SaaS-Forum im Gespräch mit Jan Schneider, SKW Schwarz Rechtsanwälte

“Rechtliche Fragen rund um Cloud Computing und Software-as-a-Service” – Noch immer beschäftigt dieses Thema die öffentliche Diskussion. Und auch wir im SaaS-Forum bemühen uns, regelmäßig einen aktuellen Überblick zu diesem Thema zu vermitteln und befragen deshalb “jemanden, der sich damit auskennt …”, nämlich Fachjuristen, die sich mit der juristischen Einordnung von IaaS, PaaS und SaaS in ihrer täglichen Praxis beschäftigen. Dabei geht es nicht nur um eine rechtliche Bewertung der Situation, wenn Unternehmen Cloud Services als Anwender einsetzen, auch auf Anbieterseite gibt es aus juristischer Sicht einiges zu beachten. Im nachfolgenden Interview vermittelt Rechtsanwalt Jan Schneider von der Anwaltskanzlei SKW Schwarz Rechtsanwälte einen aktuellen Überblick.


Frage: Lieber Herr Schneider, Sie sind Fachanwalt für IT-Recht und Partner der bekannten Anwaltskanzlei und JUVE IT-Kanzlei des Jahres 2011 SKW Schwarz Rechtsanwälte. Welche Rolle spielt das Thema Cloud Computing derzeit in Ihrer anwaltlichen Praxis? Und wer sind Ihre Klienten, Anbieter, Anwender, beide?

Jan Schneider: Die Cloud ist in aller Munde – auch bei unseren Mandanten. Wir beraten sowohl nationale und internationale Cloud Provider und Reseller von Cloud Services, als auch zahlreiche Unternehmen, die Cloud Services nutzen möchten. Aber auch Berater im Cloud-Umfeld sprechen uns immer wieder an, weil sie für ihre Beratertätigkeit die rechtlichen Grundlagen der Cloud verstehen müssen.

Frage: Zentrale Themen in den aktuellen Diskussionen zu Cloud Computing sind der Datenschutz und die Datensicherheit. Die gerade in Deutschland sehr strengen Vorgaben des Bundesdatenschutzgesetzes sind dabei immer wieder Anlass für hitzige Debatten. Was kann und was muss ein in Deutschland ansässiges Unternehmen tun, um aus Sicht des Juristen Cloud Services rechtssicher zu nutzen?

Jan Schneider: Die Diskussionen um die Rechtssicherheit der Cloud wurden in der Vergangenheit tatsächlich häufig viel zu hitzig geführt. In rechtlicher, auch in datenschutzrechtlicher Hinsicht ist die Cloud nichts Neues. Die Beachtung und Einhaltung der rechtlichen Vorgaben ist kein Hexenwerk, sondern eher Fleißarbeit. Das bedeutet, dass der Cloud Provider schon bei der Gestaltung seiner Cloud Services die rechtlichen Anforderungen im Blick haben sollte. Das gilt insbesondere für die gesetzlichen Anforderungen an die Auftragsdatenverarbeitung. Dazu gehört beispielsweise ein Vertrag mit den für die Auftragsdatenverarbeitung typischen Inhalten. Dieser Vertrag sollte dem Kunden als schriftlich abzuschließender Vertrag angeboten werden, weil genau das schlicht eine gesetzliche Anforderung ist.

Das Unternehmen sollte seinerseits bereits bei der Auswahl des Cloud-Providers einen sorgfältigen Blick darauf werfen, inwieweit dessen Produkt die rechtliche Seite berücksichtigt. Das wird immer leichter, weil immer mehr Cloud Provider mit der Umsetzung der rechtlichen Anforderungen aktiv werben. Man muss dann natürlich prüfen, ob diese Werbeaussage auch zutrifft. Das kann am Besten der auf die Cloud spezialisierte IT-Anwalt. Wir machen solche Prüfungen sehr häufig und haben die aktuellen Cloud-Services daher gut im Blick. Im Regelfall können wir dem Mandanten sehr schnell sagen, ob er den Service rechtssicher nutzen kann und wo er ggf. beim Provider nachhaken muss.

Frage: Ein weiteres Thema, das Juristen und Nicht-Juristen speziell auf Anbieterseite beschäftigt, ist die Frage der Internationalität. Prinzipiell kann ein Cloud Service Provider seine Daten weltweit verteilt speichern, aus Kostengründen wird er dies sogar bevorzugt tun, denn internationale Anbieter wie Amazon und Google “locken” mit günstigen Konditionen. Was muss der der Anbieter beachten, wenn er solche internationalen Angebote für sein eigenes Angebot an deutsche Firmenkunden nutzen möchte? Und inwieweit muss er seine Kunden darüber aufklären?

