Recht und Steuern

Cloud Computing – Vertrag und Datenschutz in der „Wolke“

Software und IT-Infrastruktur lassen Unternehmen häufig von Dienstleistern betreiben, oft liegen dabei wichtige Anwendungen und Daten in der sogenannten „Cloud“ auf externen Servern. Was bei der Vertragsgestaltung und hinsichtlich des Datenschutzes beim Einsatz von Cloud-Diensten wichtig ist, haben wir im Folgenden für Sie zusammengestellt.

Begriffsklärung

Unter Cloud-Leistungen versteht man die Bereitstellung standardisierter IT-Ressourcen, wie Rechenkapazitäten, Speicherplatz oder auch Softwarenutzung, auch „Software as a Service“ (SaaS). Die Bestandteile der Cloud-Verträge lassen sich dabei in folgende Punkte untergliedern:
  • Beschreibung der Leistung und Nutzungsumfang der angebotenen Cloud-Dienste, z. B. Funktionalitäten von Software, Verfügbarkeiten, Wartung und Support, Datensicherung
  • Leistungsparameter und die Folgen einer eventuell unzureichenden Leistungserbringung (sogenannte Service Levels),
  • Regelung zu Vergütung, Laufzeit, Verzug, Gewährleistung und Haftung
  • Datenschutz (hier vor allem Vertrag über die Auftragsverarbeitung)

Vertragsgestaltung

Cloud-Verträge sind in der Regel Massengeschäft, sodass die Anbieter auf standardisierte Vertragsbedingungen zurückgreifen. Auf die Allgemeinen Geschäftsbedingungen (AGB) großer internationaler Cloud-Anbieter besteht regelmäßig kaum Einfluss. AGB-Klauseln unterliegen allerdings – insbesondere im Hinblick auf Haftungsbeschränkungen – rechtlichen Einschränkungen. Im Zweifel müsste gerichtlich entschieden werden, ob eine AGB-Klausel über das rechtlich zulässige Maß hinausgeht und die gesetzlichen Bestimmungen greifen.
In Anlehnung an die Rechtsprechung dürften Cloud-Verträge mietrechtlich einzuordnen sein, da die IT-Ressourcen in der Regel zeitlich begrenzt gegen Entgelt überlassen werden. Werden darüber hinaus weitere Leistungen wie Hotline, Wartung und Pflege erbracht, sind diese je nach Schwerpunkt der Leistung dienst- oder werkvertraglich einzuordnen.

Rechte bei einer mangelhaften Leistungserbringung

Mietrechtlich stehen dem Anwender bei einer mangelhaften Leistungserbringung folgende Rechte zu:
  • Den Mietzins zurückbehalten bis die volle Nutzungsmöglichkeit wieder eingeräumt ist.
  • Den Mietzins mindern (nur bei einer nicht unerheblichen Gebrauchseinschränkung).
  • Fristsetzung zur Mängelbeseitigung; kann der Mangel nicht beseitigt werden –und soweit der Anbieter den Mangel zu vertreten hat – besteht die Möglichkeit, entweder Schadensersatz zu verlangen oder fristlos zu kündigen.

Stufen der Leistungserbringung: Service Level Agreements

Bei der Miete wird in der Regel von einer hundertprozentigen Verfügbarkeit ausgegangen. Da dies in der Praxis nicht erfüllt werden kann, enthalten Cloud-Verträge üblicherweise sogenannte Service Level Agreements.
Diese enthalten Regelungen für Einschränkungen in Nutzung und Funktionalität bzw. Ausfallzeiten. Auch regeln sie Reaktionszeiten bei Störungen sowie Entstörzeiten. Unter der Reaktionszeit versteht man den Zeitraum des Eingangs der Störmeldung bis hin zur ersten Rückmeldung des Cloud-Anbieters. Die Entstörzeit beschreibt die Behebung der Störung innerhalb eines vertraglich bestimmten Zeitraums.
Verfügbarkeiten sind jeweils auf einen bestimmten Zeitraum festzulegen, beispielsweise: „98% im Monat“. Wartungszeiten, die die Verfügbarkeit einschränken, sind vertraglich vorzubehalten.

Pflichten für den Anbieter

Wird fremde Software in der Cloud zu Verfügung gestellt, muss der Cloud-Anbieter sicherstellen, dass er die mit dem Software-Anbieter erforderlichen urheberrechtlichen Nutzungsrechte zuvor vereinbart hat. Dies betrifft das Recht zur Vervielfältigung, wenn der Anbieter eine Software auf seinem System installieren muss, die Bereitstellung bzw. öffentliche Zugänglichmachung der Software gegenüber dem Nutzer oder auch Bearbeitungsrechte für kundenspezifische Anpassungen.

