Contact for English speaking clientsVerbraucherrechte bei der Nutzung von Cloud-Diensten sind von großer Bedeutung, da diese Dienste zunehmend im Privat- und Geschäftsleben genutzt werden und sensible Daten speichern. Es ist wichtig, die eigenen Rechte zu kennen und zu schützen, insbesondere im Hinblick auf Datenschutz, Datensicherheit und Haftung des Anbieters.
Übersicht:
✔ Kurz und knapp
- Verbraucherrechte: Nutzer von Cloud-Diensten haben Rechte auf Datenschutz, Auskunft, Löschung, Berichtigung und Schadensersatz bei Datenschutzverletzungen.
- Anbieterpflichten: Cloud-Anbieter sind verpflichtet, technische und organisatorische Maßnahmen zum Datenschutz zu ergreifen und haften für Datenverlust oder -manipulation.
- DSGVO-Sanktionen: Bei Verstößen gegen die DSGVO drohen Anbietern empfindliche Strafen, und Verbraucher können Schadensersatzansprüche geltend machen.
- Handlungsempfehlungen: Verbraucher sollten AGB und Datenschutzbestimmungen prüfen, Verschlüsselung und Zwei-Faktor-Authentifizierung nutzen, Daten extern sichern und Datenschutzverletzungen melden.
- Grundlagen Cloud-Dienste: Es gibt verschiedene Arten von Cloud-Diensten (SaaS, PaaS, IaaS) mit unterschiedlichen Funktionen und Vorteilen.
- Datenschutz und Datensicherheit: Die DSGVO regelt den Datenschutz bei Cloud-Diensten, und Anbieter müssen angemessene Sicherheitsmaßnahmen ergreifen.
- Haftung des Anbieters: Der Anbieter haftet für Schäden durch Datenschutzverletzungen, es sei denn, er hat alle erforderlichen Maßnahmen ergriffen.
- Vertragsgestaltung: Verbraucher sollten Verträge sorgfältig prüfen und auf klare Regelungen zu Datenschutz, Haftung und Beendigung achten.
- Streitbeilegung: Bei Streitigkeiten können Verbraucher sich an Verbraucherschutzorganisationen oder Gerichte wenden.
- Fazit: Verbraucher sollten ihre Rechte kennen und Maßnahmen ergreifen, um ihre Daten bei der Nutzung von Cloud-Diensten zu schützen.
Cloud-Dienste nehmen in der heutigen Zeit sowohl im Privatleben eines Menschen als auch in der Unternehmenswelt eine zunehmende Bedeutung ein, da die Speicherung von sensiblen Daten ein fester Bestandteil der alltäglichen Nutzung von Diensten geworden ist. Dementsprechend sind auch die Verbraucherrechte für die Nutzung dieser Cloud-Dienste bedeutsam. Zu den zentralen Punkten zählen sowohl die Datensicherheit als auch die Haftung des Anbieters.
Zu den wichtigsten Verbraucherrechten bei der Nutzung von Cloud-Diensten gehören:
- Recht auf Datenschutz und Vertraulichkeit der gespeicherten Daten gemäß DSGVO
- Recht auf Auskunft über gespeicherte Daten und deren Verwendung
- Recht auf Löschung und Berichtigung von Daten
- Recht auf Schadensersatz bei Verletzung von Datenschutzrechten
- Haftung des Cloud-Anbieters für Datenverlust oder -manipulation
Cloud-Anbieter sind verpflichtet, technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen. Bei Verstößen drohen empfindliche Strafen nach DSGVO. Bei Verstößen durch Cloud-Anbieter gegen die DSGVO drohen empfindliche Strafen bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes. Verbraucher können Schadensersatzansprüche geltend machen, wenn der Anbieter fahrlässig oder vorsätzlich Datenschutzrechte verletzt.
Verbraucher sollten die Allgemeinen Geschäftsbedingungen und Datenschutzbestimmungen sorgfältig prüfen, bevor sie sich für einen Cloud-Dienst entscheiden. Nur so können sie ihre Rechte wahren und sich vor Datenmissbrauch schützen.
