Schon vor drei Jahren wurde Cloud Computing auf der CEBIT als kommende Revolution in der IT-Bereitstellung und -Nutzung gefeiert. Dass es sich um mehr als ein bloßes Modewort handelt, welches nach einigen Monaten wieder von der Bildschirmfläche verschwunden ist, zeigt sich bereits daran, dass Cloud Computing auch auf der kommenden CEBIT wieder eine gewichtige Rolle spielen wird. Inzwischen ist Cloud Computing dem Windelalter erwachsen, die Jahre als Teenager hat es jedoch noch vor sich (so jedenfalls das Branchenmagazin ZDNet, „Cloud Computing kommt 2012 in die Flegeljahre“, Meldung vom 02.01.2012). Viele Anbieter haben inzwischen neue Services auf Basis von Cloud Computing im Programm; die Nutzerzahlen steigen parallel zu den Angeboten. Flankiert wird diese Entwicklung von einem zweiten Hype, dem Mobile Computing, d.h. der Nutzung von Applikationen auf dem Smartphone. Die Mobile Cloud, also die Nutzung von Anwendungsprogrammen auf dem Smartphone, bei der die Datenverarbeitung und -speicherung in der Cloud erfolgt, scheint beide Entwicklungen perfekt zu vereinigen.
Auch die Rechtsfragen erfreuen sich inzwischen einer breiten Diskussion – jedenfalls unter den Juristen. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat inzwischen sogar eine erste „Orientierungshilfe – Cloud Computing“ herausgegeben, um insbesondere die datenschutzrechtlichen Diskussionen aufzugreifen und den datenschutzgerechten Einsatz der neuen Technologie zu fördern. Das Datenschutzrecht ist jedoch nur eine – wenn auch die zur Zeit am intensivsten diskutierte – juristische Hürde, die es für den rechtskonformen Einsatz von Cloud Computing zu meistern gilt.
In zivilrechtlicher Hinsicht kommt es neben den Fragen des anwendbaren Rechts in dem zumeist international geprägten Umfeld insbesondere auf die Typologie und Ausgestaltung der entsprechenden Cloud Computing-Verträge an. Der Verlust der Kontrolle über die eigenen Daten und der Transparenz ihrer Verarbeitung sowie die daraus resultierende Abhängigkeit vom Cloud -Anbieter sollten – soweit möglich – vertraglich kompensiert werden: Die Abgrenzung der Verantwortlichkeit zwischen Anbieter und Nutzer ist im Vertrag klar zu regeln. Service Level Agreements (SLA) helfen bei der Beurteilung der Qualität der angebotenen Services; insbesondere auf die Ausgestaltung entsprechender Verfügbarkeitsklauseln ist hier das Augenmerk zu richten. Klare Leistungsübergabepunkte sollten genauso geregelt werden wie das Notfall-Management, Ausstiegsrechte und die Migration der Daten am Vertragsende. Zur Compliance gehört aber auch die Berücksichtigung – und ggf. vertragliche Weitergabe – von Verschwiegenheitspflichten, denen der Cloud-Nutzer unterliegt.
Auch im Rahmen der urheber- und lizenzrechtlichen Fragen rund um das Cloud Computing spielt das Thema des anwendbaren Rechts eine große Rolle. Eine Anwendung des sogenannten Schutzlandprinzips hätte hier zur Folge, dass die Anbieter von Cloud Computing Services grundsätzlich urheberrechtliche Nutzungsrechte für alle Rechtsordnungen sicherstellen müssten, in denen ihre Dienste auch nur theoretisch genutzt werden könnten. Wie dieses aus der Ubiquität des Internets folgende Problem praktisch gelöst werden kann, ist weitgehend ungeklärt. Im Übrigen hängt die Ausgestaltung der Lizenzverhältnisse zwischen dem Cloud-Anbieter und dem Software-Hersteller einerseits sowie zwischen dem Cloud-Anbieter und dem Nutzer andererseits insbesondere davon ab, welche urheberrechtlichen Verwertungsrechte bei der Nutzung des Cloud Computing überhaupt betroffen sind.
Der Datenschutz spielt innerhalb des juristischen Schrifttums zur Zeit wohl die größte Rolle, insbesondere die Frage der datenschutzrechtlichen Verantwortlichkeit und des Vorliegens einer sog. Auftragsdatenverarbeitung als Rechtfertigung für die Verarbeitung personenbezogener Kunden- oder Mitarbeiterdaten in der Cloud. Die Auftragsdatenverarbeitung ist dadurch gekennzeichnet, dass sich eine verantwortliche Stelle eines externen Service-Providers bedient, der mit den Daten nur nach Weisung der verantwortlichen Stelle umgeht; der Service-Provider fungiert also als „verlängerter Arm“ bzw. ausgelagerte Abteilung der verantwortlichen Stelle, die Herrin ihrer Daten bleibt. Da diese gesetzgeberische Vorstellung in der Praxis standardisierter, weltweit nutzbarer Cloud-Modelle kaum umzusetzen ist , befindet sich das Cloud Computing in einem datenschutzrechtlichen Dilemma, das sich im internationalen Umfeld, insbesondere außerhalb der EU, noch verschärft.