Pflichten für den Nutzer

Umgekehrt muss der Nutzer dafür sorgen, dass der Urheber ihm die erforderlichen Nutzungsrechte einräumt, sofern er (der Nutzer) fremde Inhalte (z. B. Bilder, Texte, Software) in die Cloud hochlädt. Die AGB der Cloud-Anbieter enthalten zumeist Klauseln, wonach der Nutzer den Cloud-Anbieter von allen Kosten und Ansprüchen Dritter freistellt.
Cloud-Verträge enthalten darüber hinaus weitere Mitwirkungspflichten, die der Nutzer erbringen muss. Dazu zählen neben der Erfüllung technischer Systemvoraussetzungen für die Nutzung der Software, auch Beschreibungen bei Funktionsstörungen um Fehlerbeseitigung zu ermöglichen oder die Mitteilung über aktuelle Nutzerzahlen. Das Ermöglichen von Audits durch den Anbieter gehört ebenfalls dazu.

Sanktionierbarkeit des Vertrags

Leistungen, die der Cloud-Anbieter verspricht, sind nur „etwas wert“, wenn sie sanktionierbar sind. Für den Nutzer ist eine Regelung einer Vertragsstrafe mit pauschaliertem Schadensersatz günstig. Hier ist darauf zu achten, dass die Vertragsstrafe einen bestimmten Betrag nicht über- oder unterschreitet und im Streitfall vom zuständigen Gericht überprüfbar ist.

Vertragsänderungen

Einseitige Vertragsänderungen sind prinzipiell nicht möglich. Die Parteien sollten daher regeln, ob und in welcher Frist Vertragsbedingungen geändert werden können. Beispielsweise auf der Anbieterseite, wenn eine bestimmte Softwareanwendung nicht mehr zur Verfügung steht oder weil der Nutzer das Leistungsangebot ändern möchte. Änderungen können sich durch die Bereitstellung weiterer Software-Funktionen ergeben oder weil weitere Nutzer gewünscht sind. Hier sollte dann geregelt werden, bis wann die Anpassung des Vertrags erfolgt und ob dies zu zusätzlichen Kosten oder Preisanpassungen führt.

Kündigung des Vertrags

Cloud-Verträge enden durch Zeitablauf, sofern sie eine feste Vertragsdauer haben. Haben sie keine feste Vertragslaufzeit, enden sie durch Kündigung einer Partei. Manche Verträge sehen auch eine automatische Fristverlängerung nach Ablauf der vereinbarten Laufzeit mit einer jeweiligen Kündigungsoption vor.
Grundsätzlich sollte sich der Nutzer vom Vertrag innerhalb einer angemessen Frist wieder lösen können, wenn er z. B. den Anbieter wechseln muss. Die vertraglich vereinbarte Kündigungsfrist sollten daher so bemessen sein, dass ausreichend Zeit besteht, einen neuen Anbieter zu suchen und die Daten zu überführen. Kommt es bei der Datenmigration zu Verzögerungen, sollte der Datenzugriff vertraglich so gestaltet sein, dass nach Vertragsende auf die Daten noch für einen ausreichend Zeitraum oder im Back-up zugegriffen werden kann.
Zu regeln sind außerdem außerordentliche, fristlose Kündigungsrechte aus wichtigem Grund, wenn beispielsweise einer Partei das Festhalten am Vertrag unzumutbar geworden ist. Dies ist der Fall, wenn sich eine Leistungsstörung dauerhaft nicht beseitigen lässt. Fälle, in denen ein „wichtiger Grund“ vorliegt, können die Parteien bei Vertragsabschluss vorab definieren.
Wichtige Neuerung: Am 11. Januar 2024 ist der europäische Data Act in Kraft getreten und ist nach einer zwanzigmonatigen Umsetzungsfrist ab dem 12. September 2025 unmittelbar in allen EU-Mitgliedsaaten anwendbar. Für Cloud-Dienste kommt es dabei zu Neuerungen. Nutzer können ihre bestehenden Verträge künftig innerhalb von 30 Tagen kündigen und haben künftig das Recht kostenlos zwischen verschiedenen Datenverarbeitungsdiensten zu wechseln. Wechselentgelte von Cloud-Diensten werden bis zum 12. Januar 2027 schrittweise abgeschafft. Bei einem Wechsel müssen die Daten zu einem anderen Dienst ohne Hindernisse migrierbar sein. Hierfür macht der Data Act in Artikel 23 bis 26 vertragliche, technische und organisatorische Vorgaben, die Cloud-Dienste künftig einzuhalten haben.

Anwendbares Recht

Letztlich spielen das anwendbare Recht und der Gerichtsstand eine Rolle bei Cloud-Verträgen. Das anwendbare Recht (z. B. deutsches Recht) kann frei vereinbart werden, wenn die Parteien auf „Augenhöhe“ verhandeln. Bei großen Cloud-Diensten besteht in der Regel kaum Verhandlungsspielraum und die AGB sehen oft die Anwendung von US-amerikanischem Recht und Gerichtsstand in den USA vor.

