Cloud Computing in der anwaltlichen Beratungspraxis
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Reintzsch, Cloud Computing in der anwaltlichen Beratungspraxis BRJ 01/2013 23
Cloud Computing in der anwaltlichen
Beratungspraxis
RA Dirk Reintzsch, Köln*
I. Einleitung Servern vorinstallierte Softwareanwendung über das Inter-
net zur Nutzung bereitstellt (SaaS).3
Cloud Computing ist derzeit eines der zentralen Themen
im Bereich der Informationstechnologie, wobei sich eine
Trotz der hohen medialen Aufmerksamkeit, die der The-
allgemeingültige De¿nition des Cloud Computing bislang
matik Cloud Computing seit einiger Zeit zuteil wird und
noch nicht herausgebildet hat und die anzutreffenden Be-
der vielen unbestreitbaren Vorteile, welche die Technolo-
griffsverständnisse in den Einzelheiten teils voneinander
gie bereit hält (neben dem aus der verbrauchsabhängigen
abweichen.1 Aus unternehmerischer Sicht lässt sich Cloud
Abrechenbarkeit resultierenden Kosteneinsparpotential sei
Computing wohl am treffendsten als besondere Form des
exemplarisch nur die steigende Agilität aufgrund der Er-
IT-Outcourcing beschreiben, bei dem IT-Service Leistun-
möglichung einer ortsungebundenen IT-Nutzung genannt),
gen auf einen (externen) Dienstleister ausgelagert werden.
haben insbesondere deutsche Unternehmen diese bislang
Statt eigene IT Ressourcen in Form von Hard- und Soft-
erwiesenermaßen nur recht zögerlich zum Bestandteil ihrer
ware zu beschaffen und zu betreiben, beziehen Unterneh-
IT-Strategie gemacht.4 Als Hauptgrund wurden Bedenken
men IT-Leistungen aus der Cloud (d.h. zumeist über das
im Hinblick auf die Sicherheit der in die Cloud eingestell-
Internet). Anders als beim klassischen IT-Outsourcing
ten Informationen und Daten ausgemacht. Einer Vielzahl
hält der Dienstleister die IT-Infrastruktur allerdings nicht
von IT-Verantwortlichen fehlt es ganz offenbar noch am
nur für einen, sondern für eine Vielzahl von (potentiellen)
dem erforderlichen Vertrauen in die Cloud Anbieter, wes-
Kunden vor. Dies erlaubt Skaleneffekte, setzt jedoch auch
halb sie lieber davon absehen, ihre mitunter sehr sensiblen
eine gewisse Standardisierung voraus. Cloud Computing
unternehmensbezogenen Daten in die Cloud zu verlagern.
Angebote basieren auf dem Einsatz virtueller Systeme, die
Nichtsdestotrotz gibt es auch schon heute viele Unter-
unabhängig von der konkreten Hardware je nach Nachfra-
nehmen, die den Schritt in die Cloud wagen und insofern
ge kon¿guriert und zur Verfügung gestellt werden können.
rechtlichen Beratungsbedarf anmelden.
Hierdurch werden ein bedarfsgerechter Bezug und eine
verbrauchsabhängige Abrechnung der Serviceleistungen
Aus anwaltlicher Sicht teilt sich die Beratung in zwei Be-
ermöglicht, d.h. der Kunde muss nur für das bezahlen,
reiche. Zum einen gilt es, den Mandanten auf zwingende
was er auch tatsächlich genutzt hat.2 Als gängige Erschei-
Gesetze hinzuweisen, die bei dem Bezug von Cloud Leis-
nungsformen von Cloud Computing haben sich insbeson-
tungen zu beachten sind. Dies können Vorschriften aus
dere „Infrastructure as a Service“ (IaaS), „Plattform as a
dem Steuerrecht sein, sofern steuerlich relevante Daten in
Service“ (PaaS) und „Software as a Service“ (SaaS) eta-
der Cloud verarbeitet werden sollen. Wollen Banken und
bliert, im Rahmen derer der Cloud Anbieter dem Kunden
Versicherungen wesentliche Leistungen aus der Cloud be-
Rechen- und Speicherleistung (IaaS), eine Plattform, z.B.
ziehen, sind die Voraussetzungen des Aufsichtsrechts zu
zur Entwicklung von Software (PaaS) oder eine auf seinen
beachten. Vor allem aber ist das Datenschutzrecht zu be-
*
Der Autor ist Rechtsanwalt bei Oppenhoff & Partner in Köln. achten, da Datenverarbeitungen in der Cloud fast immer
1
Vgl. zur De¿nition des Begriffs „Cloud Computing“: Nägele/Ja- auch personenbezogene Daten betreffen.
cobs, ZUM 2010, 281; Wagner/Blaufuß, BB 2012, 175.
2
Nägele/Jacobs (ZUM 2010, 281) sprechen in diesem Zusam- Neben der Beratung zu diesen zwingenden Vorschriften
menhang von einem „Paradigmenwechsel“.
Auf technischer Ebene wird dies realisiert, indem die Anbieter sol-
besteht die anwaltliche Aufgabe darin, bei der Gestaltung
cher Leistungen große Rechenzentren errichten, auf deren (unzähli- des Vertrages zwischen Cloud Anbieter und Kunden zu be-
gen) Computern beispielsweise die betreffende Software ausgeführt raten.5 Hier geht es in erster Linie um eine angemessene
wird oder der Speicherplatz in Form von Festplatten tatsächlich vor- Verteilung von Risiko und Chance, z.B. bei den Themen
handen ist. Der einzelne Nutzer bekommt die Leistungen dann über
3
das Internet, meist über den Browser, zur Verfügung gestellt. Dabei Vgl. zu den unterschiedlichen Erscheinungsformen von Cloud
läuft die Software, deren Ergebnisse er angezeigt bekommt, nicht auf Computing: Bierekoven, ITRB 2010, 42 (42/43).
4
einem bestimmten Rechner, sondern verteilt auf alle vorhandenen So das Ergebnis einer von Deloitte und BITKOM durchgeführten
Maschinen, je nachdem, welche gerade die notwendigen Ressourcen Umfrage.
frei hat. Die dazu benutzte Technik nennt man „Virtualisierung“, weil http://www.deloitte.com/assets/Dcom-Germany/Local%20
den Nutzern keine echten physischen Computer exklusiv zur Verfü- Assets/Documents/12_TMT/2010/DE_TMT_Cloud_Compu-
gung stehen, sondern virtuelle Maschinen mit soviel Ressourcen, wie ting_19012011.pdf, Abruf v. 01.02.2013.
5
eben gerade benötigt werden. Vgl. auch Niemann/Paul, K&R 2009, S. 444 (445).
A U F S ÄT Z E24 BRJ 01/2013 Reintzsch, Cloud Computing in der anwaltlichen Beratungspraxis
Haftung, Kündigung oder Exit, d.h. Rückführung oder der Voraussetzung zulässig ist, dass der Betroffene hierin
Überleitung der Leistungsverantwortung bei Vertragsen- einwilligt oder der Verarbeitungsvorgang von einer gesetz-
de. Bei urheberrechtlich relevanten Vorgängen des Cloud lichen Erlaubnisnorm gedeckt ist, besteht die Besonderheit
Computing wie der Nutzung von Software im Rahmen von einer Auftragsdatenverarbeitung darin, dass der weisungs-
SaaS muss außerdem sichergestellt werden, dass dem Kun- abhängige Auftragnehmer gewissermaßen als verlängerter
den die für die Nutzung erforderlichen Rechte vertraglich Arm des Auftraggebers fungiert, weshalb eine zu rechtfer-
eingeräumt werden und der Cloud Anbieter zu einer ent- tigende Übermittlung zwischen beiden Stellen gewöhnlich
sprechenden Rechtseinräumung überhaupt berechtigt ist. nicht statt¿ndet.8 Stattdessen sind die Voraussetzungen des
§ 11 BDSG einzuhalten, d.h. insbesondere ein schriftlicher
Dieser Beitrag gibt einen kursorischen Überblick über ei- Vertrag abzuschließen, in dem vom Gesetz de¿nierte As-
nige der wesentlichen datenschutz- und urheberrechtlichen pekte zu regeln sind.
Aspekte des Cloud Computing, die es in der anwaltlichen
Beratungspraxis zu berücksichtigen gilt. 3. Datenverarbeitung im Drittland (außerhalb
der EU und des EWR)
II. Datenschutzrechtliche Aspekte des Cloud Auftraggeber und Auftragnehmer können gemäß § 3 VIII 3
Computing BDSG aber nur dann als Einheit betrachtet werden, wenn
1. Grundsätzliche datenschutzrechtliche Zuläs- der Cloud Anbieter die Daten in einem Mitgliedsstaat der
sigkeit Europäischen Union (EU) oder in einem anderen Ver-
tragsstaat des Abkommens über den Europäischen Wirt-
Während die datenschutzrechtliche Zulässigkeit von Cloud
schaftsraum (EWR) verarbeitet. Da die Daten im Rahmen
Computing von einigen Autoren zunächst grundlegend an-
von Cloud Computing aber häu¿g auf weltweit verstreu-
gezweifelt wurde, herrscht mittlerweile – insbesondere bei
ten Serverfarmen abgelegt werden, gelangt die Privilegie-
den für die Rechtspraxis maßgeblichen Datenschutzbe-
rungswirkung der Auftragsdatenverarbeitung nicht immer
hörden6 – die Auffassung vor, dass sich Cloud Computing
unmittelbar zur Anwendung. In diesem Fall liegt also eine
auch insofern rechtskonform ausgestalten lässt.
Übermittlung von Daten vor, die aber nach § 28 BDSG
zulässig sein kann. Probleme bestehen aber immer dann,
2. Datenschutzrechtliche QualiÀkation des Ver- wenn die Beteiligten auf die Privilegierungswirkung der
tragsverhältnisses Auftragsdatenverarbeitung angewiesen sind, etwa weil eine
Cloud Computing wird überwiegend als Auftragsdatenver- Verarbeitung besonderer Arten personenbezogener Daten
arbeitung im Sinne von § 11 BDSG eingestuft, im Rahmen im Sinne von § 3 IX BDSG in Rede steht (u.a. Angaben
derer der Cloud Anbieter die fraglichen personenbezoge- über religiöse Überzeugungen und die Gesundheit), die
nen Daten im Auftrag des Kunden verarbeitet.7 Während wegen ihrer gesteigerten Schutzbedürftigkeit ohne Einwil-
die Erhebung, Verarbeitung und Nutzung personenbezo- ligung der Betroffenen kraft Gesetzes nur unter sehr res-
gener Daten gemäß § 4 I BDSG grundsätzlich nur unter triktiven Anforderungen zulässig ist. Ist die beabsichtigte
Datenverarbeitung in entsprechend gelagerten Fällen – zu
6
Dies lässt sich mittelbar etwa der „Orientierungshilfe – Cloud denken wäre etwa an eine Arbeitnehmerdatenbank, z.B. mit
Computing“ der Arbeitskreise Technik und Medien der Konfe- Angaben zur Gesundheit oder Religion der Arbeitnehmer
renz der Datenschutzbeauftragten des Bundes und der Länder vom
26.09.2011entnehmen. http://www.datenschutz-bayern.de/technik/
– nicht von den gesetzlichen Erlaubnisnormen gedeckt und
orient/oh_cloud.pdf, Abruf v. 01.02.2013. auch eine Einholung von Einwilligungen der Betroffenen
7
Ob dies tatsächlich zutrifft, hängt unter anderem davon ab, ob der nicht möglich oder praktikabel, bestehen mehrere Möglich-
Kunde faktisch und rechtlich Herr der Daten bleibt, d.h. die Entschei- keiten: Es kann mit dem Cloud Anbieter vereinbart und in
dungshoheit über den Umgang mit diesen behält. Zweifelhaft kann den abzuschließenden Vertrag aufgenommen werden, dass
allerdings bereits die Frage sein, ob deutsches Datenschutzrecht über-
haupt zur Anwendung gelangt. Ausgangspunkt der Betrachtung ist in
die Verarbeitung der personenbezogenen Daten insgesamt
der Praxis die Frage, wo die verantwortliche Stelle ihren Sitz hat. Bei oder zumindest die Verarbeitung der nach dem Gesetz als
einer Auftragsdatenverarbeitung ist verantwortliche Stelle gemäß § 3 besonders sensitiv eingeschätzten Daten ausschließlich auf
VII BDSG der Auftraggeber, weshalb auf den Kunden (und nicht den dem Gebiet der EU bzw. im EWR erfolgen darf.9 Ist dies
Cloud Anbieter als Auftragnehmer) abzustellen ist: Sitzt der Kunde nicht möglich bzw. verhandelbar, ist entweder durch tech-
in Deutschland, ist deutsches Datenschutzrecht zu beachten. Sitzt
der Kunde in einem anderen Mitglieds- bzw. Vertragsstaat der EU
nische und organisatorische Maßnahmen sicherzustellen,
bzw. des EWR, kommt gemäß § 1 V 1 BDSG grundsätzlich nicht
deutsches Datenschutzrecht, sondern das Datenschutzrecht seines Daten nicht selten auf wechselnden, weltweit verstreuten Server-
Sitzlandes zur Anwendung (sog. Sitzprinzip). Sitzt der Kunde in ei- farmen abgelegt werden und unter Umständen auch für den Cloud
nem Drittland (weder Mitgliedsstaat der EU noch Vertragsstaat des Anbieter nicht ohne weiteres feststellbar ist, wann sich die diese wo
EWR), ist deutsches Datenschutzrecht nach § 1 V 2 BDSG nur dann be¿nden. Vgl. eingehender zur Thematik des anwendbaren Daten-
anwendbar, wenn sich der datenschutzrechtlich relevante Vorgang – schutzrechts: Nägele/Jacobs, ZUM 2010, 281 (289/290).
8
die Datenverarbeitung in der Cloud – auf deutschem Boden vollzieht. Vgl. Gola/Schomerus, BDSG, 11. AuÀ. 2012, § 11 Rn. 3 u. 4.
