• RSS-Feed
  • Home
  • English
  • Sitemap
  • Impressum
  • AGB
Datenspeicherung und Softwarenutzung mit "Cloud Computing"

Zahlreiche Unternehmen sehen sich heutzutage einem immer stärker ansteigenden Bedarf an Rechenleistung ausgesetzt. Zwangsläufig müssen sie daher regelmäßig neue Hard- und Software anschaffen, die ihrerseits weitere laufende Kosten verursacht. Aus dem Bestreben, die Kosten in diesem Zusammenhang zu minimieren, entstand die Idee des sog. "Cloud Computing": Im Wesentlichen werden hierbei über das Internet Rechenleistungen bezogen, d. h. Hard- und Software wird vom Anwender nicht mehr selbst angeschafft, betrieben und vorgehalten, sondern bei einem oder mehreren Anbietern nach Bedarf als "Dienst" gemietet. Mittlerweile ist unstrittig, dass diese Form der Speicherung und Sicherung von Daten sowie der Softwarenutzung als eigenständiges Marktsegment rasant an Bedeutung gewinnt. Dies zeigt sich auch darin, dass das Thema "Cloud Computing" eines der Schwerpunktthemen der CeBIT 2011 war.

Die unterschiedlichen Aspekte des "Cloud Computing" möchten wir Ihnen in zwei Beiträgen vorstellen. Der nachfolgende erste Beitrag widmet sich dem Begriff und den rechtlichen Aspekten des "Cloud Computing". Die IT-spezifischen sowie organisatorischen Anforderungen an das "Cloud Computing" (beispielsweise Betrieb, Wartung und Support von Software) und die Voraussetzungen zur Erzielung betriebswirtschaftlicher Vorteile werden Gegenstand eines zweiten Beitrags der nächsten Ausgabe der FIDES Information sein.

 

Begriff des "Cloud Computing"
Beim "Cloud Computing" werden Computerleistungen über eine öffentliche Kommunikationsinfrastruktur, wie das Internet, bezogen. Software und Daten werden nicht mehr im Unternehmen verarbeitet und gespeichert. Stattdessen stellt ein Dienstleister die Software auf seinen oder fremden Servern zur Verfügung. Dabei werden Software und Daten je nach Bedarf der Anwender über das Internet bereitgestellt und sind damit grundsätzlich von überall erreichbar. Rechenleistung, Speicherkapazität und Software werden somit von den Anwenderunternehmen (wie der vielzitierte "Strom aus der Steckdose") nur noch bei Bedarf bezogen. Als wesentliche Vorteile werden immer wieder benannt, dass Lizenzkosten für Software entfallen, Updates der Software nicht mehr erforderlich sind, der Wartungsaufwand für die Hardware sich reduziert. Kurzum: Durch das Auslagern von Rechnerkapazitäten und Datenspeicherkapazitäten sollen sich die Kosten im Unternehmen reduzieren lassen.

So attraktiv das "Cloud Computing" vor allem aus wirtschaftlicher Sicht auf den ersten Blick erscheinen mag, so wichtig ist es, mit diesem verbundene rechtliche und IT-organisatorische Fragen unternehmensindividuell zu klären. Hierzu zählen vor allem klare Vertragsregelungen (insbesondere Regelungen zur Datenrückübertragung bei Vertragsende, zu Verantwortlichkeiten beim Datenschutz oder zum Aufbewahrungsort von rechnungslegungsrelevanten Daten).

 

Vertragliche Regelungen mit dem "Cloud"-Dienstleister
Die Auslagerung der IT in die "Cloud"-Struktur, zu welcher im Regelfall öffentliche Kommunikationskomponenten gehören, führt zu einer Abhängigkeit von Dienstleistern, von deren Leistungsqualität die Verfügbarkeit der Dienste beeinflusst wird. Vor diesem Hintergrund müssen die Verträge mit den "Cloud"-Dienstleistern sorgfältig erstellt und dabei insbesondere die individuellen Anforderungen des Anwenderunternehmens berücksichtigt werden. Wichtig sind klare Regelungen, z. B. zur Übernahme der Daten in die "Cloud"-Struktur (sog. Datenmigration), zur Sicherstellung der Leistungserbringung, zu Kündigungsmöglichkeiten und den damit erforderlicherweise verbundenen Mitwirkungspflichten der IT-Dienstleister etc. Herzstück des Vertrages ist eine genaue Beschreibung des Leistungsgegenstands (zu den sowohl die geschuldeten Softwarefunktionalitäten als auch im engeren und weiteren Sinne verbundene Dienstleistungen des IT-Anbieters gehören). Zu den Leistungen im engeren Sinne sind das Unterhalten der Datenbanken und der für den IT-Betrieb notwendigen Infrastrukturkomponenten sowie der Softwareanwendungen zu zählen. Besondere Sorgfalt sollten die Regelungen zum Maß der Verfügbarkeit der Leistungen erfordern. So würde eine Verfügbarkeit von 98 % im Jahresdurchschnitt dazu führen, dass die Systemfunktionalität in Summe an immerhin 7 Tagen im Jahr nicht verfügbar sein darf.

 

"Cloud Computing" und Datenschutz
Diejenigen Unternehmen, die personenbezogene Daten verarbeiten – wie z. B. bei Lohn- und Gehaltsabrechnungen über die DATEV –, müssen sich bei der geplanten Inanspruchnahme von "Cloud"- Dienstleistungen auch mit Fragen des Datenschutzes auseinandersetzen. Bei der Verletzung datenschutzrechtlicher Bestimmungen drohen Schadensersatzansprüche, Bußgelder und nicht zuletzt ein Imageschaden. Personenbezogene Daten dürfen nur ausgelagert werden, wenn eine gesetzliche Erlaubnis oder die Einwilligung der betroffenen Person vorliegt. Eine Form der gesetzlichen Erlaubnis bildet die sog. Auftragsdatenverarbeitung. Für die Auftragsdatenverarbeitung gelten gesetzlich festgelegte formale und inhaltliche Anforderungen:

So sind das Anwenderunternehmen und der "Cloud"-Dienstleister nicht nur verpflichtet, personenbezogene Daten vor unberechtigten Zugriffen zu schützen. Das Anwenderunternehmen muss auch den Speicherort der personenbezogenen Daten kennen. Doch gerade diese letztgenannte Voraussetzung dürfte in der Praxis nicht durchgängig gewährleistet werden können, wenn der "Cloud"- Dienstleister wechselnde Server im Ausland nutzt.

Geschäftsgeheimnisse unterliegen zwar grundsätzlich nicht dem gesetzlichen Datenschutz. Sie sind jedoch nicht weniger schützenswert. Insbesondere für sog. Fremdgeschäftsführer könnte eine "versehentliche" Weitergabe von Geschäftsgeheimnissen zu einer Haftung führen. Ein besonderes Augenmerk sollte dem Umstand gelten, dass Daten im Ausland u. U. anderen rechtlichen Zugriffsmöglichkeiten durch staatliche oder private Stellen ausgesetzt sind, als dies nach deutschem Recht der Fall ist.

 

"Cloud Computing" und Buchführungs und Verschwiegenheitspflicht
Bei der Auslagerung von steuerrechtlich relevanten Daten in ein Rechenzentrum sind die Vorgaben der Abgabenordnung (AO) zu beachten. Grundsätzlich unterscheidet sich das "Cloud Computing" hier nicht von der schon jahrzehntelang betriebenen Buchführung über Rechenzentren im sog. Application Service Providing-Verfahren (ASP). Nach § 146 Abs. 2 AO sind steuerrechtlich relevante Bücher und sonstige erforderliche Aufzeichnungen grundsätzlich im Original im Inland zu führen und aufzubewahren. Abweichend hiervon kann nach § 146 Abs. 2a AO die zuständige Finanzbehörde auf schriftlichen Antrag bewilligen, dass elektronische Bücher und sonstige erforderliche elektronische Aufzeichnungen im Ausland geführt und aufbewahrt werden. Diese Ausnahme gilt allerdings nur dann, wenn der Standort des Datenverarbeitungssystems mitgeteilt werden kann. Außerdem muss eine Zugriffsmöglichkeit der deutschen Finanzbehörden nach § 147 Abs. 6 AO gewährleistet sein.

Auch die Erfüllung der für jeden Kaufmann bestehenden Buchführungspflichten nach dem Handelsgesetzbuch (HGB) darf beim "Cloud Computing" nicht eingeschränkt werden. Nach § 257 Abs. 3 HGB dürfen Bücher auch in elektronischer Form auf Datenträgern aufbewahrt werden. Das Handelsrecht verlangt keine Buchführung im Inland. Allerdings muss eine Verfügbarkeit und Lesbarkeit der elektronischen Bücher innerhalb angemessener Frist sichergestellt sein. Dies gilt unabhängig davon, wo die Daten gespeichert sind – auch für das Speichern und den Zugriff im "Cloud Computing".

Schließlich müssen Berufsgeheimnisträger die für sie bestehenden besonderen Verschwiegenheitspflichten beachten (z. B. im Bereich der Rechts- und Steuerberatung, des Gesundheitswesens oder der Kranken-, Unfall- und Lebensversicherung). Eine leichtfertige Weitergabe von geschützten Daten kann strafrechtliche Konsequenzen nach sich ziehen.

 

Fazit
Um Haftungsrisiken auszuschließen, müssen beim "Cloud Computing" – ebenso wie bei einem Betrieb der IT-Infrastruktur innerhalb des Unternehmens – Fragen der Datensicherheit und der Compliance i.S. von Entscheidung und Verantwortung als wichtige Themen vor einer Weitergabe von Daten in die "Cloud"-Struktur unternehmensindividuell geprüft werden. Hierbei sind aufgrund der veränderten IT-Strukturen besondere Anforderungen an die vertraglichen Grundlagen zu beachten. Insbesondere müssen Risiken geregelt werden, die sich daraus ergeben, dass die Anwenderunternehmen – anders als beim "klassischen" Outsourcing – ggf. keine Kontrolle mehr über den tatsächlichen Verbleib der von Ihnen an den "Cloud"-Dienstleister übermittelten Daten oder die Sicherheit der von diesen genutzten Infrastruktur haben. Gleichwohl bleibt festzustellen, dass, sobald die rechtlichen Betriebsvoraussetzungen adäquat dargestellt werden können, die Nutzung von Softwarekomponenten im "Cloud Computing" über das Internet grundsätzlich neue Geschäftsmodelle ermöglicht, welche gerade kleinen und mittleren Unternehmen Wettbewerbsvorteile bieten können. Die dafür zu lösenden IT-spezifischen Anforderungen werden wir Ihnen im zweiten Teil dieses Beitrags in der nächsten Ausgabe der FIDES Information darstellen.

Ansprechpartner
  • Dr. Andreas Nutz
    Geschäftsführender Gesellschafter der
    FIDES IT Consultants GmbH
Publikationen
FIDES Information 1/2011
Download