Sie suchen kompetente Rechtsberatung?
Finden Sie den passenden Rechtsanwalt
Telefon
Rufen Sie den Rechtsexperten Ihrer Wahl an und erhalten sofort eine Rechtsberatung durch den Anwalt » Telefonische Rechtsberatung
Fragen
Stellen Sie Ihre Frage an einen Pool von Anwälten. Schneller und rechtsverbindlicher Rat vom Anwalt bereits ab 25,- Euro » Rechtsanwalt fragen
Beauftragen
Konkrete Aufgabe/Auftrag einstellen, Rechtsgebiet auswählen und ein spezialisierter Anwalt kümmert sich um Ausarbeitung » Rechtsanwalt beauftragen
E-Mail
Ihr direkter Weg zur Experten-Antwort. Hier erhalten Sie Rechtsberatung per E-Mail von einem erfahrenen Anwalt Ihrer Wahl » E-Mail Beratung
Anwaltssuche
Finden Sie Ihren Anwalt. Auf www.anwaltinfos.de finden Sie den geeigneten Rechtsanwalt oder Fachanwalt » Rechtsanwalt suchen
Sie sind Rechtsanwalt?
Vorteile im Anwaltsverzeichnis anwaltinfos.de
Repräsentatives Kanzleiprofil
Der erste Eindruck zählt. Dabei kommt es auf ein individuell gestaltetes, Usability freundliches und Suchmaschinen optimiertes Kanzleiprofil an
Neue Mandate erschließen
Neue Mandate rund um die Uhr, vor Ort, per Telefon, E-Mail Beratung, Online Beauftragung, Online Rechtsfragen für sich gewinnen und abwickeln
Rechtstipps & Rechtsnews publizieren
Durch die Publikation von Rechtsinformationen aus den eigenen Fachbereichen einen Status als Experte einnehmen und als solcher wahrgenommen werden
In Suchmaschinen ganz weit vorne
Die Motivation für das Suchmaschinenmarketing ist klar: Exakt dann bei einem Mandanten präsent sein, wenn er aktiv nach einer Rechtsberatung sucht
Social Media & Video-Marketing
Begegnen Sie potenziellen neuen Mandanten zeitgemäß und kompetent durch die Nutzung modernster Werbeformen in digitalen Medien
Ãœber 250.000 Entscheidungen
Mitglieder erhalten Zugriff auf Volltextsuche und Schlagwort-Recherche in unserer seit 2001 gepflegten Entscheidungsdatenbank
Ratgeber zum Thema Blogs, Foren, Web2.0
Nutzerdaten bei Dropbox, iCloud, Google Drive, etc. - Cloud-Rechtssicherheit
09.11.2012 | Blogs, Foren, Web2.0
Mehr zum Thema:
Cloud-computing, Cloud-hosting, Dropbox, Icloud, Skydrive, Google-drive, Cloud-anbieter, Cloud-vergleich, Cloud-service, Cloud-angebote
Die Nutzung von Online-Datenspeichern ist aktuell nichts Ungewöhnliches mehr und immer mehr Anbieter gehen dazu über, Nutzern eine große Menge an Datenspeicher im World Wide Web zur Verfügung zu stellen. Zu den bekannten Cloud-Diensten zählen u. a. Dropbox, iCloud und Skydrive und auch Google ist vor nicht allzu langer Zeit mit seinen Dienst GoogleDrive gestartet. Die Nutzung dieser Dienste ist allerdings nicht frei von diversen Fallstricken, so dass wir Ihnen an dieser Stelle einen Überblick darüber verschaffen möchten, was Sie in rechtlicher Hinsicht über die Nutzung der Online-Datenspeicher wissen sollten. Hierbei zeigen wir Ihnen die wichtigsten Fragen, bezogen auf Verträge und Online-Datenspeichernutzung auf.
Der Cloud-Computing Vertrag aus rechtlicher Sicht betrachtet
Die sogenannten Cloud-Verträge lassen sich nicht grundsätzlich in einen Vertragstypus des BGB zuordnen, so dass bei jedem Anbieter einzeln geprüft werden muss, wie das Nutzungsverhältnis konkret vertraglich gestaltet wurde. Meist handelt es sich bei diesen Verträgen um sogenannte Mischverträge, bei denen festgelegt ist, welche Leistungen vom Anbieter erbracht werden. Diese werden schwerpunktmäßig meist als Dienstvertrag, Werkvertrag oder auch Mietvertrag behandelt. Welche Vertragsart in Frage kommt, hängt grundsätzlich von der zur Verfügung gestellten Leistung ab.
In dem Fall, dass beispielsweise ein Speicher durch den Anbieter zur Verfügung gestellt wird, der im Rahmen eines kostenpflichtigen Updates erweitert werden kann, (z. B. Dropbox), handelt es sich um einen Vertrag, den man schwerpunktmäßig als Mietvertrag nach den §§ 535ff. BGB bezeichnet.
Abhängig davon, wie der Nutzungsvertrag eingeordnet werden kann, unterscheiden sich damit natürlich auch Rechte und Pflichten der Nutzer, die beispielsweise beim Auftreten unterschiedlicher Mängel zum Tragen kommen.
Wie sicher sind Nutzerdaten bezogen auf die Angebote von Cloud-Anbietern?
Grundsätzlich kommt das Deutsche Datenschutzgesetzt immer dann zum Tragen, wenn es sich bei Daten, die in der Cloud gespeichert werden, um personenbezogene Daten gemäß § 3 Nr. 1 BDSG handelt. Dabei handelt es sich um "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person" - und somit die Daten eines Menschen.
Das Deutsche Datenschutzrecht umfasst somit nicht die Daten von juristischen Personen wie beispielsweise GmbH, AG usw. Anders gehandhabt wird es bei pseudonymisierten Daten gemäß § 3 Nr. 6a BDSG. Hierbei handelt es sich zwar nicht im Daten, die einen unmittelbaren Bezug auf Personen beinhalten, dieser jedoch aber hergestellt werden kann. Dies kann beispielsweise dann der Fall sein, wenn die Person beispielsweise eine Bezeichnung oder Ziffer trägt, über die eine Identifizierung möglich ist.
Grundsätzlich bedeutet das für die Cloud-Nutzung, dass es entscheiden davon ist, ob Daten einen Bezug zu Personen aufweisen, wenn es darum geht, ob sie vom Datenschutzgesetz erfasst werden oder nicht. Somit ist es folglich notwendig, dass man als Nutzer einen genauen Blick auf Anbieter und Nutzer des Cloud-Dienstes werfen sollte, wenn sich Fragen bezogen auf die Anwendung des Datenschutzes ergeben. Handelt es sich über dem Cloud-Anbieter um einen Anbieter innerhalb Deutschlands oder der EU ist davon auszugehen, dass in der Regel das Datenschutzgesetz Deutschlands angewendet werden kann.
Bezogen auf die Europäischen Datenschutzrichtlinie (RL 95/46/EG) ist eine grenzüberschreitende Datenverarbeitung innerhalb der EU kein rechtliches Hindernis mehr (vgl. Art. 1 Abs. 2 EU-DSRL), so dass das Deutsche Datenschutzrecht grundsätzlich immer Anwendung findet, wenn personenbezogene Daten eines Menschen mit Wohnsitz in Deutschland von einem Cloud-Anbieter mit EU-Niederlassung verarbeitet werden.
Cloud-Anbieter außerhalb der EU - Probleme mit dem Datenschutz
Speziell bei Anbietern, die sich außerhalb der EU befinden, wie beispielsweise Google, bestehen oftmals rechtliche Bedenken. Denn gerade diese Länder verfügen häufig über ein Datenschutzniveau, welches nicht mit den europäischen Gesetzen konform geht. Viele der in diesen Ländern geltenden Datenschutzrichtlinien und Regeln werden von europäischen Datenschützern häufig als unzulässig beurteilt und bisher ist es auch nicht möglich gewesen, mit einer Pauschallösung für die Behandlung der datenschutzrechtlichen Schwierigkeiten in Bezug auf nicht in EU-ansässige Cloud-Anbieter aufzuwarten. Daher wird eine Übermittlung von Daten via Cloud an einen ausländischen Anbieter als unzulässig betrachtet, da es für diesen Fall keine datenschutzrechtliche Legitimation und das Niveau des Datenschutzes nicht angemessen ist. Hat man sich jedoch trotzdem dazu entschlossen, einen außereuropäischen Anbieter für einen Cloud-Dienst in Anspruch zu nehmen, sollte man gegebenenfalls auf die Übermitteln von personenbezogenen Daten verzichten und lediglich nicht-personenbezogene Daten verwenden. Hierbei ist jedoch zu beachten, dass dies den eigentlich praktischen Nutzen eines Cloud-Dienstes deutlich einschränkt, so dass es fraglich ist, ob dieser dann noch benötigt wird.
