Cloud-Richtlinie

Der lange Weg zum EU-weiten Cloud-Recht

Die EU-Kommission verspricht sich von Cloud Computing Millionen neuer Arbeitsplätze und eine drastische Erhöhung des Bruttoinlandsprodukts. Wenn da nur nicht 28 verschiedene Gesetzeswerke im Weg stünden. Einen Ausweg sollen nun EU-weit geltende Verträge und die Zertifizierung von Cloud-Providern bringen.

Cloud Computing bewegt sich aus Sicht eines deutschen Anwenderunternehmens rechtlich in einer Grauzone, insbesondere was die Public Cloud betrifft. Zwar deckt Paragraf 11 des Bundesdatenschutzgesetzes (BDSG) das Thema Auftragsdatenverarbeitung ab, und Cloud Computing ist genau genommen nicht anderes. Werden aber über die Cloud persönliche Daten verarbeitet, verpflichtet das Gesetz den Auftraggeber dazu, "sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen und das Ergebnis zu dokumentieren".

Aberwitzige Verpflichtungen

Dass das in der Praxis in Bezug auf Cloud Computing eine eher aberwitzige Forderung ist, ist mehr als nachvollziehbar. "Wie soll beispielsweise ein Mittelständler, der Cloud-Dienste einer Firma wie Microsoft wahrnimmt, das Rechenzentrum von Microsoft auf Datenschutz überprüfen?", fragt Dr. Georg Borges, Professor an der Ruhr-Universität Bochum und Spezialist für IT-Recht. Das Problem im konkreten Beispiel beginnt schon damit, dass Microsofts Rechenzentrum in Irland ist und dort ein anderes Datenschutzgesetz gilt als das deutsche und endet damit, dass Microsoft als US-Unternehmen dem Patriot Act unterliegt, nach dem es zur Herausgabe von Daten an die US-Behörden verpflichtet ist.

Solche und andere Kleinigkeiten stehen im Weg der ehrgeizigen Pläne der EU, durch Cloud Computing bis 2020 ihr Bruttoinlandsprodukt um jährlich 160 Milliarden Euro zu erhöhen und 2,5 bis 4 Millionen neue Jobs zu schaffen. "Aber die Übernahme des Cloud Computing verzögert sich, weil der heutige Flickenteppich aus unterschiedlichen Vorschriften in den Mitgliedstaaten zu einer steigenden Unsicherheit der Unternehmen in Bezug auf ihre rechtlichen Verpflichtungen führt", stellte die EU-Kommission schon vor zwei Jahren fest - und das war noch vor Snowden.

Richtlinie soll einen Cloud-Binnenmarkt schaffen

Immerhin soll demnächst eine europaweite Datenschutzrichtlinie kommen. Um die anderen Hindernisse zu überwinden hat die EU letzten Oktober drei "unterstützende Maßnahmen zur Errichtung eines Binnenmarkts für Cloud-Computing" beschlossen (siehe Grafik). Sie haben als Ziele:

- Die bei Cloud Computing involvierten Standards zu harmonisieren.

- Einen EU-weit geltenden Mustervertrag für Cloud-Computing-Dienste zu entwerfen.

- Eine europaweite Cloud-Partnerschaft (European Cloud Partnership) zu gründen, um die Nutzung von Cloud Computing in der Privatwirtschaft und im öffentlichen Sektor zu fördern.

Strategie, Ziele und Arbeitsgruppen der EU-Kommission für Cloud Computing. Die Expertengruppe (grüner Kasten unten rechts) wurde durch eine Arbeitsgruppe für Vertragsrecht erweitert.
Strategie, Ziele und Arbeitsgruppen der EU-Kommission für Cloud Computing. Die Expertengruppe (grüner Kasten unten rechts) wurde durch eine Arbeitsgruppe für Vertragsrecht erweitert.
Foto: EU

Während die Arbeit an Cloud-Standards von der Europäischen Standardisierungsbehörde ETSI koordiniert wird und gewohnt langsam verläuft, und die European Cloud Partnership hauptsächlich den Dialog und das Wissen über die Cloud auf allen Ebenen fördern will, ist die meiste Arbeit auf der rechtlichen Seite gefordert. Sie findet in zwei Arbeitsgruppen statt, eine für den Entwurf von Richtlinien für Service Level Agreements (SLA) und eine für den Entwurf von Standardverträgen.

Die SLA-Arbeitsgruppe hat immerhin Ende Juni einen ersten Entwurf für die SLA-Richtlinien vorgelegt (siehe Cloud Service Level Agreement Standardisation Guidelines via Dokumenten-Download). Die Arbeit an den Musterverträgen verläuft jedoch eher zäh, wie die bisherigen Protokolle verraten. Das war auch nicht anders zu erwarten, nicht nur wegen ihrer bunten Mixtur aus Cloud-Anbietern, Verbrauchern, Kleinunternehmen, Akademikern und Rechtsanwälten. "Die Zusammensetzung führt dazu, dass das Thema aus sehr verschiedenen Perspektiven diskutiert wird", sagt der Anwalt Dr. Jan Geert Meents, Managing Partner der deutschen Niederlassung der Internationalen Kanzlei DLA Piper.

Viel mehr als angeregte Diskussionen sind realistischerweise in absehbarer Zeit auch nicht zu erwarten, nicht zuletzt wegen der Ausgangssituation und der Größe der Aufgabe. Denn der als Ergebnis erwartete Mustervertrag muss mit den Gesetzen aller 28 Mitgliedsländern konform sein. Um zumindest die Voraussetzungen für eine produktive Arbeit zu schaffen wurde zunächst DLA Piper mit einer Studie beauftragt, die die gesetzlichen Regelungen hinsichtlich Cloud Computing in den einzelnen Ländern vergleichen soll. Zudem soll sie die Problematik exemplarisch in acht europäischen Ländern und in den USA analysieren. Die Studie soll laut Plan im August vorliegen.

Jenseits der Debatten wird fachlich in zwei Stoßrichtungen gearbeitet, die jeweils durch Experten für Vertragsrecht und durch Datenschutzexperten betreut werden. Einen konkreten Zeitrahmen, bis wann mit einem EU-weit geltenden Mustervertrag zu rechnen ist, gibt es freilich noch nicht.