Nach § 203 StGB zur Verschwiegenheit verpflichtete Personen bzw. Unternehmen („Geheimnisverpflichtete„) können Cloud Computing bislang entweder nur risikofrei auf Basis von Einwilligungserklärungen oder technischen Schutzmaßnahmen (z.B. Verschlüsselung) oder mit von der Rechtsprechung noch nicht anerkannten Methoden wie der „Gehilfenlösung“ nutzen (vgl. Hartung in Hilber (Hrsg.), Handbuch Cloud Computing, Teil 8 Kap. D.).
Der im CRonline Blog bereits vorgestellte Referentenentwurf zur geplanten Änderung von § 203 StGB und berufsrechtlicher Normen (aktueller Stand dieses Gesetzgebungsvorhabens hier im CR-online Gesetzgebungsreport) ist zwar zu begrüßen, beinhaltet aber noch erhebliche Hürden für das Cloud Computing.
Das zeigen inzwischen auch zahlreiche der eingegangenen Stellungnahmen (alle zu finden auf der Seite des BMJV unter „Stellungnahmen“), etwa des GDV oder Bitkom.
Notwendige Änderungen für die Nutzung von Cloud Computing durch Geheimnisverpflichtete
Speziell für die Nutzung von Cloud Computing durch Geheimnisverpflichtete sollten noch folgende Punkte im Gesetz oder der Gesetzesbegründung geändert werden:
- Auswahl und Verpflichtung von Subunternehmern:
Typisch für Cloud Computing ist die Einschaltung von (Ketten von) Subunternehmern durch den Anbieter. Es sollte klargestellt werden, dass und unter welchen Voraussetzungen diese Unterbeauftragungen zulässig sind. Der bisherige Referentenentwurf kann so verstanden werden, dass der Geheimnisverpflichtete die sorgfältige Auswahl und Verpflichtung auf die Verschwiegenheit gegenüber sämtlichen „mitwirkenden Personen“ ausüben muss, d.h. auch gegenüber den Subunternehmern. Es muss ausreichen, wenn dies der Cloud-Anbieter übernimmt.
- Auswahl des Cloud Anbieters:
Beim Cloud Computing schließt der Kunde einen Vertrag regelmäßig nur mit einem anderen Unternehmen. Das bei diesem eingesetzte Personal ist nicht dediziert bestimmten Kunden zugeordnet. Nach § 203 Abs. 4 Nr. 1 StGB-RefE muss der Geheimnisverpflichtete die einzelnen „mitwirkenden Personen“ sorgfältig auswählen, zur Geheimhaltung verpflichten und überwachen. Denn nach deutschem Strafrecht können lediglich natürliche Personen strafbar handeln, nicht jedoch Unternehmen. Für das Cloud Computing würde dies aber eine nahezu unüberwindliche Hürde bilden. Es sollte ausreichen, wenn das Unternehmen des Diensteanbieters sorgfältig ausgewählt, zur Geheimhaltung verpflichtet und überwacht wird.
- „Erforderlichkeit“ von Offenbarungen:
Beim Cloud Computing hat der Anbieter typischerweise weitreichende Zugriffsmöglichkeiten auf viele oder alle der bei ihm gespeicherten Daten seines Kunden. Wegen der Anforderung in § 203 Abs. 3 StGB-RefE, dass Offenbarungen nur zulässig sind, soweit diese „für die ordnungsgemäße Ausübung der Tätigkeit der mitwirkenden Person erforderlich sind“, stellt sich die Frage, ob dies zulässig ist und was der Maßstab für die „Erforderlichkeit“ sein soll.
Wenn etwa eine durch verschiedene Anbieter inzwischen angebotene Verschlüsselung für in Cloud Services gespeicherte Daten verfügbar ist, die einen Zugriff durch den Anbieter (nahezu) vollständig ausschließt, muss diese dann gewählt werden (als „Stand der Technik“)? Oder bewegen sich derartige, für die Erbringung der Dienste technisch erforderlichen Zugriffsrechte im Rahmen der „Erforderlichkeit“ (schließlich haben auch interne IT-Mitarbeiter weitreichende Zugriffsmöglichkeiten)?
- Anwendbarkeit deutschen Strafrechts:
Viele Cloud Anbieter kommen aus dem Ausland. Weder der vorgeschlagene Gesetzestext noch die Begründung für den Referentenentwurf regeln diese Fälle hinreichend deutlich (nur in der geplanten Neuregelung der WPO findet sich hierzu eine Bestimmung). Hier besteht Unsicherheit, weil die Zulässigkeit der Weitergabe an eine mitwirkende Person auf dem Gedanken beruht, dass diese selbst möglicher Straftäter nach § 203 StGB wird und somit ein umfassender „Schutzkreis“ entsteht. Dies würde bei ausländischen mitwirkenden Personen voraussetzen, dass diese dem deutschen Strafrecht unterfallen und nach dieser Norm strafbar sind.
- Versicherungen und ihre IT-Abteilungen:
Die in der Gesetzesbegründung (S. 15) über Versicherungen enthaltene Äußerung, dass diese groß genug sind, um eigene IT-Abteilungen zu beschäftigen, geht an der Realität vorbei und sollte gestrichen werden. Zum einen ist eine Arbeitsteilung in Versicherungs-Konzernen bereits heute Realität (und man setzt somit nicht nur eigenes Personal ein). Außerdem werden manche Lösungen nur als Cloud Service angeboten und selbst bei einem eigenen Betrieb ist häufig der Zugriff des Herstellers im Rahmen einer Wartung unumgänglich.
Fazit
Somit sollte der vorgestellte Referentenentwurf noch deutlich überarbeitet werden, damit er dem heute üblichen Angebot von Cloud Computing Dienstleistungen gerecht wird (viele dieser Aspekte dürften auch beim Outsourcing bzw. allgemeinen IT-Dienstleistungen relevant werden). Allem Vernehmen nach haben diese Kritikpunkte bereits Anklang gefunden und der Referentenentwurf wird derzeit überarbeitet.