9
Im letztgenannten Fall kommt es mit anderen Worten nicht mehr auf Die vertragliche Festlegung des physischen Standorts der Daten
den Sitz des Kunden, sondern auf den Ort der Datenverarbeitung an ist grundsätzlich ratsam, weil das Vorliegen einer Auftragsdatenver-
(sog. Territorialitätsprinzip). Diese Feststellung kann im Rahmen von arbeitung im Sinne von § 11 BDSG unter anderem voraussetzt, dass
Cloud Computing aber erhebliche Schwierigkeiten bereiten, weil die der Kunde die Entscheidungshoheit über die wesentlichen Schritte
A U F S ÄT Z EReintzsch, Cloud Computing in der anwaltlichen Beratungspraxis BRJ 01/2013 25
dass es nicht zu einer Übermittlung von besonderen Arten Inhaltlich muss die Vereinbarung den in § 11 II BDSG auf-
personenbezogener Daten kommt oder in letzter Konse- gestellten Mindestanforderungen genügen, wobei sich ins-
quenz auch gänzlich vom Gang in die Cloud (zumindest besondere aus Sicht des Kunden die Aufnahme weiterer,
über den jeweiligen Cloud Anbieter) abzusehen (wenn sich cloud-spezi¿scher Bestimmungen emp¿ehlt: Dies vornehm-
das Anfallen derartiger Daten nicht vermeiden lässt). lich deshalb, weil er als Auftraggeber für die Einhaltung der
datenschutzrechtlichen Bestimmungen im Rahmen der Da-
Ob die Daten innerhalb oder außerhalb der EU bzw. des tenverarbeitung verantwortlich bleibt und bei Erfüllung der
EWR abgelegt werden, ist allerdings nicht nur für das Ein- ihn treffenden PÀichten häu¿g in besonderem Maße auf die
greifen der Privilegierungswirkung der Auftragsdatenver- Mitwirkung des Cloud Anbieters angewiesen ist. So wird er
arbeitung von Belang. Der physische Standort der Daten ist etwa der sich aus § 35 BDSG unter Umständen ergebenden
vielmehr auch insofern von Bedeutung, als die Übermitt- VerpÀichtung zur Berichtigung, Löschung und Sperrung von
lung von personenbezogenen Daten an einen Auftragsver- Daten aufgrund seines in aller Regel nur sehr eingeschränk-
arbeiter im Drittland gemäß §§ 4b, 4c BDSG überhaupt nur ten Zugriffs auf die Systeme des Cloud Anbieters nur mit
erfolgen darf, wenn bei diesem ein angemessenes Daten- dessen Unterstützung nachkommen können. Daher bietet
schutzniveau gewährleistet ist.10 Dies lässt sich insbesonde- es sich an, die in den Vertrag nach § 11 II 2 Nr. 9 BDSG
re dadurch herstellen, dass sich Cloud Anbieter und Kunde ohnehin aufzunehmenden Weisungsbefugnisse, die sich der
auf die Geltung der von der Europäischen Kommission Kunde vorbehält, möglichst konkret zu fassen und – sofern
ausgearbeiteten Standardvertragsklauseln für Auftragsver- verhandelbar – zusätzlich mit einer Vertragsstrafenregelung
arbeiter verständigen, die hierfür unverändert in den abzu- für den Fall der Nichtbeachtung zu versehen, um gegenüber
schließenden Cloud Vertrag zu implementieren sind. Soll dem Cloud Anbieter ein wirksames Druckmittel zu haben.13
der Cloud Anbieter als Teil einer international agierenden Ferner ist es insbesondere ratsam, in den Vertrag so genann-
Konzerngesellschaft für andere Konzerngesellschaften te Exit-Regelungen aufzunehmen, die festlegen, wie mit
eine interne Cloud betreiben, kommt daneben auch die In- den in der Cloud abgelagerten Daten bei einem vorzeitigen
kraftsetzung verbindlicher Unternehmensregelungen (sog. Vertragsende zu verfahren ist, sprich unter welchen Voraus-
Binding Corporate Rules) in Betracht. Für in den USA setzungen (Kosten etc.), wann (nämlich nicht erst bei Ver-
ansässige Unternehmen hat die Europäische Kommission tragsende) und wie (insbesondere in welchem Dateiformat)
mit dem Handelsministerium der USA insofern eine Ver- diese dem Kunden wieder verfügbar gemacht werden.14
einbarung zu den Grundsätzen des sicheren Hafens (Safe
Harbour-Abkommen) getroffen. Hiernach wird bei US- 5. KontrollpÁicht des Kunden gemäß § 11 II 4
amerikanischen Unternehmen, die sich gegenüber der zu- BDSG
ständigen US-Behörde bestimmten Datenschutzprinzipien
In verfahrenstechnischer Hinsicht stellt sich die Vorschrift
– den sog. Safe Harbour Prinzipien – unterwerfen, ein an-
von § 11 II 4 BDSG als problematisch dar, der zufolge der
gemessenes Datenschutzniveau angenommen.11
Auftraggeber – der Kunde – die Einhaltung der vereinbar-
ten technischen und organisatorischen Maßnahmen (diese
4. Form und Inhalt des Auftragsdatenverarbei- sind gemäß § 11 II 2 Nr. 3 BDSG in dem abzuschließenden
tungsvertrags Vertrag über die Auftragsdatenverarbeitung im Einzelnen
Über diese aufgeführten, bei Cloud Computing aufgrund festzulegen) durch den Auftragnehmer – den Cloud Anbie-
des gewöhnlich statt¿ndenden grenzüberschreitenden Da- ter – vor Auftragsbeginn und sodann regelmäßig zu kon-
tenverkehrs besonders relevanten Aspekte hinaus gilt es zu trollieren hat. Schließt man hieraus auf die VerpÀichtung
berücksichtigen, dass der Auftrag gemäß § 11 II 2 BDSG zu einer persönlichen Vorortkontrolle, ist diese dem Kun-
schriftlich zu erteilen ist, zumal der Einhaltung dieses den in der Regel kaum sinnvoll möglich. Auch ansonsten
Schriftformerfordernisses in der Literatur teils konstitutive werden viele Kunden überhaupt nicht über das Know-how
Wirkung beigemessen wird, d.h. bei Nichtbeachtung keine verfügen, derartige Kontrollen durchzuführen. Im Übrigen
wirksame Auftragsdatenverarbeitung vorliegen soll.12 wird der Cloud Anbieter auch nicht immer ohne weiteres
Auskunft geben können, wo sich die Daten genau be¿n-
der Datenverarbeitung hat, was sich dann auch im Hinblick auf den den.15 Nach wohl überwiegender, insbesondere auch von
Ort der Datenverarbeitung dokumentieren lässt. einer Datenschutzbehörde16 schon geteilten Auffassung
10
Vgl. hierzu auch Wagner/Blaufuß, BB 2012, 1751 (1752).
11
Den deutschen Datenschutzbehörden zufolge soll hierfür die blo-
kann an die Stelle einer eigenen Überprüfung allerdings
ße Zerti¿zierung des Unternehmens als Safe Harbour allerdings nicht
13
mehr ausreichend sein. Die datenexportierende Stelle muss vielmehr So die Empfehlung der Datenschutzbehörden (vgl. Orientie-
unter anderem prüfen, ob das Zerti¿kat noch gültig ist (vgl. Beschluss rungshilfe – Cloud Computing
der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffent- der Arbeitskreise Technik und Medien der Konferenz der Daten-
lichen Bereich vom 28./29. April 2010. https://www.datenschutzzen- schutzbeauftragten des Bundes und der Länder vom 26.09.2011un-
trum.de/internationaler-datenverkehr/Beschluss_28_29_04_10neu. ter Ziffer 3.3. http://www.datenschutz-bayern.de/technik/orient/
pdf, Abruf v. 01.02.2013). oh_cloud.pdf, Abruf v. 01.02.2013).
12 14
So etwa Gola/Schomerus, (Fn. 8), § 11 Rdnr. 17; Petri, in: Si- Vgl. zu dieser Thematik auch Pohle/Ammann, CR 2009, 273 (277).
15
mitis, BDSG, 7. AuÀ. 2011, § 11 Rn. 64; Wedde, in: Däubler/Klebe/ Pohle/Ammann, CR 2009, 273 (277).
16
Wedde/Weichert, BDSG, 3. AuÀ. 2010, § 11 Rn. 32; a.A. aber etwa Bayerisches Landesamt für Datenschutz, 4. Tätigkeitsbericht
Gabel, in; Taeger/Gabel, BDSG, § 11 BDSG Rn. 54. 2009/2010, Ziffer 5.1.2. http://www.lda.bayern.de/lda/datenschutzauf-
A U F S ÄT Z E26 BRJ 01/2013 Reintzsch, Cloud Computing in der anwaltlichen Beratungspraxis
auch das Testat eines unabhängigen Dritten treten, welcher entnehmen lässt – vielmehr auch weitere, gesetzlich (noch)
die Kontrolle im Auftrag des Kunden durchführt.17 Wenn- nicht normierte Nutzungsarten in Betracht.
gleich somit eigentlich eine Lösung angedeutet ist, bleiben
doch viele Fragen offen (etwa welche Anforderungen ge- a) Nutzungsrecht für Installation und Ablaufen
nau an das Testat zu stellen sind und welche Rechtsfolgen lassen
sich hieraus ergeben). Letztlich bleibt es dem Gesetzgeber
Um die Softwareanwendung zur Nutzung bereit zu stellen,
vorbehalten, durch eine ausdrückliche gesetzliche Rege-
muss der Cloud Anbieter diese zunächst auf seiner IT-In-
lung für Rechtssicherheit zu sorgen.18
frastruktur installieren und anschließend auf seinen Syste-
men ablaufen lassen. Da die Software bzw. Bestandteile
III. Urheberrechtliche Aspekte des Cloud Com- derselben im Rahmen der Installation gespeichert werden,
puting19 sind die Anforderungen an eine Vervielfältigung im Recht-
1. Urheberrechtliche Relevanz von SaaS sinne erfüllt.21 Das Ablaufen lassen von Software setzt in
aller Regel eine zumindest vorübergehende Speicherung
Soll Gegenstand der vertraglichen Vereinbarung zwischen
im Arbeitsspeicher des betreffenden Rechners voraus, wes-
Cloud Anbieter und Kunde die Nutzung von Software über
halb es insofern zu einer weiteren Vervielfältigungshand-
die Cloud sein, handelt es sich in aller Regel um einen ur-
lung kommt. Der Cloud Anbieter benötigt daher für beide
heberrechtlich relevanten Vorgang, weil Software – genau-
Vorgänge ein Vervielfältigungsrecht.
er gesagt der Quell- und Objektcode in seiner konkreten
Gestalt – nach Maßgabe der §§ 69a ff. UrhG urheberrecht-
lich geschützt ist.20
b) Nutzungsrecht für die Bereitstellung zur Nutzung
Während Vervielfältigungen anlässlich von Installati-
2. Nutzungshandlungen des Cloud Anbieters on und Ablaufen lassen charakteristische Vorgänge im
Zusammenhang mit der Nutzung von Software sind, die
Das ausschließliche Recht, das urheberrechtlich geschützte
auch bei einer herkömmlichen Nutzung von Software im
Werk zu verwerten, liegt gemäß § 15 I UrhG zunächst beim
eigenen Betrieb des Unternehmens statt¿nden, stellt sich
Urheber selbst, also bei der natürlichen Person, welche
speziell für das Cloud Computing bzw. genauer gesagt für
den Softwarecode programmiert hat. Bei angestellten Pro-
die Erscheinungsform SaaS die Frage, wie die gewöhnlich
grammierern gehen die Verwertungsrechte gemäß § 69b
an eine unbestimmte Anzahl von Personen gerichtete Nut-
UrhG automatisch auf den Arbeitgeber über. Ist der Cloud
zungsbereitstellung der Software über das Internet urhe-
Anbieter nicht selbst Inhaber der Verwertungsrechte an
berrechtlich zu bewerten ist.
der vertragsgegenständlichen Softwareanwendung, muss
er sich vom Rechteinhaber die für sein Geschäftsmodell
BegrifÀich naheliegend erscheint es, den Vorgang als ge-
benötigten Nutzungsrechte einräumen lassen. Der Umfang
mäß § 69c Nr. 4 UrhG zustimmungsbedürftige öffentliche
der benötigten Rechte bemisst sich hierbei danach, welche
Zugänglichmachung einzustufen. Das Öffentlichkeitser-
relevanten Nutzungshandlungen statt¿nden bzw. statt¿n-
fordernis wird gewöhnlich in der Tat auch erfüllt sein.22
den sollen. In § 69c UrhG werden als mögliche Nutzungs-
handlungen von Software das Vervielfältigen, Umarbeiten,
Ob es auch zu einer Zugänglichmachung der fraglichen
Verbreiten und die öffentliche Wiedergabe einschließlich
Softwareanwendung kommt, wird allerdings kontrovers
der öffentlichen Zugänglichmachung genannt. Diese Auf-
beurteilt.23 Während die wohl herrschende Meinung24 eine
zählung ist allerdings nicht abschließend zu verstehen.
öffentliche Zugänglichmachung für einschlägig erachtet,
Es kommen – wie sich der Vorschrift von § 31a UrhG
nimmt eine in der Literatur vertretene Auffassung25 den
konträren Standpunkt ein. Sie verneint eine öffentliche
sicht/lda_daten/dsa_Taetigkeitsbericht_2010.pdf, Abruf v. 01.02.2013.
17 21
Vgl. Gola/Schomerus, (Fn. 8), § 11 Rdnr. 21; Petri, (Fn. 12), § 11 Vgl. auch Bisges, MMR 2012, 574 (575/576).
22
Rn. 59, Wedde, (Fn. 12), § 11 Rn. 57. Dies gilt gewöhnlich selbst für den Fall, dass es sich nicht um
18
Vgl. zu diesem Aspekt auch die eingehenden Ausführungen im eine Public Cloud, sondern um Private Cloud (wie etwa ein ¿rmen-
rechtspolitischen Thesenpapier „Datenschutzrechtliche Lösungen eigenes Intranet) handelt, weil der Öffentlichkeitsbegriff in § 15 III
für Cloud Computing“ der Arbeitsgruppe „Rechtsrahmen des Cloud UrhG sehr weit gefasst ist, vgl. hierzu Bisges, MMR 2012, 574 (576).
23
Computing“ im Kompetenzzentrum Trusted Cloud. http://www. Einigkeit besteht allerdings wohl insofern, als es nicht darauf an-
trusted-cloud.de/documents/Datenschutzrechtliche-Loesungen-fuer- kommt, ob die Software tatsächlich abgerufen bzw. ausgeführt wird
Cloud-Computing.pdf, Abruf v. 01.02.2013. (vgl. Wiebe, in: Spindler/Schuster, Recht der elektronischen Medien,
19
Die nachfolgenden Ausführungen gehen auf das Arbeitspapier 2. AuÀ. 2011, § 19a UrhG Rn. 2).
24
„Lizenzierungsbedarf beim Cloud Computing“ der Arbeitsgruppe Vgl. OLG München GRUR-RR 2009, 91 (91 f.); Bisges, MMR
„Rechtsrahmen des Cloud Computing“ im Kompetenzzentrum Trus- 2012, 574 (576); Niemann/Paul, K&R 2009, 444 (448); Pohle/Am-
ted Cloud zurück, an dessen Erstellung der Autor beteiligt war. http:// mann, CR 2009, 273 (276); Redeker, IT-Recht, 5. AuÀ. 2012, Ab-
www.trusted-cloud.de/documents/121102_Thesenpapier_Lizen- schnitt A) Rn. 70; Spindler, in: Loewenheim Urheberrecht Kommen-
zen_03.pdf, Abruf v. 01.02.2013. tar, 4. AuÀ. 2010, vor §§ 69a ff. Rn. 69.
20 25
Urheberrechtlich relevante Vorgänge sind des Weiteren in Form Grützmacher, CR 2011, 697 (705); Nägele/Jacobs, ZUM 2010,
des Up-und Downloads von urheberrechtlich geschützten Werken in 281 (287); für den Fall, dass der Kunde im Rahmen der Nutzung der
die über die Cloud zur Nutzung bereit gestellte Software denkbar, Softwarefunktionalitäten keine zustimmungsbedürftige Handlung
vgl. Bisges, MMR 2012, 574 (575). vornimmt auch: Koch, ITRB 2011, 42 (43/44).
A U F S ÄT Z EReintzsch, Cloud Computing in der anwaltlichen Beratungspraxis BRJ 01/2013 27
Zugänglichmachung unter Hinweis darauf, dass dem Kun- größeren Aufwand bewerkstelligen lässt, geht mit der Auf-
den gerade nicht – wie es von § 69c Nr. 4 UrhG gefordert nahme einer unbekannten Nutzungsart naturgemäß ein un-
werde – die Software selbst, also der ablauffähige Code, gleich größerer vertragsgestalterischer Aufwand einher, zu-
sondern allein die BenutzeroberÀäche des Computerpro- mal speziell im Urheberrecht eine exakte und ausdrückliche
gramms übertragen und somit zugänglich gemacht wer- Benennung der zu übertragenden Rechte verlangt wird.32
de.26 Dies erscheint auf den ersten Blick zweifelhaft, da Bei Beratung eines (potentiellen) Kunden ist zu prüfen, ob
sich dem Gesetzeswortlaut keine Anhaltspunkte dafür ent- der Anbieter über die benötigten Rechte verfügt, um dem
nehmen lassen, dass das Computerprogramm oder wesent- Kunden die Software wie beabsichtigt über die Cloud zur
liche Teile desselben für ein Zugänglichmachen im Sinne Nutzung bereitstellen zu können. Der Kunde wird (abgese-
der Vorschrift im Quell- oder Objektcode abrufbar sein hen von Großtransaktionen, in deren Rahmen eine sog. Ven-
müssen. Unbestritten ist, dass es sich bei der gra¿schen dor Due Diligence statt¿ndet) allerdings in den wenigsten
BenutzeroberÀäche eines Computerprogramms nicht um Fällen tatsächlich einmal Einblick in den zwischen Anbieter
eine urheberrechtlich geschützte Ausdrucksform des Com- und Rechteinhaber geschlossenen Vertrag bekommen.
