Als Geschäftsführer, Selbstständiger oder Gründer nutzen Sie Cloud-Dienste vermutlich täglich – sei es für die Speicherung von Kundendaten, die Zusammenarbeit im Team oder den Betrieb Ihrer IT-Infrastruktur.
Verständlich, denn Cloud-Dienste sind aus dem modernen Geschäftsleben heutzutage nicht mehr wegzudenken.
Von flexiblen Software-as-a-Service-Anwendungen bis zur skalierbaren Cloud-Infrastruktur – die Vorteile für Selbstständige, Start-ups und etablierte Unternehmen sind enorm.
Doch gerade bei der Nutzung von Cloud-Angeboten lauern zahlreiche vertragliche Fallstricke. Unklare Verantwortlichkeiten, versteckte Klauseln oder Lücken bei Datenschutz und Compliance können im Ernstfall zu teuren Haftungsfällen führen.
Unser Praxisleitfaden beleuchtet die wichtigsten rechtlichen Risiken im Zusammenhang mit Cloud-Diensten, zeigt typische Stolperfallen auf und gibt Hinweise, wie sich Unternehmer und Geschäftsführer wirksam absichern können.
Rechtliche Risiken bei der Nutzung von Cloud-Diensten
Vertragsrechtliche Risiken:
Ein zentraler Aspekt sind die Verträge mit dem Cloud-Anbieter. Wenn Leistungsbeschreibungen oder Service Level Agreements (SLA) unklar formuliert sind, entsteht im Streitfall erheblicher Spielraum.
Was passiert zum Beispiel, wenn der Cloud-Service ausfällt oder Daten verloren gehen?
Ohne präzise Regelungen – etwa zur Verfügbarkeit des Dienstes, Reaktionszeiten bei Störungen und zur Haftung – drohen im Ernstfall Betriebsunterbrechungen und Rechtsunsicherheit.
Unternehmen sollten daher kritische Situationen vertraglich absichern, um Risiken zu minimieren und eine faire Risikoverteilung zu gewährleisten. Andernfalls trägt der Kunde möglicherweise allein die Konsequenzen von Leistungsmängeln oder Ausfällen.
IT-rechtliche Besonderheiten:
Cloud Computing wirft auch besondere IT-rechtliche Fragen auf.
Oftmals lassen sich Cloud-Verträge keinem einzigen Vertragstypus im BGB zuordnen – vielmehr handelt es sich um typengemischte Verträge, etwa mit Elementen des Miet-, Dienst- und Werkvertrags.
Das kann Einfluss darauf haben, welche gesetzlichen Gewährleistungsregeln gelten.
Zudem müssen Unternehmen branchenspezifische Vorschriften beachten:
Betreibt ein Cloud-Anbieter z.B. Telekommunikationsdienste, greifen ggf. Regeln des Telekommunikationsgesetzes oder der NIS-Richtlinie zur Netz- und Informationssicherheit.
In regulierten Branchen (z.B. Finanz- oder Gesundheitswesen) können zusätzliche Compliance-Anforderungen bestehen, die vertraglich umgesetzt werden müssen.
Geheimnisschutz und Geschäftsgeheimnisse spielen ebenfalls eine Rolle – sensible Unternehmensdaten in der Cloud müssen vor unbefugtem Zugriff geschützt sein, um Verstöße gegen das Geschäftsgeheimnisgesetz (GeschGehG) zu vermeiden.
All diese Aspekte sollten in einer umfassenden Vertragsgestaltung berücksichtigt werden, damit Klarheit darüber besteht, welche Rechte und Pflichten beide Seiten treffen.
Datenschutzrechtliche Risiken:
Besonders hoch sind die Anforderungen beim Datenschutz.
Cloud-Dienste bedeuten oft, dass personenbezogene Daten auf fremden Servern verarbeitet werden.
Unternehmen bleiben aber Verantwortliche im Sinne der DSGVO – der Cloud-Anbieter ist lediglich Auftragsverarbeiter!
Kommt es hier zu Verstößen, drohen erhebliche Bußgelder nach der DSGVO und Schadensersatzansprüche. Ein Verstoß gegen Art. 28 DSGVO – z.B. wenn kein Auftragsverarbeitungsvertrag (AVV) mit dem Cloud-Anbieter geschlossen wurde – kann allein schon ein Bußgeld begründen.
Zudem sind internationale Datentransfers heikel: Werden personenbezogene Daten außerhalb der EU verarbeitet (etwa bei US-Cloud-Anbietern), muss ein angemessenes Schutzniveau sichergestellt sein. Nach dem Wegfall des Privacy Shield-Abkommens schreibt die DSGVO den Einsatz von Standardvertragsklauseln oder vergleichbarer Garantien vor, um den Datentransfer rechtlich abzusichern. So entschied etwa das Verwaltungsgericht Wiesbaden 2023, dass eine deutsche Behörde ihre Daten nicht auf US-Servern speichern dürfe, da dies nicht DSGVO-konform sei. Solche Konflikte können auch Unternehmen treffen, wenn Cloud-Anbieter keine ausreichenden Datenschutzgarantien bieten. Hier besteht ein echtes Compliance-Risiko.
Compliance und Aufsichtspflichten:
Schließlich dürfen Compliance-Aspekte nicht übersehen werden.
Die Geschäftsführung hat die Pflicht, für die Einhaltung aller relevanten Gesetze im Unternehmen zu sorgen – dazu zählt auch die datenschutzkonforme Nutzung von Cloud-Services.
Kommt es zu Verstößen (z.B. Datenschutzverletzungen oder IT-Sicherheitsmängeln), können Behörden empfindliche Strafen verhängen. In einigen Branchen (z.B. kritische Infrastrukturen) verlangen Aufsichtsbehörden sogar, dass Cloud-Auslagerungen vorab genehmigt oder angezeigt werden.
Fehlt es an internen Richtlinien zur Cloud-Nutzung, Schulungen der Mitarbeiter oder regelmäßigen Überprüfungen der Datensicherheit, bewegt man sich in einer Grauzone. Die Risiken reichen von Reputationsschäden bis zu existenzgefährdenden Sanktionen.
Es gilt daher der Grundsatz: Vor der Cloud-Nutzung sollten alle rechtlichen Rahmenbedingungen geprüft und nötige Sicherheitsvorkehrungen getroffen werden.
„Vertrauen ist gut – Kontrolle ist besser. Unternehmen sollten Cloud-Dienste niemals ohne klare vertragliche Regeln und Datenschutzmaßnahmen nutzen“
Persönliche Haftungsrisiken für Geschäftsführer und Einzelunternehmer
Ein kritischer Punkt für Entscheider ist die persönliche Haftung.
Viele Geschäftsführer gehen noch immer davon aus, dass bei Datenschutzverstößen oder anderen Compliance-Problemen lediglich das Unternehmen haftet.
Doch dieses Sicherheitsgefühl trügt.
Aktuelle Gerichtsurteile deuten auf eine Verschärfung der persönlichen Haftung hin: So hat das OLG Dresden jüngst entschieden, dass Geschäftsführer einer GmbH bei Datenschutzverstößen als Verantwortliche im Sinne der DSGVO gelten und somit persönlich in Anspruch genommen werden können.
Im konkreten Fall wurde ein Vorstand für den unrechtmäßigen Umgang mit personenbezogenen Daten neben dem Unternehmen selbst auf Schadensersatz verklagt – mit Erfolg.
Die Richter stellten klar, dass die Geschäftsführung neben der juristischen Person haftet, wenn sie über die Mittel und Zwecke der Datenverarbeitung entscheidet.
Diese Rechtsprechung markiert einen Paradigmenwechsel: War es früher üblich, bei Datenschutzverstößen nur das Unternehmen zu belangen, so zeichnet sich nun ab, dass zunehmend Geschäftsführer in Person als Gesamtschuldner herangezogen werden.
Für Einzelunternehmer und Freiberufler ist die Lage ohnehin eindeutig – sie haften immer mit ihrem Privatvermögen, da keine haftungsbeschränkte Gesellschaft zwischengeschaltet ist.
Aber auch GmbH-Geschäftsführer, Vorstände einer AG oder Vereinsvorstände müssen dieses Haftungsrisiko ernst nehmen!
Grundlage in Deutschland ist etwa § 43 Abs. 2 GmbHG, wonach Geschäftsführer für Pflichtverletzungen gegenüber der Gesellschaft haften.
Neu ist, dass diese Haftung nun auch explizit für Datenschutzverstöße bejaht wird.
Die Konsequenz: „Unwissenheit schützt vor Strafe nicht“ – so bringt es Rechtsanwalt Marcel Wetzel auf den Punkt.
Führungskräfte können sich nicht darauf berufen, von allem nichts gewusst zu haben. Sie müssen aktiv dafür sorgen, dass ihr Unternehmen datenschutzkonform handelt, und diese Anstrengungen im Zweifel auch dokumentieren können.
„Geschäftsführer sollten spätestens jetzt ein ureigenes Interesse daran haben, alle datenschutzrechtlichen Vorgaben einzuhalten – Unwissenheit schützt vor Strafe nicht.“
Die persönlichen Haftungsrisiken zeigen sich insbesondere bei Datenschutzverstößen, können aber auch bei Verstößen gegen andere Rechtsbereiche auftreten.
Beispielsweise kann die Verletzung von Aufsichtspflichten im IT-Bereich (etwa wenn trotz bekannter Sicherheitslücken nichts unternommen wird und es zum Schaden kommt) unter Umständen zu einer persönlichen Verantwortlichkeit führen.
Für Entscheider bedeutet das: Compliance ist Chefsache.
Jeder Geschäftsführer und Unternehmer tut gut daran, die Cloud-Nutzung seines Betriebs im Blick zu haben, Risiken regelmäßig evaluieren zu lassen und im Zweifel rechtlichen Rat einzuholen.
Gegebenenfalls sollte auch geprüft werden, ob eine D&O-Versicherung (Manager-Haftpflicht) solche Szenarien abdeckt – viele Policen schließen jedoch vorsätzlich begangene Compliance-Verstöße aus. Daher steht an erster Stelle die vorbeugende Risikominimierung durch rechtssichere Verträge und aktive Datenschutz-Compliance im Unternehmen.
Mehr dazu hier:
Private Haftungsrisiken in Unternehmen – Wie Sie sich als Geschäftsführer schützen können
Haftung der Geschäftsführung in GmbHs: Risiken erkennen und rechtlich absichern
Persönliche Haftung der Geschäftsführer bei Datenschutzverstößen
Wichtige Verträge und Vertragsarten bei Cloud-Diensten
Bei der Cloud-Nutzung kommen meist mehrere Vertragsdokumente ins Spiel.
Entscheider sollten die wichtigsten Vertragsarten kennen und darauf achten, dass diese vollständig und zu ihrem Vorteil gestaltet sind:
Rahmenvertrag / Hauptvertrag:
Häufig wird die Geschäftsbeziehung zu einem Cloud-Anbieter durch einen Rahmenvertrag oder die allgemeinen Geschäftsbedingungen (AGB) des Anbieters geregelt. Darin finden sich Grundsatzregelungen zur Leistung, Vertragsdauer, Kündigung, Haftung, Gerichtsstand etc. Wichtig ist, dass der Vertrag klar und verständlich formuliert ist und keine überraschenden oder einseitig benachteiligenden Klauseln enthält. In der Praxis legen große Cloud-Provider ihre AGB vor, an denen kaum gerüttelt werden kann. Dennoch sollten Unternehmen kritisch prüfen, ob z.B. das anwendbare Recht akzeptabel ist, welche Kündigungsfristen gelten und ob der Anbieter sich weitgehende Änderungsvorbehalte einräumt (viele Provider behalten sich vor, ihre Dienste oder Bedingungen einseitig zu ändern). Falls nötig, sollten ungünstige Klauseln nachverhandelt oder zumindest intern kompensierende Maßnahmen (etwa häufige Datensicherungen bei drohender Vertragsbeendigung) getroffen werden.
Leistungsbeschreibung und SLA:
Ein zentraler Bestandteil ist die Leistungsbeschreibung des Cloud-Dienstes, oft kombiniert mit einem Service Level Agreement (SLA). Darin wird exakt festgehalten, welche Dienste der Anbieter liefert und in welcher Qualität. Typische Inhalte eines SLA sind Vereinbarungen zur Verfügbarkeit (z.B. 99,5 % Uptime pro Jahr), zur Performance (Antwortzeiten der Anwendung) und zum Support (Reaktionszeiten bei Störungsmeldungen). Ebenso können Wartungsfenster, Backup-Intervalle oder Skalierungsoptionen geregelt sein. Unternehmen sollten darauf achten, dass das SLA ihren Anforderungen entspricht. Fallstrick: Manche SLAs sehen zwar hohe Verfügbarkeiten vor, knüpfen aber an Verstoß gegen diese kaum spürbare Konsequenzen – etwa lediglich eine Gutschrift von Nutzungskosten für die Ausfallzeit. Ist der mögliche Schaden bei einem Totalausfall jedoch viel höher (z.B. entgangener Umsatz), sollten härtere Vertragsstrafen oder Kündigungsrechte vereinbart werden. Außerdem muss klar sein, wie Ausfälle gemessen und nachgewiesen werden. Im Idealfall enthält das SLA auch Sanktionsmechanismen, die greifen, wenn der Anbieter die zugesicherten Leistungen nicht einhält. Ohne solche Regelungen bleibt der Kunde im Ernstfall oft machtlos.
Auftragsverarbeitungsvertrag (AVV):
Sofern personenbezogene Daten in der Cloud verarbeitet werden – was fast immer der Fall ist, z.B. schon bei Mitarbeiter- oder Kundendaten – ist ein schriftlicher Auftragsverarbeitungsvertrag nach Art. 28 DSGVO Pflicht. Dieser Vertrag regelt die Datenschutz-Beziehung zwischen dem Verantwortlichen (Kunde) und dem Auftragsverarbeiter (Cloud-Anbieter). Darin muss der Anbieter sich verpflichten, die Daten nur im Rahmen der Weisungen des Kunden zu verarbeiten und angemessene technische und organisatorische Maßnahmen zum Schutz der Daten umzusetzen. Wichtige Punkte eines AVV sind u.a.: Gegenstand und Dauer der Verarbeitung, Art der Daten und Kategorien betroffener Personen, Pflichten des Anbieters (Vertraulichkeit, Datensicherheit, Meldung von Datenschutzvorfällen binnen enger Fristen) sowie die Unterauftragsverhältnisse (darf der Cloud-Anbieter Subdienstleister einsetzen, und wenn ja, unter welchen Bedingungen?). Es ist unerlässlich, dass dieser Vertrag vollständig und korrekt aufgesetzt wird. Ein häufiger Fallstrick ist, dass Unternehmen standardisierte Cloud-Services nutzen, ohne je einen AVV mit dem Anbieter abgeschlossen zu haben – ein klarer DSGVO-Verstoß, der Bußgelder nach sich ziehen kann. Oder der Anbieter stellt zwar einen “Data Processing Addendum” zur Verfügung, dieser erfüllt aber nicht vollständig die Anforderungen (z.B. fehlen detaillierte Anhänge zu Sicherheitsmaßnahmen oder es werden dem Kunden nur eingeschränkte Prüfrechte eingeräumt). Daher sollte jeder AVV sorgfältig geprüft und bei Bedarf ergänzt werden. Tipp: Achten Sie insbesondere darauf, dass der Anbieter alle Unterauftragsverarbeiter offenlegt und diese ebenfalls DSGVO-konform verpflichtet. Zudem sollte geregelt sein, was mit den Daten nach Vertragsende geschieht – nämlich Löschung oder Rückgabe.