Datenschutz

Einen wesentlichen Teil der Cloud-Rechtsbeziehung nimmt der Datenschutz ein. Datenschutzrechtliche Regelungen finden dann Anwendung, wenn beim Cloud Computing personenbezogene Daten (z. B. Kunden- oder Mitarbeiterdaten) dem Anbieter zur Verarbeitung überlassen werden.
Zur Einhaltung des Datenschutzes ist in erster Linie der Nutzer (der „Verantwortliche“ im datenschutzrchtklichen Sinne) verpflichtet. Mit dem Cloud-Anbieter ist ein Vertrag über die Auftragsverarbeitung (AVV) zu schließen. Dies umfasst die Verarbeitung und Speicherung von personenbezogenen Daten durch einen Auftragnehmer. Dies erfolgt gemäß den Weisungen des Auftraggebers (hier der Anwender der Cloud) auf Grundlage eines schriftlichen oder elektronischen Vertrags. In einem AVV sind zwingend zu regeln (nach Artikel 28 DSGVO):
  • Gegenstand und Dauer der Datenverarbeitung,
  • Art und Zweck der Verarbeitung,
  • Art der personenbezogenen Daten und Kategorien von betroffenen Personen , z. B. Mitarbeiter oder Kunden,
  • Umfang der Weisungsbefugnisse,
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit,
  • Sicherstellung von technischen und organisatorischen Maßnahmen,
  • Hinzuziehung von Subunternehmern,
  • Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener sowie bei der Meldepflicht bei Datenschutzverletzungen,
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung,
  • Kontrollrechte des für die Verarbeitung Verantwortlichen, z. B. Einholen von Informationen über technisch-organisatorische Maßnahmen mittels Fragebögen oder Inspektionen vor Ort).
Ein Muster für einen AVV finden Sie beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg.
Der bayrische Landesdatenschutzbeauftragte hat zur AVV eine Orientierungshilfe herausgegeben.
Der Nutzer hat vor allem ein Transparenzinteresse, um datenschutzrechtliche Anforderungen erfüllen zu können. Er muss wissen, wo die Daten in der Cloud gespeichert sind, wo sich also die Server befinden und ob der Anbieter über auseichend technisch-organisatorische Maßnahmen verfügt, um den Datenschutz zu erfüllen. Ebenfalls wichtig ist die Frage, ob bei der Verarbeitung der Daten weitere Subunternehmer durch den Cloud-Dienst miteinbezogen werden.

Einschaltung von Subunternehmen durch den Anbieter

Soweit der Anbieter Subunternehmer bei der Verarbeitung personenbezogener Daten einsetzen möchte, muss er eine entsprechende (Unter-)Auftragsverarbeitung mit dem jeweiligen Subunternehmer schließen. Der AVV zwischen Anbieter und Subunternehmer muss die gleichen Pflichten enthalten wie der AVV zwischen Verantwortlichen und Anbieter. Dabei haftet der Anbieter dem Verantwortlichen gegenüber für Datenschutzverstöße des Subunternehmers.
Wichtig: Subunternehmen dürfen für die Auftragsverarbeitung nur eingesetzt werden, wenn der Verantwortliche (schriftlich oder elektronisch) im Einzelfall ausdrücklich oder generell (dann aber mit Einspruchsrecht) zugestimmt hat. Praxisbezogener dürfte es sein, die generelle Zustimmung über die Hinzuziehung oder Änderung der eingesetzten Subunternehmen einzuholen. Über die Hinzuziehung des Subunternehmens ist der Verantwortliche dann zu informieren. Widerspricht der Verantwortliche nicht innerhalb einer bestimmten Frist, gilt die Unterbeauftragung als genehmigt.
Dies gilt auch bei einer Verlagerung der Datenverarbeitung außerhalb der EU, weil die Daten auf einem Server in einem Drittland liegen, oder Subunternehmer in Drittländern eingesetzt werden. Auch dann muss der Verantwortliche entweder vorher ausdrücklich zustimmen, oder über die Auslagerung informiert werden und kann widersprechen. Bei der Datenverarbeitung in Drittländern sind noch weitere Voraussetzungen zu beachten.

