Wer übernimmt die Haftung bei Buchhaltung in der Cloud?
Wer Schäden verursacht, ist dem Geschädigten zur Haftung verpflichtet. Im gegenständlichen Leben mag dieser Rechtsgrundsatz einfach zu beweisen sein. Wie sieht es aber mit der Haftung aus, wenn es nicht um Sachen, sondern um Daten geht? Wie wird ein Schaden und dessen Eintreten in diesem Fall definiert? Wer muss ihn vertreten, wer ist Geschädigter, wer Verursacher?
Eine Herausforderung beim Cloud Computing ist, dass in der Regel mehr als nur zwei Parteien involviert sind. Einerseits spielt bei der Datennutzung personenbezogener Daten immer auch der Dateneigentümer eine Rolle. Zum anderen schalten Cloud-Provider oft auch Subunternehmen für die Leistungserbringung ein wie beispielsweise Rechenkapazitäten bei Drittanbietern. Bei der Buchhaltung kommt noch hinzu, dass Steuerunterlagen das deutsche Hoheitsgebiet nicht verlassen dürfen. – Schauen wir uns das doch mal der Reihe nach genauer an.
Haftung aus Vertragsverletzung
Bei Buchhaltung aus der Cloud handelt es sich um sogenannte typengemischte Verträge. Es liegt ein Mietvertrag zur Nutzung einer Software vor. Diese hat bei Vertragsabschluss einen bestimmten Funktionsumfang. Eine Mietsache muss die bei Vertragsabschluss vereinbarten Eigenschaften über die gesamte Laufzeit aufweisen. Bei einem Programmierfehler verliert die Software die vereinbarten Eigenschaften. Daraus kann Ihnen als Nutzer ein Schaden entstehen, für die der Anbieter aufkommen muss.
Bei einer Buchhaltungssoftware aus der Cloud kann ergänzend auch ein Werkvertrag vorliegen. Denn der Anbieter verpflichtet sich in der Regel, alle neuen Gesetze und Verordnungen mit Inkrafttreten in die Anwendung zu integrieren. Bei einem Werkvertrag gilt die Leistung als erbracht, wenn der vereinbarte Erfolg eintritt. Unterbleibt also ein Update rechtzeitig und es entsteht Ihnen daraus ein Schaden, ist der Anbieter schadenersatzpflichtig.
Darüber hinaus können in einem Cloud-Vertrag auch dienstvertragliche Elemente vorkommen. Dies ist vor allem dann der Fall, wenn der Cloud-Provider sich zur Schulung der Kunden und seiner Mitarbeiter verpflichtet. In den überwiegenden Fällen kommt bei Leistungsstörungen dieser drei Arten das Mietvertragsrecht zur Anwendung. Weil aber diese Dienstleistung aus der Wolke noch eine relativ neue Rechtsdisziplin ist, ist die Rechtslage oft unübersichtlich. Dies gilt auch für den Datenschutz, der vor allem im grenzüberschreitenden Datenverkehr bisher wenig einheitliche Rahmenbedingungen vorfindet.
Kostenfreie Checkliste: Rechtsaspekte im Cloud-Computing
Sie möchten nun endlich auch auf Cloud-Computing umsteigen?
Dann wird Sie unsere Checkliste, in der es um die Rechtsaspekte geht, dabei prima unterstützen. Diese relevanten Punkte werden beleuchtet:
- Bestands- und Bedarfserhebung
- Rechtliche Rahmenbedingungen
- Sicherheitsstandards
- Vertragsinhalte
Haftung bei Fehlern in der Auftragsdatenverarbeitung
Komplexer als die Haftung bei Leistungsstörungen im Funktionsumfang sind Haftungsrisiken des Cloud Providers bei der sogenannten Auftragsdatenverarbeitung. Denn immer wenn personenbezogene Daten in der Cloud verarbeitet werden, geht es auch um den Datenschutz der Dateneigentümer. Hinzu kommt, dass viele Cloud-Provider sich weiterer Subunternehmer wie externe Rechenzentren zur Leistungserbringung bedienen.