Ab wann haftet der Cloud-Anbieter bei Hackerangriffen und Datenverlust?
Für Nutzer solcher Online-Datenspeicher ist es natürlich besonders wichtig zu wissen, ob der Cloud-Anbieter haftet, wenn Hackerangriffe zu einem Datenverlust für den Nutzer geführt haben. Hierbei ist jedoch für den zivilrechtlichen Schadensersatzanspruch bei gehackten Cloud-Daten die Frage entscheidend, ob dem Cloud-Anbieter nachgewiesen werden kann, dass ein Verschulden - fahrlässig oder vorsätzlich - seinerseits vorliegt, beispielsweise durch Verletzung von Sorgfaltsanforderungen. Ein Verschulden kann beispielsweise dann nachgewiesen werden, wenn anerkannte Sicherheitsstandards nicht eingehalten wurde, so dass dadurch der Angriff durch den Hacker erst ermöglicht oder begünstigt wurde. Allerdings gibt es aktuell noch kein Urteil eines deutschen Gerichtes, welches einen solchen Schadensersatzanspruch gewährleistet werde, bzw. überhaupt über einen solchen Fall hätte entscheiden müssen.
Besonders wichtig: das Kleingedruckte - Nutzungsbedingungen der Cloud-Anbieter im Vergleich
Wenn Daten ausgelagert werden sollen, ist es insbesondere wichtig, alle Nutzungsbedingungen der Anbieter, beispielsweise AGB und terms and conditions, genauer unter die Lupe zu nehmen und gegebenenfalls zu vergleichen. Denn an dieser Stelle finden sich durchaus Unterscheidungen, die relevant sein können.
Google Drive Nutzungsbedingungen:
Besonders zu erwähnen ist bezogen auf Google Drive, dass sich dieser Anbieter in Deutschland wesentlich weniger Rechte einräumen lässt, als dies beispielsweise im englischen Raum der Fall ist. So finden Nutzer beispielsweise grundsätzlich klare Hinweise darauf, dass für den Nutzer alle Urheberrechte und bestehende gewerbliche Schutzrechte gewährleistet sind. Jedoch wird auch durch das Einstellen von Daten in die Cloud Google ein gleichzeitiges, zwar nicht ausschließliches - wenn auch weltweites - und zeitlich ohne Einschränkungen gewährtes Recht eingeräumt, Inhalte zweckgebunden an die Erbringung des Dienstes im notwendigen Umfang zu nutzen.
Das bedeutet, dass Google u. a. das Recht eingeräumt wird, Inhalte technische zu vervielfältigen sowie auch die Möglichkeit, die Daten öffentlich zugängig machen zu können, wenn beispielsweise ein solches Zugänglichmachen durch den Nutzer beabsichtig ist und dieser ausdrücklich zugestimmt wurde.
Dropbox Nutzungsbedingungen:
Die Nutzungsbedingungen von Dropbox beinhalten ebenfalls, dass der Nutzer des Dienstes alleiniger Inhaber der Rechte an den Dateien bleibt, die dort gespeichert werden. Allerdings ist ebenso auch hier zu beachten, dass auch bei Dropbox-Nutzung, bezogen auf das Betreiben des Services, eingeschränkt Rechte auf Dropbox übertragen werden. Auf diese Weise sollen lt. des Betreibers Backups auf rechtlicher Ebene sicher abgedeckt werden können.
