Die Deutsche Telekom wirbt auf der Cebit 2012 für Cloud-Lösungen. ©  Peter Steffen / picture alliance / dpa

Anfang März meldete der Notizspeicher-Dienst Evernote einen Einbruch in seine Server. Hacker kopierten 50 Millionen Nutzernamen, E-Mail-Adressen und Passwörter. Der große Datenklau blieb nur aus, weil Evernote die Passwörter seiner Kunden verschlüsselt speichert – wenn auch recht einfach. Doch der Fall zeigt das Risiko der ganzen Cloud-Computing-Branche, die davon lebt, Daten ihrer Kunden zu speichern.

Cloud-Computing ist praktisch. Ob Evernote, Dropbox oder GoogleDrive, wer seine Daten bei solchen Diensten hochlädt, kann sie von überall her abrufen, solange er einen Internetzugang hat. Das ist gerade für Menschen komfortabel, die mit unterschiedlichen Geräten und Betriebssystemen arbeiten.

Neben Komfort birgt Cloud-Computing aber eben auch Risiken. Wer seine Daten auf fremden Servern speichert, gibt Kontrolle ab. Wer also hat die Verantwortung für die Daten, wenn sie auf fremden Servern liegen? Wer muss einstehen, wenn sie verloren gehen, wenn sie verändert werden? Der Nutzer, der Anbieter oder der Betreiber der Serverfarm?

In der Regel lehnen die Anbieter jede Haftung ab – selbst im Falle von Datenverlust. Es ist etwa nach den Allgemeinen Geschäftsbedingungen von Evernote egal, wie Evernote einen Schaden verursacht hat, haften muss das Unternehmen dafür nicht. Evernote schreibt, man garantiere nicht für die Sicherheit des Dienstes, Kunden würden ihn auf eigene Gefahr nutzen. So ähnlich formulieren es auch die Cloud-Anbieter GoogleDrive, iCloud und Dropbox.

Welches Recht gilt überhaupt?

Nach deutschem Recht können Anbieter ihre Haftung allerdings nur begrenzen, wenn sie frei von Schuld oder leicht fahrlässig handeln. Geschieht etwas absichtlich oder grob fahrlässig, haften sie nach deutschem Recht weiter, auch wenn in den Geschäftsbedingungen etwas anderes steht. Skydrive und Evernote erklären das deutsche Recht ausdrücklich für anwendbar. Das heißt, die Haftungsausschlüsse, wie sie in den AGBs von Evernote formuliert sind, gelten nicht.

Schwieriger wird es, wenn Anbieter das deutsche Recht nicht anwenden. Bei einer Firma mit Sitz innerhalb der Europäischen Union gilt vereinfacht das Recht des Landes, in dem der Verbraucher sitzt. Das geht aus der Rom-I-Verordnung hervor. Allerdings enthält diese Verordnung für Dienstleistungsverträge eine Ausnahme. Wenn Verträge mit Cloud-Anbietern Dienstleistungsverträge sind, könnte es also kompliziert werden.

Jens Ferner ist Rechtsanwalt für IT-Recht. Er sagt, Cloud-Verträge lassen sich nicht einfach einer Vertragsart zuordnen: "Das sind meist Mischverträge. Es wird innerhalb Europas entscheidend darauf ankommen, an welchen Verbraucherkreis sich das Cloud-Angebot richtet. Danach bestimmt sich dann der Gerichtsstand." Wer also auf einer französischen Seite einen Server für seine Daten sucht, der wird im Zweifel seine Rechte vor einem französischen Gericht verteidigen müssen. So sind die Regeln in Europa.

Wer dagegen mit Firmen außerhalb Europas einen Cloud-Vertrag abschließt, muss seine Ansprüche in der Regel in Amerika durchsetzen. Das ist kompliziert, denn jeder der 50 US-Bundesstaaten hat eigene Gesetze, wie er mit derartigen Streitigkeiten verfährt. Bei iCloud von Apple und Skydrive von Microsoft verweisen die Konzerne in ihren Geschäftsbedingungen auf das Recht des Verbraucher-Wohnsitzes. Ansprüche der Verbraucher könnten dann vor deutschen Gerichten durchgesetzt werden.