Cloud Computing in der anwaltlichen Beratungspraxis
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Reintzsch, Cloud Computing in der anwaltlichen Beratungspraxis BRJ 01/2013 23 Cloud Computing in der anwaltlichen Beratungspraxis RA Dirk Reintzsch, Köln* I. Einleitung Servern vorinstallierte Softwareanwendung über das Inter- net zur Nutzung bereitstellt (SaaS).3 Cloud Computing ist derzeit eines der zentralen Themen im Bereich der Informationstechnologie, wobei sich eine Trotz der hohen medialen Aufmerksamkeit, die der The- allgemeingültige De¿nition des Cloud Computing bislang matik Cloud Computing seit einiger Zeit zuteil wird und noch nicht herausgebildet hat und die anzutreffenden Be- der vielen unbestreitbaren Vorteile, welche die Technolo- griffsverständnisse in den Einzelheiten teils voneinander gie bereit hält (neben dem aus der verbrauchsabhängigen abweichen.1 Aus unternehmerischer Sicht lässt sich Cloud Abrechenbarkeit resultierenden Kosteneinsparpotential sei Computing wohl am treffendsten als besondere Form des exemplarisch nur die steigende Agilität aufgrund der Er- IT-Outcourcing beschreiben, bei dem IT-Service Leistun- möglichung einer ortsungebundenen IT-Nutzung genannt), gen auf einen (externen) Dienstleister ausgelagert werden. haben insbesondere deutsche Unternehmen diese bislang Statt eigene IT Ressourcen in Form von Hard- und Soft- erwiesenermaßen nur recht zögerlich zum Bestandteil ihrer ware zu beschaffen und zu betreiben, beziehen Unterneh- IT-Strategie gemacht.4 Als Hauptgrund wurden Bedenken men IT-Leistungen aus der Cloud (d.h. zumeist über das im Hinblick auf die Sicherheit der in die Cloud eingestell- Internet). Anders als beim klassischen IT-Outsourcing ten Informationen und Daten ausgemacht. Einer Vielzahl hält der Dienstleister die IT-Infrastruktur allerdings nicht von IT-Verantwortlichen fehlt es ganz offenbar noch am nur für einen, sondern für eine Vielzahl von (potentiellen) dem erforderlichen Vertrauen in die Cloud Anbieter, wes- Kunden vor. Dies erlaubt Skaleneffekte, setzt jedoch auch halb sie lieber davon absehen, ihre mitunter sehr sensiblen eine gewisse Standardisierung voraus. Cloud Computing unternehmensbezogenen Daten in die Cloud zu verlagern. Angebote basieren auf dem Einsatz virtueller Systeme, die Nichtsdestotrotz gibt es auch schon heute viele Unter- unabhängig von der konkreten Hardware je nach Nachfra- nehmen, die den Schritt in die Cloud wagen und insofern ge kon¿guriert und zur Verfügung gestellt werden können. rechtlichen Beratungsbedarf anmelden. Hierdurch werden ein bedarfsgerechter Bezug und eine verbrauchsabhängige Abrechnung der Serviceleistungen Aus anwaltlicher Sicht teilt sich die Beratung in zwei Be- ermöglicht, d.h. der Kunde muss nur für das bezahlen, reiche. Zum einen gilt es, den Mandanten auf zwingende was er auch tatsächlich genutzt hat.2 Als gängige Erschei- Gesetze hinzuweisen, die bei dem Bezug von Cloud Leis- nungsformen von Cloud Computing haben sich insbeson- tungen zu beachten sind. Dies können Vorschriften aus dere „Infrastructure as a Service“ (IaaS), „Plattform as a dem Steuerrecht sein, sofern steuerlich relevante Daten in Service“ (PaaS) und „Software as a Service“ (SaaS) eta- der Cloud verarbeitet werden sollen. Wollen Banken und bliert, im Rahmen derer der Cloud Anbieter dem Kunden Versicherungen wesentliche Leistungen aus der Cloud be- Rechen- und Speicherleistung (IaaS), eine Plattform, z.B. ziehen, sind die Voraussetzungen des Aufsichtsrechts zu zur Entwicklung von Software (PaaS) oder eine auf seinen beachten. Vor allem aber ist das Datenschutzrecht zu be- * Der Autor ist Rechtsanwalt bei Oppenhoff & Partner in Köln. achten, da Datenverarbeitungen in der Cloud fast immer 1 Vgl. zur De¿nition des Begriffs „Cloud Computing“: Nägele/Ja- auch personenbezogene Daten betreffen. cobs, ZUM 2010, 281; Wagner/Blaufuß, BB 2012, 175. 