUV) geregelten Marktfreiheiten sowie auch das im Vergaberecht essentielle Diskriminierungsverbot1.
8
Im Jahre 1996 trat das WTO-Übereinkommen über das öffentliche Beschaffungswesen (Government Procurement Agreement – kurz: GPA), ein plurilaterales Abkommen, dem zum heutigen Zeitpunkt sämtliche EU-Mitgliedsstaaten, die USA, Kanada und eine Vielzahl weiter WTO-
1 Grabitz/Hilf/Hailbronner, Kap. B1 Rz. 1 und 2.
658
Erben
II. Vergaberecht
Rz. 14 Teil 8 C
Mitgliedstaaten beigetreten sind, in Kraft1. Diese Vereinbarung beinhaltet zwingende Regelungen, die jeweils in das Europäische Sekundärrecht und somit auch in das deutsche Vergaberecht umgesetzt wurden bzw. werden. Wesentliche Grundlage für die durch deutsche öffentliche Auftraggeber 9 bei der Vergabe von Cloud-Services zu beachtenden Regelungen bildet die Richtlinie 2004/18/EG des Europäischen Parlaments und des Rates vom 31. März 2004 über die Koordinierung der Verfahren zur Vergabe öffentlicher Bauaufträge, Lieferaufträge und Dienstleistungsaufträge. 2. Nationaler Rechtsrahmen für öffentliche Ausschreibungen Im deutschen Vergaberecht existiert eine Zweiteilung hinsichtlich der 10 anzuwenden Vorschriften. Bei Erreichen eines gewissen Schwellenwertes fällt die Beschaffung von Liefer- und Dienstleistungen unter den Anwendungsbereich des vierten Abschnitts des GWB (§§ 99 bis 129) sowie des Abschnitts 2 der Vergabe- und Vertragsordnung für Leistungen Teil A (VOL/A) fallen. Ist hingegen der Schwellenwert nicht erreicht, so sind gem. § 1 Abs. 1 11 VOL/A in Verbindung mit den jeweiligen Haushaltsordnungen die Vorschriften des Abschnitts 1 der VOL/A einschlägig. Grundsätzlich folgen beide Abschnitte der gleichen Struktur, es ergeben 12 sich aber aus den Vorschriften des GWB sowie des zweiten Abschnitts der VOL/A gegenüber dem ersten Abschnitt der VOL/A einige Besonderheiten, die aus der Umsetzung der europäischen Richtlinien herrühren. So gibt es bspw. hinsichtlich des Rechtsschutzes im Rahmen von Vergabeverfahren, der in den Regelungen des GWB detailliert geregelt ist, signifikante Unterschiede. a) Anwendungsbereich des GWB – Vierter Teil Die für die vorliegenden Problemstellungen in erster Linie relevanten 13 Normen finden sich in den §§ 97 bis 101b GWB, dem Abschnitt, der die „Vergabe öffentlicher Aufträge“ regelt. Auf diese Regelungen wird einerseits aus der VOL/A, andererseits aus der Verordnung über die Vergabe von Aufträgen im Bereich des Verkehrs, der Trinkwasserversorgung und der Energieversorgung (Sektorenverordnung – SektVO) verwiesen2. Gem. § 97 Abs. 1 GWB haben öffentliche Auftraggeber „Waren, Bau- und 14 Dienstleistungen“ nach Maßgabe der Vorschriften des GWB „im Wettbewerb und im Wege transparenter Vergabeverfahren“ zu beschaffen.
1 http://ec.europa.eu/internal_market/publicprocurement/rules/gpa-wto/ (zuletzt besucht am 1.12.2012). 2 Zu den Regelungen der VOL/A und der SektVO vgl. im Übrigen ab Rz. 54. Erben
659
Teil 8 C
Rz. 15
ffentliche Verwaltung
15
Anknüpfungspunkt für die Vergabe von Cloud Computing-Leistungen ist § 99 Abs. 1 GWB. Demnach sind als öffentliche Aufträge „… entgeltliche Verträge von öffentlichen Auftraggebern mit Unternehmen über die Beschaffung von Leistungen, die Liefer-, Bau- oder Dienstleistungen zum Gegenstand haben …“ zu verstehen.
16
Wie bereits in Teil 2 ausführlich dargestellt, fällt die vertragstypologische Einordnung von Cloud Computing nicht einheitlich aus, sondern es ist anzunehmen, dass ein „Cloud-Vertrag“, je nach Ausprägung und Inhalt der öffentlichen Ausschreibung, verschiedene zivilrechtliche Leistungsarten umfasst. So wird man hinsichtlich der Nutzung der Software von mietvertraglichen Regelungen, hinsichtlich der Herstellung der Betriebsbereitschaft von werkvertraglichen Regelungen und bezogen auf sonstige Services (z.B. Support, Hotline) möglicherweise von dienstvertraglichen Regelungen ausgehen müssen1.
17
Die dauerhafte sowie – für das Cloud Computing typische – zeitlich befristete Nutzung von Standardsoftware und diesbezügliche Supportleistungen, Leistungen, die die Installation bzw. das Herstellen der Betriebsbereitschaft beinhalten und Leistungen, die auftraggeberspezifische (Individual-)Softwareentwicklung2 beinhalten, sind unabhängig von der zivilrechtlichen vertragstypologischen Einordnung entweder als „Lieferleistung“ oder aber als „Dienstleistung“ i.S.d. § 99 Abs. 1 GWB zu verstehen.
18
Für den Kauf, die Miete und Pflege von Standardsoftware ist das Vorliegen eines „Lieferauftrags“ anzunehmen3. Im Falle von SaaS-, PaaS- und IaaS-Standard-Angeboten dürfte aus zivilrechtlicher Sicht i.d.R. die mietvertragliche Komponente überwiegen, so dass vergaberechtlich von einem Lieferauftrag i.S.d. § 99 Abs. 4 GWB auszugehen ist.
19
Unter den Auffangtatbestand der Dienstleistung nach § 99 Abs. 4 GWB fallen sämtliche Leistungen, die nicht als Lieferaufträge oder als Bauaufträge (vgl. § 99 Abs. 3 GWB) zu qualifizieren sind4.
20
Am Ende ist eine detaillierte Abgrenzung zwischen „Lieferauftrag“ und „Dienstleistungsauftrag“ nicht nötig, da bei Cloud Verträgen zumindest eine dieser Auftragsarten einschlägig ist, womit die Vergabe von Cloud Computing-Leistungen grundsätzlich den Vorschriften des vierten
1 Bzgl. der ggf. im Einzelfall strittigen Abgrenzung zwischen den einzelnen Leistungsarten sei auf die Ausführungen in Teil 2 dieses Handbuchs verwiesen. 2 Bei der Entwicklung von Individualsoftware bzw. Anpassung von Standardsoftware sind auf Grund der (vergaberechtlichen) Einordnung als „Dienstleistung“ zwar die Regelungen des vierten Teils des GWB anwendbar, in der Folge ist jedoch auf Grund der potentiellen Einordnung als freiberufliche Leistungen ggf. nicht die VOL/A sondern die VOF anwendbar. 3 Immenga/Mestmäcker/Dreher, § 99 GWB Rz. 91. 4 Pünder/Schellenberg/Wegener, § 99 GWB Rz. 82.
660
Erben
II. Vergaberecht
Rz. 26 Teil 8 C
Teils des GWB, also dem Kartellvergaberecht, unterfällt, sofern die Schwellenwerte überschritten sind. Der personelle Anwendungsbereich des Kartellvergaberechts ergibt sich 21 aus § 98 GWB, in dem sich die Definition des in § 97 Abs. 1 Satz 1 normierten Begriffs des Öffentlichen Auftraggebers findet. Öffentliche Auftraggeber sind demnach z.B. Gebietskörperschaften sowie deren Sondervermögen, Verbände, „Sektorenauftraggeber“1 sowie andere juristische Personen des öffentlichen und des privaten Rechts, die zu dem besonderen Zweck gegründet wurden, im Allgemeininteresse liegende Aufgaben nichtgewerblicher Art zu erfüllen, wenn Gebietskörperschaften oder Verbände, sie einzeln oder gemeinsam durch Beteiligung oder auf sonstige Weise überwiegend finanzieren oder über ihre Leitung die Aufsicht ausüben oder mehr als die Hälfte der Mitglieder eines ihrer zur Geschäftsführung oder zur Aufsicht berufenen Organe bestimmt haben. b) Ausnahmen vom Anwendungsbereich des vierten Teils des GWB Die §§ 97 ff. GWB finden keine Anwendung, wenn der Auftragswert des 22 Cloud-Vertrages („Schwellenwert“ gem. § 2 Nr. 2 Verordnung über die Vergabe öffentlicher Aufträge – VgV) einen bestimmten Schwellenwert (derzeit 200 000 Euro, bei obersten/oberen Bundesbehörden 130 000 Euro) nicht erreicht, vgl. § 100 Abs. 1 Nr. 1 GWB. Folge der Nicht-Erreichung des Schwellenwertes ist jedoch nicht „Aus- 23 schreibungsfreiheit“ im Sinne einer freien Vergabe, sondern lediglich die Nicht-Anwendbarkeit der Vorschriften des vierten Teils des GWB und somit der Europäischen Vergaberichtlinie, so dass keine europaweite Ausschreibung erfolgen muss. Allerdings gibt es auch jenseits der Richtlinie 2004/18/EG Regelungen 24 für nationale Vergaben. Anwendbar auf Unterschwellenvergaben im Cloud-Bereich sind insb. der erste Teil der VOL/A sowie das jeweils einschlägige Bundes-, Landes- oder Kommunalhaushaltsrecht. Die mit Cloud Computing verbundene Flexibilität des Auftraggebers, die 25 vielgenannte „Skalierbarkeit“ der Cloud-Services, also die Möglichkeit, je nach aktuellem Bedarf Speicherplatz, Rechenleistung, Softwarenutzungsrechte und sonstige Services variabel „kündigen“ bzw. „zubuchen“ zu können, lässt die Berechnung des Auftragswertes in der Praxis als nicht gänzlich unproblematisch erscheinen. Die Schätzung des Auftragswertes hat grundsätzlich vor der Durchfüh- 26 rung des Vergabeverfahrens zu erfolgen und ist von der Vergabestelle in der Vergabeakte entsprechend zu dokumentieren2. Der sodann geschätzte und dokumentierte Auftragswert ist nicht änderbar. Darüber hinaus un1 Vgl. Rz. 54. 2 Vgl. auch: UfAB, S. 65 ff. Erben
661
Teil 8 C
Rz. 27
ffentliche Verwaltung
terliegt die Schätzung des Auftragswertes dem Manipulationsverbot gem. § 3 Abs. 2 der VgV, was den bieterschützenden Charakter der Verpflichtung zur pflichtgemäßen Schätzung des Auftragswertes unterstreicht1. Demnach ist es dem öffentlichen Auftraggeber nicht gestattet, den Cloud Bedarf zwecks Umgehung des Vergaberechts zu niedrig anzusetzen oder verschiedene Leistungen, die objektiv gesehen einen einheitlichen Auftrag darstellen, in mehrere kleine Einzelaufträge aufzuspalten. Sollte ein potentieller Mitbewerber von derartigen Praktiken erfahren, so besteht die Möglichkeit eines Nachprüfungsantrages bei der zuständigen Vergabekammer2. 27
Sollte die vertragliche Gestaltung des Cloud-Vertrages so ausgefallen sein, dass einseitig durch den Auftraggeber ausübbare Rechte (z.B. Verlängerungsmöglichkeit, Optionen für bestimmte Leistungen) enthalten sind, so sind diese unabhängig von der Wahrscheinlichkeit des Ziehens der Option gem. § 3 Abs. 1 Satz 2 VgV in die Berechnung des Auftragswertes einzubeziehen.
28
Da Cloud Verträge regelmäßig wiederkehrende Leistungen vorsehen und damit sich während der Laufzeit fortlaufend neue Pflichten ergeben, liegt (zumindest auch) ein Dauerschuldverhältnis vor. Eine Schätzung des Auftragswertes im Sinne einer (festen) „Gesamtvergütung“ gem. § 3 Abs. 1 VgV kommt allerdings lediglich bei Leistungen in Frage, die keine Dauerschuld beinhalten, da für die Beauftragung wiederkehrender Leistungen oder Daueraufträge gesonderte Regelungen existieren. Der klassische Werkvertrag ist nach den §§ 631 ff. BGB kein Dauerschuldverhältnis. Somit kann für den Teil der Leistungen, die typische werkvertragliche Leistungsgegenstände beinhalten (z.B. Anpassung der in der Cloud zur Verfügung gestellten Software, Herstellung der Betriebsbereitschaft) oder Dienstleistungen (z.B. Schulungsleistungen durch den Anbieter vor Inbetriebnahme der Software) die Schätzung einer Gesamtvergütung i.S.d. § 3 Abs. 1 VgV erfolgen. Diese ist sodann in den darüber hinaus zu schätzenden Wert der sonstigen Leistungen einzubeziehen.
29
Soweit Cloud Verträge fortlaufend zu erbringende Leistungen betreffen, erfolgt bei fester Laufzeit bis zu höchstens 48 Monaten die Schätzung des Auftragswertes für die Leistungen aus dem Dauerschuldverhältnis gem. § 3 Abs. 4 Nr. 1 VgV anhand des „Gesamtwertes“ der während der Laufzeit zu erbringenden Leistungen. Sollte der Cloud-Vertrag, was in der Praxis durchaus vorkommen dürfte, eine Laufzeit von über 48 Monaten oder aber eine unbefristete Laufzeit haben, so ist gem. § 3 Abs. 4 Nr. 2 VgV bei der Berechnung der monatliche Preis der Leistungen mit 48 zu multiplizieren. Insgesamt sind sämtliche vom Cloud-Vertrag umfasste Leistungen zu berücksichtigen, was dazu führt, dass zusätzlich zum 1 Pünder/Schellenberg/Alexander, § 3 VgV Rz. 2. 2 Eine Zusammenfassung der Rechtsschutzmöglichkeiten für den Bieter im Vergaberecht findet sich ab Rz. 32.
662
Erben
II. Vergaberecht
Rz. 32 Teil 8 C
48-fachen Monatswert der Leistungen, die im Rahmen des Dauerschuldverhältnisses erbracht werden, auch die geschätzte Gesamtvergütung für die oben dargestellten Einmalleistungen mit eingerechnet werden muss. Sollte der Auftraggeber für die Vergabe das Konstrukt eines Rahmenver- 30 trages mit zu erteilenden Einzelaufträgen wählen (zur Vertragsgestaltung im Allgemeinen siehe auch Teil 2 sowie in diesem Teil unten Rz. 109), hat die Vergabestelle zur Berechnung des Auftragswertes den zum Zeitpunkt der Eröffnung des Vergabeverfahrens geschätzten Höchstwert aller voraussichtlich erfolgenden Einzelabrufe zu Grunde zu legen1. Insgesamt sind öffentliche Auftraggeber durch das Beschaffungsamt des 31 Bundes hinsichtlich der Schätzung des Auftragswertes angewiesen, ihre im jeweiligen Bereich durch Bedarfsanalysen sowie aus ggf. durchgeführten Marktanalysen erlangten Kenntnisse einfließen zu lassen2. Da es jedoch im Rahmen von Cloud Computing im Bereich der Privatwirtschaft bereits eine Vielzahl von Geschäfts- und Preismodellen gibt (vgl. Teil 1), die Leistungsinanspruchnahme auf Basis dieser Grundlagen im PublicSector jedoch bislang noch nicht sehr weit verbreitet ist, wird das Durchführen von Bedarfs- und Marktanalysen die einzelne Vergabestelle vor Herausforderungen stellen. Denn wie eingangs bereits kurz ausgeführt besteht ein wesentliches Spezifikum des Cloud Computing in der Skalierbarkeit der eingekauften Services. Somit wird dem öffentlichen Auftraggeber hier nichts anderes übrig bleiben, als einen Mittelwert zu schätzen. Dabei sind dann ggf. die landes-, kommunal- bzw. behördenspezifischen Besonderheiten zu berücksichtigen wie z.B. dem öffentlichen Auftraggeber bekannte, voraussichtlich anstehende Gesetzesänderungen im für die Cloud-Applikation relevanten Bereich (die dann im Rahmen eines Change-Requests durch den Cloud-Anbieter umgesetzt werden sollen), bereits mit schon vorhandenen Tools gemachte Erfahrungen hinsichtlich der Spitzenlast bezogen auf den jeweils relevanten Geschäftsprozess (z.B. interne Bezügeabrechnung, Einkaufsmanagement, etc.) oder aber sonstige (behördeninterne) Besonderheiten. Denkbar ist insbesondere, dass die Vergabestellen Schätzungen abgeben auf Grundlage der bisherigen Kosten, erwarteter Veränderungen und der durch die Cloud erhofften Einsparungen. Dies funktioniert allerdings nur bei der Ablösung existierender Ressourcen durch Ressourcen aus der Cloud. 3. Rechtsschutz im Vergaberecht Bei europaweiten Ausschreibungen existieren für die Bieter durchaus ef- 32 fektive Rechtsschutzmöglichkeiten. Primärrechtsschutz kann im Nachprüfungsverfahren (§§ 107 ff. GWB), einem gerichtsähnlichen Verfahren, erlangt werden. Dieses Verfahren findet erstinstanzlich vor den Vergabe1 Zu in Zusammenhang mit der Laufzeit von (Rahmen-)Verträgen bestehenden vergaberechtlichen Vorschriften vgl. unten Rz. 134. 2 Vgl. auch UfAB, S. 23. Erben
663
Teil 8 C
Rz. 33
ffentliche Verwaltung
kammern statt1. Ein entsprechender Antrag ist möglich, solange noch kein (wirksamer) Zuschlag auf eines der Angebote erfolgt ist. Alleine die vergaberechtswidrige Zuschlagserteilung (z.B. Formfehler) bedingt noch keine Unwirksamkeit. Unwirksam sind jedoch Zuschläge, die im Rahmen sog. De-facto-Vergaben2. Gegen solche Verfahren können Mitbewerber gem. § 101b Abs. 1 und 2 GWB im Rahmen eines Nachprüfungsverfahrens – längstens jedoch bis sechs Monate nach Zuschlagserteilung – vorgehen. 33
Für die Antragsbefugnis ist nötig, dass der Antragsteller Interesse an der Auftragserteilung hat, eine Verletzung seiner Rechte im Vergabeverfahren durch Nichtbeachtung der Vergabevorschriften geltend macht und darlegt, dass ihm durch die behauptete Verletzung ein Schaden entstanden ist oder zu entstehen droht (§ 107 Abs. 2 GWB).
34
Darüber hinaus gibt es als Zulässigkeitsvoraussetzung die Rügeobliegenheit des Bieters. Durch die Rüge soll der Vergabestelle die Möglichkeit gegeben werden, etwaige Verfahrensmängel/Vergaberechtsverstöße zu erkennen und durch Abhilfe der Rüge zu beseitigen. Gem. § 107 Abs. 3 Nr. 1 GWB ist die Rüge „unverzüglich“ nach Erkennen eines Vergaberechtsverstoßes einzulegen. Diesbezüglich gibt es derzeit noch keine einheitliche Spruchpraxis der Vergabekammern3. Demnach kann man einem Bieter, der sich nicht der Gefahr der Präklusion aussetzen will, nur anraten, innerhalb des kürzest möglichen Zeitraums zu rügen4.
35
Gegen die Entscheidung der Vergabekammer, die durch Verwaltungsakt5 erfolgt, kann beim jeweils zuständigen Oberlandesgericht als Rechtsmittelinstanz sofortige Beschwerde (§§ 116 ff. GWB) eingelegt werden. Dane1 Zuständig für Auftraggeber des Bundes sind die Vergabekammern beim Bundeskartellamt. Die Bundesländer haben jeweils eigene Vergabekammern eingerichtet. 2 Vgl. § 101b Abs. 1 Nr. 2 GWB, wonach ein Zuschlag unwirksam sein kann wenn die Vergabestelle einen öffentlichen Auftrag unmittelbar an ein Unternehmen erteilt, ohne andere Unternehmen am Vergabeverfahren zu beteiligen und ohne dass dies aufgrund Gesetzes gestattet ist. 3 Pünder/Schellenberg/Nowak, § 107 GWB Rz. 62. 4 Eine Rüge ist nur in Ausnahmefällen entbehrlich, z.B. bei der sog. De-facto-Vergabe (§ 107 Abs. 3 Satz 2 GWB). Ein Nachprüfungsantrag ist auch dann unzulässig, soweit mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind (§ 107 Abs. 3 Satz 1 Nr. 4 GWB), wenn Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis Ablauf der in der Bekanntmachung benannten Frist zur Angebotsabgabe oder zur Bewerbung gegenüber dem Auftraggeber gerügt werden (§ 107 Abs. 3 Satz 1 Nr. 2 GWB) oder wenn Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Angebotsabgabe oder zur Bewerbung gegenüber dem Auftraggeber gerügt werden (§ 107 Abs. 3 Satz 1 Nr. 3 GWB). 5 Dieser kann bspw. die Rückversetzung in eine bestimmte Phase des Verfahrens oder die Wiederholung der Wertung der Angebote beinhalten.
664
Erben
II. Vergaberecht
Rz. 41 Teil 8 C
ben ist eine formlose Anrufung von Aufsichtsbehörden oder Vergabeprüfstellen möglich. Von besonderer Bedeutung ist, dass die Beteiligten auf Antrag die Akten 36 bei der Vergabekammer einsehen können oder sich auf ihre Kosten Ausfertigungen, Auszüge oder Abschriften per Post übermitteln lassen können. Da die Vergabekammer dies nur aus wichtigen Gründen, insbesondere zum Schutz von Geschäftsgeheimnissen, versagen kann (§ 111 GWB), empfiehlt es sich als Bieter in seinem Angebot die Passagen, in denen sich Geschäftsgeheimnisse befinden, zu kennzeichnen. Will zum Beispiel ein Cloud Computing-Anbieter dafür sorgen, dass seine sich an der Ausschreibung beteiligten Wettbewerber nicht über die Akteneinsicht Zugang zu technischen Alleinstellungmerkmalen der Cloud-Lösung verschaffen, sind diese als Geschäftsgeheimnis zu kennzeichnen. Hinsichtlich des Sekundärrechtsschutzes (Schadensersatzansprüche ge- 37 gen die Vergabestelle oder Mitbewerber) sind die ordentliche Gerichte zuständig. In Nachprüfungsverfahren ergangene bestandskräftige Entscheidungen 38 der Vergabekammern und der Oberlandesgerichte sind für das zuständige ordentliche Gericht gem. § 124 Abs. 1 GWB bindend. Sollten die Rechtsschutzmöglichkeiten von einem Bieter missbräuchlich 39 eingesetzt werden, so besteht für diesen das Risiko von Schadensersatzforderungen des Verfahrensgegners und anderer Beteiligter1. Als nicht ganz so effektiv kann der Rechtsschutz bei nationalen Aus- 40 schreibungen erachtet werden. Denn anders als bei europaweiten Ausschreibungen gibt es keinen formellen (Sonder-)Rechtsschutz. Der Bieter hat nur die Möglichkeit, die jeweiligen Fach- oder Rechtsaufsichtsbehörden formlos anzurufen und auf diesem Wege die Einhaltung der Regelungen des ersten Teils der VOL/A durchzusetzen. Im Übrigen ist der Bieter auf den ordentlichen Rechtsweg angewiesen, wobei in diesem Falle von den Zivilgerichten keine Überprüfung der Einhaltung der vergaberechtlichen Grundsätze und Normen erfolgen kann. 4. In-House-Vergabe Auch im Bereich des Cloud Computing sind sog. In-House-Vergaben 41 denkbar, mit der Folge dass eine Anwendbarkeit des Kartellvergaberechts und damit der europarechtlichen Vergaberechtsvorschriften ausscheidet, 1 Missbräuchlich i.S.d. § 125 GWB ist insbesondere die Aussetzung oder die weitere Aussetzung des Vergabeverfahrens durch vorsätzlich oder grob fahrlässig vorgetragene falsche Angaben zu erwirken, die Überprüfung mit dem Ziel zu beantragen, das Vergabeverfahren zu behindern oder Konkurrenten zu schädigen oder einen Antrag in der Absicht zu stellen, ihn später gegen Geld oder andere Vorteile zurückzunehmen. Erben
665
Teil 8 C
Rz. 42
ffentliche Verwaltung
da bereits kein öffentlicher Auftrag i.S.d. GWB vorliegt. Denn ein solcher liegt nur vor, wenn der öffentliche Auftraggeber Verträge mit einem außenstehenden Dritten schließt1. 42
Wie bereits erwähnt, gibt es in der Bundesrepublik Deutschland bereits eine Vielzahl von öffentlich-rechtlich organisierten IT-Dienstleistern. Vergaben von Cloud Computing-Leistungen durch öffentliche Auftraggeber an derartige Unternehmen können ohne vorheriges Vergabeverfahren gem. §§ 97 ff. GWB durchgeführt werden, wenn der Auftraggeber über die Auftragnehmer eine Kontrolle ausüben kann, wie über eine eigene Dienststelle, und der Auftragnehmer nicht im Wettbewerb zu anderen (privaten) Auftragnehmern steht, seine Tätigkeit also im Wesentlichen für den oder die öffentlichen Auftraggeber verrichtet2. In diesem Zusammenhang darf neben dem öffentlichen Auftraggeber keinerlei Beteiligung privater Dritter am Unternehmen, an das der Auftrag vergeben werden soll, bestehen3.
43
Dabei steht der Annahme einer solchen vergaberechtsfreien In-HouseVergabe von Cloud Computing-Leistungen insbesondere nicht entgegen, dass an dem Unternehmen, an das der Auftrag vergeben werden soll, nicht lediglich derjenige öffentliche Auftraggeber beteiligt ist, der einen Auftrag vergeben will, sondern auch Beteiligungen anderer öffentlicher Auftraggeber bestehen4.
44
Allerdings stellt sich der Bereich Cloud Computing nicht unbedingt als prädestiniert für derartige Beschaffungspraktiken dar. So stellt sich für das Unternehmen, an das der „In-House-Auftrag“ vergeben werden soll, bspw. im Vorfeld einer solchen In-House-Vergabe die Herausforderung, dass das Unternehmen sich die an die jeweilige Behörde „weiterzureichenden“ Leistungen i.d.R. auch selbst erst beschaffen muss, da es den Großteil der Leistungen nicht aus eigener Hand erbringen können wird. Hinsichtlich bestimmter Leistungen, wie z.B. Rechenzentrumsbetrieb oder Help-Desk-Leistungen, mag ein Erbringen aus eigener Hand noch denkbar sein, spätestens im Hinblick auf (Standard-)Software und deren 1 Grabitz/Hilf/Hailbronner, Kap. B5 Rz. 56, sowie aus der deutschen Rechtsprechung: BGH v. 12.6.2001 – X ZB 10/01, BB 2001, 1815; OLG Düsseldorf v. 15.10.2003, NZBau 2004, 58; OLG Naumburg v. 8.1.2003, NZBau 2003, 224 (228). 2 So erstmals der EuGH v. 18.11.1999 – Rs. C-107/98. 3 Grundlegend EuGH v. 13.1.2005 – Rs. C-84/03 (Kommission ./. Spanien), Rz. 38 f. 4 Träger des unter Rz. 2 bereits erwähnten IT-Dienstleisters Dataport sind bspw. mehrere Kommunen und Länder mit der Folge, dass die jeweiligen Mitgliedsunternehmen bei Dataport die entsprechenden IT-Leistungen einkaufen können, ohne direkt den Regeln des Vergaberechts unterworfen zu sein; ein entsprechendes Vertragsverletzungsverfahren, das sich (u.a.) auf die Unrechtmäßigkeit eines zwischen der Stadt Hamburg und Dataport geschlossenen Vertrages bezog, wurde seitens der EU Kommission in 2009 eingestellt; vgl. auch Pressemitteilungen IP/09/1462 und IP/09/1465 v. 8.10.2009.
666
Erben
II. Vergaberecht
Rz. 46 Teil 8 C
Weiterentwicklung wird der In-House-Dienstleister jedoch i.d.R. auf Dritte angewiesen sein. Daher ist i.d.R. im Vorfeld der In-House-Vergabe durch die In-House-Dienstleister bzw. deren Träger ein Vergabeverfahren zu durchlaufen, in dem bspw. die (Standard-)Software, die sodann Inhalt des In-House-Cloud-Angebots sein soll, eingekauft wird. Je nachdem, welches Geschäftsmodell der In-House-Dienstleister verfolgt, können sich hieraus Herausforderungen für die Vertragsgestaltung (im Verhältnis In-House-Dienstleister – Auftragnehmer) ergeben. Zu denken wäre bspw. an den Fall, dass im Rahmen des späteren Cloud-Angebotes nicht nur zum Zeitpunkt der „Vor-Ausschreibung“ benannte öffentliche Auftraggeber Zugriff auf die Software bekommen sollen, sondern bspw. auch Interessenten, die erst später das Cloud Angebot des In-House-Dienstleisters wahrnehmen wollen. Sofern die Vergabestelle versucht, in der „Vor-Ausschreibung“ entspre- 45 chend weit gefasste (dauerhafte) Nutzungsrechte zu beschaffen – zu denken wäre z.B. an die Beschaffung eines dauerhaften Nutzungsrechtes, das die Berechtigung, einem sehr großen, zum Zeitpunkt der Vergabe ggf. noch gar nicht bekannten bzw. konkret benennbaren, Endkundenkreis die Nutzung der überlassenen Software im Rahmen von Cloud Computing zu ermöglichen, umfasst – kann dies durchaus rechtliche Fragen, insb. in Bezug auf den Wirtschaftlichkeitsgrundsatz, der sich aus dem jeweils anwendbaren Haushaltsrecht ergibt, nach sich ziehen1. Denn der öffentliche Auftraggeber hat mit den ihm zur Verfügung ste- 46 henden Mitteln sparsam umzugehen. Das Beschaffen weitreichender Nutzungsrechte, die sodann bis auf weiteres, also bis die einzelne Behörde beim In-House-Dienstleister Cloud-Services bestellt, ungenutzt bleiben, wirft haushaltsrechtliche aber auch vergaberechtliche Fragen auf. Insbesondere ist es zweifelhaft, ob der In-House-Dienstleister – um beim o.g. Beispiel zu bleiben – dauerhafte, sehr weit gehende Nutzungsrechte benötigt um seinerseits den öffentlichen Auftraggebern die Cloud-Services anzubieten, oder ob eine Beschaffung, die auf den konkreten Bedarf (z.B. befristete Nutzungsrechte für einen zum Zeitpunkt der Ausschreibung definierten Nutzerkreis) zugeschnitten ist, letztendlich nicht mit weniger finanziellem Aufwand (für den Steuerzahler) zum gleichen Ergebnis führen kann. Die Vergabestelle sollte bereits im Rahmen ihrer Wirtschaftlichkeitsbetrachtung, die im Vorfeld jeder Vergabe anzustrengen ist2, derartige Fragestellungen betrachten. Denn wie gezeigt kann die Entscheidung durchaus Auswirkungen auf die spätere Gestaltung der 1 Bereits auf Grund der Bundeshaushaltsordnung (BHO) und den Landeshaushaltsordnungen (LHO) sind der Bund, die Länder und die Kommunen zur sparsamen Mittelverwendung und demnach zur wirtschaftlichen Beschaffung verpflichtet; vgl. z.B. Bundesebene: § 7 BHO bzw. die diesbezüglichen Verwaltungsvorschriften. 2 Vgl. insgesamt: Kapitel 2.1 der Unterlage für Ausschreibung und Bewertung von IT-Leistungen Version 2.0 des Bundesministeriums des Inneren (UfAB V), im Folgenden kurz „UfAB“. Erben
667
Teil 8 C
Rz. 47
ffentliche Verwaltung
Verdingungsunterlagen, insb. der Vertragsunterlagen haben, wenn es um die Frage geht, welche konkrete Art von Nutzungsrechten für das jeweils gewählte Cloud-Geschäftsmodell nötig ist. 47
Darüber hinaus können sich auch vergaberechtliche Fragen ergeben, wenn eine derart weite Ausgestaltung des Nutzungsrechtes gefordert wird, dass es den Bietern nicht möglich ist, den Gegenwert für das Nutzungsrecht kaufmännisch nachvollziehbar zu einzupreisen. Beim genannten Beispiel, in dem der öffentliche Auftraggeber vom Bieter ein einmalig zu bezahlendes, dauerhaftes Nutzungsrecht fordert, sich selbst jedoch die weitere Kommerzialisierung der überlassenen Software durch „Unterlizenzierung“ an einen nicht konkret benannten Kreis von (öffentlichen) Cloud-Service-Kunden vorbehält, dürfte es den Bietern sehr schwer fallen, eine Bepreisung vorzunehmen. Denn die potentiellen Auswirkungen auf das Direktgeschäft, das mit den (öffentlichen) Cloud-Service-Kunden für den Fall möglich wäre, dass diese im eigenen Namen beschaffen würden, wären mangels Eingrenzung dieser potentiellen (öffentlichen) Cloud-Service-Kunden für die Bieter nicht wirklich zu beurteilen. Die Frage, ob bzw. ab wann die Grenze zu einem vom Bieter ggf. zu rügenden sog. ungewöhnlichen Wagnisses1 überschritten ist, sollte vom öffentlichen Auftraggeber in jedem Einzelfall geprüft werden.
48
Denn anders als bei einem Verstoß gegen Haushaltsrecht als reines Binnenrecht der Verwaltung wäre die Folge eines ungewöhnlichen Wagnisses, dass der einzelne Bieter die Möglichkeit einer Rüge bei der Vergabestelle und – sollte dieser durch Änderung der Vertragsbedingungen nicht abgeholfen werden – die Möglichkeit eines Nachprüfungsantrages bei der zuständigen Vergabekammer hätte2.
1 Pünder/Schellenberg/Schellenberg, § 7 EG VOB Rz. 42: Ein ungewöhnliches Wagnis wird in der Entscheidungspraxis so definiert, dass das entsprechende Risiko nach Art der Vertragsgestaltung und nach dem geplanten Ablauf nicht zu erwarten sei. Das Ungewöhnliche könne sowohl in technischen (Art der Leistung) als auch in wirtschaftlichen Leistungselementen (Art der Vertragsgestaltung) liegen. Entsprechend werde ein ungewöhnliches Wagnis dann übertragen, wenn dem Auftragnehmer Risiken aufgebürdet werden, die er nach der in dem jeweiligen Vertragstyp üblicherweise geltenden Risikoverteilung an sich nicht zu tragen hat, die also nicht geschäftsimmanent sind. Allerdings soll ein ungewöhnliches Wagnis nicht bereits dann vorliegen, wenn die öffentliche Hand branchenuntypische Risikoverteilungen fordert. Die Branchenüblichkeit sei allenfalls ein Indiz. Der Gesetzgeber billige dem öffentlichen Auftraggeber Abweichungen von Branchenusancen zu, wie sich zB aus dem Gebot ergebe, Angebote mit abweichenden AGB auszuschließen. Ein ungewöhnliches Wagnis liege auch dann vor, wenn die Auftraggeberin die Leistungsbeschreibung unvollständig lässt und damit den Bietern ein unkalkulierbares Risiko für die Mengenangabe aufbürdet. 2 Seit der Neufassung der VOL/A in 2009 existiert hinsichtlich der Frage, ob es den Tatbestand des ungewöhnlichen Wagnisses seit der Vergaberechtsreform noch gibt, Meinungsstreit. Um jedoch potentielle Risiken (z.B. Verzögerungen des Vergabeverfahrens auf Grund von Nachprüfungsverfahren) zu minimieren,
668
Erben
II. Vergaberecht
Rz. 53 Teil 8 C
Festzuhalten bleibt darüber hinaus, dass bereits im Vorfeld einer Vergabe 49 sowie bei der Ausgestaltung der Vertragsbedingungen der Wirtschaftlichkeitsgrundsatz berücksichtigt werden muss1. Insoweit wird von der Vergabestelle das bestmögliche Ergebnis mit einem bestimmten Mitteleinsatz erwartet, so dass man beim o.g. Beispiel argumentieren könnte, die möglichst weitreichende Möglichkeit, Software im Rahmen von Cloud Computing Dritten zur Verfügung zu stellen, sei das bestmögliche Ergebnis. Da jedoch dem Grundsatz der Wirtschaftlichkeit auch das sog. Ergiebigkeitsprinzip innewohnt, welches das Erreichen eines bestimmten Ergebnisses mit möglichst geringem Mitteleinsatz erwartet, stellt sich die Frage, ob das gewollte „bestimmte Ergebnis“ (eine noch nicht bestimmbare Anzahl von Behörden soll die Möglichkeit der Nutzung von Cloud-Services haben) am günstigsten im Rahmen eines möglichst weit definierten dauerhaften Nutzungsrechtes zu erreichen ist, oder ob nicht andere Modelle vorzugswürdig sind, wie z.B. die Abrechnung zu einem vereinbarten Satz pro Abnehmer. 5. Einkaufsgemeinschaften Ähnliche Fragestellungen können sich im Rahmen von – auch im Be- 50 reich des Cloud Computings grundsätzlich denkbaren – Beschaffungen durch öffentlich-rechtliche Einkaufsgemeinschaften ergeben. Nicht zuletzt vor dem Hintergrund des o.g. haushaltsrechtlichen Wirt- 51 schaftlichkeitsgrundsatzes existiert bereits eine Vielzahl von öffentlichen Einkaufsgemeinschaften auf Bundes-, Landes- und Kommunalebene, da sich die öffentliche Hand durch derartige Konstrukte massives Einsparpotential erhofft2. Vergaberechtlich scheinen im Zusammenhang mit Einkaufsgemein- 52 schaften der öffentlichen Hand auf den ersten Blick keine Besonderheiten zu bestehen. Es gelten nämlich sämtliche Regelungen, die für den einzelnen öffentlichen Auftraggeber auch im Falle einer Einzelbeschaffung gelten würden. Faktisch können sich jedoch gerade im Cloud Computing-Bereich durchaus vergaberechtliche Herausforderungen für die Einkaufsgemeinschaft, aber auch Probleme für den Bieter ergeben. Insbesondere entsteht eine erhöhte Komplexität hinsichtlich der durch 53 den Beschaffer zu erstellenden Leistungsbeschreibung (vgl. Rz. 67 ff. in ist den Vergabestellen bis zur endgültigen Klärung dieser Rechtsfrage zu raten, die Verdingungsunterlagen „wagnisfest“ zu erstellen. 1 Gem. § 7 BHO und den entsprechenden Landes- und Kommunalvorschriften bzw. deren Ausführungsbestimmungen ist der Grundsatz der Wirtschaftlichkeit bei jedwedem Verwaltungshandeln zu beachten. 2 So z.B. auf Bundesebene das „Kaufhaus des Bundes“ (http://www.kdb.bund.de, zuletzt besucht am 1.12.2012) innerhalb dessen es den Bundesbehörden möglich ist, über vom Beschaffungsamt des Bundes im Rahmen von öffentlichen Ausschreibungen abgeschlossene Rahmenverträge IT-Leistungen zu bestellen. Erben
669
Teil 8 C
Rz. 54
ffentliche Verwaltung
diesem Teil, sowie allgemein zur Leistungsbeschreibung Teil 1) auf Grund einer Vielzahl von potentiellen Cloud-Service-Abnehmern und/ oder Cloud-Service-Nutzern sowie in Bezug auf die sonstige vertragliche Ausgestaltung. Insoweit kann auf die Ausführungen zum Wirtschaftlichkeitsgrundsatz (Rz. 46 ff.) verwiesen werden. 6. VOL/A: Vergaberechtliche Fragen bei Cloud Computing a) Anwendungsbereich 54
Grundsätzlich gilt die VOL/A für alle Vergabeverfahren. Für die Vergabe von öffentlichen Aufträgen im Sektorenbereich (Trinkwasser- oder Energieversorgung, Verkehr) existieren allerdings bestimmte Sonderbestimmungen1. Die SektVO gilt einheitlich für alle Sektorenauftraggeber (z.B. Energie-/Wasserversorger) und für sonstige öffentliche Auftraggeber, die Bau-, Liefer- und Dienstleistungsaufträge im Sektorenbereich vergeben.
55
Aufbau und Struktur sind ähnlich gestaltet wie in der VOL/A, es gibt jedoch einige wesentliche Unterschiede, insbesondere die Wahlfreiheit zwischen den einzelnen Verfahrensarten (§ 6 Abs. 1 SektVO und § 7 Abs. 2 Satz 2 GWB) und eine erleichterte Ausstiegsmöglichkeit für den öffentlichen Auftraggeber (vgl. § 30 SektVO).
56
Insgesamt sind die Verfahrensregeln flexibler gestaltet, als in der VOL/A. Hierin werden im Folgenden, da Vergaben von Cloud-Leistungen durch Sektorenauftraggeber – zu denken wäre hier beispielsweise an ein Stromabrechnungssystem, das in der Cloud betrieben wird – zwar denkbar sind, jedoch nicht den Großteil etwaiger Beschaffungsvorhaben der öffentlichen Hand darstellen dürften, ausschließlich die Regelungen der VOL/A behandelt. b) Grundsatz der losweisen Vergabe
57
Aus § 97 Abs. 3 GWB ergibt sich der Grundsatz der losweisen Vergabe: „Mittelständische Interessen sind bei der Vergabe öffentlicher Aufträge vornehmlich zu berücksichtigen. Leistungen sind in der Menge aufgeteilt (Teillose) und getrennt nach Art oder Fachgebiet (Fachlose) zu vergeben. Mehrere Teil- oder Fachlose dürfen zusammen vergeben werden, wenn wirtschaftliche oder technische Gründe dies erfordern. Wird ein Unternehmen, das nicht öffentlicher Auftraggeber ist, mit der Wahrnehmung oder Durchführung einer öffentlichen Aufgabe betraut, verpflichtet der Auftraggeber das Unternehmen, sofern es Unteraufträge an Dritte vergibt, nach den Sätzen 1 bis 3 zu verfahren“2. 1 Diese waren bis 2009 in der Vergabeverordnung (VgV) geregelt, die wiederum auf bestimmte Regelungen der VOL/A, sowie der Vergabe- und Vertragsordnung für Bauleistungen Teil A (VOB/A) verwies. Mittlerweile existieren mit der SektVO einheitliche Regelungen. 2 Anders als im „alten“ Vergaberecht, ist seit der Vergaberechtsreform in 2009 die Losbildung als Rechtspflicht für den öffentlichen Auftraggeber ins Gesetz aufgenommen worden, vgl. auch UfAB, S. 66:
670
Erben
II. Vergaberecht
Rz. 59 Teil 8 C
Auch wenn es auf den ersten Blick als fraglich erscheint, ob und wie eine 58 Beschaffung von Cloud-Services in getrennten Losen erfolgen kann, werden sich die Vergabestellen auch in diesem Bereich mit der Frage, insbesondere wann eine Gesamtvergabe mit Blick auf § 97 Abs. 3 Satz 3 GWB vertretbar ist, beschäftigen müssen1, gerade weil Cloud Computing-Leistungen häufig verschiedene Leistungselemente integrieren. So beinhaltet z.B. eine SaaS-Lösung, im Rahmen derer der Kunde eine Software über eine Internetverbindung nutzt, die folgenden Leistungen: Softwarelizenz, Softwarewartung, Betrieb, Datenübertragung und möglicherweise weitere Elemente (wie z.B. Bereitstellung von Schnittstellen oder Schulungsleistungen). Es liegt allerdings gerade in der Natur eines SaaSDienstes, all diese Elemente in einer Leistung kostengünstig zu integrieren. Von daher dürfte eine Gesamtvergabe oft die einzige Alternative sein. Allerdings ist eine Aufteilung in Lose z.B. möglich, wenn eine Software sowohl gemietet (und selbst betrieben), als auch als SaaS-Lösung bezogen werden kann. Denn in diesem Fall könnte ein IaaS-Los und ein Los über die Softwaremiete ausgeschrieben werden. In diesem Zusammenhang sei auch auf die Ausführungen zu einem Multi-Sourcing-Ansatz im Kapitel Vertragsgestaltung (vgl. Teil 2) verwiesen; dabei bezieht der Kunde verschiedene Leistungselemente von verschiedenen Anbietern, unter anderem etwa um den Wettbewerb auch nach Vergabe aufrecht zu erhalten und um im Störfall Ausweichmöglichkeiten zu haben. Zwar überschneiden sich beim Multisourcing häufig die funktionalen Leistungselemente nicht, jeder Anbieter erbringt also eine andersgeartete Leistung, aber durch die schon vorhandene Leistungsbeziehung ist eine Ausweitung bzw. Reduzierung des funktionalen Leistungsumfanges einfacher. Für die losweise Vergabe bedeutet dies, dass auch zu prüfen ist, in welche funktionalen Bestandteile die Leistung unterteilt werden kann. c) Wahl der Vergabeart Nach der VOL/A und der EG VOL/A stehen zusammengefasst die folgen- 59 den Verfahrensarten zur Verfügung:
„Aus einer wirtschaftspolitischen Zielsetzung heraus soll kleinen und mittleren Unternehmen (KMU) die Chance gegeben werden, sich am Wettbewerb um öffentliche Aufträge zu beteiligen. Dem soll […] vorzugsweise durch eine Losbildung bei der Vergabe Rechnung getragen werden. Neben so genannten Fachlosen, bei denen Leistungen nach dem Leistungsgegenstand und/oder der Marktsituation voneinander abgegrenzt werden, gibt es auch Mengenlose, bei welchen größere Beschaffungsvolumen in Teilmengen auf verschiedene Lose verteilt werden. Die Frage der Notwendigkeit einer Mengenlosbildung ist auch bei gebündelten Beschaffungen oder Rahmenvereinbarungen zu berücksichtigen. […]. Die Gesamtzielsetzung des Vergaberechts, nach der eine an Wirtschaftlichkeitsgesichtspunkten orientierte Beschaffung erreicht werden soll, sowie die haushaltsrechtlichen Grundsätze der Wirtschaftlichkeit und Sparsamkeit sind zu beachten.“ 1 UfAB, S. 66. Erben
671
Teil 8 C
Rz. 60
ffentliche Verwaltung
berblick ber die einschlgigen Verfahrensarten: National (Basis-Paragraphen der VOL/A)
Europaweit (EG VOL/A)1
ffentliche Ausschreibung
Offenes Verfahren
Beschrnkte Ausschreibung nach çffentlichem Teilnahmewettbewerb
Nichtoffenes Verfahren nach çffentlichem Teilnahmewettbewerb
Beschrnkte Ausschreibung Freihndige Vergabe
Verhandlungsverfahren – Nach çffentlicher Bekanntmachung – Ohne çffentliche Bekanntmachung
Wettbewerb
Wettbewerb (mangels Relevanz hier nicht behandelt) Auktion (mangels Relevanz hier nicht behandelt) Dynamisches Beschaffungssystem (mangels Relevanz hier nicht behandelt) Wettbewerblicher Dialog
60
Wie bereits oben festgestellt handelt es sich bei Cloud Computing-Leistungen um Liefer- bzw. Dienstleistungen i.S.v. § 99 Abs. 2 bzw. 4 GWB, so dass bei Erreichen des Schwellenwertes diese Vorschriften gem. § 1 EG Abs. 1 Satz 1 VOL/A einschlägig sind.
61
Im Folgenden werden in diesem Kapitel bei der Darstellung der relevanten Normen ausschließlich die für den Oberschwellenbereich geltenden Regelungen der VOL/A-EG genannt. aa) Offenes Verfahren, § 3 EG Abs. 1 Satz 1 VOL/A, § 101 Abs. 2 GWB
62
Hinsichtlich der Wahl des korrekten Vergabeverfahrens gilt auch bei Cloud Computing-Leistungen der Grundsatz der Hierarchie der Vergabearten, vgl. § 101 Abs. 7 GWB („Öffentliche Auftraggeber haben das offene Verfahren anzuwenden, es sei denn, auf Grund dieses Gesetzes ist etwas anderes gestattet …“) sowie § 3 EG Abs. 1 Satz 1 VOL/A („Die Vergabe von Aufträgen erfolgt im offenen Verfahren …“).
63
Unter einem offenen Verfahren ist gem. § 101 Abs. 2 GWB Folgendes zu verstehen:
1 Die VOL/A 2009 ist in zwei Abschnitte aufgeteilt. Abschnitt 1 beinhaltet die Bedingungen für nationale Ausschreibungen; die Normen werden mit „§ X VOL/A“ zitiert. Abschnitt 2 beinhaltet die Bedingungen für europaweite Ausschreibungen; die Normen werden mit „§ X EG – VOL/A“ zitiert.
672
Erben
II. Vergaberecht
Rz. 66 Teil 8 C
„Offene Verfahren sind Verfahren, in denen eine unbeschränkte Anzahl von Unternehmen öffentlich zur Abgabe von Angeboten aufgefordert wird.“
Es handelt sich hierbei um ein einphasiges Verfahren, d.h. jeder Bieter 64 hat die Möglichkeit, auf die vom öffentlichen Auftraggeber veröffentlichten Vergabeunterlagen, darunter auch die für alle Bieter einheitlich geltende Leistungsbeschreibung, ein Angebot abzugeben, welches sodann durch die Vergabestelle mit den Angeboten der übrigen Bieter verglichen wird. Seitens der Vergabestelle erfolgt am Ende der Zuschlag auf das wirtschaftlichste Angebot. Der Bieter hat grundsätzlich keine Möglichkeit von den Bedingungen, 65 die der öffentliche Auftraggeber festgelegt hat, abzuweichen1, was i.d.R. nicht (vollumfänglich) akzeptabel sein dürfte. Denn die Praxis zeigt, dass selbst bei gut vorbereiteten Ausschreibungen i.d.R. Änderungen der Leistungsinhalte nötig sind, um den Cloud-Service-Anbieter in die Lage zu versetzen, einen für ihn akzeptablen und erfüllbaren Cloud-Vertrag abzuschließen. Sollten Cloud-Services im Rahmen eines offenen Verfahrens beschafft werden, so ist also jeglicher Kontakt zwischen Vergabestelle und Bieter, der darauf abzielt, den in der Praxis von der Vergabestelle mitunter noch gar nicht abschließend beschreibbaren Leistungsgegenstand näher zu spezifizieren bzw. weiterzuentwickeln, vergaberechtlich nicht statthaft. Das Hauptproblem des offenen Verfahrens liegt mithin darin, dass Änderungen an den einmal von der Vergabestelle veröffentlichten Vertragsunterlagen zwar in der Regel nötig, vergaberechtlich jedoch unzulässig sind. Unter den unveränderbaren „Vertragsunterlagen“ i.S.d. § 16 EG Abs. 4 Satz 1 VOL/A sind gem. § 9 EG Abs. 1 Buchst. c VOL/A „… Leistungsbeschreibung und Vertragsbedingungen …“ zu verstehen. Dabei sind Angebote, die Änderungen an den Vertragsunterlagen beinhalten gem. § 19 EG Abs. 3 Buchst. d VOL/A zwingend auszuschließen. Der Begriff der Änderung ist weit auszulegen und kann bspw. nicht nur 66 in einer Einschränkung des Umfangs der von der Vergabestelle geforderten Leistungsbeschreibung, sondern gerade auch in einer Erweiterung (z.B. Aufnahme von zusätzlichen, ggf. vom Bieter standardmäßig mitgelieferten Services) oder anderweitigen Änderungen, die am Ende ggf. sogar dasselbe Ergebnis herbeiführen2, wie vom öffentlichen Auftraggeber gewollt, bestehen. Auch wenn § 16 EG Abs. 4 Satz 1 VOL/A nicht ausdrücklich von „Ergänzungen“ spricht, sind sämtliche Korrekturen und/oder Ergänzungen am Angebotsinhalt als Änderungen i.S.d. § 19 EG
1 Vgl. auch § 16 EG Abs. 4 Satz 1 VOL/A. 2 Zu denken wäre hier bspw. die Bezugnahme auf seitens global aufgestellter Unternehmen standardmäßig verwendeter Produkt-/Service-Beschreibungen, die (wenn auch nicht vom Wortlaut, so doch zumindest inhaltlich im Wesentlichen) der Leistungsbeschreibung des öffentlichen Auftraggebers entsprechen; in jedem Fall ist dem jeweiligen Bieter hier zu raten, das Ausschlussrisiko über entsprechende Bieterfragen zu verringern. Erben
673
Teil 8 C
Rz. 67
ffentliche Verwaltung
Abs. 4 Buchst. d VOL/A zu sehen1. Gerade im Cloud-Bereich, in dem der allergrößte Teil der Services aus standardisierten Leistungen besteht, stellt das Anpassen der jeweiligen Standardbedingungen des jeweiligen Bieters exakt an die von der Vergabestelle vorgegebene Leistungsbeschreibung für viele Bieter eine sehr große, teilweise nicht überwindbare Herausforderung dar. Denn anders als bei Regelungen, die rechtliche und/oder wirtschaftliche Relevanz haben und bzgl. derer man als Bieter noch gewisse einpreisbare Kompromisse eingehen kann, verbietet sich bei der Leistungsbeschreibung jeder Kompromiss. Zu einer Leistung, die ein Cloud-Service-Anbieter nicht in seinem Repertoire hat, sollte er sich keinesfalls verpflichten, da jede Abweichung von der Leistungsbeschreibung eine Nicht- oder Schlechtleistung und damit bei positivem Wissen insbesondere zu einer – nicht wirksam beschränkbaren – Vorsatzhaftung führen kann. Insoweit ist jedem Bieter dringend zu empfehlen, besonderes Augenmerk auf die Prüfung der Leistungsbeschreibung zu werfen und keinesfalls, wie in der Praxis mitunter vorkommend, etwaige Regelungen ins Blaue hinein zu akzeptieren, sozusagen im Vertrauen auf eine einvernehmliche Lösung zwischen den Parteien, sollte es nach Abschluss des Vertrages zu Unstimmigkeiten hinsichtlich des Leistungsinhalts kommen. 67
Die Probleme hinsichtlich der Leistungsbeschreibung ergeben sich in erster Linie daraus, dass der öffentliche Auftraggeber die zu beschaffenden Leistungen bereits zum Zeitpunkt der Veröffentlichung der Vergabeunterlagen eindeutig und erschöpfend zu beschreiben hat, vgl. § 8 EG Abs. 1 VOL/A: „Die Leistung ist eindeutig und erschöpfend zu beschreiben, so dass alle Bewerber die Beschreibung im gleichen Sinne verstehen müssen und dass miteinander vergleichbare Angebote zu erwarten sind (Leistungsbeschreibung)“.
68
Diese Anforderung entspringt den im europäischen Vergaberecht geltenden Grundsätzen des Wettbewerbs, der Gleichheit und der Transparenz. Zielsetzung dabei ist in erster Linie, dass die Angebote sämtlicher Bieter für den öffentlichen Auftraggeber vergleichbar und bewertbar sind, mithin also Wettbewerb entsteht. Voraussetzung für einen ebensolchen Wettbewerb ist gerade, dass die Leistungsbeschreibung es allen fachkundigen Bietern (Gleichheitsgrundsatz) ermöglicht zu erkennen, was genau geliefert werden soll (Transparenzgrundsatz)2.
69
In diesem Zusammenhang ergibt sich ein dem Vergaberecht seit jeher immanentes Problem. Dieses besteht darin, dass der öffentliche Auftraggeber, wie oben bereits erwähnt, bei der Beschaffung von Leistungen grundsätzlich das offene Verfahren anwenden muss und demnach gem. § 8 EG Abs. 1 VOL/A eigenständig die zu beschaffenden Leistungen eindeutig und vor allem erschöpfend beschreiben muss. In der Regel hält je1 Müller-Wrede/Reichling, § 15 EG VOL/A, Rz. 88. 2 Müller-Wrede/Traupel, § 8 EG Abs. 1 VOL/A, Rz. 4.
674
Erben
II. Vergaberecht
Rz. 72 Teil 8 C
der Cloud-Services Anbieter, da Cloud-Services bereits per definitionem1 standardisierte Leistungen voraussetzen, seinen eigenen Standard vor. Es liegt dabei in der Natur der Sache, dass es dem Beschaffer schlicht nicht möglich sein dürfte, eine Leistungsbeschreibung zu erstellen, die sich mit den jeweiligen Standard-Service-Beschreibungen der jeweiligen Hersteller deckt. Sollte sich eine Vergabestelle für den auf den ersten Blick sehr einfach erscheinenden Ansatz entscheiden, die Leistungsbeschreibung eines bestimmten Cloud-Anbieters zu übernehmen, so ist dies insbesondere vor dem Hintergrund des Grundsatzes der produktneutralen Ausschreibung und auf Grund des vergaberechtlichen Gleichbehandlungsgrundsatzes nicht zulässig. Somit besteht im Gegensatz zu Vertragsverhandlungen außerhalb des Public Sectors, bei denen das anbietende Unternehmen selbst in die Lage versetzt ist, seine vertriebenen Standardprodukte innerhalb eines Angebots zu beschreiben, bei Beschaffungen im öffentlichen Bereich die Problematik, dass in nahezu allen Fällen Unterschiede bzw. Lücken zwischen der vom öffentlichen Auftraggeber geforderten Leistungsbeschreibung und dem vom jeweiligen Bieter am Markt angebotenen (Standard-)Produkt bestehen werden. Die Herausforderungen bei Vertragsverhandlungen dürften mannigfaltig sein. Denn i.d.R. existieren für den Cloud-Service-Anbieter eine Vielzahl von in seinem Geschäftsmodell begründete Grundsätze, die nicht in jedem Fall mit der Interessenslage beim Cloud-Service-Kunden, also dem Beschaffer, einhergehen. Außerhalb des Anwendungsbereichs des Vergaberechts sind derartige 70 Probleme im Rahmen der stattfindenden privatwirtschaftlichen Vertragsverhandlungen in der Regel zu bereinigen. Dies dürfte den meisten Syndici und Rechtsanwälten, die Unternehmen beraten, aus den klassischen RfI/RfP Situationen wohlbekannt sein. Ein derartiges Vorgehen ist jedoch – zumindest im offenen Verfahren – nicht möglich, da Verhandlungen jedweder Art qua Vergaberecht ausgeschlossen sind, vgl. § 18 EG Satz 2 VOL/A: „Im offenen […] Verfahren dürfen die Auftraggeber von den Bietern nur Aufklärungen über das Angebot oder deren Eignung verlangen. Verhandlungen sind unzulässig.“
Unter Verhandeln i.S.d. § 18 EG VOL/A ist alles zu verstehen, was in ir- 71 gendeiner Weise den Inhalt des Angebots/Vertrages ändern würde, womit auch nachträgliche Änderungen des Leistungsumfangs und/oder der Preise zu verstehen sind2. Dieses Problem ließe sich allenfalls teilweise mit der Schaffung eines Eu- 72 ropäischen Marktstandards lösen. Dies gilt weniger in Bezug auf – ggf.
1 Vgl. z.B. die Definition von Cloud Computing des National Institute of Standards and Technology (NIST), abrufbar unter: http://csrc.nist.gov/publications/ nistpubs/800-145/SP800-145.pdf. 2 Pünder/Schellenberg/Christiani, § 18 EG VOL/A Rz. 20. Erben
675
Teil 8 C
Rz. 73
ffentliche Verwaltung
verpflichtend anzuwendende – vertragliche Bedingungen1, sondern in Bezug auf eine Vereinheitlichung der Anforderungen an Datenschutz, Datensicherheit, Archivierung. Vor dem Hintergrund, dass trotz der Bemühungen der EU eine derartige Vereinheitlichung nicht absehbar ist, stellt sich im Bereich Cloud Computing das offene Verfahren, wenngleich es vergaberechtlich die zunächst einschlägige Verfahrensart ist, als in vielen Fällen nicht geeignet dar. Denn selbst wenn der öffentliche Auftraggeber im Rahmen der Bedarfsanalyse eine eingehende Marktanalyse betreibt und sich mit den für den entsprechenden Bedarf marktüblichen Bedingungen beschäftigt, erscheint es als nahezu unmöglich im Rahmen der durch den öffentlichen Auftraggeber zu erstellenden Verdingungsunterlagen (Leistungsbeschreibung, Vertragskonstrukt etc.) Regelungen zu finden, die für sämtliche in Betracht kommende Cloud-Service-Anbieter ohne weitere Verhandlung akzeptabel sind. Sicherlich steht es sodann jedem Unternehmen frei, nicht an einem derartigen Vergabeverfahren teilzunehmen. Letztendlich führt dies jedoch zu einer Verringerung des Wettbewerbs, einem wesentlichen Ziel, das sich auch der europäische Vergabegesetzgeber auf die Fahnen geschrieben hat. 73
Dem jeweiligen öffentlichen Auftraggeber kann bei der Durchführung von Ausschreibungen auf dem Gebiet des Cloud Computings nur geraten werden, eingehend zu prüfen, ob Alternativen zum offenen Verfahren gegeben sind. bb) Nicht offenes Verfahren, § 3 EG Abs. 2 VOL/A, § 101 Abs. 3 GWB
74
Inhaltlich unterscheidet sich das nicht offene Verfahren vom offenen Verfahren insbesondere dadurch, dass es zweistufig ausgestaltet ist. In der ersten Stufe kommt es zu einem öffentlichen Teilnahmewettbewerb, d.h. es können europaweit alle Unternehmen ihr Interesse bekunden und hierzu den von der Vergabestelle vorgesehenen Teilnahmeantrag einreichen. Dieser umfasst das Abfragen bestimmter Eignungskriterien einschließlich gewisser, vom öffentlichen Auftraggeber gesetzten Mindestbedingungen.
75
Grundsätzlich sind sodann alle i.S.d. Voraussetzungen des Teilnahmewettbewerbs geeigneten Unternehmen in die Angebotsphase einzubeziehen. Sofern die Vergabestelle jedoch gem. § 3 EG Abs. 5 VOL/A eine Höchstzahl an Unternehmen für die Angebotsphase festgelegt hat, erfolgt für den Fall, dass es eine diese Höchstzahl überschreitende Anzahl an geeigneten Unternehmen gibt, eine weitere Reduktion der zum Ange-
1 Die Kommission ging in ihrer Mitteilung „Freisetzung des Cloud Computing-Potenzials in Europa“ v. 27.9.2012 (abrufbar unter: http://eur-lex.europa. eu/LexUriServ/LexUriServ.do?uri=COM:2012:0529:FIN:DE:PDF) davon aus, dass fakultative „Musterbedingungen“ mit den „Interessenträgern“ für B2B-Bereich bis Ende 2013 abgestimmt sein würden.
