Wann ist eine Cloud auch rechtlich eine Cloud?
Unter Cloud-Computing wurde, nicht nur in Deutschland, über Jahre hinweg eine Form der Bereitstellung von gemeinsam nutzbaren und flexibel skalierbaren IT-Leistungen durch nicht fest zugeordnete IT-Ressourcen verstanden.
Im Rahmen von Outsourcing-Projekten wurden Cloud-Dienstleistungen eingekauft, um beispielsweise eine Anwendung in einem externen Rechenzentrum bei einem Dienstleister zu betreiben und sich keine Gedanken um CPU, Arbeitsspeicher oder Speicherkapazität zu machen. Bei Bedarf musste nichts angeschafft, sondern nur beim Dienstleister nachbestellt werden. Diese Sichtweise muss gegebenenfalls angepasst werden, da es im Europarecht eine Definition des Begriffes „Cloud-Computing-Dienst“ gibt.
Definition der Cloud: Europäisch geregelt
Am 27. Dezember 2022 wurde die NIS-2-Richtlinie im Amtsblatt der EU veröffentlicht, welche bis zum 14. Oktober 2024 durch das nationale Recht umgesetzt werden muss. Im Mai stellte das Bundesministerium des Innern und für Heimat den Regierungsentwurf für ein Umsetzungsgesetz der NIS-2-Richtlinie vor. Die NIS-2-Richtlinie enthält eine Definition des Cloud-Computings, sodass seit Oktober 2022 eine europäische Begriffsbestimmung existiert. Diese Definition wurde nahezu wortgleich vom deutschen Regierungsentwurf übernommen und wurde ebenso im Digital-Gesetz des Bundesministeriums für Gesundheit in das SGB V eingeführt:
- Art. 6 Ziff. 30 / NIS-2-Richtlinie
„Cloud-Computing-Dienst“
bezeichnet einen digitalen Dienst, der auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Re- chenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind.
- § 2 Ziff. 4 / NIS-2-Umsetzungsgesetz-E
„Cloud-Computing-Dienst“
ist ein digitaler Dienst, der auf Abruf die Verwaltung eines skalierbaren und elastischen Pools gemeinsam nutzbarer Rechenressourcen sowie den umfassenden Fernzugang zu diesem Pool ermöglicht, auch wenn die Rechenressourcen auf mehrere Standorte verteilt sind.
- § 384 Ziff. 5 / SGB V
„Cloud-Computing-Dienst“
bezeichnet einen digitalen Dienst, der auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehre- re Standorte verteilt sind.
Wie der Europäische Gerichtshof (EuGH) schon mehrfach urteilte, ist europäisches Recht vorrangig anzuwenden. Bei Richtlinien haben nationale Gesetzgeber zwar einen gewissen Spielraum, müssen jedoch zwingend beachten, dass die Rechtswirkungen der nationalen Gesetze denen der Richtlinie entsprechen. Die seitens des europäischen Gesetzgebers beabsichtigte Auswirkungen müssen also im nationalen Gesetz abgebildet sein – ansonsten müssen nationale Gerichte die europäischen Vorgaben der jeweiligen Richtlinie bei der Urteilsfindung statt der nationalen Regelungen heranziehen.
Was versteht der europäische Gesetzgeber unter Cloud-Computing?
Aufgrund der Vorrangigkeit des europäischen Rechts müssen die nationalen Umsetzungen in § 2 Abs. 1 Ziff. 34 Regierungsentwurf NIS-2-Umsetzungsgesetz und § 384 Ziff. 5 SGB V den europäischen Vorgaben entsprechen. Um zu verstehen, wie Cloud-Computing definiert wird, muss man daher die europäischen Vorgaben betrachten, das heißt, die Begriffsbestimmung in Art. 31 Ziff. 30 NIS-2 Richtlinie auslegen.