2 Nägele/Jacobs (ZUM 2010, 281) sprechen in diesem Zusam- Neben der Beratung zu diesen zwingenden Vorschriften menhang von einem „Paradigmenwechsel“. Auf technischer Ebene wird dies realisiert, indem die Anbieter sol- besteht die anwaltliche Aufgabe darin, bei der Gestaltung cher Leistungen große Rechenzentren errichten, auf deren (unzähli- des Vertrages zwischen Cloud Anbieter und Kunden zu be- gen) Computern beispielsweise die betreffende Software ausgeführt raten.5 Hier geht es in erster Linie um eine angemessene wird oder der Speicherplatz in Form von Festplatten tatsächlich vor- Verteilung von Risiko und Chance, z.B. bei den Themen handen ist. Der einzelne Nutzer bekommt die Leistungen dann über 3 das Internet, meist über den Browser, zur Verfügung gestellt. Dabei Vgl. zu den unterschiedlichen Erscheinungsformen von Cloud läuft die Software, deren Ergebnisse er angezeigt bekommt, nicht auf Computing: Bierekoven, ITRB 2010, 42 (42/43). 4 einem bestimmten Rechner, sondern verteilt auf alle vorhandenen So das Ergebnis einer von Deloitte und BITKOM durchgeführten Maschinen, je nachdem, welche gerade die notwendigen Ressourcen Umfrage. frei hat. Die dazu benutzte Technik nennt man „Virtualisierung“, weil http://www.deloitte.com/assets/Dcom-Germany/Local%20 den Nutzern keine echten physischen Computer exklusiv zur Verfü- Assets/Documents/12_TMT/2010/DE_TMT_Cloud_Compu- gung stehen, sondern virtuelle Maschinen mit soviel Ressourcen, wie ting_19012011.pdf, Abruf v. 01.02.2013. 5 eben gerade benötigt werden. Vgl. auch Niemann/Paul, K&R 2009, S. 444 (445). A U F S ÄT Z E
24 BRJ 01/2013 Reintzsch, Cloud Computing in der anwaltlichen Beratungspraxis Haftung, Kündigung oder Exit, d.h. Rückführung oder der Voraussetzung zulässig ist, dass der Betroffene hierin Überleitung der Leistungsverantwortung bei Vertragsen- einwilligt oder der Verarbeitungsvorgang von einer gesetz- de. Bei urheberrechtlich relevanten Vorgängen des Cloud lichen Erlaubnisnorm gedeckt ist, besteht die Besonderheit Computing wie der Nutzung von Software im Rahmen von einer Auftragsdatenverarbeitung darin, dass der weisungs- SaaS muss außerdem sichergestellt werden, dass dem Kun- abhängige Auftragnehmer gewissermaßen als verlängerter den die für die Nutzung erforderlichen Rechte vertraglich Arm des Auftraggebers fungiert, weshalb eine zu rechtfer- eingeräumt werden und der Cloud Anbieter zu einer ent- tigende Übermittlung zwischen beiden Stellen gewöhnlich sprechenden Rechtseinräumung überhaupt berechtigt ist. nicht statt¿ndet.8 Stattdessen sind die Voraussetzungen des § 11 BDSG einzuhalten, d.h. insbesondere ein schriftlicher Dieser Beitrag gibt einen kursorischen Überblick über ei- Vertrag abzuschließen, in dem vom Gesetz de¿nierte As- nige der wesentlichen datenschutz- und urheberrechtlichen pekte zu regeln sind. Aspekte des Cloud Computing, die es in der anwaltlichen Beratungspraxis zu berücksichtigen gilt. 3. Datenverarbeitung im Drittland (außerhalb der EU und des EWR) II. Datenschutzrechtliche Aspekte des Cloud Auftraggeber und Auftragnehmer können gemäß § 3 VIII 3 Computing BDSG aber nur dann als Einheit betrachtet werden, wenn 1. Grundsätzliche datenschutzrechtliche Zuläs- der Cloud Anbieter die Daten in einem Mitgliedsstaat der sigkeit Europäischen Union (EU) oder in einem anderen Ver- tragsstaat des Abkommens über den Europäischen Wirt- Während die datenschutzrechtliche Zulässigkeit von Cloud schaftsraum (EWR) verarbeitet. Da die Daten im Rahmen Computing von einigen Autoren zunächst grundlegend an- von Cloud Computing aber häu¿g auf weltweit verstreu- gezweifelt wurde, herrscht mittlerweile – insbesondere bei ten Serverfarmen abgelegt werden, gelangt die Privilegie- den für die Rechtspraxis maßgeblichen Datenschutzbe- rungswirkung der Auftragsdatenverarbeitung nicht