Wer ist für illegale Inhalte verantwortlich, die in der Cloud erscheinen? Wie hoch ist die Haftung des Anbieters im Falle eines Lecks in sensiblen Daten? Wann kann ein Kunde Schadenersatz für entgangenen Gewinn verlangen? Wo endet die Haftung des Cloud-Anbieters und was ist die Verantwortung des Nutzers = Kunden? Dies sind Fragen, mit denen jeder Cloud-Anbieter konfrontiert ist. Die allgemeine Antwort lautet: Die Einhaltung der relevanten Geschäftsstandards und der geltenden Gesetze liegt grundsätzlich in der Verantwortung beider Parteien. Aber was bedeutet das?
Wir sprechen von dem sogenannten Modell der geteilten Verantwortung. Eine zweiseitige Vertragsbeziehung reduziert die Belastung für den Kunden, da der Cloud Service Provider (CSP) die Komponenten des Host-Betriebssystems und der Virtualisierungsschicht betreibt, verwaltet und kontrolliert, bis hin zur physischen Sicherheit der Geräte, auf denen der Cloud-Service läuft. Der Kunde wiederum übernimmt die Verantwortung und die Verwaltung des gehosteten Betriebssystems, einschließlich Updates und Sicherheits-Patches, sowie anderer zugehöriger Anwendungssoftware.
Diese Aufteilung wird als Sicherheit VON der Cloud und Sicherheit IN der Cloud bezeichnet.
Sicherheit der Cloud
Der CSP ist für den Schutz der Infrastruktur verantwortlich, auf der alle Dienste laufen. Die Infrastruktur besteht aus der Hardware, Software, den Netzwerken und Geräten, auf denen die Cloud-Dienste ausgeführt werden.
Sicherheit IN der Cloud
Der Kunde ist für die Verwaltung, den Inhalt und die Rechtmäßigkeit seiner Daten, Plattformen, Anwendungen, die Klassifizierung seiner Assets und die angemessene Nutzung von Tools zur Anwendung der entsprechenden Berechtigungen und Zugriffe verantwortlich. Die genaue Abgrenzung zwischen der Verantwortung des Kunden und des CSP hängt hauptsächlich von dem gewählten Geschäftsmodell ab (IaaS, PaaS oder SaaS).
Wer ist für illegale Inhalte verantwortlich, die in die Cloud hochgeladen werden?
Im Rahmen des sogenannten Modells der geteilten Verantwortung ist der Kunde allein für die Rechtmäßigkeit der Inhalte verantwortlich. Der CSP hat keine wirklichen technischen Möglichkeiten, die in die Cloud hochgeladenen Inhalte zu kontrollieren und zu beeinflussen, da er unter normalen Umständen keinen Zugriff auf die hochgeladenen Inhalte hat. Als illegale Inhalte betrachten wir alle Dateien, Anwendungen, Dokumente, Audio- und Videodateien, Software oder andere digitale Objekte, deren Besitz oder Erstellung von Kopien gegen die gesetzlichen Bestimmungen verstößt, die das Vertragsverhältnis zwischen dem ZDA und dem Kunden regeln. Dazu können beispielsweise Verstöße gegen geistige Eigentumsrechte (insbesondere Urheberrechte), Persönlichkeitsrechte oder auch Kinderpornografie gehören.
Der ausdrückliche Ausschluss der Haftung von CSPs in ähnlichen Fällen ist in den Allgemeinen Geschäftsbedingungen von wahrscheinlich allen relevanten CSPs enthalten. Ein solcher Ausschluss der CSP-Haftung steht auch im Einklang mit der sogenannten „mere conduit“-Ausnahme, die im slowakischen E-Commerce-Gesetz und in der europäischen Richtlinie über den elektronischen Geschäftsverkehr[1] geregelt ist und für die Bereitstellung von Cloud-Diensten[2] gilt. Die einzige Ausnahme in dieser Hinsicht ist, wenn der CSP von der Rechtswidrigkeit der in der Cloud gespeicherten Inhalte Kenntnis erlangt hat oder von einem Gericht angewiesen wurde, die Inhalte zu entfernen. In solchen Fällen muss sogar der Kunde gegenüber dem CSP Rechenschaft ablegen, insbesondere wenn der Ruf oder der gute Ruf des CSP beeinträchtigt würde.
[1] Siehe § 6 des Gesetzes Nr. 22/2004 Slg. über den elektronischen Geschäftsverkehr, in seiner geänderten Fassung. Siehe auch Artikel 12 der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft im Binnenmarkt, insbesondere des elektronischen Geschäftsverkehrs (Richtlinie über den elektronischen Geschäftsverkehr).
