Haftungsfragen in der Cloud – Wie Cloud-Anbieter zwar in der Haftung stehen, aber nur selten zahlen müssen
Phillip Malinowski, Universität Hamburg
Jeder kennt sie, fast jeder nutzt sie. Die Cloud. Es gibt viele namenhafte Anbieter von Cloudservices. Doch wer haftet eigentlich, wenn die darin gespeicherten Daten nicht mehr verfügbar sind oder die Cloud nicht mehr erreichbar ist? Welche Ansprüche hat ein Nutzer gegen den Cloudanbieter? Im Folgenden werden die geläufigsten Haftungsfragen bei der Nutzung einer Cloud vorgestellt. Das Hauptaugenmerk liegt dabei auf der am meist verbreitetsten Cloudanwendung, nämlich der Bereitstellung von Speicherkapazitäten durch den Cloudanbieter. Es werden verschiedene Haftungsszenarien aufgezeigt und dabei mögliche Ansprüche gegen den Cloudbetreiber präsentiert.
Was ist die Cloud?
Unter der Bezeichnung „Cloud“ verstehen wir im allgemeinen Sprachgebrauch die Bereitstellung von Speicherkapazitäten für den Cloud-Nutzer. Dies macht jedoch nur ein Bruchteil des tatsächlichen Gedankens hinter dem Umfang einer Cloud aus. Cloud ist die Kurzform von cloud computing. Unter cloud computing versteht man wiederum das Bereitstellen von Software (Software as a Service, SaaS), die Nutzungsüberlassung von IT-Platformen (Platform as a Service, PaaS) und die Bereitstellung von Hardware von IT-Ressourcen (Infrastructure as a Service, IaaS), wie Rechenleistung, Speicherkapazitäten und sogar Kommunikationsverbindungen. Es können verschiedene Softwareangebote direkt vom Anbieter abgerufen werden, ohne dass diese auf dem lokalen Endgerät installiert werden müssen. Ähnlich verhält es sich bei der Nutzung von Rechenleistung oder Speicherkapazität. Möglich sind solche Services durch lokale Server im eigenen (firmeninternen) Netzwerk oder auch über das Internet.
Die Einordnung von cloud computing-Verträgen
Aus der Vielfalt an Angeboten resultieren ebenso vielfältige Möglichkeiten einen Cloud-Service zu nutzen. Ein einheitlicher Vertragsgegenstand lässt sich somit nicht ermitteln. Die konkrete Einordnung erfolgt immer einzelfallbezogen. So entstehen bei der Nutzung mehrerer Cloud-Services auch gemischte Verträge. Durch die Entscheidung des Bundesgerichtshofs vom 15.11.2006 wurde etwas Klarheit geschaffen. Die dort enthaltene Grundaussage, dass ASP-Verträge mietvertraglich einzuordnen sind, konnte auf die cloud computing-Verträge übertragen werden. Unter ASP-Verträgen ist die Bereitstellung von Software, damit verbundene Updates, Datensicherungen und die Bereitstellung von Speicherplatz zu verstehen. Die cloud computing-Verträge ähneln diesen ASP-Verträgen sehr. Zumindest die Bereitstellung von Software und/oder Hardware als Cloudservice wird seit dieser Entscheidung mietvertraglich eingeordnet. Notwendige Voraussetzung zu dieser Einordnung ist allerdings die zeitweise und entgeltliche Bereitstellung von IT-Ressourcen. Dies sind essentielle Voraussetzung für eine mietvertragliche Überlassung.
In der Literatur sind noch andere Einordnungsversuche für die cloud computing-Verträge zu finden. Eine Möglichkeit wäre, die Bereitstellung von Soft- und Hardware als Dienstleistung zu verstehen.[1] Diese Einordnung führt jedoch nicht zum gewünschten Erfolg. Bei der Dienstleistung wird nur ein Bemühen geschuldet und nicht die Erbringung eines konkret nachprüfbaren Erfolgs. Die Einordnung als Werkvertrag ist ebenfalls naheliegend.[2] Allerdings scheitert diese Einordnung schon an der nutzerspezifischen Herstellung eines Werkes.
Im Großen und Ganzen scheint die mietvertragliche Einordnung der cloud computing-Verträge somit am Sinnvollsten zu sein. Dafür spricht ebenfalls, dass der Cloud-Nutzer sich nicht um die Schließung von Sicherheitslücken durch Patches oder Updates kümmern muss, sondern dies durch den Cloud-Anbieter übernommen wird. Die Schließung von Sicherheitslücken liegt allein im Aufgabenbereich des Cloud-Anbieters und wird über § 535 Abs. 1 S. 2 BGB gesichert. Dem Cloud-Nutzer entstehen dadurch keine weiteren Kosten.
Bei der unentgeltlichen Nutzung von Cloud-Services funktioniert die mietvertragliche Einordnung allerdings nicht mehr. Dabei fehlt es dann an der entgeltlichen Nutzung. Es finden vielmehr die Normen der Leihe (§§ 598 ff. BGB) Anwendung.