Nutzungsbedingungen und AGB-Klauseln:
Neben dem Hauptvertrag und speziellen Anlagen (SLA, AVV) gelten oft allgemeine Nutzungsbedingungen des Cloud-Providers. Darin finden sich beispielsweise Regeln zur zulässigen Nutzung (Acceptable Use Policy – AUP), Beschränkungen hinsichtlich der Inhalte (kein illegaler Content, kein Spam-Versand etc.), Rechte des Anbieters bei Vertragsverletzungen (z.B. Sperrung des Accounts) und Haftungsausschlüsse. Diese Klauseln sind häufig standardisiert und vom Kunden kaum beeinflussbar. Dennoch sollten Unternehmen sie genau lesen. Insbesondere Haftungsklauseln sind kritisch: Viele Anbieter schließen die Haftung für Datenverluste oder indirekte Schäden weitgehend aus. Zwar sind in B2B-Konstellationen solche Haftungsbegrenzungen bis zu einem gewissen Grad zulässig, jedoch dürfen sie nicht gegen zwingendes Recht verstoßen oder den Vertragspartner überraschend benachteiligen. In Verbraucherverträgen wären Klauseln, die gesetzliche Gewährleistungsrechte einschränken, ohnehin unwirksam. Für geschäftliche Nutzer heißt das: Auch wenn die AGB nicht verhandelbar sind, sollte man sich der enthaltenen Risiken bewusst sein. Gegebenenfalls kann man diese durch zusätzliche Vereinbarungen abmildern. Beispiel: Ist in den AGB die Haftung des Anbieters auf einen geringen Betrag X begrenzt, könnte der Kunde eigene Versicherungen abschließen, um das Restrisiko abzudecken, oder technische Maßnahmen treffen, um Schäden vorzubeugen (etwa regelmäßige Datensicherungen, redundante Systeme etc.).
Zusammenfassend gilt:
Alle relevanten Vertragsdokumente sollten aufeinander abgestimmt und lückenlos sein.
Eine sorgfältige Vertragsgestaltung umfasst die klare Definition der Leistung, Zusagen zu Service-Levels, umfassende Datenschutzvereinbarungen, ausgewogene Haftungsregeln und praxisgerechte Klauseln zu Kündigung und Ausstieg. Falls Sie hierbei Unterstützung benötigen, ist fachkundiger Rat unerlässlich.
„Wir stellen sicher, dass in Cloud-Verträgen alle kritischen Punkte abgedeckt sind – von der Verfügbarkeit über Sicherheitsstandards bis zur Haftung. Nur so lassen sich böse Überraschungen vermeiden.“
Wie Kanzlei Marcel Wetzel Sie bei Cloud-Verträgen unterstützt
Die Gestaltung und Prüfung von Cloud-Verträgen erfordert spezialisierte Expertise an der Schnittstelle von IT und Recht.
Rechtsanwalt Marcel Wetzel und sein Team verfügen über jahrelange Erfahrung in den Bereichen Vertragsrecht, IT-Recht, Datenschutzrecht und Compliance. Die Kanzlei hat bereits zahlreiche Unternehmen – vom Start-up bis zum Mittelständler – sowie Einzelunternehmer erfolgreich dabei begleitet, Cloud-Dienste rechtssicher zu nutzen.
Ihr Vorteil: Sie erhalten eine praxisnahe, auf Ihr Geschäftsmodell zugeschnittene juristische Beratung, die Risiken minimiert und Ihnen zugleich die Chancen der Cloud eröffnet.
Das Leistungsangebot der Kanzlei Wetzel im Bereich Cloud-Verträge ist umfassend:
Vertragsanalyse und -erstellung:
Bestehende Verträge mit Cloud-Anbietern werden sorgfältig auf Schwachstellen geprüft. Häufig finden wir dabei unklare Haftungsregelungen, fehlende Datenschutzklauseln oder lückenhafte SLA-Vereinbarungen. Auf Basis dieser Analyse erstellen wir für unsere Mandanten individuell angepasste Verträge oder Vertragsnachträge. Schwerpunkte sind dabei Datenschutz, Verfügbarkeit, SLAs und Exit-Strategien. So stellen wir sicher, dass Ihre Kerninteressen klar formuliert und geschützt sind. Auch die Datenlokalisierung (also die Frage, wo die Daten gespeichert werden dürfen) wird eindeutig geregelt.
Auftragsverarbeitungsverträge (AVV) und Compliance:
Wir unterstützen Sie bei der Erstellung von wasserdichten Auftragsverarbeitungsverträgen, die alle Vorgaben der DSGVO erfüllen. Gerade beim Datenschutz kommt es auf jedes Detail an: Welche Sicherheitsmaßnahmen trifft der Anbieter? Wie wird mit Subunternehmern verfahren? Werden Backup-Lösungen korrekt eingebunden? – Was oft übersehen wird: Auch Backups und Unterauftragsverhältnisse des Cloud-Providers müssen vertraglich berücksichtigt werden. Unsere Kanzlei sorgt dafür, dass Ihr AVV nicht nur juristisch korrekt, sondern auch praktisch handhabbar ist. Zudem begleiten wir Sie bei Bedarf durch Privacy Impact Assessments oder Abstimmungen mit Ihrem Datenschutzbeauftragten, um die Cloud-Nutzung sauber in Ihr Datenschutzkonzept einzubetten.
Verhandlungsunterstützung:
Bei größeren Cloud-Projekten kann es sinnvoll sein, individuelle Vertragskonditionen auszuhandeln. Wir vertreten Ihre Interessen gegenüber dem Cloud-Anbieter – sei es bei der Due-Diligence-Prüfung eines neuen Providers oder in Vertragsverhandlungen mit Branchengrößen. Beispielsweise konnten wir für Mandanten bereits erreichen, dass ein US-Cloud-Anbieter auf die Geltung deutschen Rechts und Gerichtsstands eingeht oder dass erweiterte Prüfrechte in den Vertrag aufgenommen wurden. Unsere Erfahrung zeigt: Mit fundierten Argumenten lassen sich selbst bei großen Anbietern oft Zugeständnisse erzielen.
Laufende Betreuung und Updates:
Cloud-Recht ist dynamisch. Wir behalten für Sie gesetzliche Neuerungen und Gerichtsentscheidungen im Blick (z.B. Schrems-II-Entscheidung zum Datentransfer in die USA, neue Standardvertragsklauseln, Änderungen im Telekommunikationsrecht oder neue BSI-Anforderungen). Sollten sich Änderungen ergeben, die Ihre Verträge oder die Compliance betreffen, informieren wir Sie proaktiv und schlagen Optimierungen vor. So sind Ihre Verträge immer auf dem aktuellen Stand und Ihr Unternehmen bleibt rechtssicher aufgestellt.
Die Kanzlei Wetzel legt dabei großen Wert auf praxisgerechte Lösungen.
Wir wissen aus Erfahrung, dass juristische Theorie im Tagesgeschäft der Mandanten nur bedingt hilft.
Daher lautet das Motto: Verträge so gestalten, dass sie im Ernstfall halten, aber den laufenden Betrieb nicht behindern.
Durch unsere Unterstützung können Sie sich auf Ihr Kerngeschäft konzentrieren, während wir im Hintergrund dafür sorgen, dass Ihre Cloud-Vereinbarungen wasserdicht sind.
„Cloud Computing bietet enorme Chancen – wir sorgen dafür, dass unsere Mandanten diese Chancen ohne rechtliches Risiko nutzen können.“
So sichern sich Unternehmer und Entscheider rechtlich ab
Angesichts der geschilderten Risiken stellt sich die Frage: Was können Unternehmen konkret tun, um sich bestmöglich abzusichern?
Nachfolgend einige praxisbewährte Maßnahmen, die Geschäftsführer und Entscheider umsetzen sollten:
Gründliche Anbieterauswahl und Due Diligence:
Bevor Sie einen Cloud-Dienst buchen, prüfen Sie den Anbieter eingehend. Recherchieren Sie dessen Ruf, holen Sie Referenzen ein und lesen Sie Erfahrungsberichte. Wichtig ist auch die finanzielle Stabilität – schließlich möchten Sie keinen Dienstleister, der in Insolvenz gehen könnte, während Ihre Daten bei ihm liegen. Achten Sie zudem auf Zertifizierungen und Sicherheitsstandards: Renommierte Cloud-Anbieter lassen sich nach ISO 27001 zertifizieren oder verfügen über Gütesiegel wie den BSI C5-Katalog. Ein zertifizierter Anbieter ist kein Garant für Perfektion, aber ein guter Indikator dafür, dass bestimmte Mindeststandards erfüllt sind.
Anforderungsprofil und Strategie festlegen:
Machen Sie sich intern klar, welche Anforderungen der Cloud-Dienst erfüllen muss. Welche Daten wollen Sie in die Cloud geben? Welche Verfügbarkeiten brauchen Sie? Gibt es Performance-Vorgaben? Binden Sie Ihre IT-Abteilung und den Datenschutzbeauftragten frühzeitig ein, um alle technischen und Sicherheitsanforderungen zu erfassen. Oft werden Cloud-Entscheidungen vorschnell getroffen und erst später merkt man, dass z.B. sensible Daten betroffen sind oder Integrationsprobleme bestehen. Definieren Sie auch eine Cloud-Strategie: Welche Workloads sollen in die Cloud, welche bleiben besser on-premise? So vermeiden Sie Fehlentscheidungen und können mit dem Anbieter auf Augenhöhe über passgenaue Lösungen sprechen.
