Rechtssicher in der Cloud: Ihre Daten bei Dropbox, iCloud, Google Drive & Co
Immer mehr Anbieter stellen Nutzern große Mengen an Datenspeicher online zur Verfügung. Neben den bekannten Cloud-Diensten Dropbox, iCloud und Skydrive ist Google vor wenigen Tagen mit seinem eigenen Dienst GoogleDrive gestartet. Wir zeigen Ihnen, was Sie aus rechtlicher Sicht über die Datenwolke wissen müssen.
Was ist ein „Cloud-Computing Vertrag“ aus rechtlicher Sicht?
Bei „Cloud-Verträgen“ handelt es sich nicht um einen Vertrag, der sich einem konkreten Vertragstypus des BGB zuordnen lässt. Hier muss bei jedem Anbieter im Einzelfall geprüft werden, wie das konkrete Nutzungsverhältnis vertraglich ausgestaltet wurde. In aller Regel wird es sich um einen so genannten gemischten Vertrag handeln, der - je nachdem, welche Leistungen vom Anbieter erbracht werden - schwerpunktmäßig als Mietvertrag, Werkvertrag oder Dienstvertrag behandelt wird.
Wird beispielsweise Speicher zur Verfügung gestellt, der gegen ein kostenpflichtiges Upgrade auch noch erweitert werden kann (z.B. wie im Fall von Dropbox), so handelt es sich schwerpunktmäßig um einen Vertrag mit Mietcharakter nach den §§ 535ff. BGB. Je nachdem, wie der Nutzungsvertrag eingeordnet wird, unterscheiden sich dann die Rechte und Pflichten der Nutzers, etwa bei auftretenden Mängeln.
SpoilerCloud-Anbieter und der Datenschutz: Wie sicher sind Ihre Daten?:
Das Deutsche Datenschutzrecht findet auf „Cloud-Dienste“ grundsätzlich dann Anwendung, wenn es sich bei den in der Cloud gespeicherten Daten um sogenannte „personenbezogene Daten“ gem. § 3 Nr. 1 BDSG handelt. Dies sind „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“, also die Daten eines Menschen.
Gerade nicht vom deutschen Datenschutzrecht erfasst sind damit Daten über juristische Personen (wie GmbH, AG, etc.) sowie anonyme Daten. Etwas anderes gilt jedoch für pseudonymisierte Daten nach § 3 Nr. 6a BDSG, bei denen zwar kein unmittelbarer Personenbezug besteht, dieser Personenbezug aber hergestellt werden kann (z.B. wenn eine Person eine bestimmte Ziffer trägt und sie über die Ziffer identifiziert werden kann). Je nachdem, ob Dateien in der Cloud Personenbezug aufweisen oder nicht, sind diese folglich vom Schutz des Datenschutzgesetzes erfasst oder nicht.
Bei der Frage, welches Datenschutzrecht Anwendung findet, ist ein genauerer Blick auf Anbieter und Nutzer des Cloud-Dienstes notwendig. Befindet sich der Cloud-Anbieter innerhalb der EU und hat ein Cloud-Kunde seinen Wohnsitz in Deutschland, kann in der Regel davon ausgegangen werden, dass deutsches Datenschutzrecht Anwendung findet.
Nach der Europäischen Datenschutzrichtlinie (RL 95/46/EG) stellt eine grenzüberschreitende Datenverarbeitung innerhalb der EU nämlich kein rechtliches Hindernis mehr dar (vgl. Art. 1 Abs. 2 EU-DSRL)- Deutsches Datenschutzrecht ist also immer anwendbar, wenn personenbezogene Daten einer Person mit Wohnsitz in Deutschland von einem Cloud-Anbieter mit Niederlassung in der EU verarbeitet werden.
SpoilerDatenschutzprobleme bei Cloud-Anbietern ausserhalb Europas?:
Insbesondere bei außer-europäischen Anbietern von Cloud-Diensten (z.B. Google) bestehen aus rechtlicher Sicht oftmals Bedenken. Da diese Länder oft über ein Datenschutzniveau verfügen, das nicht den europäischen Gesetzen entspricht, werden viele der dort geltenden regelungen von europäischen Datenschützern oft als unzulässig eingestuft.Eine Pauschallösung für die Behandlung der datenschutzrechtlichen Probleme im Zusammenhang mit ausländischen Cloud-Anbietern gibt es aber bisher nicht. Grundsätzlich wird die Übermittlung von Daten per Cloud an einen ausländischen Anbieter als unzulässig angesehen, da es hierfür keine datenschutzrechtliche Legitimation gibt und in der Regel kein angemessenes Datenschutzniveau besteht. Will man dennoch einen außereuropäischen Anbieter für einen Cloud-Dienst nutzen, empfiehlt es sich, das Übermitteln von personenbezogenen Daten in die Wolke zu vermeiden und ausschließlich nicht-personenbezogene Daten zu verwenden. Was den praktischen Nutzen der Dienste dann aber stark einschränkt.
