Laut einer Umfrage der Bitkom Research GmbH und der KPMG AG hat die Mehrheit der Unternehmen Sorge um Compliance-Anforderungen in Bezug auf die Nutzung von Cloud-Lösungen.
Durch die Nutzung von Cloud-Lösungen werden einige Rechtsgebiete berührt. Im Folgenden werden die einschlägigen gesetzlichen Aspekte erläutert, die beim Einsatz von Cloud Computing in deutschen Unternehmen zu beachten sind.
Cloud Computing und Abgabenordnung
Werden durch den Cloud Betreiber steuerrechtlich relevante Daten verarbeitet, so sind die Vorschriften der §§ 146 ff. AO zu beachten1.
Finanzbuchführung im Inland
Nach § 146 Abs. 2 Satz 1 AO sind Bücher und sonstige erforderliche Aufzeichnungen im Geltungsbereich dieses Gesetzes zu führen und aufzubewahren. In Bezug auf die AO ist ein Outsourcing elektronischer Daten innerhalb Deutschlands daher unproblematisch2.
Finanzbuchführung im Ausland
Nach § 146 Abs. 2a AO kann abweichend von § 146 Abs. 2 AO die zuständige Finanzbehörde auf schriftlichen Antrag des Steuerpflichtigen die Führung und Aufbewahrung elektronischer Bücher und sonstiger erforderlicher Aufzeichnungen oder Teilen davon außerhalb des Geltungsbereichs dieses Gesetzes bewilligen. Für diese Bewilligung ist es erforderlich, dass der Steuerpflichtige der zuständigen Finanzbehörde den Standort des Datenverarbeitungssystems und bei Beauftragung eines Dritten dessen Namen und Anschrift mitteilt. Zusätzlich muss der Steuerpflichtige seinen sich aus den §§ 90, 93, 97, 140 bis 147 und 200 Abs. 1 und 2 ergebenden Pflichten ordnungsgemäß nachgekommen. Der Datenzugriff nach § 147 Abs. 6 muss darüber hinaus in vollem Umfang möglich sein und die Besteuerung durch die Führung und Aufbewahrung außerhalb des gesetzlichen Geltungsbereichs darf nicht beeinträchtigt werden. Die Finanzbehörde hat die Möglichkeit, diese Bewilligung zu widerrufen. Wenn Umstände bekannt werden, die zu einer Beeinträchtigung der Besteuerung führen, kann die unverzügliche Rückverlagerung der elektronischen Bücher und sonstigen erforderlichen Aufzeichnungen in den Geltungsbereich dieses Gesetzes verlangt werden.
Ein Outsourcing elektronischer Daten ist im Rahmen der AO unter Berücksichtigung der genannten Voraussetzungen sowie vorangegangener Genehmigung demnach möglich.
Cloud Computing und Betriebsverfassungsgesetz
§ 87 des Betriebsverfassungsgesetzes (BetrVG) regelt die zwingenden Mitbestimmungsrechte von Betriebsräten.
Werden Daten mittels Outsourcing ausgelagert, so ist es zwingend erforderlich, digitale Zugriffssysteme zu installieren, um weiterhin den Zugriff auf die Unternehmensdaten zu ermöglichen. Dies schafft für den Arbeitgeber eine Zuordnungsmöglichkeit der einzelnen Benutzerkonten zu den jeweiligen Angestellten, wodurch z.B. das Arbeitsverhalten überwacht werden kann3.
Der Betriebsrat hat gemäß § 87 Abs. 1 Satz 6 BetrVG, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, mitzubestimmen.
Das Mitbestimmungsrecht gilt nicht, wenn lediglich eine theoretische Möglichkeit zur Überwachung der Arbeitnehmer durch diese technische Einrichtung besteht4. Es ist erst dann eine Mitbestimmung des Betriebsrates erforderlich, wenn die technische Einrichtung eine konkrete Funktion zur Überwachung des Verhaltens oder der Leistung von Arbeitnehmern beinhaltet5.
Datenschutzrechtliche Anforderungen
In Deutschland sind besondere Vorschriften zum Datenschutz aus dem Bundesdatenschutzgesetz (BDSG) zu beachten. Zweck dieses Gesetzes ist es, den Einzelnen vor der Beeinträchtigung seines Persönlichkeitsrechts im Umgang mit seinen personenbezogenen Daten zu schützen. Werden durch den Cloud-Anbieter personenbezogene Daten verarbeitet, sind diese Gesetzmäßigkeiten zu beachten.
Nach dem BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person6.
§ 4 BDSG Verarbeitung personenbezogener Daten
In § 4 BDSG wird die Verarbeitung personenbezogener Daten geregelt. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn nach § 4 Abs. 2 BDSG dies von einer Rechtsvorschrift vorgesehen oder zwingend vorausgesetzt wird, die zu erfüllende Verwaltungsaufgabe oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden. Andernfalls dürfen personenbezogene Daten nur mit Einwilligung des Betroffenen erhoben werden. Bezüglich Cloud Computing ist es jedoch kaum möglich, in der Praxis von allen betroffenen Personen eine Einwilligung zur Verarbeitung einzuholen7.
§ 11 BDSG Auftragsdatenverarbeitung
Findet eine Datenverarbeitung im Rahmen einer Auftragsdatenverarbeitung nach § 11 BDSG statt, ist eine Einwilligung der betroffenen Personen nach § 4 BDSG nicht erforderlich8. Gemäß § 11 Abs. 1 BDSG ist der Auftraggeber verantwortlich für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz, wenn im Auftrag personenbezogene Daten durch andere Stellen erhoben, verarbeitet oder genutzt werden.
In § 11 Abs. 2 BDSG werden die Einzelheiten definiert, die bei einem Auftrag in schriftlicher Form festzulegen sind. Diese umfassen:
1. den Gegenstand und die Dauer des Auftrages,
2. den Umfang, die Art und den Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten sowie die Art der Daten und der Kreis der Betroffenen,
3. die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
4. die Berichtigung, Löschung und Sperrung von Daten,
5. die nach Abs. 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
8. mitzuteilende Verstöße gegen die Vorschriften zum Schutz personenbezogener Daten oder die im Auftrag getroffenen Feststellungen durch den Auftragnehmer oder bei ihm beschäftigte Personen,
9. der Umfang der Weisungsbefugnisse des Auftraggebers gegenüber dem Auftragnehmers,
10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Der Auftraggeber hat sich dabei vor Beginn der Datenverarbeitung und im Anschluss regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen und die Ergebnisse zu dokumentieren.
Auftragserteilung in EU/EWR
Hat ein Auftragnehmer seinen Sitz in der Europäischen Union (EU) oder dem Europäischen Wirtschaftsraum (EWR), so greifen nach § 3 Abs. 8 Satz 3 BDSG bei einer Beauftragung ebenfalls die Vorgaben aus § 11 BDSG9.
Auftragserteilung in Drittstaaten (außerhalb EU/EWR)
Hat ein Auftragnehmer seinen Sitz in einem Drittstaat, also außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums oder soll in einem solchen Drittstaat eine Datenverarbeitung stattfinden, müssen zusätzliche Anforderungen erfüllt werden. Der § 11 BDSG greift an dieser Stelle nicht. Erfolgt eine Datenverarbeitung in einem Drittstaat, so greifen §§ 4b und c BDSG10.
Daraus geht hervor, dass bei einer Datenverarbeitung in Drittstaaten ein angemessenes Datenschutzniveau vorhanden sein muss. Die Verantwortung für die Zulässigkeit der Übermittlung trägt dabei die übermittelnde Stelle. Kann kein angemessenes Datenschutzniveau gewährleistet werden, so kann eine Übermittlung personenbezogener Daten unter den in § 4c aufgeführten Voraussetzungen dennoch zulässig sein.
§ 9 BDSG Technische und organisatorische Maßnahmen
Der § 9 BDSG behandelt die entsprechenden technischen und organisatorischen Maßnahmen, die erforderlich sind, um die Einhaltung der Vorschriften dieses Gesetzes zu erfüllen. Die Anlage zu § 9 BDSG enthält acht Maßnahmen, die bei der automatisierten Verarbeitung von personenbezogenen Daten in einem Unternehmen oder einer Behörde zu treffen sind:
1. Zutrittskontrolle: Die Verwehrung des Zutritts für Unbefugte zu Datenverarbeitungsanlagen, mit denen per-sonenbezogene Daten verarbeitet oder genutzt werden.
2. Zugangskontrolle: Schutz von Datenverarbeitungssystemen vor Nutzung durch Unbefugte.
3. Zugriffskontrolle: Sicherstellung, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten aus-schließlich auf die Daten zugreifen können, zu deren Zugang sie berechtigt sind und, dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
4. Weitergabekontrolle: Sicherstellung, dass personenbezogene Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
5. Eingabekontrolle: Sicherstellung, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
6. Auftragskontrolle: Sicherstellung, dass personenbezogene Daten, die im Auftrag verarbeitet wer-den, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
7. Verfügbarkeitskontrolle: Sicherstellung, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
8. Trennungskontrolle: Sicherstellung, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Diese Maßnahmen sind auch bei einer Auslagerung in Form von Cloud Computing zu beachten und deren Einhaltung sicherzustellen.
Cloud Computing und Strafgesetzbuch
Nach § 203 Abs. 1 StGB ist die unbefugte Offenbarung eines fremden Geheimnisses, eines zum persönlichen Lebensbereich gehörendes Geheimnis oder eines Betriebs- oder Geschäftsgeheimnisses, das ihm als Angehöriger einer der folgenden aufgeführte Gruppen nach § 203 Abs. 1 Satz 1 bis 6 StGB anvertraut oder sonst bekannt geworden ist, strafbar.
|
Gesetzesstelle |
Betroffene Gruppen |
|
§ 203 StGB Abs. 1 Satz 1 |
Ärzte, Zahnärzte, Tierärzte, Apotheker oder Angehörige eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert |
|
§ 203 StGB Abs. 1 Satz 2 |
Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung |
|
§ 203 StGB Abs. 1 Satz 3 |
Rechtsanwälte, Patentanwälte, Notare, Verteidiger in einem gesetzlich geordneten Verfahren, Wirtschaftsprüfer, vereidigte Buchprüfer, Steuerberater, Steuerbevollmächtigte oder Organe oder Mitglieder eines Organs einer Rechtsanwalts-, Patentanwalts-, Wirtschaftsprüfungs-, Buchprüfungs- oder Steuerberatungsgesellschaft |
|
§ 203 StGB Abs. 1 Satz 4 |
Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen in einer staatlich anerkannten Beratungsstelle |
|
§ 203 StGB Abs. 1 Satz 4a |
Mitglieder oder Beauftragte einer anerkannten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes |
|
§ 203 StGB Abs. 1 Satz 5 |
staatlich anerkannte Sozialarbeiter oder Sozialpädagogen |
|
§ 203 StGB Abs. 1 Satz 6 |
Angehörige eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle |
Tabelle 1: Betroffene Gruppen nach §203 Abs. 1 StGB
Quelle: Eigene Darstellung
Ebenso wird nach § 203 Abs. 2 StGB bestraft, wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis offenbart, das ihm als Angehöriger einer der folgenden aufgeführten Gruppen anvertraut worden oder sonst bekannt geworden ist.
|
Gesetzesstelle |
Betroffene Gruppen |
|
§ 203 StGB Abs. 2 Satz 1 |
Amtsträger |
|
§ 203 StGB Abs. 2 Satz 2 |
für den öffentlichen Dienst besonders Verpflichtete |
|
§ 203 StGB Abs. 2 Satz 3 |
Personen, die Aufgaben oder Befugnisse nach dem Personalvertretungsrecht wahrnehmen |
|
§ 203 StGB Abs. 2 Satz 4 |
Mitglieder eines für ein Gesetzgebungsorgan des Bundes oder eines Landes tätigen Untersuchungsausschusses, sonstigen Ausschusses oder Rates, die nicht selbst Mitglieder des Gesetzgebungsorgans sind sowie Hilfskräfte eines solchen Ausschusses oder Rates |
|
§ 203 StGB Abs. 2 Satz 5 |
öffentlich bestellte Sachverständige, die auf die gewissenhafte Erfüllung ihrer Obliegenheiten auf Grund eines Gesetzes förmlich verpflichtet wurden |
|
§ 203 StGB Abs. 2 Satz 6 |
Personen, die auf die gewissenhafte Erfüllung ihrer Geheimhaltungs-pflicht bei der Durchführung wissenschaftlicher Forschungsvorhaben auf Grund eines Gesetzes förmlich verpflichtet wurden |
Tabelle 2: Betroffene Gruppen nach §203 Abs. 2 StGB
Quelle: Eigene Darstellung
Ein Geheimnis umfasst in diesem Zusammenhang Tatsachen, die nur einem bestimmten Personenkreis bekannt sind und an deren Geheimhaltung die betroffene Person ein begründetes Interesse hat11.
Bei der Offenbarung von Geheimnissen durch Personen, die zu keiner genannten Gruppe in § 203 Abs.1 und 2 StGB gehören, kann es sich lediglich um einen Anstifter nach § 26 StGB oder Gehilfen nach § 27 StGB handeln12.
Nach aktuellem Stand ist noch nicht hinreichend strafrechtlich geklärt, ob eine Auslagerung von Daten an einen Auftragnehmer nach § 11 BDSG davon betroffen ist13. Die Offenbarung eines Geheimnisses liegt dann vor, wenn es in irgendeiner Weise an einen Dritten gelangt. Bei digitalen Daten genügt die Einräumung der Verfügungsgewalt über die Daten. Dies kann über die Weitergabe von Datenträgern oder Daten erfolgen14.
Eine Ausnahme bildet die Weitergabe von fremden Geheimnisse an berufsmäßig tätige Gehilfen gemäß § 203 Abs. 3 Satz 2 StGB15. Ein berufsmäßig tätiger Gehilfe ist eine Person, die innerhalb des beruflichen Wirkungsbereichs eines Schweigepflichtigen nach § 203 Abs.1 Satz 1 StGB eine auf dessen berufliche Tätigkeit bezogene unterstützende Tätigkeit ausübt, die die Kenntnis fremder Geheimnisse mit sich bringt oder ohne die Überwindung besonderer Hindernisse ermöglicht16. Zu der Erforderlichkeit der organisatorischen Einbindung des Gehilfen in den Betrieb des Auftraggebers herrscht jedoch Uneinigkeit17. Weder durch Rechtsprechung noch Schrifttum ist es bislang abschließend geklärt, welche Voraussetzungen erfüllt sein müssen, um einen externen IT-Dienstleister als Gehilfen im Sinne des § 203 Abs. 3 StGB anzusehen18.
Aufgrund der beschriebenen Unklarheiten sind zwei mögliche Vorgehensweisen bei der Auslagerung von Daten denkbar19:
1. Auslagerung der Daten in verschlüsselter Form
Bei einer Auslagerung in verschlüsselter Form gelangen keine Daten an „nicht zum Wissen Berufene“. Verschlüsselte Daten sind gegen unberechtigten Zugriff besonders gesichert. Wird eine solche Verschlüsselung von Dritten rechtswidrig umgangen, liegt kein Verstoß gegen § 203 StGB vor20.