[2] Gemäß § 2 Absatz 1 des Gesetzes Nr. 22/2004 Slg. über den elektronischen Geschäftsverkehr ist ein Dienst der Informationsgesellschaft ein Dienst, der aus der Ferne während der Verbindung elektronischer Geräte über ein elektronisches Kommunikationsnetz, in der Regel gegen eine Gebühr, auf Wunsch des Empfängers des Dienstes der Informationsgesellschaft erbracht wird, insbesondere die kommerzielle Kommunikation, die Verarbeitung, die Übertragung, die Speicherung, der Abruf oder die Sammlung von Daten und die elektronische Post, mit Ausnahme der persönlichen elektronischen Post.
Welche Verantwortung trägt der CSP im Falle eines Sicherheitsvorfalls, bei dem sensible persönliche Daten nach außen dringen?
Im Sinne der DSGVO ist der Kunde in der Position des für die Verarbeitung Verantwortlichen und der Cloud-Anbieter in der Position des Auftragsverarbeiters. (Diese Annahme mag nicht immer zutreffen, aber das ist ein anderes Thema, auf das wir später zurückkommen werden). Der Kunde ist in erster Linie gegenüber den betroffenen Personen haftbar, deren personenbezogene Daten infolge eines Sicherheitsvorfalls bekannt geworden sind. Ein CSP wäre nur dann haftbar, vermutlich neben dem Kunden, wenn er die Verpflichtungen, die die DSGVO den Auftragsverarbeitern ausdrücklich auferlegt, nicht einhält oder wenn er über die rechtmäßigen Anweisungen des Kunden hinaus oder entgegen den Anweisungen des Kunden gehandelt hat. In der Praxis bedeutet dies, dass, wenn der CSP alle Verpflichtungen, zu denen er sich in seinem Vertrag mit dem Kunden verpflichtet hat, ordnungsgemäß erfüllt, seine Haftung als Folge eines Sicherheitsvorfalls unwahrscheinlich ist. In diesem Fall gehen wir davon aus, dass der CSP mit professioneller Sorgfalt gehandelt hat. Im Rahmen der DSGVO ist dies insbesondere die Ergreifung angemessener Sicherheitsmaßnahmen gemäß Artikel 32 der DSGVO.
Wie wird die Höhe der Vergütung für die Cloud-Nutzung geregelt?
Die Geschäftsbedingungen von wahrscheinlich allen relevanten CSPs enthalten auch eine Klausel zur sogenannten Schadensbegrenzung. Diese Begrenzung (Cap) entspricht in der Regel der Summe der vertraglichen Gebühren, die der geschädigte Kunde für die letzten 6 oder 12 Monate der Nutzung der Cloud-Dienste an den CSP gezahlt hat. Auch nach slowakischem Recht (Handelsgesetzbuch) ist es möglich, die Höhe des vorhersehbaren Schadens vertraglich zu begrenzen. Es sollte jedoch betont werden, dass diese Klausel nur dann gilt, wenn der CSP tatsächlich für Schäden haftet, da die bloße Tatsache, dass der Kunde die Cloud genutzt oder nicht genutzt hat, keinen Anspruch des Kunden auf Schadenersatz gegen den CSP begründet.
Was ist mit entgangenem Gewinn? Kann ein Kunde von einem CSP eine Entschädigung für entgangene Gewinne verlangen, wenn er z. B. bei einem Ausfall des Dienstes keine Cloud-Dienste nutzen kann?
Im Allgemeinen ist der entgangene Gewinn – als zweite der gesetzlichen Schadensformen neben dem so genannten tatsächlichen Schaden – ein Schaden, wenn der Geschädigte durch das Schadensereignis keine Vermehrung der Vermögenswerte erfahren hat, obwohl dies nach dem gewöhnlichen Lauf der Dinge zu erwarten gewesen wäre. Der entgangene Gewinn äußert sich also nicht durch eine Minderung des Vermögens des Geschädigten (Vermögensverlust, wie beim tatsächlichen Schaden), sondern durch einen Verlust des erwarteten Nutzens (Einkommen). Es reicht nicht aus, die Wahrscheinlichkeit einer Vermögensvermehrung nachzuweisen, sondern es muss festgestellt werden, dass der Geschädigte im gewöhnlichen Lauf der Dinge (ohne die unerlaubte Handlung des Schädigers oder das schädigende Ereignis) vernünftigerweise eine Vermehrung seines Vermögens hätte erwarten können, die durch die Handlung des Schädigers (das schädigende Ereignis) nicht eingetreten ist.