Der EuGH führt hierzu aus: „Bei der Prüfung dieser Bestimmungen sind nicht nur ihr Wortlaut, sondern auch ihr Zusammenhang und die Ziele zu berücksichtigen, die mit der Regelung, zu der sie gehören, verfolgt werden“. Wie der EuGH darstellt, sind somit insbesondere die Ziele des jeweiligen Rechtsaktes zu berücksichtigen. Allerdings wird die Möglichkeit der Auslegung durch den Wortlaut des Gesetzestextes beschränkt; keine Auslegung kann die Bedeutung des Wortlauts einer Regelung ändern, wenn der Wortlaut eindeutig ist. Die Erwägungsgründe eines europäischen Rechtsaktes sind hinsichtlich der Interpretation bei einem nicht eindeutig interpretierbaren Wortlaut vorrangig zu berücksichtigen, sind sie doch Bestandteil der jeweiligen europäischer Rechtsakte.
Der EuGH weist darauf hin, dass „Begründungserwägungen eines Gemeinschaftsrechtsakts rechtlich nicht verbindlich sind und weder herangezogen werden können, um von den Bestimmungen des betreffenden Rechtsaktes abzuweichen, noch, um diese Bestimmungen in einem Sinne auszulegen, der ihrem Wortlaut offensichtlich widerspricht“.
Die Begriffsbestimmung für Cloud-Computing beinhaltet sechs „Muss“- und ein „Kann“-Kriterium.
Cloud-Computing-Dienst ist
- ein digitalen Dienst („muss“),
- der auf Abruf die Verwaltung („muss“)
- und den umfassenden Fernzugang („muss“)
- zu einem skalierbaren („muss“)
- und elastischen Pool („muss“)
- gemeinsam nutzbarer Rechenressourcen
ermöglicht („muss“), - auch wenn diese Ressourcen auf
mehrere Standorte verteilt sind („kann“).
Die Muss-Kriterien sind alle mit „und“ verknüpft, das heißt jede dieser Bedingungen muss erfüllt sein, damit es sich um einen Cloud-Computing-Dienst handelt. Ist auch nur eine Bedingung nicht erfüllt, handelt es sich nicht um einen Cloud-Computing-Dienst.
Nachfolgend werden die Bedingungen näher betrachtet, damit eine Einschätzung vorgenommen werden kann, ob es sich bei einem Dienst um Cloud-Computing handelt oder nicht.
Muss-Kriterium: Digitaler Dienst
Art. 6 Ziff. 23 NIS-2-RL definiert einen „digitaler Dienst“ als einen Dienst im Sinne des Art. 1 Abs. 1 lit. b RL (EU) 2015/1535. In Art. 1 Abs. 1 lit. b RL (EU) 2015/1535⁸ wird „Dienst“ als eine Dienstleistung der Informationsgesellschaft definiert, d.h. als „jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“. Im Sinne dieser Definition bezeichnet der Ausdruck
- „im Fernabsatz erbrachte Dienstleistung“ eine Dienstleistung, die ohne gleichzeitige physische Anwesenheit der Vertragsparteien erbracht wird;
- „elektronisch erbrachte Dienstleistung“ eine Dienstleistung, die mittels Geräte für die elektronische Verarbeitung (einschließlich digitaler Kompression) und Speicherung von Daten am Ausgangspunkt gesendet und am Endpunkt empfangen wird und die vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischem Wege gesendet, weitergeleitet und empfangen wird;
- „auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“ eine Dienstleistung die durch die Übertragung von Daten auf individuelle Anforderung erbracht wird.
Ein digitaler Dienst ist also jede elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung.
Keinen elektronischen Dienst stellt die Bereitstellung von Hardware dar (siehe Anhang I Ziff. 2 RL (EU) 2015/1535). Als elektronische Dienste seien beispielhaft die Bereitstellung von virtuellen Maschinen zur Installation von Software (egal ob mit oder ohne Betriebssystem) oder die Bereitstellung von Software genannt.
Muss-Kriterium: Verwaltung auf Abruf
In ErwGr. 33 NIS-2-Richtlinie findet sich folgende Erläuterung zur Anforderung „Verwaltung auf Abruf“:
„Dass sich der Cloud-Computing-Nutzer selbst ohne Interaktion mit dem Anbieter von Cloud-Computing-Diensten Rechenkapazitäten wie Serverzeit oder Netzwerkspeicherplatz zuweisen kann, könnte als Verwaltung auf Abruf beschrieben werden.“
Die Verwaltung auf Abruf bedingt also, dass sich Cloud-Nutzer (= Kunden) ohne Interaktion mit dem Cloud-Anbieter Rechenkapazitäten zuweisen können. Dabei ist es egal, ab die vom Kunden selbst zugeteilten Rechenkapazitäten vom Cloud-Anbieter berechnet werden oder nicht.
