Buchhaltung

Wer haftet bei Buchhaltung in der Cloud? – Spezial „Mit Sicherheit in die Cloud“, Teil 1

Wer einen Schaden verursacht, ist dem Geschädigten zur Haftung verpflichtet. Im gegenständlichen Leben mag dieser Rechtsgrundsatz einfach zu beweisen sein. Wie aber steht es mit der Haftung, wenn es nicht um Sachen sondern um Daten geht? Und: Was ist und wann tritt ein Schaden ein. Wer muss ihn vertreten, wer ist Geschädigter, wer Verursacher? Eine Herausforderung beim Cloud Computing ist, dass in der Regel mehr als nur zwei Parteien involviert sind. Einerseits spielt bei der Datennutzung personenbezogener Daten immer auch der Dateneigentümer eine Rolle. Zum anderen schalten Cloud-Provider oft auch Subunternehmen für die Leistungserbringung ein wie beispielsweise Rechenkapazitäten bei Drittanbietern. Bei der Buchhaltung kommt dazu, dass Steuerunterlagen das deutsche Hoheitsgebiet nicht verlassen dürfen. Aber der Reihe nach.

Haftung aus Vertragsverletzung

Bei Buchhaltung aus der Cloud handelt es sich um sogenannte typengemischte Verträge. Einerseits liegt ein Mietvertrag nur Nutzung einer Software vor. Diese hat bei Vertragsabschluss einen bestimmten Funktionsumfang. Eine Mietsache muss die bei Vertragsabschluss vereinbarten Eigenschaften über die gesamte Laufzeit aufweisen. Bei einem Programmierfehler verliert die Software die vereinbarten Eigenschaften. Daraus kann Ihnen als Nutzer ein Schaden entstehen, für die der Anbieter aufkommen muss. Bei einer Buchhaltungssoftware aus der Cloud kann ergänzend auch ein Werkvertrag vorliegen. Denn der Anbieter verpflichtet sich in der Regel, alle neuen Gesetze und Verordnungen mit Inkrafttreten in die Anwendung zu integrieren. Bei einem Werkvertrag gilt die Leistung als erbracht, wenn der vereinbarte Erfolg eintritt. Unterbleibt also ein Update rechtzeitig, entsteht Ihnen zudem ein Schaden, ist der Anbieter schadenersatzpflichtig.

Darüber hinaus können in einem Cloud-Vertrag auch dienstvertragliche Elemente vorkommen. Dies ist vor allem dann der Fall, wenn der Cloud-Provider sich zur Schulung der Kunden und seiner Mitarbeiter verpflichtet. In den überwiegenden Fällen kommt bei Leistungsstörungen dieser drei Arten das Mietvertragsrecht zur Anwendung. Weil aber diese Dienstleistung aus der Wolke noch eine relativ neue Rechtsdisziplin ist, ist die Rechtslage oft unübersichtlich. Dies gilt auch für den Datenschutz, der vor allem im grenzüberschreitenden Datenverkehr bisher wenig einheitliche Rahmenbedingungen vorfindet.

Haftung bei Fehlern in der Auftragsdatenverarbeitung

Komplexer als die Haftung bei Leistungsstörungen im Funktionsumfang sind Haftungsrisiken des Cloud Providers bei der sogenannten Auftragsdatenverarbeitung. Denn immer wenn personenbezogene Daten in der Cloud verarbeitet werden, geht es auch um den Datenschutz der Dateneigentümer. Hinzu kommt, dass viele Cloud-Provider sich weiterer Subunternehmer wie externe Rechenzentren zur Leistungserbringung bedienen. Die Verarbeitung personenbezogener Daten außerhalb der eigenen IT-Infrastruktur ist an enge Voraussetzungen gebunden, die im Bundesdatenschutzgesetz (BDSG) geregelt sind. Der Nutzer muss auch in der Cloud die Datenhoheit behalten, weil er letztverantwortlich bleibt. Deshalb müssen Sie Ihren Cloud-Provider vertraglich darauf verpflichten, dass er bei der Auftragsdatenverarbeitung die strengen Regeln des Bundesdatenschutzgesetzes (BDSG) einhält. Zudem müssen Sie bei der Auswahl Ihres Cloud-Providers drauf achten, dass dieser mindestens den Datengrundschutz des Bundesamtes für Sicherheit in der Informationswirtschaft (BSI) umsetzt.

Bereits bei der Auswahl des Anbieters sollten Sei sich vergewissern, dass Ihr Provider alle technisch möglichen und organisatorisch erforderlichen Maßnahmen nach der ISO 27001 erfüllt. Diese Industrienorm für Rechenzentren deckt die BSI Empfehlungen ab. Kommt es trotz aller Sicherungsmaßnahmen zu einem Datenverlust beispielsweise wegen eines fehlerhaften Backups, und tritt der Schaden aufgrund eines Umstandes ein, den der Cloud-Provider zu vertreten hat, ist er Ihnen zur Haftung verpflichtet. Müssen Sie sich aber einen Fehler zurechnen lassen durch Fehlbedienung oder unachtsamen Umgang mit den Daten, stehen Sie eventuell den Dateneigentümern gegenüber in der Haftung.