676
Erben
II. Vergaberecht
Rz. 80 Teil 8 C
botswettbewerb zugelassenen Unternehmen anhand von „objektiven und nicht diskriminierenden Kriterien“1. Zuletzt fordert dann die Vergabestelle die verbleibenden Unternehmen 76 auf, ein Angebot zu unterbreiten. Dabei darf eine Anzahl von 5 Unternehmen nicht unterschritten werden, vgl. § 3 EG Abs. 5 Satz 2 VOL/A. Um zur Anwendbarkeit des nicht offenen Verfahrens zu kommen, muss 77 eine der Voraussetzungen des § 3 Abs. 2 EG VOL/A vorliegen. Aufgrund der oben dargestellten Hierarchie der Vergabearten und des damit einhergehenden Vorrangs des offenen Verfahrens sind die in der VOL/A-EG geregelten Ausnahmetatbestände vom öffentlichen Auftraggeber stets eng auszulegen2. Gerade in der IT-Industrie im Allgemeinen und im Cloud-Bereich im Be- 78 sonderen wird die der Tatbestand des § 3 EG Abs. 2 Buchst. a VOL/A, der voraussetzt, dass „… die Leistung nach ihrer Eigenart nur von einem beschränkten Kreis von Unternehmen in geeigneter Weise ausgeführt werden kann, besonders wenn außergewöhnliche Eignung (§ 2 EG Abs. 1 Satz 1) erforderlich ist …“, im Regelfall gegeben sein. Bei der Prüfung der Ausnahmetatbestände des § 3 EG Abs. 2 VOL/A ist 79 eine restriktive Auslegung angezeigt. Ein nicht offenes Verfahren ist im Übrigen insbesondere statthaft, wenn – Buchst. c: ein offenes Verfahren „… kein wirtschaftliches Ergebnis …“ gehabt hat oder – Buchst. d „… aus anderen Gründen unzweckmäßig …“ ist. Aufgrund des Auffangtatbestands-Charakters der Unzweckmäßigkeit aus 80 anderen Gründen gem. § 3 EG Abs. 2 Buchst. d VOL/A und der Tatsache, dass es sich beim Terminus der „Unzweckmäßigkeit“ um einen unbestimmten Rechtsbegriff handelt, ist das Erfordernis der engen Auslegung dieser Ausnahmevorschrift umso bedeutender. Sollte beispielsweise ein gesteigertes Geheimhaltungsinteresse des öffentlichen Auftraggebers hinsichtlich der Leistungsbeschreibung bestehen, bspw. weil aus politischen Gründen, die Allgemeinheit vom geplanten Cloud-Vorhaben keine Kenntnis erlangen soll, so kann die Vergabestelle den Weg über das nicht offene Verfahren wählen. Denn nur so lässt sich der Bewerberkreis eingrenzen und die Vergabestelle hat die Möglichkeit mit jedem der Bieter vor Übermittlung eine detaillierte Geheimhaltungsvereinbarung abzuschließen3.
1 Müller-Wrede/Kaelble, § 3 EG VOL/A, Rz. 197 ff. 2 Vgl. auch UfAB, S. 188 und S. 199. 3 Müller-Wrede/Kaelble, § 3 EG VOL/A, Rz. 47. Erben
677
Teil 8 C
Rz. 81
ffentliche Verwaltung
cc) Verhandlungsverfahren, § 3 EG Abs. 3, 4 VOL/A, § 101 Abs. 5 GWB (1) Allgemeines 81
Die VOL/A-EG unterscheidet zwischen dem Verhandlungsverfahren mit vorangegangenem Teilnahmewettbewerb (§ 3 EG Abs. 3 VOL/A) und dem Verhandlungsverfahren ohne Teilnahmewettbewerb (§ 3 EG Abs. 4 VOL/A).
82
Dadurch, dass im Verhandlungsverfahren mit Teilnahmewettbewerb ohnehin eine gewisse Transparenz gegeben ist, da die Aufforderung zur Teilnahme öffentlich bekannt zu machen ist, sind die Voraussetzungen weniger hoch, als diejenigen für ein Verhandlungsverfahren ohne Teilnahmewettbewerb. Dabei ist auch das Verhandlungsverfahren kein rechtsfreier Raum. Die allgemeinen vergaberechtlichen Grundsätze der Vergabe im Wettbewerb und Transparenz sowie das Diskriminierungsverbot gelten auch hier1. (2) Verhandlungsverfahren mit vorangegangenem Teilnahmewettbewerb
83
Der Verfahrensablauf ergibt sich aus den Regelungen der VOL/A-EG. Häufig anzutreffen sind in diesem Zusammenhang sog. strukturierte Verhandlungsverfahren, deren Verfahrensablauf sich mehrstufig gestaltet und häufig aus Teilnahmewettbewerb, sog. indikativen Angeboten, darauf folgenden Verhandlungsrunden sowie einem letztverbindlichen Angebot besteht. Im Rahmen dieser Verfahren wird der Kreis der Bieter anhand der festgelegten Zuschlagskriterien nach und nach verringert (§ 3 Abs. 6 EG VOL/A). In der Schlussphase muss auch im Verhandlungsverfahren „echter Wettbewerb“ gewährleistet sein (vgl. § 3 Abs. 6 EG VOL/A), d.h. danach darf auch im Verhandlungsverfahren über das letztverbindliche Angebot nicht mehr verhandelt werden, sondern es darf nur noch dem wirtschaftlichstem Angebot der Zuschlag erteilt werden.
84
Gem. § 3 EG Abs. 3 Buchst. a VOL/A kann ein Verhandlungsverfahren mit Teilnahmewettbewerb durchgeführt werden, wenn ein vorangegangenes offenes oder nicht offenes Verfahren oder ein wettbewerblicher Dialog nur Angebote hervorgebracht hat, die auszuschließen waren2.
85
Darüber hinaus dürfen die Bedingungen des Auftrags im Vergleich zu dem vorangegangenen Verfahren nicht grundlegend verändert werden, vgl. § 3 EG Abs. 3 Buchst. a VOL/A. In diesem Zusammenhang stellt sich in der Praxis häufig das Problem, dass gerade aufgrund von für die Bieter nicht akzeptablen Vertragsbedingungen kein wertbares Angebot abgegeben wurde. Im Cloud Bereich kommen als potentielle „Roadblocker“ für die Cloud-Service-Anbieter insbesondere unangemessene Regelungen in den folgenden Bereichen in Betracht: Aufbewahrung und Rück- bzw. 1 BGH v. 10.9.2009 – II ZR 255/08. 2 Die Gründe für einen Ausschluss sind in § 19 EG Abs. 3 VOL/A geregelt.
678
Erben
II. Vergaberecht
Rz. 87 Teil 8 C
Weiterübertragung der Daten nach Vertragsende, Datenschutz, Speicherort von Daten, Abgrenzung der Datenverantwortlichkeit zwischen Cloud-Service-Anbieter und Kunde, Haftung für Leistungsstörungen und für Datenverlust, Unterauftragnehmer. Klassischer Reibungspunkt in diesem Zusammenhang ist bei IT-Ausschreibungen im Allgemeinen und Cloud-Ausschreibungen im Besonderen immer wieder das Thema Haftung. So wird z.B. eine der Summe nach nicht beschränkte Haftung für Leistungsstörungen – die nach wie vor vereinzelt von Vergabestellen gefordert wird – für die meisten Bieter nicht akzeptabel sein und dazu führen, dass diese gar kein Angebot abgeben, sofern über diesen Punkt nicht verhandelt werden kann. Sollten also in einem derartigen Fall nur Angebote eingehen, die eine Haftungsbegrenzung beinhalten und demnach auszuschließen sind, ist es dem öffentlichen Auftraggeber verwehrt, diese Regelung – soweit er deren Kausalität für die Abgabe von ausschließlich auszuschließenden Angeboten überhaupt wahrnimmt – im Rahmen eines folgenden Verhandlungsverfahrens durch eine geänderte Regelung zu ersetzen, sofern man darin eine grundlegende Veränderung des Auftrags sieht. Im vorliegenden Beispiel mit der Haftungsklausel wird man zwar in der Anpassung einer unbegrenzten Haftung auf eine summenmäßig begrenzte Haftung keine solche grundlegende Änderung sehen können. Anders könnte es sich jedoch bspw. im Falle einer signifikanten Änderung, insbesondere einer Verringerung des Leistungsumfangs verhalten. Gem. § 3 EG Abs. 3 Buchst. b VOL/A kann ein Verhandlungsverfahren 86 mit Teilnahmewettbewerb auch durchgeführt werden, wenn die zu vergebenden Aufträge „ihrer Natur nach oder wegen der damit verbundenen Risiken“ die vorherige Festlegung eines Gesamtpreises nicht zulassen. Die Unmöglichkeit der Bildung eines Gesamtpreises muss entweder aus der „Natur der Leistung“ oder den mit der Leistung verbundenen „Risiken“, deren Eintritt ungewiss und weder durch den Auftraggeber noch durch den Auftragnehmer beherrschbar ist, herrühren. Auch hier ist die Anwendbarkeit der Vorschrift, gerade bei komplexen Cloud-Projekten durchaus möglich1. Wie oben unter Rz. 25 ff. bereits ausgeführt tragen gerade die Skalierbarkeit von Cloud-Leistungen und die verbreiteten Payper-use-Vergütungsmodelle für Cloud-Leistungen dazu bei, dass ein Gesamtpreis eben nicht gebildet und somit ein Verhandlungsverfahren durchgeführt werden kann. Ein Tatbestand mit besonderer Cloud-Relevanz ist § 3 EG Abs. 3 87 Buchst. c VOL/A, der die Fälle privilegiert, in denen „die vertraglichen Spezifikationen“, also insb. die Leistungsbeschreibung, nicht „hinrei1 VK Düsseldorf v. 13.5.2002 – VK-7/2002-L: Hier wurde für den Betrieb eines mobilen Systems zum Einzug von Verwarnungsgeldern die mangelnde Möglichkeit der Bildung eines Gesamtpreises bejaht, da die Vergütung (die pro Zahlungsvorgang erfolgen sollte) zwar für den einzelnen Zahlvorgang durchaus bepreist werden konnte, die Zahl der Zahlungsvorgänge insgesamt jedoch nicht abschätzbar war. Erben
679
Teil 8 C
Rz. 88
ffentliche Verwaltung
chend genau“ festgelegt werden können. Denn in diesem Fall wäre ohne eine ggf. mögliche Präzisierung innerhalb des Verhandlungsverfahrens eine Vergleichbarkeit der eingehenden Angebote nicht gegeben. Häufig fehlt es den Vergabestellen an entsprechendem (insb. technischem) Know-how zur Erstellung der genannten Dokumente. Dies gilt nach dem Gesetz insbesondere für geistig-schöpferische Dienstleistungen. Dieser Tatbestand kann auch Cloud-Services umfassen, da auch Cloud-Leistungen1 geistig-schöpferische Leistungen sein können. Insoweit gilt der Grundsatz, dass die Anwendbarkeit des Verhandlungsverfahrens mit Teilnahmewettbewerb umso wahrscheinlicher wird, je komplexer die zu beschaffenden Cloud-Leistungen sind. In diesem Zusammenhang kommt es auf den konkreten Bedarf des öffentlichen Auftraggebers an. Benötigt er z.B. lediglich ein Tool zur Abwicklung bspw. von behörden-interner Urlaubsplanung und will dieses nicht als auf seiner Hardware installiertes Programm erwerben, sondern im Rahmen von Cloud-Services, so ist dieser Ausnahmetatbestend Anwendbarkeit eher nicht gegeben. Benötigt er hingegen umfassende Leistungen im Zusammenhang mit der Planung, der Umsetzung sowie des Betriebes einer oder gar mehrerer Softwarelösungen, die der Bieter aus einer Hand erbringen soll, so kann er wohl auf Basis von § 3 EG Abs. 3 Buchst. c VOL/A ein Verhandlungsverfahren mit Teilnahmewettbewerb durchführen. Sollte der öffentliche Auftraggeber lediglich zu vernachlässigende konzeptionelle Beratung hinsichtlich der Einführung einer zu beschaffenden Cloud-Lösung benötigen, kommt es im Einzelfall auf den Anteil der exakt auf den Auftraggeber zugeschnittenen Leistungen des Auftragnehmers im Verhältnis zur Lieferung bereits bestehender Standardleistungen an2. 88
Vor dem Hintergrund, dass der öffentliche Auftraggeber seinen Bedarf eindeutig und erschöpfend zu beschreiben hat (vgl. § 8 EG Abs. 1 VOL/A sowie die Ausführungen unter Rz. 67 ff.) steht § 3 EG Abs. 3 Buchst. c VOL/A mit genannter Pflicht im Spannungsverhältnis. Man kann davon ausgehen, dass der Tatbestand dann erfüllt ist, wenn die Vergabestelle sich erkennbar vergebens bemüht hat (z.B. unter Hinzuziehen externen Sachverstandes) die Leistung dem § 8 EG Abs. 1 VOL/A entsprechend zu beschreiben3. (3) Verhandlungsverfahren ohne Teilnahmewettbewerb
89
Das Verhandlungsverfahren ohne Teilnahmewettbewerb gem. § 3 EG Abs. 4 VOL/A4 unterliegt den engsten Voraussetzungen, da es dem öffentlichen Auftraggeber in Ausnahmefällen erlaubt, nur mit einem Bieter
1 Im Sinne der Kategorie 7, Anhang 1, Teil A der VOL/A (dort als „Datenverarbeitung und verbundene Tätigkeiten“ bezeichnet). 2 Müller-Wrede/Kaelble, § 3 EG VOL/A, Rz. 93 ff. 3 Müller-Wrede/Kaelble, § 3 EG VOL/A, Rz. 81. 4 Dieses Verfahren wird landläufig auch oft als „Direktvergabe“ o.Ä. bezeichnet.
680
Erben
II. Vergaberecht
Rz. 94 Teil 8 C
zu verhandeln und daher nur sehr beschränkten Wettbewerb mit sich bringt. Wie auch beim Verhandlungsverfahren mit Teilnahmewettbewerb sind 90 die in der VOL/A abschließend genannten Voraussetzungen für im Verhandlungsverfahren ohne Teilnahmewettbewerb eng auszulegen, sowie von der Vergabestelle nachzuweisen und zu dokumentieren1. Relevant für den Bereich Cloud Computing könnte hier insbesondere § 3 91 EG Abs. 4 Buchst. c VOL/A sein: „Die Auftraggeber können Aufträge im Verhandlungsverfahren ohne Teilnahmewettbewerb vergeben, … c) wenn der Auftrag wegen seiner technischen … Besonderheiten oder aufgrund des Schutzes von Ausschließlichkeitsrechten (z.B. Patent-, Urheberrecht) nur von einem bestimmten Unternehmen durchgeführt werden kann;“
Vor dem Hintergrund, dass an Software, die mittels der Cloud genutzt 92 wird, ausschließliche Nutzungsrechte zu Gunsten eines Unternehmens bestehen können, die etwa auch das Bearbeitungsrecht (§ 69c Nr. 2 UrhG) umfassen, gibt es durchaus Fallkonstellationen, in denen die Leistungserbringung nur durch ein einziges Unternehmen erfolgen kann. Geht es z.B. um Änderung von Software, die vom öffentlichen Auftraggeber bereits genutzt wird, oder kommt aus anderen Gründen nur eine bestimmte Software in Betracht, ist der Anwendungsbereich des § 3 EG Abs. 4 Buchst. c VOL/A eröffnet, soweit kein Fall der zustimmungsfreien gesetzlichen Ermächtigung (z.B. § 69d Abs. 1 UrhG – oder § 69e Abs. 1 UrhG) vorliegt. Es ist jedoch auch hier zu beachten, dass die Darlegungslast für den Aus- 93 nahmetatbestand den öffentlichen Auftraggeber trifft und dieser eine entsprechende Markterforschung betreiben muss. Die Tatsache, dass mit sehr hoher Wahrscheinlichkeit ein Unternehmen (da es z.B. aus technischen Gründen am meisten Erfahrung mit der zu beauftragenden Leistung hat) ein weit wirtschaftlicheres Angebot abgeben können wird, als die Mitbewerber, reicht zur Begründung nicht aus2. Ebenfalls nicht einschlägig ist § 3 EG Abs. 4 Buchst. c VOL/A, wenn das 94 o.g. Ausschließlichkeitsrecht zwar einem Unternehmen zusteht, die re1 EuGH v. 15.10.2009 – C-275/08: „Die bloße Behauptung, mit der fraglichen Lieferung habe nur ein bestimmter Lieferant beauftragt werden können, weil der auf nationaler Ebene vorhandene Wettbewerber kein Erzeugnis angeboten habe, das den notwendigen technischen Anforderungen entsprochen habe, kann nicht für den Nachweis genügen, dass die außergewöhnlichen Umstände, die die in Art. 6 Abs. 3 Buchst. c der Richtlinie 93/36 vorgesehenen Ausnahmen rechtfertigen, tatsächlich vorlagen. Es ist nämlich nicht auszuschließen, dass Unternehmen, die zur Lieferung einer geeigneten Software in der Lage gewesen wären, hätten ermittelt werden können, wenn ernsthafte Nachforschungen auf europäischer Ebene angestellt worden wären.“ 2 Müller-Wrede/Kaelble, § 3 EG VOL/A Rz. 132. Erben
681
Teil 8 C
Rz. 95
ffentliche Verwaltung
levanten Leistungen jedoch auf Grund vertraglich eingeräumter Nutzungsrechte grundsätzlich auch vom öffentlichen Auftraggeber selbst oder Dritten erbracht werden könnten. Dies wäre z.B. der Fall, wenn sich ein öffentlicher Auftraggeber dazu entscheidet, den Betrieb einer bei ihm vorhandenen Client-Server-Software in die Cloud zu verlagern, aber über den Softwareüberlassungsvertrag bereits über vertragliche Nutzungsrechte verfügt, die für eine solche Verlagerung ausreichen1. 95
Soweit im Rahmen der Konzeptionierung und Umsetzung einer CloudInfrastruktur die Anbindung an beim öffentlichen Auftraggeber schon vorhandene Software nötig ist, ist von der Vergabestelle in technischer Hinsicht zu klären, wie diese Anbindung konkret erfolgt (z.B. Leistung nur unter Eingriff in den Quellcode möglich) und ob außer dem Urheber der Software selbst der Auftraggeber bzw. Dritte die für die Leistung notwendigen Bearbeitungsrechte innehaben2.
96
Darüber hinaus haben die § 3 EG Abs. 4 Buchst. e und Buchst. f VOL/A im Zusammenhang mit Vertragserweiterungen und/oder Change-Requests im Cloud Bereich Praxisrelevanz: „Die Auftraggeber können Aufträge im Verhandlungsverfahren ohne Teilnahmewettbewerb vergeben, … e) bei zusätzlichen Lieferungen des ursprünglichen Auftragnehmers, die entweder zur teilweisen Erneuerung von gelieferten Waren oder Einrichtungen zur laufenden Benutzung oder zur Erweiterung von Lieferungen oder bestehenden Einrichtungen bestimmt sind, wenn ein Wechsel des Unternehmens dazu führen würde, dass die Auftraggeber Waren mit unterschiedlichen technischen Merkmalen kaufen müssten und dies eine technische Unvereinbarkeit oder unverhältnismäßige technische Schwierigkeiten bei Gebrauch, Betrieb oder Wartung mit sich bringen würde. Die Laufzeit dieser Aufträge sowie die der Daueraufträge darf in der Regel drei Jahre nicht überschreiten. f) für zusätzliche Dienstleistungen, die weder in dem der Vergabe zugrunde liegenden Entwurf noch im zuerst geschlossenen Vertrag vorgesehen sind, die aber wegen eines unvorhergesehenen Ereignisses zur Ausführung der darin beschriebenen Dienstleistungen erforderlich sind, sofern der Auftrag an das Unternehmen vergeben wird, das diese Dienstleistung erbringt, wenn sich die zusätzlichen Dienstleistungen in technischer und wirtschaftlicher Hinsicht nicht ohne wesentlichen Nachteil für den Auftraggeber vom Hauptauftrag trennen lassen oder wenn diese Dienstleistungen zwar von der Ausführung des ursprünglichen 1 Zwar ist die Verlagerung von on premise Software in die Hände eines Outsourcers („bring your own license“) nicht unbedingt ein klassischer Fall von Cloud Computing, allerdings sind die Grenzen zwischen Rechenzentrumsbetrieb, Outsourcing, Aplication Service Providing und Cloud Computing fließend. 2 Z.B. VK Hessen v. 27.4.2007 – 69d VK-11/2007: „Der Tatbestand des Ausschließlichkeitsrechtes kommt möglicherweise zur Anwendung, wenn Programme mit Schnittstellen zu einer vorhandenen Software nur von dem Inhaber der Ausschließlichkeitsrechte an der vorhandenen Software beschafft werden können bzw. wenn die Andockung der neuen Software an eine vorhandene nur unter Eingriff in die Programmstruktur und unter Verletzung von Urheberrechten möglich ist.“
682
Erben
II. Vergaberecht
Rz. 98 Teil 8 C
Auftrags getrennt werden können, aber für dessen Vollendung unbedingt erforderlich sind. Der Gesamtwert der Aufträge für die zusätzlichen Dienstleistungen darf jedoch 50 vom Hundert des Wertes des Hauptauftrags nicht überschreiten;“
Soweit es um (zusätzliche) Lieferleistungen (z.B. die Freischaltung einer 97 weiteren Funktionalität der Software im Rahmen des Cloud-Vertrages) geht, muss diese Erweiterung gem. Buchst. f) der ursprünglichen Lieferung oder Einrichtung dienen, also in unmittelbarem inhaltlichen Zusammenhang mit dieser stehen. Das o.g. Beispiel dürfte diese Voraussetzung erfüllen. Das zusätzlich notwendige Merkmal der „drohenden Inkompatibilität“ ist gerade im Cloud-Bereich ein klassischer Anwendungsfall. Denn es ist nur schwerlich denkbar, dass ein vom ursprünglichen Auftragnehmer abweichender Cloud-Service-Provider ohne „unverhältnismäßige technische Schwierigkeiten bei Gebrauch, Betrieb oder Wartung“ in der Lage wäre im Rahmen der bestehenden Infrastruktur zusätzliche Funktionalität zu liefern, um beim genannten Beispiel zu bleiben. Von der letzten Voraussetzung (Laufzeit für die zusätzlichen Leistungen grundsätzlich nicht länger als drei Jahre) kann gem. Wortlaut der Norm („in der Regel“) ausnahmsweise abgewichen werden, insb. wenn die Kompatibilitätsprobleme auch nach drei Jahren noch fortbestehen würden und eine komplette Neubeschaffung nicht wirtschaftlich wäre1. Im Falle von (zusätzlichen) Dienstleistungen (z.B. Erbringen von Service- 98 Desk-Leistungen, die ursprünglich vom Auftraggeber selbst im Rahmen von Beistellung erbracht werden sollten) muss das Ereignis, das diese Zusatzleistung notwendig macht, für die Parteien des Hauptvertrages unvorhersehbar gewesen sein. Dieses Merkmal dürfte im Bereich des Cloud Computing häufig nicht gegeben sein, da der öffentliche Auftraggeber – etwa durch Abfrage von bestimmten Optionen oder Alternativbzw. Eventualpositionen – im Rahmen der Ausschreibung in der Lage ist, entsprechende Zusatzleistungen bereits zum Bestandteil des Hauptvertrages zu machen. Im genannten Beispiel jedoch käme es auf die konkreten Umstände des Einzelfalles an. Kann der öffentliche Auftraggeber bspw. auf Grund eines nicht vorhersehbaren Mitarbeiterabbaus die ursprünglich nicht in der Leistungsbeschreibung enthaltenen Dienstleistungen nicht mehr selbst erbringen, sind diese aber für eine sinnvolle Nutzung der Cloud-Lösung notwendig, so könnte man den Bedarf als unvorhersehbar einstufen. Sollte das Merkmal der Unvorhersehbarkeit gegeben sein, so muss alternativ eine Nicht-Trennbarkeit der Zusatzleistung zum Hauptvertrag (aus technischer und wirtschaftlicher Sicht) oder eine unbedingte Erforderlichkeit der Leistung gegeben sein. Im genannten Beispiel wäre zumindest die zweite Alternative gegeben. Zuletzt sind auch noch die Wertgrenzen zu beachten, wonach der Gesamtwert aller
1 Müller-Wrede/Kaelble, § 3 EG VOL/A Rz. 175. Erben
683
Teil 8 C
Rz. 99
ffentliche Verwaltung
der zusätzlichen Leistungen 50 % des Hauptvertragswertes1 nicht überschreiten darf. 99
Nach alledem ist vom öffentlichen Auftraggeber vor jedem Change-Request zu prüfen, ob die Voraussetzungen für eine direkte Verhandlung mit dem bestehenden Auftragnehmer gegeben sind. Unabhängig davon bleibt es dem öffentlichen Auftraggeber natürlich vorbehalten, bereits im Ursprungsvertrag entsprechende Regelungen zum Change-Request-Verfahren aufzunehmen2. dd) Wettbewerblicher Dialog, § 3 Abs. 7 EG VOL/A, § 101 Abs. 4 GWB
100
Sehr ähnlich zum Verhandlungsverfahren ist der wettbewerbliche Dialog gem. § 3 EG Abs. 7 VOL/A ausgestaltet: „Die Auftraggeber können für die Vergabe eines Auftrags einen wettbewerblichen Dialog durchführen, sofern sie objektiv nicht in der Lage sind, – die technischen Mittel anzugeben, mit denen ihre Bedürfnisse und Ziele erfüllt werden können oder – die rechtlichen oder finanziellen Bedingungen des Vorhabens anzugeben“.
101
Ebenso wie beim Verhandlungsverfahren sind die normierten Ausnahmegründe abschließend und eng auszulegen. Eine Abgrenzung zum Anwendungsbereich des Verhandlungsverfahrens mit Teilnahmewettbewerb ist mitunter nur schwer möglich.
102
Fraglich in diesem Zusammenhang ist, ob der öffentliche Auftraggeber ein Wahlrecht zwischen Verhandlungsverfahren und wettbewerblichem Dialog hat. Hierzu gibt es noch kein einheitliches Bild in Literatur und Spruchpraxis der Vergabekammern. Insoweit bleibt die Entwicklung der Spruchpraxis abzuwarten3. Sofern sich jedoch im Einzelfall die Tatbestände überschneiden, kann das Verhandlungsverfahren zur Anwendung kommen.
103
Besonderheit dieser Verfahrensart, die für Vergaben besonders komplexer Aufträge geschaffen wurde, ist die Gliederung in Dialog- und die Angebotsphase. Die Dialogphase gestaltet sich ähnlich dem Verhandlungsverfahren und es kann über die Angebote verhandelt werden. Die Dialogphase dient dazu, es dem öffentlichen Auftraggeber zu ermöglichen, gemeinsam mit den jeweiligen Wettbewerbern ein Lösungskonzept zur Erreichung des mit der Ausschreibung bezweckten Ziels zu erarbeiten. 1 Hierbei legt man den Gesamtwert des jeweils aktuellen Gesamtwertes des Auftrags (inkl. etwaiger Erweiterungen) zu Grunde; insgesamt darf der Gesamtwert aller zusätzlichen Leistungen. 2 Hier existieren in der Praxis widerstreitende Interessen. Je enger der öffentliche Auftraggeber im Vertrag bereits dieses Prozedere (ggf. sogar bereits Stundensätze, etc.) regelt, desto weniger Verhandlungsdruck kann der Auftragnehmer im Falle der Benötigung eines Change Request aufbauen. 3 Müller-Wrede/Kaelble, § 3 EG VOL/A Rz. 94 und Rz. 239 ff.
684
Erben
II. Vergaberecht
Rz. 108 Teil 8 C
Das Verfahren beginnt mit einer europaweiten Bekanntmachung und der 104 Aufforderung zur Teilnahme am Teilnahmewettbewerb. Diejenigen Bieter, die die vom öffentlichen Auftraggeber aufgestellten Voraussetzungen erfüllen, werden zum wettbewerblichen Dialog eingeladen. Im Wesentlichen entspricht sodann der Ablauf des Verfahrens demjeni- 105 gen eines sog. strukturierten Verhandlungsverfahrens, wobei die Vergabestelle in Zusammenarbeit mit den Bietern im Rahmen des Verfahrens ermitteln kann, wie die Bedürfnisse und Ziele der Vergabestelle erfüllt werden können. Dabei können sämtliche Bestandteile der Leistung, insb. hinsichtlich des (technischen) Lösungsweges aber auch im Hinblick auf kaufmännische und rechtliche Rahmenbedingungen, im Dialog erörtert werden. In diesem Zusammenhang kann die Vergabestelle die Bieter auch zur Nachbesserung ihrer Lösungsvorschläge auffordern1. Sofern der öffentliche Auftraggeber einen Lösungsweg gefunden hat, for- 106 dert er die sich noch im wettbewerblichen Dialog befindlichen Bieter auf, ein verbindliches Angebot abzugeben. Das restliche Verfahren (Angebotsphase) läuft hinsichtlich des Verfahrenslauf ähnlich zum Verhandlungsverfahren ab, wobei keine klassische Verhandlung mehr erfolgt, sondern lediglich Präzisierungen, Klarstellungen und Ergänzungen der Angebote vom öffentlichen Auftraggeber verlangt werden können (§ 3 EG Abs. 7 Buchst. d VOL/A). Ein weiterer Unterschied zu den übrigen Verfahren ist die Regelung des 107 § 3 EG Abs. 7 Buchst. f VOL/A, die jedem Unternehmen eine angemessene Kostenerstattung zuspricht, das die von der Vergabestelle geforderten Entwürfe, Pläne, Zeichnungen, Berechnungen oder anderen Unterlagen rechtzeitig vorgelegt hat2. Gerade im Bereich des Cloud Computing, ist dies auch durchaus interessengerecht, da sich der öffentliche Auftraggeber zur Erstellung der Leistungsbeschreibung und des Lösungsansatzes der Ressourcen und der Kreativität aller beteiligter Unternehmen bedient. In der Praxis ist der wettbewerbliche Dialog im Bereich des Cloud Com- 108 puting noch nicht allzu weit verbreitet. Ein möglicher Grund dafür, dass Unternehmen erst gar nicht an einem ausgerufenen wettbewerblichen Dialog teilnehmen, könnte darin liegen, dass die Gefahr besteht, dass vertrauliche Informationen, insb. Geschäftsgeheimnisse (z.B. aktuelle Produktstrategien) an Wettbewerber weiter gegeben werden. Denn die Möglichkeit der Vergabestelle, mit mehreren Bietern gleichzeitig über den aus Sicht der Vergabestelle besten Lösungsweg zu sprechen, soll gerade einen wesentlichen Vorteil des Dialogs darstellen. Gem. § 3 Abs. 7 Buchst. b EG VOL/A darf der öffentliche Auftraggeber zwar Lösungsvorschläge oder vertrauliche Informationen eines Unternehmens nicht ohne dessen Zustimmung an die anderen Unternehmen weitergeben. Zum ei1 Müller-Wrede/Kaelble, § 3 EG VOL/A Rz. 256. 2 Müller-Wrede/Kaelble, § 3 EG VOL/A Rz. 298. Erben
685
Teil 8 C
Rz. 109
ffentliche Verwaltung
nen kommt es allerdings vor, dass die Vergabestelle den Bietern eine Erklärung abverlangt, nach der eine Nutzung des bei Mitarbeitern der Vergabestelle entstandenen Know-hows auch im Rahmen des Dialogs mit anderen Bietern erfolgen darf. Zum anderen ist es – ohne das Einziehen sog. Chinese Walls, z.B. durch Bilden verschiedener Teams, die auf Seiten der Vergabestelle dafür zuständig sind, mit den Bietern zu kommunizieren – unwahrscheinlich, dass sichergestellt ist, dass keinerlei vertrauliche Informationen zu einem Mitbewerber gelangen. Zumindest in innovativen Bereichen, worunter auch das Cloud Computing fällt, sollte dieses Risiko gegen den potentiellen Nutzen im Falle eines Zuschlages stets sorgfältig abgewogen werden. d) Rahmenvereinbarungen aa) Allgemeines 109
Wie unter Teil 2 ausgeführt ist eine Vertragsgestaltung für Einkäufer und Erbringer von Cloud-Services i.S.d. Abschlusses eines Rahmenvertrages durchaus denkbar und dadurch, dass der konkrete Bedarf (Skalierbarkeit) zum Zeitpunkt des Vertragsschlusses oft noch nicht feststehen dürfte, auch zielführend. Dies gilt auch für den Bereich der öffentlichen Verwaltung, denn gem. § 4 EG VOL/A ist den öffentlichen Auftraggebern der Abschluss von Rahmenvereinbarungen mit einem oder mehreren Unternehmen möglich. Dabei sind Rahmenverträge „… Aufträge, die ein oder mehrere Auftraggeber an ein oder mehrere Unternehmen vergeben können, um die Bedingungen für Einzelaufträge, die während eines bestimmten Zeitraums vergeben werden sollen, festzulegen, insb. über den in Aussicht genommenen Preis“.
110
Denkbar wäre bspw. die Ausschreibung eines Rahmens für die Errichtung und den Betrieb einer Cloud Infrastruktur (z.B. auf mehrere Geschäftsbereiche – bspw. Personalabrechnung, Kundenverwaltung und Mahnwesen – bezogene Beratung, Konzeption, Beschaffung von Hardware, Aufsetzen des Systems, etc.) gemeinsam mit einem auf einen Teilbereich (z.B. Kundenverwaltung) beschränkten, ersten Abruf.
111
Vergaberechtlich ergeben sich hieraus sowohl für den öffentlichen Aufraggeber als auch den Bieter gewisse Herausforderungen. bb) Verfahren
112
Auch wenn die Vergabe von Rahmenvereinbarungen in der VOL/A nicht (mehr) ausdrücklich als öffentlicher Auftrag klassifiziert wird und per se auch nicht unter die Definition des § 99 Abs. 1 GWB zu subsumieren ist, da mit Abschluss eines Rahmenvertrages (ohne Mindestabnahmepflicht oder Exklusivitätsbindung) gerade kein entgeltlicher Vertrag zustande kommt, müssen die Beschaffer auch beim Abschluss von Rahmenverträ-
686
Erben
II. Vergaberecht
Rz. 117 Teil 8 C
gen die vergaberechtlichen Vorschriften beachten1. Dies gilt umso mehr, als in der Praxis der Abschluss von Rahmenvereinbarungen häufig mit einem ersten „Abruf“ auf Basis des Rahmenvertrages gekoppelt wird. Auch hier gilt grundsätzlich das oben zu den Verfahrensarten ausgeführte, insb. ist das offene Verfahren vorrangig. Eine Besonderheit besteht darin, dass die Vergabe im Zusammenhang 113 mit einem Rahmenvertrag immer zweistufig erfolgt. Erste Stufe ist die Vergabe des Rahmenvertrages im Rahmen eines förm- 114 lichen Vergabeverfahrens, womit ein geschlossenes System zwischen dem öffentlichen Auftraggeber und dem oder den Rahmenvertragspartner(n) geschaffen wird, das den Rahmen für die sich anschließenden Einzelaufträge bildet2. Auf der zweiten Stufe erfolgt die Erteilung der Einzelaufträge, vgl. § 4 EG 115 Abs. 2 VOL/A: „Die Erteilung von Einzelaufträgen nach den Absätzen 3 bis 6 ist nur zulässig zwischen den Auftraggebern, die ihren voraussichtlichen Bedarf für das Vergabeverfahren gemeldet haben, und den Unternehmen, mit denen die Rahmenvereinbarungen abgeschlossen wurden.“
Vergaberechtlich nicht zulässig ist vor dem Hintergrund der genannten 116 Regelung eine Ausgestaltung des Rahmenvertrages mit Öffnungsklauseln, die es dem Auftraggeber erlauben, weitere, zum Zeitpunkt des Vergabeverfahrens dem Auftragnehmer noch nicht bekannte Auftraggeber, als Bezugsberechtigte zu nennen, so z.B. eine Eintrittsmöglichkeit anderer Behörden in die vom Auftragnehmer aufzubauende und zu betreibende Cloud-Lösung3. Hintergrund dieser dem Wettbewerbsgrundsatz entspringenden Regelung ist, dass die (Verfahrens-)Privilegierungen4 hinsichtlich des auf Grundlage eines Rahmenvertrages abgeschlossenen Einzelvertrages ausschließlich demjenigen zu Gute kommen soll, der auch am Vergabeverfahren teilgenommen hat (geschlossenes System)5. cc) Rahmenvertrag mit einem Vertragspartner Die Privilegierung spiegelt sich – für den Fall, dass es nur einen Rahmen- 117 vertragspartner gibt – darin wieder, dass weitgehend formlos die Einzel1 Pünder/Schellenberg/Schrotz, § 4 EG VOL/A Rz. 7. 2 Pünder/Schellenberg/Schrotz, § 4 EG VOL/A Rz. 41. 3 In einem derartigen Fall können sich darüber hinaus noch verwaltungs- bzw. verfassungsrechtliche Probleme für den öffentlichen Auftraggeber ergeben, sollte die jeweilige Behörde (z.B. auf Grund von in der Cloud-Lösung nicht mehr änderbarer Prozesse, die ihr „aufgezwängt“ werden) nicht mehr „Herrin ihrer eigenen Verwaltung sein. Vertiefend zur sog. „unzulässigen Mischverwaltung“ Schulz, Cloud Computing in der öffentlichen Verwaltung – Chancen – Risiken – Modelle, MMR 2010, 75, Teil III. 1. 4 Es erfolgt in diesem Fall keine erneute Ausschreibung. 5 Müller-Wrede/Poschmann, § 4 EG VOL/A Rz. 44. Erben
687
Teil 8 C
Rz. 118
ffentliche Verwaltung
verträge zwischen öffentlichem Auftraggeber und Auftragnehmer geschlossen werden können. 118
Sollten im Rahmenvertrag bereits sämtliche Bedingungen für den Einzelauftrag geregelt sein, so erfolgt ein schlichter „Abruf“, den der Auftragnehmer – je nachdem wie der Rahmenvertrag ausgestaltet ist – nur noch förmlich bestätigt. Dies wäre z.B. denkbar im Falle des „Zubuchens“ bestimmter Module von Standardsoftware, die im Rahmen der Cloud vom öffentlichen Auftraggeber genutzt werden wollen.
119
Sind im Rahmenvertrag hingegen nicht sämtliche Bedingungen für die Einzelverträge abschließend festgelegt, was bei komplexen Cloud Computing-Projekten die Regel sein dürfte, muss das Angebot gemäß § 4 EG Abs. 3 Satz 2 VOL/A „vervollständigt“ werden.
120
Gerade vor dem Hintergrund, dass im IT-Bereich im Allgemeinen, im Bereich des Cloud Computing im Speziellen, während der Vertragslaufzeit erfolgende Änderungen (Change Request, o.Ä.) ein gängiges Mittel sind, die zum Zeitpunkt des Projektbeginns in den meisten Fällen noch nicht abschließend bekannten Anforderungen abzubilden, können sich hier für den öffentlichen Auftraggeber entsprechende Probleme ergeben. Denn neu hinzukommende Leistungen, die den ursprünglichen Vertrag wesentlich erweitern sind vergaberechtlich nicht zulässig1.
121
Der öffentliche Auftraggeber ist also auch beim Abschluss einer Rahmenvereinbarung verpflichtet, die zu erbringenden Leistungen möglichst eindeutig und erschöpfend zu beschreiben. Zum in diesem Zusammenhang anzulegenden Maßstab vgl. oben Rz. 67 ff. Darüber hinaus ist gem. § 4 EG Abs. 1 Satz 2 VOL/A das „… in Aussicht genommene Auftragsvolumen […] so genau wie möglich zu ermitteln und bekannt zu geben, braucht aber nicht abschließend festgelegt zu werden.“
122
Sollte dann im Einzelfall eine während der Vertragslaufzeit gewünschte Leistung nicht vom Rahmenvertrag abgedeckt sein, so ist von der Vergabestelle zu prüfen, ob ggf. eine Ausschreibung dieser Zusatzleistung notwendig ist. Soweit im Einzelvertrag lediglich die Regelungen zum Preis oder der Leistungsgegenstand an sich aus dem Projekt ergebende, veränderte Umstände angepasst werden oder Leistungszeit, -ort oder -umfang konkretisiert werden, ohne dass sich der Charakter der Leistung ändert, ist anzunehmen, dass ein entsprechender Change Request, da die Änderungen nicht als wesentlich zu werten sind, nicht unter das Änderungsverbot fallen würde2.
1 Müller-Wrede/Poschmann, § 4 EG VOL/A Rz. 14. 2 EuGH v. 19.6.2008 – Rs. C-454/08 (pressetext), Rz. 70.
688
Erben
II. Vergaberecht
Rz. 127 Teil 8 C
dd) Rahmenvertrag mit mehreren Vertragspartnern Handelt es sich um einen Rahmenvertrag mit mehreren Vertragspartnern 123 bestimmen sich die Verfahrensvorschriften für den Einzelabruf nach § 4 EG Abs. 4–6 VOL/A. Die Mindestanzahl an am Rahmenvertrag beteiligten Unternehmen ist 124 gem. § 4 EG Abs. 4 VOL/A drei. Sofern im Vergabeverfahren mehr als drei Bieter zuschlagsfähige Angebote abgeben, hat der Beschaffer sein Ermessen auszuüben, ob er den Rahmenvertrag mit mehr als drei Unternehmen abschließt. Für das auf Grundlage des Rahmenvertrages erfolgende Abrufverfahren 125 gilt Abs. 5. Sollten im Rahmenvertrag bereits sämtliche Bedingungen für den Einzelauftrag geregelt sein, so ist Abs. 5 Buchst. a einschlägig: „Die Vergabe von Einzelaufträgen, die auf einer mit mehreren Unternehmen geschlossenen Rahmenvereinbarung beruhen, erfolgt a) sofern alle Bedingungen festgelegt sind, nach den Bedingungen der Rahmenvereinbarung ohne erneuten Aufruf zum Wettbewerb …“
Die Einzelaufträge zum Abruf von Cloud-Leistungen dürfen dabei nicht 126 weiter konkretisierungsbedürftig sein. Sollte nicht bereits in der Rahmenvereinbarung selbst geregelt sein, welches Unternehmen welchen Einzelauftrag erhält, so hat die Vergabestelle bereits zum Zeitpunkt der Ausschreibung die Rahmenbedingungen für die Auswahl festzulegen. Diese Kriterien müssen stets objektiv, transparent und diskriminierungsfrei sein. Sie können z.B. in der Beurteilung liegen, welches Unternehmen für den einzelnen Abruf am geeignetsten ist. Sind im Rahmenvertrag nicht sämtliche Bedingungen für den Abruf des 127 Einzelauftrages geregelt, erfolgt ein sog. „Mini-Wettbewerb“ zwischen den am Rahmenvertrag beteiligten Unternehmen, vgl. § 4 EG Abs. 5 Buchst. b VOL/A. Dazu sind zunächst die beteiligten Unternehmen vom öffentlichen Auftraggeber zu konsultieren (Abs. 6 Buchst. a), d.h. abzufragen, ob das jeweilige Unternehmen in der Lage ist, die abgefragte Cloud Leistung zu erbringen. Darüber hinaus sind im Rahmen der Konsultation die noch offenen und unvollständigen Bedingungen zu präzisieren und das Unternehmen aufzufordern, sein Angebot insoweit zu vervollständigen. Kontrahierungszwang besteht – vorbehaltlich anderweitiger Regelungen im Rahmenvertrag – grundsätzlich nicht; es sind jedoch bei (willkürlicher) Nicht-Einigung Schadensersatzansprüche gegen das die Einigung vereitelnde Unternehmen denkbar1. Sofern also Preis und Leistung für einen bestimmten Cloud-Service durch den Rahmenvertrag definiert sind, wird für den Cloud-Service-Anbieter kaum Spielraum beste1 BGH v. 30.4.1992 – VII ZR 159/91, NJW-RR 1992, 978; in diesem Urteil wurde ein Architekt zu Schadensersatz verurteilt, da er, nachdem er in einem Vergabeverfahren den Zuschlag auf einen Rahmenvertrag erhalten hatte, ohne sachlichen Grund den Abschluss eines Einzelvertrages verweigert hatte. Erben
689
Teil 8 C
Rz. 128
ffentliche Verwaltung
hen, einen Einzelabruf abzulehnen. Gerade bei mittelfristigen und lang laufenden Rahmenverträgen kann es für Cloud-Service-Anbieter und den öffentlichen Auftraggeber mit erheblichen Risiken verbunden sein, Leistung und Preis fest zu vereinbaren. Soweit jedoch der öffentliche Auftraggeber auch nach Verhandlungen auf sehr langen Preisfestschreibungen besteht, sollte der Bieter ggf. versuchen, dies als ungewöhnliches Wagnis zu rügen1. 128
Entsprechend der übrigen Regelungen des Abs. 6 (Buchst. b bis d) ist den Unternehmen eine angemessene Frist zur Abgabe des Angebots einzuräumen, sowie der Auftrag dem Unternehmen zu erteilen, das das wirtschaftlichste Angebot unterbreitet, wobei die Zuschlagskriterien, insb. vor dem Hintergrund des Transparenzgrundsatzes bereits im Rahmenvertrag selbst geregelt sein müssen. Bis zum Ablauf der Angebotsfrist hat die Vergabestelle den Inhalt der Angebote in jedem Fall geheim zu halten. ee) Gestaltung der Vergabeunterlagen, Rahmenvertragsmodell
129
Hinsichtlich der Ausgestaltung des Rahmenvertrages bestehen für den öffentlichen Auftraggeber mehrere Möglichkeiten. Zum einen kann er den Auftragnehmer – im Sinne eines Kontrahierungszwanges für den Einzelvertrag – verpflichten, die Leistungsabrufe anzunehmen. Die Ausgestaltung muss dann analog zu einer in einem Leistungsvertrag enthaltenen Option erfolgen, d.h., es müssen sämtliche Bedingungen, die es dem Bieter ermöglichen, sein Angebot nach kaufmännischen Regeln zu kalkulieren, bereits bekannt sein. Davon unberührt bleiben insb. die Pflicht des Beschaffers zur sorgfältigen Ermittlung und Angabe des Bedarfs sowie die bereits erwähnten Grundsätze zur Erstellung der Leistungsbeschreibung. In gewissen Konstellationen kann trotz der Ausgestaltung des Rahmenvertrages ohne Abnahmeverpflichtung für den Auftraggeber, bspw. bei sorgfaltswidriger Fehlschätzung des Bedarfs ein Nicht-Abrufen von Einzelleistungen Schadensersatzansprüche verursachen2.
130
Im Rahmen von Verhandlungsverfahren ist den jeweiligen Bietern unabhängig davon anzuraten, die Rechtsfolgen eines etwaigen Nicht-Abrufs wenn möglich im Rahmenvertrag zu vereinbaren.
131
Wenn der Auftragnehmer bspw. innerhalb einer langen Rahmenvertragslaufzeit zu einem Vorhalten von (Spezial-)Ressourcen (z.B. auf die im Wege des SaaS angebotene Software und den relevanten Verwaltungsbereich spezialisierte Softwareentwickler) gezwungen ist, gleichzeitig aber verbindliche (ggf. zu kurze) Zeiträume zusichern muss, innerhalb derer die 1 Zumindest die Anpassung der Preise an ggf. steigende Lohn-/Materialkosten etc. sollte im Sinne einer kaufmännisch vertretbaren Kalkulation offen stehen. 2 Müller-Wrede/Poschmann, § 4 EG VOL/A Rz. 31.
690
Erben
II. Vergaberecht
Rz. 137 Teil 8 C
Ressourcen ab dem Zeitpunkt des Abrufs mit den Leistungen beginnen müssen (so bspw. die vertragliche Zusage, innerhalb von fünf Arbeitstagen ab Anforderung mit der Umsetzung von Gesetzesänderungen in die für die Erbringung der SaaS-Leistungen genutzte Standardsoftware zu beginnen), so könnte die Grenze zum vergaberechtlich angreifbaren ungewöhnlichen Wagnis durchaus überschritten sein1. Dem Beschaffer steht daneben auch die Möglichkeit offen, den Vertrag 132 beidseitig verpflichtend (z.B. auch durch Aufnahme einer Mindestabrufmenge) oder aber für beide Seiten unverbindlich (für den Auftraggeber hinsichtlich des Abrufs, für den Auftragnehmer hinsichtlich des Angebots im Zusammenhang mit einem Einzelabruf) auszugestalten. Beide Alternativen kommen eher selten vor. In der privatwirtschaftli- 133 chen Praxis (zumindest im IT-Bereich) ist jedoch die zweite Alternative, die keiner der Parteien direkte Ansprüche aus dem Rahmenvertrag gibt, ein gängiges Prozedere, da der Auftraggeber nicht wie im Vergaberecht die Möglichkeit hat, das Vertragskonstrukt vorzugeben. Ein grundsätzlicher Kontrahierungszwang dürfte für viele Unternehmen – unabhängig davon, ob privat oder öffentlich beschafft wird – zumindest problematisch sein, insbesondere wenn es sich um Bereiche handelt, in denen Spezialwissen oder Spezialressourcen erforderlich sind, die vorgehalten werden müssen. Die Laufzeit von Rahmenvereinbarungen darf gem. § 4 EG Abs. 7 VOL/A 134 grundsätzlich einen Zeitraum von vier Jahren nicht überschreiten. Gleiches gilt für den Leistungszeitraum der auf Grundlage des Rahmenvertrages erfolgenden Einzelaufträge2. Sofern die Vergabestelle eine längere Laufzeit in Erwägung zieht, so ist 135 diese in den Vergabeakten entsprechend zu begründen. Die UfAB gibt dem Beschaffer in diesem Zusammenhang folgendes an 136 die Hand: „Die Laufzeit von Rahmenvereinbarungen darf grundsätzlich vier Jahre nicht überschreiten. Als Empfehlung wird dabei von der UfAB für Hardwarebeschaffungen eine Maximallaufzeit von einem Jahr und für Softwarebeschaffungen und Dienstleistungen eine Maximallaufzeit von zwei Jahren empfohlen. Hierdurch sollen die technologischen und preislichen Entwicklungen sowie die Belange des Wettbewerbs berücksichtigt werden. Sollte eine längere als eine vierjährige Laufzeit vorgesehen werden, ist dies bereits in der Bekanntmachung zu begründen.“
Gerade im Cloud Computing-Bereich dürfte – je nach Komplexität des 137 Systems und der dazugehörigen Prozesse auf Auftraggeberseite sowie et-
1 Das Bundeskartellamt hielt ein einem Verfahren (BKartA v. 19.7.2002 – VK 1-37/02) selbst die Verpflichtung des Bieters bis zum Ablauf der Bindefrist bestimmtes Personal vorzuhalten, für ein ungewöhnliches Wagnis. 2 Müller-Wrede/Poschmann, § 4 EG VOL/A Rz. 87. Erben
691
Teil 8 C
Rz. 138
ffentliche Verwaltung
waigen Investitionskosten des Auftragnehmers1 – ein gesteigertes Interesse beider Seiten bestehen, längere Laufzeiten (und Mindestvolumen) zu vereinbaren. Dies birgt anders als im privatwirtschaftlichen Bereich das Risiko, dass etwaige Wettbewerber dagegen vorgehen, sollten sie beispielsweise aus der Presse davon erfahren. Da mangels abweichender Vereinbarung nämlich die Laufzeit der Rahmenvereinbarung als wesentliche Bedingung auch den Einzelaufträgen zugrunde zu legen ist, ist für die nicht berücksichtigten Mitbewerber Rechtsschutz gegen (auch) nachträgliches Überschreiten der im Rahmenvertrag festgelegten Laufzeit durch einen später abgeschlossenen Einzelauftrag möglich. Eine unangemessen lange Vertragslaufzeit kann mit dem Ziel der Anpassung an eine angemessene Laufzeit angegriffen werden2. e) Vergaberechtliche Sonderprobleme aa) Projektantenproblematik 138
Insbesondere im Zusammenhang mit der Erstellung der Leistungsbeschreibung kann sich für die Vergabestelle und die Bieter die sog. „Projektantenproblematik“ ergeben. Diese entspringt einem mittlerweile in der VOL/A normierten Tatbestand (§ 6 EG Abs. 7 VOL/A): „Hat ein Bieter oder Bewerber vor Einleitung des Vergabeverfahrens den Auftraggeber beraten oder sonst unterstützt, so hat der Auftraggeber sicherzustellen, dass der Wettbewerb durch die Teilnahme des Bieters oder Bewerbers nicht verfälscht wird.“
139
Unter Beratung oder Unterstützung i.S.d. Vorschrift sind sämtliche Tätigkeiten eines Unternehmens im Vorfeld einer Ausschreibung zu verstehen, die in Bezug zum konkreten Vergabeverfahren stehen3. Bieter sollten in diesem Zusammenhang besondere Vorsicht walten lassen. Denn in der Praxis kommt es durchaus vor und ist auch im Cloud-Bereich, da es der Vergabestelle häufig an Know-how fehlt denkbar, dass Unternehmen – ggf. unentgeltlich4 – potentielle Kunden bei der Planung etwaiger IT-Vorhaben, sozusagen als „Pre-Sales-Maßnahme“ unterstützen. Eine derartige Unterstützung bspw. bei der Konzeptionierung einer Cloud-Infrastruktur und der diesbezüglichen Services und Fachprozesse in Frage.
140
Stellt sich nun – was in der Praxis den Regelfall darstellt – heraus, dass der benötigte Bedarf im Rahmen einer öffentlichen Ausschreibung ver1 Sofern der Auftragnehmer den Auftraggeber nicht vollständig über eine schon vorhandene standardisierte Infrastruktur bedient, können ihm erhebliche Investitionskosten entstehen. Auch auf Seiten des öffentlichen Auftraggebers können Investitionen erforderlich sein, z.B. für die Bereitstellung erforderlicher Schnittstellen. 2 NZBau 2005, 595 f. 3 VK Karlsruhe v. 30.3.2007 – 1 VK 06/07, S. 16. 4 Auf diese Unentgeltlichkeit kommt es in der Praxis nicht an, da eine „Beratungsleistung“ i.S.d. Vorschrift unabhängig ist von der vertraglichen Grundlage einer solchen Unterstützung oder gesetzlichen Einordnung der Leistung.
692
Erben
II. Vergaberecht
Rz. 144 Teil 8 C
geben werden muss, hat die Vergabestelle sicherzustellen, dass das im Vorfeld der Ausschreibung involvierte Unternehmen, der „Projektant“, keinen rechtswidrigen Wettbewerbsvorteil hat. Dies kann bis zur Notwendigkeit des Ausschlusses führen, wenn der Projektant auf Grund seiner Nähe zum öffentlichen Auftraggeber einen dermaßen großen Wissensvorsprung hat, dass ein fairer Wettbewerb nicht mehr garantiert ist1. Mindestens muss der Projektant jedoch damit rechnen, dass sämtliche seiner Vorleistungen, die ggf. bereits in urheberrechtlich geschützte Arbeitsergebnisse gemündet sind, allen Bietern zur Verfügung gestellt werden müssten. Sollten sich darin bspw. Geschäftsgeheimnisse, zu denken wäre hier an neue Technologien, befinden, liegt das Problem auf der Hand: Entweder der Projektant stimmt einer Veröffentlichung der Unterlagen zu oder er begibt sich in das Risiko des Ausschlusses. bb) Grundsatz der produktneutralen Ausschreibung Ein weiteres Problem ergibt sich aus dem Grundsatz der produktneutra- 141 len Ausschreibung (§ 8 EG Abs. 7 VOL/A). Demnach darf in der Leistungsbeschreibung grundsätzlich nicht auf „… eine bestimmte Produktion oder Herkunft oder ein besonderes Verfahren oder auf Marken, Patente, Typen, einen bestimmten Ursprung oder eine bestimmte Produktion verwiesen werden, wenn dadurch bestimmte Unternehmen oder bestimmte Produkte begünstigt oder ausgeschlossen werden.“ Es dürfte sich aus der Natur der Sache ergeben, dass Unternehmen, die 142 Projektanten im o.g. Sinn sind, bei der vorvertraglichen Beratung, ihre eigenen Produkte als Grundlage für die Cloud-Services vorschlagen. Häufig sind die Vergabejuristen im Vorfeld einer Ausschreibung, in dem Zeitpunkt, in dem die Projektantenstellung entsteht, noch gar nicht in die Prozesse involviert. Umso größer mag das Erstaunen der Fachabteilungen dann sein, stellt die Vergabestelle des öffentlichen Auftraggebers fest, dass neben einer Ausschreibungspflicht auch noch die o.g. Obliegenheit zur Offenlegung der „Vorstudie“ nötig ist. Auch wenn nichts dagegen spricht, sondern es im Gegenteil zu begrüßen 143 ist, dass sich der öffentliche Auftraggeber mit den am Markt vorhandenen Bedingungen (AGB, Leistungsbeschreibungen, Zertifizierungen, etc.) beschäftigt, ist für ihn Vorsicht geboten, will er sich bei der Beschreibung der zu beschaffenden Cloud-Services zu sehr an den Standardbedingungen eines bestimmten Anbieters orientieren. Denn da § 8 EG Abs. 7 VOL/A bieterschützenden Charakter hat, besteht 144 für ihn die Gefahr, dass Mitbewerber gegen eine auf einen Bieter zuge-
1 Ein Ausschluss ist zwar ultima ratio, jedoch sollte sich jedes Unternehmen im Rahmen seiner Tätigkeiten auf dem Markt der öffentlichen Auftraggeber dieses Risikos bewusst sein. Erben
693
Teil 8 C
Rz. 145
ffentliche Verwaltung
schnittene Leistungsbeschreibung vorgehen1 Dies hat i.d.R. mindestens eine massive Verzögerung zur Folge und kann im schlechtesten Fall dazu führen, dass der öffentliche Auftraggeber das Vergabeverfahrens aufheben muss. 7. Wahl der Vertragsgrundlage; Anwendung der EVB-IT a) Allgemeines 145
Vor Abschluss von Cloud Computing-Verträgen stellt sich im öffentlichen Bereich die Frage nach dem passenden Vertragsmuster. Was die inhaltlich angemessenen und erforderlichen Vertragsregelungen angeht, kann grundsätzlich auf die Ausführungen im Kapitel Vertragsgestaltung (Teil 2) verwiesen werden.
146
Allerdings gelten im Vergaberecht einige Besonderheiten, die den Spielraum der Vergabestellen hinsichtlich der Vertragsgestaltung erheblich einschränken. Gemäß § 9 VOL/A und § 11 EG VOL/A sind sowohl im Unterschwellen- als auch im Oberschwellenbereich die „… Allgemeinen Vertragsbedingungen (VOL/B) grundsätzlich zum Vertragsgegenstand zu machen …“. Teilweise wird aus der Vergaberechtsreform darauf geschlossen, dass ein etwaiger Anwendungszwang der VOL/B und darauf basierend der EVB-IT seit der Neuregelung der VOL/A gar nicht mehr gegeben ist2.
147
Korrekt ist jedoch, dass der Auftraggeber die Regelungen der VOL/B durch „Zusätzliche Vertragsbedingungen“ zwar ergänzen, aber grundsätzlich nicht abändern darf. Änderungen der Allgemeinen Vertragsbedingungen durch sogenannte Ergänzende Vertragsbedingungen sind nur zulässig, soweit dies gesetzlich vorgesehen ist, vgl. auch § 11 EG Abs. 1 Satz 2 VOL/A: „Für die Erfordernisse einer Gruppe gleichgelagerter Einzelfälle können Ergänzende Vertragsbedingungen Abweichungen von der VOL/B vorsehen.“
148
Bei den „Ergänzenden Vertragsbedingungen für die Beschaffung von Informationstechnik (EVB-IT)“3 handelt es sich um solche Vertragsbedingungen i.S.d. § 11 EG Abs. 1 Satz 2 VOL/A.
149
Die EVB-IT bestehen aus acht Vertragsmustern, die jeweils durch eine Arbeitsgruppe der öffentlichen Hand unter Federführung des Bundesministeriums des Innern mit den Interessenvertretern der IT-Industrie, organisiert im Bundesverband Informationswirtschaft, Telekommunika-
1 Damals z.B. noch zur „Vorgängervorschrift“, die vergleichbar mit § 8 EG Abs. 7 VOL/A war: BayObLG v. 15.9.2004 – Verg 26/03, VergabeR 2005, 130. 2 Müller-Hengstenberg/Kirn, MMR 2012, 3. 3 Aktueller Stand dieser Dokumente abzurufen unter: www.cio.bund.de/DE/IT-Be schaffung/EVB-IT-und-BVB/evb-it_bvb_node.html (zuletzt besucht am 1.12.2012).
694
Erben
II. Vergaberecht
Rz. 153 Teil 8 C
tion und neue Medien e.V. (Bitkom)1, verhandelt werden. Das jeweilige Vertragsformular verweist jeweils auf ergänzend geltende AGB2, die der jeweiligen Vertragsart gerecht werden sollen. Derzeit existieren neun verschiedene EVB-IT Vertragsmuster nebst AGB:
150
– EVB-IT Überlassung Typ A – EVB-IT Überlassung Typ B – EVB-IT Pflege S – EVB-IT Dienstleistung – EVB-IT Kauf – EVB-IT Instandhaltung – EVB-IT System – EVB-IT Erstellung – EVB-IT Systemlieferung b) Anwendungspflicht Grundsätzlich besteht eine Anwendungspflicht hinsichtlich der VOL/B, 151 vgl. § 11 EG Abs. 1 Satz 1 VOL/A. Deren Regelungen – obwohl sie ursprünglich für die Beschaffung verschiedenster Liefer- und Diensteistungen konzipiert wurden – sind jedoch (mangels Regelungen zu den IT-spezifischen Themen) als alleinige Grundlage für den IT-Bereich keineswegs ausreichend. In diesem Zusammenhang besagt § 55 Absatz 2 Bundeshaushaltsordnung (BHO), dass beim „… Abschluss von Verträgen […] nach einheitlichen Richtlinien zu verfahren …“ ist. Die für Bundesbehörden anwendbaren Verwaltungsvorschriften zu § 55 Abs. 2 BHO führen aus, dass es sich bei den EVB-IT, sowie bei den Hinweisen zu den EVB-IT um derartige „einheitliche Richtlinien“ handelt. Somit ist, soweit der Anwendungsbereich des jeweiligen EVB-IT Ver- 152 tragstyps gegeben ist, von einem grundsätzlichen haushaltsrechtlichen Anwendungszwang hinsichtlich der EVB-IT auszugehen. Dies gilt jedoch insbesondere nicht, wenn sich im Rahmen der Vergabe 153 durch Landes- oder Kommunalbehörden in den jeweiligen Landes- bzw. Kommunalhaushalts(ver)ordnungen oder den diesbezüglichen Verwaltungsvorschriften keine dem § 55 BHO entsprechenden Vorschriften finden. Dem öffentlichen Auftraggeber ist ohnehin im Vorfeld einer Vergabe
1 http://www.bitkom.org/ (zuletzt besucht am 1.12.2012). 2 Das jeweilige Vertragsmuster wird in der Praxis als EVB-IT Vertrag(smuster), die AGB jeweils als die „EVB-IT“ (Ergänzende Vertragsbedingungen) bezeichnet; innerhalb des Vertragstextes spricht man von Nummern, innerhalb der EVB-IT von Ziffern. Erben
695
Teil 8 C
Rz. 154
ffentliche Verwaltung
zu einer genauen Prüfung zu raten, ob nicht ein auf den konkreten Fall zugeschnittener Vertragsentwurf verwendbar ist. Denn in bestimmten Konstellationen kann eine größere Flexibilität bei der Wahl der Vertragsgrundlage durchaus für alle Beteiligten Vorteile bringen, da durch ein differenziertes Vorgehen im Rahmen der Vertragsgestaltung in der Regel besser auf etwaige Branchenspezifika (z.B. im Falle eines Cloud-Vertrages auf den Charakter des gemischten Vertrages) eingegangen werden kann. 154
Der Hinweis des Bundesminsterium des Inneren („Die Anwendung der EVB-IT und der BVB1 ist für Bundesbehörden gemäß Verwaltungsvorschrift zu § 55 BHO verbindlich. Auch die Länder sehen zum großen Teil identische oder ähnliche Anwendungsverpflichtungen vor.“) auf dessen Homepage ist zwar inhaltlich nicht zu beanstanden; viele Vergabestellen – insbesondere solche mit noch weniger Erfahrung im IT-Bereich – scheinen aus den o.g. haushaltsrechtlichen Vorschriften sowie diesem Hinweis jedoch auf eine pauschale Anwendungspflicht der jeweiligen EVB-IT – und zwar in gänzlich unveränderter Form – zu schließen.