immer hörden6 – die Auffassung vor, dass sich Cloud Computing unmittelbar zur Anwendung. In diesem Fall liegt also eine auch insofern rechtskonform ausgestalten lässt. Übermittlung von Daten vor, die aber nach § 28 BDSG zulässig sein kann. Probleme bestehen aber immer dann, 2. Datenschutzrechtliche QualiÀkation des Ver- wenn die Beteiligten auf die Privilegierungswirkung der tragsverhältnisses Auftragsdatenverarbeitung angewiesen sind, etwa weil eine Cloud Computing wird überwiegend als Auftragsdatenver- Verarbeitung besonderer Arten personenbezogener Daten arbeitung im Sinne von § 11 BDSG eingestuft, im Rahmen im Sinne von § 3 IX BDSG in Rede steht (u.a. Angaben derer der Cloud Anbieter die fraglichen personenbezoge- über religiöse Überzeugungen und die Gesundheit), die nen Daten im Auftrag des Kunden verarbeitet.7 Während wegen ihrer gesteigerten Schutzbedürftigkeit ohne Einwil- die Erhebung, Verarbeitung und Nutzung personenbezo- ligung der Betroffenen kraft Gesetzes nur unter sehr res- gener Daten gemäß § 4 I BDSG grundsätzlich nur unter triktiven Anforderungen zulässig ist. Ist die beabsichtigte Datenverarbeitung in entsprechend gelagerten Fällen – zu 6 Dies lässt sich mittelbar etwa der „Orientierungshilfe – Cloud denken wäre etwa an eine Arbeitnehmerdatenbank, z.B. mit Computing“ der Arbeitskreise Technik und Medien der Konfe- Angaben zur Gesundheit oder Religion der Arbeitnehmer renz der Datenschutzbeauftragten des Bundes und der Länder vom 26.09.2011entnehmen. http://www.datenschutz-bayern.de/technik/ – nicht von den gesetzlichen Erlaubnisnormen gedeckt und orient/oh_cloud.pdf, Abruf v. 01.02.2013. auch eine Einholung von Einwilligungen der Betroffenen 7 Ob dies tatsächlich zutrifft, hängt unter anderem davon ab, ob der nicht möglich oder praktikabel, bestehen mehrere Möglich- Kunde faktisch und rechtlich Herr der Daten bleibt, d.h. die Entschei- keiten: Es kann mit dem Cloud Anbieter vereinbart und in dungshoheit über den Umgang mit diesen behält. Zweifelhaft kann den abzuschließenden Vertrag aufgenommen werden, dass allerdings bereits die Frage sein, ob deutsches Datenschutzrecht über- haupt zur Anwendung gelangt. Ausgangspunkt der Betrachtung ist in die Verarbeitung der personenbezogenen Daten insgesamt der Praxis die Frage, wo die verantwortliche Stelle ihren Sitz hat. Bei oder zumindest die Verarbeitung der nach dem Gesetz als einer Auftragsdatenverarbeitung ist verantwortliche Stelle gemäß § 3 besonders sensitiv eingeschätzten Daten ausschließlich auf VII BDSG der Auftraggeber, weshalb auf den Kunden (und nicht den dem Gebiet der EU bzw. im EWR erfolgen darf.9 Ist dies Cloud Anbieter als Auftragnehmer) abzustellen ist: Sitzt der Kunde nicht möglich bzw. verhandelbar, ist entweder durch tech- in Deutschland, ist deutsches Datenschutzrecht zu beachten. Sitzt der Kunde in einem anderen Mitglieds- bzw. Vertragsstaat der EU nische und organisatorische Maßnahmen sicherzustellen, bzw. des EWR, kommt gemäß § 1 V 1 BDSG grundsätzlich nicht deutsches Datenschutzrecht, sondern das Datenschutzrecht seines Daten nicht selten auf wechselnden, weltweit verstreuten Server- Sitzlandes zur Anwendung (sog. Sitzprinzip). Sitzt der Kunde in ei- farmen abgelegt werden und unter Umständen auch für den Cloud nem Drittland (weder Mitgliedsstaat der EU noch Vertragsstaat des Anbieter nicht ohne weiteres feststellbar ist, wann sich die diese wo EWR), ist deutsches Datenschutzrecht nach § 1 V 2 BDSG nur dann be¿nden. Vgl. eingehender zur Thematik des anwendbaren Daten- anwendbar, wenn sich der datenschutzrechtlich relevante Vorgang – schutzrechts: Nägele/Jacobs, ZUM 2010, 281 (289/290). 8 die Datenverarbeitung in der Cloud – auf deutschem Boden vollzieht. Vgl. Gola/Schomerus, BDSG, 11. AuÀ. 2012, § 11 Rn. 3 u. 4. 9 Im letztgenannten Fall kommt es mit anderen Worten nicht mehr auf Die vertragliche Festlegung des physischen Standorts der Daten den Sitz des Kunden, sondern auf den Ort der Datenverarbeitung an ist grundsätzlich ratsam, weil das Vorliegen einer Auftragsdatenver- (sog. Territorialitätsprinzip). Diese Feststellung kann im Rahmen von arbeitung im Sinne von § 11 BDSG unter anderem voraussetzt, dass Cloud Computing aber erhebliche Schwierigkeiten bereiten, weil die der Kunde die Entscheidungshoheit über die wesentlichen Schritte A U F S ÄT Z E