Lückenlose Vertragsdokumentation:
Sorgen Sie dafür, dass alle erforderlichen Verträge schriftlich vorliegen. Verlassen Sie sich nicht auf mündliche Zusagen oder Marketingbroschüren. Jedes Detail – seien es Antwortzeiten bei Supportfällen, Regelungen zur Datenherausgabe bei Vertragsende oder Haftungsfragen – gehört in den Vertrag. Was nicht schriftlich fixiert ist, kann im Zweifel nicht eingefordert werden. Daher: Verträge vollständig dokumentieren und ordentlich archivieren. Führen Sie am besten eine Liste aller Cloud-Dienste, die Ihr Unternehmen nutzt, und der jeweiligen Verträge/AVVs dazu. So behalten Sie den Überblick.
Rechtliche Prüfung durch Experten:
Lassen Sie wichtige Cloud-Verträge juristisch prüfen, idealerweise bevor Sie sie unterschreiben. Viele Fallstricke erkennt ein Laie nicht auf den ersten Blick – ein im IT-Recht versierter Anwalt hingegen schon. Er kann Ihnen sagen, wo Klauseln nachverhandelt werden sollten oder welche Risiken Sie durch Gegenmaßnahmen abfedern können. Insbesondere Standard-AGB großer Anbieter enthalten teils Formulierungen, die für deutsche Mittelständler ungewohnt sind (etwa vollständige Haftungsfreistellungen oder US-typische Gewährleistungsausschlüsse). Eine einmalige Vertragsprüfung ist eine sinnvolle Investition, die teure Streitigkeiten oder Ausfälle verhindern kann. Die Kanzlei Wetzel bietet hier z.B. fixe Vertrags-Check-Pakete an, um schnell und kostentransparent ein Risikobild zu erhalten.
Interne Richtlinien und Zugriffsmanagement:
Technische Sicherheit und rechtliche Absicherung gehen Hand in Hand. Stellen Sie sicher, dass in Ihrem Unternehmen klare Richtlinien zur Cloud-Nutzung bestehen. Wer darf welche Daten in die Cloud laden? Welche Sicherheitsmaßnahmen sind dabei einzuhalten (z.B. Verschlüsselung, Verwendung starker Passwörter, Zwei-Faktor-Authentifizierung)? Schulen Sie Ihre Mitarbeiter regelmäßig zu Themen wie Sicherer Umgang mit Passwörtern, Social Engineering und Konfigurationsfehlern. Viele Cloud-Vorfälle entstehen durch menschliche Fehler – etwa eine falsch konfigurierte Datenbank, die plötzlich öffentlich im Internet steht. Durch Schulung und klare Verantwortlichkeiten (z.B. Admin-Rollen nur für geschultes Personal) reduzieren Sie dieses Risiko erheblich.
Datenschutz im Tagesgeschäft verankern:
Neben dem AV-Vertrag auf dem Papier muss auch praktisch die Datenschutz-Compliance gewährleistet sein. Führen Sie ein Verzeichnis von Verarbeitungstätigkeiten, in dem Cloud-Dienste mit personenbezogenen Daten aufgeführt sind. Prüfen Sie, ob für die Nutzung bestimmter Cloud-Services eine Datenschutz-Folgenabschätzung (DSFA) nötig ist – etwa wenn besonders sensible Daten (Gesundheitsdaten, große Mengen an Kundenprofilen etc.) verarbeitet werden. Überwachen Sie laufend, dass der Cloud-Anbieter seine Pflichten einhält: Fordern Sie jährliche Sicherheitsaudits oder Zertifikatsnachweise an. Viele große Anbieter stellen sogenannte Compliance-Berichte bereit (z.B. SOC2-Reports), die Sie einsehen können. Nutzen Sie dieses Recht. Letztlich bleibt Ihr Unternehmen verantwortlich, dass die Daten datenschutzkonform verarbeitet werden. Weisen Sie also intern jemandem die Aufgabe zu, diese Anbieter-Compliance zu überwachen (Datenschutzbeauftragter oder IT-Sicherheitsbeauftragter).
Notfallpläne und Exit-Strategie: Planen Sie den Ernstfall.
Was ist, wenn der Cloud-Dienst morgen nicht mehr erreichbar ist? Haben Sie ein Backup aller kritischen Daten an einem anderen Ort? Gibt es alternative Systeme, auf die Sie ausweichen können? Erarbeiten Sie einen Notfallplan für Cloud-Ausfälle. Dieser sollte auch mit dem Cloud-Anbieter abgestimmt sein – manche Anbieter bieten z.B. gegen Aufpreis redundante Systeme oder Disaster-Recovery-Lösungen an. Legen Sie zudem frühzeitig Ihre Exit-Strategie fest: Wie kommen Sie aus dem Vertrag heraus, falls der Service nicht mehr passt? Lassen sich die Daten in einem gängigen Format exportieren? Denken Sie daran, dass Datenportabilität wichtig ist, um nicht in der Falle eines bestimmten Anbieters zu stecken (Vendor Lock-in). Vertraglich kann man etwa vereinbaren, dass der Anbieter beim Vertragsende noch für einen gewissen Zeitraum bei der Datenmigration mitwirkt oder die Daten auf Wunsch herausgibt, bevor er sie löscht. Wenn solche Regelungen fehlen, steht man beim Wechsel des Anbieters schnell unter Druck.
Laufende Aktualisierung:
Überprüfen Sie Ihre Cloud-Strategie und Verträge regelmäßig. Technologie und Gesetzgebung entwickeln sich weiter. Was vor drei Jahren noch State of the Art war, kann heute überholt sein. Vielleicht kommen neue gesetzliche Anforderungen (wie die NIS2-Richtlinie der EU) hinzu, oder der Anbieter ändert seine AGB. Bleiben Sie informiert – abonnieren Sie z.B. Newsletter zu IT-Recht-Themen oder lassen Sie sich von Ihrem Anwalt updaten. Halten Sie auch Ihre Verträge aktuell. Wenn Ihr Nutzungsszenario sich ändert (z.B. speichern Sie plötzlich Kundendaten in der Cloud, was zuvor nicht der Fall war), muss ggf. der AVV angepasst werden. Kurz: Cloud-Compliance ist ein fortlaufender Prozess, kein einmaliges Projekt.
Wer diese Schritte beachtet, schafft die Grundlage für eine rechtssichere und erfolgreiche Cloud-Nutzung.
Natürlich lassen sich nie alle Eventualitäten zu 100 % ausschließen – aber das Risiko lässt sich auf ein kalkulierbares Maß reduzieren.
Im Ergebnis gewinnen Sie die Freiheit, die Vorteile der Cloud-Technologie zu nutzen, ohne permanent rechtliche Fallstricke fürchten zu müssen.
„Gehen Sie bei Cloud-Projekten auf Nummer sicher. Wählen Sie nach Möglichkeit europäische Anbieter mit Zertifizierung, planen Sie den Ausstieg mit ein und treffen Sie frühzeitig technische und organisatorische Sicherheitsvorkehrungen!“
Typische Fallstricke bei Cloud-Verträgen
Trotz guter Vorbereitung gibt es einige Klassiker unter den Stolperfallen, die in der Praxis immer wieder auftreten.
Hier eine Auswahl typischer Fallstricke und wie Sie ihnen begegnen können:
Unklare Haftungsregelungen:
Wie bereits erwähnt, versuchen viele Cloud-Anbieter ihre Haftung stark zu begrenzen.
Ein häufiger Fallstrick sind Klauseln, die den Anbieter für Datenverlust oder Sicherheitsvorfälle nahezu komplett freistellen. Gerät Ihr Unternehmen dadurch in Schwierigkeiten (z.B. Verlust wichtiger Kundendaten oder lange Ausfallzeiten), bleiben Sie womöglich auf dem Schaden sitzen.
Abhilfe: bereits im Vertrag zumindest eine Grundhaftung festschreiben. Zumindest für Fälle grober Fahrlässigkeit oder vorsätzlicher Pflichtverletzung sollte der Anbieter voll haften müssen – das entspricht auch dem gesetzlichen Leitbild.