155
Eine solche ist jedoch weder aus vergabe- noch aus haushaltsrechtlichen Gründen gegeben, so dass es dem öffentlichen Auftraggeber durchaus möglich ist, z.B. durch entsprechende Ankreuzoptionen im EVB-IT Vertragsmuster oder durch Regelungen unter dem Punkt „Sonstiges“ im EVB-IT Vertragsmuster, Regelungen zu vereinbaren, die von den jeweiligen EVB-IT (AGB) abweichen. In diesem Zusammenhang erscheinen bei einem Cloud-Vorhaben insb. die in den EVB-IT enthaltenen Regelungen zu den Nutzungsrechten, zum Projektvorgehen, zum Datenschutz, zur Quellcodehinterlegung, zu Bürgschaften, zur Dokumentation und zum Einsatz von Subunternehmern2 alles andere als passend für ein Cloud Projekt und bedürften daher der Anpassung.
1 Die Besonderen Vertragsbedingungen für die Beschaffung von DV-Anlagen und Geräten („BVB“) wurden durch die neueren EVB-IT (teilweise) abgelöst; es existieren nur noch wenige anwendbare BVB. Mangels Cloud-Relevanz wird hier auf eine eingehendere Beschreibung verzichtet. 2 Ein im Cloud Bereich relevantes Problem ergibt sich aus einem ggf. geforderten Zustimmungsvorbehalt für Subunternehmer. Da bei Cloud-Angeboten der Dienstleister i.d.R. eine Vielzahl von Subunternehmern einsetzen muss, ergeben sich aus einem unbedingten Zustimmungsvorbehalt (teils nicht lösbare) Probleme, da zum einen zum Zeitpunkt des Beginns der Leistungserbringung teilweise noch gar nicht klar ist, welche externen Ressourcen genau eingesetzt werden sollen, zum anderen auch während der (i.d.R. sehr langen) Vertragsbeziehung ein flexibler Einsatz der Ressourcen möglich sein muss. Vergaberechtlich gibt es kein Erfordernis, im Rahmen der Leistungsbeziehung einen derartigen Vorbehalt zu fordern. Soweit sich dies also nicht ggf. aus anderen Vorschriften (z.B. aus Datenschutzrecht, vgl. dazu insg. Teil 4) ergibt, sollte der Bieter versuchen, derartige Regelungen im Rahmen der Verhandlungen aus dem Vertrag heraus zu verhandeln.
696
Erben
II. Vergaberecht
Rz. 158 Teil 8 C
Dies gilt umso mehr in den Fällen, in denen in den jeweiligen EVB-IT 156 Öffnungsklauseln vorhanden sind, so bspw. unter Ziffer 2.2 der EVB-IT Überlassung Typ B: „Die Dokumentation der Standardsoftware* ist in Deutsch und in ausgedruckter oder ausdruckbarer Form zu liefern, soweit nichts anderes vereinbart ist.“
oder unter Ziffer 3.2 der EVB-IT Überlassung Typ B: „Die Standardsoftware* wird dem Auftraggeber zur bestimmungsgemäßen Nutzung für den im Vertrag vereinbarten Zeitraum überlassen. Der Umfang der bestimmungsgemäßen Nutzung sowie Art und Umfang der Nutzungsrechte* ergeben sich aus dem Vertrag. Werden im Vertrag keine anderweitigen Nutzungsrechtsvereinbarungen getroffen, räumt der Auftragnehmer dem Auftraggeber folgende Nutzungsrechte* an der Standardsoftware* ein: – das nicht ausschließliche Nutzungsrecht*, – das Nutzungsrecht* in der im Vertrag vereinbarten Systemumgebung*, – das nicht übertragbare Nutzungsrecht*, – das zeitlich befristete und kündbare Nutzungsrecht*.“
Entsprechende Öffnungsklauseln finden sich an verschiedenen Stellen in 157 sämtlichen EVB-IT-Typen. Einer differenzierten Beschäftigung mit dem jeweiligen Vergabesachverhalt und entsprechenden Berücksichtigung etwaiger (branchen- oder produktspezifischen) Besonderheiten im Rahmen der Vertragsgestaltung steht demnach nichts entgegen. Insoweit kann auf die Beispiele, die unter Rz. 85 genannt sind, verwiesen werden. Im Gegenteil kann dies mitunter sogar haushaltsrechtlich angezeigt sein, da im Rahmen von Vergabeverfahren (der Bundesbehörden) nicht nur § 55 Abs. 2 BHO (als reines Innenrecht der Verwaltung) anwendbar ist, sondern auch, wie bereits ausgeführt, – wie bei jedem Auftreten der Verwaltung – stets der Grundsatz der Wirtschaftlichkeit von der Vergabestelle zu beachten ist. In diesem Zusammenhang ist der Beschaffer bereits aus diesem Grund gehalten, zu prüfen, ob der konkrete Beschaffungsbedarf (z.B. „Erwerb eines Nutzungsrechts“) auch mit für den jeweiligen Bieter rechtlich weniger einschneidenden Regelungen (z.B. Verzicht auf das Recht, Nutzungsrechte an Dritte weiter zu übertragen) gedeckt werden kann. Denn auch die rechtlichen Rahmenbedingungen werden Bieter i.d.R. in die kaufmännische Kalkulation des Angebots einfließen lassen, sodass es sich aufdrängt, dass sich eine Vertragsgestaltung durch die Vergabestelle entsprechend der markt- oder produktüblichen Bedingungen für die ausgeschriebene Leistung letztlich positiv auf die Wirtschaftlichkeit der Angebote im Allgemeinen auswirken wird. Dies gilt umso mehr für rechtliche Regelungen mit unmittelbarer kommerzieller Relevanz wie die Ausgestaltung des dem öffentlichen Auftraggeber einzuräumenden Nutzungsrechts. c) Die Wahl des richtigen Vertragstypus Wie im Einzelnen bereits in Teil 2 beschrieben, ist die vertragstypologi- 158 sche Einordnung eines „Cloud-Vertrages“ nicht einheitlich möglich, sonErben
697
Teil 8 C
Rz. 159
ffentliche Verwaltung
dern es finden sich in der Regel unterschiedliche Leistungsarten im Vertrag. Diese dürften in erster Linie im Bereich der Dienstleistungen, der Leistungen mit werkvertraglichem Charakter sowie der Miete angesiedelt sein. 159
Ein zwischen der Wirtschaft und dem Bund verhandelter „EVB-IT CloudVertrag“ existiert nicht und wäre auch auf Grund der Bandbreite der potentiell abzubildenden Szenarien allenfalls in einem äußerst groben Rahmen denkbar. Denkbare Leistungsgegenstände reichen vom kleinen standardmäßig angebotenen Urlaubsplanungstool oder Kundenmanagementtool bis zum höchst komplexen Aufbau und Betrieb von großen Teilen der Systemlandschaft des öffentlichen Auftraggebers. Vor dem Hintergrund, dass die EVB-IT die Intention verfolgen, jeweils die „… Erfordernisse einer Gruppe gleichgelagerter Einzelfälle …“ abzubilden (vgl. § 11 Abs. 1 Satz 2 VOL/A – EG) erscheint die Konzeption eines „EVB-IT Cloud-Vertrages“ als wenig zielführend, da man in diesem Bereich allenfalls eine Art Rahmendokument schaffen könnte, die für den jeweiligen Cloud-Vertrag wesentlichen Regelungsinhalte jedoch ohnehin dem Einzelvertrag vorbehalten blieben. Grundsätzlich denkbar wäre jedoch den Standardfall der Bereitstellung von Software aus der Cloud (SaaS) in einem EVB-IT Cloud-Vertrag abzubilden. Damit würde dem Problem, dass keiner der vorhandenen EVB-IT-Vertragsmuster wirklich passt (dazu sogleich Rz. 162 ff.) abgeholfen. Die Regelungen eines solchen Cloud-Vertragsmusters müssten sich auf das typische Leistungsbild konzentrieren und dementsprechend auch mit den vorerwähnten Öffnungsklauseln versehen werden, um eine flexible Anpassung auf den Einzelfall vorzusehen.
160
Unabhängig davon gibt es, insbesondere in der Europäischen Union, Bestrebungen, die Rahmenbedingungen für die Vergabe von Cloud-Services zu vereinheitlichen. Insbesondere hervorzuheben ist die „Europäische Cloud Partnerschaft (ECP)“ sowie deren kürzlich gebildeter Lenkungsausschuss, dessen Mitglieder u.a. aus Führungskräften namhafter ITDienstleister und Softwareunternehmen bestehen. Ein Ziel der ECP ist die Entwicklung „… gemeinsame[r] Anforderungen für die Auftragsvergabe auf dem Gebiet des Cloud Computing […], die von den Mitgliedstaaten und Behörden überall in der EU verwendet werden sollen …“1. Vor diesem Hintergrund darf man gespannt sein, ob und wie dieses auf Grund der Komplexität der Materie sehr anspruchsvolle Ziel – nicht zuletzt auch durch die Bunderepublik Deutschland – umgesetzt werden kann. Denn es ist kein Geheimnis, dass es zu der seitens des deutschen Gesetzgebers umgesetzten „Vergaberechtsreform“, die u.a. eine Entschlackung des Vergaberechts mit sich bringen sollte, viele kritische Stimmen gibt.
1 Pressemeldung der ECP v. 19.11.2012, abrufbar unter http://europa.eu/rapid/ press-release_IP-12-1225_de.htm.
698
Erben
Rz. 162 Teil 8 C
II. Vergaberecht
Hinsichtlich der Wahl des korrekten EVB-IT Vertrages finden sich auf 161 der Homepage des Bundes derzeit folgende Anwendungsempfehlungen: Leistung
Empfohlener Vertragstyp
Kauf von Hardware (ggf. inklusive Aufstellung, jedoch ohne sonstige Leistungsanteile)
EVB-IT Kauf
Kauf von Standardsoftware
EVB-IT berlassung Typ A
Miete von Standardsoftware (ohne sonstige Leistungsanteile)
EVB-IT berlassung Typ B
Dienstleistungen
EVB-IT Dienstleistung
Erstellung eines IT-Systems aus einer oder mehEVB IT-System reren Systemkomponenten (Standardsoftware und/oder Hardware, ggf. Individualsoftware) einschließlich weiterer Leistungen zur Herbeifhrung der Betriebsbereitschaft, wobei letztere und/oder die Erstellung der Individualsoftware den Schwerpunkt der Leistung darstellen (z.B. weil sie mehr als 16 % des Auftragswertes ausmachen). Auf Softwareleistungen reduzierter, gekrzter EVB-IT Erstellung EVB-IT Systemvertrag (1) zur Erstellung von Individualsoftware, (2) zur Anpassung von Software auf Quellcodeebene bzw. (3) zu umfangreichem, den Vertrag werkvertraglich prgenden Customizing von Standardsoftware, wobei die Standardsoftware zu diesem Zweck beigestellt oder vom Auftragnehmer auf der Grundlage dieses Vertrages berlassen werden kann. Kauf von IT-Systemen aus einer oder mehreren EVB-IT Systemlieferung Systemkomponenten (Standardsoftware und/oder Hardware) einschließlich weiterer Leistungen zur Herbeifhrung der Betriebsbereitschaft ohne dass diese Leistungen den Schwerpunkt bilden.
Wie bereits erwähnt gibt es keinen „EVB-IT Cloud-Vertrag“. Zwar ist es 162 grundsätzlich denkbar die Regelungen, die jeweils für die einzelne Leistungsart am passendsten erscheinen, zu verwenden und somit aus verschiedenen EVB-IT Regelungen einen „Cloud-Vertrag“ zu schaffen oder auf gewisse, einfach gelagerte Cloud-Anwendungsfälle (bspw. das erwähnte Standard-Urlaubsplanungstool) den am ehesten passenden EVBIT-Vertragstyp anzuwenden. Insofern wäre wohl – wenn überhaupt denkbar – die EVB-IT Überlassung Typ B einschlägig, wobei jedoch bereits der in Ziffer 1 der AGB definierte Anwendungsbereich („Die nachstehenden Bedingungen gelten für die zeitlich befristete Überlassung und Nutzung von Standardsoftware in der jeweils im Rahmen des Vertrages überlassenen Fassung.“) für ein Cloud-Angebot nicht passend ist. Denn wie oben bereits erwähnt, sind in der Regel auch andere Leistungsanteile, als die reine Überlassung von Software, Bestandteil eines Cloud-Vertrages. Des
Erben
699
Teil 8 C
Rz. 163
ffentliche Verwaltung
Weiteren – und dies ist wesentlich – wird beim Cloud Computing gerade keine Software (d.h. Objektcode) zur Nutzung überlassen, denn sie wird ausschließlich auf den Servern des Anbieters betrieben. 163
Darüber hinaus gibt es noch eine Vielzahl anderer Regelungen in den EVB-IT Überlassung Typ B, die nicht pauschal für „einen Cloud-Vertrag“ anzuwenden wären. Dies rührt insbesondere aus der Tatsache her, dass der EVB-IT Überlassungsvertrag Typ B grundsätzlich vor dem Hintergrund einer tatsächlichen Überlassung von Software und einer Installation und Betrieb beim Auftraggeber („on premise“) konzipiert wurde. So obliegt z.B. im Rahmen der EVB-IT Überlassung Typ B „die Datensicherung dem Auftraggeber“. Dies könnte dem Auftraggeber jedoch, da er – je nach konkreter Ausgestaltung – darauf wenig bis keinen Einfluss hat, schlicht nicht möglich sein.
164
Die genannten Beispiele könnten noch beliebig erweitert werden. Als Vertragsjurist kommt man letztlich zum Ergebnis, dass ein „Zusammenbasteln“ eines Cloud-Vertrages, z.B. auf Grundlage eines Rahmenvertrages, der dann – je nach Leistung – auf die EVB-IT Dienstleistung und die EVB-IT Überlassung Typ B verweist, grundsätzlich denkbar ist. Man sollte jeder Vergabestelle jedoch dringend raten, sich mit bereits auf dem Markt befindlichen Vertragsbedingungen von Cloud-Service-Anbietern vertraut zu machen und (ggf. unter Einbindung von externer IT-juristischer Expertise) einen auf die Bedürfnisse des konkreten Beschaffungsbedarfs zugeschnittenen Vertragsentwurf zu erstellen. Zu den Anforderungen an einen Cloud-Vertrag im Einzelnen Teil 2.
700
Erben
D. Geheimnisverpflichtete Rz. I. Einleitung – deutscher Rechtsrahmen . . . . . . . . . . . . . . . . . . . . . .
1
II. (Fehlender) EU-Rechtsrahmen . . .
6
III. Anwendbares Recht . . . . . . . . . . .
8
IV. Gerichtsstand . . . . . . . . . . . . . . . . 11 V. Die Merkmale des § 203 StGB . . . 1. „Fremdes Geheimnis“ . . . . . . . . . 2. Relevanter Täter- und Empfängerkreis . . . . . . . . . . . . . . . 3. Tathandlung und -erfolg . . . . . . . . 4. Besonderheiten bei Versicherungen . . . . . . . . . . . . . . . . . . . . . . VI. Lösungsmöglichkeiten . . . . . . . . . 1. Einverständniserklärung bzw. Entbindung von der Verschwiegenheitspflicht. . . . . . . . . . . . . . . . 2. Anonymisierung, Pseudonymisierung bzw. Verschlüsselung der Daten . . . . . . . . . . . . . . . . . . . . . . . 3. Technische und organisatorische Zugriffssperren . . . . . . . . . . . . . . . a) Technische Zugriffssperren . . .
12 13 17 22 26 30 32 35 39 39
Rz. b) Organisatorische Zugriffssperren . . . . . . . . . . . . . . . . . . . . c) Persönliche Überwachung durch den Geheimnisverpflichteten . . . . . . . . . . . . . . . . . d) Rechtfertigung eines Offenbarens . . . . . . . . . . . . . . . . 4. Die „Gehilfen-Lösung“ bzw. die funktionelle Betrachtungsweise . a) Die funktionale Betrachtungsweise . . . . . . . . . . . . . . . . . . . . . b) Gehilfen-Lösung: Art der vertraglichen Verbindung . . . . . . . c) Gehilfen-Lösung: Unmittelbarer Zusammenhang mit beruflicher Tätigkeit/Funktion . . d) Gehilfen-Lösung: Organisatorische Einbindung . . . . . . . . . . . e) Gehilfen-Lösung: Direktionsrecht und Kontrollmöglichkeit . . . . . . . . . . . . . . . . . . . . . . . f) Mehrfach-Arbeitsverträge . . . . g) Zusammenfassung . . . . . . . . . .
41 45 46 47 48 49 50 52 53 54 55
VII. Schlussfolgerungen . . . . . . . . . . . . 56
I. Einleitung – deutscher Rechtsrahmen Gegenstand dieses Kapitels sind die in § 203 StGB zusammengefassten 1 gesetzlichen Verschwiegenheitspflichten, denen Cloud-Service-Abnehmer ausgesetzt sind, wenn sie bestimmten Berufsgruppen oder Branchen angehören, vor allem Ärzte und Krankenhäuser, Rechtsanwälte, Steuerberater und Wirtschaftsprüfer sowie Kranken-, Lebens- und Unfallversicherungen (nachfolgend auch „Geheimnisverpflichtete“ genannt)1. Geschützt werden Informationen über die Patienten, Mandanten oder Versicherten der Cloud-Service-Abnehmer (nachfolgend auch „Endkunden“ genannt). Die sonstigen Pflichten zum Schutz von Informationen aus anderen Gesetzen (vgl. Teil 8 A zum Fernmeldegeheimnis, Teil 8 C zur öffentlichen Verwaltung, Teil 8 E zu den Sozialdaten) oder aufgrund von Vertrag bzw. Anerkennung durch die Rechtsprechung sind nicht Gegenstand dieses Kapitels. Bei den Rechtsfolgen ist nicht nur eine Strafbarkeit nach § 203 StGB zu 2 beachten (die im Vordergrund der nachfolgenden Betrachtungen steht). Eine Verletzung von § 203 StGB kann auch die Nichtigkeit des Vertrags 1 Vgl. zum Ganzen im generellen Zusammenhang von IT-Auslagerungen Hartung, VersR 2012, 400. Hartung
701
Teil 8 D
Rz. 3
Geheimnisverpflichtete
über das Cloud Computing nach § 134 BGB zur Folge haben. Insofern gibt es gefestigte Rechtsprechung zum Verkauf von Anwaltskanzleien oder Arztpraxen1 sowie zu den ärztlichen Verrechnungsstellen, nach der § 203 StGB als Verbotsgesetz auszulegen und der Vertrag über Praxisverkauf oder die Einziehung von Forderungen unwirksam ist2. Dies hat nicht nur für den Cloud-Anbieter negative Folgen wegen der Uneinbringbarkeit des Entgelts, sondern auch für den Cloud-Abnehmer, der keinen Leistungsanspruch hat und sich nicht auf ihn möglicherweise schützende vertragliche Vorschriften berufen kann. 3
Dabei ist zu beachten, dass die Auslagerung von Tätigkeiten durch Geheimnisverpflichtete verschiedenen Regelungskomplexen unterliegt, die nebeneinander Anwendung finden und nicht aufeinander abgestimmt sind. Somit muss den Anforderungen aus der berufsrechtlichen Verschwiegenheit zusätzlich zum Datenschutz (vgl. Teil 4) Genüge getan werden3. Der Anwendungsbereich des Datenschutzes und der Verschwiegenheitspflichten ist häufig, aber nicht zwingend deckungsgleich4: Selbst wenn vielfach Überlegungen aus dem Datenschutzrecht in ähnlicher Weise Anwendung finden können, ist der Schutzbereich ein anderer: Das Datenschutzrecht schützt grundsätzlich nur personenbezogene Daten, d.h. Angaben über natürliche Personen5. Die von der Verschwiegenheit geschützten Endkunden dagegen können natürliche Personen, juristische Personen oder Personengesellschaften sein. So sind etwa bei einem Wirtschaftsprüfer insbesondere Angaben über von ihm zu prüfende juristische Personen geschützt. Ähnliches wird häufig bei Rechtsanwälten, oder im Versicherungsbereich relevant sein. In diesen Fällen ist das Datenschutzrecht nicht deckungsgleich mit den Verschwiegenheitspflichten.
4
Seinen Ursprung hat § 203 StGB im Schutz des besonderen Vertrauensverhältnisses der klassischen freien Berufe wie Arzt, Rechtsanwalt, Steuerberater und Wirtschaftsprüfer6. Dem wurden dann im Laufe der 1 MüKoStGB/Cierniak, § 203 Rz. 64 ff. m.w.N.; BGH v. 13.6.2001 – VIII ZR 176/00, BGHZ 148, 97 (Kanzlei); OLG Sachsen v. 25.3.2002 – 1 U 137/01, NJWRR 2002, 1285 (Steuerberaterpraxen); BGH v. 11.12.1991 – VII ZR 4/91, NJW 1992, 737. 2 MüKoStGB/Cierniak, § 203 Rz. 64 ff.; BGH v. 10.7.1991 – VIII ZR 296/90, BGHZ 115, 123; OLG Düsseldorf v. 4.3.1994 – 22 U 257/93; AG Lehrte v. 3.8.2010 – 13 C 793/09, juris; dagegen kürzlich Giesen, NStZ 2012, 122 ff., der für einen Gleichlauf von Datenschutzrecht (insbesondere den Regeln der Auftragsdatenverarbeitung) und § 203 StGB eintritt. 3 Für ein Nebeneinander und Konkurrenzauflösung durch Abwägung: Leowsky, DuD 2011, 412 ff. 4 Leutheusser-Schnarrenberger, AnwBl 2012, 477; Kroschwald/Wicker, CR 2012, 758 (759). 5 Eine Ausnahme bildet hier § 91 Abs. 1 S. 2 TKG, nach dem Angaben über juristische Personen oder Personengesellschaften dem Datenschutz unterfallen, soweit sie dem Fernmeldegeheimnis unterliegen. 6 Vgl. Rogall, NStZ 1983, 1 (2); Kindhäuser/Neumann/Paeffgen/Kargl, § 203 Rz. 1.
702
Hartung
I. Einleitung – deutscher Rechtsrahmen
Rz. 5
Teil 8 D
Zeit vergleichbare Berufsgruppen mit einer ähnlichen Vertrauensstellung hinzugefügt, z.B. Apotheker, Psychologen, Sozialarbeiter oder Versicherungsmitarbeiter, wie man aus § 203 Abs. 1 StGB ersehen kann1. Teilweise gilt die Verpflichtung zur Verschwiegenheit als konsequente Fortführung der Verschwiegenheitspflichten der ursprünglichen Gruppen. So wurde etwa § 203 Abs. 1 Nr. 6 StGB hinzugefügt, um die nicht als akzeptabel befundene Situation zu vermeiden, dass Versicherte in gesetzlichen Versicherungen besser gestellt sind als in privaten Versicherungen2. Dabei sanktioniert § 203 StGB zwar eine Verletzung der Verschwiegen- 5 heitspflicht. Begründet wird die Verschwiegenheitspflicht originär zumeist aber durch andere gesetzliche Bestimmungen oder durch auf staatlicher Verleihung beruhendes Standesrecht. Nachfolgend sind einige dieser Rechtsquellen ohne Anspruch auf Vollständigkeit dargestellt3. Für die rechtliche Prüfung wird nachfolgend davon ausgegangen, dass durch Maßnahmen zum Cloud Computing, welche eine Verletzung des § 203 StGB vermeiden, regelmäßig auch eine Verletzung der die Verschwiegenheit begründeten Normen vermieden werden kann. Dies kann im Einzelfall aber gesondert zu prüfen sein: – Apotheker: § 15 Berufsordnung der Apothekerkammer Nordrhein4 – Ärzte: § 9 MBO-Ä – Erziehungs- und Jugendberater, Sozialarbeiter: § 65 SGB VIII – Heilpraktiker: Art. 3 BOH – Notare: § 18 BNotO – Patentanwälte: § 39a PAO, § 2 PAK-BO – Psychologen: B.III.1 Ethische Richtlinien der DGPs und des BDP – Rechtsanwälte: § 43a Abs. 2 BRAO, § 59b BRAO, § 2 BORA5 – Steuerberater: § 5 BOStB – Tierärzte: § 4 MBO-Tierärzte – Wirtschaftsprüfer: §§ 323, 333 HGB, § 43 WPO, § 9 Berufssatzung der WP – Zahnärzte: § 7 MBO-Z
1 Mehr zur Historie bei Rogall, NStZ 1983, 1 (2); MüKoStGB/Cierniak, § 203 Rz. 8. 2 S. Rein, VersR 1976, 117. 3 Wenn es sich um eine Musterberufsordnung (MBO) handelt, gibt es normalerweise eine entsprechende Vorschrift auf Landesebene. 4 Vergleichbare Vorschriften sind in anderen länderspezifischen Berufsordnungen enthalten, z.B. § 14 Berufsordnung der Landesapothekerkammer Baden-Württemberg. 5 Vgl. zu einem Gesetzesvorschlag des DAV zur Änderung dieser Normen: Spatscheck, AnwBl 2012, 478. Hartung
703
Teil 8 D
Rz. 6
Geheimnisverpflichtete
II. (Fehlender) EU-Rechtsrahmen 6
Den Verschwiegenheitspflichten und dem Gedanken einer strafrechtlichen Sanktion liegt keine einheitliche Norm im europäischen Recht zu Grunde. Dies hängt vor allem damit zusammen, dass die betreffenden Tätigkeiten nur teilweise1 in den Einzelheiten auf europäischer Ebene reguliert sind. Regelmäßig sind daher sowohl Voraussetzungen als auch Folgen der Verschwiegenheitspflicht national unterschiedlich geregelt.
7
Allerdings ist der Vorrang der Verschwiegenheitspflichten von anderen europarechtlichen Vorschriften anerkannt, so insbesondere in Art. 13 Abs. 1 Buchst. d der Datenschutz-Richtlinie 95/46/EG, wonach datenschutzrechtliche Anforderungen durch die Mitgliedsstaaten modifiziert werden können, sofern dies zur Verhütung von Verstößen gegen berufsständische Regeln bei reglementierten Berufen erforderlich ist.
III. Anwendbares Recht 8
Bei der Bestimmung des anwendbaren Rechts ist zu unterscheiden. Der Cloud-Service-Abnehmer unterliegt den eine Verschwiegenheitspflicht originär begründenden Normen, etwa den gesetzlichen oder standesrechtlichen Berufsrecht sowie § 203 StGB regelmäßig nur, wenn er in Deutschland ansässig ist bzw. dem deutschen Berufsrecht unterfällt (z.B. ein im Ausland ansässiger, aber in Deutschland zugelassener Rechtsanwalt).
9
Die Cloud-Anbieter unterfallen selbst regelmäßig nicht originär den beruflichen Verschwiegenheitspflichten. Anders kann es jedoch bei § 203 StGB sein: Zwar können der Anbieter bzw. die bei ihm handelnden Personen im Normalfall keine Täter i.S.d. § 203 StGB sein, weil ihnen die dort genannten besonderen persönlichen Merkmale (die gesetzliche Pflicht zur Verschwiegenheit) fehlen. Allerdings wird später bei den prak1 Die Wirtschaftsprüfer wurden infolge der Bilanzskandale Anfang der 2000er Jahre in Folge des amerikanischen Sarbanes Oxley Act einer strengeren Regulierung unterworfen und dabei der Grundsatz der Verschwiegenheit in Art. 23 der Abschlussprüferrichtlinie 2006/43/EG aufgenommen. Für Rechtsanwälte sind für alle Mitgliedsstaaten die Berufsregeln für Europäische Rechtsanwälte der Europäischen Rechtsanwaltsvereinigung CCBE in grenzüberschreitenden Fälle verbindlich. Dort heißt es in Abschnitt 2.3.3., dass der Rechtsanwalt die Vertraulichkeit aller ihm im Rahmen seiner beruflichen Tätigkeit anvertrauten Informationen zu wahren habe. Festgehalten wird das auch in der Charta der Grundprinzipien der Europäischen Rechtsanwälte des CCBE in Prinzip (b). Vielbeachtet war das Urteil des EuGH in der Sache Wouters (Urteil v. 19.2.2002 – Rs. C-309/99 NJW 2002, 877, insbesondere Rz. 100), in dem unter anderem die Einhaltung des Berufsgeheimnisses als Grundpflicht des Rechtsanwalts bezeichnet wird (vgl. Hellwig, NJW 2005, 1217 [1220 f.]). Zudem ist das Anwaltsgeheimnis als unionsrechtlicher Grundsatz anerkannt (vgl. Gurlit/Zander, BRAK-Mitt. 1/2012, 5 [7 m.w.N.]).
704
Hartung
V. Die Merkmale des § 203 StGB
Rz. 12
Teil 8 D
tischen Lösungsmöglichkeiten diskutiert, ob Mitarbeiter des Anbieters die strafrechtlich erhebliche Position eines berufsmäßigen Gehilfen einnehmen sollen. Damit könnten die beim Anbieter handelnden Personen als Täter strafbar sein. Nach §§ 26 f. StGB ist außerdem in jedem Fall eine Strafbarkeit als Gehilfe oder Anstifter möglich. Hierfür gelten dann auch die Regeln über das internationale Strafrecht. Danach ist deutsches Strafrecht nicht nur dann anwendbar, wenn der Ort der strafrechtlich relevanten Handlung in Deutschland ist, sondern auch dann wenn der strafrechtliche Erfolg in Deutschland eintritt. Das folgt allgemein aus §§ 3 i.V.m. 9 Abs. 1 a.E. StGB1. Wenn deutsche Betriebe und Unternehmen mit ihren spezifischen Geheimnissen betroffen sind, gilt § 5 Nr. 7 StGB, so dass unabhängig vom Erfolgs- oder Handlungsort eine Strafbarkeit nach § 203 StGB besteht. Somit kann grundsätzlich auch ein im Ausland ansässiger Anbieter, der für einen § 203 StGB unterfallenden Abnehmer Cloud Computing-Leistungen erbringt, nach dieser Norm strafbar sein. Beim Cloud Computing kommt es also in erster Linie auf den Abnehmer 10 an, ob die Verschwiegenheitspflichten überhaupt eine Rolle spielen: unterfällt dieser nicht den deutschen Bestimmungen über die Verschwiegenheitspflicht, kann auch der Anbieter nicht strafbar werden. Unterfällt dieser aber den deutschen Verschwiegenheitspflichten, können sich bei einer Verletzung der Verschwiegenheit auch ausländische Anbieter strafbar machen,
IV. Gerichtsstand Zuständig bei einer Verletzung der berufsrechtlichen Verschwiegenheit 11 ist regelmäßig ein Berufsgericht oder ein Strafgericht, wenn ein Strafverfahren wegen Verletzung von § 203 StGB eröffnet wird. Hierbei dürften in der Praxis regelmäßig nur deutsche Strafgerichte tätig werden. Zivilrechtliche Ansprüche der von der Verschwiegenheitspflicht geschützten Endkunden (Mandanten von Rechtsanwälten oder Patienten von Ärzten) werden in der Praxis wiederum regelmäßig gegen den Cloud Abnehmer in Deutschland bei den Zivilgerichten eingeklagt werden. Bei Klagen im Ausland (durch dort ansässige Endkunden oder gegen dort ansässige Cloud-Anbieter) sind zur internationalen Zuständigkeit etwa die Art. 2 ff. EuGVVO zu beachten.
V. Die Merkmale des § 203 StGB Verboten ist nach dieser Norm das unbefugte Offenbaren eines fremden 12 Geheimnisses, d.h. eine Vermittlung geschützter Informationen über 1 § 9 StGB gilt im Rahmen von § 3 StGB, so für viele MüKoStGB/Ambos, § 3 Rz. 8. Hartung
705
Teil 8 D
Rz. 13
Geheimnisverpflichtete
Endkunden des Geheimnisverpflichteten an einen unberechtigten Empfänger. Werden im Rahmen von Cloud Computing1 geheimnisrelevante Daten dem Anbieter übermittelt, kommt eine Strafbarkeit in Betracht, wenn keine Maßnahmen getroffen werden, um eine Verwirklichung dieses Risikos auszuschließen. 1. „Fremdes Geheimnis“ 13
Ein Geheimnis i.S.d. § 203 StGB ist eine nicht offenkundige Tatsache, die nur einem beschränkten Personenkreis bekannt ist2 und an deren Geheimhaltung der betroffene Endkunde ein schutzwürdiges (also sachlich begründetes3) Interesse hat4. Fremd ist das Geheimnis, wenn es allein oder weit überwiegend in der Sphäre einer anderen natürlichen oder juristischen Person (Geheimnisträger) liegt5. Dabei muss man davon ausgehen, dass die Endkunden des Geheimnisverpflichteten diese Daten üblicherweise als geheim behandeln möchten, d.h. ein Geheimhaltungswille und ein sachlich begründetes Interesse an Geheimhaltung6 bestehen7.
14
Vom Geheimnisschutz erfasst sind – vergleichbar der Definition personenbezogener Daten nach § 3 Abs. 1 BDSG – sämtliche auf einzelne Endkunden des Geheimnisverpflichteten bezogene oder beziehbare Tatsachen8. Geschützt ist dabei bereits die bloße Tatsache des Bestehens einer Geschäftsbeziehung zwischen Geheimnisverpflichteten und End1 Die nachfolgenden Ausführungen sind grundsätzlicher Natur und gelten daher nicht nur für das Cloud Computing, sondern in ähnlicher Weise für die sonstige Auslagerung von IT (IT Outsourcing) oder von Geschäftsprozessen (BPO). 2 BGH v. 10.8.1995 – IX ZR 220/94, NJW 1995, 2915 (2916); MüKoStGB/Cierniak, § 203 Rz. 15, 16. 3 Szalai/Kopf, ZD 2012, 462 (463). 4 OLG Stuttgart v. 3.2.2009 – 1 U 107/08, BeckRS 2009, 10; OLG Dresden v. 11.9.2007 – 2 Ws 163/07, NJW 2007, 3509; OLG Hamm v. 22.2.2001 – 2 Ws 9/01, NJW 2001, 1957 (1958); MüKoStGB/Cierniak, § 203 Rz. 11; vgl. Fischer, § 203 StGB Rz. 4 ff.; Lackner/Kühl, § 203 StGB Rz. 14; Langkeit, NStZ 1994, 6. § 203 StGB schützt vorrangig das Recht auf informationelle Selbstbestimmung, d.h. die Befugnis des Einzelnen, selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen: BVerfG v. 14.12.2001 – 2 BvR 152/01, NJW 2002, 2164 (2164 m.w.N.); OLG Hamburg v. 22.1.1998 – 2 Ss 105/97, NStZ 1998, 358; Hilgendorf, Outsourcing, S. 88, 89; Lackner/Kühl, § 203 StGB Rz. 1 m.w.N. 5 Szalai/Kopf, ZD 2012, 462 (464); Maisch/Seidl, DSB 2012, 127. 6 Vgl. BGH v. 10.2.2010 – VIII ZR 53/09, NJW 2010, 2509 (2511 f.) (amtlicher Leitsatz). Der Streit, ob ein objektives Geheimhaltungsinteresse Strafbarkeitsvoraussetzung ist, kann dahin stehen, weil dies hier unproblematisch ist. Verkürzt dargestellt geht es dabei um die Frage, ob objektiv belanglose, aus Betroffenensicht hingegen bedeutende und geheimhaltungswürdige Informationen vom Geheimnisschutz erfasst sind; vgl. Lackner/Kühl, § 203 StGB Rz. 14; Schönke/Schröder/ Lenckner, § 203 StGB Rz. 5; Rogall, NStZ 1983, 5. 7 Szalai/Kopf, ZD 2012, 462 (463). 8 OLG Karlsruhe v. 25.11.1983 – 1 Ws 273/83, NJW 1984, 676; vgl. auch MüKoStGB/Cierniak, § 203 Rz. 12; Fischer, § 203 StGB Rz. 4; Hilgendorf, Outsourcing, S. 89; vgl. Rogall, NStZ 1983, 1 (5 m.w.N.).
706
Hartung
V. Die Merkmale des § 203 StGB
Rz. 16
Teil 8 D
kunden, nicht nur dafür relevante Details. Beispielsweise ist bei Versicherungen nach § 203 Abs. 1 Nr. 6 StGB bereits die Tatsache des Abschlusses einer Kranken-, Unfall- oder Lebensversicherung1, beim Rechtsanwalt oder Steuerberater das Bestehen eines Mandatsverhältnis sowie beim Arzt ein Behandlungsverhältnis geschützt2. Das Geheimnis muss dem Geheimnisträger in dieser Eigenschaft anvertraut worden oder bekannt geworden sein3. Anvertrauen meint ein Offenbaren durch den Endkunden unter der (konkludenten) Auflage des Geheimhaltens (Vertrauensakt), also die typische Weitergabe von Informationen des Endkunden an den Geheimnisverpflichteten. Bekanntwerden umfasst aber auch sonstige Fälle der Kenntnis im Rahmen der Berufsausübung, ohne dass ein Vertrauensakt erforderlich ist4. Zudem muss sich die Tatsache einer bestimmten Person zuordnen las- 15 sen; es reicht nicht aus, wenn sich die Tatsachen nur auf eine unbestimmte Mehrheit beziehen lassen5. Einige Geheimnisverpflichtete (z.B. Versicherungsunternehmen, ggf. auch Krankenhäuser oder große Steuerberater-/Wirtschaftsprüferpraxen) führen getrennte Datenbanken, etwa eine Kundendatenbank mit personenbezogenen Kundeninformationen und eine Datenbank mit Leistungsdaten. Hier ist im Einzelnen zu prüfen, welche Datenbank geschützte Informationen beinhaltet und auf welche Informationen der Cloud-Anbieter zugreifen kann. Selbst wenn in einer Datenbank mit Leistungsdaten Namen etc. durch Kundennummern ersetzt werden, enthalten Leistungsdaten häufig an anderer Stelle den Namen (z.B. Arztrechnungen) und je nach Leistungsumfang hat ein Cloud-Anbieter Zugang zu allen Datenbanken. Umgekehrt kann eine Kundendatenbank neben den Stammdaten wie Namen und Kontaktdaten auch die Art der mit dem Geheimnisverpflichteten bestehenden Vertragsverhältnisse benennen (z.B. Art der bestehenden Versicherungen oder Status als „Mandant“), die nach der eben dargestellten weiten Auslegung des Begriffs „Geheimnis“ ebenfalls geschützt sind. Für das Cloud Computing ergibt sich daraus, dass der Anbieter (mangels 16 Überprüfbarkeit) im Zweifel von der Anwendbarkeit der Verschwiegenheitspflicht auf alle von diesen Abnehmern mit dem Cloud-Service ver1 So jetzt ausdrücklich: BGH v. 10.2.2010 – VIII ZR 53/09, NJW 2010, 2509 (2511 f.) (amtlicher Leitsatz): „Bei einer privaten Personenversicherung sind nicht nur die (…) gesundheitlichen Daten geschützt. Auch der Umstand, dass ein Betroffener zur Absicherung (…) gesundheitlicher Risiken finanzielle Vorsorgemaßnahmen getroffen hat, unterfällt der Geheimhaltungspflicht, da er Auskunft über die persönliche, der Öffentlichkeit nicht zugängliche wirtschaftliche Lebensgestaltung des Versicherungsnehmers gibt“. Vgl. auch Gödeke/Ingwersen, VersR 2010, 1153. 2 MüKoStGB/Cierniak, § 203 Rz. 24, für Ärzte: BGH v. 22.12.1999 – 3 StR 401/99, NJW 2000, 1426; für Rechtsanwälte: BGH v. 17.5.1995 – VIII ZR 94/94, NJW 1995, 2026 und deutlich KG v. 11.4.1988 – 24 U 6583/87, NJW 1989, 2893. 3 Kroschwald/Wicker, CR 2012, 758 (759 f.). 4 Szalai/Kopf, ZD 2012, 462 (464). 5 Szalai/Kopf, ZD 2012, 462 (463). Hartung
707
Teil 8 D
Rz. 17
Geheimnisverpflichtete
arbeiteten Daten ausgehen sollte und der Abnehmer selbst prüfen muss, wann dies (ausnahmsweise) nicht gilt. 2. Relevanter Täter- und Empfängerkreis 17
Beim Kreis der Täter des Sonderdelikts des § 203 StGB wird nicht auf die juristische Person oder rechtliche Einheit des Cloud Abnehmers abgestellt, sondern einzelne Personen aufgezählt. Dies sind in den freien Berufen die Berufsträger selbst wie Arzt, Apotheker, Rechtsanwalt, Notar, Steuerberater oder Wirtschaftsprüfer sowie Organmitglieder. Weiter gefasst wird der Kreis der Geheimnisverpflichteten bei den Versicherungsunternehmen: Hier ist die Rede von „Angehörigen“1 von Kranken-, Unfall- und Lebensversicherungsunternehmen. Hinzu kommen nach § 203 Abs. 3 StGB die so genannten berufsmäßigen Gehilfen und Auszubildenden, die aufgrund ihrer Funktion mit Betriebsgeheimnissen in Berührung kommen2.
18
In der Praxis wird sich dennoch die gesellschaftsrechtliche Einheit des Abnehmers (die hier weiterhin auch Geheimnisverpflichteter genannt wird) im Rahmen der vorhandenen Strukturen um die Einhaltung dieser Pflichten bemühen; aus Sicht des Anbieters bleibt der Abnehmer sein Ansprechpartner und nicht dessen einzelne Mitarbeiter. Allerdings kann (u.U. anders als im Datenschutz, wo, soweit man sich innerhalb derselben verantwortlichen Stelle bewegt, auf einer „Need-to-Know“-Basis der Zugang zu personenbezogenen Daten möglich ist) auch bei einer „Private Cloud“ innerhalb desselben Unternehmens die Thematik der Verschwiegenheit relevant werden. So ist etwa zu fragen, ob IT-Mitarbeiter mit den der Verschwiegenheit unterfallenden Informationen in Berührung kommen dürfen3.
19
Ein tatbestandsmäßiges Offenbaren scheidet aus, sofern dem Empfänger das Geheimnis bereits bekannt ist4, was aber beim Anbieter eines CloudServices regelmäßig nicht der Fall ist. Eine Strafbarkeit scheidet außerdem aus bei einer Offenbarung gegenüber anderen Geheimnisverpflichteten i.S.d. § 203 StGB, soweit diese Informationen in Ausübung ihrer Funktion erhalten5. Diese „Funktionseinheit“, die sich nicht auf recht1 Angehörige eines Versicherungsunternehmens sind in erster Linie die Mitglieder von Organen und Bedienstete, die durch ihre Funktion bestimmungsgemäß mit Geheimnissen in Berührung kommen. Vgl. Hilgendorf, Outsourcing, S. 83. 2 MüKoStGB/Cierniak, § 203 Rz. 37; Fischer, § 203 StGB Rz. 18; Hilgendorf, Outsourcing, S. 83; Schönke/Schröder/Lenckner, § 203 StGB Rz. 41. 3 Dazu: Kilian, AnwBl 2012, 798. 4 BGH v. 10.8.1995 – IX ZR 220/94, NJW 1995, 2915 (2916); BayObLG v. 8.11.1994 – 2 St RR 157/94, NJW 1995, 1623; MüKoStGB/Cierniak, § 203 Rz. 48 m.w.N. 5 OLG Frankfurt v. 26.11.1996 – 3 Ws 789/96, NStZ-RR 1997, 69; MüKoStGB/ Cierniak, § 203 Rz. 51; Hilgendorf, Outsourcing, S. 98; Schönke/Schröder/Lenckner, § 203 StGB Rz. 19a, 45; Otto, wistra 1999, 203; „Kreis der zum Wissen Berufenen“: Paul/Gendelev, ZD 2012, 315 (319).
708
Hartung
V. Die Merkmale des § 203 StGB
Rz. 22
Teil 8 D
liche Einheiten beschränken muss, könnte unter Umständen bei einer konzerninternen Private Cloud eine Lösung bieten. Für ein Cloud Computing durch einen externen Anbieter wird dies aber regelmäßig fraglich sein. Ähnliches gilt für Auszubildende und berufsmäßige Gehilfen nach § 203 20 Abs. 3 Satz 2 StGB als Empfänger, wenn diese innerhalb des von § 203 Abs. 1 StGB erfassten beruflichen Wirkungsbereichs eines Schweigepflichtigen eine auf dessen berufliche Tätigkeit bezogene Unterstützung ausüben, welche die Kenntnis fremder Geheimnisse mit sich bringt oder ohne Überwindung besonderer Hindernisse ermöglicht1. Wegen der Strafandrohung gegenüber diesem Personenkreis handelt der primär Schweigepflichtige nicht tatbestandsmäßig, wenn er diesen „zum Mitwissen befugten Personen“ ein Geheimnis mitteilt2. Für das Cloud Computing ergeben sich daraus verschiedene, allerdings 21 häufig beschränkte, Lösungsansätze, durch eine Mitteilung geschützter Informationen nur an einen selbst zum Schutz berufenen Personenkreis, eine Verwirklichung von § 203 StGB zu vermeiden. 3. Tathandlung und -erfolg An die Tathandlung sind keine besonderen Anforderungen zu stellen: 22 Jede (mündliche oder verkörperte) Mitteilung, Veröffentlichung, Einsichtsgewährung, Zugangsverschaffung, etc. ist tatbestandsmäßig3. Überdies ist nicht entscheidend, ob die Offenbarung durch ein Tun (z.B. das Aushändigen der Daten) oder ein Unterlassen (eine unzureichende Sicherung vor unbefugtem Zugriff) erfolgt4. Die Offenbarung des Geheimnis-
1 Heghmanns/Niehaus, NStZ 2008, 57 ff.; Schönke/Schröder/Lenckner, § 203 StGB Rz. 64; Lensdorf/Mayer-Wegelin/Mantz, CR 2009, 62 (64); Otto, wistra 1999, 203. 2 BGH v. 10.8.1995 – IX ZR 220/94, NJW 1995, 2915 (2916); MüKoStGB/Cierniak, § 203 Rz. 50 m.w.N.; Heghmanns/Niehaus, NStZ 2008, 57 (58 m.w.N.); Hilgendorf, Outsourcing, S. 84 u. 91; Hoenike/Hülsdunk, MMR 2004, 788 (789). Vereinzelt wird ein tatbestandsmäßiges Offenbaren bejaht, eine Strafbarkeit allerdings auf Rechtsfertigungsebene über eine konkludente Einwilligung (SK/Hoyer, § 203 StGB Rz. 33–35) oder ein Tatbestandsausschluss gemäß der Lehre über die Sozialadäquanz (Meier, Gesundheitskarten, 2003, S. 158) ausgeschlossen. 3 MüKoStGB/Cierniak, § 203 Rz. 52; Fischer, § 203 StGB Rz. 30; Köpke, S. 75 ff.; Lackner/Kühl, § 203 StGB Rz. 17 m.w.N.; Schönke/Schröder/Lenckner, § 203 StGB Rz. 19; Paul/Gendelev, ZD 2012, 315 (319); speziell zur Situation in der Cloud: Kroschwald/Wicker, CR 2012, 758 (760 f.). 4 Die erweiterten Anforderungen an eine Unterlassungstäterschaft nach § 13 StGB dürften angesichts der besonderen Pflichtenstellung der Berufsträger, Angehörigen und Gehilfen des Geheimnisverpflichteten als Geheimnisträger i.S.d. § 203 StGB regelmäßig erfüllt sein: MüKoStGB/Cierniak, § 203 Rz. 52; Fischer, § 203 StGB Rz. 30b; Köpke, S. 76; Schönke/Schröder/Lenckner, § 203 StGB Rz. 20; Schönke/Schröder/Stree, § 13 StGB Rz. 31. Hartung
709
Teil 8 D
Rz. 23
Geheimnisverpflichtete
ses muss jedoch unbefugt, also ohne ein Mitteilungsrecht (z.B. ohne Zustimmung) erfolgen1. 23
Beim Cloud Computing von größerer Relevanz ist aber die Frage, ob für einen tatbestandsmäßigen Erfolg eine tatsächliche Kenntnisnahme notwendig ist oder die Verschaffung der Möglichkeit einer Kenntnisnahme ausreicht2. Reicht es etwa aus, um eine Strafbarkeit zu vermeiden, wenn der Cloud-Anbieter die geschützten Daten des Abnehmers speichert, aber nicht verarbeitet (IaaS-Angebot), oder speichert und einsehen kann, dies aber tatsächlich nicht tut?
24
Vielfach wird lediglich auf ein „Mitteilen“ oder „Vermitteln von Wissen“ abgestellt, etwa in der Rechtsprechung des Bayerischen Oberlandesgerichts und des Bundesgerichtshofs: „Offenbaren heißt, dem Empfänger der Erklärung ein Wissen zu vermitteln (…)“3. Die Literatur differenziert hier: Bei mündlicher Geheimnisweitergabe (die im Rahmen des Cloud Computing nicht relevant ist) wird einhellig die Kenntniserlangung vorausgesetzt4. Bei einer für das Cloud Computing relevanten körperlichen Geheimnisweitergabe (deren Grundsätze auf die elektronische Datenverarbeitung, also auf digital gespeicherte Geheimnisse angewandt werden)5 gibt es verschiedene Ansichten: – Eine Mindermeinung verlangt immer eine Kenntnisnahme6. Danach würde mit der bloßen Speicherung geschützter Daten durch den Cloud-Anbieter noch kein Taterfolg eintreten. – Nach der herrschenden Ansicht ist dagegen eine tatsächliche Kenntnisnahme nicht notwendig; ein tatbestandsmäßiges Offenbaren kann bereits im Vorfeld gegeben sein. Teilweise wird verlangt, dass einem Dritten Gewahrsam an einer Geheimnisverkörperung (als tatsächliches Herrschaftsverhältnis einer Person über eine Sache), verbunden mit der Möglichkeit der Kenntnisnahme7 eingeräumt wird. Bei digital 1 Szalai/Kopf, ZD 2012, 462 (464). 2 Hilgendorf, Outsourcing, S. 99 ff.; Kroschwald/Wicker, CR 2012, 758 (761). 3 BayObLG v. 8.11.1994 – 2 St RR 157/94, NJW 1995, 1623; vgl. OLG Koblenz v. 3.6.2008 – 1 Ss 13/08, NJW 2008, 2794 (2795) („Hinausgeben von Angaben an Dritte“); BGH v. 10.8.1995 – IX ZR 220/94, NJW 1995, 2915 (2916 m.w.N.); BGH v. 9.2.1977 – 3 StR 498/76 (L) (Celle), NJW 1977, 769; vgl. aber auch BGH v. 11.12.1991 – VIII ZR 4/91 (Frankfurt), NJW 1992, 737 (740) (im Kontext des Verkaufs einer Arztpraxis wurde die „Weitergabe der Patientendaten“ als Offenbaren bezeichnet); s. auch OLG Köln v. 21.8.2009 – 81 Ss 52-53/09, NJW 2010, 166. 4 MüKoStGB/Cierniak, § 203 Rz. 52; SK/Hoyer, § 203 StGB Rz. 31; Köpke, S. 76; Schönke/Schröder/Lenckner, § 203 StGB Rz. 19, 72; Maisch/Seidl, DSB 2012, 127. 5 Maisch/Seidl, DSB 2012, 127. 6 Bezüglich eines Offenbarens durch Unterlassen: MüKoStGB/Cierniak, § 203 Rz. 52. 7 Heghmanns/Niehaus, NStZ 2008, 57 ff. m.w.N.; SK/Hoyer, § 203 StGB Rz. 31; Köpke, S. 76; Schönke/Schröder/Lenckner, § 203 StGB Rz. 19, 72; Maisch/Seidl, DSB 2012, 127. Dieselbe Auffassung vertritt im Ansatz auch MüKoStGB/Cierni-
710
Hartung
V. Die Merkmale des § 203 StGB
Rz. 26
Teil 8 D
gespeicherten Geheimnissen wäre dies z.B. die Einräumung der Verfügungsgewalt über die Daten, z.B. durch Weitergabe des Datenträgers (CD, USB-Stick etc.) oder der Datei (Versand per E-Mail u.Ä.)1. – Teilweise wird es für ausreichend erachtet, wenn die Möglichkeit der Kenntnisnahme verschafft wird2. Diese am weitesten gehende Literaturansicht hält es bei verkörperten Geheimnissen für ausreichend, wenn z.B. ein Arzt Krankenunterlagen in seinem unverschlossenen Dienstzimmer offen liegen lässt und eine Reinigungskraft diese wahrnehmen kann3. Damit verglichen wird die Möglichkeit des Zugriffs auf Computer ohne Überwindung von Sicherungssystemen4. Nach den herrschenden Ansichten würde mit Speicherung geschützter Daten durch den Cloud-Anbieter also häufig bereits der Taterfolg eintreten. Wenn nachfolgend unter Rz. 30 ff. Lösungsansätze dargestellt werden, 25 wird z.T. zwischen unmittelbar wahrnehmbaren Verkörperungen (z.B. einzelnen Dokumenten oder übersichtlichen einzelnen Dateien) und komplexen Datenbeständen, die der Abnehmer dem Anbieter der CloudServices übermittelt, unterschieden. Denn elektronische Dateien mit Informationen über die Endkunden sind nur dann mit den im Arztzimmer zugänglichen Krankenunterlagen vergleichbar, sofern deren Inhalte ohne weiteres wahrnehmbar sind. Dies ist bei Inhalten komplexer Datenbanken gerade nicht der Fall5. 4. Besonderheiten bei Versicherungen Die Versicherungssparten Kranken, Unfall und Leben (nicht aber sons- 26 tige Sparten) unterliegen den Einschränkungen nach § 203 Abs. 1 Nr. 6 StGB, wobei einige Besonderheiten im Vergleich zu den anderen in § 203 Abs. 1 StGB genannten Gruppen bestehen. Denn Versicherungen haben zum Teil Hunderttausende oder Millionen von Endkunden und arbeiten mit sehr großen Datenvolumen sowie stark standardisierter EDV. Bei den anderen in § 203 Abs. 1 StGB genannten Berufsgruppen wird es sich in der großen Mehrzahl dagegen um kleine bis mittelständische Betriebe handeln. Lediglich bei größeren Krankenhäusern oder großen Rechtsanwalts-, Steuerberatungs- und Wirtschaftsprüfergesellschaften findet man ein vergleichbares Maß an Organisation und EDV vor.
1 2 3 4
5
ak, § 203 Rz. 52. Er beschränkt dies aber auf das Offenbaren durch Tun. Beim Offenbaren durch Unterlassen verlangt er darüber hinaus, dass der Dritte tatsächlich Einsicht, also Kenntnis nimmt. Maisch/Seidl, DSB 2012, 127. Ehmann, CR 1991, 293 (294); Langkeit, NStZ 1994, 6; Otto, wistra 1999, 202. Langkeit, NStZ 1994, 6. Köpke, S. 79 (Sachbearbeiter, der Computer vor Verlassen nicht sperrt); Otto, wistra 1999, 202 ff. (Arzt, der Mitarbeiter eines Softwareunternehmens zu Wartungszwecken Zugang zur Datenbank einräumt); Wehrmann/Wellbrock, CR 1997, 759 (zur Fernwartung); a.A. Reichow/Hartleb/Schmidt, MedR 1998, 165. Vgl. Fischer, § 203 StGB Rz. 30a. Hartung
711
Teil 8 D
Rz. 27
Geheimnisverpflichtete
27
Bei Versicherungen stellt das Gebot der Spartentrennung nach § 8 VAG eine Hürde für eine umfassende gesellschaftsrechtliche Zusammenfassung aller Aufgaben in Versicherungskonzernen dar1. Danach müssen verschiedene Sparten in getrennten rechtlichen Unternehmen geführt werden. Vor dem Hintergrund der Verschwiegenheitspflichten sind andere Sparten-Unternehmen oder Konzern-Service-Gesellschaften Dritte. Weil man von vornherein in anderen Branchen übliche Zusammenfassungen oder Auslagerungen von Tätigkeiten nicht vorfindet, wird eine Private Cloud häufig die gleichen Probleme mit sich bringen wie die Nutzung einer Public Cloud, weil man typischerweise dieselben Anwendungen für mehrere Versicherungssparten anbieten und benutzen möchte.
28
Der Geschäftsbetrieb von Versicherungen bedarf nach § 5 Abs. 1VAG einer Erlaubnis, zu deren Beantragung ein Geschäftsplan einzureichen ist. Bestandteil des Geschäftsplans kann gemäß § 5 Abs. 1 Nr. 4 VAG eine Funktionsausgliederung sein, die auf einem entsprechenden Vertrag basiert, durch den z.B. der Vertrieb, die Bestandsverwaltung, die Leistungsbearbeitung, das Rechnungswesen, die interne Revision, die Vermögensanlage oder die Vermögensverwaltung eines Versicherungsunternehmens ganz oder zu einem wesentlichen Teil einem anderen Unternehmen auf Dauer übertragen wird2. Sowohl nach gegenwärtiger, als auch nach voraussichtlicher zukünftiger Praxis3 wäre daher eine Aufgabenverlagerung im Wege des Cloud Computing grundsätzlich möglich, aber eine Erlaubnis des BaFin erforderlich. Man kann sich aber auf die versicherungsaufsichtsrechtliche Genehmigung nicht als Rechtfertigungsgrund bei § 203 StGB stützen4. Dies lässt sich auch aus einem Beschluss der Daten1 Bräutigam, CR 2011, 411 (412); nach § 9 Abs. 4 und § 62 Abs. 4 eines Gesetzentwurfs des BMF v. 15.2.2012 (BT-Drucks. 17/9342) zur VAG-Neufassung soll dies beibehalten bzw. sogar verstärkt werden. 2 Anders als bei Banken gem. § 25a KWG, können bisher selbst Kernbereiche des Versicherungsgeschäfts oder kontrollierende Tätigkeiten wie die interne Revision ausgegliedert werden. Nach § 10 Abs. 4 Nr. 1c) eines Gesetzentwurfs des BMF v. 15.2.2012 (BT-Drucks. 17/9342) zur VAG-Neufassung sollen auch zukünftig wichtige Funktionen oder Tätigkeiten ausgegliedert werden können. 3 Im Rahmen der VAG-Reform ist mit einer Annäherung an die Praxis der Banken nach § 25a KWG zu rechnen: Nach dem Gesetzentwurf des BMF v. 15.2.2012 (BT-Drucks. 17/9342) ist vertraglich sicherzustellen, dass Weisungs-, Zugriffs-, Zugangs- und Kontrollrechte für Auftraggeber (und für Aufsichtsbehörden) verankert werden und die ausgegliederten Funktionen und Tätigkeiten im Risikomanagement Berücksichtigung finden (§ 32 Entwurf). Der Ausgliederungsvertrag ist (vergleichbar den Banken) nach dem Referentenentwurf bereits bei Absicht der Ausgliederung mit dem Vertragsentwurf der Behörde anzuzeigen (§ 44 Nr. 9 Entwurf). 4 Dagegen spricht zunächst ein formelles Argument: Die BaFin prüft im Rahmen des Genehmigungsverfahrens, ob sich die angezeigte Tätigkeit im Rahmen der Vorschriften des VAG hält (Erbs/Kohlhaas, § 5 VAG Rz. 2). Nicht geprüft wird also, ob möglicherweise Strafgesetze verletzt werden könnten. Daher kann mangels entsprechender Prüfung auch eine Genehmigung kein Rechtfertigungsgrund für Straftaten darstellen. Dies ist auch vor dem Hintergrund schwer vorstellbar,
712
Hartung
VI. Lçsungsmçglichkeiten
Rz. 30
Teil 8 D
schutzbehörden schließen, der sich insbesondere in Abschnitt 3.2. mit Schweigepflichtentbindungserklärungen im Falle von IT-Outsourcing beschäftigt, wo solch eine Möglichkeit nicht erwogen wird1. Aus den Besonderheiten für Versicherungen ergeben sich im Rahmen des 29 § 203 StGB keine vereinfachten Lösungsmöglichkeiten. Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat unter anderem wegen der vorgenannten Schwierigkeiten eine für die Versicherer maßgeschneiderte Lösung, die „Trusted German Insurance Cloud“ (TGIC) konzipiert2. Das Konzept besteht aus einer der besonderen Situation der Versicherungswirtschaft angepassten Sicherheitsarchitektur, um Cloud Computing gesetzeskonform integrieren zu können. Dieses möchte der GDV mit dem BSI zusammen weiterentwickeln und hat dementsprechend im März 2012 dort die Zertifizierung des Konzepts beantragt3. Mangels genauerer Informationen ist eine strafrechtliche Würdigung derzeit noch nicht möglich.
VI. Lösungsmöglichkeiten Nachfolgend werden mögliche Maßnahmen diskutiert, mit denen man 30 bei Cloud Computing eine Tatbestandsverwirklichung vermeiden kann, entweder weil ein Offenbaren vermieden wird oder ein Offenbaren nicht unbefugt erfolgt. Dabei liegt der Schwerpunkt auf solchen Maßnahmen, welche für das Cloud Computing in der Praxis, zumindest in bestimmten Konstellationen, umsetzbar sein können. Andere, etwa beim klassischen dass die Verwaltungsakzessorietät schon im Umweltstrafrecht, wo sie aus dem Wortlaut ableitbar ist, heftig umstritten ist (BeckOK/Witteck, Lexikon des Strafrechts, Stichwort: Verwaltungsakzessorietät, Rz. 9 ff.). Dann muss sie erst recht bei einer Vorschrift wie § 203 StGB ausscheiden, in der nicht von verwaltungsrechtlichen Pflichten die Rede ist. Mittelbar hat die Einhaltung der Verschwiegenheitspflicht durch die Versicherung durchaus Relevanz, etwa bei der Beurteilung der Zuverlässigkeit der Geschäftsleiter einer Versicherung nach § 7a VAG, wenn es in der Vergangenheit zu häufigen Verstößen gekommen ist. Aber eine direkte Regelungskompetenz des Themas Verschwiegenheitspflicht ist damit nicht verbunden. Des Weiteren spricht dagegen ein materielles Argument: § 203 StGB schützt primär die Geheimsphäre des Einzelnen (Lackner/Kühl, § 203 Rz. 1). Der Aufsichtsbehörde ist nirgends im VAG die Befugnis gegeben, über strafrechtlich geschützte Individualrechtsgüter Dritter zu disponieren, was ihr im Rahmen der nur das Versicherungsrecht betreffenden Genehmigung grundsätzlich nicht zusteht (Schönke/Schröder/Lenckner/Sternberg-Lieben, Vor § 32 Rz. 63c). 1 Düsseldorfer Kreis, Beschluss v. 17.1.2012, „Einwilligungs- und Schweigepflichtentbindungserklärung in der Versicherungswirtschaft“, S. 5. 2 Das ist die Weiterentwicklung des schon existierenden Branchennetzes des GDV für Versicherer und diejenigen Personen, welche Informationen mit ihnen austauschen müssen. 3 https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2012/Trus ted-German-Insurance-Cloud_08032012.html; Schmidt-Wehrmann, VW 2012, 511. Hartung
713
Teil 8 D
Rz. 31
Geheimnisverpflichtete
IT-Outsourcing denkbaren Alternativen werden nur kurz erwähnt. Dabei gibt es, abgesehen von der Einverständniserklärung, kaum durch Rechtsprechung abgesicherte Lösungsmöglichkeiten. Sofern man in der Praxis die Umsetzung derartiger Lösungen überlegen oder vornehmen möchte, bleibt daher immer ein erhebliches rechtliches Restrisiko. 31
Eine Rechtfertigung eines Cloud Computing nach dem BDSG (vgl. Teil 4) gilt nicht zugleich als Befugnis zur Geheimnisweitergabe i.S.d. § 203 StGB1, weil nach § 1 Abs. 3 Satz 2 BDSG berufsrechtliche Verschwiegenheitsverpflichtungen vom BDSG unberührt bleiben2. Ein gemäß § 11 Abs. 2 BDSG abgeschlossener Vertrag über eine Auftragsdatenverarbeitung führt nicht zum Ausschluss der Strafbarkeit nach § 203 StGB, spielt aber ggfs. eine Rolle bei der Einordnung der Mitarbeiter des Anbieters als Gehilfen i.S.d. § 203 StGB (vgl. hierzu eingehend unten Rz. 47 ff.)3. Eine andere Beurteilung ergibt sich auch nicht aus einem neueren Urteil des EuGH zur Parallelproblematik des Fernmeldegeheimnisses4. Dort wurde zwar die Zulässigkeit einer Weitergabe an einen Zessionar bei einer Forderungsabtretung bestätigt. Anknüpfungspunkt für die Zuständigkeit war jedoch die Norm des § 97 Abs. 1 Satz 3 TKG, nach der eine Übermittlung der Daten für Zwecke des Einzugsentgelts ja bereits ausdrücklich vorgesehen ist. Eine entsprechende öffnende Bestimmung, die es auszulegen gilt, fehlt im Bereich des § 203 StGB. Somit bedeutet eine datenschutzgerechte Lösung eines Cloud Computing noch keine Rechtfertigung i.S.d. Verschwiegenheitspflicht nach § 203 StGB. 1. Einverständniserklärung bzw. Entbindung von der Verschwiegenheitspflicht
32
Ein gegenüber dem Cloud-Abnehmer erklärtes Einverständnis der Endkunden (mit einer Entbindung von der Verschwiegenheitspflicht) ist als tatbestandsausschließend oder rechtfertigend anerkannt und schließt ei-
1 Maisch/Seidl, DSB 2012, 127 (128); Hoenike/Hülsdunk, MMR 2004, 788 (789); eingehend Köpke, S. 236 ff. m.w.N.; Seffer/Horter, ITRB 2004, 165 (166); Simitis/ Petri, § 11 Rz. 31; Conrad/Fechtner, CR 2013, 137. 2 Eingehend Köpke, S. 236 ff. m.w.N.; Seffer/Horter, ITRB 2004, 166; Simitis/Walz, § 1 BDSG Rz. 175 ff. Das BDSG wird nach Leowsky, DuD 2011, 412 (414 ff.) allerdings nicht verdrängt. 3 Heghmanns/Niehaus, NStZ 2008, 57, 62 (wann hinreichende Steuerungsmacht vorliegt, „kann anhand der Kriterien für das Vorliegen einer Auftragsdatenverarbeitung nach § 11 BDSG beantwortet werden“); Heghmanns/Niehaus, wistra 2008, 161 (167) (solange die Grenzen des § 11 BDSG nicht überschritten werde, bestehe kein Strafbarkeitsrisiko, da der Anbieter dann „stets Gehilfe i.S.v. § 203 III 2 StGB ist und ihm gegenüber nichts unbefugt offenbart wird.“); Hoenike/ Hülsdunk, MMR 2004, 788 (792); für ein Ausreichen von § 11 BDSG: Paul/Gendelev, ZD 2012, 315 (319 f.). 4 EuGH v. 22.11.2012 – C-119/12, ZD 2013, 77.