Reintzsch, Cloud Computing in der anwaltlichen Beratungspraxis BRJ 01/2013 25 dass es nicht zu einer Übermittlung von besonderen Arten Inhaltlich muss die Vereinbarung den in § 11 II BDSG auf- personenbezogener Daten kommt oder in letzter Konse- gestellten Mindestanforderungen genügen, wobei sich ins- quenz auch gänzlich vom Gang in die Cloud (zumindest besondere aus Sicht des Kunden die Aufnahme weiterer, über den jeweiligen Cloud Anbieter) abzusehen (wenn sich cloud-spezi¿scher Bestimmungen emp¿ehlt: Dies vornehm- das Anfallen derartiger Daten nicht vermeiden lässt). lich deshalb, weil er als Auftraggeber für die Einhaltung der datenschutzrechtlichen Bestimmungen im Rahmen der Da- Ob die Daten innerhalb oder außerhalb der EU bzw. des tenverarbeitung verantwortlich bleibt und bei Erfüllung der EWR abgelegt werden, ist allerdings nicht nur für das Ein- ihn treffenden PÀichten häu¿g in besonderem Maße auf die greifen der Privilegierungswirkung der Auftragsdatenver- Mitwirkung des Cloud Anbieters angewiesen ist. So wird er arbeitung von Belang. Der physische Standort der Daten ist etwa der sich aus § 35 BDSG unter Umständen ergebenden vielmehr auch insofern von Bedeutung, als die Übermitt- VerpÀichtung zur Berichtigung, Löschung und Sperrung von lung von personenbezogenen Daten an einen Auftragsver- Daten aufgrund seines in aller Regel nur sehr eingeschränk- arbeiter im Drittland gemäß §§ 4b, 4c BDSG überhaupt nur ten Zugriffs auf die Systeme des Cloud Anbieters nur mit erfolgen darf, wenn bei diesem ein angemessenes Daten- dessen Unterstützung nachkommen können. Daher bietet schutzniveau gewährleistet ist.10 Dies lässt sich insbesonde- es sich an, die in den Vertrag nach § 11 II 2 Nr. 9 BDSG re dadurch herstellen, dass sich Cloud Anbieter und Kunde ohnehin aufzunehmenden Weisungsbefugnisse, die sich der auf die Geltung der von der Europäischen Kommission Kunde vorbehält, möglichst konkret zu fassen und – sofern ausgearbeiteten Standardvertragsklauseln für Auftragsver- verhandelbar – zusätzlich mit einer Vertragsstrafenregelung arbeiter verständigen, die hierfür unverändert in den abzu- für den Fall der Nichtbeachtung zu versehen, um gegenüber schließenden Cloud Vertrag zu implementieren sind. Soll dem Cloud Anbieter ein wirksames Druckmittel zu haben.13 der Cloud Anbieter als Teil einer international agierenden Ferner ist es insbesondere ratsam, in den Vertrag so genann- Konzerngesellschaft für andere Konzerngesellschaften te Exit-Regelungen aufzunehmen, die festlegen, wie mit eine interne Cloud betreiben, kommt daneben auch die In- den in der Cloud abgelagerten Daten bei einem vorzeitigen kraftsetzung verbindlicher Unternehmensregelungen (sog. Vertragsende zu verfahren ist, sprich unter welchen Voraus- Binding Corporate Rules) in Betracht. Für in den USA setzungen (Kosten etc.), wann (nämlich nicht erst bei Ver- ansässige Unternehmen hat die Europäische Kommission tragsende) und wie (insbesondere in welchem Dateiformat) mit dem Handelsministerium der USA insofern eine Ver- diese dem Kunden wieder verfügbar gemacht werden.14 einbarung zu den Grundsätzen des sicheren Hafens (Safe Harbour-Abkommen) getroffen. Hiernach wird bei US- 5. KontrollpÁicht des Kunden gemäß § 11 II 4 amerikanischen Unternehmen, die sich gegenüber der zu- BDSG ständigen US-Behörde bestimmten Datenschutzprinzipien In verfahrenstechnischer Hinsicht