2. Einführung eines doppelten Arbeitsverhältnis
Eine weitere Möglichkeit stellt die Einführung eines doppelten Arbeitsverhältnisses dar21.
Cloud Computing und Telekommunikationsgesetz
Ob die Vorschriften des Telekommunikationsgesetzes (TKG) in Bezug auf Cloud Computing anwendbar sind, hängt maßgeblich damit zusammen, welche Art von Dienstleistung von einem Cloud-Anbieter erbracht wird und welche Dienste ein Arbeitgeber seinen Arbeitnehmern zur privaten Nutzung zur Verfügung stellt22.
Telekommunikationsdienst
Nach § 3 Nr. 24 sind Telekommunikationsdienste in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen. Dies schließt Übertragungsdienste in Rundfunknetzen ein23.
Cloud Anbieter als Dienstanbieter
Ein Dienstanbieter im Sinne des TKG wird ein Cloud-Anbieter in der Regel über das Anbieten von VoIP-Services24. Nach § 3 Nr. 22 TKG bezeichnet Telekommunikation den technischen Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen. Auch durch E-Mail Dienste kann ein Cloud-Anbieter zum Dienstanbieter gemäß TKG werden, da er im Sinne des § 3 Nr. 6 TKG geschäftsmäßig einen Telekommunikationsdienst erbringt25. Damit ist er zur Wahrung des Fernmeldegeheimnisses verpflichtet26.
Arbeitgeber als Dienstanbieter
Selbige Regelungen gelten auch für den Arbeitgeber, wenn er seinen Mitarbeitern die private Nutzung betrieblicher Kommunikationsmittel ermöglicht. Er erbringt damit einen Telekommunikationsdienst im Sinne des TKG und ist damit ebenfalls zur Wahrung des Fernmeldegeheimnisses verpflichtet27.
Sonstige Software-Dienstleistungen
In der Regel werden jedoch keine Telekommunikationsdienstleistungen, sondern IT- bzw. Software-Dienstleistungen erbracht.
Die Nutzung von Telekommunikationsübertragungen als untergeordnete Hilfsdienste macht aus dem vertraglichen Produkt jedoch noch keinen Telekommunikationsdienst28.
Cloud Computing und Vertragsrecht
Die vertragsrechtliche Einordnung des Cloud Computing ist in der aktuellen Literatur strittig. Bis heute ist die vertragsrechtliche Einordnung nicht gelöst29. Der Bundesgerichtshof (BGH) hat in seinem Urteil vom 15.11.2006 zu Application Service Provider Verträgen (ASP-Verträgen) die Einordnung als Mietvertrag angenommen. Die Software ist bei solchen Verträgen auf dem Server des Anbieters gespeichert. Nach Aussage des BGH ist diese als Sache im Sinne des § 90 BGB anzusehen30. Generell kommen als Vertragstypen Werkverträge gemäß §§ 631 ff. BGB, Mietverträge gemäß §§ 535 ff. BGB oder die Leihe gemäß §§ 598 BGB in Betracht. Die Einordnung als Dienstvertrag gemäß §§ 611 ff. BGB ist ungeeignet, da keine konkrete Leistungserbringung und Erfolg gewährleistet sind31. Da es beim Cloud Computing oftmals zu einer Kombination unterschiedlicher Leistungen kommt, handelt es sich oftmals um typengemischte Verträge. Jeder Vertragsteil ist nach dem Recht des auf ihn zutreffenden Vertragstypus zu beurteilen, soweit dies nicht im Widerspruch zum Gesamtvertrag steht32.
Cloud Computing und Versicherungsaufsichtsrecht
Werden Versicherungsdaten ausgelagert, so sind zusätzliche Besonderheiten des Versicherungsaufsichtsgesetzes (VAG) zu beachten33. In § 64a Abs. 1 Satz 1 VAG wird Versicherungsunternehmen vorgegeben, über eine ordnungsgemäße Geschäftsorganisation zu verfügen, welche die Einhaltung der von ihnen zu beachtenden Gesetze und Verordnungen sowie der aufsichtsbehördlichen Anforderungen gewährleistet. Verantwortlich für die ordnungsgemäße Geschäftsorganisation sind die in § 7a Abs. 1 Satz 4 VAG bezeichneten Personen. Danach handelt es sich bei Geschäftsleitern um diejenigen natürlichen Personen, die nach dem Gesetz oder Satzung oder als Hauptbevollmächtigte einer Niederlassung in einem Mitgliedsstaat der Europäischen Gemeinschaft oder einem anderen Vertragsstaat des EWR-Abkommens zur Führung der Geschäfte und zur Vertretung des Versicherungsunternehmens berufen sind.