714
Hartung
VI. Lçsungsmçglichkeiten
Rz. 33
Teil 8 D
ne Strafbarkeit nach § 203 StGB aus1. Dabei ist in der Praxis ein ausdrückliches Einverständnis zu bevorzugen2. Denn nur dieses erlaubt die Nachvollziehbarkeit, selbst wenn ein konkludentes Einverständnis möglich ist3. Die im Strafrecht (anders als im Datenschutzrecht) anerkannte mutmaßliche Einwilligung4 kommt nur in Betracht, wenn das rechtzeitige Einholen einer ausdrücklichen Erklärung unmöglich ist oder zweifelsfrei und erkennbar kein Interesse an Geheimhaltung bestand5, was bei typischen Cloud Computing-Szenarien irrelevant sein dürfte. Bei der Umsetzung einer Einverständnis-Lösung sind einige Vorgaben zu 33 beachten: – Zunächst muss die Einverständniserklärung konkret auf das Cloud Computing (oder auch andere Formen einer Auslagerung) Bezug nehmen. Es wird aber häufig aus Sicht des Abnehmers nicht dem Sinn oder der Natur von Cloud Computing-Angeboten entsprechen, diese langfristig im Voraus planen und konkret benennen zu können. – Es ist umstritten, wie konkret Zweck und Umfang einer Auslagerung, die Dienstleister und die betroffenen Daten beschrieben werden müssen. Nach der Rechtsprechung muss der Betroffene wissen, worin er sein Einverständnis erklärt, um Bedeutung und Tragweite überblicken zu können, Anlass und Zielsetzung der Entbindung, die entbundenen Personen sowie Art und Umfang der Einschaltung Dritter6. Zumindest bei der Anzahl externer Dienstleister haben die deutschen Aufsichtsbehörden in der mit der Versicherungswirtschaft abgestimmten Einwilligungs- und Schweigepflichtentbindungserklärung für zulässig erachtet, der Einwilligungserklärung eine aktuelle Liste von Dienstleistern beizufügen, verbunden mit der Ankündigung diese Liste
1 MüKoStGB/Cierniak, § 203 Rz. 53 ff.; SK/Hoyer, § 203 StGB Rz. 67; Schönke/ Schröder/Lenckner, § 203 StGB Rz. 22; Otto, wistra 1999, 204; Kroschwald/Wicker, CR 2012, 758 (763); Hornung/Sädtler, DuD 2013, 148 (152). 2 Hoenike/Hülsdunk, MMR 2004, 788 (789); König, NJW 1991, 753 (755); vgl. Seffer/Horter, ITRB 2004, 165 (167). 3 MüKoStGB/Cierniak, § 203 Rz. 60. 4 MüKoStGB/Cierniak, § 203 Rz. 83. 5 BGH v. 11.12.1991 – VIII ZR 4/91 (Frankfurt), NJW 1992, 737 (740); BGH v. 10.7.1991 – VIII ZR 296/90 (Köln), NJW 1991, 2955 (2957); BGH v. 25.3.1993 – IX ZR 192/92 (Bamberg), NJW 1993, 1638 (1639); Hilgendorf, Outsourcing, S. 85 m.w.N.; Kroschwald/Wicker, CR 2012, 758 (763); Hornung/Sädtler, DuD 2013, 148 (152); Langkeit, NStZ 1994, 6 (7); stets von Einwilligung in diesen Fällen ausgehend Ewer, AnwBl 2011, 847; vgl. dazu auch Spatscheck, AnwBl 2012, 478 (479). 6 Zuletzt AG Mannheim v. 21.9.2011 – 10 C 102/11, ZD 2012, 42; BVerfG, VersR 2006, 1669; BGH v. 20.5.1992 – VIII ZR 240/91, NJW 1992, 2348; OLG Frankfurt v. 29.6.1987 – 2 Ws 194/86, NJW 1988, 2488. In der Kommentarliteratur wird sogar vorgebracht, das Einverständnis müsse die konkret geheimzuhaltenden Tatsachen betreffen: BeckOK/Weidemann, § 203 Rz. 34. Hartung
715
Teil 8 D
Rz. 34
Geheimnisverpflichtete
jeweils zu aktualisieren und über das Internet zur Verfügung zu stellen1. – Wie im Datenschutz ist die Einholung von Einverständniserklärungen von Bestandskunden, deren bestehende Erklärungen ein Cloud Computing nicht abdecken, aus praktischen Gründen schwer umsetzbar2. – Schließlich stellt sich bei Einverständniserklärungen die Frage nach der Widerrufbarkeit (die etwa im Datenschutz grundsätzlich gegeben ist). Bei § 203 StGB macht ein Widerruf des Einverständnisses aber nur bis zum erstmaligen Offenbaren Sinn. Denn eine Tatsache, die jemandem einmal offenbart wurde, kann im Verhältnis zu ihm kein Geheimnis mehr sein und ihm danach auch nicht mehr i.S.d. § 203 StGB offenbart werden3. Für das Cloud Computing bedeutet das: Hat der Abnehmer die Daten mit dem Einverständnis des Endkunden auf den Server des Anbieters übertragen, kann ein Widerruf – wenn er überhaupt möglich ist4 – zumindest im strafrechtlichen Bereich bei § 203 StGB nichts mehr daran ändern, dass das Einverständnis die Tatbestandsmäßigkeit der ursprünglichen Datenübertragung ausgeschlossen hat und das reine Belassen der Daten auf dem Server nach Widerruf des Einverständnisses mangels Wiederholbarkeit der Offenbarung nicht tatbestandsmäßig sein kann5. 34
Die Einverständniserklärung der von der Verschwiegenheitspflicht geschützten Endkunden bleibt eine wichtige Möglichkeit, ein Cloud Computing von Leistungen durch den Geheimnisverpflichteten zu ermöglichen. Eine solche Einwilligung kann etwa in Mandatsbedingungen eingebunden werden. Im Versicherungsgewerbe ist eine standardisierte Einwilligungserklärung der Versicherten bereits Usus6. Besondere Herausforderungen stellen sich dabei durch die Anforderungen an die Transparenz und Konkretheit. 1 Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) v. 17.1.2012, abrufbar etwa unter www.bfdi. bund.de. 2 Bräutigam, CR 2011, 411 (413). 3 BGH v. 10.8.1995 – IX ZR 220/94, NJW 1995, 2915; MüKoStGB/Cierniak, § 203 Rz. 48. 4 Offen lassend BGH v. 21.10.2008 – 1 StR 536/08, NStZ-RR 2009, 15, von einer Widerrufsmöglichkeit ausgehend OLG Frankfurt v. 11.1.2005 – 3 Ws 1003/04; Stoll, BB 1998, 785. 5 Unter bestimmten Umständen wäre eine spätere Strafbarkeit wegen Unterlassung denkbar: Falls die geschützten Informationen beim Cloud-Anbieter gespeichert, von diesem aber noch nicht zu Kenntnis genommen wurden, fehlt es zumindest nach einigen oben genannten Ansichten am Taterfolg. Dieser könnte bei einer vorsätzlich Kenntnisnahme des Anbieters nach Widerspruch des Endkunden noch eintreten und der Abnehmer wäre wegen Unterlassens strafbar, wenn er die Daten nach Widerruf nicht zurückholt: MüKoStGB/Cierniak, § 203 Rz. 52. 6 Vgl. dazu Düsseldorfer Kreis, Beschluss v. 17.1.2012, „Einwilligungs- und Schweigepflichtentbindungserklärung in der Versicherungswirtschaft“, S. 5.
716
Hartung
VI. Lçsungsmçglichkeiten
Rz. 37
Teil 8 D
2. Anonymisierung, Pseudonymisierung bzw. Verschlüsselung der Daten Der Geheimnisschutz des § 203 StGB erfasst nur Daten, die auf konkrete 35 Endkunden des Geheimnisverpflichteten beziehbar sind. Nach dem BDSG müssen Angaben einer „bestimmbaren“ Person zuzuordnen sein1. Vergleichbare, wenn gleich nicht ganz so konkrete Kriterien wendet die strafrechtliche Literatur bei der Auslegung des Tatbestandsmerkmals „fremd“ bei dem Begriff „fremdes Geheimnis“ an2. Im Sinne einer doppelten Absicherung wird für das Offenbaren gefordert, dass der Empfänger nicht nur die Tatsache, sondern auch den Betroffenen erfährt: Eine Mitteilung, aus der die Person, die den Rechtsschutz in Anspruch nehmen kann, nicht erkennbar ist, erfüllt den Tatbestand des § 203 StGB nicht3. Somit erschließt sich auch die Wirkung einer Anonymisierung: Wenn im 36 Datenschutz Daten derart verändert bzw. verfremdet sind, dass eine Rückführbarkeit auf konkrete Personen technisch ausgeschlossen oder nur mit unverhältnismäßig hohem Aufwand möglich ist, liegt im Datenschutzrecht ein Anonymisieren i.S.v. § 3 Abs. 6 BDSG vor (z.B. durch irreversible Löschung von Namen)4. In diesem Fall dürfte auch ein Offenbaren ausgeschlossen sein, eine Anonymisierung somit eine theoretische Lösungsmöglichkeit sein. Aber häufig ist dies praktisch nicht zielführend, da die Geschäftstätigkeit der Geheimnisverpflichteten eine Personenbeziehbarkeit erfordert und mit derart endgültig veränderten Daten nicht gearbeitet werden kann5. In der Praxis dürfte eher eine Pseudonymisierung (im Sinn von § 3 37 Abs. 6a BDSG) realisierbar sein6, d.h. persönliche Identifizierungsmerkmale im Datenbestand werden durch ein neutrales Identifizierungsmerkmal, d.h. einen Schlüssel ersetzt, den der Cloud Abnehmer kennt, nicht aber der Cloud-Anbieter. Fraglich bleibt aber, ob hierdurch die Strafbarkeit i.S.d. § 203 StGB entfällt. Im Datenschutzrecht wurde in Deutschland bislang überwiegend die subjektive Ansicht vertreten, dass pseudonymisierte Daten für einen Empfänger, der den Schlüssel zur Personalisierung nicht besitzt, keine personenbezogenen Daten sind (vgl. Teil 4 Rz. 21 ff.)7. Im Strafrecht kann es auf einen Streit, ob man hier eine 1 Gola/Schomerus, § 3 BDSG Rz. 10; Simitis/Dammann, § 3 BDSG Rz. 20 ff. 2 SK/Hoyer, § 203 StGB Rz. 31; Rogall, NStZ 1983, 1 (5 m.w.N.). 3 Lackner/Kühl, § 203 StGB Rz. 17 m.w.N.; Schönke/Schröder/Lenckner, § 203 StGB Rz. 19. 4 Vgl. MüKoStGB/Cierniak, § 203 Rz. 48 m.w.N.; Lackner/Kühl, § 203 StGB Rz. 14 m.w.N. 5 Bräutigam, CR 2011, 411 (413). 6 Zum Modell der „elektronischen Datentreuhänderschaft“ bei der Pseudonymisierung von Patientenlisten durch einen selbstständigen, unabhängigen und vertrauenswürdigen Dritten: Hornung/Sädtler, DuD 2013, 148 (152 m.w.N.). 7 Roßnagel/Scholz, MMR 2000, 726; Roßnagel/Schulz, § 4 TDDSG Rz. 433. Die Artikel 29-Datenschutzgruppe hat jedoch eine abweichende Ansicht hierzu geHartung
717
Teil 8 D
Rz. 38
Geheimnisverpflichtete
objektive Betrachtung anlegen sollte, nicht ankommen. Entscheidend bleibt die Möglichkeit des konkreten Cloud-Service-Anbieters, den Betroffenen mit legalen Mitteln zu identifizieren1. Wenn der Anbieter den Schlüssel nicht besitzt und nicht bekommen kann, liegt keine Offenbarung vor, es sei denn, aus den Daten ist ein Rückschluss auch ohne Namen (etwa durch Heranziehen sonstiger Identifizierungsmerkmale) möglich. Als Unterfall der Pseudonymisierung ist eine Verschlüsselung der Daten zu beurteilen, bei der die Daten vollständig oder teilweise technisch verändert werden, so dass sie nur mit dem entsprechenden Schlüssel gelesen werden können (vgl. ausführlich zur Verschlüsselung Teil 4 Rz. 29 ff.). Voraussetzung ist eine hochwertige Verschlüsselung (nicht zu verwechseln mit einem bloßen Passwortschutz) und geeignete Konzepte, um eine Kenntnis des Schlüssels durch den Anbieter zu verhindern2. Ein Offenbaren ist auszuschließen3, weil keine Kenntnisnahme erfolgt, keine Möglichkeit der Kenntnisnahme eröffnet und kein Gewahrsam am verkörperten Geheimnis begründet wird. Eine Kenntnisnahme trotz Verschlüsselung wird regelmäßig nur durch eine Straftat (z.B. nach § 202a StGB) möglich sein und wäre den Geheimnisverpflichteten regelmäßig nicht pflichtwidrig vorzuwerfen. 38
Somit können eine Pseudonymisierung oder Verschlüsselung im Rahmen des Cloud Computing taugliche Mechanismen sein, eine Verletzung von § 203 StGB auszuschließen. Dabei ist aber genau zu überlegen, in welchen Fällen diese Mechanismen angewendet werden können. Sinn und Zweck ist es, eine Kenntnisnahme-Möglichkeit durch den Anbieter zu vermeiden, indem auf denjenigen Systemen und Anwendungen, auf die der Anbieter Zugriff hat, nur pseudonymisierte oder verschlüsselte Daten gespeichert oder verarbeitet werden. Dabei ist zu berücksichtigen, dass die eigentliche Datenverarbeitung in einer Anwendung häufig mit verschlüsselten Daten nicht vorgenommen werden kann. Technische Verfahren, die eine Verarbeitung verschlüsselter Daten erlauben (homomorphe Verschlüsselung), befinden sich derzeit eher in einer Entwicklungsphase, denn in einer breiten Anwendung. Außerdem sind die Kosten für die Verarbeitung homomorph verschlüsselter Daten um ein Vielfaches höher. Als Faustregel kann man von folgender Unterteilung ausgehen: – Bei IaaS-Diensten kann eine Pseudonymisierung oder Verschlüsselung ohne wesentliche Leistungseinbuße möglich sein, vor allem wenn es äußert: Art. 29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ v. 20.6.2007, WP 136, S. 23. 1 Hilgendorf, Outsourcing, S. 83 ff. 2 Stiemerling/Hartung, CR 2012, 60 (67 f.); vgl. zu den Anforderungen an Medizinnetze: Konferenz der Beauftragten für den Datenschutz in Bund und Ländern, Datenschutz und Telemedizin – Anforderungen an Medizinnetze, S. 20, 21. 3 Stiemerling/Hartung, CR 2012, 60 (67 f.); Wehrmann/Wellbrock, CR 1997, 754 (759), zur externen Archivierung von Patientendaten; Hornung/Sädtler, DuD 2013, 148 (152); Kroschwald/Wicker, CR 2012, 758 (760).
718
Hartung
VI. Lçsungsmçglichkeiten
Rz. 39
Teil 8 D
allein um Speicherdienste geht. Ein Beispiel wäre die Verlagerung der Datenspeicherung oder Archivierung im Wege des Cloud Computing. Soll dagegen eine Software des Kunden auf der IaaS-Infrastruktur des Anbieters ablaufen, stellen sich ähnliche Fragen wie bei SaaS-Diensten. Denkbar ist in diesen Fällen der Betrieb der Software in einer sog. „sealed box“1. – Bei PaaS-Diensten hängt dies vom jeweiligen Einzelfall ab. – Bei SaaS-Diensten dürfte eine Verschlüsselung regelmäßig ausgeschlossen sein, weil hier die Verarbeitung der Daten (z.B. Document Processing) beim Anbieter stattfindet. Dagegen kann eine Pseudonymisierung durchaus in Betracht kommen. 3. Technische und organisatorische Zugriffssperren a) Technische Zugriffssperren Bei technischen Zugriffssperren bestehen physische Zugangsmöglichkei- 39 ten zu IT-Systemen oder Daten; Zugriffe auf entsprechende Datenbanken oder Anwendungen und damit ein Einsehen der geschützten Daten wird auf technischem Weg unterbunden. Ähnlich der Begründung zur Pseudonymisierung bzw. Verschlüsselung (vgl. oben Rz. 35 ff.) kann man argumentieren, dass solche Sperren keine Möglichkeit der Kenntnisnahme belassen2, Gewahrsam am verkörperten Geheimnis verhindern3 oder generell ein Offenbaren vermieden wird4.
1 Vgl. zum Beispiel das Angebot der Firma Uniscon: http://www.sealedcloud.de/ (zuletzt besucht am 2.7.2013). 2 MüKoStGB/Cierniak, § 203 Rz. 52; Köpke, S. 79; Reichow/Hartleb/Schmidt, MedR 1998, 163; Wienke/Sauerborn, MedR 2000, 519. 3 Vgl. Köpke, S. 79–81, wonach ein Offenbaren vorliegen soll, wenn Daten in einem nicht ausreichend gesicherten Datenspeicher oder Netzwerk abgelegt werden und Dritten daher deren Abruf ohne größere Schwierigkeiten ermöglicht wird. 4 Vgl. MüKoStGB/Cierniak, § 203 Rz. 52 m.w.N.: „(…) beim Einsatz externen Wartungs- und Servicepersonals durch den Betreiber einer EDV-Anlage (…) genügt das mit der Auftragsvergabe verbundene Verschaffen der tatsächlichen Möglichkeit der Kenntnisnahme aller dort gespeicherten Daten schon aus quantitativen und qualitativen Gründen (Dekodierung digitalisierter Daten) nicht. Eine reale Kenntniserlangung durch das (externe) Wartungspersonal setzt vielmehr einen gesonderten Zugriff, für die Masse der digitalisierten Geheimnisse zudem eine zusätzliche Speicherung oder die Erstellung entsprechender Ausdrucke voraus. Das Problem verlagert sich (…) auf die Unterlassungsebene. Seiner Pflichtenstellung i.S. des § 13 genügt der schweigepflichtige Betreiber einer EDV-Anlage bzw. eines Computernetzwerks, wenn er bei betriebsnotwendigen Serviceund Wartungsarbeiten die nach § 11 Abs. 5 BDSG erforderlichen Sicherheitsund Kontrollmaßnahmen gegenüber dem externen Auftragnehmer ergreift. Hierzu ist auf die bereits vor der Anfügung des § 11 Abs. 5 BDSG entwickelten Sicherheitsmaßnahmen zu verweisen.“; Hilgendorf, Outsourcing, S. 100; Köpke, S. 79. Hartung
719
Teil 8 D
40
Rz. 40
Geheimnisverpflichtete
Voraussetzung sind geeignete, dem Stand der Technik entsprechende Zugangssperren (z.B. Passwörter, die hohen Anforderungen genügen; sonstige Authentifizierungsmittel wie biometrische Merkmale oder Chipkarten; eine Kombination solcher Maßnahmen), deren Überwindung nur mit hohem technischen Aufwand und krimineller Energie möglich ist. Wenn es dann trotzdem zu einer Kenntnisnahme geheimer Daten durch Dritte kommt, liegt dem eine Straftat der entsprechenden Mitarbeiter des Anbieters (nach § 202a StGB, bzw. § 17 UWG) zugrunde, nicht aber ein Pflichtverstoß durch die Geheimnisverpflichteten. Die praktische Umsetzung beim Cloud Computing (etwa bei SaaS-Diensten, bei denen eine Verschlüsselung während der Verarbeitung nicht möglich ist), hängt aber vom Einzelfall ab und dürfte insbesondere dann scheitern, wenn (weitreichende) Administratoren-Rechte notwendig sind. b) Organisatorische Zugriffssperren
41
§ 203 StGB enthält keine ausdrückliche Aussage, ob organisatorische Sperren ausreichen, um eine Verwirklichung eines Offenbarens auszuschließen. Organisatorische Sperren wären etwa strenge Dienstanweisungen, Richtlinien, ein Vier-Augen-Prinzip, (aufwendige) Genehmigungsund Freigabeprozesse etc. beim Cloud-Anbieter, die verhindern sollen, dass die Mitarbeiter des Anbieters auf die Daten tatsächlich zugreifen. Da gerade beim Cloud Computing die Einflussnahme-Möglichkeiten und Kontrollrechte des Abnehmers regelmäßig begrenzt sind, dürften derartige Lösungen in der Praxis häufig nur für eine Private Cloud, insbesondere in Konzernverbünden, in Betracht kommen. Da diese Lösungsmöglichkeit außerdem rechtlich umstritten ist, werden die wesentlichen Argumente nach den oben dargestellten Ansichten über den Taterfolg des § 203 StGB daher nur zusammengefasst.
42
Wenn man für einen Taterfolg eine Möglichkeit der Kenntnisnahme voraussetzt, kann man mit dem Wortlaut für eine Anerkennung organisatorischer Sperren argumentieren, da § 203 StGB anders als z.B. §§ 202, 202a StGB nicht ausdrücklich an technische Barrieren anknüpft. Zudem ist die Anknüpfung an organisatorische Maßnahmen bei einem Offenbaren durch Unterlassen anerkannt1. Ferner kann argumentiert werden mit der Relevanz psychischer Barrieren bei Verkehrssicherungspflichten2, der
1 MüKoStGB/Cierniak, § 203 Rz. 52; wobei vorwiegend auf technische Mechanismen abgestellt wird, z.B. verschließbare Aktenschränke, Tresore, Verschlüsselung, Passwortschutz oder sonstige Sperren der EDV: Köpke, S. 79; Langkeit, NStZ 1994, 6. 2 BGH v. 14.3.1995 – VI ZR 34/94 (Hamm), NJW 1995, 2631 (Warnschilder vor tödlichen Stromschlägen ohne Erfordernis von Einzäunung etc.); BGH v. 4.5.1999 – VI ZR 379–98 (Schleswig), NJW 1999, 2364; OLG Düsseldorf v. 15.1.1999 – 22 U 137–98, NJW-RR 1999, 1188; MüKoBGB/Henssler, § 618 Rz. 50 (Arbeitsanweisungen zur Unfallverhütung).
720
Hartung
VI. Lçsungsmçglichkeiten
Rz. 44
Teil 8 D
Vorverlagerung der Strafbarkeit1 sowie der unmittelbaren Wahrnehmbarkeit2. Diese Argumente sprechen dafür, dass es letzten Endes nur auf die Effizienz der Maßnahmen ankommen kann3. Wenn man für einen Taterfolg auf den Gewahrsam abstellt, d.h. die Mög- 43 lichkeit einer Einwirkung auf die Sache ohne Hindernisse, wäre ein Offenbaren dann gegeben, wenn es nicht auf das „rechtliche Dürfen“ (das durch organisatorische Sperren unterbunden werden soll) ankommt4, sondern nur auf faktische Zugriffsmöglichkeiten. Neben den eben genannten Argumenten spricht für die Anerkennung organisatorischer Sperren die sonst auftretende Ungleichbehandlung von aktivem Tun und Unterlassen entgegen § 13 StGB5 und die Gleichbehandlung mit anerkannten ähnlichen Fällen6. Nach der Minderansicht in der Literatur, die für ein Offenbaren immer 44 eine Kenntnisnahme des Geheimnisses voraussetzt, wäre wegen der hier getroffenen Maßnahmen zunächst keine Tatbestandsverwirklichung ge1 Der Ansicht, die eine Möglichkeit der Kenntnisnahme (mit oder ohne Gewahrsam) ausreichen lässt, ist vorzuwerfen, dass bereits eine Gefährdung der Rechtsgüter für eine Strafbarkeit ausreicht (MüKoStGB/Cierniak, § 203 Rz. 52) obwohl bei unverkörperten Geheimnissen eine Kenntnisnahme verlangt wird und es sich um ein Erfolgs- und nicht um ein Gefährdungsdelikt handelt. In § 203 StGB ist, anders als z.B. bei §§ 130, 130a, 131, 184 StGB das „Zugänglichmachen“ von Informationen zur Tatbestandsverwirklichung ausdrücklich nicht ausreichend. 2 Bei großen Datenbeständen kann gegen ein Offenbaren sprechen, dass die einzelnen Geheimnisse regelmäßig nicht unmittelbar wahrnehmbar sind, sondern ihr Offenbaren das bewusste Sichtbarmachen bzw. Abrufen erfordert. Dies bedeutet, dass nicht der Täter (Mitarbeiter des Versicherungsunternehmens) eine Wahrnehmbarkeit der konkreten Geheimnisse schafft, sondern erst der Empfänger: MüKoStGB/Cierniak, § 203 Rz. 52; Fischer, § 203 StGB Rz. 30a. 3 Dementsprechend differenziert Hilgendorf zwischen „faktischer Sicherung“ (physikalische Schranken, Hardware-/Softwaresicherung) und „normativer Sicherung“ (Kenntnisnahmeverbote arbeitsrechtlicher oder strafrechtlicher Art) und stellt klar, dass normative Sicherungen auf psychischer Ebene greifen und „ohne weiteres als relevante Barrieren angesehen werden (können)“. Oftmals übertreffe deren Schutzwirkung sogar die der faktischen Sicherungen: Hilgendorf, Outsourcing, S. 99, 101 ff. 4 Schönke/Schröder/Eser, § 242 StGB Rz. 25. 5 Beim Handeln durch Unterlassen wird eine reale Kenntniserlangung durch zusätzliche Speicherung, Ausdrucke, etc. verlangt. Beim aktiven Tun reicht dagegen die tatsächliche Sachherrschaft mit der Möglichkeit der Kenntniserlangung. In einer Verkörperung enthaltene Informationen werden aber nicht automatisch mit Ausübung der tatsächlichen Sachherrschaft bekannt, etwa bei großen Datenbeständen (anders als evtl. bei Schriftstücken), vgl. MüKoStGB/Cierniak, § 203 Rz. 52. 6 Die Aushändigung von verschlossenen Umschlägen mit Krankenakten wird trotz Gewahrsam des Empfängers als Hindernis anerkannt (OLG Düsseldorf v. 20.8.1996 – 20 U 139/95, CR 1997, 536; Ehmann, CR 1997, 540; Langkeit, NStZ 1994, 9). Letztlich stellen verschlossene Umschläge keine verlässliche physische, sondern nur eine psychische Barriere unabhängig vom Gewahrsam dar (MüKoStGB/Cierniak, § 203 Rz. 52). Hartung
721
Teil 8 D
Rz. 45
Geheimnisverpflichtete
geben. Die Risiken liegen aber auf der Hand: bei tatsächlicher Kenntnisnahme der Daten durch Mitarbeiter des Anbieters trotz organisatorischer Sperren könnte eine Strafbarkeit durch aktives Tun1 oder Unterlassen vorliegen2. Aufgrund der bestehenden Rechtsrisiken sollte der Abnehmer sich daher nicht darauf verlassen, dass alleine organisatorischen Maßnahmen seine Strafbarkeit ausschließen. Überdies ist bei organisatorisch gelagerten Maßnahmen genau zu prüfen, inwieweit diese bei den konkreten Cloud Computing-Diensten in der Praxis Anwendung finden könnten. Dies hängt wesentlich davon ab, ob und inwieweit der Abnehmer Einfluss auf Ausgestaltung der innerbetrieblichen Abläufe des Anbieters hat und ausreichende Kontrollmöglichkeiten. Diese Lösungen werden daher regelmäßig eher in einer Private Cloud in Unternehmensverbänden eine Bedeutung zukommen, als bei allgemein am Markt verfügbaren, standardisierten Public Cloud-Diensten. c) Persönliche Überwachung durch den Geheimnisverpflichteten 45
Fraglich ist, ob eine Überwachung der Mitarbeiter des Anbieters durch Mitarbeiter des Geheimnisverpflichteten mit der Möglichkeit einer Einflussnahme bei konkreten Aktivitäten ausreichen kann, z.B. wenn Mitarbeiter des Anbieters bei einer Fernwartung Zugriff auf den Bildschirm des Mitarbeiters des Geheimnisverpflichteten und geschützte Informationen haben können, dies aber durch eine Aktion des Mitarbeiters des Geheimnisverpflichteten vermieden wird. Dafür spricht der anerkannte Vergleichsfall, wenn eine Reinigungskraft bei Anwesenheit eines Mitarbeiters des Geheimnisverpflichteten dessen Büro betritt, dort befindliche Unterlagen zwar einsehen könnte, dabei aber kontrolliert und daran im Zweifel gehindert wird3. Allerdings wird beim Cloud Computing mangels gleichzeitiger physischer Anwesenheit Vieles an der effektiven Aufsichtsmöglichkeit des Abnehmers hängen, die häufig nicht gegeben sein wird. Außerdem ist fraglich, inwieweit diese Lösung auf Cloud-Services Anwendung finden kann, wenn es dort um einen IT-Dienst als 1 Wenn dies dem Geheimnisverpflichteten objektiv zuzurechnen ist, d.h. wenn er das missbilligte Risiko des Erfolgseintritts geschaffen und sich dieses Risiko im eingetretenen Erfolg verwirklicht hätte, vgl. Hilgendorf, Outsourcing, S. 103. 2 Wenn der Geheimnisverpflichtete den Eintritt der Kenntnisnahme durch ihm mögliche Handlungen, die er unterlassen hat, verhindern konnte. Dahinter verbirgt sich dieselbe, eben erörterte Frage: Muss der Geheimnisverpflichtete damit rechnen, dass die Mitarbeiter des Anbieters auf die geheimen Daten zugreifen oder reichen die organisatorischen Sperren? Trotz der guten Argumente dafür, dass effektive organisatorische Sperren den technischen Beschränkungen gleichzusetzen sind, fehlt entsprechende Rechtsprechung. 3 Z.T. wird ein Offenbaren wegen des Fehlens ein einer Kenntnisnahme-Möglichkeit abgelehnt, vgl. Wienke/Sauerborn, MedR 2000, 519; a.A. Otto, wistra 1999, 204 (Berücksichtigung der Überwachung allerdings auf Rechtfertigungsebene (Notstand)). Ein Offenbaren könnte auch abgelehnt werden, weil eine Gewahrsamserlangung wegen der Anwesenheit und Eingriffsmöglichkeit der Mitarbeiter des Geheimnisverpflichteten nicht gegeben ist.
722
Hartung
VI. Lçsungsmçglichkeiten
Rz. 47
Teil 8 D
Ganzes geht und nicht zwischen einzelnen Leistungselementen wie Services unterschieden wird. d) Rechtfertigung eines Offenbarens Eine Berufung auf einen rechtfertigenden Notstand nach § 34 StGB erfor- 46 dert, dass die Vorgehensweise der Geheimnisverpflichteten zum Schutz bedrohter, anerkannter Interessen erforderlich ist und diese Interessen bei einer Gesamtabwägung wesentlich überwiegen1. Effizienzinteressen des Abnehmers2 stünden dem hoch zu bewertenden Interesse der Endkunden am Schutz ihrer Privatgeheimnisse3 entgegen. Eine Offenbarung kann also nur ausnahmsweise gerechtfertigt sein4. Zu einem ähnlichen Ergebnis gelangt man mit der Rechtsprechung zur Rechtfertigung eines Offenbarens aufgrund einer allgemeinen Güter- und Interessenabwägung5. Auch dies stellt also keine Lösung für das Cloud Computing dar. 4. Die „Gehilfen-Lösung“ bzw. die funktionelle Betrachtungsweise Falls (durch die vorgenannten Maßnahmen) die Anzahl der Mitarbeiter 47 des Anbieters, die Zugriff auf die geschützten Informationen haben müssen, reduziert wird, aber für bestimmte Funktionen innerhalb des CloudDienstes ein Zugriff unvermeidlich ist (z.B. Administrator), kann man die Mitarbeiter des Anbieters durch eine funktionelle Betrachtungsweise in die „Stelle“ des Geheimnisverpflichteten oder in den Kreis der berufs-
1 Vgl. MüKoStGB/Cierniak, § 203 Rz. 84 ff.; SK/Hoyer, § 203 StGB Rz. 81; Otto, wistra 1999, 205. 2 Eine Auslagerung entspricht regelmäßig dem Interesse (auch der Endkunden) an einer effizienten, kostengünstigen und einwandfreien Abwicklung des Betriebs des Geheimnisverpflichteten, wofür z.B. umfangreiche EDV-Anlagen und entsprechende Wartungs- und Servicedienste (die selbst bei einer ansonsten intern betriebenen IT wegen Rückgriffs auf Hersteller unvermeidbar sind) unerlässlich sind, vgl. Otto, wistra 1999, 204. 3 Lensdorf/Mayer-Wegelin/Mantz, CR 2009, 62 (65 m.w.N.). 4 Wenn die Gefährdung von Privatgeheimnissen durch umfangreiche Maßnahmen weitgehend ausgeschlossen und ein Offenbaren auf absolut zufällige und nicht vermeidbare Ausnahmefälle beschränkt bleibt. Bei den zu treffenden Maßnahmen wird in der Literatur z.T. eine Parallele zur Einrichtung technischer und organisatorischer Maßnahmen nach § 9 BDSG bei der Fernwartung gezogen: Otto, wistra 1999, 206. Allerdings ist das Vorliegen eines Rechtfertigungsgrundes, soweit ersichtlich, nicht allgemein anerkannt, vgl. Hilgendorf, Outsourcing, S. 106 („nur in außergewöhnlichen Fällen“). 5 BGH v. 9.10.1951 – 1 StR 159/51 (LG Memmingen), NJW 1952, 151; BGH v. 8.10.1968 – VI ZR 168/67 (KG), NJW 1968, 2290; OLG Karlsruhe v. 25.11.1983 – 1 Ws 273/83, NJW 1984, 676; OLG Köln v. 4.7.2000 – Ss 254/00, NJW 2000, 3657; Rogall, NStZ 1983, 6; ablehnend Fischer, § 203 StGB Rz. 45; SK/Hoyer, § 203 StGB Rz. 89; MüKoStGB/Cierniak, § 203 Rz. 84; implizit OLG Karlsruhe v. 11.8.2006 – 14 U 45/04, VersR 2007, 245 und nun anscheinend auch BGH v. 16.2.2011 – IV ZB 23/09, NJW 2011, 503 (504). Hartung
723
Teil 8 D
Rz. 48
Geheimnisverpflichtete
mäßigen Gehilfen nach § 203 Abs. 3 Satz 2 Alt. 1 StGB1 einbeziehen, um eine straffreie Offenlegung von Daten der Endkunden gegenüber dieser Personengruppe zu ermöglichen. Weil damit jedoch ein erheblicher Aufwand verbunden ist, kommt diese Lösung nur bei größeren Cloud Transaktionen in Betracht, in der Regel nicht jedoch für kleinere und mittelständische Geheimnisverpflichtete. Obwohl die auch hier vertretene Auffassung im Vordringen befindlich ist, verbleiben außerdem erhebliche Rechtsrisiken, da die Rechtsprechung sich hierzu noch nicht geäußert hat und offen ist, ob sie sich dieser Ansicht anschließt. Daher müssen Geheimnisverpflichtete eine bewusste eigene Risikoabschätzung vornehmen, wenn sie erwägen, auf dieser Grundlage Daten in der Cloud verarbeiten zu lassen, bis die Rechtsprechung sich in diesem Sinne festgelegt hat. Ein ähnliches Ergebnis wird mit für Cloud Computing nicht sehr relevanten Mehrfach-Arbeitsverhältnissen erzielt. a) Die funktionale Betrachtungsweise 48
Organisationserleichterungen oder wirtschaftliche Effektivitätserwägungen des Geheimnisverpflichteten allein vermögen den Kreis der Wissenden nicht zu erweitern2. Nach dem Schutzzweck des § 203 StGB ist vielmehr zu fragen, wann eine Hilfsperson, z.B. also ein Mitarbeiter des Cloud-Anbieters, als befugter Geheimnisträger behandelt werden kann, weil die Weitergabe der Daten an sie keine zusätzlichen Risiken schafft3. Zur Begründung kann man sich die Argumentation des BGH zum Fall eines selbständig tätigen Vertreters des Geheimnisverpflichteten zu eigen machen, in dem der BGH keinen Unterschied machte, ob jemand arbeitsvertraglich mit dem Unternehmen verbunden ist oder eine im Ergebnis einem Arbeitnehmer vergleichbare Funktion ausübt4. Basierend auf dieser Argumentation wird etwa für Krankenhausinformationssysteme vertreten, dass eine derartige Funktionseinheit jedenfalls im Konzernverbund ohne weitere Vereinbarungen ausreichen soll, wobei offenbleibt, ob dies auch für externe Anbieter gelten kann5. Die organisatorischen oder rechtlichen Vorkehrungen sind bislang nicht geklärt; diskutiert werden die inhaltliche Nähe und enge Einbindung eines Mitarbeiters in die Tä1 Ausführlich zum Gehilfenbegriff: Szalai/Kopf, ZD 2012, 462 (466 ff.); Çekin, ZIS 2012, 425 (427 ff.); zur Rechtslage beim Outsourcing: Kilian, AnwBl 2012, 798; zur Cloud: Kroschwald/Wicker, CR 2012, 758 (761 ff.); Maisch/Seidl, DSB 2012, 127 (128). 2 BGH v. 10.7.1991 – VIII ZR 296/90, NJW 1991, 2955; Ehmann, CR 1991, 295; Langkeit, NStZ 1994, 6 (7); Otto, wistra 1999, 206. 3 Heghmanns/Niehaus, NStZ 2008, 57 (61). 4 BGH v. 11.2.2010 – VIII ZR 53/09, NJW 2010, 2509 (2511 f.); Gödeke/Ingwersen, VersR 2010, 1153 (1154). Zurückführen lässt sich diese funktionale Betrachtungsweise auf die Rechtsprechung zu einem funktionalen Behördenbegriff in § 203 Abs. 2 StGB: Bräutigam, CR 2011, 411 (414). 5 Paul/Gendelev, ZD 2012, 315 (319 f.); wonach über § 39 BDSG argumentiert wird, dass auch eine externe Auslagerung über § 11 BDSG ausreichen soll, damit § 203 StGB nicht verletzt wird.
724
Hartung
VI. Lçsungsmçglichkeiten
Rz. 51
Teil 8 D
tigkeit des Schweigepflichtigen sowie das Weisungsrecht des Schweigepflichtigen im Sinne effektiver Kontrollmacht1. Diese Elemente versucht die nachfolgend dargestellte „Gehilfen-Lösung“ hervorzuheben und vertraglich zu unterlegen. b) Gehilfen-Lösung: Art der vertraglichen Verbindung Ein unmittelbares vertragliches Verhältnis zwischen dem Mitarbeiter des 49 Cloud-Service-Anbieters, der als Gehilfe tätig werden soll, und dem Geheimnisverpflichteten ist hilfreich, das Vorliegen und dessen Eigenschaft (Festanstellung oder „freier Mitarbeiter“) aber nicht allein entscheidend2, wie sich an der Anerkennung einer in einer Arzt-Praxis mitarbeitenden Ehefrau als Gehilfin zeigt3 und der BGH im Falle eines selbständigen Vertreters des Geheimnisverpflichteten ausdrücklich anerkannte4. c) Gehilfen-Lösung: Unmittelbarer Zusammenhang mit beruflicher Tätigkeit/Funktion Maßgeblich für die Qualifikation als Gehilfe ist ein unmittelbarer Zusam- 50 menhang mit der beruflichen Tätigkeit/Funktion des Geheimhaltungspflichtigen, welcher die Kenntnis fremder Geheimnisse mit sich bringt – anders als allgemeine Hilfstätigkeiten5. Bejaht hat dies der BGH bei der Anbahnung, Abwicklung oder Verwaltung von Verträgen mit dem Geheimnisverpflichteten6, Arzt- oder Laborhelfer(innen), Krankenschwestern, Bürovorsteher oder Rechtsanwaltsgehilfen7. Abgelehnt wurde dies bei Reinigungskräften, Boten, Pförtner oder Chauffeuren8. Gegen einen unmittelbaren Zusammenhang bei EDV-Leistungen wurde 51 eingewandt, dass diese üblicherweise nicht von einem Arzt oder ähnlichen Schweigepflichtigen erbracht werden9. Dieses Bild dürfte aber ver1 Zu den Kriterien eingehend: Heghmanns/Niehaus, NStZ 2008, 57 (61 ff.); Hilgendorf, Outsourcing, S. 92–97; Lensdorf/Mayer-Wegelin/Mantz, CR 2009, 62 (64 ff.); Giesen, NStZ 2012, 122 ff. 2 MüKoStGB/Cierniak, § 203 Rz. 116; Hilgendorf, Outsourcing, S. 84 u. 96; Schönke/Schröder/Lenckner, § 203 StGB Rz. 64; Otto, wistra 1999, 203. 3 SK/Hoyer, § 203 StGB Rz. 49; Lackner/Kühl, § 203 StGB Rz. 11b; Laufs/Uhlenbruck, Handbuch des Arztrechtes, § 75 Rz. 46; Schönke/Schröder/Lenckner, § 203 StGB Rz. 64. 4 BHG v. 11.2.2010 – VIII ZR 53/09, NJW 2010, 2509 (2511 f.); Bräutigam, CR 2011, 411 (415); Gödeke/Ingwersen, VersR 2010, 1153 (1155). 5 Bräutigam, CR 2011, 411 (415); MüKoStGB/Cierniak, § 203 Rz. 115; Gödeke/ Ingwersen, VersR 2010, 1153 (1155); Hilgendorf, Outsourcing, S. 92, 114; Schönke/Schröder/Lenckner, § 203 StGB Rz. 64. 6 BGH v. 11.2.2010 – VIII ZR 53/09, NJW 2010, 2509 (2511 f.). 7 Schönke/Schröder/Lenckner, § 203 StGB Rz. 64; Wienke/Sauerborn, MedR 2000, 517. 8 MüKoStGB/Cierniak, § 203 Rz. 114; Fischer, § 203 StGB Rz. 21; Lackner/Kühl, § 203 StGB Rz. 11b m.w.N.; Rein, VersR 1976, 121. 9 MüKoStGB/Cierniak, § 203 Rz. 114; Lilie, S. 80. Hartung
725
Teil 8 D
Rz. 52
Geheimnisverpflichtete
altet sein: Bei Geheimnisverpflichteten werden die Anforderungen an die EDV typischerweise von der Fachseite (im Zusammenspiel mit der EDVAbteilung) vorgegeben und insoweit ist ein unmittelbarer Zusammenhang gegeben. Auch bei externen Wartungstechnikern kann ein unmittelbarer Zusammenhang hergestellt werden1. Schließlich sind die von Geheimnisverpflichteten benötigten EDV-Systeme und Anwendungen hoch spezialisiert. Ein Vergleich mit nicht berufstypischen Tätigkeiten wie Reinigung, Pförtner etc. geht somit fehl, weil die hier in Rede stehenden Tätigkeiten von Sachbearbeitern nicht allein übernommen werden können, unverzichtbar sind und Anbieter wegen des einzigartigen Know-Hows oft nicht durch eigene Ressourcen ersetzt werden können. d) Gehilfen-Lösung: Organisatorische Einbindung 52
Die Gehilfenstellung setzt eine organisatorische Einbindung voraus2, die sich durch fehlende Eigenverantwortung3, gewisse Regelmäßigkeit und Dauer der Tätigkeit4 und Kontroll- bzw. Weisungsbefugnisse5 des Auftraggebers zeigen soll6. Dies wird bei selbständig tätigen Dritten überwiegend abgelehnt7, z.B. bei zahntechnischen Laboren8, externen Buchführungsstellen oder bei selbständig handelndem Wartungspersonal für Software und Hardware9. Externe Techniker, wie z.B. ein IT-Mitarbeiter des Cloud-Service-Anbieters, sollen insbesondere deshalb keine berufsmäßigen Gehilfen sein können, weil die Geheimnisverpflichteten sie nicht kennen würden und keinen Einfluss darauf hätten, wer im konkreten Fall die Wartung durchführe10. Umgekehrt soll eine regelmäßige Betrauung mit den Aufgaben durch denselben Techniker dazu führen, dass eine Einbindung möglich wird11. Gerade beim Cloud Computing wird eine derartige organisatorische Eingliederung der Mitarbeiter des Anbieters schwer herzustellen sein. Erstes Merkmal wäre die dauerhafte Benen1 Vgl. Ehmann, CR 1991, 294; kritisch Otto, wistra 1999, 203; Ulmer, RDG 2012, 272 (275); ausführlich dazu: Çekin, ZIS 2012, 425; vgl. auch Conrad/Fechtner, CR 2013, 137 (144 f.). 2 Hilgendorf, Outsourcing, S. 94; Lackner/Kühl, § 203 StGB Rz. 11b m.w.N.; Schönke/Schröder/Lenckner, § 203 StGB Rz. 64; Schmitz, VW 2011, 812; Otto, wistra 1999, 203; a.A. Spatscheck, AnwBl 2012, 478 (479 f.); Kroschwald/Wicker, CR 2012, 758 (761). 3 MüKoStGB/Cierniak, § 203 Rz. 114. 4 Bräutigam, CR 2011, 411 (415); Ehmann, CR 1991, 294; Lackner/Kühl, § 203 StGB Rz. 11b; Wienke/Sauerborn, MedR 2000, 518. 5 Ehmann, CR 1991, 295; Schmitz, VW 2011, 812; Gödeke/Ingwersen, VersR 2010, 1153 (1155); Kilian, NJW 1987, 697; einschränkend auf konzerninterne Dienstleister: Bräutigam, CR 2011, 411 (415). 6 Vgl. Hilgendorf, Outsourcing, S. 96. 7 Schönke/Schröder/Lenckner, § 203 StGB Rz. 64a; a.A. Ehmann, CR 1991, 295. 8 OLG Koblenz v. 7.11.2001 – 1 U 1532/00, OLGR Koblenz 2002, 66 (67). 9 MüKoStGB/Cierniak, § 203 Rz. 115 m.w.N. 10 Vgl. Ehmann, CR 1991, 294; Langkeit, NStZ 1994, 6 (7); Wienke/Sauerborn, MedR 2000, 518. 11 Wienke/Sauerborn, MedR 2000, 518.
726
Hartung
VI. Lçsungsmçglichkeiten
Rz. 53
Teil 8 D
nung konkreter Mitarbeiter des Anbieters für diese Tätigkeiten. Zweitens könnten die wesentlichen fachlichen Anforderungen und Arbeitsanleitungen vom Auftraggeber erstellt oder durch diesen abgenommen werden1. Häufig genannte Beispiele der effektiven Kontrolle sind Ärzte, die Mitarbeiter in Rechenzentren, die Patientendaten dokumentieren2, inhaltlich anweisen und kontrollieren. e) Gehilfen-Lösung: Direktionsrecht und Kontrollmöglichkeit Weiteres entscheidendes Merkmal für eine Gehilfen-Stellung ist ein Di- 53 rektionsrecht der Geheimnisverpflichteten (im Sinne effektiver Steuerungsmacht)3 mit der Befugnis und effektiven Möglichkeit, den Ablauf der Tätigkeit zu gestalten und zu unterbrechen, Anweisungen zu erteilen, wie mit den Daten zu verfahren ist, und die Möglichkeit Kontrollen durchzuführen. Der Geheimnisverpflichtete sollte daher personelle Ressourcen zur Überwachung, Kontrolle und Definition der inhaltlichen Vorgaben des Anbieters vorhalten, es reicht nicht, dass ein Arzt trotz fehlender technischer Sachkenntnis bei einem Wartungsvorgang anwesend ist und notfalls eingreifen kann4. Entscheidendes Kriterium ist nicht die örtliche Nähe, sondern die Dichte der Kontroll- und Sicherungsmaßnahmen5. Entsprechende Direktionsrechte können vertraglich begründet werden6, nach Literaturansicht bereits durch eine Vereinbarung i.S.d. § 11 BDSG7. 1 Bräutigam, CR 2011, 411 (416). Dabei ist nicht zu verlangen, dass der Auftraggeber jede einzelne Handlung der Mitarbeiter des Anbieters im Vornherein kennt und festlegt. Denn auch bei eigenen Mitarbeitern findet keine Anweisung in alle Einzelheiten und keine Vollüberwachung statt. Durchaus kann man aber ein Auskunftsrecht des Auftraggebers fordern, stichprobenartig oder bei begründetem Anlass, die Einsatzplanung, die befassten Mitarbeiter und die inhaltliche Tätigkeit zu überprüfen. 2 Kilian, NJW 1987, 697. 3 MüKoStGB/Cierniak, § 203 Rz. 115; Gödeke/Ingwersen, VersR 2010, 1153 (1155); Hilgendorf, Outsourcing, S. 92; SK/Hoyer, § 203 StGB Rz. 48; vgl. Kroschwald/ Wicker, CR 2012, 758 (762); Heghmanns/Niehaus, NStZ 2008, 57 (61) (Ablehnung eines „Direktionsrecht“, Begriff entstamme dem Arbeitsrecht, erfasse die Arbeitgeberbefugnis, über Zeit, Ort und Dauer der Tätigkeit der Hilfsperson zu bestimmen, könne sich folglich nicht auf Selbstständige beziehen. Stattdessen Forderung „effektiver Steuerungsmacht“. Im Ergebnis gleichlaufend.); ähnlich Schmitz, VW 2011, 812 ff. Hinzukommen muss beim Geheimnisverpflichteten dann die erforderliche Fachkenntnis: Ehmann, CR 1991, 295. 4 Wienke/Sauerborn, MedR 2000, 519. 5 Otto, wistra 1999, 205. 6 Lensdorf/Mayer-Wegelin/Mantz, CR 2009, 62 (65). 7 Vgl. MüKoStGB/Cierniak, § 203 Rz. 52: „Seiner Pflichtenstellung iS des § 13 genügt der schweigepflichtige Betreiber einer EDV-Anlage bzw. eines Computernetzwerks, wenn er bei betriebsnotwendigen Service- und Wartungsarbeiten die nach § 11 Abs. 5 BDSG erforderlichen Sicherheits- und Kontrollmaßnahmen gegenüber dem externen Auftragnehmer ergreift. Hierzu ist auf die bereits vor der Anfügung des § 11 Abs. 5 BDSG entwickelten Sicherheitsmaßnahmen zu verweisen.“; für den speziellen Fall der Verrechnungsstelle Giesen, NStZ 2012, 122 (125); Heghmanns/Niehaus, NStZ 2008, 57 (62) (von Steuerungsmacht/KonHartung
727
Teil 8 D
Rz. 54
Geheimnisverpflichtete
Man könnte diesen Vertrag allerdings noch um einige Elemente ergänzen1. f) Mehrfach-Arbeitsverträge 54
Bei Auslagerungen in der Versicherungsbranche wurden anstelle der „Gehilfen-Lösung“ Mehrfach-Arbeitsverhältnisse2 eingesetzt. Einzelne Mitarbeiter haben sowohl mit dem Anbieter als auch mit dem Geheimnisverpflichteten ein Arbeitsverhältnis, damit sie in den Kreis der „Angehörigen“ oder „berufsmäßigen Gehilfen“ i.S.d. § 203 StGB einbezogen werden3. Diese Lösung beruht insbesondere darauf, dass eine enge Einbindung und ein unmittelbares Direktionsrecht des Geheimnisverpflichteten über arbeitsrechtliche Mittel ohnehin gegeben sein wird, wobei die weiteren Voraussetzungen wie der unmittelbare Zusammenhang mit der beruflichen Tätigkeit weiterhin vorliegen müssen. In ähnlicher Weise wird bei einer Arbeitnehmerüberlassung die Einbindung erreicht4, weil Leiharbeitnehmer im Betrieb der Geheimnisverpflichteten wie eigene Arbeitnehmer eingesetzt werden können und deren fachlichem Wei-
1
2 3
4
trollmacht anstelle von „Direktionsrecht“ sprechend); Hoenike/Hülsdunk, MMR 2004, 788 (791); dies als ergänzungsbedürftige Ausgangsbasis einordnend: Bräutigam, CR 2011, 411 (415 f.). Der Vertrag nach § 11 Abs. 2 BDSG schafft durch die Verpflichtung des Anbieters zur Beachtung der Weisungen des Auftraggebers und eine Leistungsbeschreibung einen unmittelbaren Zusammenhang mit der beruflichen Tätigkeit der Geheimnisverpflichteten, eine organisatorische Einbindung, verankert die Dauer der Tätigkeit sowie Kontrollmöglichkeiten und – im Rahmen der technisch-organisatorischen Maßnahmen – die Protokollierung von Zugriffen. Darüber hinaus sollte man aber vorsehen, dass die Mitarbeiter des Auftragnehmers zusätzlich zur datenschutzrechtlichen Verschwiegenheit nach § 5 BDSG auch zur Verschwiegenheit nach § 203 StGB verpflichtet werden und dass dem Auftraggeber, beschränkt auf die Aspekte des Datenschutzes und der Geheimhaltung, auch unmittelbare Weisungsrechte gegenüber den einzelnen Mitarbeitern (z.B. im Wege eines Vertrages zugunsten Dritter) zustehen. Dies muss sowohl zwischen Geheimnisverpflichteten und Anbieter als auch zwischen dem Anbieter und dessen Mitarbeitern umgesetzt werden. Zusätzlich werden allgemeine vertragliche Regelungen empfohlen, bspw. die Vereinbarung von Vertragsstrafen für den Fall eines Geheimnisverstoßes, Beschränkung der mit den Geheimnissen befassten Mitarbeiter auf ein für den Geheimnisverpflichteten unmittelbar ansprechbares Kernteam (ergänzt um Konsultationspflichten beim Austausch von Teammitgliedern), umfangreiche Gewährleistungen des Anbieters, etc., vgl. Hoenike/ Hülsdunk, MMR 2004, 788 (792). D.h. zeitlich nicht kollidierende Arbeitsverhältnisse eines Mitarbeiters mit mehreren Arbeitgebern: Hilgendorf, Outsourcing, S. 94 ff. Maisch/Seidl, DSB 2012, 127 (128). Beurteilungsmaßstab sind die einzelnen Tatsachen, Vorgaben und Arbeitsanweisungen und nicht allein das formale Element eines Arbeitsvertrages mit den Geheimnisverpflichteten. Letzterer ist jedoch im Sinne einer Eingliederung im strafrechtlichen Sinn als verstärkend anzusehen, weil ein Austauschen der Mitarbeiter allein durch den Anbieter regelmäßig ausgeschlossen ist. Schließlich werden durch den Arbeitsvertrag eigene unabhängige Direktionsrechte bezüglich Arbeitsinhalt, Ort und Zeit begründet. Hilgendorf, Outsourcing, S. 94 ff.
728
Hartung
VII. Schlussfolgerungen
Rz. 56
Teil 8 D
sungs- und Direktionsrecht unterliegen1. Mehr noch als die eben geschilderte „Gehilfen-Lösung“ ist diese Lösung im Rahmen eines Cloud Computing untypisch und in der Praxis schwierig umzusetzen2. g) Zusammenfassung Die Rechtsprechung zur Funktionseinheit kann beim Cloud Computing 55 nur vereinzelt eine Lösung bieten, etwa einer konzerninternen Private Cloud. Die basierend auf dieser Rechtsprechung entwickelte GehilfenLösung bietet zwar einen breiteren theoretischen Ansatz, ist beim Cloud Computing praktisch aber nur schwer umzusetzen wegen der Eingriffe in die Dispositionsfreiheit des Anbieters. Weil derartige Vorkehrungen in der Regel nur für wenige Mitarbeiter des Anbieters erforderlich werden, kommt diese Lösungsmöglichkeit bei einer kleinteiligen, standardisierten Cloud-Lösung weniger in Betracht, aber evtl. bei umfangreichen Vorhaben, welche dezidiert für einen Abnehmer eingerichtet werden oder im Rahmen einer Private Cloud im Konzern. Die Lösung über Mehrfach-Arbeitsverträge verlangt einen noch größeren Eingriff in das Geschäft des Anbieters und wird daher noch seltener Anwendung finden.
VII. Schlussfolgerungen § 203 StGB schützt alle Informationen über Kunden/Mandanten des Ge- 56 heimnisverpflichteten umfassend. Diese Verpflichtungen stehen neben dem Datenschutzrecht (weshalb datenschutzrechtliche Maßnahmen nicht ausreichen). Beim Cloud Computing durch einen Geheimnisverpflichteten nach § 203 StGB sind bis zu einer Änderung der gesetzlichen Anforderungen3 daher Vorkehrungen zu treffen, um den Tatbestand des Offenbarens zu vermeiden oder eine Befugnis zur Offenbarung an den 1 BAG v. 13.5.1992 – 7 AZR 284/91 (LAG Frankfurt a.M. v. 18.1.1991 – 6 Sa 1291/90), NZA 1993, 357 (358); BAG v. 28.11.1989 – 1 ABR 90/88 (LAG München), AP AÜG § 14 Nr. 5; BAG v. 18.2.2003 – 3 AZR 160/02 (LAG Düsseldorf), AP AÜG § 13 Nr. 5; BAG v. 18.1.1989 – 7 ABR 62/87 (LAG Berlin), AP AÜG § 14 Nr. 2; Schüren/Hamann, § 1 AÜG Rz. 124; Ulber, § 1 AÜG Rz. 131. Es ist auf eine Einbindung vergleichbar derjenigen eigener Mitarbeiter, eine enge Verzahnung mit eigenen Mitarbeitern und die Möglichkeit der Beaufsichtigung sowie Erteilung von Weisungen durch die Mitarbeiter des Geheimnisverpflichteten zu achten. In beiden Fällen sind Konflikte zwischen eventuell kollidierenden Weisungen des Geheimnisverpflichteten einerseits und dem Anbieter andererseits zugunsten des Geheimnisverpflichteten aufzulösen. 2 So auch Maisch/Seidl, DSB 2012, 127 (129). 3 Vorschläge zur Änderung bestehen etwa zum anwaltlichen Berufsrecht – wenn auch nicht immer direkt auf Cloud Computing bezogen. Vgl. zur Gesetzesinitiative des Deutschen Anwaltsvereins, der die BRAO und § 203 StGB ändern will: Ewer, Leutheusser-Schnarrenberger, Spatscheck, Kotthoff, Härting, Bräutigam, Recktenwald, AnwBl 2012, 476 ff.; Hellwig, AnwBl 2012, 590; Conrad/Fechtner, CR 2013, 137 (147 f.). Hartung
729
Teil 8 D
Rz. 57
Geheimnisverpflichtete
Anbieter zu schaffen. Man muss aber weiterhin davon ausgehen, dass ein Cloud Computing durch Geheimnisverpflichtete nur unter Einschränkungen möglich ist. 57
Wegen der zuvor beschriebenen Defizite der technischen Lösungen bei einigen Cloud-Service-Angeboten, bzw. der Unvereinbarkeit organisatorischer Maßnahmen mit üblichen Cloud Computing-Modellen, kommt einer Einverständniserklärung mit Entbindung von der Verschwiegenheitspflicht der durch die Verschwiegenheitspflicht geschützten Personen bzw. Unternehmen eine erhöhte Bedeutung zu. Allerdings sind dabei die sich in der Praxis ergebenden Schwierigkeiten zu berücksichtigen, wie eine umfassende Einholung von Einwilligungserklärungen im Vorfeld, unter hinreichend konkreter Beschreibung der beabsichtigten Inanspruchnahme von Cloud Computing-Diensten.
58
Abgesehen davon kann man die Möglichkeit einer Kenntnisnahme der geschützten Daten durch den Anbieter vermeiden, indem man die Daten unkenntlich macht (durch Anonymisierung, Pseudonymisierung oder Verschlüsselung) oder effektive technische Zugriffssperren einrichtet. Je nach Cloud Computing-Angebot ist zu hinterfragen, ob und welche Maßnahmen möglich sind. Insbesondere bei SaaS-Angeboten wird es vielfach nicht zu vermeiden sein, dass beim eigentlichen technischen Verarbeitungsprozess Daten unverschlüsselt vorliegen.
59
Ersatz- oder ergänzungsweise kommen organisatorische Maßnahmen zur Vermeidung eines Offenbarens oder die Schaffung einer Befugnis zum Offenbaren durch die Berufung auf eine Funktionseinheit, die „Gehilfen-Lösung“ oder Mehrfach-Arbeitsverträge in Betracht, wobei diese Maßnahmen von der Rechtsprechung noch nicht umfassend anerkannt wurden. Diese auf die Organisation abzielenden Maßnahmen erfordern eine Individualisierung, eine dezidierte Beziehung zwischen Anbieter und Abnehmer unter konkreter Einbindung im Voraus bestimmter Mitarbeiter des Anbieters und entsprechen nicht den gängigen standardisierten Cloud Computing-Modellen. Relevanz kann dies aber im Bereich vermehrt angebotener dezidierter Lösungen für (regelmäßig) größere Kunden durch die Anbieter oder im Bereich einer Private Cloud durch Unternehmen bzw. Konzerne haben.
730
Hartung
E. Sozialdaten Rz. I. Bedeutung des Cloud Computing im Bereich der Sozialverwaltung . II. Nationale und Europäische Rechtsgrundlagen des Sozialdatenschutzes . . . . . . . . . . . . . . . . 1. Das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG) . . . . . 2. Sozialdatenschutzrechtliche Bestimmungen . . . . . . . . . . . . . . . 3. Das Bundesdatenschutzgesetz und die Datenschutzgesetze der Länder . . . . . . . . . . . . . . . . . . . 4. EU-Rechtsrahmen . . . . . . . . . . . . . III. Definition „Sozialdaten“ . . . . . . . 1. Einzelangaben mit Personenbezug . . . . . . . . . . . . . . . . . . . . . . . 2. Verarbeitung durch Stellen i.S.v. § 35 SGB I . . . . . . . . . . . . . . . . . . . . 3. Räumlicher Anwendungsbereich des Sozialdatenschutzrechts. . . . . 4. Betriebs- und Geschäftsgeheimnisse . . . . . . . . . . . . . . . . . . . . 5. Der „verlängerte“ Sozialdatenschutz (§ 78 SGB X) . . . . . . . . . . . .
1
4 4 6 8 9 10 11 15 18 20 21
Rz. 4. Zulässigkeit und Grenzen der Auftragsdatenverarbeitung . . . . . . a) Formvoraussetzungen . . . . . . . b) Weisungs- und Kontrollbefugnisse des Auftraggebers . . . . c) Auftragsdatenverarbeitung im Ausland . . . . . . . . . . . . . . . . . . . d) Auftragsdatenverarbeitung durch nicht-öffentliche Stellen . . . . . . . . . . . . . . . . . . . . . . . e) Anzeigepflichten . . . . . . . . . . . .
34 35 38 40 48 53
VII. Voraussetzungen der Übermittlung von Sozialdaten . . . . . . . . . . . 56 VIII. Voraussetzungen einer rechtmäßigen Übermittlung ins Ausland . . . . . . . . . . . . . . . . . . . . . 1. Cloud-Service-Anbieter außerhalb der EU/EWR mit angemessenem Schutzniveau . . . . . . . . . . . 2. US-amerikanische CloudService-Anbieter . . . . . . . . . . . . . . 3. Cloud-Service-Anbieter in Staaten ohne angemessenes Schutzniveau . . . . . . . . . . . . . . . . . . . . . . .
63 64 66 68
IV. Die verantwortliche Stelle . . . . . . 23
IX. Cloud Computing durch Einwilligung? . . . . . . . . . . . . . . . . . 70
V. Sozialdatenschutzrechtlich erhebliches Verhalten . . . . . . . . . . 25
X. Technische Vorkehrungen (§ 78a SGB X) . . . . . . . . . . . . . . . . . 73
VI. Auftragsdatenverarbeitung (§ 80 SGB X) . . . . . . . . . . . . . . . . . . 1. Verfassungsrechtliche Vorgaben . 2. Definition und Verhältnis zum Cloud Computing . . . . . . . . . . . . . 3. Verantwortliche Stelle im Rahmen der Auftragsdatenverarbeitung . . . . . . . . . . . . . . . . . . . . . .
XI. Organisatorische Besonderheiten 29 29
75
XII. Schadensersatz. . . . . . . . . . . . . . . . 76 XIII. Sanktionen . . . . . . . . . . . . . . . . . . . 79
30
XIV. Fazit . . . . . . . . . . . . . . . . . . . . . . . . 82
33
I. Bedeutung des Cloud Computing im Bereich der Sozialverwaltung Auch im Bereich der Verwendung von Sozialdaten, die einem erhöhten 1 Schutzniveau unterliegen, ist das Thema Cloud Computing von wachsender Bedeutung. Seine wirtschaftlichen Vorteile (vgl. Teil 1) bieten sich auch der Sozialverwaltung, wo erhebliche Datenmengen verarbeitet werden. Über 90 % der Deutschen sind in der Sozialversicherung pflichtoder freiwillig versichert. Mitte 2012 zählten die 145 gesetzlichen Kran-
Bieresborn
731
Teil 8 E
Rz. 2
Sozialdaten
kenkassen 51,979 Millionen Mitglieder1. Hinzu kommen weitere Sozialversicherungszweige wie Unfall-, Pflege- und Arbeitslosenversicherung. Fast immer ist es erforderlich, dass sowohl im Zusammenhang mit der Beitragserhebung als auch mit der Leistungsgewährung Daten von Mitgliedern erhoben und weiterverarbeitet werden. 2
Sozialleistungsträger sind gem. § 69 Abs. 2 SGB IV dem Wirtschaftlichkeits- und Sparsamkeitsgebot im Sinne eines möglichst geringen Mitteleinsatzes – sog. Minimalprinzip2 – verpflichtet, das gerade im Bereich der Entwicklung EDV-technischer Lösungen vom Einkauf von Software bis hin zur Entscheidung über Maßnahmen des Outsourcings große Bedeutung hat3. In Zeiten der Kostendämpfung und Budgetierung besteht daher auch hier ein erhöhter Bedarf zur Nutzung technischer Innovationen mit Sparpotenzial wie z.B. die Nutzung von Software aus der Cloud statt eigenentwickelter Software. Des Weiteren gilt dieser Aspekt für die flexible Nutzung von Rechner- und Speicherkapazitäten bei Belastungsspitzen sowie die Verteilung von Druckkapazitäten4. Nicht zuletzt sind Energieeffizienz und die Senkung von Energiekosten Ziele der öffentlichen Verwaltung5.
3
Andererseits sind Sozialdaten ihrer Natur nach in besonderem Maße schutzbedürftig. Häufig handelt es sich um sogenannte sensitive Daten z.B. die Gesundheit oder andere intime Lebensbereiche betreffend6, wenn auch nicht alle Gesundheitsdaten Sozialdaten, wie umgekehrt nicht alle Sozialdaten Gesundheitsdaten sind7. Das erhöhte Schutzniveau von Sozialdaten manifestiert sich aber im sich vom BDSG in manchen Punkten unterscheidenden Regelungsinstrumentarium des SGB I bzw. SGB X8; zugleich stellt sich gerade hier im erhöhten Maße die Frage der Zulässigkeit und Unbedenklichkeit der Nutzung von Clouds. Cloud-Strukturen, die nur öffentlichen Stellen – z.B. in Form einer sog. Community Cloud9 oder Government Cloud – zugänglich sind, sind im Bereich des Sozialdatenschutzes eher zulässig gestaltbar, als die Nutzung von Public
1 Frankfurter Allgemeine Zeitung v. 28.7.2012, Krankenkassen mit Mitgliederrekord, S. 12. 2 BSG v. 26.8.1983 – 8 RK 29/82, BSGE 55, 277 (279); Breitkreuz in LPK-SGB IV, § 69 Rz. 10. 3 West in jurisPK-SGB IV, § 69 Rz. 28. 4 Polaszek, Die BKK, 534 (537); Rammos/Vonhoff, CR 2013, 265 f. 5 S. Pressemitteilung Vitako Bundesarbeitsgemeinschaft der Kommunalen ITDienstleister e.V. v. 19.4.2012: Grüne Wolken für die Verwaltung. 6 S. § 3 Abs. 9 BDSG sowie § 67 Abs. 12 SGB X; s. auch Lang, Das Recht auf informationelle Selbstbestimmung des Patienten und die ärztliche Schweigepflicht in der gesetzlichen Krankenversicherung, 1997, S. 28 ff., 40 ff.; Mrozynski, NZS 1996, 545 (547 ff.); Krauß, MedSach 2011, 236 (239). S. auch Art. 8 Datenschutzrichtlinie 95/46/EG. 7 Vgl. § 285 Abs. 3 SGB V und zutreffend Heberlein, SGb 2009, 724 (725). 8 Ulmer, RDG 2012, 272. 9 Polaszek, Die BKK 2011, 534 (536).
732
Bieresborn
II. Nationale und Europische Rechtsgrundlagen
Rz. 6
Teil 8 E
Clouds oder Hybrid Clouds1. Da Sozialdaten ihre Eigenschaft durch Übermittlung an Dritte nicht verlieren (s. unten Rz. 21), stellt sich diese Problematik indes nicht nur öffentlich-rechtlichen Sozialleistungsträgern, sondern auch privaten Leistungserbringern, die an Cloud Computing-Modellen teilnehmen möchten.
II. Nationale und Europäische Rechtsgrundlagen des Sozialdatenschutzes 1. Das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG) Auch die Verpflichtung zum Schutz von Sozialdaten resultiert unmittel- 4 bar aus dem „Recht der informationellen Selbstbestimmung“, das als Teil des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG abgeleitet wird2. Es handelt sich somit um ein subjektives Recht, das als interpretatorische Fortschreibung des Persönlichkeitsschutzes Grundrechtsschutz genießt3, und gem. Art. 1 Abs. 3 GG von allen drei Gewalten zu beachten ist. Bei Einschränkungen des Rechts auf informationelle Selbstbestimmung 5 hat der Gesetzgeber den Grundsatz der Verhältnismäßigkeit zu beachten4. Dementsprechend sind an Eingriffe im Bereich der Sozialdaten, die häufig Angaben zur Gesundheit, sexuellen Orientierung oder familiäre Verhältnisse betreffen, besondere Anforderungen zu stellen. 2. Sozialdatenschutzrechtliche Bestimmungen Die grundlegende einfachgesetzliche Generalvorschrift des Sozialdaten- 6 schutzes ist § 35 SGB I5. Die Regelung definiert als „Sozialgeheimnis“ den Anspruch jedes Betroffenen, dass die ihn betreffenden Sozialdaten von den Leistungsträgern nicht unbefugt erhoben, verarbeitet oder genutzt werden. Des Weiteren postuliert die Vorschrift das Sichern von Daten mit der Maßgabe, auch innerhalb des Leistungsträgers sicherzustellen, dass die Sozialdaten nur Befugten zugänglich sind oder nur an diese weitergegeben werden. Die Grundsätze des Sozialdatenschutzes können gemäß § 37 Satz 2 SGB I durch abweichende Vorschriften in anderen Büchern des Sozialgesetzbuchs nicht wirksam außer Kraft gesetzt oder modifiziert werden6. § 35 Abs. 2 SGB I verweist hinsichtlich der Zulässig1 Vgl. Polaszek, Die BKK 2011, 534 (539). 2 BVerfGE 65, 1 (41 ff.); vgl. Simitis, NJW 1984, 398 (399); speziell zum Gesundheitswesen: Ulmer, RDG 2012, 272 (276). 3 Vgl. Di Fabio in Maunz/Dürig/Herzog/Scholz, GG, Art. 2 Rz. 173. 4 BVerfG v. 9.3.1988 – 1 BvL 49/86, BVerfGE 78, 77 (85 ff.); s. zuletzt BVerfG v. 11.3.2008 – 1 BvR 2074/05, 1 BvR 1254/07, BVerfGE 120, 378 Rz. 162. 5 Die aktuelle Fassung datiert v. 23.11.2011, BGBl. I 2298. 6 S. Krahmer, Sozialdatenschutz nach SGB I und X, 3. Aufl. 2011, § 35 Rz. 5. Bieresborn
733
Teil 8 E
Rz. 7
Sozialdaten
keit der Erhebung, Verarbeitung und Nutzung auf die §§ 67 ff. SGB X, geht diesen gemäß § 37 Satz 2 SGB I aber zugleich auch vor1. Neben den sozialdatenschutzrechtlichen Bestimmungen in den §§ 67–85a SGB X finden sich Spezialvorschriften z.B. in §§ 98, 99, 100, 100a SGB X2. 7
Weiter bestehen ergänzende Bestimmungen in den sonstigen Büchern des SGB, die für Cloud Computing allerdings kaum Relevanz haben3. SGB I, SGB X und SGB V regeln den Schutz von Sozialdaten gleichrangig vorbehaltlich ausdrücklich davon abweichender Kollisionsregeln wie etwa § 37 Satz 2 SGB I4. 3. Das Bundesdatenschutzgesetz und die Datenschutzgesetze der Länder
8
Das BDSG und die entsprechenden Datenschutzgesetze der Länder kommen subsidiär zur Anwendung5; in ihnen ist allgemein die Verarbeitung und Nutzung personenbezogener Daten geregelt. Für den Umgang der Sozialverwaltung mit Sozialdaten ist also das BDSG – ebenso wie die Landesdatenschutzgesetze – insoweit von Bedeutung, als Vorschriften des SGB X wie beispielsweise §§ 80 Abs. 6, 81 Abs. 2 und 4, 82 SGB X ausdrücklich auf das BDSG oder auf das Landesdatenschutzrecht verweisen6. Ansonsten ist zweifelhaft, ob Vorschriften des allgemeinen Datenschutzrechts zur Lückenfüllung herangezogen werden können, wenn das Sozialdatenschutzrecht nichts Abweichendes indiziert7. Darüber hinaus richtet sich die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten, die nicht Sozialdaten sind (s. Rz. 10) – wie beispielsweise Mitarbeiterdaten, die der Leistungsträger in seiner Eigenschaft als Arbeit-
1 Richter in LPK-SGB I, § 37 Rz. 13. 2 Bieresborn, ZFSH 2010, 199 ff. 3 So bestehen z.B. Sondervorschriften über die Verwendung der Versicherungsnummer (§§ 18f und 18g SGB IV), und bereichsspezifische Datenschutznormen für die Grundsicherung für Arbeitssuchende (§§ 50–52 SGB II); die Arbeitsförderung (§§ 394–396 SGB III); die Krankenversicherung (§§ 284–305 SGB V), die Rentenversicherung (§§ 147–152 SGB VI), die Unfallversicherung (§§ 199–208 SGB VII); die Kinder- und Jugendhilfe (§§ 61–68 SGB VIII), die Pflegeversicherung (§§ 93–108 SGB XI) und die Sozialhilfe (§§ 117–129 SGB XII). 4 BSG v. 2.11.2010 – B 1 KR 12/10 R, BSGE 107, 86–91. 5 BSG v. 20.7.2010 – B 2 U 17/09 R, SGb 2011, 405 ff.; s. auch Plath, BDSG, § 1 Rz. 35 ff. 6 BSG v. 10.12.2008 – B 6 KA 37/07, NJOZ 2009, 2959 (2968) mit dem Hinweis darauf, dass das BDSG nur noch Anwendung finde, soweit die Vorschriften des Sozialgesetzbuches ausdrücklich auf dieses Gesetz verweisen. 7 Außer Frage steht, dass Erlaubnistatbestände des BDSG keine Anwendung finden. In Betracht käme jedoch die Anwendung von Vorschriften des BDSG, die nicht im Widerspruch des Regelungsgefüge des Sozialdatenschutzes stehen, wie z.B. § 5 oder § 6c BDSG (Verpflichtung auf das Datengeheimnis bzw. mobile Datenverarbeitung).
734
Bieresborn
III. Definition „Sozialdaten“
Rz. 11
Teil 8 E
geber benötigt – allein nach dem BDSG bzw. nach den einschlägigen Landesdatenschutzgesetzen1. 4. EU-Rechtsrahmen Nach Art. 8 der Datenschutzrichtlinie 95/46/EG sind „besondere Katego- 9 rien personenbezogener Daten“, wie sensitive Daten, in besonderem Maße geschützt. Die Richtlinie erforderte insofern eine gesonderte Umsetzung in das deutsche Recht, die sich in §§ 3 Abs. 9, 28 Abs. 6–9, 29 Abs. 5 sowie 30 Abs. 5 BDSG manifestiert, und führte letztlich auch zur umfassenden Änderung des SGB X durch das Gesetz zur Änderung des BDSG und anderer Gesetze vom 18.5.20012.
III. Definition „Sozialdaten“ Nur sofern im Rahmen von Cloud-Services tatsächlich Sozialdaten ver- 10 arbeitet werden, sind die Bestimmungen des Sozialdatenschutzes anzuwenden. Dem Begriff der Sozialdaten, der in § 67 SGB X legaldefiniert ist, kommt daher entscheidende Bedeutung zu. Hierfür ist Voraussetzung, dass es sich um Einzelangaben handelt, die eine natürliche Person bestimmen bzw. bestimmbar machen, die einen in der Person des Betroffenen liegenden oder auf diesen bezogenen Sachverhalt beschreiben und die die Charakterisierung oder Identifizierung des Betroffenen ermöglichen3, sowie dass die personenbezogenen Einzelangaben von einer der in § 35 SGB I genannten Stelle im Hinblick auf deren Aufgaben nach dem SGB erhoben, verarbeitet oder genutzt werden4. 1. Einzelangaben mit Personenbezug Neben Informationen, die eine Person bestimmen oder bestimmbar ma- 11 chen, gelten weiterhin als Einzelangaben solche, die einen in der Person des Betroffenen liegenden oder auf den Betroffenen bezogenen Sachverhalt beschreiben sowie jegliche andere Angaben zu einer Person, die dieser zugeordnet werden können5. 1 Vgl. Binne, NZS 1995, 98; Schöning, DAngVers 1994, 202; s zur Beobachtung öffentlich zugänglicher Räume mittels Videoüberwachung Steinbach, NZS 2002, 16. S. speziell zu arbeitsrechtlichen Konsequenzen einer Verletzung des Sozialgeheimnisses durch Arbeitnehmer der Sozialleistungsträger Eylert/Sänger, ZTR 2009, 398 ff. 2 BGBl. I 904, Gesetzentwurf der BReg. zur Änderung des BDSG und anderer Gesetze v. 18.8.2000 und Stellungnahme des BR v. 29.9.2000, BR-Drucks. 461/00; vgl. Ehmann/Helfrich, EG-Datenschutzrichtlinie, Kommentar, 1999. 3 Vgl. § 3 Abs. 1 BDSG. 4 Zum Begriff des Sozialdatums: Rombach in Hauck/Noftz, § 67 Rz. 10–24. 5 Einzelangaben umfassen z.B. Arbeitslosigkeit, Aufenthaltsberechtigung, Beitragsgruppe, Rentenbezug, Diagnosen, einschließlich behandelnder Ärzte, Einkommen, Versicherungsverhältnis, Personalnummer, Ausweisnummer, SozialBieresborn
735
Teil 8 E
Rz. 12
Sozialdaten
12
Die Frage des Personenbezugs stellt sich im Sozialdatenschutz in gleicher Weise wie nach dem BDSG. Der Begriff „personenbezogen“ ist daher umfassend zu verstehen, so dass auch Einzelangaben dazu gehören, die nicht persönliche, sondern sachliche Verhältnisse einer bestimmten oder bestimmbaren Person betreffen, z.B. Versicherten-, Arbeitgeber- oder Lieferanteneigenschaften einerseits, Einkommen, Beitragsschuld, Forderungen andererseits1. Es muss ein unmittelbarer Bezug zur Person des Betroffenen herstellbar sein, was bei Sammelangaben über Personengruppen nicht der Fall ist2.
13
Auch im Bereich der Sozialdaten stellt sich die Frage, (a) ob ein objektiver Begriff des Personenbezugs gilt, demzufolge bereits die theoretische Möglichkeit seiner Herstellung auch unter Mitwirkung eines Dritten zur Bejahung der Bestimmbarkeit genügt3, (b) ob ein relativer Personenbezugsbegriff zugrunde zu legen ist, wonach es alleine auf die Kenntnisse der datenverarbeitenden Stelle ankommt, ob diese in der Lage ist, den Personenbezug herzustellen4, oder (c) ob sowohl objektive als auch subjektive Kriterien entscheidend sind, so dass zunächst auf die Mittel und Kenntnisse der verantwortlichen Stelle zwecks Herstellung des Personenbezugs abzustellen ist und sodann aber auch zu prüfen ist, ob sie sich hierzu auch vernünftigerweise Zusatzwissen beschaffen würde, das objektiv und legal zur Verfügung steht5. Entscheidend dürfte sein, ob mit der Anonymisierung eine dauerhafte Auflösung der Bestimmbarkeit bzw. des Personenbezugs nach dem aktuellen Stand der Technik beabsichtigt ist, oder ob die verantwortliche Stelle, die die Anonymisierung vorgenommen hat, bereits die Absicht hat, die Daten bei Bedarf für eigene Zwecke schnell zu reanonymisieren. Sollte der Stand der Technik erst zu einem späteren Zeitpunkt die (Wieder-)Herstellung des Personenbezugs ermöglichen, würde die Eigenschaft als personenbezogene Einzelangabe wieder aufleben6. Da zu dieser Frage keine sozialdatenschutzrechtlichen
1 2 3 4 5 6
versicherungsnummer (str., vgl. BSG v. 21.2.1996 – 5 RJ 12/95, BSGE 78, 13–19; a.A. Kronthaler, DRV 1997, 377 [379]), Telefonnummer, behandelnde Ärzte, Krankheiten, stationäre Maßnahmen, Schwangerschaft, Entbindung, äußeres Erscheinungsbild, Charaktereigenschaften, Überzeugungen, strafbare Handlungen, Ordnungswidrigkeiten, CT-Bilder, Modelle, Originalkarteikarten (LSG Bayern NZS 1999, 553; s.a. Braunschweig/Geis/Tolksdorf/Hansen, MedR 2004, 353), Röntgenbilder (LG Göttingen, NJW 1979, 601) sowie Planungs- und Prognosedaten, Untersuchungsergebnisse und Sektionsbefunde (BSGE 94, 149 [152]). Vgl. näher Drozd, MittLVA Mittelfranken und Oberfranken 1986, 93 (97). Rombach in Hauck/Noftz, § 67 Rz. 19. So Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, § 3 Rz. 13; Breyer, NJWAktuell 2010, Nr. 11 S. 18; VG Wiesbaden, MMR 2009, 432. Wohl h.M., s. Dammann in Simitis, § 3 Rz. 33; s. auch LG Frankenthal v. 21.5.2008 – 6 O 156/08, juris; Arning/Forgó/Krügel, DuD 2006, 700 (704). So Kazemi/Leopold, Datenschutzrecht in der anwaltlichen Beratung, § 3 Rz. 40 m.w.N. unter Hinweis auf die Erwägung 26 zur Datenschutzrichtlinie 95/46/EG; Buchner in Taeger/Gabel, BDSG, § 3 Rz. 13; s.a. Meyerdierks, MMR 2009, 9. Vgl. Krahmer, Sozialdatenschutz, § 67 Rz. 18 a.E.; Auernhammer, § 3 BDSG Rz. 4.
736
Bieresborn
III. Definition „Sozialdaten“
Rz. 16
Teil 8 E
Besonderheiten bestehen, soll hier auf die Darstellung unter Teil 4 Rz. 25 ff. verwiesen werden. Sollte eine Prüfung ergeben, dass die Nutzung von Cloud-Services zur 14 Verarbeitung personenbezogener Sozialdaten sozialdatenschutzrechtlich nicht zulässig ist, kommt in Betracht, diese Daten anonymisiert in der Cloud verarbeiten zu lassen. Um eine einheitliche Gesetzessprache zu erreichen, entsprechen die Begriffsdefinitionen nach § 67 Abs. 8 SGB X (anonymisieren)1 und § 67 Abs. 8a SGB X (pseudonymisieren)2 den § 3 Abs. 6 bzw. 6a BDSG. Da damit keine sozialdatenschutzrechtlichen Besonderheiten bestehen, kann auf die Ausführungen unter Teil 4 Rz. 22 ff.; zur Verschlüsselung in cc) verwiesen werden. 2. Verarbeitung durch Stellen i.S.v. § 35 SGB I Zu den in § 35 SGB I genannten Stellen gehören die Sozialversicherungs- 15 träger und deren Verbände, die Arbeitsgemeinschaften der Leistungsträger wie z.B. Jobcenter und ihre Verbände, die Datenstelle der Träger der Rentenversicherung, die Zentrale Speicherstelle bei der Datenstelle der Träger der Deutschen Rentenversicherung, soweit sie Aufgaben nach § 99 SGB IV, und die Registratur Fachverfahren bei der Informationstechnischen Servicestelle der Gesetzlichen Krankenversicherung, soweit sie Aufgaben nach § 100 SGB IV wahrnimmt, die im SGB genannten öffentlich-rechtlichen Vereinigungen, gemeinsame Servicestellen, Integrationsfachdienste, die Künstlersozialkasse, die Deutsche Post AG, soweit sie mit der Berechnung oder Auszahlung von Sozialleistungen betraut ist, die Behörden der Zollverwaltung, soweit sie Aufgaben nach § 2 des SchwarzArbG und § 66 SGB X durchführen, die Versicherungsämter und Gemeindebehörden, die anerkannten Adoptionsvermittlungsstellen gem. § 2 Abs. 2 AdvermiG3, soweit sie Aufgaben nach dem SGB wahrnehmen und die Stellen, die Aufgaben nach § 67c Abs. 3 SGB X wahrnehmen. Private Leistungserbringer werden in § 35 SGB I hingegen nicht genannt, 16 weshalb z.B. die seitens eines Krankenhauses an eine private Verrechnungsstelle übermittelten Daten vor Speicherung durch die Krankenkasse keine Sozialdaten sind4. Auch Patientendaten werden erst durch Bei-
1 Rombach in Hauck/Noftz, § 67 Rz. 115 ff. 2 Rombach in Hauck/Noftz, § 67 Rz. 122a–d. 3 S. speziell hierzu und der Bedeutung des § 1758 BGB; Reinhardt, JAmt 2008, 401. 4 A.A. BSG v. 10.12.2008 – B 6 KA 37/07 R, BSGE 102, 134 ff. ohne Problematisierung; so wie hier Seewald in Kasseler Kommentar, § 35 SGB I Rz. 4; vgl. Heberlein, SGb 2009, 724 (725). Die Sozialgerichte werden in § 35 SGB I ebenfalls nicht genannt, weshalb originär von diesen erhobene Daten keine Sozialdaten sind Bieresborn in von Wulffen, SGB X, § 67 Rz. 10; Bieresborn, SGb 2010, 501 (503). Bieresborn
737
Teil 8 E
Rz. 17
Sozialdaten
ziehung seitens einer in § 35 SGB I aufgeführten Stelle, insbesondere bei der Erhebung durch einen Sozialversicherungsträger1, zu Sozialdaten. 17
Gem. § 67 Abs. 1 Satz 1 SGB X werden nur solche Daten vom Sozialdatenbegriff erfasst, die eine in § 35 Abs. 1 SGB I genannte Stelle im Hinblick auf deren Aufgaben erhebt, verarbeitet oder nutzt. Aufgaben sind die im Gesetz vorgeschriebenen oder zugelassenen Aufgaben2. Werden Daten außerhalb eines Zwecks nach dem SGB von einer der genannten Stelle erhoben oder verarbeitet, schließt dies nicht die Eigenschaft als Sozialdaten aus, so lange die Stelle der Auffassung ist, der verfolgte Zweck gehöre zu ihren Aufgaben3. Für andere Aufgaben erhobene oder verwendete Daten unterfallen dagegen dem BDSG bzw. Landesgesetzen. 3. Räumlicher Anwendungsbereich des Sozialdatenschutzrechts
18
Das deutsche Sozialdatenschutzrecht gilt nach dem Territorialitätsprinzip und § 67 Abs. 9 i.V.m. Abs. 1 SGB X und § 35 SGB I ohne weiteres für alle in Deutschland belegenen Stellen nach § 35 SGB I. Für den Bereich des Sozialdatenschutzes folgt ferner mangels besonderer Bestimmung im SGB X aus § 30 SGB I, dass die Vorschriften des SGB (einschließlich der sozialdatenschutzrechtlichen Vorschriften des SGB X) auf alle Personen Anwendung finden, die ihren Wohnsitz oder gewöhnlichen Aufenthalt im Geltungsbereich des SGB haben – und zwar unabhängig vom Sitz der verantwortlichen Stelle.
19
In der Regel werden Sozialdaten zwar nur von deutschen Stellen verarbeitet. Aber auch Stellen im Ausland kommen mit Sozialdaten in Berührung. Deutsche Botschaften und Konsulate im Ausland gelten aufgrund des völkerrechtlichen Exterritorialitätsprinzips jedoch nicht als Ausland, weshalb für diese Stellen zwanglos auch das deutsche Sozialdatenschutzrecht gilt. Andere Außenstellen deutscher Behörden im Ausland wie z.B. Geschäftsstellen der Krankenkassen unterliegen demgegenüber grundsätzlich dem Recht des Gastlandes4. Dass Deutsche im Ausland wiederum Anspruch auf Beachtung des Sozialgeheimnisses gem. § 35 SGB I gegenüber deutschen Behörden haben, hat das BSG bereits festgestellt5. Deshalb kann es vorkommen, dass Daten im Ausland dem Zugriff dortiger Stellen nach der dort geltenden Rechtslage ausgesetzt sind, jedoch die im Ausland tätige deutsche Behörde hierfür gegenüber dem Betroffenen verantwortlich ist. Da nach Art. 4 der Datenschutzrichtlinie 95/46/EG innerhalb des europäischen Binnenmarktes der Umstand einer grenzüberschreitenden Datenverarbeitung kein recht1 Vgl. den 14. Tätigkeitsbericht des sächsischen Datenschutzbeauftragten, Sächsischer Landtag, Drucks. 5/451, S. 144 f.; Heberlein, SGb 2009, 724 (725). 2 Vgl. § 30 Abs. 1 SGB IV; Eul, Sozialdatenschutz, DOK 1995, 307. 3 BSGE 90, 162 (171). 4 A.A. anscheinend Rombach in Hauck/Noftz, SGb X, § 77 Rz. 31; Leopold in jurisPK-SGB X Rz. 34. 5 BSG v. 25.10.1978 – 1 RJ 32/78, BSGE 47, 118–123.
738
Bieresborn
III. Definition „Sozialdaten“
Rz. 20
Teil 8 E
liches Hindernis mehr darstellen soll, kommt es nach Art. 4 Abs. 1 Buchst. a und b Datenschutzrichtlinie 95/46/EG für die Anwendbarkeit einzelstaatlichen Rechts dort darauf an, in welchem Mitgliedstaat die verantwortliche Stelle ihren Sitz hat1. Das anzuwendende Recht richtet sich daher innerhalb Europas nicht nach dem am Ort der Erhebung, Verarbeitung oder Nutzung geltende Recht, sondern nach dem Recht des Ortes, an dem die hierfür verantwortliche Stelle ihren Sitz hat2. Hat die aus einem anderen EU-Staat tätige Stelle wiederum eine Niederlassung im Inland, von der sie aus tätig wird, gilt hingegen deutsches Datenschutzrecht3; für das BDSG wird diese Rechtsfolge ausdrücklich in § 1 Abs. 5 BDSG bestimmt4. Werden Sozialdaten hingegen an Vertretungen ausländischer Staaten in Deutschland übermittelt, findet § 77 SGB X Anwendung (s. dazu unten Rz. 63 ff.), der diesen Fall in Abs. 2 ausdrücklich erfasst5. Internationale Regelungen, durch die die Ortsabhängigkeit von Datenverarbeitung aufgehoben und ausschließlich das Regime des Cloud-Service-Nutzers oder Cloud-Service-Abnehmers als direkten Vertragspartners des Cloud-Service-Anbieters für anwendbar erklärt werden könnte, existieren derzeit nicht6. 4. Betriebs- und Geschäftsgeheimnisse Nach § 35 Abs. 4 SGB X stehen Betriebs- und Geschäftsgeheimnisse der 20 in § 35 SGB I genannten Stellen Sozialdaten gleich7. Zum Geschäfts- und Betriebsgeheimnis i.S.v § 67 Abs. 1 Satz 2 SGB X gehört alles, was nach der Gebarung dieses Betriebes so eigentümlich ist, dass es in anderen Kreisen nicht bekannt ist und nicht angewendet wird8. Es muss sich ferner kumulativ um eine mit dem Geschäftsbetrieb im Zusammenhang stehende Tatsache handeln und ein berechtigtes wirtschaftliches Interesse des Betriebsinhabers bzw. des Anteilinhabers an der Geheimhaltung bestehen9. Ferner muss der Geheimhaltungswille bekundet oder sonst wie erkennbar sein10. Es fallen unter die genannten Begriffe unter anderem Betriebsstrukturen, Produktionsmethoden und Verfahrensarten, Marktstra1 Weichert, DUD 2010, 679 (682); Plath, BDSG, § 1 Rz. 49. 2 Gola/Schomerus, BDSG, § 1 Rz. 27. 3 Weichert, DUD 2010, 679 (682); Art. 4 Abs. 1 Buchst. a und b Datenschutzrichtlinie 95/46/EG. 4 Gola/Schomerus, BDSG, § 1 Rz. 28; ausführlich Plath, BDSG, § 1 Rz. 50. 5 Stähler in Krahmer, § 77 Rz. 8. 6 Weichert, DuD 2010, 679 (687). 7 Rammos/Vonhoff, CR 2013, 265 (266). 8 RGSt v. 2.3.1897 – 334/97-29, 428. 9 Binne, NZS 1995, 99. 10 A.A. Drozd, MittLVA Oberfranken und Mittelfranken 1986, 93 (98): aus verwaltungsökonomischen Gründen, wonach Betriebs- und Geschäftsgeheimnisse sämtliche – mit oder ohne Personenbezug – auf ein Wirtschaftsunternehmen oder eine selbstständige Tätigkeit bezogene Daten sind. Zum Begriff des berechtigten Interesses s. auch BGH v. 22.5.1984 – VI ZR 105/82, NJW 1984, 1886 (1887). Bieresborn
739
Teil 8 E
Rz. 21
Sozialdaten
tegien, Kundenlisten, Lohn- und Finanzverhältnisse, Arbeitsplatzgestaltung, Gesamtzahl der Arbeitnehmer und deren Lohnhöhe, Entlassungen, bevorstehende Kurzarbeit, Beitragsrückstände, Krankenstand, Arbeitsunfälle, Geschäftsbücher, Kalkulationsgrundlagen, technische Pläne. Deshalb zählen auch Auskünfte über Verhandlungen, die zu einer Pflegevergütungsvereinbarung geführt haben, dazu1. 5. Der „verlängerte“ Sozialdatenschutz (§ 78 SGB X) 21
§ 78 SGB X erweitert den Anwendungsbereich der sozialdatenschutzrechtlichen Normen auf in § 35 SGB I nicht genannte Stellen oder Personen, an die Daten befugt übermittelt wurden. Dies bedeutet, dass die Eigenschaft „Sozialdatum“, sofern sie einmal besteht, nicht mehr verloren geht, sondern perpetuiert wird2. Sozialdaten dürfen danach nur zu dem Zweck verwendet werden, zu dem sie befugt übermittelt wurden3. Zwar ordnet § 78 Abs. 1 Satz 1 SGB X nach seinem Wortlaut ein partielles Verwertungsverbot nur für den Fall einer befugten Übermittlung an, jedoch ist nicht einsichtig, die rechtswidrige Weitergabe anders zu behandeln4.
22
Sofern dementsprechend private Leistungserbringer wie Krankenhäuser, Ärzte oder Pharma- und andere Hilfsmittelunternehmen an Cloud Computing-Modellen teilnehmen, müssen sie beachten, dass die von ihnen erhobenen Daten zunächst keine Sozialdaten sind und dem allgemeinen Datenschutz des BDSG oder der LDSG unterfallen (so Rz. 3); sobald es sich jedoch um seitens einer in § 35 SGB I genannten Stelle übermittelte Daten handelt, unterfallen diese als Sozialdaten dem Regelungsregime des SGB I und SGB X.
IV. Die verantwortliche Stelle 23
Gemäß § 67 Abs. 9 Satz 1 SGB X ist verantwortliche Stelle jede Person oder Stelle, die Sozialdaten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt5. Werden Sozialdaten von einem Leistungsträger i.S.v. § 12 SGB I erhoben, verarbeitet oder genutzt, ist nach Satz 2 verantwortliche Stelle der Leistungsträger. Ist der Leistungsträger eine Gebietskörperschaft, so sind gemäß Satz 3 die Organisationseinheiten, die eine Aufgabe nach einem der besonderen Teile 1 LSG Schleswig-Holstein v. 26.8.2005 – L 3 P4/05, juris. 2 Rombach in Hauck/Noftz, § 78 Rz. 2. 3 Mallmann/Walz, NJW 1981, 1024; Rauschenbach, Leitfaden für die Sozialmedizinische Begutachtung in der gesetzlichen Rentenversicherung 1986, 77 ff.; vgl. Eul, DOK 1981, 453. 4 Vgl. Schatzschneider, MDR 1982, 9 f.; Kunkel, ZfSH/SGH 1990, 337 (338). 5 Vgl. André, BABl 1994, 12. Die Bundesagentur für Arbeit ist z.B. eine einzige verantwortliche Stelle i.S.d. Vorschrift. S.a. Art. 2d Satz 1 EU-Datenschutzrichtlinie 95/46.
740
Bieresborn
V. Sozialdatenschutzrechtlich erhebliches Verhalten
Rz. 27
Teil 8 E
dieses Gesetzbuches funktional durchführen, eine verantwortliche Stelle1. Demgegenüber ist jede Abteilung bzw. das Sachgebiet des Amtes, der bzw. dem im Geschäftsverteilungsplan eine bestimmte Aufgabe zugewiesen ist, z.B. die Stelle innerhalb des Sozialamtes, die für die Gewährung von Hilfe zum Lebensunterhalt innerbehördlich zuständig ist, eine verantwortliche Stelle2. Jedenfalls ist beim Cloud Computing der Cloud-Service-Abnehmer stets 24 verantwortliche Stelle i.S.v. § 67 Abs. 9 SGB X (sofern der CloudServiceAnbieter nur im Rahmen der Auftragsdatenverarbeitung gem. § 80 SGB X tätig ist), siehe dazu sogleich Rz. 29 ff.
V. Sozialdatenschutzrechtlich erhebliches Verhalten § 67 Abs. 5 bis 7 SGB X definieren (weitgehend inhaltsgleich zu § 3 25 Abs. 3 bis 5 BDSG) die Begriffe Erheben, Verarbeiten und Nutzen. Erhebt, verarbeitet oder nutzt die verantwortliche Stelle Sozialdaten, so bedarf sie dafür einer sozialdatenschutzrechtlichen Rechtsgrundlage. Jeden Umgang mit Sozialdaten, zu dem die verantwortliche Stelle berechtigt ist, kann sie unter den Voraussetzungen des § 80 SGB X in die Cloud auslagern und die entsprechende Datenerhebung oder -verwendung vom Cloud-Service-Anbieter ausführen lassen. Ein klassischer Anwendungsfall für Cloud Computing ist die Daten- 26 sicherung und Archivierung von Daten in der Cloud (Infrastructure as a Service oder, sofern über die bloße Speicherung auch eine Software genutzt wird (z.B. Archivierungssoftware), auch Software as a Service)3. Auch bei Software as a Service-Diensten, im Rahmen derer der Kunde Softwareanwendungen nutzt, werden die Daten in der Regel beim CloudAnbieter gespeichert. Eine Übermittlung liegt nach § 67 Abs. 6 SGB X vor, wenn Daten an ei- 27 nen Dritten außerhalb der verantwortlichen Stelle weitergegeben oder Daten ihm zugänglich gemacht werden. Die Weitergabe von Daten innerhalb der verantwortlichen Stelle ist dagegen keine Übermittlung, sondern nur eine Nutzung, § 67 Abs. 7 SGB X. Im Rahmen einer zulässigen Auftragsdatenverarbeitung nach § 80 SGB X – als welche Cloud Compu1 Werden also bei einer Gebietskörperschaft Daten von einer Organisationseinheit an eine andere – z.B. vom Wohngeldamt an das Sozialamt – weitergegeben, sind sie als unterschiedliche verantwortliche Stellen anzusehen, da die einzelnen Ämter unterschiedliche Sozialaufgaben erfüllen. Vgl. Binne, NZS 1995, 100. Andererseits sind verschiedene örtliche Stellen, die dieselbe Aufgabe wahrnehmen – z.B. die „Bezirkssozialämter“ in Berlin – als eine verantwortliche Stelle anzusehen. André, BABl 1994, 12. 2 Vgl. Kunkel, ZFSH/SGB 1985, 49, 50 f.; s.a. Rombach in Hauck/Noftz, § 67 Rz. 127. 3 Weichert, DUD 2010, 679. Bieresborn
741
Teil 8 E
Rz. 28
Sozialdaten
ting grundsätzlich gestaltet werden kann1 – findet zwischen Cloud-Service-Abnehmer und Cloud-Service-Anbieter aber keine Übermittlung statt, weil der Auftragnehmer gem. § 67 Abs. 10 Satz 3 SGB X nicht als Dritter anzusehen ist, sofern er in der EU oder im EWR ansässig ist. Werden die Grenzen zulässiger Auftragsdatenverarbeitung indes überschritten, was vor allem dann der Fall ist, wenn der Auftragnehmer mit eigenem Ermessen und nicht strikt nach den Weisungen des Auftraggebers handelt, ist eine Weitergabe von Daten zugleich auch eine Übermittlung und an den hierfür bestehenden Rechtmäßigkeitsvoraussetzungen zu messen. Eine Rechtsgrundlage für die Übermittlung von Daten durch die verantwortliche Stelle an einen im eigenen Ermessen handelnden CloudService-Anbieter wird in aller Regel nicht vorliegen. In Betracht käme allein die Generalklausel § 69 Abs. 1 Nr. 1 SGB X, deren Voraussetzungen jedoch – mangels gesetzlicher Aufgabenzuweisung im Hinblick auf bloße Verwaltungsfunktionen – nicht erfüllt sein dürften (s.u. Rz. 60). 28
Im Kontext einer zulässigen Einschaltung eines Auftragsdatenverarbeiters können jedoch durchaus Übermittlungen stattfinden, insbesondere wenn der ohne eigenes Ermessen handelnde – und daher als Auftragsdatenverarbeiter zu qualifizierende – Cloud-Service-Anbieter Daten nach Weisung der verantwortlichen Stelle an Dritte übermittelt. Solche Übermittlungen liegen zum Beispiel vor, wenn von einem Cloud-Anbieter im Auftrag vorgehaltene Sozialdaten einer verantwortlichen Stelle auch einer anderen verantwortlichen Stelle zugänglich sind, z.B. wenn mehrere verantwortliche Stellen Zugriffsrechte auf eine vom Cloud-Anbieter betriebene Datenbank haben. In diesen Fällen muss die verantwortliche Stelle prüfen, ob die Voraussetzungen für eine Übermittlung an die dritte Stelle nach den §§ 67d ff. und 79 SGB X zulässig ist.
VI. Auftragsdatenverarbeitung (§ 80 SGB X) 1. Verfassungsrechtliche Vorgaben 29
Art. 33 Abs. 4 GG postuliert die Ausübung hoheitlicher Befugnisse alleine durch Angehörige des öffentlichen Dienstes, die in einem besonderen öffentlich-rechtlichen Treueverhältnis stehen. Lediglich die Wahrnehmung bloßer technischer Hilfsfunktionen bei der staatlichen Aufgabenerfüllung ist davon ausgenommen, wobei es entscheidend auf den Umfang der mitübertragenen Entscheidungsbefugnisse ankommt2. Dementsprechend ist es auch im Bereich der Sozialverwaltung zulässig, in bestimmten Grenzen Hilfsfunktionen wie die EDV-Technik, die lediglich unterstützende Funktion hat und alleine der technischen Abwicklung dient, nicht aber die materielle Anspruchsprüfung übernimmt, auf Pri1 Vgl. Schuster/Reichel, CR 2010, 38 (41); Polaszek, Die BKK 2011, 534 (537); Schulz, MMR 2010, 75 (77). 2 Heckmann, jurisPK-Internetrecht, 2. Aufl. 2009, Kap. 5, Rz. 102; Maisch/Seidl, VBlBW 2012, 7 (9).
742
Bieresborn
VI. Auftragsdatenverarbeitung (§ 80 SGB X)
Rz. 32
Teil 8 E
vate zu übertragen. Einfachgesetzlich wird dies durch das Instrument der Auftragsdatenverarbeitung gem. § 80 SGB X geregelt. 2. Definition und Verhältnis zum Cloud Computing § 80 SGB X regelt die Erhebung, Verarbeitung und Nutzung von Sozial- 30 daten im Auftrag, wobei zwischen öffentlichen und nicht-öffentlichen Stellen als Auftragnehmer (§ 80 Abs. 5 SGB X; s. unten Rz. 48) unterschieden wird. Der Auftragnehmer, also der Cloud-Service-Anbieter, ist grundsätzlich als Teil der verantwortlichen speichernden Stelle anzusehen, was sich § 67 Abs. 9 sowie Abs. 10 Satz 3 SGB X entnehmen lässt. Daraus folgt, dass die Datenbewegung zwischen diesen beiden Stellen keine Übermittlung i.S.v § 67 Abs. 6 Satz 2 Nr. 3 SGB X ist, zumindest solange der Auftragnehmer sich im Inland oder in einem anderen Vertragsstaat der EU oder des EWR befindet (§ 67 Abs. 10 Satz 3 SGB X; s. Rz. 27). Das zivilrechtliche Auftragsverhältnis ist weiter als das nach § 662 BGB und kann jede in Frage kommende Rechtsform im Rahmen der Vertragsfreiheit sein, z.B. ein Dienst-, Werk- oder Geschäftsbesorgungsvertrag usw.1. Auftragsdatenverarbeitung liegt indes nur dann vor, wenn sich eine ver- 31 antwortliche Stelle eines Dienstleistungsunternehmens bedient, das in Abhängigkeit von Vorgaben, die Zweck, Art und Umfang der Datenverarbeitung betreffen, die Verarbeitung von Sozialdaten für sie betreibt2. Voraussetzung ist also, dass nicht die zugrundeliegende Aufgabe im Sinne einer Funktionsübertragung übergeht, wobei wichtigstes Abgrenzungskriterium der Verbleib der Entscheidungsbefugnis über die Datenverarbeitung und den Zweck bei der übertragenden Stelle und die fehlende Einräumung eines eigenen inhaltlichen Bewertungs- oder Ermessensspielraums ist3. Sind diese Voraussetzungen nicht erfüllt, liegt eine Funktionsübertragung vor, die zu einer Übermittlung durch die verantwortliche Stelle an den als eigenständige verantwortliche Stelle anzusehenden Dienstleister führt. Wie oben ausgeführt, wird eine sozialdatenschutzrechtliche Rechtsgrundlage für eine solche Übermittlung nicht vorliegen. Da bei Cloud Computing-Modellen regelmäßig auf den Cloud-Anbieter 32 nicht die Funktion des Cloud-Auftraggebers, sondern lediglich operative Hilfstätigkeiten übertragen werden, ist ohnehin in der Regel von einer Auftragsdatenverarbeitung auszugehen4. Zu beachten ist aber, dass durch 1 Vgl. Gola/Schomerus, § 11 Anm. 2.1. 2 Gola/Schomerus, § 11 Anm. 1.3; sog ferngesteuerte Eigenverantwortung, Dortants/von Hansemann, NZS 1999, 542. 3 Gola/Schomerus, BDSG, § 11 Rz. 9; Wächter, CR, 1991, 333; Schuster/Reichl, CR 2010, 38 (41). 4 Schulz, MMR 2010, 75 (78). Vgl auch 24. Tätigkeitsbericht des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein, Ziffer 4.8.4: „Es können danach sogar ganze Bereiche der Sachbearbeitung an andere Sozialleistungsträger ausgelagert werden, was einer Funktionsübertragung gleichkommt und keine Bieresborn
743
Teil 8 E
Rz. 33
Sozialdaten
die softwaremäßige Steuerung von Arbeitsabläufen die Organisationshoheit (z.B. im Hinblick auf den Zwang zur Automatisation der jeweiligen Körperschaft) betroffen wird, womit zwar keine Funktionsübertragung stattfindet, aber Inhalt und Form der Aufgabenwahrnehmung beeinflusst werden1. 3. Verantwortliche Stelle im Rahmen der Auftragsdatenverarbeitung 33
Nach § 80 Abs. 1 SGB X, der § 11 Abs. 1 BDSG entspricht, ist der Auftraggeber für die Einhaltung der Datenschutzvorschriften verantwortlich, wenn Sozialdaten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden2. Da die beauftragende Stelle somit voll verantwortlich bleibt, muss sie bei der Ausgestaltung des Auftragsverhältnisses dem Auftragnehmer alle zur Durchführung des Gesetzes erforderlichen Verpflichtungen auferlegen. Dementsprechend bleibt im Falle zulässiger Auftragsdatenverarbeitung der Cloud-Service-Abnehmer die verantwortliche Stelle i.S.d. § 67 Abs. 9 SGB X (s.o. Rz. 23 f.). 4. Zulässigkeit und Grenzen der Auftragsdatenverarbeitung
34
Der neu gefasste § 80 SGB X i.d.F. vom 5.8.20103 legt detailliert fest, welche Anforderungen bei der Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag beachtet werden müssen. Dabei wurden in § 80 SGB X wesentliche Teile des § 11 BDSG übernommen. Im Vergleich zu den Voraussetzungen des BDSG, bestehen als sozialdatenschutzrechtliche Sonderanforderungen die Benachrichtigungspflicht gemäß § 80 Abs. 3 und § 97 Abs. 1 Satz 3 SGB X sowie die besonderen Rechtfertigungsanforderungen nach § 80 Abs. 5 SGB X für Datenverarbeitung durch nicht-öffentliche Stellen. Das Erfordernis einer schriftlichen Vereinbarung gemäß § 80 Abs. 2 Satz 2 SGB X entspricht § 11 Abs. 2 Satz 2 BDSG. Ferner sieht § 80 Abs. 2 Satz 6 SGB X bei einer Auftragserteilung an nicht-öffentliche Stellen ein gesondertes Kontrollrecht vor.
„Datenverarbeitung im Auftrag“ ist (vgl. 23. TB, Tz. 4.8.7). Werden Rechnungen auf ihre inhaltliche Begründetheit hin überprüft, ist dabei Schriftwechsel nötig und trifft die letztendliche Entscheidung der Auftragnehmer, so müssen aber „Private“ ausgeschlossen bleiben. Stehen bei der Prüfung von eingereichten Rechnungen dagegen rein manuelle oder technische Aktivitäten im Vordergrund wie z.B. Erfassung der Daten sowie Feststellung der Plausibilität, so kann dies als Auftragsdatenverarbeitung unter Umständen auch an Private übertragen werden; der Auftraggeber bleibt in diesem Fall voll verantwortlich.“ 1 Schulz, MMR 2010, 75 (78) unter Hinweis auf VerfGH NRW, NJW 1979, 1201. 2 Nach Auernhammer § 11 Rz. 5 gilt Satz 1 des entsprechenden § 11 BDSG auch für die Erhebung, da es sich um ein Redaktionsversehen handele; dies lässt sich wegen der Übernahme durch den Gesetzgeber des 2. SGBÄndG nunmehr schwerlich so begründen. 3 BGBl. I S. 1127.
744
Bieresborn
VI. Auftragsdatenverarbeitung (§ 80 SGB X)
Rz. 38
Teil 8 E
a) Formvoraussetzungen Der Auftrag bedarf nach § 80 Abs. 2 Satz 2 SGB X der Schriftform; ein 35 elektronischer Vertragsschluss ist nur unter Verwendung einer qualifizierten elektronischen Signatur gemäß Signaturgesetz wirksam (§ 126a BGB)1. Wie bereits angedeutet sind gemäß § 80 Abs. 2 Satz 2 SGB X die gleichen Festlegungen zu treffen wie nach § 11 Abs. 2 Satz 2 BDSG. Näher dazu Teil 4 Rz. 77 ff. Die Verpflichtung zur Festlegung der notwendigen technischen und orga- 36 nisatorischen Maßnahmen im Vertrag gemäß § 80 Abs. 2 Satz 2 Nr. 3 SGB X, für die nicht nur ein pauschaler Verweis auf den Gesetzeswortlaut genügt, sondern die konkrete Nennung des genutzten Sicherungsmittels, ist angesichts der Komplexität der Cloud-Strukturen schwierig2, aber durch Beschreibung der Maßnahme in einer Anlage durch den Cloud-Service-Anbieter möglich. Zu den allgemeinen Anforderungen an die Festlegung technischer und organisatorischer Maßnahmen siehe auch Teil 4 Rz. 113 ff. Bei Auftragserteilung an eine nicht-öffentliche Stelle verlangt § 80 Abs. 2 37 Satz 6 SGB X (als Konkretisierung der Anforderung nach § 80 Abs. 2 Satz 2 Nr. 7 SGB X), dass der Auftragnehmer dem Auftraggeber schriftlich das Recht eingeräumt hat, Auskünfte bei ihm einzuholen (Nr. 1), während der Betriebs- oder Geschäftszeiten seine Grundstücke oder Geschäftsräume zu betreten und dort Besichtigungen und Prüfungen vorzunehmen (Nr. 2) und geschäftliche Unterlagen sowie die gespeicherten Sozialdaten und Datenverarbeitungsprogramme einzusehen (Nr. 3), soweit es im Rahmen des Auftrags für die Überwachung des Datenschutzes erforderlich ist. Der Auftraggeber wird gemäß § 80 Abs. 2 Satz 4 SGB X außerdem verpflichtet, sich regelmäßig von der Einhaltung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen und das Ergebnis der Prüfung zu dokumentieren3. Zu den weitgehend parallelen Anforderungen nach BDSG siehe Teil 4 Rz. 92 f. b) Weisungs- und Kontrollbefugnisse des Auftraggebers § 80 Abs. 2 Satz 3 SGB X verpflichtet den Auftraggeber nicht nur zur 38 sorgfältigen Auswahl des Auftragnehmers, sondern legt ihm darüber hinaus die Verpflichtung auf, erforderlichenfalls auf die technischen und organisatorischen Maßnahmen des Auftragnehmers Einfluss zu nehmen und zwar falls erforderlich in Form von bindenden Weisungen. Erforderlich sind mit Rücksicht auf den Grundsatz der Verhältnismäßigkeit nur solche Maßnahmen, deren Schutzwirkung im angemessenen Verhältnis zu dem Aufwand stehen, den sie verursachen (s.u. Rz. 73 f.). Zu den Wei-
1 Maisch/Seidl, VBlBW 2012, 7 (11). 2 Vgl. Niemann/Hennrich, CR 2010, 686 (690). 3 § 80 Abs. 2 Satz 2 SGB X entspricht damit § 11 Abs. 2 BDSG. Bieresborn
745
Teil 8 E
Rz. 39
Sozialdaten
sungsrechten des Cloud-Kunden aus BDSG-Perspektive siehe Teil 4 Rz. 96 ff. 39
Die Kontrollrechte und -pflichten der verantwortlichen Stelle sind in § 80 Abs. 2 Satz 4 und 5 SGB X geregelt. Eine Prüfung der technischen und organisatorischen Maßnahmen vor Ort ist im Rahmen des Cloud Computings insbesondere in Public Clouds kaum realisierbar, bei denen die Erfüllung dieser Prüfungspflicht angesichts der Vielzahl dynamisch verteilter fremder IT-Ressourcen dem Cloud-Service-Anbieter u.U. überhaupt nicht möglich ist1. Zudem ist es gerade die Absicht des Cloud-Service-Abnehmers, den mit den Kontrollen verbundenen Aufwand durch die Nutzung der Cloud zu reduzieren. Andererseits genügt für die Kontrolle die Prüfung durch einen unabhängigen Dritten, sofern gewährleistet ist, dass eine tatsächliche Kontrolle stattfindet2. Die Entledigung von Kontrollen kann etwa durch die Übertragung der Kontrolle an eine unabhängige und kompetente Stelle erfolgen, z.B. durch Unterwerfung des Anbieters unter bestimmte externe Audits oder Zertifizierungen3. Ob dies auch durch die verbindliche Zusage des Cloud-Service-Anbieters in Form einer umfassenden Selbstbindung möglich ist, ist fraglich. Näher hierzu auch Teil 4 Rz. 104 ff. c) Auftragsdatenverarbeitung im Ausland
40
Cloud Computing ist zumindest im Bereich der Public Clouds häufig grenzüberschreitend, wobei in den involvierten Ländern nicht zwangsläufig Regelungen zum Datenschutz bestehen.
41
Alle verantwortlichen Stellen nach § 35 SGB I, auch sofern sie im Ausland sitzen (siehe dazu oben Rz. 18, haben bei der Einschaltung eines Cloud-Anbieters die sozialdatenschutzrechtlichen Anforderungen einzuhalten. Schaltet eine verantwortliche Stelle einen Cloud-Anbieter mit Sitz im Ausland ein, fragt sich, ob und welche zusätzliche Anforderungen hierfür gelten.
42
Da innerhalb Europas von einem angemessenen Datenschutzniveau ausgegangen wird, bestimmt § 67 Abs. 10 Satz 3 SGB X, dass nicht nur die im Inland belegenen Stellen keine Dritten sind, sondern auch Stellen, die in einem anderen EU-Staat oder einem anderen Vertragsstaat der EWR Sozialdaten im Auftrag erheben, verarbeiten oder nutzen. Damit können Cloud-Anbieter mit Sitz im EWR unter den gleichen Voraussetzungen nach § 80 SGB X beauftragt werden, wie deutsche Anbieter.
43
Sobald Cloud-Services von Anbietern außerhalb der EU bzw. des EWR erbracht werden sollen, ist eine zweistufige Prüfung erforderlich. Zunächst 1 Schuster/Reichl, CR 2010, 38 (42); Maisch/Seidl, VBlBW 2012, 7 (11); Niemann/ Hennrich, CR 2010, 686 (691). 2 Weichert, DuD 2010, 679 (685); Maisch/Seidl, VBlBW 2012, 7 (11). 3 Weichert, DuD 2010, 679 (683).
746
Bieresborn
VI. Auftragsdatenverarbeitung (§ 80 SGB X)
Rz. 46
Teil 8 E
muss eine Rechtsgrundlage für die Datenverarbeitung (wie bei reinen Inlandsfällen) vorliegen. Zweitens ist ein angemessenes Datenschutzniveau beim Empfänger der Daten erforderlich. Aus einem Umkehrschluss aus § 67 Abs. 10 Satz 3 SGB X folgt, dass bei 44 Datenverarbeitung im Auftrag außerhalb dieses Bereichs eine Übermittlung i.S.v. § 67 Abs. 6 Satz 2 Nr. 3 SGB X vorliegt, weil Auftragnehmer in Ländern, die nicht Mitglieder der EU bzw. der EWR sind, immer Dritte sind1. Dies führt nach einer Ansicht dazu, dass Cloud Computing nur dann als Datenverarbeitung nach § 80 SGB X (ohne Übermittlungsvorgang) angesehen und gerechtfertigt werden kann, wenn der Cloud-Service-Anbieter die IT- Systeme, auf denen die Datenverarbeitung erfolgt, ausschließlich im Inland oder innerhalb der Europäischen Union bzw. EWR betreibt2. Bei der Einschaltung von Anbietern außerhalb der EU bzw. EWR müssten daher die Voraussetzungen eines Erlaubnistatbestandes für eine Übermittlung vorliegen. Vertreten wird allerdings auch eine analoge Anwendung der Regeln für die Auftragsdatenverarbeitung wegen einer bestehenden Regelungslücke bezüglich der Übermittlungsbefugnis und weil der Gesetzgeber mit § 67 Abs. 10 Satz 3 BDSG alleine die Anwendung der Normen zur Sicherstellung eines angemessenen Datenschutzniveaus, die an eine Übermittlung anknüpfen, auslösen wollte – nicht jedoch die internationale Auftragsdatenverarbeitung ausschließen3. Dieser Streitfrage kommt im Sozialdatenschutz besondere Bedeutung zu, da eine Rechtsgrundlage für eine Datenübermittlung an den Cloud-Anbieter im Sozialdatenschutz nicht gegeben ist (siehe oben Rz. 27). Im Anwendungsbereich des BDSG wird nämlich von der die analoge Anwendung des § 11 BDSG ablehnenden Ansicht vertreten, dass die Übermittlung nach § 28 BDSG gerechtfertigt werden kann. Kommt man – mit der analogen Anwendung des § 80 SGB X – zu einer 45 Rechtsgrundlage für die Datenverarbeitung, ist als zweite Voraussetzung ein angemessenes Datenschutzniveau beim Empfänger sicherzustellen. Hierfür bestehen verschiedene Möglichkeiten. Von besonderer praktischer Bedeutung sind die von der EU-Kommission 46 festgelegten speziellen Standardvertragsklauseln für Auftragsdatenverarbeitungen in Drittstaaten, die die Einhaltung ausreichender Garantien beim Auftragnehmer gemäß Art. 26 Abs. 2 Datenschutzrichtlinie sicherstellen sollen4. Die Existenz dieser Standardvertragsklauseln zeigt im Übrigen, dass die EU von der – im Sozialdatenschutz nur über eine entsprechende Anwendung des § 80 SGB X erreichbare – Zulässigkeit der internationalen Auftragsdatenverarbeitung ausgeht. Zu weiteren Möglich1 Gola/Schomerus, BDSG, § 4b Rz. 5; Schuster/Reichl, CR 2010, 38 (41); Pohle/ Ammann, CR 2009, 273 (276). 2 Dies wird im Rahmen einer Art European Cloud von Anbietern mittlerweile auch explizit angeboten, vgl. Pohle/Ammann, CR 2009, 273 (277). 3 Weichert, DuD 2010, 679 (686). 4 ABl. EG C 6/52 v. 10.1.2002. Bieresborn
747
Teil 8 E
Rz. 47
Sozialdaten
keiten, ein angemessenes Datenschutzniveau zu gewährleisten unten Rz. 68. 47
Näher zur internationalen Auftragsdatenverarbeitung Teil 4 Rz. 230 ff. d) Auftragsdatenverarbeitung durch nicht-öffentliche Stellen
48
§ 80 Abs. 5 SGB X enthält weitere Regelungen bezüglich der Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag durch nicht-öffentliche Stellen, die danach nicht verboten ist, sondern an bestimmte Voraussetzungen geknüpft wird. Die dortigen Voraussetzungen müssen zusätzlich zu den in Abs. 2 genannten Anforderungen vorliegen1.
49
Nach § 80 Abs. 5 Nr. 1 SGB X ist Voraussetzung, dass beim Auftraggeber ohne Nutzung des Cloud-Dienstes Störungen im Betriebsablauf auftreten. Diese Voraussetzung kann z.B. bei kurzfristig zu erwartenden erhöhtem Speicherplatzbedarf vorkommen.
50
Nach § 80 Abs. 5 Nr. 2 ist die Auftragsdatenverarbeitung ferner zulässig, wenn zwei Voraussetzungen erfüllt sind: Zunächst müssen die übertragenen Arbeiten beim Auftragnehmer erheblich kostengünstiger besorgt werden können. Diese Voraussetzung dürfte in der Regel angesichts der Kostenvorteile des Cloud Computing gegeben sein2. Neben dem Kostenvorteil ist im Rahmen von § 80 Abs. 5 Nr. 2 zusätzliche Voraussetzung, dass die Speicherung nicht den gesamten Datenbestand des Auftraggebers umfasst. Dabei wurde in § 80 Abs. 5 Nr. 2 Satz 2, 1. Alt. SGB X ergänzend und erläuternd vorgesehen, dass der überwiegende Teil der Speicherung des gesamten Datenbestandes grundsätzlich beim Auftraggeber verbleiben muss. Dies bedeutet, dass mehr als 50 % des gesamten Datenbestands beim Auftraggeber oder im Falle eines Unterauftrags beim erstbeauftragten öffentlichen Auftragnehmer gespeichert bleiben muss3. Sinn und Zweck der Regelung besteht darin, einen möglicherweise eintretenden Herrschafts- und Kontrollverlust über den gesamten Datenbestand zu vermeiden4. Unabhängig davon, ob diese Regelung angesichts der technischen und vertraglichen Ausgestaltungsmöglichkeiten bei CloudDiensten, die einen vollständigen Kontrollverlust des Cloud-Dienste-Nutzers verhindern können5, noch zeitgemäß ist, stellt diese Rechtsnorm eine nicht unerhebliche Grenze zumindest für die Nutzung von Storage-asa-Service-Angeboten dar. Das Gesetz enthält zwar keine Angabe dazu, 1 Sommer in Krahmer, Sozialdatenschutz, § 80 Rz. 28. 2 Rammos/Vonhoff, CR 2013, 265 (267). 3 Hartmann, Outsourcing in der Sozialverwaltung und Sozialdatenschutz, S. 142; alleine § 51 SGB II normiert für den Anwendungsbereich der Grundsicherung für Arbeitssuchende die Möglichkeit einer von den Einschränkungen des § 80 Abs. 5 SGB X befreiten Auftragsdatenverarbeitung durch nicht-öffentliche Stellen. 4 S. zur Datenhoheit Bosesky/Hoffmann/Schulz, DuD 2013, 95 (100). 5 Vgl. Rammos/Vonhoff, CR 2013, 265 (268).