stellt sich die Vorschrift – den sog. Safe Harbour Prinzipien – unterwerfen, ein an- von § 11 II 4 BDSG als problematisch dar, der zufolge der gemessenes Datenschutzniveau angenommen.11 Auftraggeber – der Kunde – die Einhaltung der vereinbar- ten technischen und organisatorischen Maßnahmen (diese 4. Form und Inhalt des Auftragsdatenverarbei- sind gemäß § 11 II 2 Nr. 3 BDSG in dem abzuschließenden tungsvertrags Vertrag über die Auftragsdatenverarbeitung im Einzelnen Über diese aufgeführten, bei Cloud Computing aufgrund festzulegen) durch den Auftragnehmer – den Cloud Anbie- des gewöhnlich statt¿ndenden grenzüberschreitenden Da- ter – vor Auftragsbeginn und sodann regelmäßig zu kon- tenverkehrs besonders relevanten Aspekte hinaus gilt es zu trollieren hat. Schließt man hieraus auf die VerpÀichtung berücksichtigen, dass der Auftrag gemäß § 11 II 2 BDSG zu einer persönlichen Vorortkontrolle, ist diese dem Kun- schriftlich zu erteilen ist, zumal der Einhaltung dieses den in der Regel kaum sinnvoll möglich. Auch ansonsten Schriftformerfordernisses in der Literatur teils konstitutive werden viele Kunden überhaupt nicht über das Know-how Wirkung beigemessen wird, d.h. bei Nichtbeachtung keine verfügen, derartige Kontrollen durchzuführen. Im Übrigen wirksame Auftragsdatenverarbeitung vorliegen soll.12 wird der Cloud Anbieter auch nicht immer ohne weiteres Auskunft geben können, wo sich die Daten genau be¿n- der Datenverarbeitung hat, was sich dann auch im Hinblick auf den den.15 Nach wohl überwiegender, insbesondere auch von Ort der Datenverarbeitung dokumentieren lässt. einer Datenschutzbehörde16 schon geteilten Auffassung 10 Vgl. hierzu auch Wagner/Blaufuß, BB 2012, 1751 (1752). 11 Den deutschen Datenschutzbehörden zufolge soll hierfür die blo- kann an die Stelle einer eigenen Überprüfung allerdings ße Zerti¿zierung des Unternehmens als Safe Harbour allerdings nicht 13 mehr ausreichend sein. Die datenexportierende Stelle muss vielmehr So die Empfehlung der Datenschutzbehörden (vgl. Orientie- unter anderem prüfen, ob das Zerti¿kat noch gültig ist (vgl. Beschluss rungshilfe – Cloud Computing der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffent- der Arbeitskreise Technik und Medien der Konferenz der Daten- lichen Bereich vom 28./29. April 2010. https://www.datenschutzzen- schutzbeauftragten des Bundes und der Länder vom 26.09.2011un- trum.de/internationaler-datenverkehr/Beschluss_28_29_04_10neu. ter Ziffer 3.3. http://www.datenschutz-bayern.de/technik/orient/ pdf, Abruf v. 01.02.2013). oh_cloud.pdf, Abruf v. 01.02.2013). 12 14 So etwa Gola/Schomerus, (Fn. 8), § 11 Rdnr. 17; Petri, in: Si- Vgl. zu dieser Thematik auch Pohle/Ammann, CR 2009, 273 (277). 15 mitis, BDSG, 7. AuÀ. 2011, § 11 Rn. 64; Wedde, in: Däubler/Klebe/ Pohle/Ammann, CR 2009, 273 (277). 16 Wedde/Weichert, BDSG, 3. AuÀ. 2010, § 11 Rn. 32; a.A. aber etwa Bayerisches Landesamt für Datenschutz, 4. Tätigkeitsbericht Gabel, in; Taeger/Gabel, BDSG, § 11 BDSG Rn. 54. 2009/2010, Ziffer 5.1.2. http://www.lda.bayern.de/lda/datenschutzauf- A U F S ÄT Z E
26 BRJ 01/2013 Reintzsch, Cloud Computing in der anwaltlichen Beratungspraxis auch das Testat eines unabhängigen Dritten treten, welcher entnehmen lässt – vielmehr auch weitere, gesetzlich (noch) die Kontrolle im Auftrag des Kunden durchführt.17 Wenn- nicht normierte Nutzungsarten in Betracht. gleich somit eigentlich eine Lösung angedeutet ist, bleiben doch viele Fragen offen (etwa welche Anforderungen ge- a) Nutzungsrecht für Installation und Ablaufen nau an das Testat zu stellen sind und welche Rechtsfolgen lassen sich hieraus ergeben). Letztlich bleibt es dem Gesetzgeber Um die Softwareanwendung zur Nutzung bereit zu stellen, vorbehalten, durch eine ausdrückliche gesetzliche Rege- muss der Cloud Anbieter diese zunächst auf seiner IT-In- lung für Rechtssicherheit zu