Die Verarbeitung personenbezogener Daten außerhalb der eigenen IT-Infrastruktur ist an enge Voraussetzungen gebunden, die im Bundesdatenschutzgesetz (BDSG) geregelt sind. Der Nutzer muss auch in der Cloud die Datenhoheit behalten, weil er letztverantwortlich bleibt. Deshalb müssen Sie Ihren Cloud-Provider vertraglich darauf verpflichten, dass er bei der Auftragsdatenverarbeitung die strengen Regeln des Bundesdatenschutzgesetzes (BDSG) einhält. Zudem müssen Sie bei der Auswahl Ihres Cloud-Providers darauf achten, dass dieser mindestens den Datengrundschutz des Bundesamtes für Sicherheit in der Informationswirtschaft (BSI) umsetzt.
Bereits bei der Auswahl des Anbieters sollten Sie sich vergewissern, dass Ihr Provider alle technisch möglichen und organisatorisch erforderlichen Maßnahmen nach der ISO 27001 erfüllt. Diese Industrienorm für Rechenzentren deckt die BSI Empfehlungen ab.
Kommt es trotz aller Sicherungsmaßnahmen zu einem Datenverlust beispielsweise wegen eines fehlerhaften Backups, und tritt der Schaden aufgrund eines Umstandes ein, den der Cloud-Provider zu vertreten hat, ist er Ihnen zur Haftung verpflichtet. Müssen Sie sich aber einen Fehler zurechnen lassen durch Fehlbedienung oder unachtsamen Umgang mit den Daten, stehen Sie eventuell den Dateneigentümern gegenüber in der Haftung.
Wo findet die Datenverarbeitung statt
Eine Grundidee von Software oder Infrastruktur aus der Cloud ist, dass externe Ressourcen grenzüberschreitend auf verschiedenen Servern verarbeitet werden. Wo genau Ihre Daten und insbesondere Ihre Steuerdaten verarbeitet werden, können Sie in der Regel nur schwer nachprüfen. Erschwerend kommt hinzu dass die Verarbeitung personenbezogener Daten grundsätzlich nur innerhalb der EU zulässig ist. Und steuerrelevante Daten müssen zudem immer auf deutschem Hoheitsgebiet lagern.
Sie sollten daher Ihren Cloud-Anbieter darauf vertraglich verpflichten, dass er solche Daten in seiner Cloud auf Servern verarbeitet, die in Deutschland stehen. Tut er dies nicht und erhalten Sie beispielsweise bei einer Betriebsprüfung ein Bußgeld, können Sie Ihren Cloud-Provider dafür haftbar machen, wenn Sie nachweisen können, dass er es Ihnen vertraglich zugesichert hatte.
Fazit
Achten Sie bei der Auswahl einer Buchhaltungssoftware aus der Cloud darauf, dass Ihr Cloud-Provider alle Vorgaben des BDSG erfüllt und nach der ISO 27001 zertifiziert ist. Grundsätzlich bleiben Sie Herr über die Daten und müssen für die datenschutzkonforme Verarbeitung geradestehen.
Je besser Sie alle BDSG-relevanten Auflagen mit Ihrem Cloud-Anbieter vertraglich regeln, desto eher können Sie Haftungsrisiken für Ihr Unternehmen begrenzen und auf den Dienstleister abwälzen. Im Zweifel wird es aber immer um die Klärung gehen, wer einen Datenverlust oder eine Datenschutzverletzung zu verantworten hat.
Unser Spezial „Mit Sicherheit in die Cloud“
Das Thema Cloudtechnologie ist in aller Munde. Die Erleichterungen, die ein flexibler Zugriff auf Informationen, Daten und Dokumente mit sich bringt, ist charmant wie nie – genauso wie die damit einhergehenden Arbeitserleichterungen.
Dennoch muss man sich mit einigen Anforderungen an Datensicherheit und Datenschutz auseinandersetzen. Neben den Haftungsanforderungen beleuchten wir für Sie auch andere wichtige Aspekte: