Negative Google-Bewertung – Wie Sie sich wehren können
25. Februar 2021

Nicht in der Cloud gefangen: Datenherausgabe nach Vertragsbeendigung von ASP- und Cloud-Verträgen

Daten

Eine im Jahr 2020 von KPMG in Auftrag gegebene Studie durch Bitkom Research befasste sich unter anderem mit der Frage, nach welchen Kriterien und Leistungen die befragten Unternehmen die Auswahl eines Cloud-Providers träfen.

83 % der Unternehmen bezeichneten „Ausstiegsstrategie (Exit-Strategie) im Vertrag regelbar“ als „Must-have“.[1] Damit gehört das Bedürfnis, für den Fall der Vertragsbeendigung Rechtsklarheit zu schaffen und Unterstützungsleistungen des Cloud-Anbieters einfordern zu können, zu den fünf wichtigsten Kriterien für die befragten Unternehmen und liegt etwa noch vor „Rechenzentrum ausschließlich in Deutschland“ (67 %). Dieses Ergebnis überrascht nicht. Durch sogenannte „Lock-In-Effekte“ aufgrund einer faktischen Abhängigkeit von einem Cloud- oder SaaS-Anbieter kann es nach Vertragsbeendigung zu erheblichen wirtschaftlichen Beeinträchtigungen und Schäden kommen. Dies betrifft insbesondere die Herausgabe der gespeicherten Daten, deren Struktur bzw. Dateiformat und die Migration der bisherigen Daten in die (Cloud-)Lösung eines neuen Anbieters.

Es empfiehlt sich also, bereits zum Zeitpunkt des Vertragsschlusses vorausschauend das Ende der vertraglichen Beziehung in den Blick zu nehmen. Es sollte unter Festlegung einer etwaigen Vergütungspflicht feststehen, welche Daten, wann (z.B. Zeitpunkt der Kündigungsserklärung oder Stichtag der Beendigung des Vertrags) und vor allem wie (Format, Datenträger) die Daten durch den Anbieter herauszugeben sind. Bei letzterer Frage sind insbesondere technische Detailregelungern nützlich, weil es beispielsweise bei der Verwendung von SQL-Datenbanken regelmäßig einer Erläuterung Datenstruktur bedarf, um einen Import der Daten in die neue Software realisieren zu können.

Viele Anbieter treffen bereits in ihren AGB mit unterschiedlichem Detailgrad Regelungen zur beschriebenen Problematik. So heißt es beispielsweise in den deutschen Allgemeinen Geschäftsbedingungen der SAP CLOUD SERVICES unter Punkt 4.4 auszugsweise:

„Während der Laufzeit des Cloud Service hat der Auftraggeber jederzeit die Möglichkeit, auf die Auftraggeberdaten zuzugreifen, diese zu entnehmen und in einem Standardformat zu exportieren. Abruf und Export können technischen Beschränkungen und Voraussetzungen unterliegen (wie z.B. in der Dokumentation beschrieben). In diesem Fall werden sich SAP und Auftraggeber auf eine angemessene Methode zur Ermöglichung des Zugriffs des Auftraggebers auf die Auftraggeberdaten verständigen.“[2]

Aufgrund der Schnelllebigkeit von IT-Produkten sollten die Vertragsparteien die technische Entwicklungen bedenken und ihr mit einer gewissen Flexibilität begegnen. Gegebenenfalls sind Individualabsprachen sinnvoll, um dem Bedarf im konkreten Szenario gerecht zu werden.

Im Falle des Fehlens einer ausdrücklichen Regelung im Vertrag oder den zugehörigen AGB bietet das allgemeine Zivilrecht eine Anspruchsgrundlage, um an die Daten heranzukommen. Für deren Verständnis ist es jedoch wichtig, sich vor Augen zu halten, dass das BGB in seiner inzwischen über einhundertjährigen Geschichte nur bedingt direkte Antworten für die aufgeworfenen Rechtsfragen betreffend ASP-, Grid/Cloud-Computing- und SaaS-Lösungen bietet. Nach einer nicht unumstrittenen Rechtsprechung des Bundesgerichtshofs sind ASP-Verträge, bei denen der Anbieter auf seinem Server Software bereitstellt und dem Kunden gestattet, diese Software für eine begrenzte Zeit über das Internet oder andere elektronische Netze zu nutzen, als Mietvertrag zu qualifizieren.[3] Der BGH bleibt somit seiner – ebenfalls nicht unumstrittenen – Linie treu, auf einem Datenträger verkörperte Standardsoftware als „Sache“ anzusehen. Kommen weitere Aspekte hinzu, wie etwa Hotlineservices, Programmupdates oder -schulungen, können auch die dienst- oder werkvertragliche Regelungen des BGB ein Rolle spielen.

