Cloud-Richtlinie

Der lange Weg zum EU-weiten Cloud-Recht

23.11.2014
Von 
Jannis Moutafis ist freier Journalist in München mit den Schwerpunkten Cloud Computing, Cloud-basierte Business-Anwendungen und IT-gestützte Arbeitsprozesse.
Die EU-Kommission verspricht sich von Cloud Computing Millionen neuer Arbeitsplätze und eine drastische Erhöhung des Bruttoinlandsprodukts. Wenn da nur nicht 28 verschiedene Gesetzeswerke im Weg stünden. Einen Ausweg sollen nun EU-weit geltende Verträge und die Zertifizierung von Cloud-Providern bringen.
Foto: IckeT - Fotolia.com

Cloud Computing bewegt sich aus Sicht eines deutschen Anwenderunternehmens rechtlich in einer Grauzone, insbesondere was die Public Cloud betrifft. Zwar deckt Paragraf 11 des Bundesdatenschutzgesetzes (BDSG) das Thema Auftragsdatenverarbeitung ab, und Cloud Computing ist genau genommen nicht anderes. Werden aber über die Cloud persönliche Daten verarbeitet, verpflichtet das Gesetz den Auftraggeber dazu, "sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen und das Ergebnis zu dokumentieren".

Aberwitzige Verpflichtungen

Dass das in der Praxis in Bezug auf Cloud Computing eine eher aberwitzige Forderung ist, ist mehr als nachvollziehbar. "Wie soll beispielsweise ein Mittelständler, der Cloud-Dienste einer Firma wie Microsoft wahrnimmt, das Rechenzentrum von Microsoft auf Datenschutz überprüfen?", fragt Dr. Georg Borges, Professor an der Ruhr-Universität Bochum und Spezialist für IT-Recht. Das Problem im konkreten Beispiel beginnt schon damit, dass Microsofts Rechenzentrum in Irland ist und dort ein anderes Datenschutzgesetz gilt als das deutsche und endet damit, dass Microsoft als US-Unternehmen dem Patriot Act unterliegt, nach dem es zur Herausgabe von Daten an die US-Behörden verpflichtet ist.

Solche und andere Kleinigkeiten stehen im Weg der ehrgeizigen Pläne der EU, durch Cloud Computing bis 2020 ihr Bruttoinlandsprodukt um jährlich 160 Milliarden Euro zu erhöhen und 2,5 bis 4 Millionen neue Jobs zu schaffen. "Aber die Übernahme des Cloud Computing verzögert sich, weil der heutige Flickenteppich aus unterschiedlichen Vorschriften in den Mitgliedstaaten zu einer steigenden Unsicherheit der Unternehmen in Bezug auf ihre rechtlichen Verpflichtungen führt", stellte die EU-Kommission schon vor zwei Jahren fest - und das war noch vor Snowden.

Richtlinie soll einen Cloud-Binnenmarkt schaffen

Immerhin soll demnächst eine europaweite Datenschutzrichtlinie kommen. Um die anderen Hindernisse zu überwinden hat die EU letzten Oktober drei "unterstützende Maßnahmen zur Errichtung eines Binnenmarkts für Cloud-Computing" beschlossen (siehe Grafik). Sie haben als Ziele:

- Die bei Cloud Computing involvierten Standards zu harmonisieren.

- Einen EU-weit geltenden Mustervertrag für Cloud-Computing-Dienste zu entwerfen.

- Eine europaweite Cloud-Partnerschaft (European Cloud Partnership) zu gründen, um die Nutzung von Cloud Computing in der Privatwirtschaft und im öffentlichen Sektor zu fördern.

Strategie, Ziele und Arbeitsgruppen der EU-Kommission für Cloud Computing. Die Expertengruppe (grüner Kasten unten rechts) wurde durch eine Arbeitsgruppe für Vertragsrecht erweitert.
Strategie, Ziele und Arbeitsgruppen der EU-Kommission für Cloud Computing. Die Expertengruppe (grüner Kasten unten rechts) wurde durch eine Arbeitsgruppe für Vertragsrecht erweitert.
Foto: EU

Während die Arbeit an Cloud-Standards von der Europäischen Standardisierungsbehörde ETSI koordiniert wird und gewohnt langsam verläuft, und die European Cloud Partnership hauptsächlich den Dialog und das Wissen über die Cloud auf allen Ebenen fördern will, ist die meiste Arbeit auf der rechtlichen Seite gefordert. Sie findet in zwei Arbeitsgruppen statt, eine für den Entwurf von Richtlinien für Service Level Agreements (SLA) und eine für den Entwurf von Standardverträgen.