In § 64a Abs. 4 Satz 1 VAG wird diese Pflicht zur ordnungsgemäßen Geschäftsorganisation bei Funktionsausgliederungen nach § 5 Abs. 3 Nr. 4, § 119 Abs. 2 Satz 2 Nr. 6 VAG und bei Dienstleistungsverträgen konkretisiert. Nach § 5 Abs. 3 Nr. 4 VAG liegt eine Funktionsausgliederung vor, wenn mittels Verträgen der Vertrieb, die Bestandsverwaltung, die Leistungsbearbeitung, das Rechnungswesen, die interne Revision, die Vermögensanlage oder die Vermögensverwaltung eines Versicherungsunternehmens ganz oder zu einem wesentlichen Teil einem anderen Unternehmen auf Dauer übertragen werden sollen. Laut § 119 Abs. 2 Satz 2 Nr. 6 VAG liegt dann eine Funktionsausgliederung vor, wenn durch Verträge die Bestandsverwaltung, die Leistungsbearbeitung, das Rechnungswesen, die interne Revision, die Vermögensanlage oder die Vermögensverwaltung eines Rückversicherungsunternehmens ganz oder zu einem wesentlichen Teil einem anderen Unternehmen auf Dauer übertragen werden soll.
Bei diesen Funktionsausgliederungen und bei Dienstleistungsverträgen dürfen nach § 64a Abs. 4 Satz 1 VAG die ordnungsgemäße Ausführung der ausgegliederten Funktionen und übertragenen Aufgaben, die Steuerungs- und Kontrollmöglichkeiten der Geschäftsleitung sowie die Prüfungs- und Kontrollrechte der Aufsichtsbehörde nicht beeinträchtigt werden. Zudem hat ein Versicherungsunternehmen nach § 64a Abs. 4 Satz 2 VAG sich insbesondere die erforderlichen Auskunfts- und Weisungsbefugnisse vertraglich zu sichern und die ausgegliederten Funktionen und übertragenen Aufgaben in sein Risikomanagement einzubeziehen. Ein Versicherungsunternehmen muss auf Basis einer Risikoanalyse eigenverantwortlich festlegen, welche Aktivitäten unter Risikogesichtspunkten ausgelagert werden können. Ausgelagerte Prozesse müssen zudem durchgehend überwacht werden34. Zur Überwachung zählt dabei auch die regelmäßige Beurteilung der Leistungen des Unternehmens, an das ausgegliedert wird35.
Laut der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sind bei einer Ausgliederung die nachfolgenden acht Kriterien im Rahmen vertraglicher Vereinbarungen zu beachten:
• „Spezifizierung und ggf. Abgrenzung der von dem Unternehmen, auf das ausgegliedert wird, zu erbringenden Leistung,
• Festlegung von Informations- und Prüfungsrechten der internen Revision sowie externer Prüfer,
• Sicherstellung der Informations- und Prüfungsrechte sowie der Kontrollmöglichkeiten der Aufsicht,
• Weisungsrechte,
• Regelungen, die sicherstellen, dass datenschutzrechtliche Bestimmungen beachtet werden,
• angemessene Kündigungsfristen,
• Sicherstellung, dass das Unternehmen, auf das ausgegliedert wird, die versicherungsaufsichtsrechtlichen Anforderungen einhält,
• Verpflichtung des ausgliedernden Unternehmens, das Unternehmen über Entwicklungen zu informieren, die die ordnungsgemäße Erledigung der ausgegliederten Aktivitäten und Prozesse beeinträchtigen"36.
Rechtliche Anforderungen an die Datenaufbewahrung
Im Folgenden werden die einschlägigen rechtlichen Anforderungen an die Datenaufbewahrung dargestellt. Dabei wird pro Gesetz auf die konkrete Gesetzesstelle, in der die Aufbewahrungspflichten aufgeführt sind, verwiesen, die die aufbewahrungspflichtigen Dokumente bzw. Daten benennt und die gesetzlich definierten Anforderungen an die Form der Aufbewahrung aufführt.
Handelsgesetzbuch
Nach § 257 HGB ist jeder Kaufmann dazu verpflichtet, Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse nach § 325 Abs. 2a, Lageberichte, Konzernabschlüsse, Konzernlageberichte, die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen sowie Buchungsbelege zehn Jahre aufzubewahren. Darüber hinaus sind empfangene und Wiedergaben abgesandter Handelsbriefe sechs Jahre aufbewahrungspflichtig. Die Aufbewahrungspflicht beginnt nach § 257 Abs. 5 HGB mit dem Schluss des Kalenderjahres, in dem die letzte Eintragung in das Handelsbuch gemacht wurde, das Inventar aufgestellt, die Eröffnungsbilanz oder der Jahresabschluss festgestellt, der Einzelabschluss nach § 325 Abs. 2a oder der Konzernabschluss aufgestellt, der Handelsbrief empfangen oder abgesandt worden oder der Buchungsbeleg entstanden ist.