Hinsichtlich der Herausgabeansprüche des Nutzers nach Beendigung des Vertragsverhälnisses wird deshalb im juristischen Schrifttum[4] auf die Anspruchsgrundlage des § 539 Abs. 2 BGB (ggfs. analog) abgestellt. Danach ist der Mieter ist berechtigt, eine Einrichtung wegzunehmen, mit der er die Mietsache versehen hat.

Als Anschlussfrage stellt sich, ob der Cloud-Anbieter für die Herausgabe der Daten eine Vergütung verlangen kann. Der zitierte § 539 Abs. 2 BGB sieht jedenfalls eine Vergütungspflicht nicht vor. In Ermangelung einer konkreten Vereinbarung zwischen den Vertragsparteien hängt es jedoch nach einer Auffassung im Schrifttum von Treu und Glauben ab, wobei im Zweifel keine Vergütungspflicht besteht, soweit es sich um ein gängiges Dateiformat handelt.[5] Häufig lassen sich mittels Vertragsauslegung unter Einbeziehung gesetzlicher Wertungen interessengerechte Ergebnisse erzielen.

In einem weiterhin bedeutsamen Urteil des OLG München[6] aus dem Jahr 1999 entschied der Senat durch Vertragsauslegung unter Heranziehung des Grundsatzes von Treu und Glauben (§ 242 BGB), dass „Leistungs- und Rechenbetreiber“ für den Fall der Beendigung von Nutzungsrechten einen reibungslosen Übergang auf ein Fremdsystem zu ermöglichen haben und kein Recht haben, ihren Kunden nach Vertragsende zu behindern. Des Weiteren müssen dem Kunden seine Daten zur Verfügung gestellt werden, damit dieser auch nach dem Ende der Zusammenarbeit mit dem „Leitungs- und Rechenbetreiber“ seine Tätigkeit fortsetzen und seine vertraglichen Pflichten erfüllen kann.

Von den oben dargestellten Anspruchsgrundlagen ist das „Recht auf Datenübertragbarkeit“ nach Art. 20 DSGVO abzugrenzen. Aus Art. 20 DSGVO haben betroffene Personen das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln.

Hierbei handelt es sich um eine datenschutzrechtliche Regelung. Der Anwendungsbereich ist nur eröffnet, soweit es sich um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO handelt. Außerdem zählen nur natürliche Personen zu den Berechtigten – Unternehmen profitieren von dieser Regelung nicht.

Unternehmen sind gut beraten, bei der Verwendung von Cloud-Lösungen auch die komplikationslose Herausgabe der Daten für den Fall der Vertragsbeendigung vorausschauend sicherzustellen. Aber auch im Streitfall haben Unternehmen nach den allgemeinen Regeln des Zivilrechts Möglichkeiten, ihre Daten zurückzuerlangen. Es zeigt sich einmal mehr, dass in der „Querschnittsmaterie“ IT-Recht ein interdisziplinärer Problemlösungsansatz, der auch die praktischen Bedürfnisse des Nutzers beachtet, am erfolgversprechendsten ist.


[1] Cloud-Monitor 2020. Eine Studie von Bitkom Research im Auftrag von KPMG. Präsentation der Pressekonferenz am 23.06.2020, abrufbar unter: https://www.bitkom.org/sites/default/files/2020-06/prasentation_bitkom_kpmg_pk-cloud-monitor.pdf, S. 5, zuletzt abgerufen am 29.04.2021.

[2] https://assets.cdn.sap.com/agreements/general-terms-and-conditions/cls/general-terms-and-conditions-for-sap-cloud-services-direct-germany-german-v1-2021.pdf, zuletzt abgerufen am 29.04.2021.

[3] BGH, Urteil vom 15. 11. 2006 – XII ZR 120/04 = NJW 2007, 2394.

[4] Roth-Neuschild in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Auflage, § 13 Rn. 233 ff.

[5] So etwa Redeker, IT-Recht, Rn. 839 (C. II. 5. c) ), Aufl. 7.

[6] OLG München, Urteil vom 22.04.1999 – 6 U 1657/99.

Christopher Schack
Christopher Schack
Dieser Artikel wurde verfasst von Christopher Schack. Er ist Rechtsanwalt, Fachanwalt für IT-Recht sowie TÜV-zertifizierter Datenschutzbeauftragter.