Für das Internet der Dinge, Industrie 4.0 und ähnliche Konzepte werden große Mengen sensibler Daten dezentral in der so genannten „Cloud“ gespeichert und verarbeitet. Rechtliche Herausforderungen dieser Praxis loten Würzburger Juristen aus.
Der Begriff Cloud Computing bezeichnet eine große Menge an Dienstleistungen und Produkten. Viele davon nutzen Privatpersonen und Unternehmen täglich – oft sogar, ohne es zu wissen: beispielsweise zum Ablegen von Bildern auf Internetfestplatten oder aber in Zusammenhang mit E-Mail-Dienstleistungen von Google oder auch der Telekom. Allgemein versteht man unter Cloud Computing das Speichern von Daten in einem entfernten Rechenzentrum, aber auch die Ausführung von Softwareprogrammen, die nicht auf dem lokalen PC, sondern nur in der Cloud vorhanden sind.
Bei der Nutzung dieser Dienste ergeben sich rechtliche Fragen zu Datenschutz und Speicherorten, strafrechtlichen Aspekten und in Teilen zum Wettbewerbsrecht. Viel bedeutender aber ist: Aufgrund der internationalen Datenverbindungen und verschiedener rechtlicher Rahmenbedingungen in einzelnen Ländern kann es zu Konflikten kommen.
Diese Konflikte vorauszusehen und juristische Lösungen dafür zu erarbeiten, ist das Ziel des Projektes „Sicheres Cloud Computing – Rechtliche Herausforderungen und Lösungsmöglichkeiten (SCC-jur)“. Das Projekt wird vom Bundesministerium für Bildung und Forschung (BMBF) mit 250 000 Euro gefördert und ist angegliedert an die Forschungsstelle „Robotrecht“ von Prof. Eric Hilgendorf, dem Lehrstuhlinhaber für Strafrecht, Strafprozessrecht, Rechtstheorie, Informationsrecht und Rechtsinformatik an der Universität Würzburg.
Das Projekt fügt sich in den Kontext bestehender BMBF-Programme ein. „Verschiedene Unternehmen und Institutionen arbeiten bereits an der Entwicklung einer sicheren Cloud“, sagt Hilgendorf. Der Hintergrund für das Projekt: Die Regierung möchte, dass beispielsweise deutsche Mittelständler in Zukunft unabhängiger werden von den bisher oft in den USA ansässigen Großunternehmen und Cloud-Anbietern wie Amazon, Google, Microsoft oder Oracle.
In einem ersten Schritt begutachtet Hilgendorf, der das Projekt gemeinsam mit Prof. Frank Schuster vom Lehrstuhl für Strafrecht leitet, die bestehenden technischen Ideen: Gibt es bei den Dienstleistungen und Produkten Punkte, die nicht mehr rechtskonform sind oder haftungsrechtliche und datenschutzrechtliche Aspekte tangieren? „Wir sind sozusagen beauftragt, in die Zukunft zu blicken: Wo könnten später einmal Probleme entstehen und was könnten Lösungsvorschläge sein“, sagt Jurist Hilgendorf. Diese Begutachtung soll zu einer Art Checkliste mit relevanten juristischen Fragen führen, anhand derer Unternehmen zukünftige Projekte leicht überprüfen können. Dies könnte auch in eine Zertifizierung münden.
Die international nicht einheitlichen rechtlichen Bestimmungen erschweren es deutschen Unternehmen zum Beispiel, Cloud- Anbieter zu beauftragen. „US-Unternehmen erwarten in der Regel, dass Kooperationen nach ihren Bedingungen ablaufen und ihre Vertragsvorschläge unterzeichnet werden. Diese können das deutsche Recht aber nicht aushebeln“, erklärt Hilgendorf und ergänzt: „Rechtlich unterliegen wir in Deutschland Beschränkungen, die die Amerikaner schlicht nicht kennen.“
Dies bringe deutsche Firmen mitunter in eine „schizophrene Situation“. Einerseits seien sie verpflichtet, deutsche Datenschutz- und andere rechtliche Bestimmungen einzuhalten, andererseits an einen Vertrag gebunden. Im schlimmsten Fall könne das US-Unternehmen bei Nichterfüllung eines Vertrages Schadenersatz fordern, wenn das deutsche Unternehmen wegen des deutschen Rechtes den Vertrag kündigen muss.