|
Gesetzesstelle |
§ 257 HGB |
|
Aufbewahrungspflichtige Dokumente / Daten |
Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse nach § 325 Abs. 2a, Lageberichte, Konzernabschlüsse, Konzernlageberichte sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen; empfangene und Wiedergaben abgesandter Handelsbriefe; Buchungsbelege. |
|
Aufbewahrungsfrist |
Zehn Jahre für Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse etc. sowie Buchungsbelege. Sechs Jahre für Geschäftsbriefe. |
|
Aufbewahrungsart |
Datenträger, Ausdruck oder als analoge oder digitale Bildwiedergabe, sofern die die Verfügbarkeit sichergestellt sind und die Daten jederzeit innerhalb einer angemessenen Frist lesbar gemacht werden können. |
Tabelle 3: Aufbewahrungsanforderungen HGB
Quelle: Eigene Darstellung
Abgabenordnung
Nach § 147 AO sind Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz, die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen sowie Buchungsbelege sechs Jahre lang geordnet aufzubewahren. Empfangene Handels- oder Geschäftsbriefe und Wiedergaben abgesandter Handels- oder Geschäftsbriefe sowie sonstige besteuerungsrelevante Unterlagen sind zehn Jahre aufbewahrungspflichtig. Die Aufbewahrungsfrist beginnt nach § 147 Abs. 4 AO mit dem Schluss des Kalenderjahres, in dem die letzte Eintragung in das Buch gemacht, das Inventar, die Eröffnungsbilanz, der Jahresabschluss oder der Lagebericht aufgestellt wurde, der Handels- oder Geschäftsbrief empfangen oder abgesandt worden oder der Buchungsbeleg entstanden ist, ferner die Aufzeichnung vorgenommen worden ist oder die sonstigen Unterlagen entstanden sind.
|
Gesetzesstelle |
§ 147 AO |
|
Aufbewahrungspflichtige Dokumente / Daten |
Buchungsbelege, Geschäftsbriefe, sonstige besteuerungsrelevante Unterlagen (u.a.). |
|
Aufbewahrungsfrist |
Zehn Jahre für Buchungsbelege und besteuerungsrelevante Unterlagen. Sechs Jahre für Geschäftsbriefe . |
|
Aufbewahrungsart |
Datenträger, Ausdruck oder als analoge oder digitale Bildwiedergabe, sofern die die Verfügbarkeit sichergestellt sind und die Daten jederzeit innerhalb einer angemessenen Frist lesbar gemacht werden können (Sonderregelungen für originär digitale Daten, vgl. GDPdU). |
Tabelle 4: Aufbewahrungsanforderungen AO
Quelle: Eigene Darstellung
Die Aufbewahrungsfrist läuft nicht ab, solange die Unterlagen für Steuern von Bedeutung sind, für welche die Festsetzungsfrist noch nicht abgelaufen ist.
Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)
Zusätzlich zu den Aufbewahrungsanforderungen aus HGB und AO gibt es in den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD; BMF-Schreiben vom 14. November 2014 - V A 4 - S 0316/13/10003 -) die Anforderung, originär digitale Unterlagen auf maschinell auswertbaren Datenträgern zu archivieren.
|
Gesetzesstelle |
Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD; BMF-Schreiben vom 14. November 2014 - V A 4 - S 0316/13/10003 -) |
|
Aufbewahrungspflichtige Dokumente / Daten |
Aufzeichnungs- und aufbewahrungspflichtige Daten, Datensätze, elektronische Dokumente und elektronische Unterlagen, die im Unternehmen entstanden oder eingegangen sind. |
|
Aufbewahrungsfrist |
Siehe Ausführungen zur Abgabenordnung. |
|
Aufbewahrungsart |
Archivierung als maschinell verwertbare Datenträger, drei Zugriffsmöglichkeiten müssen für Prüfer ermöglicht werden: - Z1: Unmittelbarer Zugriff der Finanzbehörde mittels Nur-Lesezugriff - Z2: Mittelbarer Zugriff durch maschinelle Auswertung durch das Unternehmen oder einen beauftragten Dritten nach Vorgaben des Prüfers - Z3: Überlassung der Daten in maschinell lesbaren und auswertbaren Datenträger |
Tabelle 5: Aufbewahrungsanforderungen GDPdU
Quelle: Eigene Darstellung
Tabellarische Zusammenfassung
|
Themenbereich |
Gesetzesstelle |
Zusammenfassung |
|
Abgabenordnung |
§§ 146 ff. AO |
Werden durch den Cloud-Betreiber steuerrechtlich relevante Daten verarbeitet, so sind die Vorschriften der §§ 146 ff. AO zu beachten. |
|
Betriebsverfassungsgesetz |
§ 87 BetrVG |
§ 87 des Betriebsverfassungsgesetzes (BetrVG) regelt die zwingenden Mitbestimmungsrechte von Betriebsräten. Werden Daten mittels Outsourcing ausgelagert, so ist es zwingend erforderlich, digitale Zugriffssysteme zu installieren, um weiterhin den Zugriff auf die Unternehmensdaten zu ermöglichen. |
|
Bundesdatenschutzgesetz |
§ 4 BDSG |
In § 4 BDSG wird die Verarbeitung personenbezogener Daten geregelt. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn nach § 4 Abs. 2 BDSG dies von einer Rechtsvorschrift vorgesehen oder zwingend vorausgesetzt wird, die zu erfüllende Verwaltungsaufgabe oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden. |
|
§ 9 BDSG |
Der § 9 BDSG behandelt die entsprechenden technischen und organisatorischen Maßnahmen, die erforderlich sind, um die Einhaltung der Vorschriften dieses Gesetzes zu erfüllen. Die Anlage zu § 9 BDSG enthält acht Maßnahmen, die bei der automatisierten Verarbeitung von personenbezogenen Daten in einem Unternehmen oder einer Behörde zu treffen sind. |
|
|
§ 11 BDSG |
Findet eine Datenverarbeitung im Rahmen einer Auftragsdatenverarbeitung nach § 11 BDSG statt, ist eine Einwilligung der betroffenen Personen nach § 4 BDSG nicht erforderlich37. |
|
|
Strafgesetzbuch |
§ 203 StGB |
Nach § 203 Abs. 1 StGB ist die unbefugte Offenbarung eines fremden Geheimnisses, eines zum persönlichen Lebensbereich gehörendes Geheimnis oder eines Betriebs- oder Geschäftsgeheimnisses, das ihm als Angehöriger einer der aufgeführte Gruppen nach § 203 Abs. 1 Satz 1 bis 6 StGB anvertraut oder sonst bekannt geworden ist, strafbar.