puterprogramms handelt.27 Da „Zugänglichmachung“ als
das Eröffnen von Zugriff auf das betreffende Werk de¿- 3. Nutzungshandlungen des Kunden
niert wird,28 lässt es sich daher zweifelsohne gut vertre-
Für SaaS ist es charakteristisch, dass die Softwareanwen-
ten, in dem bloßen zum Abruf stellen der nicht zum Werk
dung ausschließlich auf den Rechnern des Cloud Anbie-
„Computerprogramm“ gehörenden gra¿schen Benutzer-
ters installiert wird und dort abläuft, weshalb es insofern
oberÀäche noch keine öffentliche Zugänglichmachung zu
zu keiner Vervielfältigungshandlung durch den Kunden
erblicken. Andererseits lassen sich auch gute Argumente
kommt.33 Letzterer kann die Software aber häu¿g nur un-
für die gegenteilige Auffassung ¿nden. So hat etwa das
ter der Voraussetzung nutzen, dass er auf seinem Rechner
OLG München nicht zu Unrecht darauf verwiesen, „dass
zunächst ein Programm installiert, welches er bei Bedarf
auch andere Werkarten (Theaterstücke, Musikwerke) in ei-
ablaufen lässt, um auf die Software zugreifen zu können
ner Weise der Öffentlichkeit zugänglich gemacht werden,
(in Form sog. Clients und Apps etc.). Für die hiermit ein-
ohne dass dieser das Werk selbst in körperlicher Form […]
hergehenden Vervielfältigungen dieses Programms benö-
präsentiert wird.“29 Selbst wenn man das Verständnis teilt,
tigt der Kunde ein entsprechendes Nutzungsrecht. Sofern
dass keine öffentliche Zugänglichmachung vorliegt, wird
es sich hierbei nicht ohnehin um bei dem Kunden bereits
man hieraus richtigerweise aber nicht etwa auf die urhe-
vorhandene Standardprogramme handelt (wie etwa den In-
berrechtliche Irrelevanz der Nutzungsbereitstellung der
ternetbrowser), ist bei der Vertragsgestaltung für eine ent-
Software schließen können.30 Der Cloud Anbieter dürfte
sprechende Rechtseinräumung Sorge zu tragen.
hierfür dann vielmehr ein gesondertes, gesetzlich unbe-
nanntes Nutzungsrechts – ein sog. Nutzungsrecht sui ge-
neris – benötigen.31
IV. Fazit
Cloud Computing ist ein weiteres Beispiel für die im IT-
Aus Rechtsberatersicht stellt sich die Frage, wie mit dieser Bereich häu¿ger anzutreffende Problematik, dass die
unsicheren Rechtslage umzugehen ist. Da eine höchstrich- Rechtsentwicklung mit der rasanten technologischen
terliche Entscheidung (noch) nicht existiert, kann sich der Entwicklung nicht immer Schritt halten kann. Die führt
Anwalt nicht einer der obigen Auffassungen anschließen zwangsläu¿g zu Rechtsunsicherheit, welche nicht nur eini-
und diese (allein) bei der Vertragsgestaltung berücksichti- ge Herausforderungen für die anwaltliche Beratungspraxis
gen. Die Lösung kann bei Beratung eines Cloud Anbieters bereit hält, sondern wohl auch eine der Ursachen dafür ist,
nur darin bestehen, sich in dem mit dem Rechteinhaber dass derzeit noch viele deutsche Unternehmen zögern, den
abzuschließenden Vertrag für die beabsichtigte Nutzungs- Weg in die Cloud zu beschreiten. Zum Teil lässt sich dieser
bereitstellung der Software über die Cloud bis auf weiteres Rechtsunsicherheit – wie etwa im datenschutzrechtlichen
sowohl ein Recht zur öffentlichen Zugänglichmachung als Bereich bei der KontrollpÀicht des Auftraggebers gemäß §
auch ein Nutzungsrecht für die zur Verfügungsstellung mit- 11 II 4 BDSG – nur durch eine Anpassung der Rechtslage,
tels Cloud Computing (Nutzungsrecht sui generis) einräu- sprich ein Tätigwerden des Gesetzgebers, effektiv begeg-
men zu lassen. Während sich dies für das gesetzlich benann- nen. Häu¿g geht es – wie etwa bei den urheberrechtlichen
te Nutzungsrecht „öffentliche Zugänglichmachung“ ohne Aspekten des Cloud Computing – auch „nur“ um eine ver-
bindliche Klärung der bestehenden Rechtslage, die in ei-
26
nigen relevanten Bereichen mittlerweile aber auch bereits
So Grützmacher, CR 2011, 697 (705); Nägele/Jacobs, ZUM
2010, 281 (287).
angestoßen worden ist. Überhaupt lässt sich festhalten,
27
Dies hat auch unlängst der EuGH bestätigt (GRUR 2011, 220). dass trotz der bestehenden Probleme eine rechtskonforme
28
Dreier/Schulze, UrhG, 3. AuÀ. 2008, § 19a Rn. 6. Ausgestaltung des Cloud Computing Prozesses bei Wah-
29
OLG München GRUR-RR 2009, 91. rung anwaltlicher Vorsicht auch derzeit schon möglich ist.
30
Dahingehend aber möglicherweise Koch, ITRB 2011, 42 (43/44).
31
So explizit Nägele/Jacobs, ZUM 2010, 281 (288); womöglich
auch Grützmacher, CR 2011, 697 (705), wonach der Cloud Anbieter
32
zwar kein Recht zur öffentlichen Zugänglichmachung, wohl aber ein Vgl. Dreier/Schulze, (Fn. 28), § 31 Rn. 110 ff.
33
„weitergehendes“ Vervielfältigungsrecht benötigen soll. Niemann/Paul, K&R 2009, 444 (448).
A U F S ÄT Z ESie können auch lesen
