Während noch im Jahr 2010 der Begriff „Cloud-Computing“ ein Hype war, ist heute (wohl?) festzustellen, dass „die Cloud“ schlicht Alltag ist. Bei rechtlichen Fragen rund um „die Cloud“ konzentriert man sich immer wieder gerne vor allem auf urheberrechtliche oder datenschutzrechtliche Fragen. Dabei gibt es sehr viel drängendere Themen – sowohl für Anbieter als auch Kunden.
Eines davon: Das Löschen von Daten wenn es Streit zwischen Kunde und Anbieter gibt.
Allgemeines zum vertraglichen Bereich
Man muss sich dabei als erstes von dem Bild klassischer Massenanbieter wie Dropbox oder Box.net und dem Verkehr mit Verbrauchern lösen. Darum soll es hier nicht gehen. Vielmehr ist zu sehen, dass es immer mehr Anbieter gibt, die sich gezielt an Unternehmen bzw. Unternehmer wenden und eine „Cloud-Lösung“ zur Speicherung von Dokumenten anbieten. Gerade in der heutigen Zeit mit Tablet’s bzw. Tablet-PCs eine sinnvolle Idee: Der Unternehmer speichert und verwaltet „in der Cloud“ zentral seine Unterlagen und auf allen Endgeräten sind diese immer aktuell in Echtzeit verfügbar. Wenn dann noch hohe Sicherheit und datenschutzrechtliche Konformität gesichert sind eine ideale Lösung. Bis es Streit gibt.
Beispiel für ein problematisches Szenario
Ein einfaches Beispiel: Der Kunde speichert seine gesamten Daten in der Cloud. Plötzlich gerät er – vielleicht nur kurzzeitig – in Zahlungsschwierigkeiten und bezahlt seinen Anbieter nicht mehr. Dieser mahnt einmal, zweimal und beim dritten Mal sperrt er den Account. Nach einiger Zeit löscht er dann sämtliche Daten. Plötzlich meldet sich der Kunde und verlangt die für ihn – nachvollziehbar! – so wichtigen Daten. Vielleicht meldet sich aber auch ein Insolvenzverwalter und fordert diese heraus. Der Anbieter verweist nun auf seine AGB, die ihm das Recht einräumen, nach Zahlungsverzug zu kündigen und die Daten zu löschen. Wenn keine Datensicherung bei dem Kunden vorhanden ist, ist der Streit jetzt vorprogrammiert – war die Löschung rechtmäßig?
Diesen Streit darf man nicht unterschätzen, inzwischen geht es hier um horrende Summen, die entstehen können! Manche Daten, wie Kundendaten, kann man wiederherstellen. Wenn aber ein Entwurf eines Designs weg ist kann das vielleicht mit Zeitaufwand rekonstruiert werden – der Auftrag wartet hierauf aber nicht und geht verloren. Selbst mit Verbrauchern können in extremen Fällen horrende Kosten entstehen: Natürlich nicht wegen der privaten Fotosammlung. Wohl aber wenn die in der Cloud gesicherten Bitcoin-Keys unwiederbringlich verloren sind. Es ist also Vorsicht angezeigt, dieses Thema auf die leichte Schulter zu nehmen.
Möglichkeit der Löschung von Daten in AGB?
Nun bleibt natürlich die Frage, ob man nicht kurzerhand als Anbieter das Löschen solcher Daten wirksam in AGB vorsehen kann. Ich tue mich an dieser Stelle schwer, jedenfalls wenn es um eine einfach formulierte Klausel nach dem Motto „Kein Geld, somit Löschung“ geht. Auch der Verweis darauf, dass der Kunde für Backups selber verantwortlich ist, ist für mich wertlos, da die gebuchte Leistung nicht selten gerade dahin geht, das Kunden die Verantwortung für die Daten auf einen Dritten abschieben. Warum ich mich letztlich mit einer Löschung schwer tue, liegt an den vertragsrechtlichen Hintergründen.