Ebenso wird nach § 203 Abs. 2 StGB bestraft, wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis offenbart, das ihm als Angehöriger einer der aufgeführten Gruppen anvertraut worden oder sonst bekannt geworden ist. |
|
Telekommunikationsgesetz |
§ 3 TKG |
Nach § 3 Nr. 24 sind Telekommunikationsdienste in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen. Dies schließt Übertragungsdienste in Rundfunknetzen ein.
Ein Dienstanbieter im Sinne des TKG wird ein Cloud-Anbieter in der Regel über das Anbieten von VoIP-Services. Nach § 3 Nr. 22 TKG bezeichnet Telekommunikation den technischen Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen. Auch durch E-Mail-Dienste kann ein Cloud-Anbieter zum Dienstanbieter gemäß TKG werden, da er im Sinne des § 3 Nr. 6 TKG geschäftsmäßig einen Telekommunikationsdienst erbringt. Damit ist er zur Wahrung des Fernmeldegeheimnisses verpflichtet. |
|
Vertragsrecht |
§ 90 BGB |
Die vertragsrechtliche Einordnung des Cloud Computing ist in der aktuellen Literatur strittig. Bis heute ist die vertragsrechtliche Einordnung nicht gelöst. Der Bundesgerichtshof (BGH) hat in seinem Urteil vom 15.11.2006 zu Application Service Provider Verträgen (ASP-Verträgen) die Einordnung als Mietvertrag angenommen. Die Software ist bei solchen Verträgen auf dem Server des Anbieters gespeichert. Nach Aussage des BGH ist diese als Sache im Sinne des § 90 BGB anzusehen. |
|
Versicherungsaufsichtsrecht |
§ 64a VAG |
Werden Versicherungsdaten ausgelagert, so sind zusätzliche Besonderheiten des Versicherungsaufsichtsgesetzes (VAG) zu beachten. |
|
Anforderungen an die Datenaufbewahrung |
§ 257 HGB |
Nach § 257 HGB ist jeder Kaufmann dazu verpflichtet, Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse nach § 325 Abs. 2a, Lageberichte, Konzernabschlüsse, Konzernlageberichte, die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen sowie Buchungsbelege zehn Jahre aufzubewahren. |
|
§ 147 AO |
Nach § 147 AO sind Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz, die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen sowie Buchungsbelege sechs Jahre lang geordnet aufzubewahren. Empfangene Handels- oder Geschäftsbriefe und Wiedergaben abgesandter Handels- oder Geschäftsbriefe sowie sonstige besteuerungsrelevante Unterlagen sind zehn Jahre aufbewahrungspflichtig. |
|
|
GoBD; BMF-Schreiben vom 14. November 2014 - V A 4 - S 0316/13/10003 - |
Aufzeichnungs- und aufbewahrungspflichtige Daten, Datensätze, elektronische Dokumente und elektronische Unterlagen, die im Unternehmen entstanden oder eingegangen sind, sind auch in dieser Form aufzubewahren und dürfen vor Ablauf der Aufbewahrungsfrist nicht gelöscht werden. |
Zu Teil 4 unserer Reihe: "Welche Risiken bringt die Nutzung von Cloud Computing für Unternehmen mit sich?"
Zurück zu Teil 2: "Welche Vorteile kann die Nutzung von Cloud Computing für Unternehmen mit sich bringen?"
Zurück zu Teil 1: "Cloud Computing, seine Betriebsformen und Servicemodelle – eine Einführung"
Fußnotenindex:
1 Vgl. Haselmann, Till; Hoeren, Thomas; Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.155.
2 Vgl. Haselmann, Till; Hoeren, Thomas; Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.155.
3 Vgl. Haselmann, Till, Hoeren, Thomas, Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.163.
4 Vgl. Haselmann, Till, Hoeren, Thomas, Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.164.
5 Vgl. Richardi, Reinhard, BetrVG, 2012, Rdn. 501.
6 Vgl. Springer Gabler Verlag, Personenbezogene Daten, o.J..
7 Vgl. Haselmann, Till; Hoeren, Thomas; Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.144.
8 Vgl. Haselmann, Till; Hoeren, Thomas; Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.144.
9 Vgl. Haselmann, Till; Hoeren, Thomas; Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.147.
10 Vgl. Haselmann, Till; Hoeren, Thomas; Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.147.
11 Vgl. Schönke, Adolf; Schröder, Horst; Eser, Albin, StGB Kommentar, 2010, Rdn. 5.
12 Vgl. Haselmann, Till, Hoeren, Thomas, Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.160.
13 Vgl. Haselmann, Till, Hoeren, Thomas, Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.161.
14 Vgl. Schönke, Adolf, Schröder, Horst, Eser, Albin, StGB Kommentar, 2010, Rdn. 19.
15 Vgl. Haselmann, Till, Hoeren, Thomas, Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.161.
16 Vgl. Schönke, Adolf, Schröder, Horst, Eser, Albin, StGB Kommentar, 2010, Rdn. 64.
17 Vgl. Spatscheck, Rainer, Outsourcing trotz Anwaltsgeheimnis, 2014, Kap. III 2.
18 Vgl. Haselmann, Till, Hoeren, Thomas, Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.161.
19 Vgl. Haselmann, Till, Hoeren, Thomas, Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.162.
20 Vgl. Haselmann, Till, Hoeren, Thomas, Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.162.
21 Vgl. Haselmann, Till, Hoeren, Thomas, Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.162.
22 Vgl. Haselmann, Till; Hoeren, Thomas; Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.150.
23 Vgl. Bundesnetzagentur, Amtsblatt Bundesnetzagentur 18/2005, 2005, 1342f..
24 Vgl. Haselmann, Till; Hoeren, Thomas; Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.151.
25 Vgl. Schmidtz, Peter, Handbuch Multimedia-Recht, 2014, Teil 16.2, Rn. 61.
26 Vgl. Haselmann, Till; Hoeren, Thomas; Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.151.
27 Vgl. Haselmann, Till; Hoeren, Thomas; Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.151f..
28 Schuster, Fabian; Reichl, Wolfgang, CR 2010, S. 38-43.
29 Vgl. Haselmann, Till, Hoeren, Thomas, Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.164.
30 Vgl. Bundesgerichtshof, MMR 2007 243, 2006, Tz.11.
31 Vgl. Bedner, Mark, Forum Wirtschaftsrecht, 2013, S.265.
32 Vgl. Bundesgerichtshof, MMR 2007 243, 2006, Tz.24.
33 Vgl. Haselmann, Till; Hoeren, Thomas; Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.157.
34 Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht, BaFin Rundschreiben 3/2009, 2009, Nr. 8.2.
35 Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht, BaFin Rundschreiben 3/2009, 2009, Nr. 8.3.
36 Bundesanstalt für Finanzdienstleistungsaufsicht, BaFin Rundschreiben 3/2009, 2009, Nr. 8.2.
37 Vgl. Haselmann, Till; Hoeren, Thomas; Vossen, Gottfried, Cloud Computing für Unternehmen, 2012, S.144.
Quellen:
[1] Bedner, Mark; (Forum Wirtschaftsrecht) Cloud Computing. Technik, Sicherheit und rechtliche Gestaltung, 1.Aufl., Kassel, 2013.
[2] Bundesanstalt für Finanzdienstleistungsaufsicht, BaFin Rundschreiben 3/2009, 2009, online in: https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_0903_als_pdf_va.pdf?__blob=publicationFile.
[3] Bundesgerichtshof, MMR 2007 243, 15.11.2006, online in: http://medien-internet-und-recht.de/volltext.php?mir_dok_id=511.
[4] Bundesnetzagentur, (Amtsblatt Bundesnetzagentur 18/2005) Amtsblatt Bundesnetzagentur 18/2005, Bonn, 2005.
[5] Haselmann, Till; Hoeren, Thomas; Vossen, Gottfried, (Cloud Computing für Unternehmen) Cloud Computing für Unternehmen. Technische, wirtschaftliche, rechtliche und organisatorische Aspekte, 1. Aufl., Heidelberg, 2012.
[6] Richardi, Reinhard, (BetrVG) Betriebsverfassungsgesetz mit Wahlordnung Kommentar, 13. Aufl., München, 2012.
[7] Schmidtz, Peter, (Handbuch Multimedia-Recht) Handbuch Multimedia-Recht. Rechtsfragen des elektronischen Geschäftsverkehrs, 37. Ergänzungslieferung 2014, München, 2014.
[8] Schönke, Adolf, Schröder, Horst, Eser, Albin, (StGB Kommentar) StGB: Kommentar, 28. neu bearb. Aufl., München, 2010.
[9] Schuster, Fabian; Reichl, Wolfgang, (CR 2010) Cloud Computing & SaaS: Was sind die wirklich neuen Fragen?, in: Computer und Recht, Heft 1, Köln, 2010.
[10] Spatscheck, Rainer, (Outsourcing trotz Anwaltsgeheimnis) Outsourcing trotz Anwaltsgeheimnis, 04.04.2014, online in: http://anwaltsblatt.anwaltverein.de/rechtsprechung-details/items/Outsourcing_trotz_Anwaltsgeheimnis.html.
[11] Springer Gabler Verlag, (Personenbezogene Daten) Gabler Wirtschaftslexikon, personenbezogene Daten, o.J., online in: http://wirtschaftslexikon.gabler.de/Definition/personenbezogene-daten.html.