So schützen Sie Ihre Rechte bei der Nutzung von Cloud-Diensten
Beim Einsatz von Cloud-Diensten ist es wichtig, die eigenen Rechte zu kennen und zu schützen. Hier sind einige konkrete Handlungsempfehlungen:
Sorgfältige Prüfung der AGB und Datenschutzbestimmungen
- Lesen Sie die Allgemeinen Geschäftsbedingungen (AGB) und Datenschutzbestimmungen des Cloud-Anbieters sorgfältig durch, bevor Sie sich für einen Dienst entscheiden.
- Achten Sie darauf, dass die Nutzungsbedingungen Ihren Anforderungen entsprechen und keine unzumutbaren Klauseln enthalten, die Ihnen zu viele Rechte einräumen.
- Informieren Sie sich über den Standort der Server und das anwendbare Datenschutzrecht, da dies Ihre Rechte beeinflussen kann.
Nutzung von Verschlüsselung und Zwei-Faktor-Authentifizierung
- Nutzen Sie Verschlüsselung, um Ihre Daten vor unbefugtem Zugriff zu schützen.
- Aktivieren Sie die Zwei-Faktor-Authentifizierung, um Ihr Konto zusätzlich abzusichern, auch wenn Ihr Passwort kompromittiert wird.
Regelmäßige Datensicherung auf externen Festplatten
- Speichern Sie Ihre Daten nicht ausschließlich in der Cloud, sondern sichern Sie sie regelmäßig auf externen Festplatten oder anderen lokalen Speichermedien.
- Dadurch schützen Sie sich vor Datenverlust, falls der Cloud-Anbieter ausfällt oder Ihre Daten nicht mehr zugänglich sind.
Meldung von Datenschutzverletzungen
- Melden Sie Datenschutzverletzungen oder andere Rechtsverletzungen durch den Cloud-Anbieter umgehend an diesen und ggf. an die zuständige Datenschutzaufsichtsbehörde.
- Dokumentieren Sie alle relevanten Vorfälle sorgfältig.
Geltendmachung von Schadensersatzansprüchen
- Wenn Ihnen durch Rechtsverletzungen des Cloud-Anbieters ein Schaden entsteht, machen Sie Ihre Schadensersatzansprüche geltend.
- Holen Sie sich ggf. rechtlichen Beistand, um Ihre Ansprüche durchzusetzen.
Durch diese Maßnahmen können Sie Ihre Rechte bei der Nutzung von Cloud-Diensten besser schützen und im Schadensfall angemessen reagieren. Letztlich bleibt aber ein gewisses Restrisiko, das Sie abwägen müssen.
Grundlagen der Cloud-Dienste
Das Wissen um die Definition sowie Funktionsweisen von Cloud-Diensten zählt zu den absoluten Grundlagen, die der Verbraucher verinnerlichen sollte. Gleichermaßen verhält es sich mit der Kenntnis darüber, dass es unterschiedliche Arten von Cloud-Diensten gibt.
Definition und Funktionsweise von Cloud-Diensten
Als Cloud-Dienste werden Dienstleistungen definiert, die von einem Anbieter online für Nutzer bereitgestellt werden. Dem Nutzer der Dienste wird es ermöglicht, ohne Software oder physische Hardware auf Anwendungen sowie Plattformen und Infrastrukturdienste zuzugreifen. Der Anbieter dieser Dienste wird allgemeinhin als Host bezeichnet, der für die Bereitstellung sowie Wartung der Dienste zuständig ist.
Unterschiedliche Arten von Cloud-Diensten
Dem reinen Grundsatz nach sind drei unterschiedliche Arten von Cloud-Diensten verfügbar. Zu nennen ist hier das Modell „Software as a Service“ (SaaS), bei dem einem Verbraucher online Softwareanwendungen zur Verfügung gestellt werden. Der Zugriff erfolgt entweder über den Internetbrowser oder über eine anbietereigene App.
