Rechtliche Aspekte des Cloud Computings

Cloud Computing ist derzeit (wieder) in aller Munde. Dabei scheint die einhellige Meinung zu sein, dass kein Weg an der Wolke vorbeiführt. Trotzdem konnte sich für den Begriff Cloud Computing keine einheitliche Definition durchsetzen. Dasselbe gilt für die rechtliche Sicht, eine sogenannte Legaldefinition fehlt.

Zwar lassen sich aus dem jeweiligen Servicemodell, zum Beispiel Infrastructure, Platform oder Software as a Service (IaaS, PaaS oder SaaS), aufschlussreiche Hinweise zu den rechtlichen Anforderungen und juristischen Knackpunkten ableiten. Da der Teufel bekanntlich im Detail steckt, ist eine sorgfältige rechtliche Beurteilung des Einzelfalls unerlässlich. Aus diesem Grund gilt auch hier der Lieblingssatz jedes Juristen: «Es kommt drauf an.»

Erfahrungsgemäss sind allgemeine rechtliche Aussagen dennoch möglich: Unabhängig vom Servicemodell sind bei den meisten Cloud-Dienstleistungen im Umfeld von XaaS («Anything as a Service») die Art der Daten, der Ort ihrer Bearbeitung sowie die Auswahl des Providers sorgfältig zu prüfen (XaaS-Setup). Das hat einen wesentlichen Einfluss auf die rechtlichen Anforderungen.

Stark vereinfacht gesagt, sind die rechtlichen Anforderungen tendenziell höher bei «heiklen» Daten, zum Beispiel Gesundheitsdaten, Persönlichkeitsprofilen oder Bankkundengeheimnisdaten, einer Datenbearbeitung im Ausland, wie etwa Storage auf Servern mit Standort im Ausland und durch ausländische beziehungsweise zu ausländischen Konzernen gehörende Cloud-Dienstleister. Was weniger bekannt ist: Auch wenn Daten in der Schweiz gespeichert sind, aber aus dem Ausland auf sie zugegriffen wird, gelten dieselben strengen Anforderungen wie bei einer Speicherung im Ausland.