Die SLA-Arbeitsgruppe hat immerhin Ende Juni einen ersten Entwurf für die SLA-Richtlinien vorgelegt (siehe Cloud Service Level Agreement Standardisation Guidelines via Dokumenten-Download). Die Arbeit an den Musterverträgen verläuft jedoch eher zäh, wie die bisherigen Protokolle verraten. Das war auch nicht anders zu erwarten, nicht nur wegen ihrer bunten Mixtur aus Cloud-Anbietern, Verbrauchern, Kleinunternehmen, Akademikern und Rechtsanwälten. "Die Zusammensetzung führt dazu, dass das Thema aus sehr verschiedenen Perspektiven diskutiert wird", sagt der Anwalt Dr. Jan Geert Meents, Managing Partner der deutschen Niederlassung der Internationalen Kanzlei DLA Piper.

Viel mehr als angeregte Diskussionen sind realistischerweise in absehbarer Zeit auch nicht zu erwarten, nicht zuletzt wegen der Ausgangssituation und der Größe der Aufgabe. Denn der als Ergebnis erwartete Mustervertrag muss mit den Gesetzen aller 28 Mitgliedsländern konform sein. Um zumindest die Voraussetzungen für eine produktive Arbeit zu schaffen wurde zunächst DLA Piper mit einer Studie beauftragt, die die gesetzlichen Regelungen hinsichtlich Cloud Computing in den einzelnen Ländern vergleichen soll. Zudem soll sie die Problematik exemplarisch in acht europäischen Ländern und in den USA analysieren. Die Studie soll laut Plan im August vorliegen.

Jenseits der Debatten wird fachlich in zwei Stoßrichtungen gearbeitet, die jeweils durch Experten für Vertragsrecht und durch Datenschutzexperten betreut werden. Einen konkreten Zeitrahmen, bis wann mit einem EU-weit geltenden Mustervertrag zu rechnen ist, gibt es freilich noch nicht.

Deutschland schreitet mit Trusted Cloud voran

Zumindest auf nationaler Ebene ist man hier ein Stück weiter. Im Rahmen des Trusted Cloud-Projekts des Bundeswirtschaftsministeriums arbeitet die Arbeitsgruppe Rechtsrahmen daran, die rechtlichen Tretminen im Cloud Computing im deutschen Recht zu entschärfen. Unter dem Vorsitz von Prof. Borges beschäftigt sich die AG Rechtsrahmen schwerpunktmäßig mit den Themen Datenschutz, Geheimnisschutz und Vertragsgestaltung.

"Die AG Rechtsrahmen spricht sich für ein Zertifizierungsmodell der Provider aus", sagt Jan Geert Meents, der auch in diesem Gremium mitmischt. "Über das Zertifikat hätten Unternehmen, die personenbezogene Daten in die Cloud verlagern, die Möglichkeit, die engen Voraussetzungen des Paragraf 11 des Bundesdatenschutzgesetzes zu erfüllen. Die Vergabe der Zertifikate würde durch eine private beziehungsweise öffentliche Instanz erfolgen und wäre zeitlich begrenzt." Firmen wie Microsoft, doch auch kleinere lokale Anbieter wären demnach verpflichtet, alle paar Jahre ein Audit über sich ergehen zu lassen, um weiterhin als Cloud-Provider arbeiten zu dürfen - und die Anwenderfirmen könnten sich im Falle eines Schadens darauf berufen und wären den schwarzen Peter los.

Zum Thema Zertifizierung hat die AG Rechtsrahmen im Februar dieses Jahres ein Arbeitspapier zum Thema "Modulare Zertifizierung von Cloud-Diensten" veröffentlicht. Prof. Borges rechnet damit, dass nächstes Frühjahr die Eckpunkte für die Zertifizierung fertig sind. Sie würden die Prüfanforderungen auf Basis von ISO definieren, anhand derer die herausgebenden Instanzen (beispielsweise der TÜV) die Zertifikate für Cloud-Provider ausstellen würden. In die Praxis umsetzbar soll das Konzept dann in zwei bis der Jahren sein.

Unterstützt wird diese Arbeit seit letzten Dezember durch das Pilotprojekt "Datenschutz-Zertifizierung für Cloud Computing", das ebenfalls im Trusted_Cloud-Projekt eingebettet ist. Daran beteiligt sind sieben Datenschutzbehörden, außerdem Anbieter und Anwender von Cloud-Diensten sowie Firmen aus den Bereichen der IT-Prüfung und IT-Rechtsberatung.

Sowohl der Zertifizierungsprozess der Cloud-Dienstleister als auch die Vertragsgestaltung, die die AG Rechtsrahmen erarbeitet, könnten Blaupausen für die EU-weite Regelung sein, die momentan in den entsprechenden EU-Gremien diskutiert wird. "Das ist unser Ziel", bestätigt auch Borges, und die Idee scheint auch die EU-Kommission nicht unsympathisch zu sein. Bei den Arbeitssitzungen der AG Rechtsrahmen ist immer auch ein Vertreter der EU-Kommission anwesend. Letztere hat immerhin im Februar eine Liste von Kriterien für die Zertifizierung von Cloud-Dienstleistern veröffentlicht, an der sich künftige europäische Zertifizierungsstellen orientieren sollen. (jha)