Sehr weit verbreitet ist auch das Modell „Plattform as a Service“ (PaaS), bei dem einem Verbraucher online die Plattform zur Erstellung von Anwendungen zur Verfügung gestellt wird. Der Anwender kann die eigenen Anwendungen nicht nur auf dieser Plattform erstellen, sie kann zugleich auch getestet und anderen Anwendung zur Nutzung freigegeben werden.
Das dritte Modell ist das „Infrastructure as a Service“ (IaaS) Modell, bei dem einem Anwender online essenzielle IT-Infrastrukturdienste als virtuelle Maschinen oder Netzwerke respektive Speicher zur Verfügung gestellt wird. In der gängigen Praxis mieten Anwender bei den Anbietern dieses Cloud-Dienst-Modell für einen bestimmten Vertragszeitraum.
Cloud-Dienste bieten zahlreiche Vorteile. Zu nennen sind hier neben der einfachen Skalierbarkeit sowie Flexibilität auch die Kosteneffizienz, da lediglich für die tatsächlich genutzte Ressource auch gezahlt wird. Unternehmen bietet sich die Möglichkeit, auf Nachfrageveränderungen schnell zu reagieren und keine Investitionen in Hardware sowie Software-Lizenzen tätigen zu müssen. Überdies muss sich der Anwender auch nicht um die IT-Wartung kümmern. Ein Nachteil kann allerdings der Umstand darstellen, dass der Anwender sehr sensible Daten in die Hände des Cloud-Anbieters legt und auf die Professionalität im Umgang mit den Daten vertrauen muss.
Rechtliche Rahmenbedingungen
Die Cloud-Dienste unterliegen gesetzlichen Bestimmungen sowie Verordnungen, im Rahmen derer sie von den Anbietern zur Verfügung gestellt werden dürfen. Die Anbieter sind selbstverständlich dazu verpflichtet, sich an die geltenden Gesetze zu halten und auch die ständige Rechtsprechung des Europäischen Gerichtshofs (EuGH) mit seinen Urteilen zu berücksichtigen.
Relevante Gesetze und Verordnungen
Cloud-Dienste tangieren eine wahre Vielzahl von gesetzlichen Grundlagen sowie Verordnungen. Neben der Datenschutz-Grundverordnung (DSGVO) sind auch das Bürgerliche Gesetzbuch (BGB) sowie das Telekommunikationsgesetz (TKG) von besonderer Relevanz.
Die DSGVO gewährleistet den Schutz der personenbezogenen Nutzerdaten und legt die Anforderungen für die Verarbeitung sowie Datenspeicherung innerhalb der Cloud fest. Die Einhaltung der DSGVO-Bestimmungen obliegt sowohl dem Cloud-Anbieter als auch dem Cloud-Nutzer. Das BGB hingegen ist die Rechtsgrundlage für die Vertragsbeziehung zwischen dem Cloud-Nutzer und dem Cloud-Anbieter. Sowohl die Vorschriften für Verträge als auch Haftungsfragen nebst Schadensersatzansprüchen werden von dem BGB behandelt. Die Telekommunikationsdienstnutzung wird durch das TKG geregelt. Cloud-Dienste gehören in diesen Bereich, sodass die Vorschriften für die Sicherheit der Netze inklusive der Datenübermittlung eingehalten werden müssen.
Bedeutung der EuGH-Urteile zu Schrems I und II
Die Urteile des EuGH „Schrems I“ sowie „Schrems II“ brachten erhebliche Auswirkungen für die Cloud-Dienste mit sich. Insbesondere datenschutzrechtliche Aspekte wurden hierbei in den Fokus gerückt, wobei die Übertragung der personenbezogenen Daten in Drittländer im Zentrum standen.