Haftungsszenarien
Es gibt verschiedene Szenarien, die zu einer Haftung des Cloud-Anbieters führen könnten. Das wohl häufigste Szenario ist der Datenverlust oder die Datenveränderung der in der Cloud gespeicherten Datensätze. (Beispiel: Datenverlust in der Cloud von Amazon) Darüber hinaus können aber auch Sicherheits- oder Verfügbarkeitslücken beim cloud computing entstehen. (Beispiel: Ausfall von Dropbox)
Die Ursachen für solche Szenarien sind vielfältig. Das Verhalten des Cloud-Anbieters selbst oder das Verhalten seiner Mitarbeiter, technische Mängel, aber auch ein Eingriff durch einen unbefugten Dritten können ein Haftungsszenario auslösen. Zufälle oder Naturereignisse können ebenfalls eine Störung der Cloud herbeiführen. In diesem Fall ist es interessant, ob ein Cloud-Anbieter auch für Naturereignisse einstehen müsste. Denkbar sind dabei Haftungsansprüche wegen Unterlassung von Schutzmaßnahmen gegen den Datenverlust.
Schaden
Um einen Haftungsanspruch geltend machen zu können, muss auf der Seite des Betroffenen ein Schaden entstanden sein. Dieser kann durch den Verlust der Daten direkt oder durch den Zugriff eines unbefugten Dritter auf die Daten entstehen. Zur Wiederherstellung der Daten können dem Cloud-Nutzer auch Aufwendungen entstehen, welche er dem Cloud-Anbieter in Rechnung stellen kann. Auch ein Imageverlust oder ein Verlust von Geschäftschancen sind möglichen Schäden des Cloud-Nutzers.
Potentielle Anspruchsgrundlagen des Cloud-Nutzers
Der Cloud-Nutzer hat mehrere Anspruchsgrundlagen, auf welche er zurückgreifen kann. So kommen Anspruchsgrundlagen vor allem aus dem Deliktsrecht aber auch aus dem Mietrecht in Frage.
Eine Haftung kann aus dem Mietrecht folgen. Der Cloud-Anbieter haftet gemäß § 536a Abs. 1 BGB für sämtliche Schäden, die infolge eines Mangels der überlassenen Sachen auftreten. Dies folgt aus der Pflicht des Cloud-Anbieters, die Mietsache über die gesamte Dauer des Vertrags in einem funktionsfähigen und sicheren Zustand bereitzustellen.
Darüber hinaus sind auch Haftungsansprüche aus dem Deliktsrecht möglich. Dabei scheint eine Haftung nach § 823 Abs. 1 BGB als zweifelhaft aber durchaus möglich. Ausgangspunkt ist die Frage, ob Daten als Schutzgut im Sinne des § 823 Abs. 1 BGB qualifiziert werden können. Diese Frage wird meist verneint. Es solle eher auf das Eigentum des Datenträgers ankommen, da bei einer Veränderung von Daten auf einem Datenträger auch dieser verändert wird.[3] Der Cloud-Nutzer ist in der Regel jedoch nicht der Eigentümer oder Besitzer des Datenträgers. Demnach hilft dieser Ansatz hier nicht weiter. Ein alternativer Ansatz stellt auf den Eigentumsschutz an der Integrität von Datensammlungen als sonstiges Recht im Sinne des § 823 Abs. 1 BGB ab.[4] Somit ist ein Anspruch des Cloud-Nutzers gegen den Cloud-Anbieter möglich.
Ein weiterer Anspruch kann aus der Verletzung einer Verkehrssicherungspflicht des Cloud-Anbieters entstehen. Der Cloud-Anbieter ist verpflichtet, den Cloud-Service nach dem Stand der Technik zu betreiben und muss ebenfalls Möglichkeiten schaffen, die zur Absicherung eines Datenverlustes notwendig sind. Kommt der Cloud-Anbieter dieser Pflicht nicht nach, verletzt er seine Verkehrssicherungspflicht und der Cloud-Nutzer kann gegen ihn einen Anspruch aus § 823 Abs. 1 BGB geltend machen.[5] Allerdings ist die Begrifflichkeit „Stand der Technik“ nicht sonderlich klar und wirft somit eine erhebliche Rechtsunsicherheit auf.[6]
Auch die Verletzung eines Schutzgesetzes kann eine Haftung des Cloud-Anbieters auslösen. Als Schutzgesetz könnte die vorsätzliche Datenveränderung gemäß § 303a StGB in Betracht kommen. Strafbar macht sich, wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert. Weiterhin müsste eine Verletzung einer fremden Verfügungsbefugnis vorliegen. Diese muss nicht beim Eigentümer des Datenträgers liegen, sondern kann auch bei Nutzer der zur Verfügung gestellten IT-Ressource liegen.[7] Zweck der Norm ist der Schutz der Integrität der Daten des Betroffenen und wird allgemein als Schutzgesetz im Sinne des § 823 Abs. 2 BGB angesehen.[8]