Selbst wenn diese Bedingungen in dem in der Frage skizzierten Fall erfüllt sind, muss die Grundvoraussetzung, dass der CSP für Schäden haftet, immer noch erfüllt sein (wie wir bereits in unserer Antwort auf die vorherige Frage dargelegt haben). Außerdem ist die Höhe des Schadensersatzes bei Cloud-Diensten in der Regel vertraglich begrenzt, und der entgangene Gewinn des Kunden dürfte kaum in den so genannten vorhersehbaren Bereich des möglichen Schadens fallen.
Ein flüchtiger Blick in die Vertragsunterlagen der betreffenden ZDAs zeigt, dass ein Anspruch auf Entschädigung für entgangenen Gewinn ebenfalls oft ausdrücklich ausgeschlossen ist. Natürlich gelten auch hier die gesetzlichen Grenzen zulässiger Ausschlüsse oder Beschränkungen der Haftung für Schäden. Nach slowakischem Recht kann die Haftung für Schäden, einschließlich entgangenen Gewinns, nicht von vornherein vertraglich ausgeschlossen oder nur auf ein symbolisches Niveau beschränkt werden. Wenn also alle gesetzlichen Voraussetzungen der Schadensersatzhaftung (einschließlich der Verursachung, die wir noch nicht erörtert haben) erfüllt sind und der Kunde nachweist, wie viel Geld ihm durch das Schadensereignis entgangen ist, z. B. die Höhe der konkreten Transaktionen, die dadurch vereitelt wurden, ist es möglich, dass das slowakische Gericht in seiner Entscheidung den vertraglichen Ausschluss der Haftung für entgangenen Gewinn nicht berücksichtigen muss und dem Kunden ein solcher Anspruch zugestanden wird.
Lassen Sie uns also einen genaueren Blick auf diese Kausalität werfen.
Dies ist eine ziemlich komplexe Angelegenheit. In der Rechtstheorie wird eine kausale Beziehung (Kausalnexus) als eine direkte Verbindung von Phänomenen (objektive Zusammenhänge) bezeichnet, bei der ein Phänomen (die Ursache) ein anderes Phänomen (die Wirkung) verursacht. Es handelt sich um eine kausale Beziehung, wenn zwischen dem schädigenden Ereignis und dem Schaden eine Ursache-Wirkungs-Beziehung besteht. Wenn eine andere Tatsache die Ursache für den Schaden war, entsteht keine Haftung für den Schaden.
Die Frage der Verursachung ist keine Rechts-, sondern eine Tatsachenfrage, die nur in einem bestimmten Zusammenhang geklärt werden kann. Die Frage nach der konkreten Art des Schadens (Vermögensschaden), für den eine Entschädigung gefordert wird, ist daher von grundlegender Bedeutung für die Beurteilung der Schadensersatzpflicht. Der Kausalzusammenhang ergibt sich aus der Beziehung zwischen dem konkreten Schaden, den der Geschädigte erlitten hat (falls vorhanden), und dem konkreten Verhalten des Schädigers (falls rechtswidrig). Bei der Feststellung des Kausalzusammenhangs muss der Schaden aus dem allgemeinen Kontext herausgelöst und untersucht werden, welche Ursache ihn verursacht hat. Dabei ist nicht der zeitliche Aspekt entscheidend, sondern der sachliche Zusammenhang zwischen Ursache und Wirkung; der zeitliche Zusammenhang ist jedoch hilfreich bei der Beurteilung des sachlichen Zusammenhangs. In einer sukzessiven Abfolge von Phänomenen wird jede Ursache durch etwas verursacht (das selbst eine Wirkung von etwas ist), und jede durch sie verursachte Wirkung wird zur Ursache des nächsten Phänomens.
Die Haftung kann jedoch nicht von einer unbegrenzten Kausalität abhängig gemacht werden. Denn das Attribut der Kausalität ist die „Unmittelbarkeit“ der Wirkung der Ursache auf die Wirkung, bei der die Ursache der Wirkung direkt (unmittelbar) vorausgeht und sie hervorbringt. Die Beziehung zwischen Ursache und Wirkung muss also direkt, unmittelbar und ununterbrochen sein; es reicht nicht aus, wenn sie nur vermittelt ist. Bei der Feststellung des Kausalzusammenhangs ist folglich zu prüfen, ob sich in dem Komplex von Tatsachen, die als (unmittelbare) Ursache des Schadens zu berücksichtigen sind, eine Tatsache befindet, an die das Gesetz die Haftung für den Schaden knüpft. Eine solche Betrachtungsweise der Kausalität schließt insbesondere Ersatzansprüche für sogenannte mittelbare Schäden oder Folgeschäden aus.
Kann sich ein CSP irgendwie von der Haftung für Schäden freisprechen?