Jan Schneider: Weil das Datenschutzrecht innerhalb der Europäischen Union weitgehend vereinheitlich ist, macht es aus rechtlicher Sicht praktisch keinen Unterschied, wo innerhalb der EU die Server stehen, solange die gesetzlichen Anforderungen an die Auftragsdatenverarbeitung eingehalten werden. Liegen die Daten (auch) auf Servern außerhalb der EU, muss der Cloud Provider in aller Regel weitergehende Maßnahmen ergreifen, um das in den meisten Staaten zu geringe Datenschutzniveau auszugleichen. Eine etablierte Möglichkeit hierzu sind beispielsweise die EU-Standardvertragsklauseln. Nimmt der Cloud Provider diese in unveränderter Form zu dem Cloud-Vertrag und hält diese dann auch ein, besteht nach einhelliger Meinung ein ausreichendes Datenschutzniveau.

Entsprechendes gilt, wenn der Cloud Provider andere Rechenzentrumsbetreiber als Subunternehmer einsetzt. Das ist rechtlich durchaus möglich. Die rechtlichen Anforderungen – z. B. Auftragsdatenverarbeitung und EU-Standardvertragsklauseln – müssen dann über die Lieferantenkette hinweg eingehalten werden. So oder so gilt: Die Einhaltung der gesetzlichen Anforderungen sollte dem Kunden transparent gemacht werden.

Frage: Können Sie die wichtigsten drei Punkte nennen, auf die ein Unternehmen heute aus juristischer Sicht achten sollte, wenn es sich mit dem Gedanken trägt, Cloud Services zu nutzen?

Jan Schneider: Zunächst sollte das Unternehmen klären, wo die Server des Providers stehen, weil sich hieraus der Umfang der rechtlichen Prüfung ableitet. Ohnehin ist das nicht selten ein Entscheidungskriterium, weil nicht jedes Unternehmen sich wohl fühlt, wenn die Unternehmensdaten über den Erdball verteilt gelagert werden.

Dann sollte das Unternehmen einen Blick auf den Cloud-Vertrag werfen: Sind die typischen Regelungen für Auftragsdatenverarbeitung ausreichend enthalten? Kann der Vertrag schriftlich geschlossen werden? Sind ggf. die erforderlichen internationalen Klauseln enthalten?
Schließlich sollte das Unternehmen unbedingt eine ausführliche Dokumentation der in den Rechenzentren getroffenen technischen und organisatorischen Anforderungen an Datenschutz und Datensicherheit einfordern. Diese Dokumentation muss verbindlicher Bestandteil des Cloud-Vertrags werden. Viele Cloud Provider haben mittlerweile eine solche Dokumentation und integrieren diese in den Cloud-Vertrag.

Frage: Anfang dieses Jahres unterhielt ich mich mit zwei Fachanwältinnen aus Köln über das Thema Cloud Computing. Die beiden ließen damals mit der Feststellung aufhorchen, “Rechtssicherheit in der Cloud sei für den Anwender nicht gegeben.” Wie sieht Ihre Meinung aus heutiger Sicht zu dieser Aussage aus?

Jan Schneider: Ich kenne derartige pauschale Aussagen, und halte sie schlicht für falsch. Aus meiner Sicht resultieren sie häufig aus einem unzureichenden Verständnis der Cloud Services, aus einer Überhöhung der datenschutzrechtlichen Anforderungen oder schlicht aus fehlender Beratererfahrung. Tatsächlich sind die rechtlichen Anforderungen an die Cloud für die meisten Anwendungsfälle gut lösbar. Voraussetzung ist eben ein praxisnaher Ansatz aller Beteiligten. Damit meine ich die Cloud Provider, die bei der Gestaltung der Services die Rechtsseite beachten sollten. Damit meine ich die nutzenden Unternehmen, die einen realistischen Blick auf die Anforderungen des Datenschutzes haben sollten. Damit meine ich weiter die anwaltlichen Berater, die rechtskonforme und praktikable Lösungen aufzeigen müssen. Und damit meine ich nicht zuletzt auch die Datenschutzbehörden – die aus meiner Sicht der Cloud mittlerweile durchaus konstruktiv und offen gegenüberstehen.

Lieber Herr Schneider, vielen Dank für das Gespräch!




zurück zur Startseite

Autor:

1 Gedanke zu „SaaS-Forum im Gespräch mit Jan Schneider, SKW Schwarz Rechtsanwälte“

Schreibe einen Kommentar