748
Bieresborn
VI. Auftragsdatenverarbeitung (§ 80 SGB X)
Rz. 52
Teil 8 E
wie der Datenumfang zu bemessen ist. Angesichts des Alters der Norm sowie der Definition des Datenbegriffs als eine natürliche Person bestimmende Einzelangabe ist davon auszugehen, dass ausschlaggebend die Anzahl der in Bezug genommenen Personen, nicht etwa die Menge der gespeicherten Bytes ist. § 80 Abs. 5 Nr. 2 Satz 2, 2. Alt. SGB X ermöglicht es dem Auftraggeber je- 51 doch, den überwiegenden Teil der Speicherung des gesamten Datenbestandes durch Auftragnehmer, die öffentliche Stellen sind, durchführen zu lassen, selbst wenn dieser Auftragnehmer auch nicht-öffentliche Stellen als Auftragsdatenverarbeiter einsetzt. Dies eröffnet die Möglichkeit der Auftragsdatenverarbeitung innerhalb von Gemeinden und Landkreisen durch andere Organisationseinheiten derselben Gebietskörperschaft im Sinne einer Community-Cloud, für deren Betrieb dann eben auch nicht-öffentliche Stellen eingesetzt werden1. Im Übrigen kann die Datenverarbeitung im Auftrag den gesamten Datenbestand erfassen, soweit sie nicht Speicherung ist, also auch Platform as a Service oder Software as a Service2. Letztere Unterscheidung wird als nicht sachgerecht kritisiert, weil auch bei diesen Formen der externen Bearbeitung von Daten Sozialdaten an den Cloud-Service-Anbieter übertragen werden und demgemäß ein Kontrollverlust stattfindet3. Diese Differenzierung ist aber im Gesetz angelegt, zumal in der amtlichen Begründung die Datenverarbeitung, sofern sie nicht in der Speicherung besteht, sowie die Datennutzung, nicht begrenzt werden4. Sofern die Cloud Computing-Angebote die externe Datenspeicherung 52 umfassen (Storage bzw. Infrastructure as a Service), muss der Auftraggeber daher sicherstellen, mehr als 50 % des Gesamtdatenbestands intern bzw. bei organisatorisch ihm als verantwortlicher Stelle zuzurechnenden Servern zu speichern. Nach der hier vertretenen Auffassung (s.o. Rz. 13) kann diese Beschränkung auch nicht durch die Anwendung von Verschlüsselungstechnologien umgangen werden, sofern eine Reanonymisierung mittels erforderlichem Zusatzwissen nicht nur möglich, sondern auch beabsichtigt ist, weil solche nach wie vor bestimmbaren Einzelangaben dem Regelungsregime der Datenschutzgesetze unterfallen. Angesichts der fraglichen Differenzierung zwischen externer Speicherung einerseits und externer Verarbeitung ohne Speicherung bzw. Nutzung andererseits wird vertreten, die als nicht mehr zeitgemäße empfundene Vorschrift des § 80 Abs. 5 Nr. 2 SGB X einschränkend dahin auszulegen, dass die externe Speicherung in virtuellen Speichern solange ohne Einschränkung zulässig ist, als durch adäquate technische und vertragliche Gestaltung kein Kontrollverlust der verantwortlichen Stelle zu 1 BT-Drucks. 12/6334, S. 11. 2 Vgl. Rammos/Vonhoff, CR 2013, 265 (267); s. zum Outsourcing Hartmann, Outsourcing in der Sozialverwaltung und Sozialdatenschutz, Diss. Kiel 2002, S. 131 ff., insb. S. 141 ff. u. Kessler, DuD 2004, 40 ff. 3 Rammos/Vonhoff, CR 2013, 265 (267). 4 BT-Drucks. 12/6334, S. 11. Bieresborn
749
Teil 8 E
Rz. 53
Sozialdaten
befürchten ist1. Eine weitere denkbare Möglichkeit wäre, durch Sicherung des gesamten Datenbestands als Back-up-Datei die Kontrolle zu behalten; selbst das Speichern der gesamten operativen Datenbank in der Cloud wäre dann nicht als Verlagerung von mehr als der Hälfte des Datenbestandes zu sehen. e) Anzeigepflichten 53
§ 80 Abs. 3 SGB X verpflichtet den Auftraggeber seiner Aufsichtsbehörde rechtzeitig vor der Auftragserteilung den Auftragnehmer, die bei diesem vorhandenen technischen und organisatorischen Maßnahmen und ergänzenden Weisungen nach Abs. 2 Satz 2 und 3 (Nr. 1), die Art der Daten, die im Auftrag erhoben, verarbeitet oder genutzt werden sollen, und den Kreis der Betroffenen (Nr. 2), die Aufgabe, zu deren Erfüllung die Erhebung, Verarbeitung oder Nutzung der Daten im Auftrag erfolgen soll (3.), sowie den Abschluss von etwaigen Unterauftragsverhältnissen (Nr. 4) schriftlich anzuzeigen2. Wenn der Auftragnehmer eine öffentliche Stelle ist, hat auch er eine schriftliche Anzeige an seine Aufsichtsbehörde zu richten. Dadurch soll der Aufsichtsbehörde Gelegenheit gegeben werden, noch vor der Auftragserteilung durch Beratung und ggf. mit den ihr sonst zur Verfügung stehenden Mitteln tätig zu werden3. Das hat zur Folge, dass der Auftraggeber mit der Auftragserteilung noch eine angemessene Zeit zuzuwarten hat, bis eine entsprechende Mitteilung der Aufsichtsbehörde eingegangen ist; notfalls ist – schon der Klarheit wegen – eine Anfrage zweckmäßig4. Da die Nutzung von Cloud-Diensten die Übertragung von Daten an den Cloud-Anbieter verlangt, besteht auch bei diesen grundsätzlich die Anzeigepflicht. Sie kann entfallen, wenn ausschließlich Sammelangaben oder anonymisierte Daten an den Cloud-Provider gegeben werden5. Die Anzeigepflicht bedeutet keinen Genehmigungsvorbehalt6.
54
§ 83a SGB X verpflichtet die dem Sozialgeheimnis unterliegenden Stellen, im Fall der unrechtmäßigen Kenntniserlangung von Sozialdaten unverzüglich die Aufsichtsbehörde nach § 90 SGB IV, die zuständige Datenschutzaufsichtsbehörde und den Betroffenen zu informieren. Im Hinblick auf die Art der Benachrichtigung verweist die Norm auf § 42a BDSG7.
1 Rammos/Vonhoff, CR 2013, 265 (268); vgl. Ulmer, RDG 2012, 272 (274). 2 Vgl. Rundschreiben des Bundesversicherungsamtes an die bundesunmittelbaren Sozialversicherungsträger v. 13.3.2009 – I1-4060.04 1431/93. 3 Vgl. Begründung BT-Drucks. 8/4022, S. 88. 4 Vgl Pickel, SGb 2000, 198. 5 Rammos/Vonhoff, CR 2013, 265 (266); Sommer in Krahmer, Sozialdatenschutz, § 67 Rz. 6. 6 Krahmer, Sozialdatenschutz, § 80 Rz. 266. 7 S. den 23. Tätigkeitsbericht des Bundesdatenschutzbeauftragten, S. 119.
750
Bieresborn
VII. Voraussetzungen der bermittlung von Sozialdaten
Rz. 58
Teil 8 E
Ferner fragt sich, ob die verantwortliche Stelle, die die Beauftragung ei- 55 nes Cloud-Anbieters beabsichtigt, die zuständige Aufsichtsbehörde nach § 97 Abs. Satz 3 zu unterrichten hat. Da auch IT-Outsourcing als Auslagerung i.S.e. Übertragung von Aufgaben gemäß § 97 Abs. 1 Satz 3 SGB X gilt, ist auch die beabsichtigte Nutzung von Cloud ComputingAngeboten nach § 97 Abs. 1 Satz 3 SGB X der zuständigen Aufsichtsbehörde so rechtzeitig und umfassend mitzuteilen, dass dieser ausreichend Zeit für eine Prüfung verbleibt1.
VII. Voraussetzungen der Übermittlung von Sozialdaten Werden die genannten Grenzen der Auftragsdatenverarbeitung über- 56 schritten, insbesondere weil der Anbieter Daten im eigenen Ermessen und nicht strikt nach Weisung verarbeitet, handelt es sich bei der Übertragung von Sozialdaten zwischen Cloud-Service-Anbieter und Cloud-Service-Abnehmer nicht mehr um eine bloße interne Weitergabe, sondern um eine Übermittlung von Sozialdaten, da der Cloud-Service-Anbieter nun Dritter i.S.v. § 67 Abs. 9 SGB X ist (so Rz. 27)2. Dieselbe Situation besteht – aus anderen Gründen – bei Sitz des Cloud-Dienste-Anbieters außerhalb der EU bzw. EWR (s. Rz. 44). Daher und weil sich das Ermessen des Dienstleisters auch auf rein technische Aspekte beziehen kann (und sich nicht auf die materielle Anspruchsprüfung erstrecken muss) ist eine Übermittlung nicht stets gleichzusetzen mit einer Funktionsverlagerung. Bei einer Datenübermittlung vom Cloud-Service-Nutzer an den Cloud-Service-Anbieter gibt ersterer die datenschutzrechtliche Verantwortung ab und überträgt sie voll auf letzteren, womit er zugleich grundsätzlich die Möglichkeit verliert, auf den Umgang mit den von ihm übermittelten Daten Einfluss zu nehmen3. Eine Übermittlung ist demgemäß immer an bestimmte Rechtmäßigkeitsvoraussetzungen geknüpft. § 67d SGB X verlangt das Vorliegen eines besonderen Übermittlungstat- 57 bestands. Die Übermittlung als besondere Form der Verarbeitung ist damit nach dem SGB X an höhere Voraussetzungen als die Nutzung oder sonstige Verarbeitung geknüpft. Gesetzliche Übermittlungsbefugnisse sind in den §§ 68 bis 77 SGB X und anderen Rechtsvorschriften des gesamten SGB geregelt4. Im Unterschied zu §§ 15 Abs. 1 Nr. 1 und 16 Abs. 1 Nr. 1 BDSG genügt 58 für die Zulässigkeit der Übermittlung nicht nur die Erfüllung einer in der Zuständigkeit der übermittelnden Stelle liegenden Aufgabe, sondern es muss sich ein Erlaubnistatbestand für die Übermittlung aus dem SGB selbst ergeben. Dies ergibt sich auch aus der gegensätzlichen Formulie1 Rammos/Vonhoff, CR 2013, 265 (266). 2 Vgl. Rammos/Vonhoff, CR 2013, 265 (268). 3 BSI – Sicherheitsempfehlungen für Cloud Computing-Anbieter, S. 74; s. zur Datenhoheit Bosesky/Hoffmann/Schulz, DuD 2013, 95–100. 4 Vgl. Binne, NZS 1995, 103; Pickel, SGb 1999, 493. Bieresborn
751
Teil 8 E
Rz. 59
Sozialdaten
rung in § 30 Abs. 1 SGB IV und der dortigen Beschränkung der Geschäftsführung auf „gesetzlich vorgeschriebene oder zugelassene“ Aufgaben1. 59
In der Praxis ist § 69 Abs. 1 Nr. 1 SGB X als Erlaubnistatbestand besonders wichtig. Danach ist die Übermittlung u.a. zulässig zur Erfüllung der Zwecke, für die Daten erhoben wurden oder einer gesetzlichen Aufgabe der übermittelnden Stelle nach SGB oder einer solchen Aufgabe des Dritten, an den die Daten übermittelt werden, wenn er eine in § 35 SGB I genannte Stelle ist. Nach § 69 Abs. 1 Nr. 1 Alt. 2 SGB X darf der Sozialleistungsträger zwar kraft eigener Kompetenz übermitteln, aber nur soweit er damit eigene (sozial-)gesetzliche Aufgaben erfüllt. Als solche kann nur in Frage kommen, wenn in der die Aufgabe begründenden Norm die Übermittlung eindeutig für zulässig erklärt wird und insbesondere die Art der Daten und den Zweck erkennen lässt. So zählt z.B. die Mitgliederwerbung von Krankenkassen nicht zu den gesetzlichen Aufgaben, weil hierfür keine Rechtsvorschrift existiert und auch § 100 Abs. 1 Satz 1 Nr. 1 Satz 3 SGB X nicht so weit ausgelegt werden kann2.
60
Im Zusammenhang mit Cloud Computing-Anwendungen ist allerdings fraglich, ob – sofern die Voraussetzungen der Auftragsdatenverarbeitung nicht vorliegen (siehe oben Rz. 34 ff.) – § 69 Abs. 1 Nr. 1 2. Alt. als gesetzlicher Erlaubnistatbestand in Betracht kommt. Vertreten wird, dass die Übermittlung und Datenverarbeitung in der Cloud je nach Cloud-Dienstleistung geeignet sei, die Aufgabenerfüllung einer öffentlichen Stelle zu unterstützen, zu beschleunigen und dabei IT-Kosten einzusparen3. Selbst wenn sich damit im Zusammenhang mit dem Wirtschaftlichkeits- und Sparsamkeitsgebot im Sinne eines möglichst geringen Mitteleinsatzes – sog. Minimalprinzip4 – die Erfüllung einer Aufgabe der verantwortlichen Stelle und damit eine Übermittlungsbefugnis nach §§ 15, 16 BDSG begründen ließe, wäre dies nach dem Regelungsgefüge des SGB X nicht möglich, da § 69 Abs. 1 Nr. 1 2. Alt. SGB X das Bestehen einer gesetzlichen Aufgabenzuweisung verlangt. Denn nicht zu den gesetzlich zugewiesenen Aufgaben gehören die reinen Verwaltungsfunktionen, weshalb eine Übermittlung von Sozialdaten nicht zulässig ist, wenn die in § 35 SGB I genannten Stellen die Daten in ihrer Eigenschaft als Arbeitgeber oder für den fiskalischen Bereich benötigen. Das heißt, die Daten müssen zur Ausübung der öffentlich-rechtlichen Verwaltungstätigkeit i.S.v. §§ 1 und 8 SGB X und nicht nur für verwaltungsinterne Organisationsmaßnahmen benötigt werden5. Dementsprechend ist auch § 69 Abs. 1 Nr. 1 2. Alt. SGB X als Erlaubnistatbestand für Übermittlungen bei der Inanspruchnahme von Cloud-Diensten zu verneinen. 1 Vgl. Neumann-Duesberg, BKK 1981, 27; a.M. Rische, DRV 1980, 384 f. 2 BSG v. 23.7.2002 – B 3 KR 64/01 R, BSGE 90, 1 (5) = NZS 2003, 594 ff.; s.a. BSG v. 28.5.2003 – B 3 KR 10/02 R, BSG SozR 4–2500 § 109 Nr. 1. 3 Maisch/Seidl, VBLBW 2012, 7 (10). 4 BSG v. 26.8.1983 – 8 RK 29/82, BSGE 55, 277 (279); s.a. West in jurisPK-SGB IV, § 69 Rz. 28; Breitkreuz in LPK-SGB IV, § 69 Rz. 10. 5 Vgl. Meydam, BlStSozArbR 1980, 283; vgl. BT-Drucks. 8/4022, S. 85.
752
Bieresborn
VIII. bermittlung ins Ausland
Rz. 63
Teil 8 E
Ansonsten ist eine Übermittlung auch nicht unter dem Gesichtspunkt 61 des rechtfertigenden Notstands oder gar aufgrund eines übergesetzlichen Notstands zulässig. Auf ersteren in § 34 StGB normierten Rechtfertigungsgrund können sich grundsätzlich nur Privatpersonen, nicht aber staatliche Stellen berufen1. Als weitere Schranke für Übermittlungen selbst im Falle einer einschlä- 62 gigen Übermittlungsnorm ist § 76 Abs. 1 SGB X zu beachten, wonach die Übermittlung von Sozialdaten, die einer in § 35 SGB I genannten Stelle von einem Arzt oder einer anderen in § 203 Abs. 1 und 3 StGB genannten Person zugänglich gemacht worden sind, nur unter den Voraussetzungen zulässig ist, unter denen diese Person selbst übermittlungsbefugt wäre. Die Vorschrift dient somit der „Verlängerung“ des Arzt- bzw. Berufsgeheimnisses i.S.v. § 203 Abs. 1 u. 3 StGB2.
VIII. Voraussetzungen einer rechtmäßigen Übermittlung ins Ausland Mangels Erlaubnistatbestand kann eine Übermittlung von Sozialdaten 63 nach den §§ 67d ff. SGB X durch die verantwortliche Stelle an den CloudAnbieter nicht zulässig gestaltet werden. Wie oben dargelegt kann dieser vielmehr nur als Auftragsdatenverarbeiter eingeschaltet werden. Sitzt der Anbieter allerdings außerhalb der EU oder des EWR, liegt wie oben dargelegt eine Übermittlung vor, für die – sofern die sonstigen Voraussetzungen der Auftragsdatenverarbeitung vorliegen – zwar in § 80 SGB X analog ein Erlaubnistatbestand vorliegen könnte. In diesem Fall wäre die Übermittlung an den Auftragsdatenverarbeiter gemäß § 77 SGB X aber grundsätzlich nur zulässig, wenn beim Cloud-Anbieter ein angemessenes Datenschutzniveau vorliegt. Hierbei kommt es nicht darauf an, ob der Cloud-Service-Anbieter gänzlich seinen Sitz im Drittland oder im EWR hat, die Ressourcen jedoch mittels einer unselbständigen Zweigstelle oder einem Subunternehmer im Drittland nutzt, weil maßgeblich die Verlagerung der Daten außerhalb des Herrschafts- und Kontrollbereichs der EWR ist. Angesichts der im Bereich des Cloud Computing häufig zum Einsatz kommenden weltweit verstreuten Serverfarmen ist die Angemessenheit in jedem betroffenen Land sicherzustellen3.
1 Schwarzburg, NStZ 1995, 472; Kirchhof, NJW 1978, 969; Amelung, NJW 1977, 833; vgl. aber BGH St 27, 260 zur Kontaktsperre und LSG Baden-Württemberg v. 29.11.2006 – L 9 U 4963/06 A, juris. 2 Vgl. Graßl/Weigert, DSWR 1981, 143 und Kunkel, ZFSH/SGB 2000, 648. 3 Vgl. § 4b Abs. 3 BDSG sowie Richtlinie 95/46/GG AB 11 Nr. L2 181, 31 ff.; s. auch Pohle/Ammann, CR 2009, 273 (277). Bieresborn
753
Teil 8 E
Rz. 64
Sozialdaten
1. Cloud-Service-Anbieter außerhalb der EU/EWR mit angemessenem Schutzniveau 64
In § 77 Abs. 2 Satz 2 SGB X werden in Anlehnung an Art. 25 der Datenschutzrichtlinie 95/46/EG die Kriterien für die Annahme eines angemessenen Niveaus exemplarisch aufgelistet. Diese Aufzählung ist nicht abschließend, da diese Vorschrift einer weiteren Auslegung durch die Praxis bedarf.
65
Grundsätzlich ist die EU Kommission gemäß der Datenschutzrichtlinie 95/45/EG dafür zuständig zu entscheiden, ob in einem Drittland – und damit bei allen dort ansässigen Empfängern – ein angemessenes Datenschutzniveau vorliegt. Für einige Länder hat sie ein angemessenes Datenschutzniveau bereits festgestellt. Näher dazu Teil 4 Rz. 235 f. Solange sie keine Feststellung getroffen hat, entscheidet das Bundesversicherungsamt gemäß § 77 Abs. 2 Satz 3 SGB X und zwar – wie sich aus Satz 2 ergibt – nicht generell für ein Land, sondern im Einzelfall für jede Übermittlung. Dabei setzt es sich mit Auswärtigen Amt und dem Bundesministerium des Innern ins Benehmen und stimmt sich mit der Europäischen Kommission ab1. Teilweise bieten Cloud-Service-Anbieter den Kunden die Möglichkeit, eine Datenverarbeitung ausschließlich innerhalb des EU/EWR-Raumes durchführen zu lassen2. 2. US-amerikanische Cloud-Service-Anbieter
66
Die USA sind datenschutzrechtlich grundsätzlich als unsicheres Drittland ohne angemessenes Datenschutzniveau zu betrachten. Grundsätzlich soll das Safe-Harbour-Abkommen zwischen EU und USA gewährleisten, dass bei US-Unternehmen, die sich dem Safe-Harbour-Regime unterworfen haben, von einem angemessenen Datenschutzniveau ausgegangen werden kann. Allerdings soll nach Ansicht deutscher Datenschutzbehörden selbst im Falle einer Safe-Harbour-Zertifizierung nicht ohne weiteres ein angemessenes Datenschutzniveau bestehen3. Insbesondere bei Datenerhebungen zu Sicherheitszwecken tritt dort jedwedes Interesse an informationeller Selbstbestimmung zurück4, zumal der Datenschutz als solcher in den USA keinen Verfassungsrang genießt5. Zu den Anforderungen an eine Zulässige Datenübermittlung in die USA 1 2 3 4
Vgl. Steinbach, NZS 2002, 21. Weichert, DuD 2010, 679 (686); Pohle/Ammann, CR 2009, 273 (277). Maisch/Seidl, VBlBW 2012, 7 (9). Grunwald, Datenerhebung durch das Federal Bureau of Investigation, 2007, S. 55; Weichert, RDV 2012, 113 (115). 5 Vielmehr gilt ein räumliches Verständnis der Privatsphäre, so dass Informationsbeschaffung eher am Maßstab der Unverletzlichkeit der Wohnung gemessen wird (Supreme Court, United States vs. Jones, 565 US, 132 S.Ct. 945, Urt. v. 23.1.2012). Geschützt wird nach dem 4. Verfassungszusatz (Fourth Amendment) nur die angemessene Erwartung an die Privatsphäre (reasonable expectation of privacy; s. Katz vs. United States, 389 U.S. 347, Urt. v. 18.12.1967.
754
Bieresborn
VIII. bermittlung ins Ausland
Rz. 69
Teil 8 E
auf Grundlage einer Safe-Harbour-Zertifizierung und den Stellungnahmen der deutschen Datenschutzbehörden siehe Teil 4 Rz. 237 ff. Da zumindest mittelbare Zugriffsmöglichkeiten amerikanischer Behör- 67 den auf europäische Tochterunternehmen amerikanischer Konzerne bestehen, ist selbst die Übermittlung von Daten an Cloud-Provider, deren Sitz innerhalb der EU ist, bedenklich. Daher ändert sich die Unzulässigkeit der Nutzung von außereuropäischen Cloud Computing-Modellen bei Sozialdaten weder durch Begründung eines Sitzes des Cloud-Anbieters in Europa, noch durch die Einrichtung einer europäischen Availability Zone, durch welche gewährleistet wird, dass die Datenverarbeitung ausschließlich innerhalb der EWR durchgeführt wird (siehe oben Rz. 65 a.E.). 3. Cloud-Service-Anbieter in Staaten ohne angemessenes Schutzniveau Gem. § 77 Abs. 3 SGB X ist eine Übermittlung von Sozialdaten an Per- 68 sonen oder Stellen im Ausland oder an über- oder zwischenstaatliche Stellen ferner auch zulässig, wenn der Betroffene seine Einwilligung gegeben hat (Nr. 1)1, die Übermittlung in Anwendung zwischenstaatlicher Übereinkommen auf dem Gebiet der sozialen Sicherheit erfolgt (Nr. 2) oder die Übermittlung für die Durchführung eines Strafverfahrens (§ 73 SGB X) oder eines gerichtlichen Verfahrens nach § 69 Abs. 1 Nr. 2 SGB X erforderlich ist und ein angemessenes Datenschutzniveau beim Empfänger besteht (Nr. 3). Diese Erlaubnistatbestände kommen zur Rechtfertigung einer Übermittlung an einen Cloud-Anbieter im Drittstaat nicht in Betracht. Auch keiner der in § 77 Abs. 4 SGB X genannten Fälle wird in Cloud Computing-Konstellationen weiterhelfen. Interessant ist die Frage, ob die Möglichkeit besteht, ein angemessenes 69 Datenschutzniveau durch die Vereinbarung der EU-Standardvertragsklauseln2 mit dem Cloud-Anbieter herzustellen. Nach dem BDSG kann bei Empfängern, die in einem datenschutzrechtlich unsicheren Drittstatt ansässig sind, ein angemessenes Datenschutzniveau hergestellt werden durch Vereinbarung der EU-Standardvertragsklauseln. Näher dazu Teil 4 Rz. 235 f. Im Bereich des Sozialdatenschutzes besteht keine § 4c Abs. 2 Satz 1 Halbs. 2 BDSG entsprechende Öffnungsklausel. Zudem sieht § 77 SGB X Übermittlungen in unsichere Drittstaaten auf Grundlage von Vereinbarungen nur nach Abs. 3 Nr. 2 im Falle des Bestehens von bilateralen Sozialversicherungsabkommen vor. Nach § 77 Abs. 2 Satz 2 SGB X hat die Prüfung eines angemessenen Datenschutzniveaus jedoch „unter Berücksichtigung aller Umstände“ stattzufinden. Also sind auch etwa zwischen der verantwortlichen Stelle und dem Cloud-Anbieter geltende EU-Stan1 Vgl. zur Bedeutung der Einwilligung für den grenzüberschreitenden Transfer schutzwürdiger Sozialdaten Pätzel, ZfSH/SGB 1992, 337. 2 Abrufbar unter: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L: 2010:039:0005:0018:DE:PDF (zuletzt aufgerufen am 29.8.2013). Bieresborn
755
Teil 8 E
Rz. 70
Sozialdaten
dardklauseln relevant. Zwar wird man im Bereich des Sozialdatenschutzes durch die EU-Standardklauseln nicht davon befreit, eine Genehmigung bzw. Entscheidung des Bundesversicherungsamtes einzuholen. Die Chancen auf einen positiven Bescheid dürften jedoch bei Vereinbarung der EU-Standardklauseln steigen.
IX. Cloud Computing durch Einwilligung? 70
Die Einwilligung ist bei der Nutzung von Cloud Computing-Angeboten in der Praxis vor allem deshalb problematisch, weil sie jederzeit widerrufen werden kann. Zudem ist es häufig nur dann sinnvoll, Cloud-Services zu nutzen, wenn alle Daten gleichermaßen verarbeitet werden können, Einwilligungen also von allen Betroffenen vorliegen. Die Beachtlichkeit und Wirksamkeit der Einwilligung ist zudem im Bereich des Sozialdatenschutzes nicht unumstritten. Zur Problematik der Einwilligung als Rechtfertigungsgrundlage für Cloud Computing aus Sicht des BDSG siehe Teil 4 Rz. 60.
71
Im Staatsrecht ist umstritten, ob eine Einwilligung ohne normativen Einwilligungstatbestand einen Eingriff in das Recht auf informationelle Selbstbestimmung entfallen lässt oder diesen zumindest rechtfertigt. Postuliert wird deshalb das Modell einer ermächtigungsakzessorischen Einwilligung, wie sie z.B. in § 73 Abs. 1b SGB V zu finden ist1. Das BSG hat hierzu ausgeführt, dass im Sozialdatenschutz jedenfalls kein Grundsatz bestehe, wonach eine Datennutzung und -übermittlung unabhängig von einer gesetzlichen Ermächtigung stets zulässig ist, sofern eine Einwilligung des Betroffenen vorliegt und deshalb die Einwilligung als alleinige Ermächtigungsgrundlage nicht in Betracht komme2. An diesem Votum wird sich die Praxis zu orientieren haben, obwohl beachtliche Gründe auch für die Gegenauffassung sprechen3. Das Gebot der Normenklarheit bereichsspezifischer Regelungskonzeptionen, die an genauer
1 S. dazu die rechtsgutachtliche Stellungnahme von Höfling, Zur verfassungsrechtlichen Beurteilung der Einschaltung privater Dienstleistungsunternehmen zwecks Leistungsabrechnung bei der Durchführung von Selektivverträgen, veröffentlicht unter http://www.hausaerzteverband.de/cms/fileadmin/user_upload/ redaktion/bundesverband/news/berufspolitik-aktuell/einstweilige_Verfuegung/ 2009-05-29_gutachten_hoefling.pdf, S. 32 ff. 2 BSG v. 10.12.2008 – B 6 KA 37/07 R, BSGE 102, 134–148, Rz. 35; s.a. Anm. von Heberlein, SGb 2009, 724 ff. Mittlerweile findet sich die Rechtsgrundlage in § 295a SGB VII i.d.F. v. 28.7.2011, BGBl. I 1622. 3 Zur Dispositionsbefugnis des Grundrechtsinhabers: Stern, Staatsrecht, Bd III/2, S 881 ff.; Robbers, JuS 1985, 925 ff. Vgl. ferner BVerwGE 119, 123 (127); als Grenze ist der Menschenwürdegehalt zu beachten, s. di Fabio in Maunz/Dürig, GG, Art. 2 Abs. 2 Rz. 62; vgl. auch Brisch/Laue, CR 2009, 465 f.; Schömann, jurisPRSozR 21/2009 Anm. 4; s. zur schutzrechtlichen Dimension des Rechts auf informationelle Selbstbestimmung BVerfG v. 23.10.2006 – 1 BvR 2027/02, juris.
756
Bieresborn
X. Technische Vorkehrungen (§ 78a SGB X)
Rz. 74
Teil 8 E
umschriebene Verarbeitungszusammenhänge anknüpfen1, lässt vielmehr erwarten, dass der Gesetzgeber ein normatives Verbot der Datenerhebung bei Vorliegen einer Einwilligung durch eine Verbotsregelung ausdrücklich hätte anordnen müssen, um deren Unabdingbarkeit i.S.d. Gesetzmäßigkeit der Verwaltung zu bewirken. Ein bloßes Schweigen des Gesetzes dürfte für diese wesentliche Rechtsfolge hingegen nicht ausreichen2. Auf die Existenz spezieller, die Einwilligung als Legitimation für Eingriffe vorsehender Normen kommt es daher nicht an, so lange sich der Betroffene bewusst ist, nur freiwillige Angaben zu machen3. Selbst wenn man von der grundsätzlichen Möglichkeit einer Einwil- 72 ligung ausgeht, ist indes eine wirksame Einwilligung des Betroffenen bei Cloud Computing u.a. aufgrund der Komplexität der Datenverarbeitung zumindest im Bereich einer Public Cloud problematisch4. Dies gilt zumindest dann, wenn nicht bestimmbar ist, wohin die Daten übermittelt werden, wo der genaue Speicherort sich befindet und welche Cloud-Service-Subunternehmer an der Verarbeitung beteiligt sind. Das hängt wiederum davon ab, ob der Cloud-Service-Anbieter hierzu genaue Angaben machen kann. Näher zu den Anforderungen an eine wirksame Einwilligung Teil 4 Rz. 60 ff.
X. Technische Vorkehrungen (§ 78a SGB X) Zur Sicherung des Sozialgeheimnisses haben die verantwortlichen Stel- 73 len gem. § 78a SGB X die technischen und organisatorischen Maßnahmen einschließlich der Dienstanweisungen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzbuches, insbesondere die in der Anlage zu dieser Vorschrift genannten Anforderungen, zu gewährleisten. Gerade bei der Nutzung von Cloud Computing-Anwendungen ist die pe- 74 nible Beachtung solcher technischer Sicherheitsvorkehrungen nach den Vorgaben der Behörden äußerst wichtig. Die zu ergreifenden technischen und organisatorischen Maßnahmen sind in § 78a SGB X und der dazugehörigen Anlage beschrieben, die weitgehend § 9 BDSG samt Anlage entsprechen5. Ausführlich zu den angesichts der besonderen Risiken des 1 Simitis in Simitis, BDSG, Einl. Rz. 32, 48; Beyerle, Rechtsfragen medizinischer Qualitätskontrolle, 2004, S. 94 f. 2 S. zu einer ähnlichen Abwägungsfrage im Rahmen von § 25 Abs. 3 SGB X LSG Baden-Württemberg v. 1.7.2011 – L 8 U 3577/10, juris, Revision anhängig unter B 2 U 21/11 R; vgl. auch Gola/Schomerus, BDSG, § 13 Rz. 2 a.E. 3 Gola/Schomerus, BDSG, § 13 Rz. 2 a.E. 4 Maisch/Seibl, VBlBW 2012, 7 (10). 5 Während § 9 Satz 2 BDSG positiv beschreibt, wann Maßnahmen erforderlich sind (wenn im Hinblick auf den Zweck angemessen), bestimmt § 78a Satz 2 SGB X, wann Maßnahmen nicht erforderlich sind (wenn im Hinblick auf den Zweck nicht angemessen). Außerdem ist in § 78a Satz 1 SGB X zusätzlich von Dienstanweisungen als organisatorische Maßnahme die Rede. Bieresborn
757
Teil 8 E
Rz. 75
Sozialdaten
Cloud Computing zu treffenden technischen und organisatorischen Maßnahmen Teil 4 Rz. 13 ff.
XI. Organisatorische Besonderheiten 75
Abgesehen von im GG ausdrücklich geregelten oder zugelassenen Fällen (wie z.B. in Art. 91e GG in Bezug auf die Grundsicherung für Arbeitssuchende) besteht ein grundgesetzliches Verbot der Mischverwaltung zwischen Bund und Ländern. Ein Verstoß gegen das Verbot der Mischverwaltung nach Art. 83 ff. GG liegt beim Aufbau und Betrieb von gemeinsamen IT- bzw. Cloud-Infrastrukturen dann nicht vor, wenn die Inanspruchnahme der Hilfstätigkeit die eigentliche Sachentscheidung unberührt lässt und die Entscheidung zur Teilnahme an den Clouds als Ausübung der Organisationshoheit der betreffenden Körperschaft zu bewerten ist1. Es wurde bereits in anderem Zusammenhang darauf hingewiesen, dass durch die softwaremäßige Steuerung von Arbeitsabläufen die Organisationshoheit z.B. im Hinblick auf den Zwang zur Automatisation der jeweiligen Körperschaft betroffen sein kann, womit Inhalt und Form der Aufgabenwahrnehmung beeinflusst werden (s.o. Rz. 32)2. Die Einrichtung von Community-Clouds zwischen Bundes- und Landesstellen verbietet sich daher.
XII. Schadensersatz 76
Ein Verstoß gegen Normen des Sozialdatenschutzes kann Schadensersatzansprüche auslösen. § 82 SGB X verweist auf die §§ 7, 8 BDSG. Da es sich bei der Inanspruchnahme von Cloud-Angeboten regelmäßig um eine automatisierte Nutzung handelt, ist insbesondere § 82 Satz 2 SGB X einschlägig, der auf § 8 BDSG verweist3. Von daher kann hier auf die Ausführungen unter Teil 4 Rz. 283 f. verwiesen werden.
77
Tatbestandsvoraussetzung des § 82 Satz 1 und 2 SGB X ist, dass es sich um eine in § 35 SGB I genannte öffentliche Stelle handelt, die dem Betroffenen einen Schaden zugefügt hat4. Ohne Bedeutung ist hierbei jedoch, ob die schädigende Handlung durch einen Auftragsdatenverarbeiter oder durch eigene Mittel der Stelle ausgeführt wurde.
78
Diese speziellen Schadensersatzvorschriften verdrängen Anspruchsgrundlagen nach anderen Normen wie z.B. Art. 34 GG, § 839 BGB nicht; 1 Schulz, MMR 2010, 75 (77 f.). 2 Schulz, MMR 2010, 75 (78) unter Hinweis auf VerfGH NRW, NJW 1979, 1201. 3 Die Verweisung auf die Schadensersatzvorschriften des BDSG umfasst die tatbestandlichen Voraussetzungen und die Rechtsfolgen dieser Vorschrift. Amtliche Begründung BT-Drucks. 12/5187, S. 42. 4 Amtliche Begründung BT-Drucks. 12/5187, S. 42; vgl. auch Eul, DOK 1995, 309.
758
Bieresborn
XIII. Sanktionen
Rz. 81
Teil 8 E
bei Verletzung des Sozialgeheimnisses haftet die verpflichtete Stelle nach Amtshaftungsgrundsätzen für den dem einzelnen entstehenden Schaden. Daneben besteht ein Folgenbeseitigungsanspruch bzw. sozialrechtlicher Herstellungsanspruch, wenn es in der Verfügungsmacht des Sozialleistungsträgers liegt, den Zustand herzustellen, der sich bei einem pflichtgemäßen Verhalten voraussichtlich ergeben hätte1. Bei § 35 SGB I handelt es sich nach herrschender Meinung um eine Schutzvorschrift i.S.v. § 823 Abs. 2 BGB2.
XIII. Sanktionen In §§ 85, 85a SGB X findet sich das spezielle Sanktionsinstrumentarium 79 bei Verstößen gegen den Sozialdatenschutz. Ähnlich wie § 43 BDSG differenziert § 85 SGB X zwischen Ordnungswidrigkeiten nach Abs. 1, die gemäß Abs. 3 50 000 Euro Geldbuße auslösen und solchen nach Abs. 2, die gemäß Abs. 3 zu einer Geldbuße von 300 000 Euro führen. Cloud Kunden begehen insbesondere dann eine Ordnungswidrigkeit, wenn sie den Cloud-Anbieter nicht wie in § 80 Abs. 2 Satz 4 SGB X vorgeschrieben sorgfältig auswählen (§ 85 Abs. 1 Nr. 1b SGB X) oder den Auftragsdatenverarbeitungsvertrag nicht den Anforderungen von § 80 Abs. 2 Satz 2 SGB X entsprechend abschließen (§ 85 Abs. 1 Nr. 1a SGB X). § 85 Abs. 1 Nr. 1 SGB X sanktioniert die Verletzung der Zweckbindungs- und Geheimhaltungspflicht der nicht in § 35 SGB I genannten Stellen bei der Verarbeitung und Nutzung im Rahmen des § 78 Abs. 1 SGB X. Zum Täterkreis gehören nicht nur die Normadressaten, die selbst geschützte Daten verarbeiten, sondern auch sonstige Personen, die bei der Datenverarbeitung tätig sind3. Hier kommen auch Mitarbeiter der Cloud-ServiceAnbieter sowie der Cloud-Service-Subunternehmer in Betracht. Liegen die Voraussetzungen für die Einschaltung eines Cloud-Anbieters 80 nicht vor (also insbesondere die nach § 80 SGB X geltenden Anforderungen), kann zudem eine unbefugte Verarbeitung von Sozialdaten durch den Cloud-Anbieter und seinen Kunden nach § 85 Abs. 2 Nr. 1 SGB X vorliegen. Gemäß § 85a SGB X macht sich strafbar, wer eine in § 85 Abs. 2 SGB X 81 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, ausübt In diesen Fällen droht Freiheitsstrafe bis zu zwei Jahren oder eine Geldstrafe.
1 Vgl. auch Kunkel, ZfSH/SGB 1990, 337 ff. und VBlBW 1992, 41 ff. 2 S. zur zivilrechtlichen Haftung Meier/Wehlau, NJW 1998, 1585. 3 Vgl. Auernhammer, BDSG, § 43 Rz. 6; Becker in Plath, BDSG, § 43 Rz. 6. Bieresborn
759
Teil 8 E
Rz. 82
Sozialdaten
XIV. Fazit 82
Die Nutzung von Private Clouds ist im Bereich der Sozialdaten weitgehend unbedenklich1, sofern die Grenzen der Auftragsdatenverarbeitung, insbesondere nach § 80 Abs. 5 SGB X beachtet werden und die Gewährleistung der Datensicherheit durch Beachtung der in § 78a SGB X vorgeschriebenen Maßnahmen, eingehalten werden. Problematisch ist, dass nur 50 % des gesamten Datenbestands so ausgelagert werden dürfen. Während bei der Nutzung einer Private Cloud der Cloud-Service-Abnehmer weiß, wo seine Daten gespeichert werden – z.B. in einem bestimmten Rechenzentrum – erfolgt bei der Nutzung von Public Clouds eine dynamische Verteilung der gespeicherten Daten auf verschiedenen Servern, deren Standort durchaus nicht immer bestimmbar ist2. Den damit verbundenen Skaleneffekten, die entsprechende Kostenvorteile bieten, stehen Aspekte des Sozialdatenschutzes gegenüber. So muss gewährleistet werden, dass die genutzten Server sich im Inland oder im EWR-Wirtschaftsraum befinden, sofern nicht die Ausnahmen des § 77 Abs. 3 und 4 SGB X greifen, was wie ausgeführt in der Regel nicht der Fall sein wird. Die Möglichkeit, ein angemessenes Datenschutzniveau allein durch Vereinbarung der EU-Standardvertragsklauseln mit dem Cloud-Anbieter herzustellen, gibt es im Bereich des Sozialdatenschutzes so nicht. Allerdings wird das Bundesversicherungsamt, das für die Feststellung eines angemessenen Datenschutzniveaus zuständig ist, die EUStandardvertragsklauseln bei seiner Beurteilung mit berücksichtigen. Handelt der Cloud-Anbieter nicht streng nach den Weisungen der verantwortlichen Stelle, verfügt er also über ein eigenes Ermessen, liegt keine Auftragsdatenverarbeitung vor. Damit führt die Nutzung von Cloud-Angeboten zwangsläufig zu einer Übermittlung, die nur bei Vorliegen eines normativen Erlaubnistatbestands zulässig ist. Ein solcher liegt aber trotz des bestehenden Wirtschaftlichkeits- und Sparsamkeitsgebots de lege lata bei der Nutzung von Cloud-Angeboten nicht vor. Diese Besonderheiten des Sozialdatenschutzes gilt es zudem nicht nur durch die als Adressaten des SGB X in Betracht kommenden Verwaltungsträger und insbesondere Sozialleistungsträger zu beachten, sondern auch durch solche privaten und öffentlich-rechtlichen Stellen, an die Sozialdaten übermittelt werden, da der sogenannte verlängerte Sozialdatenschutz gem. § 78 SGB X den Status als Sozialdatum perpetuiert.
1 Vgl. Polaszek, BKK 534 (535). 2 Polaszek, BKK 534 (535).
760
Bieresborn
F. Exportkontrolle Rz. I. Einleitung . . . . . . . . . . . . . . . . . . .
1
II. Grundzüge des Exportkontrollrechtes . . . . . . . . . . . . . . . . . . . . . . 1. Regelungsgegenstand . . . . . . . . . . 2. Rechtsquellen . . . . . . . . . . . . . . . . 3. Kontrollen . . . . . . . . . . . . . . . . . . . 4. Kontrollierte Güter . . . . . . . . . . . . 5. Kontrollierte Technologie. . . . . . . 6. Kontrollierte Transaktionen. . . . . 7. Der Begriff des „Exportes“ . . . . . .
5 5 8 17 18 21 28 30
III. Exportkontrollrechtliche relevante Szenarien des Cloud Computings . . . . . . . . . . . . . . . . . . . . . . 38
Rz. 1. 2. 3. 4. 5. 6.
Nationale Clouds . . . . . . . . . . . . . Innereuropäische Clouds . . . . . . . Clouds in Drittstaaten . . . . . . . . . „Route of transmission“ . . . . . . . . Zugriff aus dem Ausland. . . . . . . . Genehmigungen als Option . . . . .
39 43 46 47 51 53
IV. Folgen von Verstößen . . . . . . . . . . 1. Konsequenzen für die handelnden Personen . . . . . . . . . . . . . . . . . 2. Konsequenzen für das Unternehmen . . . . . . . . . . . . . . . . . . . . . 3. Die Rolle des Cloudserviceanbieters . . . . . . . . . . . . . . . . . . . . .
61 62 71 76
I. Einleitung In diesem Beitrag soll erörtert werden, unter welchen Umständen und in 1 welchen Szenarien die Speicherung oder Verwaltung von Information mittels Cloud Computing durch die Vorschriften der Exportkontrolle eingeschränkt oder möglicherweise sogar unmöglich gemacht werden. Zunächst stellt sich die Frage, inwiefern Cloud Computing überhaupt 2 exportkontrollrechtlich relevant sein mag. Die Antwort hängt unmittelbar von den in der Cloud gespeicherten Daten ab. Nur wenn sich solche Daten in der Cloud finden, die exportkontrollrechtlich relevant sind, stellt sich die Frage nach den exportkontrollrechtlichen Konsequenzen. Die entscheidende Frage ist also: Was ist exportkontrollrechtlich relevant? Um diese Frage beantworten zu können, bedarf es einer Darstellung der elementaren Grundzüge des Exportkontrollrechtes. Aber so viel vorweg: Das Exportkontrollrecht befasst sich im Grundsatz mit der Kontrolle des Exportes und der Verwendung von Gütern, die aufgrund ihrer technischen Eigenschaften ein Risiko für die nationale Sicherheit darstellen können. Dies sind ganz offensichtlich Rüstungsgüter, aber auch sog. Dual-Use-Güter, die aufgrund ihrer technischen Eigenschaften sich sowohl für militärische als auch zivile Anwendungen eignen. Das Exportkontrollrecht beschränkt sich aber nicht auf die Kontrolle von Gütern, auch wenn dies der grundsätzliche Ausgangspunkt der Regelungen ist. Denn selbstverständlich sind technische Daten für die Herstellung oder Verwendung von exportkontrollierten Gütern ebenfalls exportkontrollrechtlich relevant, vielleicht sogar relevanter als die Güter selbst. Denn die Übermittlung von Technologie zur Herstellung eines sensitiven Gutes versetzt den Empfänger in die Lage, das Gut nunmehr eigenständig – und damit ohne jede weitere Kontrollmöglichkeit – herzustellen. Die Kontrolle von technischen Daten – in der Terminologie des Exportkontrollrechtes gemäß den Begriffsbestimmungen in Anhang I der Mller
761
Teil 8 F Rz. 3
Exportkontrolle
EU-Dual-Use-Verordnung „Technologie“ oder, sofern es sich um ablauffähige Programme handelt, „Software“1 – ist also ein wichtiger Aspekt des Exportkontrollrechtes. Da es sich bei Cloud Computing um eine Form der Speicherung, Verarbeitung und Bereitstellung elektronischer Daten handelt, besteht ohne weiteres die Möglichkeit, exportkontrollrechtlich relevante technische Daten, also Technologie, in einer Cloud zu speichern und zur Verfügung zu stellen. Unter den Begriff der Technologie fällt dabei eine Vielzahl von Informationen, etwa Herstellungsanleitungen, Zeichnungen, Bedienungsanleitungen, CAD-Datensätze etc. Die Erscheinungsform, also ob eine Information physisch verkörpert oder elektronisch gespeichert ist, ist exportkontrollrechtlich nicht relevant. Jede Erscheinungsform bedarf der Kontrolle, wenn die Technologie als solche exportkontrollrechtlich relevant ist. 3
In diesem Beitrag soll erläutert werden, ob und unter welchen Voraussetzungen die Speicherung, Verarbeitung und Zugänglichmachung von Technologie im exportkontrollrechtlichen Sinne durch eine Cloud möglich ist und welche rechtlichen Risiken damit einhergehen. Es stellen sich in diesem Zusammenhang Fragen nach der Genehmigungsbedürftigkeit ebenso wie nach straf- oder ordnungswidrigkeitenrechtlichen Konsequenzen bei Verstößen gegen Exportkontrollrecht.
4
Um diese Fragen beantworten zu können, bedarf es – wie oben angemerkt – aber zunächst einer Darstellung der Grundzüge des Exportkontrollrechtes. Denn um es noch einmal zu betonen: Entscheidender Ausgangspunkt ist immer der Umstand, dass eine bestimmte Information, die in der Cloud gespeichert werden soll, überhaupt exportkontrollrechtlich relevante Inhalte aufweist.
II. Grundzüge des Exportkontrollrechtes 1. Regelungsgegenstand 5
Das Exportkontrollrecht befasst sich mit der Frage, unter welchen Voraussetzungen der Export von Waren staatlicher Kontrolle und Beschränkungen durch Melde- über Genehmigungspflichten bis hin zum Verbot unterworfen werden kann2. Ausgangspunkt ist dabei die verfassungsrechtlich garantierte Ausfuhrfreiheit. Diese Ausfuhrfreiheit wird im Grundsatz durch Art. 12 des Grundgesetzes gewährleistet3. Verschiedene gesetzliche Bestimmungen haben das Ziel, diese Ausfuhrfreiheit zu beschränken. Gesetzliche Regelungen dieses Inhaltes finden sich auf inter-
1 Zu den Definitionen von Technologie und Software siehe nachfolgend Rz. 18 ff., 25. 2 Allgemein zum Exportkontrollrecht Monreal/Runte, GewA 2000, 142. 3 Zur verfassungsrechtlichen Garantie der Ausfuhrfreiheit vgl. Mann in Sachs (Hrsg.), Grundgesetz Kommentar, 6. Aufl. 2011, Art. 12 Rz. 79.
762
Mller
II. Grundzge des Exportkontrollrechtes
Rz. 10 Teil 8 F
nationaler, europäischer und nationaler Ebene. Alle diese Bestimmungen werden regelmäßig unter dem Begriff „Exportkontrollrecht“ zusammengefasst. Wie oben bereits erläutert beschränkt sich das Exportkontrollrecht nicht 6 auf die Kontrolle von Gütern i.S.v. sog. „tangible assets“, sondern umfasst darüber hinaus insbesondere auch den Export von Software und Technologie. Gerade die Kontrolle von Technologie ist von zentraler Bedeutung im Spannungsfeld von Cloud Computing und Exportkontrolle, wie zu zeigen sein wird. Zum richtigen Verständnis dessen, was Exportkontrolle ist, muss zudem 7 gegen das Zollrecht abgegrenzt werden. Zollrecht befasst sich im Schwerpunkt mit den fiskalischen Aspekten von Warenströmen, indem Abgaben auf die Ausfuhr oder die Einfuhr von Waren erhoben werden. Das Exportkontrollrecht ist dagegen von fiskalischen Überlegungen völlig frei. Das Exportkontrollrecht bildet die Sicherheitsinteressen von Staaten ab, indem dem grenzüberschreitenden Verkehr mit Gütern, Technologie und Software Beschränkungen auferlegt werden1. 2. Rechtsquellen Die Ausfuhrfreiheit wird durch gesetzliche Bestimmungen eingeschränkt. 8 Dabei existieren unterschiedliche Ebenen rechtlicher Normierung. Ein Großteil exportkontrollrechtlicher Bestimmungen basiert auf inter- 9 nationalen Abkommen. Zu einem der wichtigsten internationalen Abkommen gehört das Wassenaar Arrangement2. Unter diesem internationalen Regime, dem sich bislang 41 Staaten angeschlossen haben, wird festgelegt, welche Güter unter dem Gesichtspunkt „Dual Use“ exportkontrolliert werden3. Daneben existieren zahlreiche weitere internationale Abkommen4, die 10 festlegen, welche Güter, Technologie und Software exportkontrolliert 1 Zum Regelungszweck exportkontrollrechtlicher Vorschriften vgl. Dichtl, BB 1994, 1726. 2 Wassenaar Arrangement on Export Controls for Conventional Arms and DualUse Goods and Technologies, angenommen im Juli 1996, http://www.wassenaar. org. 3 Dual-Use bezeichnet „Güter mit doppeltem Verwendungszweck“ – also solche Güter, die sowohl in einem zivilen als auch in einem militärischen Kontext Verwendung finden können. 4 Missile Technology Control Regime (MTCR) Guidelines und Missile Technology Control Regime Equipment and Technology Annex, http://www.mtcr.info. MTCR ist eine 1987 etablierte politische Vereinbarung unter Staaten mit dem Zweck, die Verbreitung von Raketen und Raketentechnologie zu begrenzen. Guidelines for Nuclear Transfers und Guidelines for Transfers of Nuclear Related Dual-Use Equipment, Materials, Software, and Related Technology, IAEA Dokument INFCIRC/254, http://www.nsg-online.org; sog. NSG. Die NSG wurde 1975 etabliert und ist eine Gruppe von Ländern, die nukleare Lieferanten sind Mller
763
Teil 8 F Rz. 11
Exportkontrolle
werden sollen. Soweit Dual-Use-Güter betroffen sind, werden diese in Anhang I zur EU-Dual-Use Güter-Verordnung aufgeführt. 11
All diesen internationalen Abkommen ist gemein, dass sie rechtliche Bindungswirkung nur im Verhältnis zu den teilnehmenden Staaten entwickeln1. Sie verpflichten die Teilnehmerstaaten, zur Umsetzung der Abkommen entsprechende Regelungen nationalen Rechts zu verabschieden, um auf diese Weise dem jeweiligen Abkommen Geltung auch im Verhältnis zu juristischen oder natürlichen Personen zu verschaffen. Für den Rechtsanwender können diese Abkommen von Bedeutung sein, wenn unklare Regelungen des nationalen oder europäischen Gesetzgebers auszulegen sind und dazu der Regelungszweck des zugrundeliegenden Abkommens sowie dessen Systematik herangezogen werden können.
12
Auf Ebene der EU ist eine der wichtigsten Regelungen die sog. Dual-UseVerordnung der EU2 (EU/428/2009)3. Diese Verordnung regelt die Exportbeschränkungen in Bezug auf die zuvor bereits erwähnten Dual-Use-Güter. Waren, die als Dual-Use-Güter anzusehen sind, werden im Anhang I der Verordnung aufgeführt, indem dort die technischen Eigenschaften beschrieben werden, die eine bestimmte Ware als kontrollierenswürdig erscheinen lassen.
13
Daneben existieren zahlreiche weitere EU-Verordnungen, die sich mit exportkontrollrechtlichen Fragestellungen befassen. Eine der in der Praxis wichtigsten ist die sog. Iran-Embargo-Verordnung (EU/267/2012)4.
1
2 3
4
und die sich bemühen die Ausbreitung nuklearer Waffen durch die Anwendung zweier Leitlinien für nuklearen Export und verwandte Exporte zu verhindern. Leitlinien für die Weitergabe sensitiver chemischer oder biologischer Güter und Gemeinsame Kontrolllisten der Australischen Gruppe, http://www.australia group.net. Die Australische Gruppe ist ein informelles Forum von Ländern, das durch die Harmonisierung von Exportkontrollen danach strebt, sicherzustellen, dass Exporte nicht zu der Entwicklung von chemischen oder biologischen Waffen beitragen. Zur Verbindlichkeit internationaler Abkommen vgl. Tomuschat in von der Groeben/Schwarze, Kommentar zum EU-/EG-Vertrag, 6. Aufl. 2003, EG Art. 281 Rz. 47; Nettesheim in Maunz/Dürig (Hrsg.), Grundgesetz Kommentar, 67. Ergänzungslieferung 2013, Art. 59 Rz. 76. Nachfolgend „Dual-Use VO“. Verordnung (EG) Nr. 428/2009 des Rates v. 5.5.2009 über eine Gemeinschaftsregelung für die Kontrolle für die Ausfuhr, der Verbringung, der Vermittlung und der Durchfuhr von Gütern mit doppeltem Verwendungszweck, ABl. EU L 134 S. 1, zuletzt geändert durch Verordnung (EU) Nr. 388/2012 des Europäischen Parlaments und des Rates v. 19.4.2012 zur Änderung der Verordnung (EG) Nr. 428/2009 des Rates über eine Gemeinschaftsregelung für die Kontrolle der Ausfuhr, der Verbringung, der Vermittlung und der Durchfuhr von Gütern mit doppeltem Verwendungszweck, ABl. EU L 129 S. 12. Verordnung (EU) Nr. 267/2012 des Rates v. 23.3.2012 über restriktive Maßnahmen gegen den Iran und zur Aufhebung der Verordnung (EU) Nr. 961/2010, ABl. EU L 88 S. 1, zuletzt geändert durch Durchführungsverordnung (EU) Nr. 1264/2012 des Rates v. 21.12.2012, ABl. EU L 356 S. 55.
764
Mller
II. Grundzge des Exportkontrollrechtes
Rz. 16 Teil 8 F
Da es sich um eine Verordnung handelt, gelten die Bestimmungen zur 14 Kontrolle von Dual-Use-Gütern als EU-weit anwendbares Primärrecht einheitlich1. Exporteure aller Mitgliedstaaten unterliegen folglich insoweit identischen Kontrollen und Beschränkungen. Allerdings sieht das Europäische Recht nicht die Schaffung einer gemeinsamen Vollzugs- und Genehmigungsbehörde vor. In diesen – für die Praxis besonders bedeutsamen Bereichen – können nationale Besonderheiten zu berücksichtigen sein. Auf nationaler Ebene finden sich das Außenwirtschaftsgesetz2 und 15 die Außenwirtschaftsverordnung3. Diese Regelungen befassen sich im Schwerpunkt mit dem Export von militärischen Gütern, sog. Rüstungsgütern. Diese Rüstungsgüter werden wiederum in einem Anhang zur Außenwirtschaftsverordnung beschrieben, der sog. Ausfuhrliste4. Eine weitere Rechtsquelle ist das US-amerikanische Exportkontrollrecht. 16 Nach den US-Vorschriften ist das Recht der USA jedenfalls auf sog. ReExporte von Waren, Technologie und Software (sog. „US items“) anzuwenden5. Dies ist etwa dann der Fall, wenn ein deutsches Unternehmen US-Ware weiterveräußert oder US-Komponenten bei der Herstellung eigener Produkte verwendet. Wenn der wertmäßige Anteil der US-Produkte eine bestimmte Schwelle überschreitet, findet das US-Recht ebenfalls auf diesen (Re-)Export Anwendung6; und zwar zusätzlich zu den ohnehin zu beachtenden nationalen und europäischen Bestimmungen.
1 Zum Geltungsbereich von EU-Verordnungen s. Art. 288 AEUV. 2 Außenwirtschaftsgesetz ausgefertigt am 28.4.1961 in der Fassung der Bekanntmachung v. 27.5.2009 (BGBl. I S. 1150), zuletzt geändert durch Art. 1 der Verordnung v. 12.12.2012 (BAnz. AT 28.12.2012 V1). 3 Verordnung zur Durchführung des Außenwirtschaftsgesetzes ausgefertigt am 18.12.1986 in der Fassung der Bekanntmachung v. 22.11.1993 (BGBl. I S. 1934, 2493), zuletzt geändert durch Art. 1 der Verordnung v. 15.4.2013 (BAnz. AT 16.4.2013 V1). 4 S. Teil I A der Ausfuhrliste. 5 Zur Extraterritorialen Anwendung des US-Rechtes vgl. Böer/Groba/Homann, Praxis der US-(Re-)Exportkontrolle, S. 36; inwieweit diese Auffassung der US-Regierung mit internationalem Recht übereinstimmt, soll hier dahingestellt bleiben. Gleichwohl soll auf die sog. EU-Anti-Boykott-Verordnung hingewiesen werden: Verordnung (EG) Nr. 2271/96 des Rates v. 22.11.1996 zum Schutz vor den Auswirkungen der extraterritorialen Anwendung von einem Drittland erlassener Rechtsakte sowie von darauf beruhenden oder sich daraus ergebenden Maßnahmen. 6 Diese Wertgrenzen liegen generell bei 25 % des Wertes des Produktes; soll in USEmbargostaaten exportiert werden, reduziert sich die Wertgrenze auf 10 %. Die aktuellen US Embargo Länder sind Kuba, Iran, Sudan, Syrien und Somalia. Befindet sich das US-Produkt auf der sog. US Munitions List, kommt es nicht mehr auf Wertgrenzen an; der Export fällt dann in jedem Fall auch in den Anwendungsbereich des US-Rechtes. Eine Definition des „reexports“ findet sich in 15 CFR Part 772; die Wertgrenzen werden gesetzlich in 15 CFR part 734.4 festgeschrieben. Mller
765
Teil 8 F Rz. 17
Exportkontrolle
3. Kontrollen 17
Die genannten Vorschriften etablieren unterschiedliche Kontrollen in Bezug auf Exportaktivitäten. Typischerweise schreiben die Vorschriften vor, vor der Durchführung eines Exportes eine Genehmigung einzuholen. So bedürfen etwa alle Exporte von Dual-Use-Gütern, einschließlich durch entsprechende Daten abgebildeter Technologie, in Staaten, die nicht Mitglied in der EU sind, gemäß Art. 3 der EU-Dual-Use-Verordnung einer Ausfuhrgenehmigung. Rüstungsgüter und -technologie sind – wenig überraschend – noch enger kontrolliert, so dass grundsätzlich alle Exporte – auch innerhalb der EU einer vorherigen Genehmigung bedürfen1. Das feste Verbot der Ausfuhr von Waren, bei dem auch eine Genehmigung nicht möglich ist, stellt eine Ausnahme dar. Es findet sich in Embargos, die spezifisch gegenüber bestimmten Ländern verabschiedet werden. Hervorzuheben ist in diesem Zusammenhang etwa das bereits erwähnte Embargo der EU gegenüber dem Iran, das bezüglich einer Vielzahl von Waren ein Exportverbot2 anordnet. 4. Kontrollierte Güter
18
Ausgangspunkt für die Kontrollen sind Waren oder Güter i.S.v. Hardware, also Fertigprodukte oder Halbzeuge. Der Bereich der erfassten Waren ist sehr umfassend und reicht über Materialien (z.B. bestimmte Aluminiumverbindungen) über Chemikalien (z.B. Polymere) hinzu (Werkzeug-)Maschinen, Elektronik, Computern oder Telekommunikationsausrüstung3. Für den Bereich des Cloud Computing spielen Waren i.S.v. Hardware keine unmittelbare Rolle. Die Güterkontrollen beziehen aber in den allermeisten Fällen Software und Technologie zur Herstellung oder Verwendung kontrollierter Güter mit ein. Da sich die Kontrollen von Software oder Technologie grundsätzlich an den Kontrollen der Hardware orientieren, sollen hier anhand der Kontrollen der Hardware, die Grundlagen gelegt werden. Der Vollständigkeit halber sei erwähnt, dass es Software gibt, die selbständig kontrolliert wird, also unabhängig von einer Ware und deren Herstellung oder Verwendung. Dies gilt insbesondere für sog. Verschlüsselungssoftware4.
19
Die Vorschriften zur Güterkontrolle enthalten sog. Güterlisten, in denen die Güter technisch beschrieben werden, die den Exportkontrollen unter1 Siehe § 9 AWV; Ausnahmen gibt es aber auch hier; etwa wenn Wertfreigrenzen unterschritten werden. 2 Dieses Verbot des Exportes in den Iran erfasst zum Beispiel sämtliche Dual-Use Güter (mit einigen Ausnahmen im Bereich der Informationstechnologie), z.B. nach Art. 2 der Iran-Embargo-Verordnung. 3 Die Zahl der kontrollierten Güter ist so groß, dass es nicht möglich ist, auch nur eine annährend vollständige Übersicht zu geben. Zur Vertiefung wird insbesondere auf Anhang I der EU-Dual-Use-Güter Verordnung verwiesen. 4 Kontrollierte Verschlüsselungssoftware wird in der Position 5 D 002 des Anhang I der EU-Dual-Use Verordnung aufgeführt und beschrieben.