Apple iCloud Nutzungsbedingungen:
Bei der Nutzung des Online-Speicher-Dienstes iCloud, räumt der Nutzer Apple ebenfalls ein einfaches, weltweites Nutzungsrecht ein, welches sich nur auf die Gewährleistung des Dienstes bezieht, bzw. dafür Sorge tragen soll, dass der Service vom Dienstleister überhaupt umgesetzt werden kann.
Microsoft SkyDrive Nutzungsbedingungen:
Auch Microsoft SkyDrive erhebt grundsätzlich in seinen Nutzungsbedingungen keinen Eigentumsanspruch an die Daten, die online gespeichert werden. Jedoch erklärt sich der Nutzer auch bei diesem Dienstangebot damit einverstanden, dass die Daten, die für die Bereitstellung des Dienstes erforderlich sind, verändert, kopiert, vertreibt und auch veröffentlicht - allerdings nur insoweit, wie der Nutzer sich damit einverstanden erklärt und um die Erfüllung des Vertrages zu gewährleisten.
Vergleicht man also die Angebote der unterschiedlichen Serviceanbieter, ergibt sich daraus folgendes Fazit:
Auch wenn durchaus Vorteile rein technisch gesehen gegeben sind, sollte man Vorsicht bezogen auf die rechtliche Sicht walten lassen. Denn aufgrund der eher unbestimmten Formulierungen innerhalb der Nutzungsbedingungen, wird dem Anbieter sehr viel Spielraum bei der Verwendung der Daten eingeräumt. Bezogen auf die datenschutzrechtliche Sicht eines solchen Angebotes, sollten Nutzer daher Zurückhaltung üben, wenn es um nicht europäische Cloud-Service-Angebote geht. Wirklich sicher sein kann man sich als Nutzer nur dann, wenn man so viele Daten speichern kann, wie notwendig ohne dabei zu viele Rechte einräumen zu müssen. Speichern Sie möglichst niemals Daten, die nicht unbedingt notwendig sind. So verhindern Sie generell Probleme bei der Nutzung personenbezogener Daten sowie den Missbrauch entsprechender Daten.
Der Cloud-Computing Vertrag aus rechtlicher Sicht betrachtet
Die sogenannten Cloud-Verträge lassen sich nicht grundsätzlich in einen Vertragstypus des BGB zuordnen, so dass bei jedem Anbieter einzeln geprüft werden muss, wie das Nutzungsverhältnis konkret vertraglich gestaltet wurde. Meist handelt es sich bei diesen Verträgen um sogenannte Mischverträge, bei denen festgelegt ist, welche Leistungen vom Anbieter erbracht werden. Diese werden schwerpunktmäßig meist als Dienstvertrag, Werkvertrag oder auch Mietvertrag behandelt. Welche Vertragsart in Frage kommt, hängt grundsätzlich von der zur Verfügung gestellten Leistung ab.
In dem Fall, dass beispielsweise ein Speicher durch den Anbieter zur Verfügung gestellt wird, der im Rahmen eines kostenpflichtigen Updates erweitert werden kann, (z. B. Dropbox), handelt es sich um einen Vertrag, den man schwerpunktmäßig als Mietvertrag nach den §§ 535ff. BGB bezeichnet.
Abhängig davon, wie der Nutzungsvertrag eingeordnet werden kann, unterscheiden sich damit natürlich auch Rechte und Pflichten der Nutzer, die beispielsweise beim Auftreten unterschiedlicher Mängel zum Tragen kommen.
Wie sicher sind Nutzerdaten bezogen auf die Angebote von Cloud-Anbietern?
Grundsätzlich kommt das Deutsche Datenschutzgesetzt immer dann zum Tragen, wenn es sich bei Daten, die in der Cloud gespeichert werden, um personenbezogene Daten gemäß § 3 Nr. 1 BDSG handelt. Dabei handelt es sich um "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person" - und somit die Daten eines Menschen.
Das Deutsche Datenschutzrecht umfasst somit nicht die Daten von juristischen Personen wie beispielsweise GmbH, AG usw. Anders gehandhabt wird es bei pseudonymisierten Daten gemäß § 3 Nr. 6a BDSG. Hierbei handelt es sich zwar nicht im Daten, die einen unmittelbaren Bezug auf Personen beinhalten, dieser jedoch aber hergestellt werden kann. Dies kann beispielsweise dann der Fall sein, wenn die Person beispielsweise eine Bezeichnung oder Ziffer trägt, über die eine Identifizierung möglich ist.
