Das folgende Schema erhebt natürlich keinen Anspruch auf Vollständigkeit, soll aber einen gewissen Überblick über die gesetzlichen Bestimmungen geben, die bei der Verlagerung von Daten aus dem Unternehmen des Kunden auf ein anderes Unternehmen zu beachten sind.
Kein Unterschied zwischen Betreibermodellen und Leistungen in der Cloud
Zunächst möchte ich auf einen Einwand eingehen, der mir immer wieder entgegengebracht wird. In der IT-Szene wird häufig zwischen den Begriffen des „Betreiber-Modells“ und dem „Cloud Computing“ unterschieden. Techniker wie Kaufleute unterscheiden diese Modelle im Idealfall danach, ob eine bestimmte technische Infrastruktur nur für einen Dienst oder einen Kunden zur Verfügung gestellt wird oder ob die technische Infrastruktur zwischen mehreren Unternehmen geteilt wird. Man wird im Jahr 2012 konstatieren dürfen, dass der Begriff der Cloud eigentlich nur dort einen Sinn macht, wo technische Resourcen je nach Bedarf geteilt und zur Verfügung gestellt werden. Cloud Computing besteht aus einer teilbaren Resource technischer Infrastruktur wie eben Rechnern, Speicherplatz und Netzwerken, Software etc., die je nach Bedarf kostengünstig zur Verfügung gestellt werden können. Begriffe wie Infrastructure as a service (Iaas) oder Plattform as a servie (Paas) oder eben auch Software as a service (Saas) werden je nach Bedarf zur Verfügung gestellt, die Überlassung erfolgt juristisch betrachtet immer nach den Modellen der Miete bzw. der Leihe. Daten können auf mehreren Rechnern rund um den Globus verteilt sein. Software, die man in Deutschland nutzt, kann z.B. in einem Rechenzentrum in Rumänien gespeichert sein, während der dazu gehörige Speicherplatz in Rumänien und Saarbrücken zur Verfügung gestellt wird. Diese Dienste werden nicht für einen Kunden betrieben, sondern für viele, weshalb hier der Begriff der multi tenancy eingeführt wurde.
Demgegenüber steht der Begriff der Betreiberdienste für Leistungen, bei denen die technische Infrastruktur entweder nur einem Betreiber zur Verfügung steht oder nur für einen Kunden zur Verfügung gestellt wird (single tenancy).
Der mir entgegengebrachte Einwand nun lautet, dass „in der Cloud“ grundsätzlich andere juristische Regelungen gelten würden, als bei den Betreiberdiensten. Das stimmt schlicht nicht und die Diskussion ist juristisch betrachtet auch unfruchtbar. Gesetze und Verträge setzten nach ihrer Methodik immer voraus, dass bestimmte Pflichten und Rechte einer bestimmten Person zugewiesen werden können. Wenn Daten „in der Cloud“ über mehrere Betreiber hinweg auf verschiedenen Serverfarmen verteilt werden können, weil dies aus Gründen der Verfügbarkeit oder der Preisstrukturen opportun erscheint, heißt das eben nicht, dass die Vorschriften des Bundesdatenschutzgesetzes nicht anwendbar sind. Der Einwand, man könne in der Cloud nicht genau sagen, „wo die Daten seien“ oder von „wem die Speicherkapazität gehöre“, ist rechtlich irrelevant. Als Anbieter eines Dienstes hat man das aus rechtlichen Gründen zu können. Und betriebswirtschaftlich wird man sich nur bei obskuren Kunden mit dem Argument durchsetzen, dass man aus Kostengründen in der Cloud arbeite, weshalb dort Sonderregelungen gelten würden.
Rechtlich gibt es zwischen Betreibermodellen und den Modellen in der Cloud keinen Unterschied. Primärverantwortlich ist derjenige, der mit dem Kunden einen Vertrag abschließt. Wer aus Kostengründen Dritte für die Erfüllung von Leistungen einsetzt – also zu Deutsch Subunternehmer einsetzt – hat dies in Übereinstimmung mit den Gesetzen zu tun. Und etwas anderes gilt auch nicht in der Cloud.
Dies vorweg geschickt, gibt es nach dem Deutschen Recht eine Reihe von Regelungen, die man im Rahmen von Betreiberdiensten oder in der Cloud einzuhalten hat. Setzt man Dritte für die Erfüllung des Vertrags ein – also z.B. betreibt man kein eigenes Rechenzentrum, sondern kauft die Leistungen bei einem Rechenzentrum ein – hat man dafür einzustehen, dass die Dritten diese rechtlichen Regelungen einhalten.
