Fragen und Antworten: Deutschlands Cloud-Computing-Gesetz

Gesetzgebung und Regulierung

Anerkennung des Konzeptes

Ist Cloud Computing in Ihrem Rechtssystem anerkannt und definiert? Wenn das so ist, wie?

2021 wurden für einige Cloud-Computing-Verträge spezifische Regelungen in das Bürgerliche Gesetzbuch aufgenommen. Durch die Umsetzung der EU-Richtlinie 2019/770 decken die neuen Bestimmungen Cloud-Computing-Verträge ab und enthalten Regelungen zu Leistungsmängeln, Haftung und Verjährung. Da die neuen Rahmenbedingungen hauptsächlich für B2C-Verträge gelten (mit Ausnahme einiger Bestimmungen zum B2B-Regress in Lieferketten), gibt es in Deutschland noch keine rechtlichen Rahmenbedingungen speziell für B2B-Cloud-Computing. Daher unterliegen Cloud-Computing-Dienste meist dem allgemeinen deutschen und EU-Recht, wie dem IT-Sicherheitsgesetz, dem deutschen Bürgerlichen Gesetzbuch, dem deutschen Handelsgesetzbuch, dem allgemeinen Datenschutzgesetz, dem deutschen Telemediengesetz, dem deutschen Urheberrecht und dem Gesetz gegen den unlauteren Wettbewerb.

Geltende Gesetzgebung

Verbieten, beschränken oder regeln Gesetze oder Vorschriften direkt und ausdrücklich Cloud Computing innerhalb oder außerhalb Ihrer Gerichtsbarkeit?

Für Cloud Computing gilt das Information Technology Security Act 2.0 (BSIG), das die NIS-Richtlinie der Europäischen Union umsetzt. Das BSIG erlegt Anbietern kritischer Infrastrukturen bestimmte IT-Sicherheitspflichten auf. Gemäß § 2 Abs. 11 Nr. 1 lit. 3 BSIG ist Cloud Computing ein digitaler Dienst, der „Zugriff auf einen flexiblen und skalierbaren Pool gemeinsam nutzbarer Rechenressourcen“ bereitstellt. Im Allgemeinen können Cloud-Computing-Dienste kritische Infrastrukturen in Übereinstimmung mit BSIG und relevanten bereitgestellten Vorschriften darstellen, die die darin festgelegten Anforderungen und Schwellenwerte erfüllen. Wenn ein Anbieter kritischer Infrastrukturen einen Cloud-Dienst nutzt, wird er außerdem und vor allem versuchen, gesetzliche Anforderungen an den Cloud-Anbieter vertraglich durchzusetzen. Das BSIG legt mehrere IT-Sicherheitsanforderungen für Cloud-Diensteanbieter einer bestimmten Größe fest, einschließlich der Verpflichtung, angemessene technische und organisatorische Maßnahmen zu ergreifen, um ein IT-Sicherheitsniveau aufrechtzuerhalten, das Risiken für die Sicherheit der für den Dienst verwendeten Netzwerk- und Informationssysteme minimiert. Cloud-Diensteanbieter, die dem BSIG unterliegen, müssen zudem alle Sicherheitsvorfälle, die einen erheblichen Einfluss auf den betreffenden Dienst haben, dem BSI melden.

Welche Gesetze oder Vorschriften könnten Cloud Computing innerhalb oder außerhalb Ihrer Gerichtsbarkeit indirekt verbieten, einschränken oder regeln?

Neben den neuen §§ 327 ff. BGB, die direkt B2C-Cloud-Computing-Verträge regeln, können verschiedene deutsche Vorschriften und Gesetze indirekte Auswirkungen auf Cloud-Computing-Dienste haben. Neben den allgemeinen Vorschriften des deutschen Zivil- und Handelsrechts, der Telemedienverordnung und des Wettbewerbsrechts sind insbesondere die einschlägigen datenschutzrechtlichen Bestimmungen der Datenschutz-Grundverordnung, des deutschen Datenschutzrechts und einschlägiger branchenspezifischer Vorschriften zu beachten . Jeder Cloud-Computing-Dienst kann jedoch je nach Geschäftsmodell und Angebot auf spezifische Probleme stoßen. Darüber hinaus können Kunden von Cloud-Diensten branchenspezifischen Anforderungen für die Nutzung von Cloud-Diensten unterliegen (z. B. aus dem medizinischen Bereich).