Vertragliche Natur beim Cloud-Hosting
Exkurs: Hinsichtlich Webhosting hat der Bundesgerichtshof (III ZR 79/09) festgestellt, dass hier zwar ein Mischvertrag vorliegt, der sowohl werkvertragliche als auch mietvertragliche Elemente vereint. Der Schwerpunkt sei aber im Bereich des Werkvertrags, da es dem Kunden vor allem darauf ankommt, dass die Inhalte abrufbar sind. Das ist durchaus vertretbar – aber m.E. gedanklich nicht auf Speicherlösungen in der Cloud zu übertragen. Wenn solche Lösungen ausdrücklich als „Backup“ oder „Online-Speicher“ bezeichnet sind, wird es dem Kunden vor allem darum gehen, seine Dokumente sicher in einem von ihm „angemieteten“ Bereich ablegen zu können. Die sichere zur Verfügungstellung von „digitalem Raum“ steht hier im Fokus des Kunden und könnte den Schwerpunkt durchaus zum Mietvertrag hin bewegen.
Mietvertragliche Lösung
Wenn man nun bei solchen Lösungen tatsächlich den Schwerpunkt im Mietrecht erkennt und diejeweiligen Regelungen entsprechend anwendet, kommt man dann schnell zum Kernpunkt des Problems: Im klassischen Mietrecht darf der Vermieter das eingebrachte Eigentum des Mieters bei Räumung der Wohnung gerade nicht einfach entsorgen, ausgenommen offensichtlichen Müll und Schrott. Vielmehr sind die betroffenen Gegenstände einzulagern und ggfs. (teuer) zu verwerten.
Nun geht es bei gespeicherten Daten in der Cloud nicht um Fragen wie „Eigentum“ oder überhaupt um „Gegenstände“. Es geht um Rechte an immateriellen Gütern, so dass die Regelungen aus dem Mietrecht nur entsprechend zu übertragen sind. Hieraus sind folgende Schlüsse zu ziehen:
- Es ist zuvorderst zu sehen, dass Speicherplatz heute kein allzu teures Gut ist, so dass man bei überschaubaren Datenmengen durchaus vom Provider verlangen kann, die Daten zu sichern und gerade nicht zu löschen.
- Andererseits sind die vorhandenen Daten datenschutzrechtlich, persönlichkeitsrechtlich und bei Unternehmen nicht selten auch wettbewerbsrechtlich gegen Einsichtnahme geschützt, so dass eine Bewertung „offensichtlich Müll“ gar nicht stattfinden kann. Eine Sicherung kann also nicht selektiv erfolgen sondern muss umfassend sein.
- Eine Verwertung der gesicherten Daten ist ausgeschlossen, da diese aus den soeben genannten Gründen gegen Einsichtnahme geschützt sind. Allerdings wird sich der Anbieter ein Zurückbehaltungsrecht einräumen können.
- Die „Lagerung“ der Daten muss einerseits sicher erfolgen, aber sicherlich nicht auf ewige Dauer hin. Durch ein geeignetes und beweissicheres Prozedere kann man hier dafür Sorge tragen, dass die Daten letztlich gelöscht werden können.
- Für den zusätzlichen Aufwand wird man sich eine Entlohnung abbedingen können, problemlos in den AGB, notfalls wird eine Geschäftsführung ohne Auftrag vorliegen. Problem bei letzterem ist, dass man nur den tatsächlich nachgewiesenen Aufwand ersetzt bekommt. Der Nachteil bei einer AGB-Lösung ist, dass man hier vorsichtig formulieren muss und gerade keine pauschalen Beträge ohne Einschränkung ansetzen darf.
Fazit
Vorsicht! Der klügste Rat ist für Kunden, immer dafür zu sorgen, dass sämtliche Daten irgendwo in der eigenen Sphäre laufend gesichert sind. Andererseits bieten nicht alle Anbieter umfassende Export-Lösungen an, was auch für die Anbieter wieder zum Problem werden kann. Die Anbieter wiederum sind rechtlich durchaus abgesichert – wenn sie über das Problem nachdenken! Einfach nach dem Motto „Kein Geld also Löschen“ zu verfahren ist dabei ein Fehler. Vielmehr muss man sich ein geeignetes Prozedere überlegen und dies in zulässige AGB packen, um am Ende nicht 3 Jahre lang mögliche Regressforderungen zu sehen.
Hinweis: Ich berate Anbieter von Cloud-Lösungen und schreibe über meine Eindrücke aus der Praxis.
Dazu bei uns:
- Zukunft der Robotik: Einfluss des Data Act auf Innovation und rechtliche Rahmenbedingungen - Oktober 4, 2024
- Allgemeine Überlegungen zu Robotern: Definitionen, Bewusstsein und Asimovs Gesetze - August 18, 2024
- Whitepaper des BSI zur Transparenz von KI-Systemen - August 16, 2024