Besonders offensichtlich werden solche Probleme beim Datenschutz. „Es herrscht in den USA ein vollkommen anderes Datenschutzverständnis vor als bei deutschen oder europäischen Unternehmen“, sagt Hilgendorf. Google und Facebook etwa verstießen regelmäßig und dauerhaft gegen bestehendes Datenschutzrecht. Während sich Google dies in Grenzen leisten könne, könne ein deutsches Unternehmen dies eben nicht.
Dennoch ist Cloud Computing als eine Form von Outsourcing für Unternehmen sehr interessant. IT-Infrastruktur wird dynamisch per Netzwerk zur Verfügung gestellt – also nur dann, wenn die Kapazitäten auch gebraucht werden. „Das Besondere ist, dass auch die Auftragnehmer aufgrund der Vernetzung von Servern in verschiedenen Ländern weltweit selbst nicht genau wissen, wo denn nun die Daten physisch wirklich sind“, sagt Hilgendorf. Bei vielen Daten sei es aber nicht zulässig, sie außerhalb Europas zu speichern. „Gewisse Finanzdaten etwa dürfen Deutschlands Grenzen nicht überschreiten.“ Daher komme für solche Daten Cloud-Computing nicht in Frage.
Das deutsche Datenschutzgesetz schreibt zudem vor, dass der Auftraggeber den Auftragnehmer kontrollieren kann. Das ist unmöglich, wenn Dienstleistungsunternehmen ihrerseits Dritte einsetzen, um große Bedarfe an Rechenkapazität abzufedern. „Zudem hat Google kein Interesse daran, einem kleinen deutschen Handwerksbetrieb weisungsgebunden gegenüber zu stehen.“
Obwohl große amerikanische Unternehmen den Markt der Cloud-Dienstleistungen beherrschen, glaubt der Jurist Hilgendorf an gute Chancen für solche Anwendungen „made in Germany“. Das sei über den Mittelstand hinaus attraktiv: „Mit der Automobilindustrie im Rücken sind da sicher eine Menge Anwendungen denkbar.“
Zudem sei das deutsche Rechtsverständnis an sich mittlerweile ein Exportschlager: „Ich höre bei meinen Besuchen im Ausland, dass dem deutschen Recht großer Respekt entgegengebracht wird“, sagt Hilgendorf, der vor allem in Asien ein gefragter Gesprächspartner ist, und fügt hinzu: „Wir haben die Möglichkeit, zusammen mit europäischen Partnern Vieles auf den Weg zu bringen.“
Für die Zukunft steht fest, dass im Rahmen des Cloud Computing die Fragen nicht weniger werden. Fürsorgliche autonome Systeme etablieren sich im Alltag. Die IT-Durchsetzung und Vernetzung aller Lebensbereiche erstrecke sich bereits auf Arbeitsplatz, Auto oder Smarthome: Immer mehr Systeme erarbeiten für die Nutzer selbstständig Vorschläge, die auf vernetzten Daten basieren. Je größer die Datenmenge, desto besser. „Im deutschen Datenschutzrecht steht jedoch, es sollten nur so viele Daten wie absolut notwendig gespeichert werden“, sagt Hilgendorf. Ein krasser Gegensatz also.
Auch hier werden sich jedoch Regelungen finden lassen, ist der Jurist überzeugt. Seiner Meinung nach hinkt das Recht nicht etwa der Technik hinterher – auch wenn es hin und wieder Anpassungen geben müsse. Damit das Recht nicht in die Rolle der Innovationsbremse gerate, müssten aber „technische Entwicklungen auch ein Stück weit vorhergesagt und Herausforderungen frühzeitig angegangen werden“. op
Weitere Informationen Über die Forschungsstelle Robotrecht, an der das Projekt SCC-jur angesiedelt ist: www.robotrecht.de
Vertragspartner und Gesetz stellen manchmal entgegengesetzte Anforderungen
Ihr Stichwort
- Cloud-Computing und Datenschutz
- Verträge zwischen Unternehmen aus verschiedenen Ländern
- Chancen für Cloud-Anbieter im eigenen Land
- Zukünftige Rechtsfragen erkennen
Unsere Whitepaper-Empfehlung
Lesen Sie, warum Medizintechnikunternehmen ihre Testprozesse für die Validierung von Software optimieren müssen und wie sie dabei die Erfahrung der Automobilbranche für sich nutzen können.
Teilen:
