Home / Veröffentlichungen / Cloud-Computing als Einfallstor für Vertragsverletzungen...

Cloud-Computing als Einfallstor für Vertragsverletzungen bei Kooperationen sowie Forschungs- und Entwicklungsprojekten

Update Gewerblicher Rechtschutz & Kartellrecht 12/2018

Dezember 2018

Digitalisierung und die vierte industrielle Revolution (Industrie 4.0) sind seit einigen Jahren in aller Munde. Zwar befassen sich nicht alle Unternehmen mit den fast noch utopisch klingenden Möglichkeiten des Machine-Learnings, der Smart Factory und des Internets der Dinge. Die Digitalisierung im eigentlichen Wortsinn, das heißt die Digitalisierung von physisch vorhandenen Daten, ist aber bei den meisten Unternehmen wohl ein fast schon alltägliches Thema. Dabei gehört das Outsourcing von Daten in die Cloud zum Alltag. Unternehmen sollten bei der Nutzung von Cloud-Computing aber besondere Vorsicht walten lassen.

Cloud-Computing ermöglicht es, digitalisierte Daten auf entfernten Servern zu speichern, zu verarbeiten und abzurufen. Die Vorteile liegen auf der Hand. Cloud-Computing bietet einen zentralen Datenzugang, die ständige Verfügbarkeit von Daten und minimiert die lokalen Speicherplatzanforderungen bei den Benutzern. Daher entscheiden sich immer mehr Unternehmen für das Outsourcen von digitalisierten Daten in die Cloud. Dabei bedienen sie sich vermehrt externer Cloud-Dienstleister, die versprechen, ausreichende Serverkapazität, IT-Sicherheit und ständige Zugangsverfügbarkeit zu gewährleisten.

Gerade Unternehmen, zu deren Geschäftstätigkeit Forschungs- und Entwicklungsprojekte sowie Kooperationen mit anderen Unternehmen gehören, sehen sich beim Outsourcing von Daten in die Cloud allerdings einem erhöhten Risiko von Vertragsverletzungen ausgesetzt. Dies insbesondere dann, wenn die Daten, die bei entsprechenden Anbietern in die Cloud ausgelagert werden sollen, dem Anwendungsbereich einer Geheimhaltungsvereinbarung oder -klausel unterliegen.

Vorsicht auch beim Outsourcing eigener Daten

Rechtlich unproblematisch ist das Outsourcen von Daten in die Cloud, wenn es um die eigenen Daten eines Unternehmens geht, die keiner (vertraglichen) Beschränkung unterliegen. Diese können grundsätzlich frei in die Cloud ausgelagert werden. Allerdings sollten Unternehmen auch bei der Auslagerung von eigenen Daten Vorsicht walten lassen. Zumindest theoretisch haben Cloud-Anbieter Zugang zu diesen ausgelagerten Daten. In der digitalen Welt sind Dateien zudem dem Risiko eines IT-Angriffs ausgesetzt, der oftmals einfacher und unbemerkter möglich ist als ein physisches Abgreifen von Dokumenten.

Handlungsempfehlungen beim Outsourcing eigener Daten

Daher gilt es, insbesondere die folgenden Punkte zu beachten: 

  • Die Entscheidung, ob Daten in die Cloud ausgelagert werden sollen, sollte sorgfältig getroffen werden. Bei hochsensiblen Daten könnten sich Unternehmen aufgrund einer Abwägung „Risiko des Abzugs vs. Nutzen des Outsourcings“ gegen die Auslagerung dieser Daten in die Cloud entscheiden.
  • Cloud-Anbieter sollten sorgfältig ausgewählt werden. Sie sollten stets aktuelle Sicherheitsstandards erfüllen und möglichst breite Erfahrung mitbringen.
  • In den Verträgen mit Cloud-Anbietern sollten diese zur strengen Geheimhaltung, aber auch zur Einhaltung von klar formulierten Sicherheitsrichtlinien verpflichtet werden.
  • Da bei einem Verstoß Schäden meist schwer nachweisbar sind, sollte in den Verträgen mit Cloud-Anbietern mit Vertragsstrafen gearbeitet werden.

Eigene Daten? Oft trügt der Schein!

Vor dem Outsourcing von Daten in die Cloud sollten Unternehmen genau prüfen, ob die Daten tatsächlich ausschließlich eigene Daten des Unternehmens sind und keiner vertraglichen Beschränkung unterliegen. Gehören die Daten nämlich (zumindest auch) einem Dritten und / oder unterliegen sie einer vertraglichen Beschränkung, kann das Outsourcing dieser Daten eine (Vertrags-)Verletzung sein, die unter anderem Schadenersatzansprüche auslösen kann.

Kooperationsverträge sowie Forschungs- und Entwicklungsverträge enthalten oft komplexe Regelungen über die Inhaberschaft von Daten. Kooperieren beispielsweise zwei Unternehmen bei der Entwicklung einer intelligenten Werkzeugmaschinensteuerung und sammeln zur Auswertung mit Hilfe spezieller Sensorik eine Vielzahl an Daten zu Auslastung, Fehleranfälligkeit, Wartungsbedarf und Abnutzung der Werkzeugmaschine, entstehen diese Daten im Rahmen der Kooperation und gehören oft beiden Kooperationspartnern. Fallen diese Daten unter eine in einem Kooperationsvertrag geregelte Geheimhaltungsklausel, die untersagt, Dritten den Zugang zu diesen Daten zu ermöglichen, kann sich das outsourcende Unternehmen schnell im Verletzungsbereich befinden.

Cloud-Anbieter sind Dritte

Wenn nicht explizit abweichend geregelt, sind Cloud-Anbieter in der vorgenannten Konstellation regelmäßig „außenstehende Dritte“. Enthält eine Geheimhaltungsklausel keine Ausnahme für die Einbeziehung von Cloud-Anbietern oder Dritten, so wäre bereits das Outsourcen der entsprechenden Daten in die Cloud eine Verletzung des Kooperationsvertrags. Cloud-Anbieter haben grundsätzlich Zugriff auf die Daten, die auf ihren Servern gespeichert sind. Mit dem Outsourcen der Daten ermöglichen Unternehmen den Cloud-Anbietern als Dritten bereits Zugang zu den ausgelagerten Daten.

Praktisch wird dies meist nicht zum Tragen kommen, sofern der Cloud-Anbieter die Vertraulichkeit der ausgelagerten Daten gewährleistet und seine faktische Zugriffsmöglichkeit nicht missbraucht. Werden die Daten jedoch im Rahmen eines IT-Angriffs durch Dritte von den Servern des Cloud-Anbieters abgegriffen, steigt die Wahrscheinlichkeit, dass der Kooperationspartner wegen Vertragsverletzung Schadenersatzansprüche oder eine Vertragsstrafe geltend macht. 

Handlungsbedarf für Unternehmen

Vor diesem Hintergrund kann für Unternehmen, die Daten in die Cloud auslagern wollen, Handlungsbedarf bestehen: 

  • In bestehenden Musterverträgen sollten Geheimhaltungsklauseln dahingehend überprüft werden, ob sie das Einschalten von Dritten erlauben und ob Cloud-Anbieter als Dritte im Sinne einer solchen Regelung gelten können, und gegebenenfalls entsprechend überarbeitet werden.
  • Bei bestehenden Altverträgen, die das Einschalten von Cloud-Anbietern nicht vorsehen, sollten entsprechende Zusatzvereinbarungen mit den Vertragspartnern geschlossen werden, die dies zukünftig ermöglichen.
  • Ferner ist empfehlenswert, in Verträgen die Möglichkeit des Einschaltens von Cloud-Anbietern von einer sorgfältigen Auswahl und einer vertraglichen Absicherung (Sicherstellung der Einhaltung technischer Standards, Vertragsstrafen etc.) durch den Vertragspartner abhängig zu machen.

Auch mit Blick auf die aktuelle Rechtsentwicklung sollten Unternehmen die vorgenannten Maßnahmen treffen. Während nach derzeitiger Gesetzeslage ein subjektiver Geheimhaltungswille eines Geheimnisinhabers grundsätzlich dafür ausreicht, um eine Information unter den Schutz als Geschäftsgeheimnis zu stellen, wird dies unter dem kommenden Gesetz zum Schutz von Geschäftsgeheimnissen alleine nicht mehr ausreichen. Sobald dieses Gesetz in Kraft tritt, wird für den Schutz vorausgesetzt, dass der Geheimnisinhaber „angemessene Geheimhaltungsmaßnahmen“ trifft. Die oben aufgeführten Maßnahmen könnten dazu zählen. Das Unterlassen dieser Maßnahmen könnte dazu führen, dass die ausgelagerten Daten trotz entsprechenden Willens des outsourcenden Unternehmens rechtlich zukünftig nicht mehr als Geschäftsgeheimnisse einzuordnen wären. Hinreichende Schutzmaßnahmen könnten dann also mitentscheidend für die Beantwortung der Frage sein, ob die ausgelagerten Daten überhaupt dem Geschäftsgeheimnisschutz unterliegen.

Dieser Artikel ist Teil des Update Gewerblicher Rechtsschutz und Kartellrecht, welches Sie hier abonnieren können.

Autoren

Alexander Leister
Alexander Leister, LL.M. (LTU Melbourne)
Counsel
Stuttgart