Entscheidend ist, dass die Cloud-Nutzer die Rechenkapazitäten selbst zuweisen können. Müssen Cloud-Kunden Rechenkapazitäten beim Cloud-Anbieter beantragen und liegt die Entscheidung über die beim Cloud-Anbieter, ist dieses Kriterium nicht erfüllt.
Muss-Kriterium: Umfassender Fernzugang
In ErwGr. 33 NIS-2-Richtlinie findet sich folgende Erläuterung zur Anforderung „umfassender Fernzugriff“:
„Der Begriff ‚umfassender Fernzugang’ wird verwendet, um zu beschreiben, dass die Cloud-Kapazitäten über das Netz bereitgestellt und über Mechanismen zugänglich gemacht werden, die den Einsatz heterogener Thin- oder Thick-Client-Plattformen (einschließlich Mobiltelefonen, Tablets, Laptops und Arbeitsplatzrechnern) fördern.“
Jeder über ein Netzwerk, insbesondere auch unter Nutzung des Internets, bereitgestellte Dienst erfüllt diese Anforderung.
Muss-Kriterium: Skalierbarer Pool
In ErwGr. 33 NIS-2-Richtlinie findet sich folgende Erläuterung zur Anforderung „Skalierbarkeit“:
„Der Begriff ‚skalierbar’ bezeichnet Rechenressourcen, die unabhängig von ihrem geografischen Standort vom Anbieter des Cloud-Dienstes flexibel zugeteilt werden, damit Nachfrageschwankungen bewältigt werden können.“
Immer, wenn ein Cloud-Anbieter flexibel auf Auslastungen eines Dienstes reagieren kann, ist diese Bedingung erfüllt. Ob dabei auf Rechenressourcen unterschiedlicher Standorte von Rechenzentren zugegriffen wird, spielt hierbei keine Rolle. „Unabhängig vom geografischen Standort“ erlaubt es, alles in einem Rechenzentrum zu organisieren oder auch unterschiedliche Rechenzentren zur Lastverteilung zu nutzen.
Bei der Auslastung ist es egal, ob zeitliche Effekte eine Rolle spielen (zum Beispiel erhöhte Nutzung von Cloud-Ressourcen zwischen 8 und 19 Uhr) oder nicht. Die dem Kunden zugesicherte Leistung muss erbracht werden.
Muss-Kriterium: Elastischer Pool
In ErwGr. 33 NIS-2-Richtlinie findet sich folgende Erläuterung zur Anforderung „elastischer Pool“:
„Der Begriff ‚elastischer Pool’ wird verwendet, um Rechenressourcen zu beschreiben, die entsprechend der Nachfrage bereitgestellt und freigegeben werden, damit die Menge der verfügbaren Ressourcen je nach Arbeitsaufkommen rasch erhöht oder reduziert werden kann.“
Die Anforderung eines „elastischen Pools“ ergänzt die Anforderung „skalierbarer Pool“. Während die Anforderung „elastischer Pool“ verlangt, dass Cloud-Anbieter Nachfrageschwankungen ausgleichen können, verlangt die Anforderung eines skalierbaren Pools, dass Cloud-Anbieter auf Nachfragen von Cloud-Kunden diesen Rechenressourcen zur Verfügung stellen können.
Muss-Kriterium: Gemeinsam nutzbar
In ErwGr. 33 NIS-2-Richtlinie findet sich folgende Erläuterung zur Anforderung „gemeinsam nutzbar“:
„Der Begriff ‚gemeinsam nutzbar’ wird verwendet, um Rechenressourcen zu beschreiben, die einer Vielzahl von Nutzern bereitgestellt werden, die über einen gemeinsamen Zugang auf den Dienst zugreifen, wobei jedoch die Verarbeitung für jeden Nutzer separat erfolgt, obwohl der Dienst über dieselbe elektronische Ausrüstung erbracht wird.“
Ein Anbieter stellt Rechenressourcen einer Vielzahl von Kunden zur Verfügung. Die Anforderung „Verarbeitung für jeden Nutzer separat“ wird in der Regel durch eine Mandantentrennung umgesetzt, durch welche die Daten der verschiedenen Nutzer und damit auch die Zugriffsmöglichkeiten voneinander getrennt werden.
