Das globale Rechenzentrum als rechtliche Herausforderung für Gesetzgeber und Unternehmen

Im 19. Jahrhundert wurde der programmatische Ausspruch "Das Gesetz ist klüger als der Gesetzgeber" von den großen Juristen der damaligen Zeit geprägt. Bülow formulierte dies schon 1885 so um: "Den Richtern wird oft eine größere und bessere Rechtseinsicht zugemuthet und zugetraut als dem Gesetzgebungspersonal." Jetzt ist es wieder einmal soweit: Die Technik überholt das Recht auf der Überholspur, sodass die Richter es werden (im wahrsten Sinne des Wortes) richten müssen - wie schon bei so vielen IT-Themen zuvor. Und bis die EU und der deutsche Gesetzgeber auf die derzeitigen internationalen Cloud-Computing-Konzepte eine Antwort gefunden haben (falls es diese überhaupt gibt), wird sich die Technik wiederum weiterentwickelt haben. Zur Vermeidung rechtsfreier Räume werden die Gerichte wieder - im besten Fall für eine Übergangszeit - gezwungen sein, ältliche Gesetze auf Fragestellungen anzupassen, für deren Lösung sie eigentlich nie gedacht und gemacht waren und für den Gesetzgeber wird dies sogar ein starkes Indiz dafür sein, dass gar kein "Regelungsbedarf" entstanden ist: Es funktioniert doch.

Doch was ist Cloud Computing eigentlich? Im Grunde nichts anderes als "global sourcing" im Bereich der IT. Am Beginn der wirtschaftlichen Entwicklung stand - als Reduzierung der "Fertigungstiefe" - das IT-Outsourcing, seinerzeit durch sog. Rechenzentrumsverträge umgesetzt, ähnlich der Zulieferung von Halbfertigwaren oder der "verlängerten Werkbank" in der produzierenden Industrie: "buy" statt "make". Und die zunehmend globalisierte Beschaffungskette - günstige Rohstoffe hier, günstige Arbeitskosten dort - bietet sich eigentlich seit jeher für die IT noch mehr an als für physische Güter, weil elektronische Daten über die weltweite Infrastruktur Internet kostenlos, schnell und mit immer größerer Bandbreite transportiert werden können. Und so wie die Bänder der Zulieferer und Unterzulieferer sowohl für den einen als auch für den anderen Abnehmer gleichermaßen produzieren, so produzieren auch die Anbieter von Cloud-Computing-Dienstleistungen selbst oder durch ihre eigenen Beschaffungsketten beliebige IT-Services auf global verteilten Rechenzentrumslandschaften für beliebig viele Kunden. Die resultierenden Synergieeffekte und Standortvorteile schlagen sich direkt in niedrigeren und verbrauchsabhängigen Kosten nieder. Wirtschaftlich betrachtet ist dies eine klassische "Win-Win-Situation". Die technischen Aspekte wie Server-Virtualisierung, dynamische Lastverteilung und nahezu beliebige Skalierbarkeit sind dabei nur Mittel zum Zweck. Hinter einer einfachen Netzwerk-Steckdose lauert ein global verteiltes Rechen- und Speicherzentrum ungekannten und unbeschränkten Ausmaßes für jeden erdenklichen Zweck.

Was nun in die "Cloud" hineingeschoben, dort gespeichert, verarbeitet und wieder herausgeholt wird, können verschiedenste Arten von Daten sein, sensible (z. B. "mission critical") und unsensible, verschlüsselte und unverschlüsselte, personenbezogene und nicht personenbezogene, Zahlen, Texte (wie E-Mails), Bilder, Verknüpfungen, ERP-Daten und alles mögliche andere. Und auch die Cloud selbst kann verschiedenste Organisationsausprägungen haben: Sie kann vom Unternehmen selbst betrieben werden (dann handelt es sich nicht einmal um Outsourcing), von einer verbundenen Gesellschaft, von einer in- oder ausländischen Betreibergesellschaft, von einem Anbieterkonsortium oder von einer Heerschar unbekannter PC-Besitzer (z. B. über 3 Millionen beim SETI@Home-Projekt).

Nun wird deutlich, welche Mammutaufgabe eigentlich von den Gesetzgebern (!) zu bewältigen wäre: Einen internationalen Rechtsrahmen für das Cloud Computing zu schaffen und dabei sämtliche Organisationsformen und Datentypen (abstrakt) zu berücksichtigen mit - idealerweise - der Zielrichtung, sämtliche Interessen der internationalen Beteiligten (auslagerndes Unternehmen, Provider, Betroffene, Arbeitnehmer, Strafverfolgungsbehörden, Geheimdienste, Urheber von Informationen etc.) vernünftig gegeneinander abzuwägen und einheitlich zusammengefasst zu regeln. Nur dann kann ein Unternehmen seine Daten in eine internationale Cloud geben und sicher sein, sich dabei "compliant" zu verhalten. Dazu wird es natürlich nie kommen. Es gilt vielmehr das Dilemma der Präventivberatung, das jeder Berater und jeder Beratene im durch die Zeiten gewachsenen Gesetzesgestrüpp kennt: Es dürfte rechtlich eigentlich so sein, es ist aber auch nicht ausgeschlossen, dass ein Gericht das anders sieht. Juristerei lässt sich immer beliebig kompliziert gestalten, bis sie dann der Makel der Unvorhersehbarkeit ereilt. Dieses Dilemma potenziert sich bei einer internationalen Cloud natürlich noch um die Rechtsunsicherheiten der ausländischen Jurisdiktionen.

Die technische Entwicklung macht derweil, was immer den Beteiligten Umsatz verspricht, ohne sich über die möglichen rechtlichen Konsequenzen unter althergebrachten Gesetzestexten Gedanken zu machen. Das ursprüngliche Selbstverständnis des Rechtsstaats aber, in seinen Gesetzen genügend abstrakte Begriffe verwendet zu haben, um auch solche Themen gleichsam antizipierend mit gelöst zu haben, erweist sich zunehmend als Pyrrhussieg: Schon jetzt sind die feinsinnig gewundenen juristischen Bedenken gegen internationales Cloud Computing so laut geworden, dass ein deutsches Unternehmen sich eigentlich kaum auf dieses Parkett begeben dürfte, obwohl doch die ökonomischen Vorteile so überzeugend erscheinen. In solchen Situationen könnte man versucht sein, sich von der Maxime "Wo kein Kläger, da kein Richter" leiten zu lassen und einfach Fakten zu schaffen. Dann hätte das Recht wieder einmal den Wettlauf gegen die Technik verloren und kann nur nachziehen, nicht vordenken.

Vgl. hierzu auch den Aufsatz "Über den Wolken: Die Rechtsprobleme des Cloud Computing aus der Sicht des auslagernden Unternehmens" von Wagner/Groß unter www.betriebs-berater.de BBL2011-36-I.