Haf­tung bei Cloud-Soft­ware

Cloud-Com­pu­ting gehört für Unter­neh­men mitt­ler­wei­le zum All­tags­ge­schäft. Um fle­xi­bler agie­ren und grö­ße­re Daten­men­gen bes­ser spei­chern zu kön­nen, grei­fen sie zu ver­schie­de­nen Cloud-Pro­gram­men wie Goog­le Dri­ve oder ERP-Sys­te­men (nähe­re Infor­ma­tio­nen gibt es hier). Die­se bie­ten den Vor­teil, dass die Mit­ar­bei­ter von über­all auf der Welt Zugriff auf Doku­men­te und Daten der Fir­ma haben.

Haf­tung bei Cloud-Soft­ware

Doch unter ande­rem liegt genau dar­in das Pro­blem vie­ler Kun­den: Unter­neh­men ver­ar­bei­ten ihre per­sön­li­chen Daten und spei­chern die­se auf exter­nen Ser­vern. Es stellt sich daher die Fra­ge: Wer haf­tet, wenn es zu Schwie­rig­kei­ten kommt? Der Anbie­ter der Cloud-Soft­ware oder das Unter­neh­men, wel­che ihre Daten­samm­lung aus­la­gern?

Haftung bei Cloud-Software

Die neue DSGVO gibt kla­re Gren­zen vor

Nach einer zwei­jäh­ri­gen Über­gangs­frist trat die neue Daten­schutz­grund­ver­ord­nung (DSGVO) am 25. Mai 2018 in Kraft. Die­se besagt, dass Unter­neh­men nun stren­ge­ren Auf­la­gen unter­lie­gen, sofern sie per­so­nen­be­zo­ge­ne Daten ihrer Kun­den oder Mit­ar­bei­ter spei­chern – vor allem wenn sie dies extern über einen Cloud-Anbie­ter tun. Fir­men sind dazu ver­pflich­tet, den Schutz der Rech­te zu gewähr­leis­ten und einen Zugriff durch Unbe­fug­te zu ver­hin­dern. Das bedeu­tet, dass sie sowohl tech­ni­sche als auch orga­ni­sa­to­ri­sche Maß­nah­men tref­fen müs­sen. Noch wich­ti­ger wird die­ser Punkt bei beson­ders schutz­wür­di­gen per­so­nen­be­zo­ge­nen Daten wie Sexua­li­tät, Reli­gi­on oder poli­ti­sche Ein­stel­lung.

Unter­neh­men, die sich für einen Cloud-Anbie­ter zur Daten­spei­che­rung ent­schei­den, soll­ten sich daher im Vor­feld genau über den Fir­men­stand­ort infor­mie­ren. Denn die neue DSGVO betrifft nur Län­der der EU. Sobald sich der Anbie­ter außer­halb Euro­pas befin­det, müs­sen Betrie­be gewähr­leis­ten, dass das dor­ti­ge Daten­schutz­ni­veau dem hie­si­gen ent­spricht. Wer sei­ne Daten aus­la­gern will, soll­te sich daher auch über Sub­un­ter­neh­men infor­mie­ren.

Im Fal­le eines Fal­les: Wer muss haf­ten?

Bis­her waren Cloud-Anbie­ter immer auf der siche­ren Sei­te, denn haft­bar konn­ten nur die Auf­trag­ge­ber gemacht wer­den. Das wären die Unter­neh­men, die einen exter­nen Cloud-Ser­ver buchen. Die­ser Punkt ändert sich eben­falls durch die neue Daten­schutz­grund­ver­ord­nung:

  1. Nun kön­nen Betrof­fe­ne sowohl den Auf­trag­ge­ber als auch den Auf­trags­ver­ar­bei­ter zur Rechen­schaft zie­hen – zumin­dest in der Theo­rie. In der Pra­xis sieht es dage­gen etwas kom­pli­zier­ter aus. Bei­de Par­tei­en sind zunächst dazu ver­pflich­tet, ent­spre­chen­de Sicher­heits­maß­nah­men zu tref­fen, damit es nicht zu einem Daten­leck kom­men kann. Tritt zum Bei­spiel ein tech­ni­scher Defekt ein, kann der Cloud-Anbie­ter haft­bar gemacht wer­den. Zuerst trifft es aber immer den Auf­trag­ge­ber, denn als Ver­ant­wort­li­cher wird die Insti­tu­ti­on ange­se­hen, wel­che die Infor­ma­tio­nen zur Bear­bei­tung wei­ter­gibt.
  2. Doch was tun, wenn es sich bei dem Pro­blem um einen Tot­aus­fall des Cloud-Ser­vers han­delt? Unter­neh­men haben dann das Recht, den Ser­ver-Inha­ber zu ver­kla­gen – schließ­lich kön­nen sie in der Zeit nicht auf die Daten zugrei­fen. Zumal erst im Lau­fe der Zeit klar wird, ob die Infor­ma­tio­nen nicht sogar gänz­lich ver­schwun­den sind. Das ver­ur­sacht auf Sei­ten einer Fir­ma hohe Kos­ten.
  3. Eine wei­te­re Ände­rung ist die Tat­sa­che, dass nun auch Geschäfts­füh­rer und Daten­schutz­be­auf­trag­te als natür­li­che Per­son haf­ten kön­nen. Unter­neh­men kön­nen Scha­dens­er­satz­an­sprü­che also ganz bequem an ihre Füh­rungs­ebe­ne abge­ben, sofern gegen das DSGVO ver­sto­ßen wird.

Doch nicht so ein­fach, wie es scheint

Im Grun­de kann jede Per­son, die einen mate­ri­el­len oder imma­te­ri­el­len Scha­den erlei­det, Scha­den­er­satz­an­sprü­che stel­len – sofern es sich um einen Ver­stoß gegen die Ver­ord­nung han­delt. In wel­chem Fall aller­dings der Cloud-Anbie­ter und wann die beauf­tra­gen­de Fir­me Schuld an dem Dilem­ma ist, muss indi­vi­du­ell ent­schie­den wer­den.