Achten Sie außerdem darauf, dass in Haftungsklauseln keine Hidden Champions stecken, wie etwa Haftungsausschlüsse für bestimmte Datenarten. Wenn Sie etwa ein Online-Shop sind, würde eine Klausel „Haftung für entgangenen Gewinn ausgeschlossen“ im Ernstfall bedeuten, dass Sie beim Ausfall Ihres Shops keine Kompensation für Umsatzeinbußen erhalten.
Tipp: Identifizieren Sie Ihre größten Risiken (z.B. Nichtverfügbarkeit, Datenleak) und prüfen Sie, ob der Vertrag dafür angemessene Lösungen bietet.
Fehlender oder mangelhafter Auftragsverarbeitungsvertrag:
Ein AV-Vertrag ist nicht nur Pflicht, sondern auch Ihr wichtigstes Instrument, um den Cloud-Anbieter auf Datenschutz zu verpflichten.
Fehlt dieser Vertrag, liegt ein DSGVO-Verstoß vor – abgesehen von Bußgeldern ist dann aber vor allem unklar, wie der Anbieter mit Ihren Daten umgeht. Ähnlich problematisch ist ein AVV, der unvollständig ist.
Typischer Fallstrick: Der Cloud-Anbieter verspricht im Marketing höchste Sicherheit, aber im Vertrag fehlen konkrete Angaben zu technischen und organisatorischen Maßnahmen (TOM). Oder der Anbieter behält sich das Recht vor, Daten in andere Länder zu transferieren, ohne Rücksprache.
Entdecken Sie solche Lücken, sollten Sie nachbessern: Fordern Sie eine Aufstellung der Sicherheitsmaßnahmen (Verschlüsselung, Zugriffskontrollen etc.) und lassen Sie sich Subunternehmer-Einsätze genehmigen. Denken Sie daran: Die Verantwortung bleibt letztlich bei Ihnen als Auftraggeber – Sie müssen sicherstellen, dass die Daten rechtskonform verarbeitet werden. Der AVV ist der Ort, an dem Sie diese Pflichten delegieren und kontrollieren.
Mangelnde Regelung von Verantwortlichkeiten:
Cloud bedeutet Kooperation – der Anbieter stellt Infrastruktur oder Software, aber Ihr Unternehmen nutzt sie eigenverantwortlich.
Dabei gibt es eine geteilte Verantwortung: Der Provider kümmert sich etwa um die physische Sicherheit der Rechenzentren und die Server-Verfügbarkeit, Sie als Kunde sind z.B. für die Vergabe von Benutzerrechten oder die Datenqualität zuständig. Gefährlich wird es, wenn die Abgrenzung dieser Verantwortungsbereiche im Vertrag nicht eindeutig festgelegt ist. Dann können wichtige Sicherheitsmaßnahmen „durchrutschen“, weil sich keiner zuständig fühlt.
Beispiel: Wer ist dafür verantwortlich, regelmäßige Software-Updates einzuspielen?
In klassischen On-Premise-Verträgen klar der Kunde – in Cloud-Umgebungen oft der Anbieter. Aber wenn es Infrastructure-as-a-Service ist (also nur virtuelle Maschinen), liegt die Patch-Pflicht eventuell wieder beim Kunden. Lösung: Lassen Sie im Vertrag aufnehmen, wer welche Pflichten übernimmt.
Empfehlenswert ist hier oft ein Verantwortlichkeits-Diagramm oder eine Tabelle, die darlegt: „Für Maßnahme X ist Kunde verantwortlich, für Maßnahme Y Anbieter.“ So werden keine Aspekte vergessen. Ist dies nicht gemacht worden, besteht die Gefahr, dass Sicherheitslücken bleiben und später keiner dafür geradestehen will.
Keine Regelung zu Verfügbarkeit und Wartung:
Wenn im Vertrag keine klaren SLA-Vereinbarungen stehen, gibt es de facto keine Garantie, dass der Dienst ständig läuft.
Der Anbieter könnte theoretisch öfter offline gehen, ohne vertragliche Konsequenz.
Auch Wartungsarbeiten können problematisch werden, wenn Zeiten nicht abgestimmt sind – etwa ein europäischer Kunde erlebt mitten am Tag Ausfälle, weil der US-Anbieter nachts (nach seiner Zeit) Wartung macht. Achten Sie also darauf, dass der Vertrag Mindestverfügbarkeiten definiert und auch Wartungsfenster vorgibt oder zumindest ankündigungspflichtig macht. Fehlt das, drohen ungeplante Downtimes, die Ihr Geschäft stören.
Einseitige Änderungsvorbehalte:
Viele Cloud-Verträge enthalten Klauseln, die dem Anbieter erlauben, einseitig Leistungen oder Bedingungen zu ändern.
Das ist insofern verständlich, als Cloud-Services sich weiterentwickeln. Doch wenn diese Klauseln zu weit gefasst sind, kann es passieren, dass der Dienstleistungsumfang schleichend reduziert wird oder Preise erhöht werden, ohne dass Sie zustimmen.
Ein Beispiel ist die Änderung der Nutzungsbedingungen ohne Benachrichtigung.
Achten Sie daher auf Formulierungen, die Ihnen zumindest Informationsrechte oder Sonderkündigungsrechte einräumen, falls sich Wesentliches ändert. Verträge sollten idealerweise vorsehen, dass materielle Vertragsänderungen Ihrer Zustimmung bedürfen.
Andernfalls gilt: Behalten Sie solche Änderungen selbst im Blick. (Setzen Sie Lesezeichen auf die „Änderungen“-Webseite des Anbieters oder abonnieren Sie Release-Notes.) Der häufige einseitige Wechsel von Bedingungen ist ein bekanntes Risiko im Cloud-Bereich.
Unsichere Rechtswahl und Gerichtsstand:
Globale Cloud-Anbieter setzen oft auf ihr Heimatlandrecht im Vertrag (z.B. US-Recht, englisches Recht) und vereinbaren Gerichtsstände in fernen Ländern.
Das bedeutet für Sie: Im Streitfall müssten Sie im Ausland klagen, nach fremdem Recht – was enorme Hürden mit sich bringt.
Zwar kann man versuchen, solche Klauseln zu ändern, aber nicht immer ist das erfolgreich. Als Fallstrick sollte man es aber zumindest erkennen: Wenn Sie einen Gerichtsstand im Ausland akzeptieren, kalkulieren Sie die Risiken ein. Vielleicht lohnt es sich, dennoch einen Anbieter mit lokalen Vertragsbedingungen zu wählen.
Hinweis: In vielen Fällen, in denen der Cloud-Anbieter einen Standort in der EU hat, können Sie trotzdem in Ihrem Land klagen (EU-Verbraucherrecht oder auch im B2B über das Gerichtsstandsübereinkommen) – die Details sind komplex. Sicherer ist es, vertraglich gleich deutsches Recht und Gerichtsstand Deutschland zu vereinbaren, wo möglich.
Keine Vorsorge für Insolvenz oder Datenverlust:
Ein seltener, aber katastrophaler Fall: Der Cloud-Provider geht insolvent oder stellt den Betrieb ein.
Wenn hier vertraglich nichts vorgesehen ist, könnte Ihre Firma ohne IT dastehen und die Daten nur schwer zurückbekommen. Daher ist es ein Best Practice, zumindest Datenportabilität festzuhalten. In sehr kritischen Fällen (etwa bei speziellen Softwarelösungen) vereinbaren manche Firmen einen Software-Escrow – d.h. der Quellcode wird bei einer Treuhandstelle hinterlegt, um bei Ausfall des Anbieters weiterarbeiten zu können.
Für Standard-Cloud-Dienste ist das unüblich, aber der Gedanke dahinter zählt: Haben Sie eine Exit-Strategie (siehe oben). Der Vertrag sollte idealerweise auch eine Kooperation im Insolvenzfall vorsehen, z.B. dass der Anbieter oder Insolvenzverwalter die Daten noch herausgibt, bevor alles abgeschaltet wird.
Zusammengefasst sind die meisten Fallstricke in Cloud-Verträgen darauf zurückzuführen, dass wichtige Szenarien nicht bedacht oder nicht vertraglich geregelt wurden.