Mit dem Jahr 2015 wurde durch das „Schrems I“ Urteil das bis dato geltende sogenannte Safe Harbor Abkommen als ungültig deklariert. Der Grund hierfür liegt in dem Umstand, dass dieses Abkommen lediglich einen unzureichenden Schutz für die personenbezogenen Daten aus der EU vor dem Zugriff der amerikanischen Behörden bot. Im Jahr 2020 folgte das Schrems II Urteil, welches zu der Ungültigkeit des Privacy Shield Abkommens führte. Der EuGH begründete sein Urteil nahezu identisch. Durch die Urteile wurden die rechtlichen Rahmenbedingungen der Cloud-Dienst-Nutzung massiv verändert.
Datensicherheit
Die Datensicherheit ist das zentrale Thema bei der Cloud-Nutzung. Hierbei müssen sowohl die Maßnahmen zur Datensicherung als auch die Anforderungen an die Datensicherheit in den Fokus gerückt werden. Es sollten zudem auch niemals die Risiken unterschätzt werden, die mit der Nutzung von unsicheren Netzwerken einhergehen.
Maßnahmen zur Sicherung der Daten
Es gibt zwei Maßnahmen zur Sicherung der Daten, die allgemeinhin als wirksam und angemessen angesehen werden. Die Datenverschlüsselung vor dem Hochladen der Daten in die Cloud soll gewährleisten, dass die Daten lediglich autorisierten Nutzern zugänglich sind. Durch die Datenverschlüsselung wird überdies auch gewährleistet, dass die Daten im Fall eines Angriffs durch den Angreifer nicht ausgewertet werden können.
Cloud-Dienstleister können ihrerseits selbst wertvolle Maßnahmen zur Datensicherheit treffen. Die Zwei-Faktor-Authentifizierung ist ein regelrechtes Musterbeispiel dafür, da die Nutzeridentität auf diese Weise wirksam geprüft wird. Zusätzlich zu den log-in Daten des Nutzers erfolgt die Abfrage eines einmaligen Codes, der entweder per Mail oder per WhatsApp respektive per SMS an den Nutzer übermittelt wird. Überdies sollten Cloud-Dienstleister auch in regelmäßigen Abständen Sicherheitsupdates ausführen, damit etwaige Schwachstellen geschlossen und eine lückenlose Datensicherheit gewährleistet werden kann.
Anforderungen an die Datensicherheit
Die Anforderungen an die Datensicherheit wird in Deutschland durch das BSI (Bundesamt für Sicherheit Informationstechnik) festgelegt. Zu den Anforderungen gehören sowohl Zugangsbeschränkungen als auch die Datenverschlüsselung nebst der Datensicherung in regelmäßigen Abständen. Zusätzlich dazu zählt auch die regelmäßige Aktualisierung der Systeme sowie verwendeten Software zu den Anforderungen, die das BSI aufstellt.
Risiken bei der Nutzung unsicherer Netzwerke
Wer ein ungesichertes Netzwerk nutzt, läuft Gefahr, dass die Daten von Angreifern abgefangen sowie auch missbraucht werden. Überdies sind unsere Netzwerke auch anfällig für sogenannte Malware-Infektionen in Form von Trojanern oder Viren nebst Ransomware. Wichtige Daten können auf diese Weise gelöscht oder gestohlen werden. Weit verbreitet sind auch die sogenannten „Man in the middle Angriffe“, bei denen sich der Angreifer mittig zwischen die Kommunikationspartner stellt und den Datenverkehr umleitet, abfängt oder manipuliert.
Vertragsgestaltung
Die Vertragsgestaltung zwischen den Cloud-Anbietern und den Nutzern ist von entscheidender Bedeutung, da dieser das Vertragsverhältnis begründet und die vertraglichen Leistungen definiert. Der Anwender sollte darauf achten, welche wichtigen Vertragsklauseln in dem Vertrag enthalten sind und sollte vor allen Dingen auch deren Bedeutung kennen.