Umgang mit personenbezogenen Daten bei Auslagerung in Drittländer

Im europäischen Datenschutzrecht besteht ein allgemeines Verbot der Übermittlung personenbezogener Daten an Nicht-EU Länder, z. B. in die USA. Die Übermittlung an Drittländer ist nur möglich, falls sogenannte „Garantien“ bestehen, die ein der EU angemessenes Datenschutzniveau einhalten. Dies sind:
  • Angemessenheitsbeschluss der EU-Kommission für bestimmte Drittstaaten (Andorra, Argentinien, USA, Kanada nur für bestimmten kanadische Provinzen, soweit das sog. PIPEDA – Personal Information Protection Electronic Documents Act - anwendbar ist, Japan, Schweiz, Färöer, Guernsey, Israel, Isle of Man, Jersey, Uruguay und Neuseeland),
  • Standardvertragsklauseln der EU-Kommission; die Vertragsmuster sind unverändert zu übernehmen und sind auf der Webseite der EU-Kommission abrufbar
  • Verbindliche interne Datenschutzvorschriften für konzerninterne Datenübermittlung
  • Verhaltensregeln von Branchenverbänden (diese sind aber vorab von der zuständigen Aufsichtsbehörde zu genehmigen)
  • Datenschutzbezogene Zertifizierungsverfahren; für eine konforme Zertifizierung mit der DSGVO bedarf es einer Anerkennung durch die Deutsche Akkreditierungsstelle (DAkkS).
Auch bilaterale Datenschutzabkommen können eine Rechtsgrundlage für die Datenübermittlung sein. Zwischen den USA und der EU besteht seit dem 10. Juli 2023 ein Angemessenheitsbeschluss für ein angemessens Datenschutzniveau bei Datenübermittlungen in die USA, das sogennante Data Privacy Framework. Datenübermittlungen an Datenempfänger in die USA können also auf diese datenschutzrechtliche Rahmenvereinbarung gestützt werden. Hierfür muss das datenempfangende US-Unternehmen in einer Liste des US-Handelsministeriums zertifiziert sein. Andernfalls sind die bereits erwähnten Standardvertragsklauseln mit dem US-Unternehmen abzuschließen.
Grundsätzlich bietet es sich datenschutzrechtlich an personenbezogene Daten auf EU-Servern zu speichern und bisher eingesetzte US-Anbieter nach EU-Servern zu fragen.
Schließt der Cloud-Anbieter als Auftragsverarbeiter mit Unternehmern in Drittländern weitere Sub-Auftragsverarbeitungen, wie z. B. die Auslagerung eines Rechenzentrums nach Indien, so müssen die Garantien zwischen dem Verantwortlichen und dem Subunternehmer eingehalten werden. Dazu gehört auch das Abschließen von Standardvertragsklauseln.
Achtung: Setzt der Datenempfänger in den USA Subunternehmer ein, müssen diese Subunternehmer auch selbst nach der Liste des US-Handelsministeriums zertifiziert sein, oder Standardvertragsklauseln bereitstellen.
Neben dem Schutz personenbezogener Daten über AVV-Vertrag und Garantien besteht seitens des Nutzers auch ein Geheimhaltungsinteresse für geschäftliche Daten, wie Produktionsdaten oder Forschungsdaten bis über die Beendigung des Vertrags hinaus. Die Geheimhaltung sollte durch eine vertragsstrafenbewährte Vertraulichkeitsvereinbarung abgesichert werden. Diese regelt, welche Informationen als vertraulich gelten sollen und wann die Vertraulichkeitspflicht verletzt ist.
Besonders in den USA gehen behördliche Zugriffsmöglichkeiten auf in der Cloud abgelegte, personenbezogene Daten sehr weit. Hier sollte der Nutzer darauf achten, dass der Cloud-Anbieter ihn rechtzeitig über behördliche Anfragen oder Zugriffe informiert und welche Maßnahmen der Cloud-Anbieter unternimmt, um eine Datenweitergabe zu verhindern. In Betracht kommen hier beispielsweise eine Pseudonymisierung oder Verschlüsselung der Daten.

Umgang mit steuerrechtlich relevanten Daten

Zu beachten ist darüber hinaus, wenn steuerrechtlich relevante Daten (wie Rechnungen, Bilanzen oder Geschäftskorrespondenz) in der Cloud handels- oder steuerrechtlichen Aufbewahrungspflichten unterliegen. Die gesetzlichen Aufbewahrungsfristen von sechs bis zehn Jahren nach Handels- und Steuerrecht, müssen durch den Cloud-Anbieter gewährleistet werden.
Die Server des Cloud-Anbieters müssen in Deutschland stehen, oder die zuständige Finanzbehörde hat die Aufbewahrung steuerrechtlich relevanter Unterlagen außerhalb Deutschlands bewilligt. Die Datenhaltung in der Cloud muss außerdem revisionssicher sein und den Grundsätzen ordnungsgemäßer Buchführung (”GobBD”) entsprechen.
Weitere Informationen zum Datenschutz beim Cloud Computing finden Sie unter anderem in der gleichnamigen Orientierungshilfe der Datenschutzaufsichtsbehörden.
Weitergehende Hinweise zur Informationssicherheit bei Cloud-Diensten erhalten Sie beim Bundesamt für Sicherheit in der Informationstechnik.