766
Mller
II. Grundzge des Exportkontrollrechtes
Rz. 20 Teil 8 F
liegen sollen. Bei den Gütern ist wie oben ausgeführt vor allem zwischen Rüstungsgütern und Dual-Use-Gütern zu unterscheiden. Die Rüstungsgüter sind im Teil I A der Ausfuhrliste als Anhang zur Außenwirtschaftsverordnung aufgeführt, die Dual-Use-Güter finden sich in Anhang I der EU-Dual-Use-Verordnung1. Die Kontrollen erstrecken sich auf die dort beschriebenen Güter sowie – in zahlreichen Fällen – auch auf nicht gelistete Bestandteile für solche Güter2 oder auf Waren, die zwar nicht auf der Liste stehen, die aber für eine auf der Liste stehende Ware vorgesehen oder „besonders konstruiert“3 sind. Wie häufig im Exportkontrollrecht ergibt sich dies unmittelbar aus der Liste der kontrollierten Güter, in der die Kontrolle besonders konstruierter Bestandteile explizit angeordnet ist oder eben nicht4. Dies zeigt, dass die Gruppe der vom Exportkontrollrecht erfassten Waren sehr groß ist und – einer weit verbreiteten Vorstellung widersprechend – sich vor allem nicht nur auf militärische Güter im weitesten Sinne beschränkt. Zur Verdeutlichung sollen einige Beispiele genannt werden:
20
– So können etwa Ventile, insbesondere wenn die „medienberührenden Flächen“ aus bestimmten Materialien gefertigt sind (etwa Emaille, Nickel oder Zirkonium oder entsprechende Legierungen) als Dual-UseGüter zu klassifizieren sein5. – Aber auch hochwertige Werkzeugmaschinen wie Drehbänke, Fräsen, Schleifmaschinen können erfasst sein, wenn sie spezifische technische Parameter erfüllen6. – Schließlich sollen als drittes Beispiel Polymere genannt werden, die in sehr vielen Produktionsprozessen eingesetzt werden. Unter bestimmten Umständen sind aber auch diese exportkontrolliert7. Dies verdeutlicht die Weite des potentiellen Anwendungsbereiches der güterbezogenen Exportkontrollen recht anschaulich.
1 Die frühere Parallelität zwischen Teil I C der Ausfuhrliste und Anhang I der EUDual-Use-Verordnung ist mit der jüngsten Novelle der Außenwirtschaftsverordnung aufgegeben worden. Teil I C der Ausfuhrliste ist ersatzlos entfallen. Die nur national kontrollierten Dual use Güter finden sich nun in Teil I B der Ausfuhrliste. 2 Sog. Bestandteilsproblematik. 3 Der Begriff „besonders konstruiert“ oder synonyme Begriffe ist Gegenstand eines umfänglichen Diskurses in der außenwirtschaftsrechtlichen Literatur; darauf näher einzugehen würden diesen Beitrag sprengen, es sei daher verwiesen auf Bienecke, wistra 2010, 10; Leipold, NJW-Spezial 2010, 376. 4 Ein Beispiel für die Einbeziehung von Bestandteilen ist etwa die Position 2 A 001 und für die Einbeziehung von „besonders konstruierten“ Bestandteilen die Position 2 B 001 des Anhang I der EU-Dual-Use-Verordnung. 5 Für die vollständigen Anforderungen: vgl. Anhang I der EU-Dual-Use-Verordnung, Position 2 B 350 g. 6 Vgl. dazu Anhang I der EU-Dual-Use Verordnung, Position 2 B 001. 7 Vgl. dazu Anhang I der EU-Dual Use Verordnung, Position 1 C 001, 1 C 008. Mller
767
Teil 8 F Rz. 21
Exportkontrolle
5. Kontrollierte Technologie 21
In der Regel ist aber – wie bereits erwähnt – nicht nur die Ware kontrolliert, sondern auch die zur Ware „gehörende“ Technologie. Ob die Technologie ebenfalls kontrolliert ist, ergibt sich unmittelbar aus den Güterlisten selbst, wenn dort entweder generell oder in Bezug auf bestimmte Güter die Technologie dem Exportkontrollrecht explizit unterworfen wird. Dies bedeutet, dass nicht in jedem Fall, in dem eine Ware exportkontrolliert ist, auch die für die Herstellung oder Verwendung erforderliche Technologie kontrolliert wird. Zwar laufen Güterkontrollen und Kontrollen der Technologie häufig parallel – aber nicht in allen Fällen.
22
Um dies an einem Beispiel zu verdeutlichen: Wie oben gesagt, sind Werkzeugmaschinen exportkontrolliert, wenn sie bestimmte technische Eigenschaften aufweisen. Dies ergibt sich aus der Position 2 B 001 des Anhang I der Dual-Use-Güter-Verordnung, in der die kontrollierten Güter aufgeführt und nach ihren technischen Eigenschaften beschrieben sind. In dieser Liste der kontrollierten Güter ist unter der Position 2 E 001 angeordnet, dass – in vereinfachten Worten – Technologie für die Entwicklung von Ausrüstung, die von der Position 2 B erfasst wird, ebenfalls exportkontrolliert ist. Dies bedeutet, dass sämtliche Technologie für die Entwicklung einer Werkzeugmaschnie, die von Position 2 B 001 erfasst wird ebenso exportkontrolliert ist, wie die Werkzeugmaschine selbst.
23
Ein weiteres Beispiel: Gemäß Position 1 A 001 sind bestimmte Bauteile, insbesondere Dichtungen und Verschlüsse für die Luft- und Raumfahrt, exportkontrolliert. Die genauen technischen, chemischen und physikalischen Eigenschafen werden in den Buchstaben a), b) und c) der Position 1 A 001 beschrieben. In den Bestimmungen über die Technologiekontrollen (1 E 001) wird jedoch lediglich auf 1 A 001 b) und 1 A 001 c) verwiesen. Das heißt die Technologie für Bauteile der Position 1 A 001 a) ist nicht exportkontrolliert und kann ohne Beschränkung exportiert werden1.
24
Und hier kommt das Cloud Computing ins Spiel: Denn Technologie liegt häufig in elektronischer Form vor und findet sich dementsprechend auf den Servern der Unternehmen, die auf der Basis dieser Technologie Waren anfertigen. Wenn die Technologie ihrerseits Gegenstand der Exportkontrolle ist, stellt sich die Frage, ob bzw. unter welchen Bedingungen die Technologie im Rahmen des Cloud Computing gespeichert, genutzt und bearbeitet werden darf. Zunächst aber noch einmal einen Schritt zurück: Was ist Technologie und unter welchen Umständen ist sie exportkontrolliert? 1 Dies besagt dann aber nur, dass die Technologie nicht unter dem Gesichtspunkt der Güterkontrolle exportkontrolliert ist. In dieser Situation müsste dann überprüft werden, ob insbesondere die sog. Catch-All Kontrollen greifen, die sensitive Verwendungen (z.B. militärische Endverwendungen in Waffenembargo-Ländern) erfassen.
768
Mller
II. Grundzge des Exportkontrollrechtes
Rz. 27 Teil 8 F
Nach den „Begriffsbestimmungen“ zur Außenwirtschaftsverordnung1 25 versteht man unter Technologie „spezifisches technisches Wissen, das für die Entwicklung, Herstellung oder Verwendung eines Produktes“ nötig ist. Diese Definition ist in mehrfacher Hinsicht weit. Sie umfasst nicht nur Informationen zur Entwicklung oder Herstellung, sondern auch für die bloße Verwendung von relevanten Gütern, z.B. Gebrauchsanleitungen. Komplexitätsanforderungen werden nicht gestellt, so dass bereits an sich triviale Hinweise als exportkontrollrechtlich relevante Technologie verstanden werden können. Ferner zeigt die Definition, dass Technologie bereits dann vorliegt, wenn Daten nur einen Ausschnitt der zur Entwicklung, Herstellung oder Verwendung erforderlichen Information enthalten. Selbst Informationen, mit denen der Empfänger also für sich genommen nichts anfangen kann, sind damit relevant. Aus den Anmerkungen zur Begriffsbestimmung ergibt sich, dass die technischen Unterlagen verschiedenartig sein können und insbesondere Blaupausen, Pläne, Diagramme, Modelle, Formeln, Tabellen, Konstruktionspläne und -spezifikationen, Beschreibungen und Anweisungen umfassen. Allerdings können zwei wichtige Ausnahmen von den Kontrollen grei- 26 fen. So gelten die Kontrollen für Technologie nicht für allgemein zugängliche Informationen, die wissenschaftliche Grundlagenforschung oder die für Patentanmeldungen erforderlichen Informationen2. Insbesondere die Ausnahme für „allgemein zugängliche Informationen“ spielt in der Praxis eine große Rolle. Unter „allgemein zugänglich“ wird solche Technologie verstanden, die „ohne Beschränkung ihrer weiteren Verbreitung erhältlich ist“3. Damit sind etwa alle Technologien aus den Exportkontrollen entlassen, die in der Fachliteratur oder im Internet für jedermann verfügbar sind. Häufig ist es aber so, dass gerade die exportkontrollrechtlich „interessanten“, sensitiven Technologien nicht allgemein zugänglich sind. Wenn Software übertragen wird, gilt ebenfalls, dass „allgemein zugäng- 27 liche Software“ nicht von den Kontrollen erfasst wird. Des Weiteren greifen die Kontrollen für Software nicht, wenn die Software frei erhältlich und im Einzelhandel ohne Einschränkung mittels Barverkauf, Versand1 Diese „Begriffsbestimmungen“ sind Teil des Anhang I der EU-Dual-Use-GüterVerordnung. 2 Diese Ausnahmen finden sich in der sog. Allgemeinen Technologie Anmerkung (ATA), die wie in einem „Allgemeinen Teil“ dem Anhang I der EU Dual-Use-Güter Verordnung vorangestellt ist. Hinsichtlich der Patentanmeldung stellt die ATA lediglich auf Technologie ab, die für die Patentanmeldung „erforderlich“ ist. Es stellt sich somit die Frage, ob die Ausnahme der ATA für betreffende Technologie generell gilt oder nur im Fall einer Patentanmeldung. Da Ausnahmeregelung nach allgemeinen Auslegungsgrundsätzen eng auszulegen sind und auch in Anbetracht des Schutzzweckes des Außenwirtschaftsrechtes spricht aber mehr dafür anzunehmen, dass Technologie, die in einem Patentverfahren der Öffentlichkeit zugänglich gemacht worden ist, nicht den Beschränkungen des Exportkontrollrechtes unterliegt. 3 Vgl. Begriffsbestimmungen zur Ausfuhrliste. Mller
769
Teil 8 F Rz. 28
Exportkontrolle
verkauf, Verkauf über elektronische Medien oder Telefonverkauf verkauft wird sowie zudem dazu entwickelt ist, vom Benutzer ohne umfangreiche Unterstützung durch den Anbieter installiert zu werden1. 6. Kontrollierte Transaktionen 28
Damit das Exportkontrollrecht eingreift, muss allerdings überhaupt ein Export vorliegen. In diesem Zusammenhang ist anzumerken, dass der Begriff des Exportes durch das gesetzte Exportkontrollrechtes nicht verwendet wird. Das Recht spricht vielmehr von Ausfuhren und Verbringungen2. Mit Ausfuhren ist die Lieferung von Waren oder Technologie aus dem Inland in ein Drittland gemeint. Verbringungen bezeichnen die Exporte innerhalb der EU.
29
Reine Inlandsgeschäfte sind exportkontrollrechtlich irrelevant3. Wenn Unternehmen exportkontrollrechtliche Kriterien auch auf ihr Inlandsgeschäft anwenden, so folgen sie einem selbstauferlegten Sorgfaltsmaßstab. Eine rechtliche Notwendigkeit ist dies aber nicht. Bei der Übertragung von Technologie oder Software ist allerdings darauf zu achten, welchen „Weg“ diese nehmen. Denn selbst wenn Sender und Empfänger im selben Land ansässig sind, kann es sich – je nach Route der Datenströme – um einen Export handeln. 7. Der Begriff des „Exportes“
30
Aber was wird überhaupt unter einem Export verstanden? In der EUDual-Use-Verordnung findet sich eine Definition4 die insbesondere für Software und Technologie gilt. Dort heißt es wörtlich: „Im Sinne dieser Verordnung bezeichnet der Begriff „Ausfuhr“ […] iii) die Übertragung von Software oder Technologie mittels elektronischer Medien wie Telefax, Telefon, elektronischer Post oder sonstiger elektronischer Träger nach einem Bestimmungsziel außerhalb der Europäischen Gemeinschaft; dies beinhaltet auch das Bereitstellen solcher Software oder Technologie in elektronischer Form für juristische oder natürliche Personen oder Personenvereinigungen außerhalb der Gemeinschaft.“
1 Diese Ausnahmen finden sich in der sog. Allgemeinen Software-Anmerkung, die sich – wie die Allgemeine Technologie-Anmerkung (s. Rz. 26 Fn. 2) im Allgemeinen Teil des Anhanges I zur Dual-Use-Güter Verordnung findet. 2 Hier soll allerdings der Einfachheit halber von Exporten die Rede sein, soweit es auf diese Unterscheidung nicht ankommt. 3 Eine Ausnahme ist insofern zu berücksichtigen im Bereich der sog. Economic Sanctions, die es untersagen – etwa im Bereich der Anti-Terrorismus Kontrollen – geschäftliche Beziehungen jeder Art zu Personen und Unternehmen auf sogenannten „schwarzen Listen“ zu unterhalten. Diese Kontrollen betreffen auch Inlandsgeschäfte. 4 Art. 2 Nr. 2 iii).
770
Mller
II. Grundzge des Exportkontrollrechtes
Rz. 35 Teil 8 F
Eine Definition der Verbringung findet sich in der EU-Dual-Use-Verord- 31 nung nicht. Im Außenwirtschaftsgesetz sind sowohl die Ausfuhr als auch die Ver- 32 bringung definiert. Danach ist die Ausfuhr die Lieferung von Waren aus dem Inland in ein Drittland und – in dem hier interessierenden Zusammenhang – die Übertragung von Software und Technologie aus dem Inland in ein Drittland einschließlich ihrer Bereitstellung auf elektronischem Weg für natürliche und juristische Personen in Drittländern1. Die Verbringung wird sprachlich nahezu identisch definiert, beschränkt 33 aber den Anwendungsbereich auf das Zollgebiet der Europöischen Union2. Dass das Bereitstellen von Daten (Technologie oder Software) im Wege 34 des Cloud Computing ein Fall des Exportkontrollrechtes ist, wird nicht angezweifelt3. Allerdings liegt bisher auch nur eine explizit Stellungnahme der Literatur hierzu vor. Werden relevante Daten im Rahmen eines Infrastructure as a Service in einem Cloud-Rechenzentrum im Ausland gespeichert, und wenn nur vorübergehend, liegt eine „Übertragung von Software oder Technologie“ unzweifelhaft vor. Bei Cloud Computing in der Form des Software as a Service wird die Software zwar selbst nicht an den Kunden übertragen, sondern verbleibt auf dem Server des Anbieters und läuft nur dort ab. Der Kunde nutzt aber die Software, in dem die Bildschirmdaten an ihn übermittelt werden und er so die Software steuern kann. Dies kann nach den gleichlaufenden Definitionen unproblematisch als „Bereitstellung auf elektronischem Weg“ verstanden werden. Insbesondere die Alternative des „Bereitstellens“ von Technologie oder Software in der Definition der EU-Dual-Use-Verordnung sowie der Außenwirtschaftsverordnung erfasst also auch die Formen des Cloud Computing, bei denen Software nicht übertragen werden. Es kann damit dahinstehen, ob auch die Anzeige der Bildschirmmaske relevanter Software als Übertragung von Daten anzusehen ist. Die Anzeige kritischer Daten, wie etwa technischer Zeichnungen, auf dem Bildschirm des Kunden ist dagegen ohnehin als Übertragung anzusehen. Nähere Betrachtung verdient der Begriff des „Bestimmungsziels“. Er im- 35 pliziert, dass nur die Datenübertragung oder Bereitstellung von Technologie nach einem außerhalb der EU belegenen Bestimmungsziel relevant ist. Liegt das Bestimmungsziel innerhalb der EU, sollten danach außerhalb der EU verlaufende „Umwege“ außen vor bleiben, da sie nicht das Bestimmungsziel des Exporteurs darstellen und teilweise diesem 1 § 2 Abs. 3 AWV. 2 § 2 Abs. 21 AWV. 3 Vgl. etwa Ahmed/Haellmigk, Cloud Computing and EU export control compliance, in: WorldECR 12/2012, S. 16 ff.; zum Begriff des „Bereitstellens“ auch Tervooren/Mrozek in Wolffgang/Simonsen/Tietje, AWR-Kommentar (Stand: November 2012), Art. 2 Rz. 32 ff. Mller
771
Teil 8 F Rz. 36
Exportkontrolle
nicht einmal bewusst sein mögen. Hierbei ist zwischen Fällen zu differenzieren, in denen z.B. eine Infrastruktur außerhalb der EU etwa in Russland zur Speicherung und Verarbeiten von technischen Daten genutzt wird. In diesem Fall dürfte ein genehmigungspflichtiger Export vorliegen, auch wenn der Dienstleister die Daten alleine für den Auftraggeber speichert (und insofern kein Dritter mit eigenen Interessen Bestimmungsziel ist). Werden dagegen allein aus kommunkationsinfrastkturbedingten technischen Gründen, die den Nutzern der Cloud-Services gar nicht bewusst sind, bei der Übermittlung der technischen Daten einzelne Datenpakete z.B. in Russland zwischengespeichert, fragt sich, ob hier eine Übertragung oder Bereitstellung an ein Bestimmungsziel vorliegt, so dass ein weiterer genehmigungspflichtiger Export gegeben ist. Da der Ort der Zwischenspeicherung nicht das Bestimmungsland ist, kann insofern argumentiert werden, dass kein Export vorliegt. Die Situation ist vergleichbar, dem Umladen von Waren. Der Ort der Umladung ist nicht Ziel des Exportes und spielt dem enstprechend im Rahmen des Antragsverfahrens exportkontrollrechtlich keine Rolle. Dies ergibt sich mittelbar schon daraus, dass das Formular zur Beantragung einer Ausfuhrerlaubnis Angaben zur Umladung von Ware im Ausland nicht verlangt1. Des Weiteren ist zu berücksichtigen, dass diese Datenpakete möglicherweise für sich genommen keine Rekonstruktion der Daten erlauben, wenn die Datenpakete kommunikationsbedingt „willkürlich“ (und damit nicht aus Sicht des Verwenders sinnvollen technischen Vorgaben folgend) geschnürt werden. Eine Übermittlung von Technologie ist zwar nicht nur dann exportkontrollrechtlich relevant, wenn sie „komplett“ übermittelt wird. Denn auch wenn eine Technologieunterlage nicht alle wesentlichen Elemente enthält, kann sie exportkontrollrechtlich relevant sein2. Es muss sich aber bei der übermittelten Technologie um einen in sich geschlossenen sinnvollen Teil handeln, damit Außenwirtschaftsrecht greift3. 36
Eine ähnliche Situation findet sich, wenn für einen Cloud-Service CloudInfrastruktur genutzt wird, die sich an verschiedenen Örtlichkeiten befinden. Auch dies kann dazu führen, dass die auf der Hardware jeweils gespeicherten Informationen für sich genommen nicht nutzbar sind. Es kann sich um Datenfragmente handeln, die auf Systemebenen weit unterhalb der Anwendungssoftware befinden, welche die Informationen für Menschen zugänglich macht.
1 Das Formular ist über die homepage des Bundesamtes für Wirtschaft und Ausfuhrkontrolle verfügbar, www.bafa.de. 2 Vgl. Merkblatt des BMWi „Technologietransfer und Non-Proliferation“, S. 11 f. 3 In diesem Zusammenhang sei jedoch angemerkt das – unabhängig von exportkontrollrechtlichen Erwägungen – eine „Sicherung“ der Übertragungsweg dringend angeraten ist, damit Dritte nicht unberechtigt Zugriff auf Daten nehmen können. Dies gilt in besonderem Maße für exportkontrollierte Daten, aber ebenso für Daten, für die ein besonderes Geheimhaltungsbedürfnis besteht – etwa Geschäftsgeheimnisse oder personenbezogene Daten.
772
Mller
III. Exportkontrollrechtliche relevante Szenarien
Rz. 40 Teil 8 F
Schließlich fragt sich, ob end-to-end verschlüsselte Daten, die nur im In- 37 land entschlüsselt werden können, Gegenstand der Exportkontrolle sind. Es handelt sich also um eine Übermittlung von Technologiedaten auf einen im Ausland befindlichen Server, damit die Daten dort – verschlüsselt – gespeichert und für den Abruf aus dem Inland bereitgehalten werden. Hier kommt erneut der Begriff des „Bereitstellens“ in den Blick1. In der Definition des Art. 2 Nr. 2 iii) der Dual-Use Verordnung wird darauf abgestellt, dass – als Unterfall der Übertragung – Software oder Technologie für natürliche oder juristische Personen oder Personenvereinigungen im Ausland bereitgestellt werden. Es ist also das Ziel des Bereitstellens, dass auf die Software oder Technologie im Ausland zugegriffen und diese – in welcher Form auch immer – dort genutzt wird. Dies ist bei end-to-end verschlüsselten Daten aber nicht der Fall. Diese Daten werden auf dem Server im Ausland lediglich abgelegt und mit der Verschlüsselung erreicht, dass eine Nutzung im Ausland gerade nicht möglich ist. So lässt sich argumentieren, dass in der Speicherung von end-to-end verschlüsselten Daten im Ausland kein Export i.S.d. Außenwirtschaftsrechtes zu sehen ist. Zu berücksichtigen ist jedoch, dass eine Verarbeitung von verschlüsselten Daten kaum möglich ist, da der Einsatz von end-to-end Verschlüsselungen nur bei reinen Speicherlösungen in Betracht kommt.
III. Exportkontrollrechtliche relevante Szenarien des Cloud Computings Nachfolgend sollen nun einige Szenarien des Cloud Computing ange- 38 sprochen und exportkontrollrechtlich bewertet werden. 1. Nationale Clouds Einige deutsche Anbieter von Cloud Computing bieten die Services unter 39 Verwendung einer rein nationalen Infrastruktur an, also insbesondere mit deutschen Subunternehmern. In diesem Fall liegt kein Export vor. Die Nutzung des Cloud Computing unterliegt grundsätzlich keinerlei Einschränkungen. Einige Dinge sind aber auch in diesem exportkontrollrechtlich scheinbar „neutralen“ Szenario zu beachten: Denn auch wenn an einem Cloud Computing Angebot nur nationale Un- 40 ternehmen (Anbieter und Nutzer) beteiligt sind, kann dennoch ein Export von Daten gegeben sein, wenn der Server des Cloud-Anbieters sich physisch im Ausland befindet2. Der Transfer von Daten ins (EU-)Ausland zum Zweck der Speicherung und des Bereithaltens für Abrufe oder sonstige Nutzung stellt einen Export i.S.d. Exportkontrollrechtes dar. 1 Zum Begriff des Bereitstellens vgl. Tervooren/Mrozek in Wolffgang/Simonsen/ Tietje, AWR-Kommentar (Stand: November 2012), Art. 2 Rz. 32 ff. 2 Hierauf weisen zu Recht hin: Ahmed/Haellmigk, Cloud Computing and EU export control compliance, in: WorldECR 12/2012, S. 16. Mller
773
Teil 8 F Rz. 41
Exportkontrolle
Hier macht es exportkontrollrechtlich einen Unterschied, ob es sich um Rüstungs- oder Dual-Use-Technologie handelt. Letztere kann grundsätzlich auf Servern in anderen EU-Mitgliedstaaten im Rahmen des Cloud Computing genehmigungsfrei abgelegt oder genutzt werden1. Bei Rüstungsgütern ist auch die Nutzung einer EU-Cloud exportkontrollrechtlich relevant. Für jeden Nutzer einer Cloud ist es daher erforderlich, genau die „Funktionsweise“ der Cloud zu verstehen. Es genügt nicht, dass Anbieter und Nutzer der Cloud-Services Inländer sind – auch die ganze eingesetzte Infrastruktur, insbesondere die physische Hardware, muss sich im Inland bzw. der EU befinden. 41
Des Weiteren muss sichergestellt sein, dass der Anbieter der Cloud-Services die nationale Ausrichtung der Cloud nicht ändern wird oder jedenfalls nicht ändern darf, ohne die Nutzer des Services zu so rechtzeitig zu informieren, dass dieser hierauf reagieren und ggf. zu einem anderen Anbieter wechseln kann. Der Nutzer von Cloud Computing Services sollte sich eine entsprechende Unterrichtungsverpflichtung vertraglich zusichern lassen.
42
Schließlich können – wie eingangs bereits erwähnt – auch für deutsche Unternehmen US-exportkontrollrechtliche Bestimmungen zu beachten sein. Voraussetzung hierfür ist zunächst, dass der Nutzer der Cloud-Services überhaupt technische Daten aus den USA in der Cloud speichert und diese nach US-Recht exportkontrolliert sind. In diesem Zusammenhang ist zu beachten, dass sich die Exportkontrolle nach US-Recht allerdings auch auf solche Technologiedaten erstrecken kann, die Waren betreffen, in welchen US-amerikanische Teile in nicht unwesentlichem Umfang verbaut sind, oder auch solche Daten, die lediglich mit Hilfe von US-Technologie entwickelt worden sind. Wenn dies der Fall ist, muss geprüft werden, ob die so genannten „deemed re-export rules“ des US-Rechts eingreifen2. Nach US-Recht ist unter den „deemed export regulations“ nicht nur der Export von Daten in ein anderes Land exportkontrollrechtlich relevant, sondern auch der Zugriff von Personen mit einer nicht-US-amerikanischen Staatsangehörigkeit auf solche Daten. Dies kann insbesondere beim Einsatz von IT-Servicetechnikern der Fall sein. Wenn diese etwa die indische Staatsangehörigkeit besitzen, muss geklärt werden, ob der Zugriff auf in der (nationalen) Cloud gespeicherte Daten als „deemed re-export“ von Deutschland nach Indien anzusehen ist. Sollte dies der Fall sein, bedürfte die Nutzung der Cloud-Services einer Genehmigung der US-Behörden. Die Einzelheiten des US-Rechtes zu den Kontrollen der Technologie im Rahmen des deemed re-exportes sind äußerst komplex. Hier soll lediglich auf die Problematik aufmerksam ge1 Es gibt allerdings eine kleine Gruppe von Dual-Use-Gütern, die auch innerhalb der EU genehmigungspflichtig sind. Diese Dual-Use-Güter finden sich in Anhang IV der EU-Dual-Use-Güter-Verordnung. 2 Siehe insbesondere Code of Federal Regulations – 15 CFR Part 734.2, sowie Rz. 17 Fn. 2.
774
Mller
III. Exportkontrollrechtliche relevante Szenarien
Rz. 44 Teil 8 F
macht und das Bewusstsein der Nutzer von Cloud-Services geschärft werden1. 2. Innereuropäische Clouds Bei innereuropäischen Clouds stellen sich zunächst selbstverständlich 43 die zuvor beschriebenen Themen für die nationale Cloud. Hinzu kommt die Frage, ob aufgrund besonderer Eigenschaften der gespeicherten Daten schon die Nutzung einer innereuropäischen2 Cloud einer Genehmigung bedarf. Hier kommen zwei Fallgestaltungen – zusätzlich zu den für die nationale Cloud geschilderten Szenarien – in Betracht. Denn auch innerhalb der EU ist der Austausch von Technologie nicht in jedem Fall genehmigungsfrei. Dies gilt – wie bereits gesagt – zunächst für den gesamten Bereich der Rüstungstechnologie. Der Export von Rüstungsgütern – und damit auch der entsprechenden technischen Daten – wird durch nationales Recht geregelt. Der Export – auch in ein anderes Mitgliedsland der EU – bedarf daher grundsätzlich einer Ausfuhrgenehmigung3. Auch wenn davon ausgegangen werden kann, dass entsprechende Anträge auf Verbringung von Rüstungstechnologie innerhalb der EU in den meisten Fällen genehmigungsfähig sind, ist ein ungenehmigter Export von technischen Daten von Rüstungsgütern – je nach den Umständen – als Straftat oder Ordnungswidrigkeit zu bewerten4. Denn auch der rein formale Verstoß gegen das Genehmigungserfordernis wird sanktioniert. Technologiedaten, die Rüstungsgüter betreffen, dürfen also nicht ohne Genehmigung im Rahmen der Speicherung in einer EU-Cloud aus dem Inland verbracht werden. Kann nicht ausgeschlossen werden, dass die zur Speicherung in der Cloud eingesetzte Hardware außerhalb Deutschlands liegt, ist daher eine Genehmigung einzuholen. Aber auch Dual-Use-Güter können problematisch sein. Zwar ist vom 44 Grundsatz der Export von sog. Dual-Use-Gütern innerhalb der EU genehmigungsfrei möglich. Von diesem Grundsatz gibt es jedoch Ausnahmen. Wie bereits zuvor angesprochen werden Dual-Use-Güter über den Anhang I der Europäischen Dual-Use-Güter-Verordnung definiert. Innerhalb der Gruppe der Dual-Use-Güter gibt es jedoch eine Teilmenge, deren Export innerhalb der EU – entgegen dem grundsätzlichen Prinzip – doch genehmigungspflichtig ist. Diese Güter finden sich in Anhang IV der Verordnung5. Technologie und Software diese Güter betreffend darf somit
1 Weiterführende Informationen zum US-Exportkontrollrecht finden sich etwa in Böer/Grobe/Hohmann, US-Exportkontrolle, 2. Aufl. 2011. 2 Innereuropäisch soll hier vor allem als innerhalb der EU verstanden werden. 3 Hierzu existierende Ausnahmen können hier zurückgestellt werden. 4 Zu den Folgen bei Verstößen gegen Exportkontrollrecht siehe sogleich unter Rz. 61 ff. 5 Um zwei Beispiele zu nennen: 3 A 229 „Zündvorrichtungen und gleichwertige Hochstrom-Impulsgeneratoren“ oder 5 A 002 a) 2) „Geräte, entwickelt oder geändert zur Ausführung kryptoanalytischer Funktionen“. Mller
775
Teil 8 F Rz. 45
Exportkontrolle
ebenfalls nicht in einer innereuropäischen Cloud ohne Genehmigung gehandhabt werden. 45
Die bereits aufgezeigten Beschränkungen durch das US-Recht gelten auch hier. 3. Clouds in Drittstaaten
46
Als Drittstaaten sollen hier alle Staaten verstanden werden, die nicht Mitgliedstaaten der EU sind1. Beim Export in Drittstaaten sind die exportkontrollrechtlichen Beschränkungen hinsichtlich der Nutzung einer Cloud am deutlichsten ausgeprägt. Die Kontrollen erfassen Technologie und Software sowohl in Bezug auf Rüstungsgüter als auch in Bezug auf DualUse-Güter. Das heißt: in jedem Fall der Bereitstellung oder Nutzung von als Rüstungs- oder Dual-Use Technologie oder Software kontrollierten Daten oder Software bedarf es einer Genehmigung. Selbst wenn dies theoretisch sichergestellt werden kann, ist der damit verbundene Aufwand doch sehr groß und lässt die Vorteile des Cloud Computing wohl in den Hintergrund treten. 4. „Route of transmission“
47
In diesem Zusammenhang soll noch auf einen weiteren Aspekt aufmerksam gemacht werden, der möglicherweise auch in den nationalen oder EU-Clouds eine Rolle spielt, bei den Clouds in Drittstaaten aber besonders häufig relevant sein kann.
48
Bei der exportkontrollrechtlichen Bewertung der Nutzung einer Cloud stellt sich nicht nur die Frage nach dem Standort des Servers. Nach einer Auffassung in der Literatur muss auch die Frage berücksichtigt werden, wie die exportkontrollierten Daten dorthin gelangen2. Nehmen wir an, dass der Server sich in Singapur befindet, die Daten auf dem Weg dorthin aber über Indien geleitet werden. Dann stellt sich die Frage, ob bei der Bewertung der exportkontrollrechtlichen Zulässigkeit dieses Vorganges auch die Route über Indien miteinbezogen werden muss. Zu dem stellt sich die Frage, ob die Weiterleitung der Daten von Indien an den endgültigen Standort in Singapur exportkontrollrechtlich zudem nach den indischen Vorschriften bewertet werden muss, da hierin ein Export von Indien nach Singapur zu sehen ist. Unter Rz. 30 ff. haben wir uns mit der Frage befasst, was als Export im Rahmen des Cloud Computing anzusehen ist. Die Definition des Begriffes „Ausfuhr“ in Art. 2 Nr. 2 iii) der Dual-Use-Verordnung stellt – wie gezeigt – insbesondere darauf ab, dass 1 Drittstaaten können Embargostaaten sein. Dass ein Cloud Angebot unter Nutzung von in einem Embargo-Staat belegener Infrastruktur, wie z.B. dem Iran, etabliert werden würde, ist sehr unwahrscheinlich, und wird hier daher nicht näher betrachtet. 2 Vgl. Ahmed/Haellmigk, Cloud Computing and EU export control compliance, in WorldECR 12/2012, S. 17.
776
Mller
III. Exportkontrollrechtliche relevante Szenarien
Rz. 51 Teil 8 F
Software oder Technologie nach einem Bestimmungsland übertragen wird. Das schlichte Routing von Daten über technisch notwendige Serverstandorte, die aber nicht Bestimmungsziel des Datentransfers sind, können nach hier vertretener Auffassung nicht als selbständig zu bewertender Export angesehen werden. Wie bereits ausgeführt ähnelt die „Route of transmission“ von Daten dem Transportweg von Gütern. Wenn Güter während des Transportes umgeladen werden, ist das exportkontrollrechtlich nicht relevant. Für die Frage der Genehmigungserteilung nach Außenwirtschaftsrecht wird allein auf das Empfängerland abgestellt. Anderenfalls könnte, je nach Struktur der Cloud eine komplexe Kette 49 von hintereinandergeschalteten Exporten entstehen, die die Genehmigungssituation extrem komplizieren würde. Zudem wäre diese Kette für den Nutzer des Cloud-Services häufig nicht nachvollziehbar, da die Wege des Datentransfers sich an der Verfügbarkeit und Auslastung der Datenleitungen orientieren und folglich jeder Transfer eine anderen Route folgen kann, die sich „spontan“ aus der jeweiligen Auslastungssituation ergibt. Somit ist der Nutzer von Cloud-Services schon praktisch nicht in der Lage einen „korrekten“ Antrag zu stellen, da ihm die Route of transmission nicht bekannt ist, nicht bekannt sein kann. Es ist jedoch zu berücksichtigen, dass durch die Kommunikationswege 50 erhebliche Zusatzrisiken entstehen können. Liegt etwa eine Exportgenehmigung für die Verarbeitung von Technologiedaten auf einer CloudInfrastruktur in Indien vor und werden zum Datentransfer Leitungen über (z.B.) Pakistan verwendet, kann nicht ausgeschlossen werden, dass unberechtigte Dritte sich dort Zugang zu den Daten verschaffen. Dies ist dann allerdings keine Frage des Exportkontrollrechtes. Exportkontrollrechtliche Sanktionen knüpfen an Sachverhalte an, in denen der Exporteur vorsätzlich oder fahrlässig Daten ohne die erforderliche Genehmigung übertragen hat. Der Fall eines „Datendiebstahls“ wird nach hier vertretener Auffassung davon nicht erfasst. Die Übertragung von Daten setzt voraus, dass der Übertragende zielgerichtet an einen bestimmten Empfänger die Daten übermitteln will. Wenn ein Dritter unberechtigt auf diese Daten während ihrer Übertragung zugreift, ist dies kein illegaler Export an diesen Dritten, da eine Datenübertragung an diesen nicht stattfinden sollte und auch nicht vorhersehbar war1. 5. Zugriff aus dem Ausland Ein weiterer Aspekt, der betrachtet werden muss, ist der des Zugriffes 51 auf exportkontrollierte Daten aus dem Ausland. Dies ist eine Problemstellung, die sich bei der Nutzung von Daten in der Cloud in besonderem 1 In diesen Konstellationen wäre zu prüfen, ob dem Übertragenden Pflichten zur Sicherung der Übertragungswege oblagen und welche Konsequenzen sich aus der Verletzung dieser Pflichten ergeben. Mller
777
Teil 8 F Rz. 52
Exportkontrolle
Maße stellt. Ein typisches Szenario ist, dass Mitarbeiter, die sich im Ausland befinden auf technische Daten zugreifen, die in der Cloud gespeichert sind und daher in vielen Fällen problemlos über den Internetbrowser abrufbar sind. Dies kann Mitarbeiter in ausländischen Tochtergesellschaften oder Zweigniederlassungen oder Mitarbeiter auf Geschäftsreise betreffen – etwa einen Serviceingenieur, der vor dem Kundentermin noch eine technische Frage unter Zuhilfenahme technischer Daten klären möchte. Ein solcher Zugriff auf Daten wird ohne weiteres als Export angesehen1. Sind die bereitgestellten Daten exportkontrolliert, bedarf der Zugriff der Genehmigung. Viele Unternehmen reagieren auf dieses Risiko dadurch, dass sie den Zugriff auf exportkontrollierte Daten aus dem Ausland verbieten und dieses Verbot durch technische Schutzmechanismen (etwa Zugriffsperren auf bestimmte Bereiche des Netzwerkes aus dem Ausland) absichern. Hier wäre bei Vertragsabschluss darauf zu achten, dass der Cloud-Anbieter verpflichtet wird, eine solche Lösung zu ermöglichen. 52
Wenn aber der Zugriff auf kontrollierte Daten aus dem Ausland nicht möglich ist oder einen sehr großen Aufwand zum Schutz gegen Verstöße gegen exportkontrollrechtliche Bestimmungen erforderlich macht, verringert dies die Attraktivität der Nutzung von Cloud-Services. 6. Genehmigungen als Option
53
Soweit exportkontrollierte technische Daten in einer nicht rein inländischen Cloud (Rüstungstechnologie) bzw. nicht in einer EU-Cloud (Rüstungs- und/oder Dual-Use-Technologie) verfügbar sein sollen, stellt sich vor dem Hintergrund der oben beschriebenen exportkontrollrechtlich relevanten Szenarien die Frage, was dies rechtlich bedeutet.
54
Das Speichern von exportkontrollierten technischen Daten in einer solchen Cloud ist nicht per se verboten. Es bedarf aber in vielen Konstellationen und in Abhängigkeit der Qualität der gespeicherten Daten2 einer Genehmigung. Das einzige zuverlässige Szenario ist die Speicherung von exportkontrollierten Daten in einer ohne jede Einschränkung nationalen Cloud.
55
In allen anderen Fällen wäre eine Genehmigung beim zuständigen Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) zu beantragen. Je nach Konstellation wäre zusätzlich zur Genehmigung durch die nationale Behörde, die wie oben ausgeführt auch für Genehmigungen für DualUse-Güter verantwortlich ist, eine weitere Genehmigung bei den US-Behörden zu beantragen. 1 Vgl. ohne weitere Begründung im Ergebnis aber auch nach hiesiger Ansicht zutreffend Bundesamt für Wirtschaft und Ausfuhrkontrolle (Hrsg.), Technologietransfer und Proliferation, S. 15. 2 Hier ist insbesondere die Unterscheidung zwischen Dual-Use Technologie und Technologie für Rüstungsgüter von Interesse.
778
Mller
III. Exportkontrollrechtliche relevante Szenarien
Rz. 57 Teil 8 F
Dabei ist der Fall des erstmaligen Speicherns in der Cloud noch verhält- 56 nismäßig einfach in den Griff zu bekommen. Der Transfer der Daten auf den Server im Ausland bedarf der Genehmigung. Eine besondere Herausforderung kann aber schon darin bestehen, die betroffenen Daten präzise und umfassend in den Antragsunterlagen zu beschreiben. Insbesondere bei großen Datenmengen hat sich dies in der Praxis bereits als kaum überwindbares Problem erwiesen. Die zuverlässige Beschreibung der Daten ist deshalb von besonderer Bedeutung, weil nur die vom Antrag erfassten Daten auch genehmigt werden können. Ist die Beschreibung der zu übertragenden Daten unvollständig, werden Daten übertragen, die von der Genehmigung nicht erfasst sind mit der Konsequenz von strafrechtlichen oder ordnungswidrigkeitenrechtlichen Sanktionen. Die Daten rein generisch zu beschreiben ist keine Alternative, weil dies mit hoher Wahrscheinlichkeit dem Bestimmtheitsgrundsatz nach Maßgabe des § 37 VwVfG nicht genügen würde1. Jeder Verwaltungsakt muss so formuliert sein, dass er aus sich heraus verständlich ist und vollzogen werden kann. Eine Formulierung wie „alle exportkontrollierten Technologiedaten für das Produkt X“ würde dem Bestimmtheitsgrundsatz nicht genügen, da für einer Ausfuhrgenehmigung mit diesem Wortlaut nicht entnommen werden könnte, welche Technologiedaten erfasst sind. Vielmehr müsste in einem zweiten Schritt erst geprüft werden, welche Technologiedaten dem Produkt X zuzuordnen sind. Weitere Schwierigkeiten können bei der Definition des Genehmigungs- 57 umfanges entstehen. Die technischen Daten sollen in der Cloud typischerweise nicht nur „abgelegt“ werden, sondern zur Nutzung zur Verfügung stehen. Das bedeutet beispielsweise, dass die Mitarbeiter eines Unternehmens auf die technischen Daten zugreifen, diese bearbeiten und aktualisieren können sollen. Bei internationalen Unternehmen bedeutet dies häufig, dass der Zugriff aus unterschiedlichen Staaten erfolgt. Nehmen wir das Beispiel eines internationalen Technologieunternehmens mit Entwicklungsabteilungen in den USA, Deutschland und Indien. Die deutschen technischen Daten sollen auf einer Cloud in Deutschland bereitgestellt werden. Die Bereitstellung ist dann kein Problem, da es sich um eine nationale Cloud handelt. Wenn aber nun Mitarbeiter aus den USA oder Indien auf die technischen Daten zugreifen, sind in diesem Zugriff – wie oben bereits angesprochen – Exporte in diese Länder zu sehen. Grundsätzlich sind Exporte durch Einzelgenehmigungen zu genehmigen. Dies ist in dieser Situation aber unpraktikabel, da das Unternehmen nicht für jeden Zugriff eine Genehmigung beantragen kann. Das heißt, es muss eine Sammelgenehmigung beantragt werden. Deren Gestaltung kann im Einzelfall aber schwierig sein, da es problematisch sein wird, alle denkbaren Zugriffsszenarien zuverlässig und umfassend zu beschreiben. So sind viele Unternehmen in ihren Strukturen sehr dynamisch und einem kontinuierlichen Veränderungsprozess unter1 Zum Bestimmtheitsgrundsatz vgl. Ruffert in Knack/Henneke, VwVfG, 9. Aufl. 2010, § 37 Rz. 26 m.w.N. Mller
779
Teil 8 F Rz. 58
Exportkontrolle
worfen, sei es durch interne Umstrukturierungen oder Akquisitionen von anderen Unternehmen. Wenn etwa im Wege einer Akquisition eine neue F&E-Abteilung in den Konzern integriert wird und deren Mitarbeiter Zugriff auf die technischen Daten in der Cloud erhalten, würde es sich dabei um einen neuen Exportvorgang handeln, der von der Genehmigungssituation nicht abgedeckt ist. 58
Ebenfalls komplex kann die Situation sein, wenn sich der Server in einem Drittstaat befindet. In diesem Fall benötigt man zunächst eine Ausfuhrgenehmigung für den Export zur Speicherung der technischen Daten im Drittstaat. Auch hier gilt, dass grundsätzlich Einzelgenehmigungen zu erteilen sind. Bei großen Datenmengen ist dies erneut nicht praktikabel. Es wäre daran zu denken, „Daten-Cluster“ zu bilden, die es erlauben, größere Mengen von technischen Daten zusammenzufassen und en bloc zu genehmigen. Zu berücksichtigen ist in diesem Zusammenhang aber auch, dass in vielen Unternehmen ständig neue technische Daten entwickelt oder erworben werden. Für diese müssten dann jeweils neue Genehmigungen beantragt werden, wenn sie nicht als Fortschreibung bereits vorhandener und von der Genehmigung umfasster Daten verstanden werden können. Da es für die Genehmigungserteilung entscheidend auf den Endverbleib der Daten ankommt, muss in die Genehmigung zudem einfließen, wer alles Zugriff auf die Daten haben kann. Das heißt schon bei der Genehmigung für das Bereitstellen der Daten in die Cloud, müssen die potentiellen Zugriffe auf die Daten aus anderen Ländern berücksichtigt werden. Gleichzeitig müssen dem entsprechende Zugriffsrechte eingerichtet und administriert werden.
59
Diese Szenarien sind nur sehr schwer in den Griff zu bekommen. Entsprechende Vorkehrungen zu treffen erfordert einen hohen administrativen Aufwand und birgt im Falle des Scheiterns ein nicht unerhebliches Risiko (zu den Konsequenzen bei Verstößen sogleich unter Rz. 61 ff.).
60
Noch komplexer wird die Situation, wenn unter den Zugriffsberechtigten Mitarbeiter anderer Staatsangehörigkeiten als der deutschen Staatsangehörigkeit sind. Insofern ist zudem zwischen nationalem Recht und USRecht zu unterscheiden. Nach nationalem Recht kann es weiterer Genehmigungen bedürfen, wenn die Daten im Rahmen einer militärischen Endverwendung genutzt werden und der Zugreifende nicht Staatsangehöriger eines EU-Mitgliedsstaates oder einer Gruppe von privilegierten Staaten angehört1. Wenn auch Zugriff auf US-Daten gewährt werden soll, ist der Zugriff wie oben ausgeführt auf US-Daten als sogenannter „deemed re export“ anzusehen, der ebenfalls nach US-Recht genehmigungspflichtig ist. Die Besonderheit ist dabei, dass die Kontrollen des Zugriffes auf Daten nach US-Recht wesentlich weiter geht als nach nationalem deutschen Recht – und etwa auch Dual Use Technologie erfasst – und da1 Zu diesen Staaten gehören zur Zeit: Australien, Japan, Kanada, Liechtenstein, Neuseeland, Norwegen, Schweiz, USA.
780
Mller
IV. Folgen von Verstçßen
Rz. 63 Teil 8 F
her eine größere Datenmenge relevant wird, woraus sich wiederum größerer Personenkreis der potentiell Zugreifenden ergäbe, mit der Konsequenz, dass die Arbeit mit den Daten eine vorherige Genehmigung der US-Behörden voraussetzt. Diese Szenarien zeigen, dass die Nutzung von Cloud-Services einen enormen administrativen Aufwand generiert, wenn exportkontrollierte Daten betroffen sind. Dieser Aufwand vermag die positiven Aspekte des Cloud Computings zu nichte zu machen. Etwas anderes gilt lediglich in dem Fall einer rein nationalen Cloud oder bei Dual-Use-Gütern einer EU-Cloud, auf die auch nicht aus dem Ausland zugegriffen werden kann.
IV. Folgen von Verstößen Wenn es bei der Nutzung der Cloud-Services zu Verstößen gegen export- 61 kontrollrechtliche Bestimmungen kommen sollte, stellt sich die Frage, was die Konsequenzen dieser Verstöße sein können. Dabei ist es sinnvoll, zwischen den Konsequenzen für die verantwortlich handelnden Personen auf der einen Seite und den Konsequenzen für das Unternehmen zu unterscheiden. 1. Konsequenzen für die handelnden Personen In Bezug auf die verantwortlich handelnden Personen bieten sich wieder- 62 um Differenzierungen an. Im Bereich der exportkontrollrechtlichen Compliance haben sich bestimmte Strukturen über die Jahre herausgebildet. So gibt es insbesondere zwei Funktionen, die in praktisch jedem Unternehmen, das mit exportkontrolliertem Material umgeht, zu finden sind. Dies ist zum einen der Ausfuhrverantwortliche1 und zum anderen der Exportkontrollbeauftragte2. Jedes Unternehmen, das mit exportkontrollierter Technologie oder ent- 63 sprechender Software, d.h. mit Rüstungs- oder Dual-Use-Technologie oder solcher Software umgeht, ist im Ergebnis verpflichtet, einen Ausfuhrverantwortlichen zu bestellen. Eine entsprechende Regelung findet sich allerdings lediglich in einer Verwaltungsvorschrift des Bundes: den „Grundsätzen der Bundesregierung zur Prüfung der Zuverlässigkeit von
1 Der Begriff des Ausfuhrverantwortlichen ist durch eine Verwaltungsvorschrift des Bundes vorgegeben; zu Position und Aufgabe des Ausfuhrverantwortlichen finden sich weitere Ausführungen im Text. 2 Anders als der Ausfuhrverantwortliche ist der Exportkontrollbeauftragte in keinem Gesetzeswerk vorgesehen. Dementsprechend ist auch die Terminologie uneinheitlich. Der Begriff „Exportkontrollbeauftragter“ hat sich aber in weiten Kreisen eingebürgert. Daneben finden sich aber auch Begriffe wie „Ausfuhrbeauftragter“, „Exportbeauftragter“ usw. Da es an einer materiell-gesetzlichen Regelung fehlt, ist auch der Aufgabenkreis des Exportkontrollbeauftragten nicht definiert. Mller
781
Teil 8 F Rz. 64
Exportkontrolle
Exporteuren von Kriegswaffen und rüstungsrelevanten Gütern“1, die Auskunft über die grundlegenden Pflichten des Ausfuhrverantwortlichen für den Bereich der internen Exportkontrolle geben, insbesondere in Hinblick auf die Organisation, Weiterbildung, Personalauswahl und Überwachung2. In Hinblick auf die Nutzung von Cloud-Services würde dies bedeuten, dass der Ausfuhrverantwortliche sicherstellen muss, dass durch unternehmensinterne Maßnahmen die mit der Nutzung einer Cloud verbundenen exportkontrollrechtlichen Risiken vermieden werden können. So muss etwa sichergestellt sein, dass nur solche Cloud-Services ausgewählt werden, die den Anforderungen der in der Cloud zu speichernden Daten gerecht werden. Wenn also beispielsweise exportkontrollierte Technologiedaten aus dem Bereich Dual-Use gespeichert werden sollen, muss sichergestellt sein, dass eine nationale oder europäische Cloud hierzu genutzt wird. Soll dagegen eine internationale Cloud genutzt werden, muss dies durch entsprechende Genehmigungen abgedeckt sein. Des Weiteren muss sichergestellt werden, dass für die Mitarbeiter erkennbar ist, welche Daten vor dem Hintergrund exportkontrollrechtlicher Kontrollen ohne weiteres, nur eingeschränkt oder gar nicht in einer Cloud gespeichert werden dürfen. Hierzu müssen dann klare „Kennzeichungen“ der Technologiedaten vorhanden sein. Zu denke wäre etwa daran, exportkontrollierte Daten nur in einem bestimmten Dateiformat bereitzuhalten, so dass für jeden Mitarbeiter sofort erkennbar ist, dass hinsichtlich dieser Daten exportkontrollrechtliche Beschränkungen zu beachten sind. Dies würde auch automatische Sperren durch eine Firewall ermöglichen. 64
Der Ausfuhrverantwortliche muss aus dem Kreis der Unternehmensleitung bestellt und der zuständigen Behörde, dem Bundesamt für Wirtschaft und Ausfuhrkontrolle, angezeigt werden. Der Ausfuhrverantwortliche muss also ein Mitglied der Geschäftsführung oder des Vorstandes sein.
65
Da der Ausfuhrverantwortliche dem Kreis der Unternehmensleitung entstammt, hat sich in der Praxis gezeigt, dass er häufig rein praktisch und aus Zeitgründen nicht in der Lage ist, das exportkontrollrechtliche Tagesgeschäft wahrzunehmen. Daher ist es – wie sonst auch – möglich, die entsprechenden Aufgaben zu delegieren. Dazu wird in vielen Unternehmen ein Exportkontrollbeauftragter bestellt. Die Bestellung eines Exportkontrollbeauftragten (oder einer vergleichbaren Person) ist gesetzlich nicht vorgeschrieben. Es obliegt dem Ausfuhrverantwortlichen in Ausübung seiner Organisationspflicht zu entscheiden, ob es der Position des Exportkontrollbeauftragten bedarf und wie diese ausgestattet sein muss3. 1 BAnz. Nr. 148 v. 10.8.2001, S. 17177. 2 Zur Vertiefung s. Pottmeyer, Der Ausfuhrverantwortliche, 1997. 3 So stellt sich insb. häufig die Frage, ob es sich um eine Vollzeitstelle handeln muss. Die Antwort hängt davon ab, welche Zeit benötigt wird, um die anfallenden exportkontrollrechtlichen Aufgaben angemessen zu bewältigen.
782
Mller
IV. Folgen von Verstçßen
Rz. 68 Teil 8 F
In der Praxis sieht man hier – vor allem in Abhängigkeit von der Größe des Unternehmens – die unterschiedlichsten Varianten1. Beide Funktionen stehen im Fall von Verstößen gegen das Exportkon- 66 trollrecht im Fokus der Ermittlungen. Ermittlungsverfahren, sei es in Straf- oder Ordnungswidrigkeitenverfahren konzentrieren sich in erster Linie auf die Personen, die diese Funktionen verkörpern. Es ist aber grundsätzlich so, dass jeder Mitarbeiter, der an einem Exportvorgang beteiligt war, straf- oder ordnungswidrigkeitenrechtlich belangt werden kann. Das Außenwirtschaftsrecht beinhaltet spezifische Bestimmungen des 67 Straf- und Ordnungswidrigkeitenrechts. Mit der Novelle des Außenwirtschaftsrechtes ist das grundlegende Prinzip der Sanktionen von Verstößen gegen außenwirtschaftsrechtliche Bestimmungen neu geordnet worden2. Die wesentliche Trennlinie verläuft zwischen der fahrlässigen und vor- 68 sätzlichen Begehung eines Verstoßes gegen außenwirtschaftsrechtliche Anforderungen. Nach dem neuen § 19 AWG sind fahrlässige Verstöße als Ordnungswidrigkeiten zu ahnden, während vorsätzliche Verstöße gemäß § 18 AWG als Straftaten qualifiziert sind. Das Strafmaß variiert dabei erheblich: Für schwerwiegende Verstöße sieht das Gesetz eine Strafrahmen von bis zu 10 Jahren Freiheitsstrafe oder Geldstrafe vor3. Dies wäre etwa der Fall, wenn vorsätzlich gegen wirtschaftliche Sanktionsmaßnahmen der EU oder der UN gegen ein bestimmtes Land, also ein Embargo verstoßen würde. Diese Fälle sind allerdings voraussichtlich nicht sehr wahrscheinlich. Dies würde voraussetzen, dass mittels der Nutzung eines Cloud-Services, Daten bewusst in ein Embargoland verbracht würden oder vorsätzlich einer natürlichen oder juristischen Person, gegen die Wirtschaftssanktionen verhängt wurden, Zugriff auf in der Cloud gespeicherte Daten eingeräumt würde. Dass dies geschieht, sollte schon durch in anderem Zusammenhang getroffene Compliance-Maßnahmen verhindert werden. Insbesondere sind Unternehmen faktisch verpflichtet, ihre Geschäftspartner daraufhin zu überprüfen, ob deren Vermögen einzufrieren sind und das zur Verfügung stellen wirtschaftlicher Ressourcen untersagt ist. Listen, auf denen natürliche und juristische Personen geführt werden, auf die diese Ge- und Verbote anzuwenden sind, finden sich in den Anhängen diverser Verordnungen der EU4.
1 Die damit auftretenden Fragestellungen sollen hier nicht vertieft werden, da sie nicht spezifisch mit den Fragen des Cloud Computing verknüpft sind. 2 Vgl. dazu Niestedt/Trennt, BB 2013, 2115 (2117 f.); Walter, RIW 2013, 205 (208 ff.). 3 Vgl. § 17 AWG. 4 Die wichtigsten Verordnungen in diesem Zusammenhang sind die sog. Anti-Terrorismus Verordnungen EU/881/2002 v. 27.5.2002 und EU/2580/2001 v. 27.12.2001; aber auch zahlreiche länderspezifische Embargo-Verordnungen verhalten sich Mller
783
Teil 8 F Rz. 69
Exportkontrolle
69
Im Fall „normaler“ vorsätzlicher Verstöße gegen das Exportkontrollrecht beträgt die Sanktion immerhin bis zu 5 Jahre Freiheitsstrafe oder Geldstrafe1. Es stellt sich allerdings die Frage, ob in der Praxis durch die Nutzung von Cloud-Services vorsätzliche Verstöße gegen exportkontrollrechtliche Bestimmungen tatsächlich vorstellbar sind. Dies wäre dann der Fall, wenn der Nutzer eines Cloud-Service wissentlich und willentlich (dolus eventualis genügt jedoch, also für möglich halten und es darauf ankommen lassen) exportkontrolliertes Material ohne Genehmigung in eine internationale Cloud (Dual Use- und Rüstungsgüter) oder EU-Cloud (Rüstungstechnologie) einstellte. Dies kann durchaus vorkommen, wenn die näheren Umstände eines Cloud Angebots nicht bekannt und in den relevanten Einzelheiten vertraglich geregelt sind, insbesondere die verwendete Infrastruktur. Wenn also ein Nutzer von Cloud-Services gedankenlos handelt und sich die nach Art der betroffenen Daten erforderlichen geographischen Einschränkungen bei der Nutzung von Cloud-Services nicht bewusst macht und diese mit den tatsächlichen Gegebenheiten eines Cloud-Services abgleicht, kommt eine Strafbarkeit wegen eines bedingt vorsätzlichen Verstoßes durchaus in Betracht.
70
Bei Unternehmen, die grundsätzlich über eine gute interne Exportcompliance verfügen, werden mit hoher Wahrscheinlichkeit alleine solche Verstöße vorkommen können, die dem Bereich der Fahrlässigkeit zuzuordnen sind (sog. Arbeitsfehler) und somit gemäß § 19 AWG lediglich eine Ahndung als Ordnungswidrigkeit nach sich ziehen können. Die hier zu verhängenden Geldbußen sind allerdings nicht unbeachtlich; der Gesetzesrahmen beträgt nach § 19 Abs. 6 AWG bis zu 500 000 Euro. Erfolgen Verstöße über längere Zeit oder betreffen Sie mehrere exportkontrollierte Güter bzw. unterschiedliche Technologie können höhere Geldbußen verwirkt werden. 2. Konsequenzen für das Unternehmen
71
In der Praxis hat sich erwiesen, dass Konsequenzen für das Unternehmen häufig schwerwiegender sind. Zwar kennt das deutsche Recht kein Unternehmensstrafrecht. Trotzdem gibt es Möglichkeiten, auch das Unternehmen selbst zur Verantwortung zu ziehen.
72
Dabei kommt zunächst die Unternehmensbuße gemäß § 30 OWiG in den Blick. Aufgrund der besonderen Stellung des Ausfuhrverantwortlichen als Mitglied der Geschäftsleitung hat diese Bestimmung im Außenwirtschaftsrecht eine besondere Bedeutung. Denn durch die ausdrückliche Benennung eines Geschäftsführers (oder Vorstandes) als Ausfuhrverantwortlichen gegenüber dem Bundesamt für Wirtschaft und Ausfuhrkontrolle und die explizite Übernahme der Verantwortung für die hierzu wie etwa die EU-Iran Embargo-Verordnung EU/267/2012 v. 23.3.2012 in der Fassung der Verordnung EU/1263/2012 v. 21.12.2012. 1 Vgl. § 18 AWG.
784
Mller
IV. Folgen von Verstçßen
Rz. 76 Teil 8 F
unternehmensinterne Exportkontrolle, wird die besondere Rolle des Geschäftsführers (oder Vorstandes) deutlich und damit auch seine Pflicht, für die Einführung und Beachtung wirksamer interner Strukturen zur Einhaltung außenwirtschaftsrechtlicher Bestimmungen Sorge zu tragen. Dies gilt im Prinzip für andere Bereiche – wie etwa Kartellrecht oder Anti-Korruption, um nur zwei beispielhaft zu nennen – ebenso. Durch die explizite Übernahme der Verantwortung gegenüber einer Bundesbehörde, wird die Verantwortung im Bereich Exportkontrolle jedoch besonders betont und hervorgehoben. Das AWG selbst ordnet die Anwendung der Bestimmungen über die Ein- 73 ziehung und den erweiterten Verfall an1. So können die Gegenstände, mit denen die Tat begangen wurde oder auf die sich die Straftat bezieht eingezogen werden. Dies könnten im Fall der rechtwidrigen Übertragung von Technologie die entsprechenden Technologiedaten sein. In der Praxis hat sich in den letzten Jahren gezeigt, dass die Behörden zu- 74 nehmend dazu übergehen, den Unternehmen, aus denen heraus Verstöße gegen außenwirtschaftsrechtliche Bestimmungen begangen wurden, zollrechtliche Privilegien zu entziehen, insbesondere den Status des Zugelassenen Ausführers2. Dass Verstöße gegen das Exportkontrollrecht ein besonders hohes Risiko 75 der Rufschädigung in sich tragen, versteht sich von selbst. 3. Die Rolle des Cloudserviceanbieters In diesem Zusammenhang stellt sich auch die Frage, ob auch der Anbie- 76 ter von Cloud-Services für Verstöße gegen das Exportkontrollrecht verantwortlich gemacht werden kann, wenn die Nutzer des Service etwa exportkontrollierte technische Daten ohne die erforderlichen Genehmigungen in die Cloud einstellen. Dies ist im Prinzip eine ähnliche Frage wie die nach der Verantwortlichkeit eines Diensteanbieters für vom Kunden eingestellte strafrechtlich relevante Inhalte. Im Bereich der Exportkontrolle ist nach einer Literaturansicht der Anbieter der Dienste nicht für Verstöße der Nutzer gegen Exportkontrollrecht verantwortlich3. Etwas anderes muss gelten, wenn der Anbieter von Cloud-Services – etwa aufgrund wirtschaftlicher Überlegungen – in ein im Ausland gelegenes Rechenzentrum verlagert, obwohl die Daten ohne Ausfuhrgenehmigung nicht übertragen werden dürfen. Hier wird die erste offensichtliche Ursache für den Verstoß gegen exportkontrollrechtliche Bestimmungen durch den Anbieter der Cloud-Services gesetzt. Es wird bei der strafrechtlichen Bewertung aber darauf ankommen, ob der Anbieter der Cloud-Services 1 § 20 AWG. 2 Zum Status des Zugelassenen Ausführers s. Art. 253 Abs. 3 i.V.m. Art. 283–287 Zollkodex/DurchführungsVO. 3 Ahmed/Haellmigk, Cloud Computing and EU export control compliance, in WorldECR 12/2012, S. 17. Mller
785
Teil 8 F Rz. 77
Exportkontrolle
von den exportkontrollrechtlichen Beschränkungen wusste oder wissen musste. Positive Kenntnis kann der Anbieter von Cloud-Services eigentlich nur durch den Kunden erlangen. Die gespeicherten Daten in einer Cloud können – je nach Service – so unterschiedlich sein, dass der Anbieter praktisch keine Möglichkeit hat, alle Daten auf ihre exportkontrollrechtliche Relevanz hin zu überprüfen. Wurde er jedoch auf den Umstand exportkontrollrechtlicher Beschränkungen durch den Nutzer hingewiesen, wird der Anbieter der Cloud-Services sicherstellen müssen, dass diese Beschränkungen bei dem Betrieb der Cloud auch berücksichtigt werden und exportkontrollierte Daten nicht auf ausländische Server verlagert werden. Sollte der Nutzer von Cloud-Services nicht auf den besonderen Charakter der Daten hingewiesen und auch keine verbindliche Abrede zu Serverstandorten getroffen haben, wird man ihm gegenüber den Vorwurf erheben können, die gebotene Sorgfalt im Umgang mit exportkontrollierten Daten nicht gewahrt zu haben. Denn auch im eigenen Unternehmen müsste sichergestellt sein, dass exportkontrollierte Daten so gehandhabt werden, dass ein versehentlicher Export nicht stattfinden kann (dies erreicht man etwa durch besondere „Kennzeichnung“ dieser Daten, die Speicherung in spezifischen Ordnern und Zugriffsbeschränkungen). 77
Dies zeigt, dass es sinnvoll und geboten ist, besondere Eigenschaften der Daten (wie etwa den Umstand der Exportkontrolle) offenzulegen und damit verbundenen Sorgfaltspflichten vertraglich festzulegen. Der CloudNutzer sollte also dem Cloud-Service-Anbieter verdeutlichen, dass die von ihm in der Cloud gespeicherten Daten der Exportkontrolle unterliegen und diese Daten nicht auf ausländischen Servern gespeichert werden dürfen. Der Anbieter von Cloud-Services sollte Vorkehrungen treffen, dass diese Daten nicht versehentlich unter Verstoß gegen exportkontrollrechtliche Bestimmungen auf Servern im Ausland gespeichert werden. Diese Maßnahmen werden denen entsprechen, die Unternehmen auch zur Sicherung exportkontrollierter Daten auf eigenen Servern treffen.
