Der Artikel bietet einen Überblick über die aktuellen Rechtsfragen rund um Cloud Computing. Er soll aber auch ein Problembewusstsein schaffen und die mannigfaltigen rechtlichen Aspekte der Nutzung einer Cloud beleuchten. Ziel des Artikels ist, dass der Leser nach der Lektüre die typischen Rechtsrisiken, welche den Chancen des Cloud Computing gegenüberstehen, erkennt und besser abwägen kann.

Inhaltsübersicht

I. Einleitung

II. Einsatzgebiet

A. Variable Auslastung mit Belastungsspitzen

B. Zeitlich begrenzte Nutzung

C. Kontinuierliches Wachstum

III. Vorteile

A. Kostenreduktion

B. Effizienzsteigerung

C. Datensicherheit

IV. Aktuelle Probleme

A. Kontrollverlust über die Daten

B. Datentrennung

C. Zugriff durch Behörden

1. Zugriff durch schweizerische Behörden

2. Spezialfall USA

D. Konkurs eines Cloud Anbieters

1. Aussonderungsansprüche

2. Verwertung von Daten

V. Fazit und Checkliste

I. Einleitung

[Rz 1] Der Technologie des «Cloud Computing» wird viel zugetraut und die meisten Nutzer hatten bereits mit Cloud's zu tun (sei es als Nutzer von E-Mail-Diensten wie Gmail oder beim Speichern von Dateien in einem Onlinespeicher wie Dropbox). Die Einsatzmöglichkeiten einer Cloud-Lösung weisen eine grosse Bandbreite auf und reichen von einfachen Lösungen für Privatkunden über standardisierte Massenangebote bis hin zu individuellen Grosstransaktionen. Es ist davon auszugehen, dass Cloud Computing den Technologiemarkt in den kommenden Jahren nachhaltig verändern wird.1 Den Chancen und Vorteilen stehen allerdings Risiken gegenüber. Ein genauerer Blick ist empfehlenswert. Dabei stellt man fest, dass sich diverse Probleme beim Umgang mit Cloud Computing stellen. Sie sollen in diesem Artikel aufgezeigt werden.

II. Einsatzgebiet

[Rz 2] Unternehmen, die Cloud Services in Anspruch nehmen wollen, müssen sich über die Anwendungsbereiche Im Klaren sein, bei welchen Cloud Computing gegenüber traditionellen ITPlattformen Vorteile bietet. Es gibt drei wesentliche Einsatzgebiete, bei welchen eine Cloud Lösung sinnvoll ist:

A. Variable Auslastung mit Belastungsspitzen

[Rz 3] Die Auslastung von Plattformen schwankt, wobei Belastungsspitzen regelmässig dann zustande kommen, wenn eine Plattform nur während einer gewissen Zeit genutzt wird.2 Herkömmliche Plattformen stossen bei hohen Anforderungen möglicherweise an Kapazitätsgrenzen, und in der Nacht sind sie kaum ausgelastet. Bei einem solchen Szenario bietet eine Cloud Plattform für den Kunden Vorteile, da er die bezogene Leistung an den Bedarf anpassen und somit Kosten sparen kann.3

B. Zeitlich begrenzte Nutzung

[Rz 4] Wird eine Plattform oder eine Anwendung erstellt, welche nur vorübergehend nutzbar sein soll, bietet Cloud Computing wesentliche Vorteile gegenüber einer klassischen On-premise- Lösung. Früher musste man auch für eine Plattform, die nur für eine begrenzte Zeit verfügbar sein sollte, die benötigte Hardware kaufen und für die Inbetriebnahme fielen Servicekosten an. Bei einer Cloud Computing Lösung fallen diese Kosten weg und die Ausgaben werden reduziert.4

C. Kontinuierliches Wachstum

[Rz 5] Cloud Computing kann sich lohnen bei wachsenden Plattformen oder Anwendungen. Dank Cloud Computing muss man nicht mehr andauernd neue Hardware kaufen, wenn der Bedarf steigt. Dank der Skalierbarkeit von Cloud-Lösungen kann der Cloud-Service mit dem Unternehmen mitwachsen, was gerade für Start-Ups interessant sein kann. 5

III. Vorteile

A. Kostenreduktion

[Rz 6] Wie erwähnt, reduzieren sich durch die Nutzung von Cloud Services Investitionskosten für Hard- und Software. Der Nutzer muss die kostenintensive IT-Infrastruktur nicht mehr selber betreiben, und Aufwendungen für Lizenzen, Wartung und Pflege fallen weg.6 Die Abrechnung der Cloud-Services erfolgt mittels einer nutzungsabhängigen Gebühr und der Kunde bezahlt nur das, was er auch tatsächlich konsumiert hat («pay as you go»).7 Dadurch verschieben sich die Kosten im IT-Bereich von Fixkosten zu variablen Kosten (Capex zu Opex).8

[Rz 7] Der Cloud-Anbieter wiederum nutzt durch dieMulti-Tenancy-Architektur die «Economies of Scale»9 und kann effizienter arbeiten und Services kostengünstiger anbieten. Auch die Kosten für die Sicherheit und den Betrieb der IT-Architektur kann der Anbieter auf die verschiedenen Parteien aufteilen.10

B. Effizienzsteigerung

[Rz 8] Herkömmliche On-Premise-Lösungen entsprechen selten dem tatsächlichen Bedarf. Eine effiziente Auslastung ist schwierig. Dank der Skalierbarkeit von Cloud Services wird dagegen eine effiziente Nutzung der Ressourcen möglich; der Kunde verfügt über eine sehr hohe Rechenleistung und er kann dank Cloud Computing auch ortsunabhängig agieren.11

[Rz 9] Für kleine und mittelgrosse Unternehmen werden durch Cloud Computing hervorragende und professionelle IT-Lösungen, welche ihnen bislang aufgrund von zu hohen Kosten verwehrt blieben, erschwinglich.12

C. Datensicherheit

[Rz 10] Dadurch, dass dank Cloud Computing auch kleinere und mittlere Unternehmen in den Genuss von hochprofessionellen IT-Lösungen kommen, erhöht sich für diese Kunden grundsätzlich auch die Sicherheit ihrer Daten. Ein Cloud-Anbieter kann eine viel höhere Datensicherheit bieten als Unternehmen, die bislang keinen hohen IT-Bezug aufweisen. Auch bzgl. Back-Up- Technologien ist ein Cloud-Anbieter diesen Nutzern oft überlegen und es bietet sich ihnen durch die Nutzung eines Cloud Services eine wesentlich sicherere Back-Up-Lösung.13

IV. Aktuelle Probleme

A. Kontrollverlust über die Daten

[Rz 11] Ein grosser Vorteil des Cloud Computing, die Skalierbarkeit, ist aus Sicht des Datenschutzes gleichzeitig ein Nachteil. Dadurch, dass der Cloud-Nutzer seine Daten auf die Server seines Cloud-Anbieters auslagert, hat er nicht mehr die volle Kontrolle über «seine» Daten. Der Cloud- Anbieter betreibt seine Server möglicherweise im Ausland oder lässt diese durch Sub-Provider betreiben, welche dem Cloud-Nutzer schlimmstenfalls gar nicht bekannt sind.14

[Rz 12] Public-Cloud-Nutzer sind dieser Gefahr am ehesten ausgesetzt, da sie oftmals die AGB ihres Providers akzeptieren müssen, ohne dabei Änderungen bzgl. technischen oder organisatorischen Massnahmen anbringen zu können.15

[Rz 13] Beispielsweise schreibt Amazon Web Services Inc. (AWS) in ihrem Customer Agreement zum Thema Datenschutz: «We participate in the safe harbor programs described in the Privacy Policy. You may specify the [] regions in which Your Content will be stored and accessible by End Users.»16 Dies klingt vielversprechend, doch die Aussage wird durch den folgenden Absatz relativiert: «We will not move Your Content from your selected [] regions without notifying you, unless required to comply with the law or requests of governmental entities.»17

[Rz 14] Diese Klausel ermöglicht es Amazon, die Daten in eine andere als die vom Kunden gewünschte Region zu verschieben. Sie muss den Kunden lediglich davon in Kenntnis setzen. Diese Informationspflicht kann sogar entfallen, falls es rechtlich oder aufgrund einer behördlichen Anfrage notwendig ist.

B. Datentrennung

[Rz 15] Aus datenschutzrechtlicher Sicht ist die Trennung der Daten zwischen den einzelnen Kunden von grosser Relevanz. Gerade bei Public Clouds besteht für die Nutzer das Risiko, durch Hackerattacken auf einen der Nutzer in Mitleidenschaft gezogen zu werden.18 So kann es bei einer ungenügenden Trennung zwischen den Daten der Cloud-Nutzer dazu kommen, dass ein Nutzer wegen eines Hackerangriffs nicht mehr auf seine Daten zugreifen kann, obwohl er selber nicht das Ziel des Angriffs war. Eine klare Trennung bei der Datenbearbeitung durch den Cloud- Provider (sog. «Chinese Wall») ist deshalb äusserst wichtig. Da das Risiko, Opfer eines solchen Angriffs zu werden, leider nie ganz ausgeschlossen werden kann, empfiehlt es sich, sensitive Daten nur in eine Private Cloud auszulagern.19

To view this article in full, please click here.

Footnotes

1 Gem. dem Marktforschungsunternehmen International Data Corporation (IDC) soll der globale Markt für Cloud Computing bis ins Jahr 2018 jährlich um 23 Prozent wachsen und er wird sodann rund 127 Milliarden US Dollar umfassen. Diese Wachstumsrate ist sechs mal höher als die Wachstumsrate des gesamten übrigen IT-Marktes.

2 Bspw. die Plattform einer Behörde, welche Onlineformulare zur Verfügung stellt. Diese werden primär während des Tages verwendet; in der Nacht ist die Auslastung gering.

3 Mario Meir-Huber, Cloud Computing: Praxisratgeber und Einstiegsstrategien, 2. Auflage, Frankfurt am Main 2011, S. 63.

4 Meir-Huber, a.a.O., S. 65.

5 Meir-Huber, a.a.O., S. 66.

6 Hoffmann, a.a.O., S. 466.

7 Siehe dazu Wolfgang Straub, Cloud Verträge — Regelungsbedarf und Vorgehensweise, in: AJP 7/2014, S. 905 ff., S. 907; Christian Metzger/Thorsten Reitz/Juan Villar, Cloud computing: Chancen und Risiken aus technischer und unternehmerischer Sicht, München 2011, S. 65; Meir-Huber, a.a.O., S. 61.

8 Metzger/Reitz/Villar, a.a.O., S. 65.

9 Zu deutsch «Skaleneffekt»: Beschreibt in der Produktionstheorie der Betriebswirtschaftslehre die Abhängigkeit der Produktionsmenge von der Menge der eingesetzten Produktionsfaktoren, http://de.wikipedia.org/wiki/Skaleneffekt (alle Internetquellen zuletzt besucht am 20. Mai 2015).

10 Metzger/Reitz/Villar, a.a.O., S. 62.

11 Hoffmann, a.a.O., S. 466.

12 Metzger/Reitz/Villar, a.a.O., S. 64.

13 Hoffmann, a.a.O., S. 466.

14 Philippe Fuchs, Cloud Computing — eine datenschutzrechtliche Betrachtung, in: Jusletter IT 6. Juni 2012, Rz. 26.

15 Fuchs, a.a.O., Rz. 27.

16 Ziffer 3.2. Data Privacy des Customer Agreement von Amazon Web Services Inc., online verfügbar unter: http://aws. amazon.com/de/agreement/.

17 Ziffer 3.2. Data Privacy des Customer Agreement von Amazon Web Services Inc., online verfügbar unter http://aws. amazon.com/de/agreement/.

18 So geschehen beim Online Speicherdienst Dropbox, siehe dazu http://www.20min.ch/digital/webpage/story/ 26286778; siehe zum Ganzen auch: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, Erläuterungen zu Cloud Computing, Oktober 2011, online verfügbar unter http://www.edoeb.admin.ch/datenschutz/ 00626/00876/01203/index.html?lang=de, S. 2.

19 Fuchs, a.a.O., Rz. 29.

Previously published by Jusletter

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.