SpoilerDatenverlust und Hackerangiffe: Wann haftet der Cloud-Anbieter ?:
Für Nutzer von Cloud-Speicher- Diensten stellt sich natürlich die Frage, ob der Anbieter haftet, wenn er einem Hackerangriff zum Opfer gefallen ist und die Daten des Nutzers betroffen sind. Entscheidend für einen zivilrechtlichen Schadensersatzanspruch bei gehackten Cloud-Daten ist also die Frage, ob dem Anbieter die Verletzung von Sorgfaltsanforderungen, also ein Verschulden (Vorsatz oder Fahrlässigkeit) nachgewiesen werden kann. Dies ist beispielsweise dann der Fall, wenn der Anbieter anerkannte Sicherheitsstandards nicht einhält und aufgrund dessen der Hacking-Angriff erst ermöglicht wurde.
Bisher ist jedoch kein Urteil eines Gerichts in der deutschen Rechtsprechung bekannt, dass einen solchen Schadensersatzanspruch gewährt hätte oder über einen solchen Fall zu entscheiden gehabt hätte.
SpoilerDas Kleingedruckte: Die Nutzungsbedingungen der Cloud-Computing im Vergleich:
Entscheiden Sie sich dazu, Ihre Daten in die Cloud auszulagern, sollten Sie vor der Nutzung die Nutzungsbedingungen (AGB, terms and conditions) des jeweiligen Anbieters genau ansehen.
Im Fall von Google Drive ist zunächst zu erwähnen, dass sich Google in Deutschland weit weniger Rechte einräumen lässt als es dies im englischsprachigen Raum macht. So stellt Google zunächst klar, dass der Nutzer alle Urheberrechte und bestehenden gewerblichen Schutzrechte behält. Allerdings wird durch die Einstellung von Daten in die Cloud Google ein unentgeltliches, nicht ausschließliches, aber weltweites und zeitlich unbegrenztes Recht eingeräumt, die Inhalte ausschließlich zum Zweck der Erbringung des Dienstes und in dem nötigen Umfang zu nutzen. So wird Google unter anderem das Recht eingeräumt, die Inhalte technisch zu vervielfältigen und die Daten öffentlich zugänglich zu machen, sofern eine öffentliche Zugänglichmachung durch den Nutzer beabsichtigt wird oder ausdrücklich eine solche Zugänglichmachung bestimmt wurde.
Auch im Fall von Dropbox bleibt der Nutzer alleiniger Inhaber der Rechte an den Dateien. Trotzdem ist zu beachten, dass auch bei der Nutzung von Dropbox zumindest die für das Betreiben des Services notwendigen, eingeschränkten Rechte auf den Betreiber übertragen werden. Insbesondere sollen laut dem Betreiber des Cloud-Dienstes dadurch Backups auf rechtlicher Ebene abgedeckt werden.
Auch Apple bitte einen eigenen Online-Speicher-Dienst mit Namen iCloud. Apple lässt sich hier an den hochgeladenen Inhalten ein weltweites einfaches Nutzungsrecht einräumen, allerdings nur, soweit dies nötig ist, um den Dienst zu betreiben.
Wie bei Dropbox erhebt auch Microsoft SkyDrive keine Eigentumsansprüche an den in die Cloud eingestellten Daten. Allerdings erklärt man sich durch Nutzung von SkyDrive ebenfalls damit einverstanden, dass Microsoft die Cloud-Inhalte „in dem für die Bereitstellung des Services erforderlichen Umfangs innerhalb des Services verwendet, ändert, kopiert, vertreibt und veröffentlicht, jedoch nur, um den Vertrag mit ihnen zu erfüllen.“
Bei allen Vorteilen aus technischer Sicht ist bei der Nutzung von Cloud-Computing Diensten aus rechtlicher Sicht Vorsicht geboten: durch die unbestimmten Formulierungen in den Nutzungsbedingungen wird den Cloud-Anbietern ein weiter Spielraum eingeräumt, die eigenen Daten zu nutzen. Aus datenschutzrechtlicher Sicht ist dabei vor allem Zurückhaltung geboten, wenn außereuropäische Cloud-Services genutzt werden sollen. Will der Nutzer daher auf Nummer sicher gehen, so sollte die Devise heißen: so viele Daten wie nötig, so wenig Daten wie möglich.
Reply With Quote
Bookmarks