786
Mller
Stichwortverzeichnis Die fett gesetzten Buchstaben/Zahlen beziehen sich auf die Teile bzw. Kapitel; die nachfolgenden mageren Zahlen kennzeichnen die betreffende Randziffer. Abofallen 2 41 Absicherung der Leistungserbringung 2 302 ff. Access-Provider 8 A 9, 59, 82 ACTA s. Anti-Produktpiraterie-Handelsabkommen (ACTA) AGB-Recht 2 235 ff. – ~ gegenüber Verbrauchern 2 103 ff. – Nutzungsrechtseinräumungen/-übertragungen 3 177 Air Gap 4 146 Akzeptanzbetrachtung 1 A 39 ff. Änderungsrechte 2 290 Anti-Produktpiraterie-Handelsabkommen (ACTA) 3 12 Anwaltsgeheimnis 8 D Applet 3 108, 186 Application Service Providing (ASP) 2 1, 4, 149 ff., 153 ff., 162, 168, 229; 3 44, 82, 179; 8 C 3 Arbeitnehmerdatenschutz s. Beschäftigtendatenschutz Arbeitsrecht 5 – anwendbares Recht 5 21 ff. – EU-Rechtsrahmen 5 12 ff. – Gerichtsstand 5 21, 28 ff., 33 – Individualarbeitsrecht 5 5 ff., 22 ff., 34 ff. – kollektives Arbeitsrecht 5 8 ff., 32 f., 70 ff. – Kündigung von Arbeitsverhältnissen 5 43 ff. Art. 29-Datenschutzgruppe 4 9 f., 12 f., 48, 138, 153, 165, 235, 247 ASP s. Application Service Providing (ASP) ASP-Entscheidung des BGH 2 151, 159 Auditierung 1 A 41; 4 109; 8 B 52 ff. Aufbewahrungspflichten, steuerliche 6 70 ff. – Aufbewahrungsvorschriften nach deutschem Recht 6 80 ff. – Besonderheiten bei SaaS-, PaaS- und IaaS-Dienstleistungen 6 101 ff. – Buchführungsverlagerung 6 100 – Dauer 6 93
– Erlaubnis für die Aufbewahrung außerhalb Deutschlands 6 99 ff. – Gegenstand 6 81 ff. – Ort 6 87 ff. – Rechtsfragen bei Verletzung 6 94 ff. – Rückverlagerung 6 111 Aufrechnungsrecht 2 245, 252 ff. Aufsichtsbehörde 4 11 ff., 18, 26, 28, 37 ff., 42, 45, 53, 58, 63, 68, 71, 77, 80, 85, 89 f., 92, 94 f., 97, 99 f., 103, 107 f., 110, 121, 131, 135, 147, 160, 180, 231, 234 ff., 238 ff., 244, 246, 248 ff., 253, 255, 257, 260, 263, 279 f., 282 f.; 8 A 15, 21, 59, 83 f., 92, 94; 8 B 60; 8 E 53 ff.; s. auch Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Auftragsdatenverarbeitung 4 42 ff.; 8 A 28 – Abgrenzung zu Funktionsübertragung 4 48 ff. – Dokumentation 4 104 ff. – Gestaltung des Auftragsdatenverarbeitungsvertrages 4 77 ff. – Kontrolle des Auftragsverarbeiters 4 104 ff. – Mindestkriterien nach § 11 Abs. 2 BDSG 4 80 ff. – Schriftformerfordernis 4 79 – Sozialdaten (§ 80 SGB X) 8 E 29 ff. – Standort der Datenverarbeitung 4 103 Auskunft 3 21; 4 265 ff., 280; 5 110; 7 46; 8 A 28, 113, 115, 118 Auslagerung s. Outsourcing Ausschreibung – produktneutrale ~ 8 C 141 ff. – Vergaberecht s. dort Außenwirtschaftsgesetz (AWG) 8 F 15 Außenwirtschaftsverordnung (AWV) 8 F 15, 17, 25 Back-Up 2 319 ff. – Beschlagnahme von Back-Up-Dateien 7 70 BAFA s. Bundesamt für Wirtschaft und Ausfuhrkontrolle
787
Stichwortverzeichnis BaFin s. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Bankaufsichtsrecht 8 B 1 ff. – Finanzdienstleister s. dort Bankgeheimnis 8 B 84 Baseler Ausschuss für Bankenaufsicht 8B7 Basis-Infrastruktur 1 B 13 BCR s. Binding Corporate Rules (BCR) Beistellungsleistungen 2 214 Benchmarkingklausel 2 267 Beratungsrechte des Betriebsrats 5 87 ff. Bereichsausnahme 2 64 ff. Bereitstellung 1 A 6 f. – Bereitstellungsmodelle 1 C 48 ff. Berichtigen 4 269 ff. Berufsgeheimnis 8 D Beschaffungskosten 1 C 70 Beschäftigtendatenschutz 5 5 35 Bestimmungsgemäße Nutzung i.S.d. § 69d Abs. 1 UrhG 3 141 ff. Bestimmungslandprinzip 6 124, 126 ff. Beteiligungsrechte des Betriebsrats 5 91 ff. Betriebshandbuch 1 D 84 Betriebskosten 1 C 70 Betriebsrat 5 8, 32 f. – Beratungsrechte 5 87 ff. – Beteiligungsrechte 5 91 ff. – Informationsrechte 5 70 ff. – Mitbestimmungsrechte bei Betriebsänderung 5 96 ff. – Mitbestimmungsrechte beim Betriebsübergang 5 113 ff. – Mitbestimmungsrechte bei Massenentlassungen 5 95 ff. – Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 1 BetrVG 5 84 ff. – Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG 5 77 ff. Betriebsstätten 6 8 ff. – Cloud-Services im Konzern 6 62 ff. – Nutzung von as a Service-Dienstleistungen (SaaS, PaaS, IaaS) 6 26 ff. – Serverbetriebsstätten 6 23 ff. – steuerliche Behandlung der Erbringung von as a Service-Dienstleistungen (SaaS, PaaS, IaaS) 6 37 ff. – steuerliche Relevanz 6 9 ff. Betriebssysteme 1 C 35 f. Betriebsteilübergang s. Betriebsübergang Betriebsübergang 5 7, 20, 53 ff.
788
– Mitbestimmungsrecht des Betriebsrats 5 113 ff. – Rechtsfolgen 5 63 ff. Bezug 1 A 8 Binding Corporate Rules (BCR) 4 8 BITKOM 1 C 7, 9, 11 Bonus 2 226 BPaaS s. Business Process as a Service (BPaaS) Bribery Act (U.K.) 8 A 112 BSI s. Bundesamt für Sicherheit in der Informationstechnik (BSI) Buchführung 6 1, 70 ff., 156 – Rückverlagerung 6 111 – Verlagerung 6 100 – Verwerfung 6 95 Bundesamt für Sicherheit in der Informationstechnik (BSI) 4 124, 184 ff.; 8 D 29 – BSI-IT-Grundschutzkataloge 8 B 78 – BSI-Mindestanforderungen an Cloud Computing 4 183 ff. – BSI-Sicherheitsempfehlungen 1 C 87; 2 314, 318; 4 120, 207 ff. Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) 8 F 55 Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) 8 B 2, 9, 12, 30, 60, 73, 75, 79, 86, 90 f. Bürgschaft 2 193 Bürosoftware 1 C 54 f. Business Continuity 2 1, 302 ff.; 8 B 82 Business Intelligence (BI) 1 A 45 Business Process as a Service (BPaaS) 1 B 18; 2 148, 159, 164 Business Process Outsourcing 8 B 2 Button-Lösung 2 44, 107 BVB 8 C 154 BYOD (Bring Your Own Device) 1 A 24; 1 C 92 Carr, Nicolas 1 C 4 Change Control-Verfahren 8 B 70 Change Management 8 B 49 Change of Control 2 369 Change Requests 2 284 ff. Clients 1 C 32 ff. Cloud-Anbieter 1 A 51 ff.; 1 C 48 ff. – Ansätze zur Auswahl 1 C 87 ff. – deutsche ~ 1 C 65 Cloud-Betriebsmodelle 1 A 14 ff. Cloud Business Case 2 117 Cloud-Leistungen, voll standardisierte 2 9 ff.
Stichwortverzeichnis Cloud-Modelle, internationale – anwendbares Datenschutzrecht 8 A 106 ff. Cloud-Nutzer 1 A 54 ff. Cloud-Ökosysteme 1 C 62 ff. Cloud-Services 1 A 10 ff., 43 ff. – Anwendungsbeispiele 1 A 47 – einzelne Leistungsbestandteile 2 161 ff. – Gesamtbetrachtung 2 149 ff. – internationale Adaption 1 A 46 – Lösungsanbieter s. dort – Reseller (Wiederverkäufer) s. dort – Vermittler s. dort Cloud Service-Anbieter – ~ außerhalb der EU/EWR mit angemessenem Schutzniveau 8 E 64 f. – ~ in den USA 8 E 66 f. – ~ in Staaten ohne angemessenes Schutzniveau 8 E 68 f. Clouds in Drittstaaten 8 F 46 COBIT (Control Objectives for Information and Related Technology) 4 185, 226 f. Committee of European Banking Supervisors (CEBS) 8 B 7 Community Cloud 1 A 17; 8 E 3, 51 – Definition 1 C 21 Compliance – ~ bei IT-Outsourcing in der Cloud 7 59 ff. Computerrechts-Richtlinie 3 14 Content – ~ in der Cloud 3 121 ff. – Lizenzierung 3 174 – Urheberrechtsschutz 3 70 – Verwertungsrechte 3 77 Controlling 1 C 71 Copyleft 3 206, 209 f. CRM 1 A 45; 8 B 22 CRM-Anwendungen 1 C 58; 2 3 CRM-Systeme 1 A 34; 8 B 31 Crowdsourcing 1 B 18 Cyber-Crime-Convention 7 35 – sachlicher Anwendungsbereich 7 41 ff. Cybersecurity-Strategie 8 B 4 DaaS s. Desktop as a Service (DaaS) Data Segregation 8 B 71 Databases as a Software (DBaaS) – Definition 1 C 24 Daten – höchstpersönliche ~ 7 75
– personenbezogene ~ 1 C 78, 80, 92; 2 116, 317; 4 2, 8, 10, 14, 16, 19, 21 ff., 25 f., 28 f., 41, 45 ff., 51, 56, 58, 60, 63, 70, 76, 85, 93, 96, 100, 114, 117 ff., 124, 126, 128 ff., 132, 157, 159, 162, 167, 173, 181, 239, 241 f., 250 ff., 257, 262, 269, 272, 275, 277 f., 284; 6 130, 152; 7 16, 39, 85, 87; 8 A 29, 37, 44, 47, 64, 67 f., 78, 82, 101 f., 107; 8 D 3, 15, 18, 37; 8 E 8 ff., 12, 14 – Urheberrechtsschutz 3 69 Datenbanken 3 65 – Urheberrechtsschutz 3 66 ff. Datenbank-Richtlinie 3 14 Datendiebstahl 8 F 50 Datenmigration 2 384 ff. – Beratungs- und Überleitungsunterstützung 2 394 Datenschutz 4 – anwendbares Recht 4 15 ff. – Auftragsdatenverarbeitung s. dort – Auskunftsrecht 4 265 ff. – Auslegungshilfen der Aufsichtsbehörden 4 11 ff. – behördliche Maßnahmen 4 279 ff. – Berichtigung 4 269 ff. – Betroffenenrechte 4 261 ff. – Bußgelder 4 288 – Einwilligungserklärung 4 60 ff. – Erlaubnistatbestände 4 41 ff. – EU-Rechtsrahmen 4 1 ff. – Funktionsübertragung s. dort – Gerichtsstand 4 37 ff. – grenzüberschreitender Datenverkehr 4 230 ff. – Information des Betroffenen 4 262 ff. – Löschung 4 269 ff. – Meldepflichten bei Verstößen 4 275 ff. – Ordnungswidrigkeiten 4 285 ff. – Schadensersatz 4 283 f. – Sperrung 4 269 ff. – Straftaten 4 287 – technische und organisatorische Maßnahmen 4 113 ff. – Unterlassung 4 283 ff. Datenschutzbeauftragter 4 86 f. Datenschutz-Grundverordnung (Entwurf) 4 6 ff., 20, 27, 49, 119, 288 Datenschutz-Richtlinie 8 A 20; 8 D 7; 8 E 9, 19, 46, 64 f. Datensicherheit 4 199 ff. Datensicherung 2 319 ff.
789
Stichwortverzeichnis Datenübermittlung 4 60 f., 235 f., 241, 244, 250 f.; 7 42; 8 A 79; 8 E 44, 56, 66 Datenverlust 1 C 51; 1 D 52; 2 230, 385; 4 277; 7 39; 8 C 85 DBaaS s. Databases as a Software (DBaaS) Deliktsrecht, anwendbares s. Vertragsgestaltung Delkredere-Klauseln 2 245 Demilitarisierte Zone (DMZ) 1 C 20, 78 Desktop as a Service (DaaS) – Definition 1 C 27 f. Deutschland-Cloud 3 26 Dienstvertrag 2 159, 167, 356 ff. Direktionsrecht, s. Weisungsrecht des Arbeitgebers nach § 106 GewO Doppelbesteuerungsabkommen 6 7 f., 10, 13 f., 17, 20, 22, 59 f. Douglas Parkhill 1 C 2 f., 12 Dritter – Zugriffsmöglichkeiten 4 256 ff. Dropbox 1 C 52; 4 147 Dual Use-Verordnung 8 F 2, 12, 17, 19, 30 Due Diligence 2 7, 126 f. Düsseldorfer Kreis 4 13, 244; 8 A 82; 8 D 28, 33, f. E-Commerce-Richtlinie 2 29 E-Discovery-Verfahren 8 B 86 EDI s. Electronic Data Interchange (EDI) Eingriffsnormen (Internationales Privatrecht) 3 29; 5 26 f. Eingriffsnormen, strafprozessuale 7 15 Einigungsstelle nach § 76 BetrVG 5 81 Einkaufsgemeinschaften 8 C 50 ff. E-Invoicing 6 156 Einwilligung (Sozialdatenschutz) 8 E 70 ff. Einwilligung nach § 4a BDSG 4 60 ff. – Ausdrücklichkeit 4 64 ff. – ausreichende Information 4 61 ff. – Formerfordernisse 4 71 ff. – Freiwilligkeit 4 67 ff. – Happy Digits-Entscheidung des BGH 4 64 – Payback-Entscheidung des BGH 4 64 – praktische Schwierigkeiten 4 75 f. Electronic Data Interchange (EDI) 1 A 34 Elektronischer Geschäftsverkehr 2 15, 23 ff.
790
Elektronischer Marktplatz 2 13 E-Mail-Newsletter 2 165 – Newsletterversandsystem s. dort EMRK s. Europäische Menschenrechtskonvention (EMRK) Enforcement-Richtlinie 3 14 ENISA Report 2009 4 223 ff. Entgelt – Nutzungsentgelt 1 B 46 – Vermittlungsentgelt, separates 6 141 – Zusatzentgelt 2 286 ePrivacy-Richtlinie 4 3, 7; 8 A 19 ERP-System 1 A 27, 47, 54 Eskalationsmechanismen 2 294 Eskalationsstruktur 2 286 essentialia negotii 2 125, 197 EU-Cloud 3 26 EuGVVO 2 172 ff., 176 ff.; 3 44 f. EU-Grundrechte-Charta 3 13; 4 1 EU-Standardvertragsklauseln 4 242 ff.; 8 E 46, 82 – zusätzliche Vereinbarungen 4 248 f. Europäische Beweisanordnung (EBA) 7 44 Europäische Cloud-Partnerschaft (ECP) 8 C 160 Europäische Ermittlungsanordnung (EEA) 7 44 Europäische Menschenrechtskonvention (EMRK) 4 1 EVB-IT – Allgemeines 8 C 145 ff. – Anwendungspflicht 8 C 151 ff. – Vertragsmuster 8 C 149 f. – Wahl des richtigen Vertragstypus 8 C 149 f. Evernote 1 C 53 Everything as a Service (XaaS) 1 A 13; 1 B 18 – Business Process as a Service (BPaaS) 1 B 18; 2 148, 159, 164 – HuaaS (Humans as a Service) 1 B 18 – steuerliche Behandlung 6 45 Exit-Strategie 8 B 49, 66 Exit-Szenarien 2 375 ff. – Know-how-Konservierung 2 381 ff. – Übergangsphase 2 378 ff. Exklusivitätsklauseln 2 375 Exportkontrolle 8 F Exportkontrollrecht 8 F 5 ff. – Ausfuhrliste 8 F 15 – Ausfuhrverantwortlicher 8 F 62 f. – Bestimmungsziel 8 F 35 – Clouds in Drittstaaten 8 F 46
Stichwortverzeichnis – Dual-Use-Verordnung 8 F 2, 12, 17, 19, 30 – Export-Begriff 8 F 30 ff. – Exportkontrollbeauftragter 8 F 62, 65 – Folgen von Verstößen 8 F 61 ff. – Genehmigungen als Option 8 F 53 ff. – Güterlisten 8 F 19 – innereuropäische Clouds 8 F 43 ff. – Kontrollen 8 F 17 – kontrollierte Güter 8 F 18 ff. – kontrollierte Technologie 8 F 21 ff. – kontrollierte Transaktionen 8 F 28 ff. – nationale Clouds 8 F 39 ff. – Rechtsquellen 8 F 8 ff. – Regelungsgegenstand 8 F 5 ff. – Route of Transmission 8 F 47 ff. – Routing von Daten 8 F 48 – Rüstungsgüter 8 F 15, 19 – Szenarien des Cloud Computing 8 F 38 ff. – USA 8 F 16, 42 – Zugriff aus dem Ausland 8 F 51 f. Fernabsatz-Richtlinie 2 29 Fernabsatzrecht 2 26 ff. Financial Services s. Finanzdienstleister Finanzdienstleister 8 B – Abschlussprüfer 8 B 59 – Anforderungen an Auslagerungen 8 B 15 ff. – Auditrechte s. Informations-, Prüfungs- und Kontrollrechte – Aufsichtsbehörden 8 B 60; s. BaFin – Auslagerung 8 B 2, 5 ff., 8 ff., 11 ff., 15 ff.19 ff. – Auslagerungsprüfungsprozess 8 B 36 ff., 40 f. – Auslagerungsvorschriften im Finanzsektor 8 B 92 f. – Auslandsregelungen 8 B 94 ff. – BaFin s. dort – Bankgeheimnis 8 B 84, 96 – Bausparkollektive 8 B 92 – Börsen 8 B 92 – Business Continuity s. Notfallplanung – Change Management 8 B 49 – Cloud Computing als Auslagerung 8 B 19 ff. – Compliance-relevante Vorschriften 8 B 87 ff. – CRM-Systeme als Auslagerung 8 B 31
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
Drittlandsregelungen 8 B 94 ff. einfache Auslagerungen 8 B 16, 63 Exit Management 8 B 49, 65 ff. Finanzdienstleister im Spannungsfeld nationaler Regelungen 8 B 94 ff. Folgen einer mangelhaften Umsetzung 8 B 90 f. Geldwäschebekämpfung 8 B 87 Geschäftsleitungsverantwortung 8 B 33 f., 91 Geschäftsorganisation 8 B 8 f. GWG (Geldwäschegesetz) 8 B 87 Informations-, Prüfungs- und Kontrollrechte 8 B 51 ff., 77, 81 Infrastructure-as-a-Service als Auslagerung 8 B 22, 28 Insiderhandel 8 B 88 Interne Revision 8 B 13, 27, 51 ff. Investment- und Kapitalanlageverwaltungsgesellschaften 8 B 92 IT-Sicherheit 8 B 4, 13, 27, 33 f., 40, 58, 71, 78, 81 KAGB 8 B 92 Konzerninterne Auslagerung B 8 14, 72 Kreditkarten 8 B 78 KWG s. dort Leistungsbeschreibung 8 B 44 ff. Living Will 8 B 89 Mandantentrennung 8 B 71 ff. Mehrmandantenumgebung 8 B 53 ff., 71 ff. MIFID 8 B 7, 11 Migration 8 B 44 Mindestanforderungen an das Risikomanagement s. MaRisk Notfallplanung 8 B 82 f. Outsourcing s. Auslagerung OTC Derivate 8 B 93 Pfandbriefbanken 8 B 93 Platform-as-a-Service als Auslagerung 8 B 22, 29 Private Cloud 8 B 14, 22, 81, 98 Public Cloud 8 B 55, 71, 74, Regelungskomplex für Auslagerungen 8 B 5 ff. Retained Organisation 8 B 75 f. Richtlinien, unternehmensinterne zur Auslagerung 8 B 36 f. Risikomanagement 8 B 9, 11, 13, 16 f., 35 Sarbanes Oxley Act 8 B 33 SAS 70 8 B 58 Service Level Agreements (SLAs) 8 B 47 f., 81
791
Stichwortverzeichnis – Shared Services s. Mehrmandantenumgebung – Software-as-a-Service als Auslagerung 8 B 22, 30 – SSAE 16 8 B 58 – Subunternehmer 8 B 37, 69 f. – vertragliche Anforderungen 8 B 42 ff. – Vertraulichkeitspflichten 8 B 85 f. – Weisungsrechte 8 B 61 ff. – Weiterverlagerung s. Subunternehmer – Wertpapierdienstleistungsunternehmen 8 B 92 – WpHG 8 B 6, 88, 92 – wesentliche Auslagerung 8 B 11 ff., 16 ff., 27 ff. – Unzulässigkeit einer Auslagerung 8 B 26, 90 ff. – VAG 8 B 92 – Versicherungsunternehmen 8 B 92 – Vertragsbeendigung s. Exit Management – Vertraulichkeitspflichten 8 B 85 f. – Weiterverlagerung 8 B 25, 69 f. – ZAG 8 B 92 – Zahlungsdienstleister 8 B 92 – Zertifizierung 8 B 52, 56, 58, 78 ff., 98 – Zugriffsrechte 8 B 73 Finanzdienstleistungs-Richtlinie 2 29 Finanzmarkt-Richtlinie (MIFID) 8 B 7 „Follow the Sun“-Ansatz 1 B 15 Fortbildungsrechte des Arbeitnehmers 5 39 ff. Forum Shopping 3 49 Funktionsübertragung 4 48, 54 ff. Garantieerklärung 2 194 GDPdU 6 78, 104, 110 Geheimnisverpflichtete 8 D 17 ff. Gehilfe 2 174, 181, 221; 7 64 f., 67 f.; 8 D 9, 17, 20, 31, 48 ff. Geldwäschebekämpfung 8 B 87 geltungserhaltende Reduktion 2 238 GEMA 3 17 Geo-Sperren 3 25 Gerichtsstand 2 169 ff. – Besonderer Gerichtsstand des Arbeitsortes 5 30 Gerichtsstandvereinbarung 2 171 Geschäftsmodelle 1 B – Geschäftsmodellmatrix 1 B 21 f. – Strukturelemente 1 B 19 ff. Gewährleistungsrechte 2 198, 218 ff. GNU General Public License (GPL) s. Lizenz
792
GoBS 6 78 f., 100 Governance 2 284 ff. – ~-Strukturen 2 291 ff. Government Cloud 8 E 3 Government Procurement Agreement (GPA) 8 C 8 Großprojekte 2 6 ff., 114 ff. – interne Entscheidungsfindung 2 116 f. – Liste Vertragsmanagement 2 130 – Vertragsabschluss 2 128 f. – Vertragsverhandlung 2 128 f. – Vorbereitung 2 118 ff. Haftung 2 229 ff. Haftungsbeschränkungen 2 225, 230, 326 Haftungsfreistellungen 3 176 Happy Digits-Entscheidung des BGH 4 64 Hardening 1 C 93 Hardware 1 B 13 Herausgabe von Daten 2 339 ff., 386 f.; 4 53, 100 ff., 138, 257 f., 282; 7 12 f., 46, 52, 57; 8 A 79, 121 Hilfsperson 8 D 48 Historie 1 C 2 ff. Höhere Gewalt 2 372 Hosting 1 A 6; 1 B 1, 17, 23, 28 f., 39 ff., 52 ff.; 1 C 11, 86; 1 D 20 f., 46; 3 54, 77, 80, 146, 194; 8 C 2 f. Hosting-Provider 1 B 52 ff. – Geschäftsmodell 1 B 53 ff. – Preismodelle 1 B 55 – Szenarien 1 B 52 Humans as a Service (HuaaS) 1 B 18 Hybrid Cloud 1 A 18; 8 E 3 – Definition 1 C 20 Hypervisoren-Technik 2 150 IaaS s. Infrastructure as a Service (IaaS) ID- und Rechte-Management 4 204 ff. IFRS (International Financial Reporting Standards) 6 78 Image Repository 1 D 54 – Verfügbarkeit 1 D 90 Information Rights Management 8 B 73 Informationspflichten des Unternehmers 2 41 ff. – Folgen bei Verstößen 2 51 ff. Informationsrechte des Betriebsrats 5 70 ff. – Sanktionen 5 75 f. InfoSoc-Richtlinie 3 11, 14
Stichwortverzeichnis Infrastructure as a Service (IaaS) 1 A 12, 32, 44, 46 f.; 1 B 13, 15, 27 ff.; 2 147, 156 ff., 168; 8 B 23, 28; 8 E 26, 52 – Aufbewahrungspflichten, steuerliche 6 101 ff. – Betriebsstätten 6 27 ff. – Definition 1 C 22 – Geschäftsmodell 1 B 30 f. – Leistungsort 6 124 ff., 142 ff. – Lizenzgestaltung 3 189 ff. – Preismodelle 1 B 32 ff. – professionelle Kunden/Großkunden 1 C 49 ff. – steuerliche Behandlung 6 44 – Szenarien 1 B 27 ff. – technisch-organisatorische Maßnahmen 4 147 ff. – urheberrechtliche Nutzungshandlungen 3 113 ff. In-House-Vergabe 8 C 41 ff. innereuropäische Clouds 8 F 43 ff. Insolvenz, drohende 2 371 Insolvenzabsicherung 2 333 ff. Instant Cloud 2 6 ff. integrierte Kommunikation 1 A 47 Interessenausgleichsverhandlungen s. Mitbestimmungsrechte des Betriebsrats bei Betriebsänderung Internet-System-Vertrag-Entscheidung des BGH 2 353 Internet-Videorecorder-Entscheidung des BGH 3 126 Interoperabilität 4 213 ff. Interoperabilitäts-Matrix 1 D 83 invitatio ad offerendum 2 16 Iran-Embargo-Verordnung 8 F 13 ITIL (IT Infrastructure Library) 1 C 90; 1 D 5, 86, 88; 4 185, 226 f. IT-Technologien 1 C 29 ff. Junk-Entscheidung des EuGH 5 103 Kernleistungen 1 D 43 ff. Key Account Management 2 287 kleine Münze 3 70 Kollisionsrecht 2 181 ff. Konfigurations-Inventory, technisches 1 D 85 KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) 8 B 5 Kontrollmöglichkeiten für die Nutzer 4 207 Kosten – Beschaffungskosten 1 C 70
– Betriebskosten 1 C 70 – Kostenstrukturen 1 B 5 ff. – Projektbudgetierung 1 C 70 Kostenelementeklausel 2 270 Krankenkassen, gesetzliche 8 E 1 Kroes, Neelie (EU-Kommissarin) 3 1 f., 6 Kündigung 2 345 ff. – angemessene ~sfristen bei Auslagerungsverträgen 8 B 65 f. – außerordentliche ~ 2 348, 362 ff. – Kündigung von Arbeitsverhältnissen s. dort – ordentliche ~ 2 349 f., 352 ff. – Teilkündigung 2 374 Kündigung von Arbeitsverhältnissen 5 43 ff., 69 – betriebsbedingte ~ 5 44 ff. – personenbedingte ~ 5 42 – Sozialauswahl 5 48 – Verbot der Kündigung wegen Betriebsübergangs 5 69 – weitere Schutzvorschriften 5 49 Kündigungsschutzklage 5 50 ff. KWG (Gesetz über das Kreditwesen) 8 B 8 ff., 16, 43, 59 f. Länder mit angemessenem Datenschutzniveau 8 E 64 f. Länder ohne angemessenes Datenschutzniveau 8 E 68 f. Lebenszyklus (Daten) 1 C 81 ff. Leiharbeitnehmer 5 45 Leistungsabsicherung 2 193 ff. Leistungsbeschreibung 2 196 ff. – allgemeine Gestaltungshinweise 2 209 ff. – unbestimmte Rechtsbegriffe 2 212 f. Leistungsmodule 1 D 23 ff. Leistungsscheine 1 D 20 ff. Leistungsschutzrechte 3 71 Leistungsverweigerungsrecht 5 41, 83 Leistungsvorbehaltsklausel 2 269 Letter of Intent (LOI) 2 125 Lizenz – Einzelplatz-Lizenz 3 146, 179 – GNU General Public License (GPL) 3 207 ff. – Netzwerk-Lizenz 3 146, 179 – Open Source-Lizenz 3 203 ff. – s. auch Lizenzgestaltung Lizenzgestaltung – Allgemeines 3 158 ff. – ausschließliches Nutzungsrecht 3 160
793
Stichwortverzeichnis – – – – – – – –
einfaches Nutzungsrecht 3 160 inhaltliche Beschränkung 3 162 f. ~ bei IaaS 3 189 ff. ~ bei PaaS 3 200 f. ~ bei SaaS 3 178 ff. quantitative Beschränkung 3 166 räumliche Beschränkung 3 165 steuerliche Behandlung von Lizenzrechten/Urheberrechten 6 51 ff. – zeitliche Beschränkung 3 164 Lizenzkette 3 175 f. loi uniforme 2 181 Löschen 4 269 ff. Lösungsanbieter – Definition 1 B 59 – Geschäftsmodell 1 B 62 – Preismodell 1 B 65 Malus 2 226 Management-Interface 1 D 55 ff. – Verfügbarkeit 1 D 91 Mandantenbetreuung 1 C 43 ff. Mängelrechte des Kunden – dienstvertragliche ~ 2 219 f. – mietvertragliche ~ 2 221 f. – werkvertragliche ~ 2 223 ff. MaRisk (Mindestanforderungen an das Risikomanagement – MaRisk) 8 B 9, 12 ff., 16 ff., 30, 33 ff., 42 ff. 60 ff., 68 ff., 84, 90 Marktchancen 1 A 48 ff. Massenentlassung 5 11, 18, 95 ff. – Anzeigepflicht 5 102 ff. – Junk-Entscheidung des EuGH 5 103 – Sozialplan 5 101 Master Agreement mit Öffnungsklausel für nationale Sonderregelungen 2 135 Mean Time to Repair s. Time to Repair Meistbegünstigungsregelung 2 266 Middleware 1 B 6, 13 f., 16, 28, 38; 1 C 22; 1 D 46 Mietvertrag 2 158, 168, 358 Mindestmengen 2 375 Minimalprinzip 8 E 2, 60 Mirroring s. Replikation von Daten Mischverwaltung 8 E 75 Mitbestimmungsrechte des Betriebsrats – ~ bei Betriebsänderung 5 96 ff. – ~ beim Betriebsübergang 5 113 ff. – ~ bei Massenentlassungen 5 95 ff. – ~ nach § 87 Abs. 1 Nr. 1 BetrVG 5 84 ff.
794
– ~ nach § 87 Abs. 1 Nr. 6 BetrVG 5 77 ff. Mitwirkungspflichten des Kunden 2 214 ff. Mobile-Device-Management (MDM) 1 C 93 mobile Geräte 1 C 91 ff. Monitoring 1 D 81; 4 208 f. Multicore-Prozessoren 1 C 37 Multi-Sourcing-Ansatz 2 128 nationale Clouds 8 F 39 ff. Nearshoring 8 B 2 Need-to-know-Prinzip 8 D 18 Netzwerk 1 D 53 – Verfügbarkeit 1 D 89 Newsletterversandsystem 2 202 – E-Mail-Newsletter s. dort nicht öffentlich ermittelnde Polizeibeamte (noeP) 7 20 NIST (National Institute of Standards and Technology) 1 C 8, 10, 13 Non-Disclosure Agreement (NDA) 2 124 Notfallmanagement 4 210 ff. Notfallplanung 8 B 82 f. Notizen, stets verfügbare 1 C 53 nutzungsabhängige Abrechnung/Vergütung 1 A 29; 2 45, 142, 150 Nutzungsrechte 3 4, 35, 74 ff., 142, 148, 152, 158 ff., 204, 209; 5 53; 6 42, 47 f., 53, 150; 8 C 45 ff., 92, 94, 155 ff. Öffentliche Verwaltung 8 C Öffentliche Zugänglichmachung i.S.d. § 69c Nr. 4 UrhG 3 105 ff., 119 f., 182, 207, 209 Offshoring 8 B 2 On-Demand-Streaming 3 174 On-Premises 1 A 31, 35; 1 B 6, 8, 10, 12; 1 C 5, 14 ff., 28, 57, 59, 64; 4 132 f., 141; 8 C 94, 163 One-Stop-Shop 8 A 64 Online-Durchsuchung, verdeckte 7 19 Online-Shop 1 C 78; 2 13, 32, 38, 44, 55, 108; 6 25; 7 5 f., 26 Online-Sichtung 7 36 Open Source Software (OSS) 3 202 ff. ordre public-Vorbehalt 3 29; 5 27 Ort der Datenverarbeitung 4 231 ff. Outsourcing – Compliance 7 59 ff. – Erscheinungsformen 7 61 f. – ~ aus strafrechtlicher Sicht 7 59 f.
Stichwortverzeichnis – ~ in Shared Service Center (SSC) 7 67 f. – Finanzdienstleister 8 B 1 ff. – Trennung von Datenbeständen 7 66 – Verletzung von Privatgeheimnissen (§ 203 StGB) 7 63 ff. – Verträge 2 284 PaaS s. Platform as a Service (PaaS) Passwörter 7 76 ff. Patronatserklärung 2 193 ff. Pay-as-you-go-Modelle 8 B 1 Pay per Use 1 D 31 Payback-Entscheidung des BGH 4 64 Personalabbau 5 18, 91 personenbezogene Daten s. unter Daten Plan-Do-Check-Act (PDCA) 4 185 Platform as a Service (PaaS) 1 A 11, 44, 46; 2 146, 156 ff., 168; 3 82; 8 B 23, 29; 8 E 51 – Aufbewahrungspflichten, steuerliche 6 101 ff. – Betriebsstätten 6 34 ff. – Definition 1 C 23 – Geschäftsmodell 1 B 45 ff. – Leistungsort 6 124 ff., 142 ff. – Lizenzgestaltung 3 200 f. – Preismodelle 1 B 48 ff. – steuerliche Behandlung 6 43 – Szenarien 1 B 38 ff. – technisch-organisatorische Maßnahmen 4 154 ff. – urheberrechtliche Nutzungshandlungen 3 113 ff. Plattformen für Softwareentwickler 1 C 56 f. Poison Pills 2 393 Pooling 1 C 38 f. Portabilität 4 213 ff. Preisanpassungsklauseln 2 264 ff. Preisklauselgesetz 2 268 Preismodelle 2 256 ff. Preissenkungspflicht 2 278, 281 Pretrial Discovery-Verfahren 8 B 86 Privacy by Default 4 118 f. Privacy by Design 4 118 f. Private Cloud 1 A 14 f., 35, 44 f.; 3 111; 8 A 95 ff.; 8 B 3, 14 – Definition 1 C 13 ff. – Sozialdaten 8 E 82 – Telekommunikation 8 A 31 ff. – Telemedien 8 A 60 ff. Privatkopie 3 155 Projektantenproblematik 8 C 138 ff.
Projektbudgetierung 1 C 70 Projekt-Controlling 1 C 71 Projektmeetings, regelmäßige 2 293 Providerüberwachung 1 C 72 ff. Public Cloud 1 A 16, 35, 44 f.; 1 B 14; 3 110; 8 A 99 ff.; 8 B 3, 55, 71, 74; 8 E 3 – Definition 1 C 17 ff. – Sicherheitsanforderungen 1 C 78 ff. – Sozialdaten 8 E 82 – Telekommunikation 8 A 31 ff. – Telemedien 8 A 60 ff. Quellcode 2 206, 211, 360, 392 RaaS s. Resource as a Software (RaaS) Ratingagenturen 8 B 92 RBÜ s. Revidierte Berner Übereinkunft zum Schutz von Werken der Literatur und Kunst (RBÜ) Rechenzentrum – Sicherheitsanforderungen 1 C 89 Rechtswahlklausel 2 192; s. auch Arbeitsrecht Rechtswahlvereinbarung 2 189 ff. regulierte Märkte 8 Replikation von Daten 1 C 47 Reporting 1 D 81 Request for Proposal (RFP) 2 123 f. Reseller (Wiederverkäufer) – Definition 1 B 56 – Geschäftsmodell 1 B 60 – Preismodell 1 B 63 Resource as a Software (RaaS) 1 B 36 Ressourceneinheiten 1 D 30 ff., 106 ff. Ressourcenverschwendung 1 C 71 Retained Organisation 2 120; 8 B 76 Revidierte Berner Übereinkunft zum Schutz von Werken der Literatur und Kunst (RBÜ) 3 9 Risiken, cloudspezifische 4 127 ff. Risikoanalyse 4 122 ff.; 8 B 13, 49, 65 ff., 86, 95 Risikomanagement 8 B 2 ff., 9, 35 Rom-I-VO 2 181 ff.; 5 23 ff. Rom-II-VO 2 181, 186 ff. Route of Transmission 8 F 47 ff. Routing von Daten 8 F 48 Rückkaufverpflichtung 2 393 SaaS s. Software as a Service (SaaS) Safe Harbor-Abkommen zwischen EU und USA 4 237 ff.; 8 E 66 Saldierungspflicht 2 278 Sarbanes-Oxley-Act (SOX) 8 B 33 Schiedsvereinbarung 2 174 f.
795
Stichwortverzeichnis Schlechtleistung 2 218 ff. Schulungsmaßnahmen 1 A 24; 2 132; 5 10; 8 C 2, 28, 58 Schutzlandprinzip 3 20 Schranken für das Urheberrecht – softwarespezifische ~ 3 141 ff. – sonstige ~ 3 150 ff. Security Breach Notification 4 5, 275 ff., 285 Security Incident Management 4 208 f. Security Service Level Agreements (SSLA) 8 B 81 Sektorenverordnung (SektVO) 8 C 13, 54 f. Selbstbedienungsansatz 1 C 66, 71 Serienbriefe 1 A 47 Service-Beschreibungen 1 D – IMAC-Leistungen 1 D 56 ff. – Kernleistungen 1 D 43 ff. – Konfigurationsänderung 1 D 68 ff. – Leistungsmodule 1 D 23 ff. – Leistungsscheine 1 D 20 ff. – Preise 1 D 30 ff., 116 ff. – Ressourceneinheiten 1 D 30 ff., 106 ff. – Service-Levels 1 D 26 ff. – Service-Management-Leistungen 1 D 80 ff. – virtuelle Instanzen 1 D 47 ff., 56 ff., 72 ff., 110 ff. – Zweck 1 D 4 ff. Service Credits 2 225; 8 B 47 Service-Levels 1 D 26 ff., 87 ff.; 2 200 ff. – Antwortzeiten 2 202 – Entstörzeiten 2 202, 204 f. – Fehlerklassen 2 207 – IMAC-Leistungen 1 D 102 ff. – Kapazität 1 D 92 ff. – Kontinuität 1 D 100 f. – Kontrollmöglichkeiten 2 208 – Messmethoden und -modalitäten 2 208 – Performance-Zeiten 2 202 – Reaktionszeiten 2 202, 206 f. – Service-Management-Leistungen 1 D 104 f. – Sicherheit 1 D 95 ff. – Überwachung, effektive 2 208 – Verfügbarkeit 1 D 88 ff.; 2 202, 204 f. – Zustellungsrate 2 203 Service Level Agreement (SLA) 2 201; 8 B 47, 81 – SLA-Management 1 C 72 ff.
796
Service-orientierte Architekturen (SOA) 1 A 27 Shared Service Center (SSC) 2 114, 284 – Outsourcing 7 67 f. Shared Service-Strukturen 8 B 53 Sicherheitsanforderungen 1 C 75 ff. – ~ an das Personal 4 220 ff. Sicherheitsarchitektur 4 187 ff. Sicherheitsempfehlungen (BSI) 1 C 87 Sicherheitsmanagement 4 184 ff. Sicherheitsnachweis 4 217 ff. Sicherheitsprüfung 4 217 ff. Sicherungskopien 3 147 ff., 153 Sicherungsvertrag 2 195 Sieben-Punkte-Katalog des BAG 5 58 Sitzlandprinzip 8 A 22 SLA s. Service Level Agreement (SLA) Software 1 B 13, 38 – Lizenzierung 3 173 – Open Source Software (OSS) 3 202 ff. – Software in der Cloud 3 85 ff. – Urheberrechtsschutz 3 59 ff. – Verwertungsrechte 3 78 Software as a Service (SaaS) 1 A 10, 34, 44, 46; 1 B 13, 16 f.; 2 144 f., 156 ff., 168; 8 B 22 f., 30; 8 E 26, 51 – Aufbewahrungspflichten, steuerliche 6 101 ff. – Betriebsstätten 6 34 ff. – Bürosoftware 1 C 54 f. – Definition 1 C 25 f. – Geschäftsmodell 1 B 45 ff. – Leistungsort 6 124 ff., 142 ff. – Lizenzgestaltung 3 178 ff. – Preismodelle 1 B 48 ff. – steuerliche Behandlung 6 42 – Szenarien 1 B 38 ff. – technisch-organisatorische Maßnahmen 4 169 ff. – urheberrechtliche Nutzungshandlungen 3 89 ff. Softwareentwickler – Plattformen für ~ 1 C 56 f. Sopot Memorandum 4 12, 110, 128, 153, 157, 161, 181 Sozialauswahl s. Kündigung von Arbeitsverhältnissen Sozialdaten 8 E – Betriebs- und Geschäftsgeheimnisse 8 E 20 – Definition 8 E 10 ff. – Einzelangaben mit Personenbezug 8 E 11 ff. – Übermittlung 8 E 27, 56 ff.
Stichwortverzeichnis – Übermittlung ins Ausland 8 E 63 ff. – Verarbeitung durch Stellen i.S.v. § 35 SGB I 8 E 15 ff. Sozialdatenschutz – Auftragsdatenverarbeitung (§ 80 SGB X) 8 E 29 ff. – Cloud Service-Anbieter 8 E 64 ff. – Einwilligung 8 E 70 ff. – Folgenbeseitigungsanspruch 8 E 78 – organisatorische Besonderheiten 8 E 75 – Recht auf informationelle Selbstbestimmung 8 E 4 f. – Rechtsgrundlagen (Deutschland) 8 E 4 ff. – Rechtsgrundlagen (Europa) 8 E 9 – Sanktionen 8 E 79 ff. – Schadensersatz 8 E 76 ff. – sozialdatenschutzrechtlich relevantes Verhalten 8 E 25 ff. – technische Vorkehrungen (§ 78a SGB X) 8 E 73 f. – Sparsamkeitsgebot 8 E 2, 60, 82 – verantwortliche Stelle i.S.d. § 67 Abs. 9 Satz 1 SGB X 8 E 23 f. – verlängerter ~ (§ 78 SGB X) 8 E 21 f. – Wirtschaftlichkeitsgebot 8 E 2, 60, 82 Soziale Netzwerke – ~ für Unternehmen 1 C 59 f. Sozialgeheimnis i.S.d. § 35 SGB I 8E6 Sozialplan 5 101 Sozialversicherung 8 E 1 Sozialverwaltung 8 E 1 Spaltung s. Mitbestimmungsrechte des Betriebsrats beim Betriebsübergang Speicherort 2 180, 191, 323; 3 4, 26, 54; 4 233; 6 89, 103; 7 78; 8 E 72 Stand Alone Business Case 2 117 Standardvertragsklauseln s. EU-Standardvertragsklauseln Steuerrecht 6 – anwendbares Recht 6 4 f. – as a Service-Dienstleistungen (SaaS, PaaS, IaaS) 6 37 ff. – Aufbewahrungspflichten, steuerliche s. dort – Betriebsstätten s. dort – Cloud-Services im Konzern 6 62 ff. – Doppelbesteuerungsabkommen 6 7 f., 10, 13 f., 17, 20, 22, 59 f. – Ertragssteuern 6 8 ff. – Fernwirkungen anderer Steuerrechtsordnungen 6 6 f.
– Katalogeinkünfte gem. § 50a Abs. 1 EStG 6 47 f. – OECD-Musterabkommen 6 14 ff., 22 – Pflicht des Cloud-Anbieters zum Steuerabzug 6 46 ff. – Quellensteuerabzug 6 46 ff. – rechtliche Rahmenbedingungen 6 2 f. – Umsatzsteuer s. dort – UN-Musterabkommen 6 22 Steuerungsgremium 2 289 Storage 1 D 51 f. – Ressourceneinheiten 1 D 113 ff. – Verfügbarkeit 1 D 89 Strafprozessrecht 7 – Bedeutung des Serverstandorts 7 33 ff. – Berufsgeheimnisträger 7 60, 71 ff. – Beschlagnahme von Back-Up-Dateien 7 70 – Daten, höchstpersönliche 7 75 – Erhebung und Verwertbarkeit präventiv-polizeilich gewonnener Daten 7 47 ff. – Erhebung und Verwertung der Datenströme in der Cloud 7 21 ff. – Erhebung und Verwertung gespeicherter Cloud-Inhalte 7 31 f. – Erhebung und Verwertung öffentlich zugänglicher Informationen 7 18 ff. – Ermittlungen in der Cloud 7 4 ff. – Ermittlungsansätze 7 5 ff. – Ermittlungsmaßnahmen 7 15 ff. – Herausgabepflicht von Cloud-Diensteanbietern 7 46 – IT-Sicherheit 7 76 ff. – nicht öffentlich ermittelnde Polizeibeamte (noeP) 7 20 – Online-Durchsuchung, verdeckte 7 19 – Online-Sichtung 7 36 – Passwörter 7 76 ff. – verdeckte Ermittler 7 20 – Verdunkelungsgefahr 7 45 – Verdunkelungshandlungen 7 45, 57 – Verschlüsselung von Daten 7 84 ff. – Zufallsfunde 7 88 ff. – Zugangssperren 7 91 – Zugriff auf Cloud-Inhalte 7 10 ff. Strafrecht 7 – strafrechtliche Verantwortlichkeit der Anbieter von Cloud-Diensten 7 79 ff.
797
Stichwortverzeichnis – Verschlüsselung von Daten 7 84 ff. Strafverfolgungsvorsorge 7 50 ff. – personell-organisatorische ~ 7 51 – technisch-organisatorische ~ 7 52 ff. Subunternehmer 1 A 6, 39, 42; 2 18, 132, 136, 174, 221, 245; 4 14, 62, 86, 89 ff., 112, 127, 130, 139, 142, 160, 189, 192, 218, 233, 237, 244 ff., 261, 263 TCP/IP (Transmission Control Protocol/Internet Protocol) 1 C 30 Technologie-Roadmap 1 D 82 Teilbetriebsübergang s. Betriebsübergang Telekommunikations-Diensteanbieter 8 A 5 ff. – ~ für die Öffentlichkeit 8 A 8 f. Telekommunikationsgesetz (TKG) 8 A 3 Telekommunikationsrecht 8 A – anwendbares Recht bei internationalen Cloud-Modellen 8 A 106 ff. – Datenschutz-Anwendungsbereich (§ 91 TKG) 8 A 37 – einschlägige Rahmenbedingungen (Deutschland) 8 A 4 ff. – einschlägige Rahmenbedingungen (Europa) 8 A 19 ff. – Einwilligung im elektronischen Verfahren (§ 94 TKG) 8 A 41 ff. – Fernmeldegeheimnis (§ 88 TKG) 8 A 35 f. – Informationspflichten (§ 93 TKG) 8 A 38 ff. – internationaler Datenverkehr 8 A 22 ff. – Kontrolle und Durchsetzung von Verpflichtungen (§ 115 TKG) 8 A 57 ff. – Standortdaten (§ 98 TKG) 8 A 53 ff. – Telekommunikations-Diensteanbieter s. dort – Verantwortlichkeiten im Rahmen von mehrstufigen Leistungsverhältnissen 8 A 26 ff. – Verkehrsdaten (§ 96 TKG) 8 A 49 ff. – Vertragsverhältnisse (§ 95 TKG) 8 A 44 ff. – Vertriebsformen für Cloud Computing 8 A 95 ff. – Zugriff durch staatliche Bedarfsträger/Strafverfolgungsbehörden 8 A 111 ff. Telemediengesetz (TMG) 8 A 3
798
Telemedienrecht 8 A – Anbieter-Nutzer-Verhältnis (§ 11 TMG) 8 A 65 f. – anwendbares Recht bei internationalen Cloud-Modellen 8 A 106 ff. – Bestandsdaten (§ 14 TMG) 8 A 78 f. – einschlägige Rahmenbedingungen (Deutschland) 8 A 4 ff. – einschlägige Rahmenbedingungen (Europa) 8 A 19 ff. – Grundsätze (§ 12 TMG) 8 A 67 ff. – Informationspflicht bei unrechtmäßiger Kenntniserlangung (§ 15a TMG) 8 A 92 ff. – internationaler Datenverkehr 8 A 22 ff. – Nutzungsdaten (§ 15 TMG) 8 A 80 ff. – Pflichten des Diensteanbieters (§ 13 TMG) 8 A 70 ff. – Telemedien-Diensteanbieter 8 A 14 ff. – Verantwortlichkeit für die zur Verfügung gestellten Inhalte (§§ 7 ff. TMG) 8 A 62 ff. – Verantwortlichkeit im Rahmen von mehrstufigen Leistungsverhältnissen 8 A 26 ff. – Vertriebsformen für Cloud Computing 8 A 95 ff. – Zugriff durch staatliche Bedarfsträger/Strafverfolgungsbehörden 8 A 111 ff. Territorialitätsprinzip 3 5, 19 ff., 50; 4 15; 5 32; 8 E 18 f. Time to Market (TTM) 1 C 69 Time to Repair 2 206 – Mean Time to Repair 2 206 Transition & Migration Management 8 B 44 TRIPS-Abkommen 3 10 Umsatzsteuer 2 241; 6 113 ff. – Allgemeines 6 113 ff. – Bemessungsgrundlage 6 151 f. – Leistungsort 6 122 ff. – Steuersatz 6 148 ff. – Steuerschuldner 6 153 ff. Unternehmer 2 16, 22, 24 f., 27 f., 32 ff., 41 ff., 57 f., 61, 64, 67, 70, 80, 85, 89 f., 92 f., 99 f., 102, 104, 106 f., 110, 113, 178 f., 203, 238, 279, 283, 354, 357; 3 163; 6 5, 87, 118, 123, 127 f., 130, 138 f., 141, 144 ff., 154 ff. – Subunternehmer s. dort
Stichwortverzeichnis Unterrichtungsrechte des Arbeitnehmers 5 39 ff. Urheberrecht 3 – anwendbares Recht 3 18 ff. – Besonderheiten bei Open SourceSoftware (OSS) 3 202 ff. – europäischer Rechtsrahmen 3 13 f. – Gerichtsstand 3 37 ff. – Gerichtsstandvereinbarung 3 38 ff. – internationale Abkommen 3 9 ff. – Lizenzgestaltung 3 158 ff. – nationales Recht 3 15 ff. – Nutzungshandlungen 3 74 ff. – Rechtsquelle 3 8 ff. – Schranken 3 140 ff. – Schutzgegenstände beim Cloud Computing 3 58 ff. – Urhebervertragsrecht s. dort – Zuständigkeit, internationale 3 42 ff. – Zuständigkeit, örtliche 3 56 f. Urheberrechtsgesetz (UrhG) 3 16 Urheberrechtswahrnehmungsgesetz (UrhWG) 3 17 Urhebervertragsrecht 3 27 ff. – Rechtswahl 3 28 ff. Ursprungslandprinzip 6 124, 134 ff. US-GAAP (United States Generally Accepted Accounting Principles) 6 78 US-Patriot-Act 4 256, 258 Utility-Computing 1 C 2 ff. Vendor and Supply Management 2 120 Vendor-Lock-In 2 296; 4 138, 165, 213; 8 B 67 Verbot der geltungserhaltenden Reduktion 2 238 Verbot der Mischverwaltung 8 E 75 Verbraucher 2 3 f., 11, 15, 18 f., 24, 26 f., 29 ff., 34, 36, 38 ff., 43 ff., 49, 51 ff., 58 f., 64 ff., 71 f. 77, 80 f., 83 ff., 87, 89 ff., 97 ff., 102 ff., 106, 133, 171, 173, 178 f., 184 f., 189, 192, 232, 237 f., 268, 278 f., 283, 357; 3 28, 80, 124, 163; 4 41, 232, 280; 6 122, 128, 134 f., 139 Verbraucherrechte-Richtlinie 2 29, 80 Verbraucherschutzrecht 2 26 ff. – AGB-Recht 2 103 ff. – Folgen des Verstoßes gegen Informationspflichten 2 51 ff. – Geltungsbereich 2 33 ff. – Informationspflichten des Unternehmers 2 41 ff. – Rückgaberecht 2 58 ff., 64 ff. – Widerrufsrecht 2 58 ff., 64 ff.
Verbreitung i.S.d. § 19a UrhG 3 131 ff. Verbreitung i.S.d. § 69c Nr. 3 UrhG 3 100 ff., 118, 181 verdeckte Ermittler 7 20 Vergabearten 8 C 59 ff. – nicht offenes Verfahren 8 C 62 ff. – offenes Verfahren 8 C 74 ff. – Verhandlungsverfahren 8 C 81 ff. – wettbewerblicher Dialog 8 C 100 ff. Vergaberecht 8 C 6 ff. – Anwendung der EVB-IT 8 C 145 ff. – Anwendungsbereich des GWB 8 C 13 ff. – BVB 8 C 154 – De-facto-Vergaben 8 C 32 – Einkaufsgemeinschaften 8 C 50 ff. – EU-Rechtsrahmen 8 C 6 ff. – EVB-IT s. dort – Gleichheitsgrundsatz 8 C 68 – Grundsatz der losweisen Vergabe 8 C 57 f. – Grundsatz der produktneutralen Ausschreibung 8 C 141 ff. – In-House-Vergabe 8 C 41 ff. – nationaler Rechtsrahmen 8 C 10 ff. – Projektantenproblematik 8 C 138 ff. – Rahmenvereinbarungen 8 C 109 ff. – Rechtsschutz 8 C 32 ff. – Schwellenwerte gem. § 2 Nr. 2 VgV 8 C 10 f., 22 ff., 60 – Sonderprobleme 8 C 138 ff. – Teilnahmewettbewerb 8 C 81 ff. – Transparenzgrundsatz 8 C 68 – Vergabearten s. dort – Verwaltungs-Cloud 8 C 1 – VOL/A s. dort – Wahl der Vertragsgrundlage 8 C 145 ff. Vergütung 2 240 ff. – Fälligkeit 2 242 – Preismodelle 2 256 ff. – Rechnung 2 242, 244 – Zahlungsmodalitäten 2 242 – Zahlungsverzug 2 246 – Zahlungsziel 2 243 – Zusatzvergütungen (Ausschlussklausel) 2 251 Verletzung von Privatgeheimnissen (§ 203 StGB) 7 63 ff. – Besonderheiten bei Versicherungen 8 D 26 ff. – fremdes Geheimnis i.S.d. § 203 StGB 8 D 13 ff. – relevanter Täter- und Empfängerkreis 8 D 17 ff.
799
Stichwortverzeichnis – Taterfolg 8 D 23 ff. – Tathandlung 8 D 22 – Verschwiegenheitspflichten, gesetzliche 8 D 1 ff. Vermittler – Definition 1 B 57 f. – Geschäftsmodell 1 B 61 – Preismodell 1 B 64 Verrechnungspreise 6 66 ff. Verschlüsselung 4 29 ff., 116 ff.; 7 84 ff.; 8 D 37 f. Verschwiegenheitspflichten, gesetzliche – Anonymisierung 8 D 36 – anwendbares Recht 8 D 8 ff. – deutscher Rechtsrahmen 8 D 1 ff. – Entbindung von der Verschwiegenheitspflicht 8 D 32 ff. – europäischer Rechtsrahmen 8 D 6 f. – funktionelle Betrachtungsweise 8 D 48 – Gehilfenlösung 8 D 47 ff. – Gerichtsstand 8 D 11 – Lösungsmöglichkeiten 8 D 30 ff. – Pseudonymisierung 8 D 37 f. – Rechtfertigung eines Offenbarens 8 D 46 – Überwachung durch die Geheimnisverpflichteten 8 D 45 – Verletzung von Privatgeheimnissen (§ 203 StGB) s. dort – Verschlüsselung 8 D 37 f. – Zugriffssperren, organisatorische 8 D 41 ff. – Zugriffssperren, technische 8 D 39 f. Verträge über voll standardisierte Cloud-Leistungen 2 9 ff. Vertragsänderungen 2 295 ff. Vertragsgestaltung 2 – Absicherung der Leistungserbringung 2 302 ff. – Absicherung von Störungen 2 316 ff. – AGB-Problematik 2 235 ff. – Business Continuity 2 1, 302 ff. – Change Requests 2 284 ff. – Datenmigration 2 384 ff. – Deliktsrecht, anwendbares 2 188 ff. – einzelne Leistungsbestandteile von Cloud-Services 2 161 ff. – Exit-Szenarien 2 375 ff. – Gesamtbetrachtung der Cloud-Services 2 149 ff. – Governance 2 131, 284 ff. – Haftung 2 229 ff. – Höhere Gewalt 2 372 – Insolvenz, drohende 2 371
800
– Insolvenzabsicherung 2 333 ff. – Kündigung 2 345 ff. – Leistung und Schlechtleistung 2 193 ff. – Vergütung 2 240 ff. – Verstöße gegen Service Level 2 366 ff. – Vertragsaufbau 2 132 ff. – Vertragsrecht, anwendbares 2 182 ff. – vertragstypologische Einordnung 2 137 ff. – Zahlungsverzug 2 370 Vertragslaufzeit 1 B 64; 1 D 127; 2 194, 219, 230, 279, 345, 353 f., 378; 8 C 120, 122 Vertragsleistung 2 193 ff. Vertragsrecht, anwendbares s. Vertragsgestaltung Vertragsschluss im Internet – Allgemeines 2 12 ff. – Formerfordernisse 2 19 ff. Vertragsstrafe 2 113, 196, 225, 227, 234, 236, 366; 4 81, 99, 130, 261; 8 D 53 Vertragstypologie 2 137 ff., 198 f., 218 Vertragsverhandlungen – Herausforderungen am Beispiel eines Private Cloud-Vorhabens 1 D 120 ff. Vertraulichkeitspflichten 8 B 85 f. Vertriebskanäle 1 A 19 f. Vervielfältigung i.S.d. § 16 UrhG 3 126 ff. Vervielfältigung i.S.d. § 69c Nr. 1 UrhG 3 89 ff., 114 ff., 178, 207, 209 Vervielfältigung zum privaten und sonstigen eigenen Gebrauch 3 154 ff. Vervielfältigungshandlungen i.S.d. § 44a UrhG, vorübergehende 3 150 ff. Verwertungsgesellschaften 3 17 Verwertungsrechte 3 75 ff. VG Wort 3 17 Virtual Private Cloud 1 A 15 Virtualisierung 1 C 40 ff. Virtuelle Festplatte 1 C 52 Virtuelle Instanzen 1 D 47 ff., 56 ff. 72 ff., 110 ff. – Ressourceneinheiten 1 D 110 ff. – Verfügbarkeit 1 D 89 VOL/A 8 C 54 ff. – Anwendungsbereich 8 C 54 ff. – Grundsatz der losweisen Vergabe 8 C 57 f. – Grundsatz der produktneutralen Ausschreibung 8 C 141 ff.
Stichwortverzeichnis – Projektantenproblematik 8 C 138 ff. – Rahmenvereinbarungen 8 C 109 ff. – Sonderprobleme 8 C 138 ff. – Vergabearten s. dort VOL/B 8 C 146 f. – Anwendungspflicht 8 C 151 VPN (Virtual Private Network) 1 C 31 Wartungsvertrag 2 55 Wassenaar Arrangement 8 F 9 WCT s. WIPO-Urheberrechtsvertrag (WCT) Webhosting s. Hosting Webshop s. Online-Shop Wegfall von Arbeitsplätzen 5 7, 11, 14, 43 f., 46 ff., 95 Weisungsrecht – des Arbeitgebers nach § 106 GewO 5 36 ff. – des Finanzinstituts bei Outsourcing 8 B 61 f. Weiterbeschäftigungsanspruch 5 52 Weiterbeschäftigungsmöglichkeit 5 46 f. Weiterverlagerung s. Finanzdienstleister Werkteile – Urheberrechtsschutz 3 72 f. Werkvertrag 2 164 ff., 353 ff. Wertschöpfungskette 1 B 5 ff. Whiteboard 1 A 47
Widerrufsbelehrung 2 59 Widerrufsrecht 2 18, 28, 33, 40, 58 ff., 64 ff. – s. auch Verbraucherschutzrecht Widerspruchsrecht des Arbeitnehmers 5 66 WIPO-Urheberrechtsvertrag (WCT) 3 11 XaaS s. Everything as a Service (XaaS) Zahlungsmodalitäten 2 242 Zahlungsverzug 2 246, 370 Zahlungsverzugs-Richtlinie 2 248 Zertifizierungen 1 C 87 ff.; 4 108; 8 B 58 Zins- und Lizenz-Richtlinie 6 59 Zollrecht 8 F 7 Zufallsfunde 7 88 ff. Zugangssperren 7 91 Zugriff aus dem Ausland 8 F 51 f. Zugriff durch staatliche Bedarfsträger/ Strafverfolgungsbehörden 8 A 111 ff. Zugriffsmöglichkeiten Dritter 4 256 ff. Zugriffssperren – organisatorische ~ 8 D 41 ff. – technische ~ 8 D 39 f. Zurückbehaltungsrechte 2 245, 252 ff. Zusatzvergütungen (Ausschlussklausel) 2 251 Zweckübertragungsregel 3 167, 177
801