Immer mehr Anbieter stellen Nutzern große Mengen an Datenspeicher online zur Verfügung. Neben den bekannten Cloud-Diensten Dropbox, iCloud und Skydrive ist Google vor wenigen Tagen mit seinem eigenen Dienst GoogleDrive gestartet. Wir zeigen Ihnen, was Sie aus rechtlicher Sicht über die Datenwolke wissen müssen.
Was ist „Cloud-Computing “ technisch und rechtlich?
Bei „Cloud-Verträgen“ handelt es sich rechtlich gesehen nicht um einen Vertrag, der sich einem konkreten Vertragstypus des BGB zuordnen lässt. Hier muss bei jedem Anbieter im Einzelfall geprüft werden, wie das konkrete Nutzungsverhältnis vertraglich ausgestaltet wurde. In aller Regel wird es sich um einen so genannten gemischten Vertrag handeln, der - je nachdem, welche Leistungen vom Anbieter erbracht werden - schwerpunktmäßig als Mietvertrag, Werkvertrag oder Dienstvertrag behandelt wird.
Wird beispielsweise Speicher zur Verfügung gestellt, der gegen ein kostenpflichtiges Upgrade auch noch erweitert werden kann (z.B. wie im Fall von Dropbox), so handelt es sich schwerpunktmäßig um einen Vertrag mit Mietcharakter nach den §§ 535ff. BGB. Je nachdem, wie der Nutzungsvertrag eingeordnet wird, unterscheiden sich dann die Rechte und Pflichten der Nutzers, etwa bei auftretenden Mängeln.
Cloud-Anbieter und der Datenschutz: Wie sicher sind Ihre Daten?
Das Deutsche Datenschutzrecht findet auf „Cloud-Dienste“ grundsätzlich dann Anwendung, wenn es sich bei den in der Cloud gespeicherten Daten um sogenannte „personenbezogene Daten“ gem. § 3 Nr. 1 BDSG handelt. Dies sind „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“, also die Daten eines Menschen.
Gerade nicht vom deutschen Datenschutzrecht erfasst sind damit Daten über juristische Personen (wie GmbH, AG, etc.) sowie anonyme Daten. Etwas anderes gilt jedoch für pseudonymisierte Daten nach § 3 Nr. 6a BDSG, bei denen zwar kein unmittelbarer Personenbezug besteht, dieser Personenbezug aber hergestellt werden kann (z.B. wenn eine Person eine bestimmte Ziffer trägt und sie über die Ziffer identifiziert werden kann). Je nachdem, ob Dateien in der Cloud Personenbezug aufweisen oder nicht, sind diese folglich vom Schutz des Datenschutzgesetzes erfasst oder nicht.
Anzeige
Bei der Frage, welches Datenschutzrecht Anwendung findet, ist ein genauerer Blick auf Anbieter und Nutzer des Cloud-Dienstes notwendig. Befindet sich der Cloud-Anbieter innerhalb der EU und hat ein Cloud-Kunde seinen Wohnsitz in Deutschland, kann in der Regel davon ausgegangen werden, dass deutsches Datenschutzrecht Anwendung findet.
Nach der Europäischen Datenschutzrichtlinie (RL 95/46/EG) stellt eine grenzüberschreitende Datenverarbeitung innerhalb der EU nämlich kein rechtliches Hindernis mehr dar (vgl. Art. 1 Abs. 2 EU-DSRL)- Deutsches Datenschutzrecht ist also immer anwendbar, wenn personenbezogene Daten einer Person mit Wohnsitz in Deutschland von einem Cloud-Anbieter mit Niederlassung in Deutschland verarbeitet werden.
Datenschutzprobleme bei Cloud-Anbietern ausserhalb Europas?
Insbesondere bei außer-europäischen Anbietern von Cloud-Diensten (z.B. Google) bestehen aus rechtlicher Sicht oftmals Bedenken. Da diese Länder oft über ein Datenschutzniveau verfügen, das nicht den europäischen Gesetzen entspricht, werden viele der dort geltenden regelungen von europäischen Datenschützern oft als unzulässig eingestuft.Eine Pauschallösung für die Behandlung der datenschutzrechtlichen Probleme im Zusammenhang mit ausländischen Cloud-Anbietern gibt es aber bisher nicht. Grundsätzlich wird die Übermittlung von Daten per Cloud an einen ausländischen Anbieter als unzulässig angesehen, da es hierfür keine datenschutzrechtliche Legitimation gibt und in der Regel kein angemessenes Datenschutzniveau besteht. Will man dennoch einen außereuropäischen Anbieter für einen Cloud-Dienst nutzen, empfiehlt es sich, das Übermitteln von personenbezogenen Daten in die Wolke zu vermeiden und ausschließlich nicht-personenbezogene Daten zu verwenden. Was den praktischen Nutzen der Dienste dann aber stark einschränkt.
Datenverlust und Hackerangiffe: Wann haftet der Cloud-Anbieter ?
Für Nutzer von Cloud-Speicher- Diensten stellt sich natürlich die Frage, ob der Anbieter haftet, wenn er einem Hackerangriff zum Opfer gefallen ist und die Daten des Nutzers betroffen sind. Entscheidend für einen zivilrechtlichen Schadensersatzanspruch bei gehackten Cloud-Daten ist also die Frage, ob dem Anbieter die Verletzung von Sorgfaltsanforderungen, also ein Verschulden (Vorsatz oder Fahrlässigkeit) nachgewiesen werden kann. Dies ist beispielsweise dann der Fall, wenn der Anbieter anerkannte Sicherheitsstandards nicht einhält und aufgrund dessen der Hacking-Angriff erst ermöglicht wurde.
Bisher ist jedoch kein Urteil eines Gerichts in der deutschen Rechtsprechung bekannt, dass einen solchen Schadensersatzanspruch gewährt hätte oder über einen solchen Fall zu entscheiden gehabt hätte.
Das Kleingedruckte: Die Nutzungsbedingungen der Cloud-Computing im Vergleich
Entscheiden Sie sich dazu, Ihre Daten in die Cloud auszulagern, sollten Sie vor der Nutzung die Nutzungsbedingungen (AGB, terms and conditions) des jeweiligen Anbieters genau ansehen.
Nutzungsbedingungen von Dropbox
Auch im Fall von Dropbox bleibt der Nutzer alleiniger Inhaber der Rechte an den Dateien. Trotzdem ist zu beachten, dass auch bei der Nutzung von Dropbox zumindest die für das Betreiben des Services notwendigen, eingeschränkten Rechte auf den Betreiber übertragen werden. Insbesondere sollen laut dem Betreiber des Cloud-Dienstes dadurch Backups auf rechtlicher Ebene abgedeckt werden.
Nutzungsbedingungen von Dropbox
Nutzungsbedingungen von Google Drive
Im Fall von Google Drive ist zunächst zu erwähnen, dass sich Google in Deutschland weit weniger Rechte einräumen lässt als es dies im englischsprachigen Raum macht. So stellt Google zunächst klar, dass der Nutzer alle Urheberrechte und bestehenden gewerblichen Schutzrechte behält. Allerdings wird durch die Einstellung von Daten in die Cloud Google ein unentgeltliches, nicht ausschließliches, aber weltweites und zeitlich unbegrenztes Recht eingeräumt, die Inhalte ausschließlich zum Zweck der Erbringung des Dienstes und in dem nötigen Umfang zu nutzen. So wird Google unter anderem das Recht eingeräumt, die Inhalte technisch zu vervielfältigen und die Daten öffentlich zugänglich zu machen, sofern eine öffentliche Zugänglichmachung durch den Nutzer beabsichtigt wird oder ausdrücklich eine solche Zugänglichmachung bestimmt wurde.
Nutzungsbedingungen von Google Drive
Nutzungsbedingungen Apple iCloud
Auch Apple bitte einen eigenen Online-Speicher-Dienst mit Namen iCloud. Apple lässt sich hier an den hochgeladenen Inhalten ein weltweites einfaches Nutzungsrecht einräumen, allerdings nur, soweit dies nötig ist, um den Dienst zu betreiben.
Nutzungsbedingungen Apple iCloud
Nutzungsbedingungen von Microsoft Onedrive (Früher: SkyDrive)
Wie bei Dropbox erhebt auch Microsoft OneDrive keine Eigentumsansprüche an den in die Cloud eingestellten Daten. Allerdings erklärt man sich durch Nutzung von OneDrive ebenfalls damit einverstanden, dass Microsoft die Cloud-Inhalte „in dem für die Bereitstellung des Services erforderlichen Umfangs innerhalb des Services verwendet, ändert, kopiert, vertreibt und veröffentlicht, jedoch nur, um den Vertrag mit ihnen zu erfüllen.“
Zur Website von Microsoft Skydrive
Nutzungsbedingungen von Microsoft SkyDrive
Fazit
Bei allen Vorteilen aus technischer Sicht ist bei der Nutzung von Cloud-Computing Diensten aus rechtlicher Sicht Vorsicht geboten: durch die unbestimmten Formulierungen in den Nutzungsbedingungen wird den Cloud-Anbietern ein weiter Spielraum eingeräumt, die eigenen Daten zu nutzen. Aus datenschutzrechtlicher Sicht ist dabei vor allem Zurückhaltung geboten, wenn außereuropäische Cloud-Services genutzt werden sollen. Will der Nutzer daher auf Nummer sicher gehen, so sollte die Devise heißen: so viele Daten wie nötig, so wenig Daten wie möglich.