Grundsätzlich bedeutet das für die Cloud-Nutzung, dass es entscheiden davon ist, ob Daten einen Bezug zu Personen aufweisen, wenn es darum geht, ob sie vom Datenschutzgesetz erfasst werden oder nicht. Somit ist es folglich notwendig, dass man als Nutzer einen genauen Blick auf Anbieter und Nutzer des Cloud-Dienstes werfen sollte, wenn sich Fragen bezogen auf die Anwendung des Datenschutzes ergeben. Handelt es sich über dem Cloud-Anbieter um einen Anbieter innerhalb Deutschlands oder der EU ist davon auszugehen, dass in der Regel das Datenschutzgesetz Deutschlands angewendet werden kann.
Bezogen auf die Europäischen Datenschutzrichtlinie (RL 95/46/EG) ist eine grenzüberschreitende Datenverarbeitung innerhalb der EU kein rechtliches Hindernis mehr (vgl. Art. 1 Abs. 2 EU-DSRL), so dass das Deutsche Datenschutzrecht grundsätzlich immer Anwendung findet, wenn personenbezogene Daten eines Menschen mit Wohnsitz in Deutschland von einem Cloud-Anbieter mit EU-Niederlassung verarbeitet werden.
Cloud-Anbieter außerhalb der EU - Probleme mit dem Datenschutz
Speziell bei Anbietern, die sich außerhalb der EU befinden, wie beispielsweise Google, bestehen oftmals rechtliche Bedenken. Denn gerade diese Länder verfügen häufig über ein Datenschutzniveau, welches nicht mit den europäischen Gesetzen konform geht. Viele der in diesen Ländern geltenden Datenschutzrichtlinien und Regeln werden von europäischen Datenschützern häufig als unzulässig beurteilt und bisher ist es auch nicht möglich gewesen, mit einer Pauschallösung für die Behandlung der datenschutzrechtlichen Schwierigkeiten in Bezug auf nicht in EU-ansässige Cloud-Anbieter aufzuwarten. Daher wird eine Übermittlung von Daten via Cloud an einen ausländischen Anbieter als unzulässig betrachtet, da es für diesen Fall keine datenschutzrechtliche Legitimation und das Niveau des Datenschutzes nicht angemessen ist. Hat man sich jedoch trotzdem dazu entschlossen, einen außereuropäischen Anbieter für einen Cloud-Dienst in Anspruch zu nehmen, sollte man gegebenenfalls auf die Übermitteln von personenbezogenen Daten verzichten und lediglich nicht-personenbezogene Daten verwenden. Hierbei ist jedoch zu beachten, dass dies den eigentlich praktischen Nutzen eines Cloud-Dienstes deutlich einschränkt, so dass es fraglich ist, ob dieser dann noch benötigt wird.
Ab wann haftet der Cloud-Anbieter bei Hackerangriffen und Datenverlust?
Für Nutzer solcher Online-Datenspeicher ist es natürlich besonders wichtig zu wissen, ob der Cloud-Anbieter haftet, wenn Hackerangriffe zu einem Datenverlust für den Nutzer geführt haben. Hierbei ist jedoch für den zivilrechtlichen Schadensersatzanspruch bei gehackten Cloud-Daten die Frage entscheidend, ob dem Cloud-Anbieter nachgewiesen werden kann, dass ein Verschulden - fahrlässig oder vorsätzlich - seinerseits vorliegt, beispielsweise durch Verletzung von Sorgfaltsanforderungen. Ein Verschulden kann beispielsweise dann nachgewiesen werden, wenn anerkannte Sicherheitsstandards nicht eingehalten wurde, so dass dadurch der Angriff durch den Hacker erst ermöglicht oder begünstigt wurde. Allerdings gibt es aktuell noch kein Urteil eines deutschen Gerichtes, welches einen solchen Schadensersatzanspruch gewährleistet werde, bzw. überhaupt über einen solchen Fall hätte entscheiden müssen.
