Blog
CMS Deutschland bloggt
Aktuelle Rechtsthemen und was eine Großkanzlei sonst bewegt
14. April 2025
Cloud Dienst
#CMSdatalaw

Neue regulatorische Anforderungen für Cloud-Dienste 

Alexander Schmid und Philippe Heinzke SEITE DRUCKEN   SEITE SCHICKEN

Cloud oder klassisches Hosting? Die richtige Einordnung ist entscheidend, denn neue Gesetze stellen zusätzliche Anforderungen an Cloud-Dienste.

Cloud-Dienste sind in letzter Zeit in den Fokus des Gesetzgebers gerückt. Gleich eine Reihe an Rechtsakten stellt Regelungen für die Sicherheit der Cloud (NIS2), die Datenlokation (SGB V) oder den Wechsel zwischen Cloud-Anbietern (Data Act, DMA) auf. Vor diesem Hintergrund gewinnt die Frage an Bedeutung, was ein „Cloud-Dienst“ ist. Diese Frage ist besonders praxisrelevant, da ähnliche Betriebsarten wie das „Hosting“ keiner vergleichbaren Regulierung unterliegen und damit – je nach Perspektive – entweder als „Ausweg“ oder „Regelungslücke“ erscheinen.

Die Frage, was genau unter Cloud zu verstehen ist, ist dabei keinesfalls trivial. Bereits aus wirtschaftlich-technischer Sicht gibt es keine universell-anwendbare Terminologie von „Cloud“. Der „Cloud-Begriff“ ist schillernd, verschließt sich fester Konturen und unterliegt einem evolutionären Wandel, der bis heute nicht abgeschlossen ist. Auch das National Institute for Standards and Technology des U.S. Department of Commerce (NIST) bezeichnet Cloud Computing daher als ein „evolving paradigm“ und das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt klar, dass sich bisher „keine Definition als allgemeingültig durchsetzen“ konnte, wobei das BSI selbst nunmehr auf die ISO/IEC Definition abstellt.

Entwicklung: Von On-Premise zu On-Demand

Die IT-Infrastrukturlandschaft war bis in die 1990er stark von Zentralisierung und Selbsthosting geprägt. Unternehmen kauften nicht Rechenressourcen, sondern physische Rechner ein und betrieben ihre Anwendungen auf eigenen Servern in eigenen Räumen („On Premise“). Diese eigenverwalteten Rechenressourcen wurde zur Jahrtausendwende mehr und mehr an externe Unternehmen ausgelagert, die sich auf den Betrieb und die Bereitstellung von Rechenleistungen spezialisierten. Unternehmen stellten dabei entweder ihre eigenen Server bei diesen externen Unternehmen unter („Housing“ / „Colocation“) oder aber mieteten direkt die entsprechenden IT-Dienstleistungen wie Speicherplatz, Rechenleistung, etc. an („Hosting“). Kunden hatten dabei die Wahl, ob sie einen eigenen physischen Server mit Vollzugriff anmieteten („Dedicated Server“) oder aber nur Zugang zu einem gemeinsam genutzten Server („Shared Server“). Diese gemeinsame Nutzbarkeit von Servern („Multitenancy“) wurde dadurch erreicht, dass Rechte- und Rollenkonzepte ein Zugriff auf die Ressourcen anderer Kunden ausschließen und jedem Nutzer bestimmte Ressourcen („Quotas“) wie Speicherplatz und CPU-Leistung zugewiesen wurden. Mit der Virtualisierung entstand zudem die Möglichkeit, auf einem einzigen physischen Server mehrere Instanzen einer Betriebssystemumgebung zu betreiben („Virtual Server“). All diese Modelle hatten jedoch gemein, dass Kunden vertraglich fixierte Leistungen (bspw. bestimmte Anzahl an Speicherplatz, CPU-Kerne, Internet-Datenvolumen) bestellten und hierfür monatlich, quartalsweise oder jährlich bezahlten. Wurden die angemieteten Ressourcen nicht ausgeschöpft, änderte dies nichts an der Zahlungsverpflichtung. Wurden die angemieteten Ressourcen dagegen voll ausgeschöpft, mussten Nutzer manuell auf ein höheres Leistungspaket und womöglich auf einen leistungsstärkeren Server umziehen.