sorgen.18 frastruktur installieren und anschließend auf seinen Syste- men ablaufen lassen. Da die Software bzw. Bestandteile III. Urheberrechtliche Aspekte des Cloud Com- derselben im Rahmen der Installation gespeichert werden, puting19 sind die Anforderungen an eine Vervielfältigung im Recht- 1. Urheberrechtliche Relevanz von SaaS sinne erfüllt.21 Das Ablaufen lassen von Software setzt in aller Regel eine zumindest vorübergehende Speicherung Soll Gegenstand der vertraglichen Vereinbarung zwischen im Arbeitsspeicher des betreffenden Rechners voraus, wes- Cloud Anbieter und Kunde die Nutzung von Software über halb es insofern zu einer weiteren Vervielfältigungshand- die Cloud sein, handelt es sich in aller Regel um einen ur- lung kommt. Der Cloud Anbieter benötigt daher für beide heberrechtlich relevanten Vorgang, weil Software – genau- Vorgänge ein Vervielfältigungsrecht. er gesagt der Quell- und Objektcode in seiner konkreten Gestalt – nach Maßgabe der §§ 69a ff. UrhG urheberrecht- lich geschützt ist.20 b) Nutzungsrecht für die Bereitstellung zur Nutzung Während Vervielfältigungen anlässlich von Installati- 2. Nutzungshandlungen des Cloud Anbieters on und Ablaufen lassen charakteristische Vorgänge im Zusammenhang mit der Nutzung von Software sind, die Das ausschließliche Recht, das urheberrechtlich geschützte auch bei einer herkömmlichen Nutzung von Software im Werk zu verwerten, liegt gemäß § 15 I UrhG zunächst beim eigenen Betrieb des Unternehmens statt¿nden, stellt sich Urheber selbst, also bei der natürlichen Person, welche speziell für das Cloud Computing bzw. genauer gesagt für den Softwarecode programmiert hat. Bei angestellten Pro- die Erscheinungsform SaaS die Frage, wie die gewöhnlich grammierern gehen die Verwertungsrechte gemäß § 69b an eine unbestimmte Anzahl von Personen gerichtete Nut- UrhG automatisch auf den Arbeitgeber über. Ist der Cloud zungsbereitstellung der Software über das Internet urhe- Anbieter nicht selbst Inhaber der Verwertungsrechte an berrechtlich zu bewerten ist. der vertragsgegenständlichen Softwareanwendung, muss er sich vom Rechteinhaber die für sein Geschäftsmodell BegrifÀich naheliegend erscheint es, den Vorgang als ge- benötigten Nutzungsrechte einräumen lassen. Der Umfang mäß § 69c Nr. 4 UrhG zustimmungsbedürftige öffentliche der benötigten Rechte bemisst sich hierbei danach, welche Zugänglichmachung einzustufen. Das Öffentlichkeitser- relevanten Nutzungshandlungen statt¿nden bzw. statt¿n- fordernis wird gewöhnlich in der Tat auch erfüllt sein.22 den sollen. In § 69c UrhG werden als mögliche Nutzungs- handlungen von Software das Vervielfältigen, Umarbeiten, Ob es auch zu einer Zugänglichmachung der fraglichen Verbreiten und die öffentliche Wiedergabe einschließlich Softwareanwendung kommt, wird allerdings kontrovers der öffentlichen Zugänglichmachung genannt. Diese Auf- beurteilt.23 Während die wohl herrschende Meinung24 eine zählung ist allerdings nicht abschließend zu verstehen. öffentliche Zugänglichmachung für einschlägig erachtet, Es kommen – wie sich der Vorschrift von § 31a UrhG nimmt eine in der Literatur vertretene Auffassung25 den konträren Standpunkt ein. Sie verneint eine öffentliche sicht/lda_daten/dsa_Taetigkeitsbericht_2010.pdf, Abruf v. 01.02.2013. 17 21 Vgl. Gola/Schomerus, (Fn. 8), § 11 Rdnr. 21; Petri, (Fn. 12), § 11 Vgl. auch Bisges, MMR 2012, 574 (575/576). 22 Rn. 59, Wedde, (Fn. 12), § 11 Rn. 57. Dies gilt gewöhnlich selbst für den Fall, dass es sich nicht um 18 Vgl. zu diesem Aspekt auch die eingehenden Ausführungen im eine Public Cloud, sondern um Private Cloud (wie etwa ein ¿rmen- rechtspolitischen Thesenpapier „Datenschutzrechtliche Lösungen eigenes Intranet) handelt, weil der Öffentlichkeitsbegriff in § 15 III für Cloud Computing“ der Arbeitsgruppe „Rechtsrahmen des Cloud UrhG sehr weit gefasst ist, vgl. hierzu Bisges, MMR 2012, 574 (576). 