Besonders wichtig: das Kleingedruckte - Nutzungsbedingungen der Cloud-Anbieter im Vergleich
Wenn Daten ausgelagert werden sollen, ist es insbesondere wichtig, alle Nutzungsbedingungen der Anbieter, beispielsweise AGB und terms and conditions, genauer unter die Lupe zu nehmen und gegebenenfalls zu vergleichen. Denn an dieser Stelle finden sich durchaus Unterscheidungen, die relevant sein können.
Google Drive Nutzungsbedingungen:
Besonders zu erwähnen ist bezogen auf Google Drive, dass sich dieser Anbieter in Deutschland wesentlich weniger Rechte einräumen lässt, als dies beispielsweise im englischen Raum der Fall ist. So finden Nutzer beispielsweise grundsätzlich klare Hinweise darauf, dass für den Nutzer alle Urheberrechte und bestehende gewerbliche Schutzrechte gewährleistet sind. Jedoch wird auch durch das Einstellen von Daten in die Cloud Google ein gleichzeitiges, zwar nicht ausschließliches - wenn auch weltweites - und zeitlich ohne Einschränkungen gewährtes Recht eingeräumt, Inhalte zweckgebunden an die Erbringung des Dienstes im notwendigen Umfang zu nutzen.
Das bedeutet, dass Google u. a. das Recht eingeräumt wird, Inhalte technische zu vervielfältigen sowie auch die Möglichkeit, die Daten öffentlich zugängig machen zu können, wenn beispielsweise ein solches Zugänglichmachen durch den Nutzer beabsichtig ist und dieser ausdrücklich zugestimmt wurde.
Dropbox Nutzungsbedingungen:
Die Nutzungsbedingungen von Dropbox beinhalten ebenfalls, dass der Nutzer des Dienstes alleiniger Inhaber der Rechte an den Dateien bleibt, die dort gespeichert werden. Allerdings ist ebenso auch hier zu beachten, dass auch bei Dropbox-Nutzung, bezogen auf das Betreiben des Services, eingeschränkt Rechte auf Dropbox übertragen werden. Auf diese Weise sollen lt. des Betreibers Backups auf rechtlicher Ebene sicher abgedeckt werden können.
Apple iCloud Nutzungsbedingungen:
Bei der Nutzung des Online-Speicher-Dienstes iCloud, räumt der Nutzer Apple ebenfalls ein einfaches, weltweites Nutzungsrecht ein, welches sich nur auf die Gewährleistung des Dienstes bezieht, bzw. dafür Sorge tragen soll, dass der Service vom Dienstleister überhaupt umgesetzt werden kann.
Microsoft SkyDrive Nutzungsbedingungen:
Auch Microsoft SkyDrive erhebt grundsätzlich in seinen Nutzungsbedingungen keinen Eigentumsanspruch an die Daten, die online gespeichert werden. Jedoch erklärt sich der Nutzer auch bei diesem Dienstangebot damit einverstanden, dass die Daten, die für die Bereitstellung des Dienstes erforderlich sind, verändert, kopiert, vertreibt und auch veröffentlicht - allerdings nur insoweit, wie der Nutzer sich damit einverstanden erklärt und um die Erfüllung des Vertrages zu gewährleisten.
Vergleicht man also die Angebote der unterschiedlichen Serviceanbieter, ergibt sich daraus folgendes Fazit:
Auch wenn durchaus Vorteile rein technisch gesehen gegeben sind, sollte man Vorsicht bezogen auf die rechtliche Sicht walten lassen. Denn aufgrund der eher unbestimmten Formulierungen innerhalb der Nutzungsbedingungen, wird dem Anbieter sehr viel Spielraum bei der Verwendung der Daten eingeräumt. Bezogen auf die datenschutzrechtliche Sicht eines solchen Angebotes, sollten Nutzer daher Zurückhaltung üben, wenn es um nicht europäische Cloud-Service-Angebote geht. Wirklich sicher sein kann man sich als Nutzer nur dann, wenn man so viele Daten speichern kann, wie notwendig ohne dabei zu viele Rechte einräumen zu müssen. Speichern Sie möglichst niemals Daten, die nicht unbedingt notwendig sind. So verhindern Sie generell Probleme bei der Nutzung personenbezogener Daten sowie den Missbrauch entsprechender Daten.