Wichtige Vertragsklauseln und deren Bedeutung
Zu den wichtigsten Vertragsklauseln, die in einem Vertrag zwischen einem Anbieter und einem Nutzer enthalten sein sollten, zählen die sogenannten SLAs (Service Level Agreements). Durch sie werden die Leistungsstandards festgelegt, die seitens des Anbieters erfüllt werden müssen. Gute Beispiele hierfür sind die Reaktionszeiten im Störungsfall oder die Dienstverfügbarkeit.
Überdies sind auch Haftungsklauseln sowie die Datenschutzbestimmungen essenziell wichtige Vertragsklauseln. Durch die Haftungsregelungen wird im Schadensfall oder bei einem Datenverlust festgelegt, wer die Haftung hierfür zu übernehmen hat. Die Datenschutzbestimmungen müssen zwingend mit den gesetzlichen Bestimmungen der DSGVO in Einklang stehen.
Unterschiede zwischen Mietverträgen und Werkverträgen
In der gängigen Praxis kommen im Cloud-Business zwei unterschiedliche Vertragsarten zur Anwendung. Es muss hierbei eine Differenzierung zwischen dem Mietvertrag und dem Werkvertrag vorgenommen werden. Der Mietvertrag nimmt alleinig Bezug auf die Anmietung der Cloud-Infrastruktur respektive des Cloud-Services und ist auf einen klar definierten Zeitraum ausgelegt. Es obliegt dem Anbieter als Vermieter, die Sicherheit sowie die Wartung der Dienste zu gewährleisten.
Der Werkvertrag nimmt Bezug auf die reine Dienstleistungserbringung respektive die Anwendungsabwicklung innerhalb der Cloud. Der Anbieter ist in derartigen Fällen verpflichtet, dem Anwender ein spezifiziertes Ergebnis auf der Grundlage der Kundenanforderung zu liefern. Sämtliche Leistungen sind vertraglich definiert und ein klar definiertes Ergebnis wird seitens des Anbieters geschuldet.
Haftungsfragen
Sollte es zu einem Datenverlust oder einem Schaden kommen, stellt sich stets die Frage, wer die Haftung hierfür zu übernehmen hat. Hierbei kann sowohl der Cloud-Anbieter als auch der Nutzer in der Haftung stehen.
Haftung des Cloud-Anbieters
Der Cloud-Anbieter haftet in der gängigen Praxis bei einem Datenverlust oder einer Sicherheitsverletzung im Rahmen der aktuell geltenden Regelungen auf der Grundlage der Einzelfallprüfung. Die Haftung des Anbieters ist jedoch davon abhängig, dass dieser den Schadensfall durch eine Pflichtverletzung zu verantworten hat. Ist dies der Fall, so kann der Verbraucher Schadensersatzansprüche geltend machen. Durch vertragliche Vereinbarungen kann ein Cloud-Anbieter seine Haftung begrenzen, allerdings sind Klauseln, durch die gesetzliche Verbraucherrechte beschränkt werden, gesetzlich unzulässig.
Haftung des Nutzers
Die Haftung des Cloud-Anbieters entbindet den Nutzer nicht von der Verantwortlichkeit seines eigenen Handelns. Sollte der Nutzer gegen die Allgemeinen Geschäftsbedingungen des Anbieters oder gegen Datenschutzbestimmungen verstoßen, so steht er vollumfänglich in der Haftung.
Fazit
Die Verbraucherrechte sind bei der Nutzung von Cloud-Diensten ein Kernpunkt, da durch sie die Rechte des Nutzers definiert und der Verbraucherschutz gewährleistet wird. Damit die Datensicherheit innerhalb der Cloud gewährleistet wird, sollen unterschiedliche Maßnahmen durchgeführt werden. Neben der Datenverschlüsselung sowie der regelmäßigen Softwareaktualisierung gilt auch die Zwei-Faktor-Authentifizierung als geeignete sicherheitsrelevante Maßnahme. Bei der Cloud-Nutzung müssen zudem auch Gesetze, wie die DSGVO, eingehalten werden.