„Neue Situationen, die nicht vertraglich abgedeckt sind, entwickeln sich fast immer zu Ihrem Nachteil.“
Dem können Sie nur vorbeugen, indem Sie genau diese Szenarien gedanklich durchspielen und im Vertrag absichern. Holen Sie sich bei Bedarf Unterstützung – etwa durch einen Anwalt, der solche Verträge regelmäßig gestaltet und die typischen Kniffe der Anbieter kennt.
Best Practices für eine rechtssichere Cloud-Nutzung
Wie kann Cloud Computing also rechtskonform und sicher gelingen? Die folgenden Best Practices fassen die wichtigsten Empfehlungen noch einmal zusammen:
Bevorzugen Sie europäische Cloud-Anbieter:
Wenn möglich, wählen Sie einen Provider mit Rechenzentrumsstandort in Deutschland oder der EU. Das vereinfacht die Einhaltung der DSGVO erheblich und verringert Probleme durch den CLOUD Act (US-Behördenzugriff auf Daten bei US-Anbietern). Cloud-Dienste „Made in Germany“ bieten oft eine hohe Datenschutz-Compliance und vermeiden den Umweg über Drittstaatentransfers. Sollte ein außereuropäischer Anbieter unvermeidlich sein, stellen Sie sicher, dass zusätzliche Vorkehrungen getroffen werden (Verschlüsselung der gespeicherten Daten, Abschluss der EU-Standardvertragsklauseln, ggf. Einsatz von EU Data Boundary-Lösungen).
Achten Sie auf Zertifikate und Audits:
Renommierte Anbieter lassen sich regelmäßig prüfen (ISO 27001, SOC 2, BSI C5 usw.). Fragen Sie nach aktuellen Audit-Berichten und Zertifizierungen. Diese Unterlagen geben Ihnen Einblick in die Sicherheitsarchitektur und -prozesse des Dienstleisters. Prüfen Sie, ob die Zertifikate den von Ihnen benötigten Geltungsbereich abdecken (z.B. die genutzten Rechenzentren). Zertifikate ersetzen zwar nicht die Vertragspflichten, aber sie zeigen, dass der Anbieter unabhängigen Stellen Rechenschaft ablegt. Vertrauen ist gut, Kontrolle ist besser.
Datensparsamkeit und Verschlüsselung:
Speichern Sie nach Möglichkeit nur die Daten in der Cloud, die dort wirklich benötigt werden. Verschlüsseln Sie sensible Daten vor dem Upload oder nutzen Sie Funktionen wie Bring Your Own Key (BYOK), wo Sie den Schlüssel kontrollieren. So bleiben Daten auch bei einem etwaigen Angriff auf den Cloud-Provider geschützt. End-to-End-Verschlüsselung oder Client-seitige Verschlüsselung sind mächtige Werkzeuge, um Datenschutz sicherzustellen – allerdings muss dann auch das Schlüsselmanagement intern organisiert werden.
Klare Zugriffskonzepte:
Richten Sie für Cloud-Dienste ein striktes Identity- und Access-Management ein. Prinzip der minimalen Rechte: Jeder Nutzer bekommt nur die Berechtigungen, die er benötigt. Nutzen Sie wo immer möglich Zwei-Faktor-Authentifizierung (2FA) für den Zugriff. Führen Sie regelmäßige Rechte-Audits durch (wer hat Zugang zu welchen Daten?) und entziehen Sie nicht mehr benötigte Zugänge zeitnah (z.B. wenn Mitarbeiter das Unternehmen verlassen). Viele Datenpannen entstehen durch unnötig weitreichende Zugriffsrechte.
Monitoring und Logging:
Überwachen Sie die Nutzung Ihrer Cloud-Dienste. Aktivieren Sie Logging-Funktionen, um nachvollziehen zu können, wer wann auf welche Daten zugegriffen oder sie verändert hat. Im Falle eines Sicherheitsvorfalls sind Logs Gold wert, um den Hergang zu analysieren. Einige Branchen verlangen dies ohnehin (z.B. nach MaRisk im Finanzsektor). Nutzen Sie auch Monitoring-Tools, die Ihnen Ausfälle oder Performance-Engpässe sofort melden, damit Sie reagieren können, bevor Schäden entstehen.
Notfallübungen und Tests:
Theoretische Notfallpläne sind gut – praktische Übungen sind besser. Führen Sie hin und wieder einen Trockenlauf Ihres Cloud-Notfallplans durch. Beispielsweise: Simulieren Sie mal einen Cloud-Ausfall und prüfen Sie, ob Ihre Mitarbeiter wissen, was zu tun ist (Schwenk auf Backup-Systeme, Kundeninformation etc.). Testen Sie auch, ob die Datenwiederherstellung aus Backups funktioniert und wie lange das dauert. Solche Tests zeigen oft unentdeckte Schwachstellen auf und erhöhen die Reaktionssicherheit im Ernstfall.
Kontinuierliche Verbesserung:
Bleiben Sie auf dem Laufenden über neue Entwicklungen in der Cloud-Branche und im Recht. Halten Sie Ihr Wissen aktuell, besuchen Sie ggf. Seminare oder lassen Sie sich von einem spezialisierten Berater updaten. Cloud Computing ist ein dynamisches Feld – wer hier up to date bleibt, kann Risiken früh erkennen und Chancen besser nutzen.
„Cloud Computing bietet enorme Vorteile für Unternehmen – vorausgesetzt, man behält die rechtlichen Spielregeln im Blick. Mit den richtigen Verträgen, technischen Maßnahmen und einer Prise gesundem Misstrauen können Sie die Cloud sorgenfrei nutzen!“
Fazit: Die Nutzung von Cloud-Diensten muss kein rechtliches Minenfeld sein.
Wenn Sie die beschriebenen Punkte beachten, lassen sich die größten Risiken entschärfen. A
m Ende profitieren Sie von der Agilität, Skalierbarkeit und Effizienz der Cloud, ohne böse Überraschungen erleben zu müssen.
Wichtig ist, das Thema ganzheitlich zu betrachten – es reicht nicht, nur den Vertrag zu unterschreiben.
Datenschutz, IT-Sicherheit und laufende Compliance-Kontrolle gehören genauso dazu.
Die Rechtsanwaltskanzlei Marcel Wetzel unterstützt seit vielen Jahren Mandanten genau dabei: Wir sorgen dafür, dass Ihre Cloud-Projekte vertraglich und datenschutzrechtlich auf solidem Fundament stehen. So können Sie innovativ und flexibel arbeiten – rechtliche Fallstricke bleiben unter Kontrolle.
Häufig gestellte Fragen (FAQs)
Welche rechtlichen Risiken bestehen bei der Nutzung von Cloud-Diensten?
Es gibt verschiedene Risikobereiche. Zum einen vertragliche Risiken – also unklare oder nachteilige Vertragsklauseln, die z.B. die Haftung des Anbieters stark begrenzen oder keine ausreichenden Leistungszusagen (SLAs) enthalten. Dann datenschutzrechtliche Risiken, etwa wenn kein Auftragsverarbeitungsvertrag geschlossen wird oder personenbezogene Daten unzulässig in Drittstaaten übertragen werden (Verstoß gegen die DSGVO). Weiter gibt es IT-sicherheitsrechtliche Risiken (Non-Compliance mit Standards, Verletzung von Geheimnisschutz) und Compliance-Risiken, falls branchenspezifische Vorschriften missachtet werden. Auch die persönliche Haftung von Geschäftsführern ist ein Thema, wenn Aufsichtspflichten verletzt werden. All diese Risiken kann man durch sorgfältige Vorbereitung und Verträge jedoch deutlich reduzieren (siehe Best Practices oben).
Was ist ein Auftragsverarbeitungsvertrag (AVV) und wann brauche ich ihn?
Ein AVV (auch Auftragsverarbeitungsvereinbarung genannt) ist ein Vertrag nach Art. 28 DSGVO zwischen dem Verantwortlichen (Ihrem Unternehmen) und dem Auftragsverarbeiter (z.B. dem Cloud-Anbieter). Er regelt den Umgang mit personenbezogenen Daten, die Sie dem Cloud-Dienst anvertrauen. Sie brauchen immer dann einen AVV, wenn der Cloud-Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet. Das dürfte für nahezu alle Cloud-Services gelten, die Sie geschäftlich einsetzen – sei es die Speicherung von Kundenlisten, E-Mails, die Nutzung eines CRM-Systems in der Cloud oder eines gehosteten Shopsystems. Im AVV verpflichtet sich der Anbieter, die Daten nur nach Ihren Weisungen zu verarbeiten, angemessene Sicherheit zu gewährleisten, Unterauftragnehmer nur mit Zustimmung einzusetzen etc. Fehlt der AVV, liegt ein DSGVO-Verstoß vor, und Ihnen drohen Bußgelder. Achten Sie darauf, dass der vom Anbieter gestellte AVV vollständig ist (inkl. technischer und organisatorischer Maßnahmen) und zu Ihrer Nutzung passt. Im Zweifel lassen Sie ihn juristisch prüfen.
Können Geschäftsführer persönlich für Datenschutzverstöße in der Cloud haftbar gemacht werden?
Ja, das ist möglich. Nach der aktuellen Rechtsentwicklung (u.a. Urteil des OLG Dresden) können Geschäftsführer neben der Gesellschaft als Verantwortliche im Sinne der DSGVO angesehen werden. Das bedeutet, dass Bußgelder und Schadensersatzansprüche wegen Datenschutzverstößen auch direkt gegen die Geschäftsführung geltend gemacht werden können. In dem genannten Fall haftete ein Vereinsvorstand persönlich. Diese Tendenz ist neu und erhöht den Druck auf Entscheider, für Datenschutz-Compliance zu sorgen. Bei Einzelunternehmern ist es ohnehin klar: hier haftet der Unternehmer immer persönlich mit seinem Vermögen. Geschäftsführer von Kapitalgesellschaften (GmbH, AG) genießen zwar grundsätzlich Haftungsbeschränkungen, aber bei Verletzung gesetzlicher Pflichten (wie DSGVO-Vorgaben) kann ein Durchgriff erfolgen. Daher sollten Führungskräfte das Thema sehr ernst nehmen. Persönliche Haftung droht übrigens nicht nur bei Datenschutz, sondern z.B. auch, wenn man trotz offensichtlicher Sicherheitsmängel untätig bleibt und dadurch Schäden entstehen (Stichwort Organisationsverschulden). Die beste Absicherung ist hier Prävention: also alle gesetzlichen Anforderungen erfüllen, dokumentieren und sich im Zweifel beraten lassen. Eine D&O-Versicherung kann ein zusätzlicher Schutz sein, greift aber nicht in allen Szenarien.
Was sollte ein gutes Service Level Agreement (SLA) enthalten?
Ein SLA sollte die erwartete Servicequalität messbar festlegen. Wichtige Punkte sind: Verfügbarkeit/Uptime (z.B. 99,9 % im Jahresmittel, mit Definition der Messmethode), maximale Ausfallzeit (z.B. keine Downtime länger als X Stunden am Stück), Performancekennzahlen (Reaktionszeiten der Anwendung oder Durchsatz), Support-Level (Reaktionszeit auf Störungen: z.B. innerhalb von 1 Stunde bei kritischen Incidents), Wartungsfenster (Zeiten, in denen planmäßige Wartung stattfinden darf, möglichst außerhalb der Hauptgeschäftszeiten des Kunden) und Kompensationen/Maßnahmen bei Nichteinhaltung. Letzteres ist entscheidend: Das SLA sollte vorsehen, was passiert, wenn der Anbieter die Ziele verfehlt – etwa Service-Credits, Vertragsstrafen oder im Wiederholungsfall ein Sonderkündigungsrecht für den Kunden. Zudem sollte es Ausnahmen definieren (z.B. höhere Gewalt, geplante Wartung, die nicht unter die Uptime-Berechnung fällt). Kurz gesagt: Das SLA ist Ihr Instrument, um die Zuverlässigkeit des Cloud-Dienstes zu gewährleisten. Je kritischer der Dienst für Ihr Geschäft, desto mehr Augenmerk sollten Sie auf strenge SLA-Klauseln legen.
Wie stelle ich sicher, dass meine Cloud-Nutzung DSGVO-konform ist?
Die DSGVO-Compliance bei Cloud-Nutzung erreichen Sie durch eine Kombination aus technischen, organisatorischen und vertraglichen Maßnahmen. Vertraglich müssen Sie einen Auftragsverarbeitungsvertrag abschließen, in dem der Anbieter sich zur Einhaltung der DSGVO verpflichtet. Darin sollten alle Anforderungen aus Art. 28 DSGVO abgedeckt sein (inkl. TOMs, Unterstützungsleistungen bei Betroffenenanfragen, Meldung von Datenpannen etc.). Technisch sollten Sie prüfen, ob der Anbieter ausreichende Sicherheit bietet (Verschlüsselung, Zugriffsschutz, Zertifizierungen). Gegebenenfalls ergänzen Sie selbst: z.B. zusätzliche Verschlüsselung sensibler Daten vor dem Upload. Organisatorisch sollten Sie intern festlegen, welche Daten in die Cloud dürfen (Datenschutz-Folgenabschätzung bei sensiblen Daten vorab durchführen!), und den Datenschutzbeauftragten einbinden. Wichtig ist auch der Drittlandtransfer: Klären Sie, wo die Daten gespeichert werden. Wenn außerhalb der EU/EWR, müssen zusätzliche Garantien wie Standardvertragsklauseln vereinbart werden und idealerweise eine Bewertung vorgenommen werden, ob beim Empfängerland ein angemessenes Datenschutzniveau herrscht (Stichwort Schrems II Urteil). Halten Sie zudem Ihr Verzeichnis der Verarbeitungstätigkeiten aktuell und führen Sie ggf. eine Risikobewertung durch. Wenn all diese Punkte beachtet sind und laufend kontrolliert werden, ist Ihre Cloud-Nutzung in der Regel DSGVO-konform.
Worauf sollte ich bei den AGB eines Cloud-Anbieters besonders achten?
In den AGB (Allgemeinen Geschäftsbedingungen) der Cloud-Anbieter stehen oft entscheidende Bedingungen. Achten Sie besonders auf folgende Klauseln: Haftungsbeschränkungen – wie stark beschränkt der Anbieter seine Haftung für Schäden? (Oft steht dort, dass er nur bis zu einem bestimmten Betrag oder nur für direkte Schäden haftet; alles darüber hinaus nicht.) Leistungsänderungen – behält sich der Anbieter das Recht vor, den Serviceumfang oder Preise einseitig zu ändern? Falls ja, unter welchen Bedingungen (Ankündigungsfrist, Zustimmungserfordernis)? Laufzeit und Kündigung – gibt es automatische Vertragsverlängerungen? Wie lang sind Kündigungsfristen? Gerichtsstand/Rechtswahl – steht dort ein ausländischer Gerichtsstand oder fremdes Recht? Datenschutz und Nutzungsrechte – enthält die AGB irgendwelche Bestimmungen dazu, was der Anbieter mit Ihren Daten machen darf (z.B. zu Analysezwecken) oder wie er mit Behördenanfragen umgeht? Verfügbarkeit – manchmal findet sich zumindest eine Basisaussage zur Verfügbarkeit oder zur Wartung bereits in den AGB. Vertraulichkeit – verpflichtet sich der Anbieter zur Geheimhaltung Ihrer Daten (außer im Rahmen der Leistungserbringung)? All diese Punkte sollte man prüfen. Wenn Ihnen eine Klausel unverständlich oder sehr ungünstig erscheint, ist es ratsam, sie durch einen Experten bewerten zu lassen. Beachten Sie auch: Sollte ein Cloud-Anbieter mit Verbrauchern arbeiten, dürfen dessen AGB gewisse Dinge nicht – das kann indirekt auch für Sie relevant sein, wenn Sie selbst Leistungen über die Cloud an Verbraucher erbringen. Kurz: Lesen Sie die AGB nicht bloß diagonal, sondern gezielt nach solchen kritischen Aspekten durch.
Was passiert mit meinen Daten, wenn ich den Cloud-Dienst kündige?