Probleme bei der Durchsetzung der Ansprüche
Der Cloud-Nutzer ist somit weitestgehend gegen mögliche Haftungsszenarien geschützt. Doch wie bereits erwähnt, kann es bei der Durchsetzung der Ansprüche Schwierigkeiten geben. Es obliegt dem Cloud-Nutzer, die mögliche Pflichtverletzung oder den Mangel gegenüber dem Cloud-Anbieter nachzuweisen. Die Pflichtverletzung oder der Mangel muss darüber hinaus noch kausal zum Schaden sein. Dieser Nachweis ist in der Regel für den Cloud-Nutzer sehr schwer zu erbringen, da sich sämtliche Informationen bezüglich des Sachverhalts im Machtbereich des Cloud-Anbieters befinden. Die notwendigen Informationen können durch eine gerichtliche Verpflichtung gemäß § 142 ZPO zwar noch erlangt werden und somit ein Mangel oder eine mögliche Pflichtverletzung nachgewiesen werden. Allerdings folgt dem Nachweis ein weiteres Problem, nämlich der Darstellung des tatsächlich eingetretenen Schadens. Problematisch ist dabei die Bestimmung eines Geldwerts zu den veränderten oder gelöschten Daten. Diese Problematik scheint selbst bei einfachen Verträgen, wie einem Vertrag zur Internetbereitstellung, schwierig. Der Wertersatz bei Ausfall des Internetzugangs richtet sich nach dem Kompensations- und nicht nach dem Reparationsinteresse.[9] Es muss also ein marktüblicher Preis gefunden werden, welcher bei individuellen Daten faktisch nicht existiert. Praktisch gesehen ist die Wertzumessung für Daten die schwerste Hürde, an der die meisten Ansprüche gegen den Cloud-Anbieter scheitern.
Mitverschulden
Nicht nur ein fehlender konkreter Schaden kann dem Cloud-Nutzer Probleme bereiten. Ihm kann auch ein Mitverschulden gemäß § 254 BGB zur Last fallen. Der Cloud-Nutzer steht in der Pflicht zur Datensicherung. Die beim Cloud-Anbieter gespeicherten Daten müssen sich ebenfalls als Kopie an einem anderen Speicherplatz wiederfinden. Denkbar ist die Speicherung in einer anderen Cloud oder auf einem lokalen Datenträger. Diese Pflicht greift allerdings nur bei besonders wichtigen Daten, wie sie meist bei Kundendaten oder wichtigen wirtschaftlichen Informationen zu finden sind. Darauf muss der Cloud-Anbieter jedoch hinweisen. Dies geschieht in der Regel durch die AGB.
Fazit
Es gibt viele Haftungsszenarien bei der Nutzung einer Cloud. Die Ansprüche der Cloud-Nutzer gegen die Cloud-Anbieter sind entsprechend breit gefächert. Allerdings scheitern die meisten Ansprüche bei der Darlegungs- und Beweislast. Es ist zwar noch möglich, die Pflichtverletzung oder den Mangel dem Cloud-Anbieter nachzuweisen. Allerdings kann meist kein konkreter Schaden beziffert werden. Eine Formel zu Wertbeimessung von Daten gibt es bislang nicht. Allgemein kann eine solche Formel wohl auch nicht erstellt werden. Mögliche Ansatzpunkte für eine Wertzuweisung für Daten könnten die Aufwendungen für die Wiederbeschaffung oder konkrete Nachweise zur Erstellung der veränderten oder gelöschten Daten sein. Doch dabei kommen weitere Probleme auf. Denn es stellt sich dann bereits die Frage, wie mit automatisiert erstellten Daten verfahren werden soll. Denkbar ist ebenfalls die Heranziehung von marktübliche Preisen für Daten. Problematisch ist jedoch, dass es nicht für jede Art von Daten einen Markt gibt.
Die wohl derzeit praktikabelste Lösung sind allgemeine Leistungsbeschreibungen innerhalb des Vertrags. Diese sollten nicht einseitig aus den AGB hervorgehen, sondern individuell vereinbart werden. Dabei wird beiden Parteien klar vor Augen gehalten, welche Rechte und Pflichten aus dem Vertrag entstehen.
[1] Vgl. Redeker, IT-Recht, Rn. 1131.
[2] Vgl. Wicker, MMR 2012, 783 (785).
[3] Vgl. OLG Karlsruhe, NJW 1996, 200 (201); Bartsch, CR 2000, 865 (866); Wagner, in: MüKo BGB, § 823 Rn. 165.
[4] Vgl. Schaub, in: Prütting/Wegen/Weinreich BGB, § 823 Rn. 80; Zech, CR 2015, 135 (146).
[5] Wicker, MMR 2014, 715 (717).
[6] Borges, in: Borges/Meents Cloud Computing, § 12 Rn 42.
[7] Kühl, in: Lackner/Kühl, StGB § 303a Rn. 4; Wieck-Noodt, in MüKo StGB, § 303a Rn. 10.
[8] Hager, in Staudinger BGB, § 823 Rn. G42, Roßnagel/Schnabel, NJW 2008, 3534 (3536).