Auch über Cloud Computing bereitgestellte Software kann dem deutschen Urheberrecht unterliegen. Während Softwarepakete, die über die Cloud verfügbar sind, typischerweise über das Internet verwendet werden, ohne auf das Gerät des Benutzers kopiert zu werden, kann ihre Verwendung dennoch als ein Verfahren gelten, das eine Lizenz erfordert (im Gegensatz zu einer urheberrechtlich neutralen Nutzung des Werks). Für Cloud-Computing-Dienste gelten nur in Ausnahmefällen die Bestimmungen des Telekommunikationsgesetzes (TKG) (z. B. wenn der Dienst als Kommunikationsdienst nach § 3 Nr. 24 TKG zu qualifizieren ist, weil er z. B. VOIP beinhaltet) , Videokonferenzen, Instant Messaging oder E-Mail-Dienste). In diesem Fall unterliegt der Dienst strengen Regeln zur Vertraulichkeit der Kommunikation und muss sich bei der Bundesnetzagentur registrieren.

Gesetze brechen

Welche Folgen hat die Verletzung von Gesetzen, die Cloud Computing direkt oder indirekt verbieten, einschränken oder regeln?

Für Rechtsverstöße im Zusammenhang mit Cloud Computing gibt es nach deutschem Recht keine allgemeingültige Feststellung. Je nachdem, gegen welche Bestimmungen verstoßen wurde, müssen die folgenden Hauptarten von Konsequenzen oder Strafen berücksichtigt werden.

Wenn Dienstleister oder Kunden regulatorische Anforderungen nicht erfüllen, kann dies zu behördlichen Maßnahmen führen, die zu Ermittlungen oder Auflagen führen können, oder sogar zu einem Verbot der verdächtigen Praxis oder in Ausnahmefällen des betreffenden Cloud-Dienstes.

Bei bestimmten Verstößen können die Aufsichtsbehörden auch Bußgelder gegen Anbieter oder Nutzer von Cloud-Diensten verhängen (z. B. im Bereich Datenschutz).

Gemäß der DSGVO können Dienstanbietern oder Kunden, die Cloud-Computing-Dienste betreiben oder nutzen, Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzvolumens des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist, auferlegt werden DSGVO (DSGVO).

Bestimmte besonders schwerwiegende Verstöße können eine strafrechtliche Verantwortlichkeit nach sich ziehen. Das deutsche Recht sieht derzeit nur eine strafrechtliche Haftung des Einzelnen vor (dies kann sich jedoch mit der Diskussion über die Ausweitung der strafrechtlichen Verantwortlichkeit auf Unternehmen ändern). Beispielsweise können Mitarbeiter eines Cloud-Diensteanbieters für die Verfolgung bestimmter Formen unrechtmäßiger Datenmanipulation haftbar gemacht werden. Wird der Cloud-Anbieter von Berufsgeheimnisträgern (z.B. Ärzten, Rechtsanwälten, Steuerberatern) beauftragt, können zudem auch Mitarbeiter des Anbieters haften, wenn sie durch das Berufsgeheimnis geschützte Informationen an Dritte weitergeben (§ 203 Abs 4 StGB).

Wenn Anbieter von Cloud-Diensten gegen bestimmte Vorschriften des Wettbewerbsrechts verstoßen, können Wettbewerber oder Kunden Unterlassungsansprüche, Schadensersatz oder beides geltend machen. Im Hinblick auf Verbraucherschutzvorschriften haben Verbraucherschutzorganisationen das Recht, Cloud-Diensteanbieter abzumahnen und eine einstweilige Verfügung zu verlangen.