Kann-Kriterium: Auf mehrere Standorte verteilt
Der Wortlaut „[…] auch wenn diese Ressourcen auf mehrere Standorte verteilt sind […]“ in der Begriffsbestimmung in Art. 31 Ziff. 30 NIS-2-Richtlinie weist auf die Optionalität hin: „auch“ bedeutet, dass die Bedingung bei einem Cloud-Computing-Dienst nicht erfüllt sein muss, jedoch erfüllt sein kann.
In ErwGr. 33 NIS-2-Richtlinie findet sich folgende Erläuterung zur Anforderung „gemeinsam nutzbar“:
„Der Begriff ‚verteilt’ wird verwendet, um Rechenressourcen zu beschreiben, die sich auf verschiedenen vernetzten Computern oder Geräten befinden und die untereinander durch Nachrichtenaustausch kommunizieren und koordinieren.“
„Verteilt“ ist also erfüllt, wenn Rechenressourcen von vernetzten Geräten genutzt werden. Dies können vernetzte Rechenzentren sein, aber auch vernetzte Computer (zum Beispiel in einem Cluster verbundene Computer) in einem einzigen Rechenzentrum.
Fazit
Seit Dezember 2022 existiert im Europarecht eine Definition, die letztlich auch Auswirkungen auf Verträge hat: Wer vertraglich eine Cloud anbietet oder einkauft, muss letztlich auch Anforderungen an eine Cloud beziehungsweise Cloud-Nutzung erfüllen. Bis Oktober 2024 sollte die Richtlinie in deutsches Recht umgesetzt werden, daher wird es Zeit, zu prüfen, wie es um eigene Cloud-Angebote oder entsprechende Verträge hinsichtlich der Erfüllung der Definition bestellt ist.
Nachfolgend eine Übersichtsdarstellung, welche Bedingungen erfüllt sein müssen, damit ein Dienst einen Cloud-Computing-Dienst darstellt:
- Digitaler Dienst:
Wird in der Regel gegeben sein, wenn mehr als Hardware von einem Anbieter bereitgestellt wird. - Verwaltung auf Abruf:
Der Cloud-Nutzer kann sich selbst ohne Interaktion mit dem Anbieter von Cloud-Computing-Diensten Rechenkapazitäten zuweisen. - Umfassender Fernzugang:
Die Cloud-Kapazitäten werden über das Netz bereitgestellt und über Mechanismen zugänglich gemacht. - Skalierbarer Pool:
Rechenressourcen werden unabhängig von ihrem geografischen Standort vom Anbieter des Cloud-Dienstes flexibel zugeteilt, damit Nachfrageschwankungen bewältigt werden können. - Elastischer Pool:
Rechenressourcen werden entsprechend der Nachfrage bereitgestellt und freigegeben, damit die Menge der verfügbaren Ressourcen je nach Arbeitsaufkommen rasch erhöht oder reduziert werden kann. - Gemeinsam nutzbar:
Rechenressourcen werden einer Vielzahl von Nutzern bereitgestellt, wobei die Nutzer über einen gemeinsamen Zugang auf den Dienst zugreifen, die Verarbeitung für jeden Nutzer jedoch separat erfolgt, obwohl der Dienst über dieselbe elektronische Ausrüstung erbracht wird.
Zusätzlich kann folgendes Kriterium erfüllt sein:
- Verteilt:
Rechenressourcen befinden sich auf verschiedenen vernetzten Computern oder Geräten.
Kunden, deren eingekaufter Dienst nicht den Bedingungen entspricht, sollten auf den Anbieter zugehen und mit ihm im Rahmen einer vertraglichen Ergänzung eine entsprechende Klarstellung abschließen. Anbieter sollten ihre angebotenen Produkte auf Erfüllung der Anforderungen prüfen. Mit dem Angebot eines Cloud-Computing-Dienstes werden dem Kunden gleichzeitig bestimmte Aspekte der IT-Sicherheit aus verschiedenen Gesetzen zugesichert, die nicht jeder Anbieter leisten kann oder will.