Cloud Computing stellt eine konsequente Fortsetzung dieser Entwicklung dar, und führt einerseits den Gedanken der Abstrahierung von IT-Leistungen fort, begegnet andererseits aber auch dem gesteigerten Bedürfnis nach einfacher Skalierbarkeit von Leistungen bei besserer Kostenkontrolle für die Nutzer. Gerade die Abstrahierung von IT-Leistungen hat im Cloud Computing einen sehr hohen Stellenwert und ist vielleicht einer ihrer größten Erfolgsgründe. Anstatt einen Server mit Vollzugriff anzumieten, werden beim Cloud Computing direkt die benötigten IT-Dienste bestellt. Dies bedeutet für IT-Abteilungen eine massive Entlastung, denn diese brauchen sich auf die zugrundeliegenden Ebenen (bspw. um das Betriebssystem) und den damit zusammenhängenden Wartungsbedarf (bspw. Security Patches) nicht mehr kümmern. Die verschiedenen, groben Abstrahierungsgrade sind beim Cloud Computing auch bekannt als:

  • Infrastructure-as-a-Service (IaaS – der Betreiber kümmert sich um die physische Infrastruktur und Virtualisierung, der Kunde um die Betriebssystemebene, Middleware, und die Applikationen) – vergleichbar mit dem klassischen Virtual Server und im Cloud-Bereich eher selten.
  • Platform-as-a-Service (PaaS – der Betreiber kümmert sich zusätzlich auch um die Betriebssystemebene und Middleware und stellt nur noch bestimmte Services zur Verfügung, bspw. Datenbank-Services, Speicher-Services, Authentifizierungs-Services) – typisches Beispiel sind die von AWS, Google und Azure angebotenen Clouddienste.
  • Software-as-a Service (SaaS – der Betreiber stellt eine bestimmte Software und alle hierfür erforderlichen Plattform- und Infrastrukturkomponenten zur Verfügung, der Kunde braucht sich technisch gesehen um fast nichts mehr kümmern).

Neben dieser Abstrahierung der Leistungen zeichnen sich Cloud Dienste zudem durch eine scheinbar unbegrenzte Skalierbarkeit aus, da (a) neue Dienste in der Regel binnen weniger Minuten genutzt werden können, ohne dass erst Quotas erhöht, der verwendete Server physisch geupgradet oder auf einen anderen Tarif umgestellt werden muss, (b) die vom Betreiber angebotenen Rechenleistungen und Speicherkapazitäten elastisch je nach aktuellem Nutzungsvolumen erhöht und verringert werden („Load Balancing“), (c) dieses Load Balancing nicht mehr nur vertikal und begrenzt auf einen physischen Server stattfinden kann, sondern auch horizontal über mehrere physische Server und Serverstandorte hinweg, und (d) der Kunde in der Regel nur noch für tatsächlich genutzte Leistungen bezahlt, also nichtmehr fixe Monats-/Jahrespauschalen vereinbart werden, sondern ein „pay as you use“-Modell nach der Höhe der genutzten Leistungen und der Kosten pro Nutzungseinheit.

Beispiel: Definition nach dem Data Act

Die Definitionen von Cloud in den relevanten Gesetzen sind grundsätzlich ähnlich und miteinander vergleichbar, unterscheiden sich aber teilweise in bestimmten Merkmalen. Beispielsweise definiert Art. 2 Nr. 12 Data Act die Cloud (hier „Datenverarbeitungsdienst“ genannt) wie folgt:

eine digitale Dienstleistung, bei der es sich um keinen Online-Inhaltedienst im Sinne des Artikels 2 Absatz 5 der Verordnung (EU) 2017/1128 handelt, die einem Kunden bereitgestellt wird und eine Verwaltung auf Abruf und einen breiten Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer, zentralisierter, verteilter oder hochgradig verteilter Rechenressourcen ermöglicht.

Wesentliche Merkmale

Die wesentlichen Merkmale der Cloud lassen sich dabei wie folgt zusammenfassen:

  • Rechenressourcen: Rechenressourcen umfassen sowohl Hardware als auch Software, bspw. Netze, Server, weitere physische Infrastrukturen, das Betriebssystem des Servers, Virtualisierungssysteme, Software (bspw. Anwendungen und Dienste). Je nach Abstrahierungslevel werden allgemeinere oder spezielle Leistungen angeboten.
  • Pool: Es stehen mehrere / eine Vielzahl an Rechenressourcen zur Verfügung. Beim Cloud Computing erstrecken sich die von Nutzern gebuchten Leistungen dabei oft auch „horizontal“ auf mehrere Server, was bspw. Vorteile beim sog. Load Balancing zu Zeiten gesteigerter Nachfrage bringt (siehe unten zur Skalierbarkeit). Die Bestimmung eines spezifischen Servers, auf dem die Leistungen für den Kunden erbracht werden, ist dadurch meist nicht mehr präzise möglich.
  • Skalierbarkeit: Bei Bedarf, bspw. um Nachfrageschwankungen auszugleichen, werden automatisch oder zumindest mit minimalem Verwaltungsaufwand neue Ressourcen zugeordnet – die verfügbaren Ressourcen scheinen (auch wenn dies natürlich tatsächlich nicht so ist) grenzenlos. Die hohe Skalierbarkeit kann unter anderem dadurch bewerkstelligt werden, dass Nutzern nicht einzelne/spezifizierte Server zugeordnet werden, die bei Bedarf gewechselt oder aufgerüstet werden müssen, sondern sich die gebuchten Leistungen „horizontal“ auch auf mehrere Server oder gar Standorte erstrecken können und bei Zeiten gesteigerter Nachfrage automatisch oder mit minimalem Aufwand weitere Ressourcen hinzugefügt werden können.
  • Elastizität: Elastizität in diesem Sinne meint, dass Rechenressourcen je nach Arbeitsaufkommen dynamisch erweitert und wieder freigegeben werden. Während es bei Skalierbarkeit mithin um Zukunftssicherheit bei gesteigerten Business Needs geht, geht es bei der Elastizität darum, dass auch kurzfristige „Peaks“ abgefangen werden können und sich die bereitgestellten Ressourcen mithin dynamisch erweitern und reduzieren können.

Abgrenzung im Einzelfall schwierig; die Perspektive ist entscheidend

Die Unterscheidung zwischen Cloud und Hosting erscheint auf den ersten Blick simpel. Hierfür ist jedoch eine gesamtheitliche Betrachtung der eingesetzten Technologien erforderlich. Die bisherige Vermarktungspraxis des Produkts (bspw. Bezeichnung als „Cloud“ oder „SaaS“ auf der Vertriebswebseite, Flyern oder dem App Store) ist nur ein Indiz, das trügerisch sein kann. Denn die werbliche Bezeichnung eines Dienstes ist für die rechtliche Einordnung nicht entscheidend. Vielmehr bedarf es einer genauen Bewertung der technischen Lösung und deren Einordnung unter die spezifischen Cloud-Merkmale. Dabei muss nicht jedes Merkmal erfüllt sein, sodass eine technische Lösung als Cloud zu qualifizieren ist. Gleichzeitig kann eine Cloud auch bereits dann vorliegen, wenn nur einige der spezifischen Merkmale vorliegen.

Nur als weitere „Soft-Merkmale“, die für die Bewertung ebenfalls eine Rolle spielen können, sind weiterhin zu berücksichtigen: (a) die Art der Abrechnung der genutzten Leistungen (bspw. nutzungsunabhängiger Monatsbetrag oder pay as you use) sowie (b) Informationen in Broschüren, der Webseite des Anbieters, generelle Vermarktung des Produkts etc.

Zu beachten gilt weiterhin, dass es für die Einordnung auch auf die konkrete Perspektive ankommen kann, wenn Vorschriften wie Art. 2 Nr. 13 Data Act formulieren, dass skalierbare und elastische Rechenressourcen „einem Kunden bereitgestellt” werden müssen, um als Datenverarbeitungsdienst/Cloud zu gelten. Zu berücksichtigen ist hier also, ob die spezifischen Cloud-Merkmale tatsächlich an Kunden angeboten werden, oder aber der Dienstleister Cloud-Dienste nur im eigenen Backend (bspw. als Unterauftragsverarbeiter) einsetzt.

Unternehmen sollten zeitnah eine Inventarisierung vornehmen. Es gilt festzustellen, welche Dienste als „Cloud-Computing“ im Sinne des Gesetzes zu qualifizieren sind. Für diese Dienste gelten zukünftig eine Reihe von Verpflichtungen, zur Sicherheit der Cloud, zur Datenlokation und zum Anbieterwechsel.

Mit unserer CMS Blog-Serie „#CMSdatalaw“ geben wir Ihnen einen Überblick über das Datenrecht wie z.B. den Data Act und den Data Governance Act. Den in unsere Blog-Serie einführenden Beitrag finden Sie hier. Besuchen Sie zum Datenrecht zudem gern unsere CMS Insight-Seite „Data Law“.

Tags: #CMSdatalaw Cloud Dienst


Avatar-Foto

Alexander Schmid

weitere Artikel des Autors
Autor:innenprofil
Avatar-Foto

Philippe Heinzke

weitere Artikel des Autors
Autor:innenprofil
nach oben
© CMS Hasche Sigle 2025