Wo findet die Datenverarbeitung statt

Eine Grundidee von Software oder Infrastruktur aus der Cloud ist, dass externe Ressourcen grenzüberschreitend auf verschiedenen Servern verarbeitet werden. Wo genau Ihre Daten und insbesondere Ihre Steuerdaten verarbeitet werden, können Sie in der Regel nur schwer nachprüfen. Erschwerend kommt hinzu dass die Verarbeitung personenbezogener Daten grundsätzlich nur innerhalb der EU zulässig ist. Und steuerrelevante Daten müssen zudem immer auf deutschem Hoheitsgebiet lagern. Sie sollten daher Ihren Cloud-Anbieter darauf vertraglich verpflichten, dass er solche Daten in seiner Cloud auf Servern verarbeitet, die in Deutschland stehen. Tut er dies nicht und erhalten Sie beispielsweise bei einer Betriebsprüfung ein Bußgeld, können Sie Ihren Cloud-Provider dafür haftbar machen, wenn Sie nachweisen können, dass er es ihnen vertraglich zugesichert hatte.

Fazit

Achten Sie bei der Auswahl einer Buchhaltungssoftware aus der Cloud darauf, dass Ihr Cloud-Provider alle Vorgaben des BDSG erfüllt und nach der ISO 27001 zertifiziert ist. Grundsätzlich bleiben Sie Herr über die Daten und müssen für die datenschutzkonforme Verarbeitung geradestehen. Je besser Sie alle BDSG-relevanten Auflagen mit ihrem Cloud-Anbieter vertraglich regeln, desto eher können Sie Haftungsrisiken für Ihr Unternehmen begrenzen und auf den Dienstleister abwälzen. Im Zweifel wird es aber immer um die Klärung gehen, wer einen Datenverlust oder eine Datenschutzverletzung zu verantworten.

Unser Spezial „Mit Sicherheit in die Cloud“:

Das Thema Cloudtechnologie ist in aller Munde, die Erleichterungen, die ein flexibler Zugriff auf Informationen, Daten und Dokumente mit sich bringt, ist charmant wie nie genauso wie die damit einhergehenden Arbeitserleichterungen. Dennoch muss man sich mit einigen Anforderungen an Datensicherheit und Datenschutz auseinandersetzen. Neben den Haftungsanforderungen beantworten wir in unserem Spezial „Mit Sicherheit in die Cloud“ in den folgenden Beiträgen Fragen wie:

  • Cloud oder Server – welche Variante lohnt sich?
  • Groß oder Klein? Für welche Unternehmen eignet sich die Cloud?
  • Die häufigsten Sicherheitsbedenken gegen die Cloud
  • Rechtliche Aspekte des Cloudcomputing
  • Diese Funktionen braucht Ihre Cloudlösung

Zurück
Schließen

Schreiben Sie einen Kommentar

Ihre E-Mailadresse wird nicht veröffentlicht.

Weitere Artikel zum Thema

Buchhaltung · 11. Dez. 2017

EU-DSGVO: Das muss die Finanzbuchhaltung beachten [Checkliste]

Wer einen Schaden verursacht, ist dem Geschädigten zur Haftung verpflichtet. Im gegenständlichen Leben mag dieser Rechtsgrundsatz einfach zu beweisen sein. Wie aber steht es mit der Haftun …

Buchhaltung · 30. Nov. 2017

Wirtschaftsfaktor Cloud [Infografik] – Spezial „Mit Sicherheit in die Cloud“, Teil 6

Wer einen Schaden verursacht, ist dem Geschädigten zur Haftung verpflichtet. Im gegenständlichen Leben mag dieser Rechtsgrundsatz einfach zu beweisen sein. Wie aber steht es mit der Haftun …

Buchhaltung · 22. Nov. 2017

Fakten versus Wolkenängste [Infografik] – Spezial „Mit Sicherheit in die Cloud“, Teil 5

Wer einen Schaden verursacht, ist dem Geschädigten zur Haftung verpflichtet. Im gegenständlichen Leben mag dieser Rechtsgrundsatz einfach zu beweisen sein. Wie aber steht es mit der Haftun …

Für welches(s) Themengebiet(e) wollen Sie sich registrieren?

Unternehmenssteuerung
Buchhaltung
Vertrieb/Marketing
Personalabrechnung
Personalmanagement
Ich bin damit einverstanden, dass meine personenbezogenen Daten von Sage Software GmbH und ihren Töchtern zum Zweck meiner weiteren Betreuung und der Zusendung von Informationen verarbeitet und genutzt werden dürfen. Ich kann der Verarbeitung oder Nutzung meiner Daten jederzeit gegenüber der Sage Software GmbH, Frankfurt/M., widerruf@sage.de widersprechen.

Vielen Dank für Ihre Anmeldung

Bitte prüfen Sie Ihre E-Mails. Wir haben Ihnen eine E-Mail zur Bestätigung Ihrer Adresse zugesendet. Bitte klicken Sie auf den Link, um Ihre E-Mail-Adresse zu verifizieren. Erst dann erhalten Sie unseren Newsfeed.