23 Computing“ im Kompetenzzentrum Trusted Cloud. http://www. Einigkeit besteht allerdings wohl insofern, als es nicht darauf an- trusted-cloud.de/documents/Datenschutzrechtliche-Loesungen-fuer- kommt, ob die Software tatsächlich abgerufen bzw. ausgeführt wird Cloud-Computing.pdf, Abruf v. 01.02.2013. (vgl. Wiebe, in: Spindler/Schuster, Recht der elektronischen Medien, 19 Die nachfolgenden Ausführungen gehen auf das Arbeitspapier 2. AuÀ. 2011, § 19a UrhG Rn. 2). 24 „Lizenzierungsbedarf beim Cloud Computing“ der Arbeitsgruppe Vgl. OLG München GRUR-RR 2009, 91 (91 f.); Bisges, MMR „Rechtsrahmen des Cloud Computing“ im Kompetenzzentrum Trus- 2012, 574 (576); Niemann/Paul, K&R 2009, 444 (448); Pohle/Am- ted Cloud zurück, an dessen Erstellung der Autor beteiligt war. http:// mann, CR 2009, 273 (276); Redeker, IT-Recht, 5. AuÀ. 2012, Ab- www.trusted-cloud.de/documents/121102_Thesenpapier_Lizen- schnitt A) Rn. 70; Spindler, in: Loewenheim Urheberrecht Kommen- zen_03.pdf, Abruf v. 01.02.2013. tar, 4. AuÀ. 2010, vor §§ 69a ff. Rn. 69. 20 25 Urheberrechtlich relevante Vorgänge sind des Weiteren in Form Grützmacher, CR 2011, 697 (705); Nägele/Jacobs, ZUM 2010, des Up-und Downloads von urheberrechtlich geschützten Werken in 281 (287); für den Fall, dass der Kunde im Rahmen der Nutzung der die über die Cloud zur Nutzung bereit gestellte Software denkbar, Softwarefunktionalitäten keine zustimmungsbedürftige Handlung vgl. Bisges, MMR 2012, 574 (575). vornimmt auch: Koch, ITRB 2011, 42 (43/44). A U F S ÄT Z E
Reintzsch, Cloud Computing in der anwaltlichen Beratungspraxis BRJ 01/2013 27 Zugänglichmachung unter Hinweis darauf, dass dem Kun- größeren Aufwand bewerkstelligen lässt, geht mit der Auf- den gerade nicht – wie es von § 69c Nr. 4 UrhG gefordert nahme einer unbekannten Nutzungsart naturgemäß ein un- werde – die Software selbst, also der ablauffähige Code, gleich größerer vertragsgestalterischer Aufwand einher, zu- sondern allein die BenutzeroberÀäche des Computerpro- mal speziell im Urheberrecht eine exakte und ausdrückliche gramms übertragen und somit zugänglich gemacht wer- Benennung der zu übertragenden Rechte verlangt wird.32 de.26 Dies erscheint auf den ersten Blick zweifelhaft, da Bei Beratung eines (potentiellen) Kunden ist zu prüfen, ob sich dem Gesetzeswortlaut keine Anhaltspunkte dafür ent- der Anbieter über die benötigten Rechte verfügt, um dem nehmen lassen, dass das Computerprogramm oder wesent- Kunden die Software wie beabsichtigt über die Cloud zur liche Teile desselben für ein Zugänglichmachen im Sinne Nutzung bereitstellen zu können. Der Kunde wird (abgese- der Vorschrift im Quell- oder Objektcode abrufbar sein hen von Großtransaktionen, in deren Rahmen eine sog. Ven- müssen. Unbestritten ist, dass es sich bei der gra¿schen dor Due Diligence statt¿ndet) allerdings in den wenigsten BenutzeroberÀäche eines Computerprogramms nicht um Fällen tatsächlich einmal Einblick in den zwischen Anbieter eine urheberrechtlich geschützte Ausdrucksform des Com- und Rechteinhaber geschlossenen Vertrag bekommen. puterprogramms handelt.27 Da „Zugänglichmachung“ als das Eröffnen von Zugriff auf das betreffende Werk de¿- 3. Nutzungshandlungen des Kunden niert wird,28 lässt es sich daher zweifelsohne gut vertre- Für SaaS ist es charakteristisch, dass die Softwareanwen- ten, in dem bloßen zum Abruf stellen der nicht zum Werk dung ausschließlich auf den Rechnern des Cloud Anbie- „Computerprogramm“ gehörenden gra¿schen Benutzer- ters installiert wird und dort abläuft, weshalb es insofern oberÀäche noch keine öffentliche Zugänglichmachung zu zu keiner Vervielfältigungshandlung durch den Kunden erblicken. Andererseits lassen sich auch gute Argumente kommt.33 Letzterer kann die Software aber häu¿g nur un- für die gegenteilige Auffassung ¿nden. So hat etwa das ter der Voraussetzung nutzen, dass er auf seinem Rechner OLG München nicht zu Unrecht darauf verwiesen, „dass zunächst ein Programm installiert, welches er bei Bedarf auch andere Werkarten (Theaterstücke, Musikwerke) in ei- ablaufen lässt, um auf die Software zugreifen zu können ner Weise der Öffentlichkeit zugänglich gemacht werden, (in Form sog. Clients und Apps etc.). Für die hiermit ein- ohne dass dieser das Werk selbst in körperlicher Form […] hergehenden Vervielfältigungen dieses Programms benö- präsentiert wird.