Anzeige
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
Von einem "Lehrer" sollte man eine Vorbildfunktion erwarten können welche in der heutigen Zeit leider sehr mangelhaft ist!
Wer "angefressene Äppel", "iPhone" und oder "MAC" nutzt hat sich eben für etwas ganz besonderes entschieden was, nicht nur meiner Meinung nach, nicht nur lediglich unsicher ist...
Der Artikel ist sehr sauber und korrekt verfasst, erläutert alles was nötig ist und sollte sicherlich jeden zum Nachdenken und vor allem nachlesen anregen.
Wer etwas wichtiges in "365" oder noch schlimmer in "iCloude" legt, der sollte mal nachdenken was er dort eigentlich anstellt und sich darüber in jedem Fall korrekt informieren (wir sprechen ja letztendlich von sehr teuren Angelegenheiten und einer Hardware über die man wirklich nachdenken sollte).
Bei Bild- und oder Textmaterial bin ich sehr "pingelig". Eigentlich erwarte ich von "Lehrern" das diese sich entsprechend mit dem Urheberrecht auskennen bevor sie etwas anstellen von dem sie nicht wissen was eigentlich rechtens wäre. Ausgerechnet solche Leute sollen dann letztendlich Kindern und oder Jugendlichen etwas vermitteln was korrekt ist, und, ausgerechnet diese Berufs Gruppe fällt mehr und mehr mit ihrer glänzenden Unwissenheit auf....
Da frage ich mich dann schon nicht mehr warum Kinder und oder Jugendliche meinen sie dürften alles und das ohne irgendwelche Hintergründe zu kennen, lediglich Halbwissen ist der Status...
Armes Land das ...
Wie wäre es mit "Vorbild wie man seine Daten sicher speichert und was man über sich Preis gibt" JCP?
Man kann sich vor der Technik nicht verschließen... nutzen und es richtig machen! Und das wird in dem Artikel meines Erachtens auch nicht klar!
Eine befreundete Werbeagentur arbeitet mit der Google Cloud, da die meisten Kunden (auch sehr große) damit kein Problem und das Go von der Rechtsabteilung haben.
Ich bezweifle auch, dass ich keine verbindliche Rechtsaussage machen könnte, wenn der Server bei mir im Büro steht. Ernsthafte Hacker kommen da sicher auch rein und dann bin ich haftbar. Ist dann so ein renommiertes Produkt wie die Google Drive dann vielleicht sogar sicherer und der Kunde weiß zumindest auf was er sich einlässt?
Hierzu muss ich erstmal den Kunden fragen ob ich das überhaupt darf ! Die Einwilligung des Kunden bzw. aller der zu verarbeitenden Personenbezogenen Daten, Medien etc ist doch ganz klar erforderlich : FAZIT - ich werde sicherlich keinen Kunden noch fragen müßen ob ich das darf. sondern ich werde meine Festplatte erstmal damit voll machen ohne es irgendwo in Cloud Dienste zu verarbeiten. Ist zwar wieder mehr Arbeit , aber ich lasse mich nicht haftbar machen.
Was denkt Ihr ?
Ich wäre sehr dankbar, wenn Sie GoogleDrive und Office365 unter dem Blickwinkel der DSGVO ergänzen könnten.
GoogleDrive ist glaube ich nur bei nicht personenbezogenen Daten zulässig.
Office365 ist meines Wissens auf Grund des Treuhandmodells zulässig. Ist das generell korrekt?
Auf der Google-Seite lese ich "Sie können sich darauf verlassen, dass Google die Datenschutz-Grundverordnung in allen Google-Cloud-Diensten einhält. " (Quelle: https://www.google.com/intl/de_ALL/cloud/security/gdpr/)
Ist das nicht so zu verstehen, dass Google Drive auch DSGVO-konform ist?
Rein formell, nach den Angaben der Dokumentation der Cloud Anbieter, sind alle DS-GVO compliant. Ob das in der Praxis zutrifft, muss man selbst herausfinden.