Das sollte vertraglich geregelt sein. Idealerweise steht im Vertrag oder den AGB, dass der Anbieter im Falle der Kündigung bzw. Vertragsbeendigung Ihre Daten herausgibt bzw. zum Download bereitstellt und danach endgültig löscht. Viele Cloud-Anbieter bieten eine Übergangsfrist an – z.B. können Sie binnen 30 oder 60 Tagen nach Vertragsende noch Ihre Daten abrufen. Nach Ablauf dieser Frist werden die Daten gelöscht. Prüfen Sie, ob der Vertrag eine solche Klausel enthält und ob die Frist für Sie ausreichend ist. Wenn Sie sehr große Datenmengen in der Cloud haben, brauchen Sie ggf. länger, um alles herunterzuladen oder zu migrieren. Falls hierzu nichts im Vertrag steht, fragen Sie beim Anbieter nach oder vereinbaren Sie es zusätzlich. Wichtig: Vergessen Sie nicht, Backups Ihrer Daten anzulegen, bevor Sie kündigen. Und vergewissern Sie sich, dass wirklich alle Daten erfasst sind (auch Logs, Einstellungen etc., falls Sie die benötigen). Nach Löschung durch den Anbieter sind Ihre Daten sonst unwiederbringlich weg. Beachten Sie zudem, dass bei Vertragsende der AV-Vertrag ausläuft – der Anbieter darf Ihre personenbezogenen Daten dann nicht mehr weiter aufbewahren. Achten Sie also aus Datenschutzgründen auf eine schriftliche Bestätigung der Datenlöschung vom Anbieter.
Wie kann eine Rechtsanwaltskanzlei bei Cloud-Verträgen helfen?
Eine spezialisierte Kanzlei wie die Kanzlei Wetzel kann auf mehreren Ebenen helfen: Prüfung bestehender Verträge – Anwälte erkennen schnell, wo in Ihren Cloud-Verträgen Risiken oder Lücken stecken (z.B. fehlende Haftungszusagen, problematische AGB-Klauseln, unklare Datenschutzregelungen). Sie erhalten einen Bericht und konkrete Empfehlungen, was geändert werden sollte. Vertragsverhandlung und -gestaltung – falls möglich, unterstützt der Anwalt Sie dabei, Verträge nachzuverhandeln oder erstellt gleich neue Verträge, wenn Sie selbst Cloud-Dienste anbieten oder individuelle Vereinbarungen mit einem Provider treffen wollen. Hier fließt ein, was in der Branche üblich und durchsetzbar ist. Compliance-Beratung – über den Vertrag hinaus hilft eine Kanzlei, die Cloud-Nutzung ins Gesamtkonzept Ihres Unternehmens einzubetten: Muss eine Datenschutz-Folgenabschätzung gemacht werden? Wie erfüllen Sie Dokumentationspflichten? Was ist beim internationalen Datentransfer zu tun? etc. Streitfälle und Haftung – sollte es bereits zum Konflikt mit einem Cloud-Anbieter gekommen sein (etwa wegen Ausfall oder Datenschutzvorfall), vertreten Anwälte Ihre Interessen, machen Ansprüche geltend oder wehren unberechtigte Forderungen ab. Zusammengefasst kann eine Kanzlei dafür sorgen, dass Sie rechtlich auf der sicheren Seite sind und sich auf Ihr Kerngeschäft konzentrieren können. Marcel Wetzel und sein Team beispielsweise bieten umfangreiche Erfahrung in Vertrags-, IT- und Datenschutzrecht und kennen die typischen Cloud-Fallstricke, sodass sie proaktiv dafür sorgen können, dass diese gar nicht erst zuschnappen.
Welche Best Practices gibt es für eine rechtssichere Cloud-Nutzung?
Wichtige Best Practices sind: Sorgfältige Auswahl des Anbieters (auf Sicherheit und Compliance achten, idealerweise EU-Anbieter mit Zertifizierung), gründliche Vertragsgestaltung (alle wichtigen Punkte wie Verfügbarkeit, Haftung, Datenschutz, Kündigung geregelt; AVV abschließen), klare Verantwortlichkeiten definieren (wer macht was in Sachen Sicherheit und Administration – Shared-Responsibility-Prinzip beachten), Daten verschlüsseln (vor allem sensible Daten, möglichst clientseitig), starke Zugriffssicherheit (Identitäts- und Rechtemanagement, 2-Faktor-Authentifizierung, regelmäßige Rechteprüfungen), laufende Überwachung (Monitoring der Cloud-Services, Logging von Zugriffen, regelmäßige Sicherheits-Audits), Notfallvorsorge (Backups, Notfallplan bei Cloud-Ausfall, Exit-Strategie für Provider-Wechsel von Anfang an mitdenken) und regelmäßige Updates der Compliance (Verträge und Sicherheitsmaßnahmen an neue Gegebenheiten anpassen, Personal schulen, auf dem Laufenden bleiben). Außerdem gilt: Datensparsamkeit – nicht unnötig viele Daten in die Cloud geben, um das Risiko zu minimieren. Wenn Sie diese Best Practices beherzigen, schaffen Sie ein Setup, in dem Sie die Vorteile der Cloud nutzen können, ohne schlaflose Nächte wegen rechtlicher Risiken zu haben. Sollte doch einmal Unsicherheit bestehen, ziehen Sie frühzeitig Fachleute hinzu, statt abzuwarten. Die Erfahrung zeigt, dass proaktive Gestaltung viel Ärger spart – und genau darin bestehen die Best Practices: vorbeugen statt heilen.
Unterstützt Kanzlei Wetzel auch bei anderen IT-rechtlichen Themen außer Cloud?
Ja. Die Kanzlei Marcel Wetzel ist auf IT-Recht, Internetrecht, Datenschutz und Compliance spezialisiert. Neben Cloud-Verträgen betreut sie Mandanten z.B. bei Software-Lizenzverträgen, IT-Projektverträgen, Datenschutz-Themen (DSGVO-Umsetzung, Datenschutzverletzungen, Behördenverfahren), E-Commerce-Recht (rechtssichere Websites, AGB für Online-Shops, Impressum, Wettbewerbsrechtliche Abmahnungen) und Compliance-Systemen (Hinweisgebersysteme, interne Richtlinien). Auch im Gesellschaftsrecht und Vertragsrecht allgemein (z.B. Geschäftsführerverträge, Kooperationsverträge) steht die Kanzlei beratend zur Seite. Gerade weil viele dieser Themen zusammenhängen – etwa bei einer digitalen Geschäftsmodellentwicklung – schätzen Mandanten die ganzheitliche Beratung. Wenn Sie also neben Cloud-spezifischen Fragen weitere rechtliche Anliegen in der IT-Welt haben, können Sie auf die breite Erfahrung der Kanzlei zurückgreifen. Die Erfolgsgeschichten der Kanzlei reichen von der Begleitung junger Start-ups bei den ersten Verträgen bis hin zur langjährigen Beratung mittelständischer Unternehmen in allen IT-rechtlichen Belangen. Kurz: Sie bekommen einen Partner an die Hand, der Sie in der digitalen Geschäftswelt rechtlich rundum absichert.
Auch Interessant:
Risiko Datentransfer in die USA: Das EU–US Data Privacy Framework auf dem Prüfstand
Neue Abmahngefahr: Konkurrenten dürfen jetzt Datenschutzverstöße abmahnen
Transatlantischer Datenschutz unter Trump 2.0: Mögliche Auswirkungen auf EU-US-Datentransfers
Private Haftungsrisiken in Unternehmen – Wie Sie sich als Geschäftsführer schützen können
AGB – Allgemeine Geschäftsbedingungen – Ihre Vorteile durch klare Regelungen
Haftung der Geschäftsführung in GmbHs: Risiken erkennen und rechtlich absichern
Das rechtssichere Impressum – Was Sie wissen müssen
Betriebsübergabe und Generationenwechsel in Unternehmen: Rechtliche Aspekte
IT- und Internetrecht: So schützen wir Ihr Unternehmen in der digitalen Welt
Allgemeine Geschäftsbedingungen (AGB) für Unternehmen: Chancen, Risiken und Lösungen
Softwarepflegevertrag: Bedeutung, Rechtsgrundlagen und alles Wissenswerte
Vertragsrecht: strategische Implikation für unternehmerische Entscheidungsprozesse
Persönliche Haftung der Geschäftsführer bei Datenschutzverstößen
Warum Unternehmen eine „externe“ Hinweisgeberstelle einrichten sollten
Alles zur Haftung bei Einzelunternehmen – Wie schütze ich mein Privatvermögen?
Kurz gesagt: Wir nehmen Ihnen die Komplexität ab.
Sie können sich auf Ihr Kerngeschäft konzentrieren, während wir dafür sorgen, dass Ihre Datenströme rechtlich abgesichert sind – heute und in Zukunft.