In der Cloud bestehen grundsätzlich folgende Risiken:
– Die Verfügbarkeit ist nicht im vereinbarten Rahmen gegeben.
– Die Leistung entspricht nicht den Vereinbarungen.
– Die Leistung erzielt falsche Ergebnisse.
– Das Reaktionsverhalten entspricht nicht den Vereinbarungen.
– Datenschutz und Datensicherheit sind nicht beherrschbar.
– Kontrollverlust über die Lokalisierung und die „Rückführbarkeit“ der Daten.
Vorab: Der Begriff der Cloud ist diffus. Nachdem ich allein in diesem Jahr annährend 300 „IT-ler“ in den Seminaren gefragt habe, was die Cloud ist und keiner eine allgemein konsensfähige Formel darlegen konnte, halte ich es so wie ein berühmter deutscher Rechtsphilosoph (Radbruch) und beschreibe (Definition wäre falsch), was ich darunter verstehe: Die Cloud besteht in der Erbringung von Werk/oder Dienstleistungen und/oder das zur Verfügungstellen von Software und/oder anderen IT-Infrastrukturelementen über Datennetze.
Erster Punkt: Die Verantwortung für Fehlverhalten: Gelebte Cloud und das Recht
Ganz wichtig für mich (und andere) ist die Abgrenzung der Verantwortung. Unter dem Begriff der Cloud werden Leistungen angeboten, die man aus der Perspekte der Verantwortung in zwei Bereiche teilen kann: Man weiß, wer der Verantwortliche ist. Zweitens: Durch automatisierte Verfahren werden Kapazitäten und Kontigente zwischen den einzelnen IT-Anbietern in der Cloud automatisiert aufgeteilt. Insbesondere geschieht dies, indem IT Elemente wie Infrastruktur wie Speicherkapazitäten, Rechnerleistungen und Software geteilt werden. Diese shared services sind es, die den Begriff der Cloud richtig beschreiben (man weiß nie, wer gerade meine Daten hat, wo sie gerade bearbeitet werden, wer sie berechnet und wo sie sind). Shared plattform services oder infrastructure as a service mögen für den Techniker eine großartige Möglichkeit zur Beseitigung von Kapazitätsengpässen sein: Den Juristen stellen sie vor unlösbare Aufgaben eben deshalb weil das Recht bei der Bestimmbarkeit der Verantwortung ansetzt (scherzhaft gesagt greifen Juristen dann, wenn sie keinen Verantwortlichen identifizieren können dazu, greifbaren Rechtssubjekten im Wege von Zurechnungsmodellen wie Verkehrsicherungspflichten oder Sippenhaft die Verantwortung zuzuordnen).
Davon abzugrenzen aber eben auch als Cloudservices bezeichnet werden die reinen Anbieterdienste, also Leistungen, die einzelnen juristischen und natürlichen Personen eindeutig zuzurechnen sind.
Ich habe diese Ausführungen an den Beginn gestellt, denn in den Seminaren höre ich häufig den Einwand, daß man in der Cloud nie wisse, wer eigentlich die Verantwortung trage. Diese Einwände kann ich nicht entkräften, sie hinterlassen mich mit einem Rätzel, das das Vertragsrecht nicht lösen kann. Verträge setzten eine Bestimmbarkeit der Verantwortlichkeit voraus. Wer eine verbindliche Erklärung abgibt und dafür Geld erhalten will, kann zwar dem Vertragspartner ernsthaft entgegenhalten, daß er aus technischen Gründen keine Haftung übernehmen könne. Nur muss das dann auch als zentraler Punkt der Leistungsbeschreibugn erwähnt werden („Wir bieten Ihnen die Speicherung Ihrer persönlichen Daten in der Cloud zum Preis von X Euro pro Monat an. Leider können wir Ihnen nie sagen, wer mit Ihren Daten in Kontakt kommt, ob sie von Unbefugten genutzt werden. So ist das eben in der Cloud“). Falls Sie glauben, ich übertreibe: Nein, das sind Einwände, die mir so ernsthaft in den Seminaren entgegengehalten wurden (Herr Kramer, Sie haben doch keine Ahnung wie das ist in der Cloud).
Die Antwort des Anwalts: Man kann Verträge abschließen, in den man keine Haftung für die Sicherheit und Verfügbarkeit der Daten übernimmt. Nur muß man diesen Umstand klar als solchen in den Verträgen identifizieren und dem Kunden transparent sagen: Ich übernehme keine Verantwortung, möchte aber Geld. Dann ist es Sache des Kunden zu erwägen, ob er das Risiko eingehen möchte. Und ich kenne kaum Kunden, die solche Verträge eingehen.