Im slowakischen Handelsrecht ist die Haftung für Schäden als objektiv[1] konstruiert, d.h. es ist kein Verschulden (vorsätzlich oder fahrlässig) erforderlich, wie dies bei der allgemeinen Schadensersatzhaftung nach dem Bürgerlichen Gesetzbuch der Fall ist[2]. Daraus folgt, dass ein ZDA auch für Schäden haftet, die er in diesem Sinne nicht verschuldet hat, wenn sie auf einer Verletzung seiner (vertraglichen oder gesetzlichen) Pflichten beruhen.
In der Regel kann sich ein ZDA von dieser verschuldensunabhängigen Haftung nur durch eine so genannte Befreiung aufgrund von Umständen befreien, die die Haftung ausschließen[3]. Ein solcher Umstand gilt als höhere Gewalt (vis maior), d.h. ein Hindernis, das unabhängig vom Willen des ZDA eingetreten ist und ihn an der Erfüllung seiner Verpflichtung hindert – wenn nicht vernünftigerweise angenommen werden kann, dass der ZDA das Hindernis oder seine Folgen hätte vermeiden oder überwinden können oder dass er das Hindernis zum Zeitpunkt der Entstehung der Verpflichtung (des Vertragsabschlusses) vorausgesehen hätte.
Die Haftung wird jedoch nicht durch ein Hindernis ausgeschlossen, das erst zu dem Zeitpunkt auftrat, als der ZDA mit seiner Verpflichtung in Verzug war, oder das sich aus seinen wirtschaftlichen Verhältnissen ergab (z. B. Konkurs). Das Gesetz beschränkt die haftungsausschließenden Wirkungen auf die Dauer des Hindernisses, an das die Wirkungen geknüpft sind. Verschuldensunabhängige Haftung bedeutet sicherlich nicht absolute Haftung. Daher können ausgeklügelte Hackerangriffe auf ansonsten angemessen vorbereitete und umsichtige CSPs – unter Berücksichtigung aller Umstände des Einzelfalls – unter höhere Gewalt fallen und somit die gesetzliche Haftung des CSPs gegenüber seinen Kunden ausschließen. Natürlich kann eine Rufschädigung des ZDA als unmittelbare Folge der Offenlegung der Folgen eines Hacking-Angriffs auf diese Weise nicht ausgeschlossen werden.
In ähnlicher Weise sehen wir die Situation durch die Linse der Datenschutz-Grundverordnung, die ebenfalls sowohl den für die Verarbeitung Verantwortlichen als auch den Auftragsverarbeiter von der Haftung für Schäden befreit, wenn nachgewiesen wird, dass sie keine Verantwortung für das Ereignis tragen, das sie verursacht hat[4]. Derzeit ist beim EuGH ein „Vorabentscheidungsverfahren“[5] anhängig, das unter anderem die Frage beantworten soll, ob ein Hackerangriff ein solches Ereignis ist.
[1] Siehe Abschnitte 373 und 757 des Gesetzes Nr. 513/1991 Slg., Handelsgesetzbuch, in geänderter Fassung.
[2] Siehe § 420 ff. des Gesetzes Nr. 40/1964 ZGB in seiner geänderten Fassung.
[3] Siehe § 374 ff. des Gesetzes Nr. 513/1991 Slg., Handelsgesetzbuch, in seiner geänderten Fassung.
[4] Siehe Artikel 82(3) GDPR.
[5] Siehe die Zusammenfassung des Vorabentscheidungsersuchens in der Rechtssache C-341/21 auf der Website des CJEU .
Ist der CSP versichert, falls der Kunde einen Schaden erleidet?
Der ZDA ist normalerweise für den Fall versichert, dass er für den verursachten Schaden haftbar gemacht werden kann. Der Geschädigte kann dann die Versicherungsleistung nutzen, um den durch das versicherte Ereignis verursachten Schaden zu kompensieren.
Warum sollten Sie einen CSP bevorzugen, der den Rechtsvorschriften der Slowakischen Republik unterliegt?
Für einen slowakischen Kunden ist es immer vorteilhafter und einfacher, wenn die Zuständigkeit eines slowakischen Gerichts und nicht die eines Gerichts im Ausland begründet wird. Auch ist es für den slowakischen Kunden vorteilhafter, wenn der Vertrag slowakischem Recht und nicht ausländischem Recht (z.B. dem Recht des Staates Kalifornien usw.) unterliegt. Aus der Sicht des slowakischen Kunden ist es also vor allem eine praktische Frage der Durchsetzbarkeit seiner Rechte, die in Bezug auf einen nicht niedergelassenen, d.h. nicht in der Slowakei ansässigen ZDA komplizierter sein kann.