“29 Selbst wenn man das Verständnis teilt, tigt der Kunde ein entsprechendes Nutzungsrecht. Sofern dass keine öffentliche Zugänglichmachung vorliegt, wird es sich hierbei nicht ohnehin um bei dem Kunden bereits man hieraus richtigerweise aber nicht etwa auf die urhe- vorhandene Standardprogramme handelt (wie etwa den In- berrechtliche Irrelevanz der Nutzungsbereitstellung der ternetbrowser), ist bei der Vertragsgestaltung für eine ent- Software schließen können.30 Der Cloud Anbieter dürfte sprechende Rechtseinräumung Sorge zu tragen. hierfür dann vielmehr ein gesondertes, gesetzlich unbe- nanntes Nutzungsrechts – ein sog. Nutzungsrecht sui ge- neris – benötigen.31 IV. Fazit Cloud Computing ist ein weiteres Beispiel für die im IT- Aus Rechtsberatersicht stellt sich die Frage, wie mit dieser Bereich häu¿ger anzutreffende Problematik, dass die unsicheren Rechtslage umzugehen ist. Da eine höchstrich- Rechtsentwicklung mit der rasanten technologischen terliche Entscheidung (noch) nicht existiert, kann sich der Entwicklung nicht immer Schritt halten kann. Die führt Anwalt nicht einer der obigen Auffassungen anschließen zwangsläu¿g zu Rechtsunsicherheit, welche nicht nur eini- und diese (allein) bei der Vertragsgestaltung berücksichti- ge Herausforderungen für die anwaltliche Beratungspraxis gen. Die Lösung kann bei Beratung eines Cloud Anbieters bereit hält, sondern wohl auch eine der Ursachen dafür ist, nur darin bestehen, sich in dem mit dem Rechteinhaber dass derzeit noch viele deutsche Unternehmen zögern, den abzuschließenden Vertrag für die beabsichtigte Nutzungs- Weg in die Cloud zu beschreiten. Zum Teil lässt sich dieser bereitstellung der Software über die Cloud bis auf weiteres Rechtsunsicherheit – wie etwa im datenschutzrechtlichen sowohl ein Recht zur öffentlichen Zugänglichmachung als Bereich bei der KontrollpÀicht des Auftraggebers gemäß § auch ein Nutzungsrecht für die zur Verfügungsstellung mit- 11 II 4 BDSG – nur durch eine Anpassung der Rechtslage, tels Cloud Computing (Nutzungsrecht sui generis) einräu- sprich ein Tätigwerden des Gesetzgebers, effektiv begeg- men zu lassen. Während sich dies für das gesetzlich benann- nen. Häu¿g geht es – wie etwa bei den urheberrechtlichen te Nutzungsrecht „öffentliche Zugänglichmachung“ ohne Aspekten des Cloud Computing – auch „nur“ um eine ver- bindliche Klärung der bestehenden Rechtslage, die in ei- 26 nigen relevanten Bereichen mittlerweile aber auch bereits So Grützmacher, CR 2011, 697 (705); Nägele/Jacobs, ZUM 2010, 281 (287). angestoßen worden ist. Überhaupt lässt sich festhalten, 27 Dies hat auch unlängst der EuGH bestätigt (GRUR 2011, 220). dass trotz der bestehenden Probleme eine rechtskonforme 28 Dreier/Schulze, UrhG, 3. AuÀ. 2008, § 19a Rn. 6. Ausgestaltung des Cloud Computing Prozesses bei Wah- 29 OLG München GRUR-RR 2009, 91. rung anwaltlicher Vorsicht auch derzeit schon möglich ist. 30 Dahingehend aber möglicherweise Koch, ITRB 2011, 42 (43/44). 31 So explizit Nägele/Jacobs, ZUM 2010, 281 (288); womöglich auch Grützmacher, CR 2011, 697 (705), wonach der Cloud Anbieter 32 zwar kein Recht zur öffentlichen Zugänglichmachung, wohl aber ein Vgl. Dreier/Schulze, (Fn. 28), § 31 Rn. 110 ff. 33 „weitergehendes“ Vervielfältigungsrecht benötigen soll. Niemann/Paul, K&R 2009, 444 (448). A U F S ÄT Z E
Sie können auch lesen