Verbraucherschutzmaßnahmen

Welche Verbraucherschutzmaßnahmen gelten für Cloud Computing in Ihrer Gerichtsbarkeit?

Die neuen §§ 327 ff. BGB, die speziell digitale B2C-Dienste wie Cloud Computing regeln, bilden ein umfassendes Regelwerk zum Verbrauchervertragsrecht. Unter anderem könnte § 327f BGB für Cloud-Anbieter interessant sein, da er sie verpflichtet, alle erforderlichen Software-(Sicherheits-)Updates bereitzustellen und Verbraucher über solche Updates zu informieren. Dienstanbieter können für Dienstmängel haftbar gemacht werden, die sich daraus ergeben, dass sie dies nicht tun. Daneben sieht das deutsche Recht eine Reihe allgemeiner Verbraucherschutzmaßnahmen vor, unter denen das Fernabsatzgesetz (§§ 312c ff. BGB) spürbare Auswirkungen auf Cloud-Dienste hat. Dienstleister unterliegen unter anderem umfassenden Informationspflichten (zB zu Anbieterangaben, Leistungsumfang, Gesamtkosten und Gewährleistung). Verbraucher haben zudem ein 14-tägiges Widerrufsrecht. Darüber hinaus schränken die Vorschriften der §§ 305 ff. BGB zur Verwendung von Allgemeinen Geschäftsbedingungen eine angemessene Formulierung für Dienstleister ein und verbieten überraschende oder missbräuchliche Klauseln, insbesondere bei Verträgen zwischen Unternehmen und Verbrauchern. Zu den Beschränkungen gehören Regelungen zu Haftungsausschlüssen und -beschränkungen, Bedingungen der Streitbeilegung, Wahl des Gerichtsstands und des anwendbaren Rechts, Vertragsstrafen, Kündigungsrechte oder Vertragsdauer. Bei diesen Vorschriften handelt es sich um zwingendes Recht, das gegenüber in Deutschland ansässigen Kunden nicht durch die Wahl eines anderen Rechts umgangen werden kann. Die Verordnung (EU) Nr. 524/2013 über die Online-Streitbeilegung in verbraucherrechtlichen Streitigkeiten erlegt Dienstleistern weitere Informationspflichten auf.

Sektorspezifische Gesetzgebung

Beschreiben Sie alle branchenspezifischen Gesetze oder Vorschriften, die für Cloud-Computing-Transaktionen in Ihrer Gerichtsbarkeit gelten.

Es gibt in Deutschland keine allgemeine Gesetzgebung in den Bereichen Cloud Computing, branchenübergreifend und multisektoral. Das BSIG enthält jedoch branchen- und branchenspezifische IT-Sicherheitsanforderungen für Betreiber kritischer Infrastrukturen wie Energie, Telekommunikation, Versicherungen oder Gesundheitswesen. Wenn Unternehmen in diesen lebenswichtigen Branchen digitale Dienste wie Cloud Computing nutzen (oder bereitstellen), müssen sie möglicherweise steigende Anforderungen an technische und organisatorische Maßnahmen zum Schutz ihrer IT-Systeme erfüllen und kritische IT-Sicherheitsvorfälle an das BSI melden. Darüber hinaus veröffentlicht das BSI den Cloud Compliance Controls Catalog (C5), der Kriterien zur Bewertung der IT-Sicherheit für Cloud-Dienste definiert. Darüber hinaus müssen Unternehmen in bestimmten Branchen branchenspezifische gesetzliche Anforderungen erfüllen, wie zum Beispiel:

• Deutsches Bankrecht, Zahlungsdienstekontrollrecht, deutsches Wertpapierhandelsrecht und Investmentrecht für Unternehmen der Finanzbranche;
• Versicherungskontrollrecht für Unternehmen der Versicherungsbranche.
• Gesetz über die Lieferung von Strom und Gas an Unternehmen der Energiewirtschaft; Und die
• TKG für Unternehmen der Telekommunikationsbranche.

Unternehmen, die im Gesundheits- und Rechtsbereich tätig sind, unterliegen bestimmten Geheimhaltungspflichten des deutschen Strafrechts und Verhaltenskodex. Die jeweiligen Aufsichtsbehörden erlassen in der Regel Richtlinien, um diese branchenspezifischen Anforderungen zu definieren. So stellt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) der Finanzbranche detaillierte Informationen zum rechtssicheren Einsatz von Informationstechnologie einschließlich Cloud Computing zur Verfügung, insbesondere in Bezug auf IT-Sicherheit, Vertragsgestaltung und Datenschutz. Im öffentlichen Sektor geben die Beschlüsse des Rates der Informationstechnik-Verwalter (2015) und des Informationstechnik-Planungsrates (2016) Standards für die Nutzung von Cloud-Diensten durch die Bundesverwaltung vor. Im Jahr 2021 hat der Informationstechnische Planrat einen Beschluss zur Stärkung der digitalen Souveränität des Bundes gefasst, einschließlich 2016 eingeführter Standards für die Nutzung von Cloud-Diensten durch die Bundesverwaltung (z Diese Daten sind sekundär, werden nur in Deutschland gespeichert und unterliegen ggf. keinen Offenlegungs- oder Veröffentlichungspflichten wie dem US Cloud Act).

Insolvenzrecht

Identifizieren Sie die Insolvenzgesetze, die allgemein oder speziell in Bezug auf Cloud Computing gelten.

Da es für Anbieter von Cloud Computing oder anderen IT-Dienstleistungen kein spezielles Insolvenzrecht gibt, gilt das allgemeine deutsche Insolvenzrecht (sofern deutsches Insolvenzrecht kollisionsrechtlich anwendbar ist). Für die meisten insolventen Unternehmen wird ein Insolvenzverwalter bestellt. Dem Verwalter steht es grundsätzlich frei, die Dauerschulden aus dem Cloud-Computing-Vertrag weiter zu erfüllen oder die Erfüllung zu verweigern.

Wenn der Cloud-Kunde zahlungsunfähig wird, wird der Administrator wahrscheinlich die Erfüllung des Cloud-Dienstleistungsvertrags verweigern und die Zahlungen einstellen, wobei der Anbieter in diesem Fall das Recht hat, die Bereitstellung von Diensten aufgrund von Zahlungsverzug einzustellen. Der Administrator kann den Vertrag bei Bedarf (und möglich) für den verwalteten Cloud-Client auch für einen begrenzten Zeitraum fortsetzen, muss dann aber für (zukünftige) Dienste bezahlen.

Wenn der Cloud-Anbieter Konkurs anmeldet, kann der Administrator die Leistung verweigern (d. h. die Bereitstellung von Diensten einstellen). In diesem Fall sollten Kunden in den meisten Fällen das Recht haben, die Trennung ihrer gespeicherten Daten zu verlangen und Daten zu migrieren oder zu löschen. Die praktische Durchsetzbarkeit eines solchen Anspruchs kann jedoch davon abhängen, ob die Insolvenzmasse über ausreichende Mittel verfügt, um die betreffenden Server zu betreiben. Wenn nicht, wird der Administrator (oder Hardwareanbieter) heruntergefahren Server und verhindern den weiteren Zugriff auf Kundendaten. Entscheidet sich der Verwalter des Cloud-Anbieters für eine Vertragsfortführung, stehen die Dienste unabhängig vom Insolvenzverfahren zur Verfügung. Kunden müssen dann prüfen, ob ihnen ein vertragliches Recht zur Kündigung des Cloud-Computing-Vertrags zusteht und ob dieses Kündigungsrecht im Falle einer Insolvenz des Anbieters durchsetzbar bleibt. Das Recht zur Vertragskündigung im Falle der Insolvenz der anderen Partei ist nach deutschem Recht häufig nicht durchsetzbar.