Datenverarbeitungsdienst nach Data Act und Cloud-Computing-Dienst nach NIS2 - Gestaltungsspielraum für Unternehmen

1. Einführung

Wer heute eine digitale Dienstleistung auf dem Markt anbietet, begegnet einem komplexen gesetzlichen Regelungsgeflecht. In unserer Beratungspraxis begegnet uns immer häufiger die Frage, ob eine digitale Dienstleistung einen „Datenverarbeitungsdienst“ nach dem Data Act oder einen „Cloud-Computing-Dienst“ i.S.d. NIS2-Richtlinie darstellt.

Die praktischen Auswirkungen der Antwort auf diese Frage sind weitreichend. So verpflichtet der Data Act in seinem Kapitel VI Anbieter von „Datenverarbeitungsdiensten“ zu umfassenden Cloud-Switching-Pflichten. Die NIS2-Richtlinie (wie auch das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik („BSIG“)) verlangt, dass Anbieter eines „Cloud-Computing-Dienstes“ spezifische IT-Sicherheitsmaßnahmen ergreifen. Daneben enthalten eine Reihe von bereichsspezifischen Gesetzen (z.B. § 384 Nr. 5 SGB V für den Gesundheitsbereich) zusätzliche spezifische Anforderungen an Datenverarbeitungs- und Cloud-Computing-Dienste. Für die Praxis ist daher von erheblicher Bedeutung, digitale Dienste klar zu klassifizieren und Gestaltungsspielräume zu nutzen.

2. Begriffsbestimmung von „Datenverarbeitungsdienst“ und „Cloud-Computing-Dienst“

Gesetzlicher Anknüpfungspunkt für die Definition eines „Cloud-Computing-Dienstes“ ist Art. 6 Nr. 30 NIS2-RL sowie die inhaltsgleiche Definition in § 2 Nr. 4 BSIG. Beide Normen beschreiben den „Cloud-Computing-Dienst“ als einen „digitale[n] Dienst, der auf Abruf die Verwaltung eines skalierbaren und elastischen Pools gemeinsam nutzbarer Rechenressourcen sowie den umfassenden Fernzugang zu diesem Pool ermöglicht, auch wenn die Rechenressourcen auf mehrere Standorte verteilt sind.“ Für die Begriffsbestimmung von besonderer Bedeutung ist die in ErwGr. Nr. 33 NIS2-RL vorgenommene Präzisierung. Danach liegt ein „Cloud-Computing-Dienst“ vor, wenn sich der Nutzer die Ressourcen wie Serverzeit oder Speicherplatz „selbst [und] ohne Interaktion mit dem Anbieter zuweisen kann."

Der Data Act greift diesen Ansatz auf, wählt jedoch mit dem „Datenverarbeitungsdienst“ in Art. 2 Nr. 8 eine weitere Definition. Nach ErwGr. Nr. 78 Data Act schließen Datenverarbeitungsdienste zwar auch Cloud- und Edge-Dienste ein, sind jedoch nicht darauf beschränkt. Während der „Cloud-Computing-Dienste“-Begriff in der NIS2-RL und dem BSIG eine vollständige Automatisierung vorauszusetzen scheint („auf Abruf“, „ohne Interaktion mit dem Anbieter“), genügt für einen „Datenverarbeitungsdienst“ nach dem Data Act dem Wortlaut nach bereits, dass die Ressourcen mit „minimalem Verwaltungsaufwand und minimaler Interaktion des Diensteanbieters“ bereitgestellt werden können (ErwGr. Nr. 80 Data Act).

Diese europarechtlichen Begriffsbestimmungen entfalten ihre Wirkung (mittelbar) auch im deutschen Recht: So hat der deutsche Gesetzgeber beispielsweise den Begriff des „Cloud-Computing-Dienstes“ aus der NIS2-RL wortlautgetreu in § 384 Satz 1 Nr. 5 SGB V übernommen. Für Anbieter von „Cloud-Computing-Diensten“ im Gesundheitswesen bedeutet dies, dass sie besonders strenge rechtliche Anforderungen einhalten müssen (z.B. Vorlage eines C5-Testats).

3. Unklarheiten in der gesetzlichen Definition

Obwohl die gesetzlichen Definitionen auf den ersten Blick präzise erscheinen, führt ihre Anwendung in der Unternehmenspraxis zu Schwierigkeiten. Der zentrale Unsicherheitsfaktor ist dabei das Merkmal der „Verwaltung auf Abruf“ (NIS2-RL und BSIG) bzw. „auf Abruf verfügbar“ (Data Act). Der Gesetzgeber verzichtet weitgehend auf erläuternde Ausführungen und lässt offen, wann genau ein „Abruf“ vorliegen soll. Damit kommt es auf den Einzelfall an, um die Grenze zwischen einer regulierten Cloud-Lösung und einem klassischen IT-Outsourcing zu bestimmen. ErwGr. Nr. 33 zur NIS2-RL deutet zwar an, dass eine Verwaltung auf Abruf vorliegen „könnte“, wenn sich der Nutzer Ressourcen „selbst ohne Interaktion“ mit dem Anbieter zuweist. Die Formulierung im Konjunktiv („könnte“) und die bisher fehlende Rechtsprechung lassen jedoch Raum für Interpretationen. Besonders im Data Act verschwimmt die Abgrenzung weiter, da hier auch eine „minimale Interaktion“ des Anwenders mit dem Anbieter für die Einordnung als Datenverarbeitungsdienst unschädlich sein soll.

Um diese gesetzliche Unschärfe zumindest in Teilen aufzulösen, lohnt sich ein Blick in die technischen Regelwerke und Standards internationaler Normungsorganisationen wie der ISO (Internationale Organisation für Normung) sowie des NIST (National Institute of Standards and Technology), auf die sich u.a. auch das BSI stützt. Die ISO/IEC-Norm 22123-1 definiert als Kernmerkmal eines „Cloud-Computing-Dienstes“ die „Selbstbedienung auf Anforderung“ (on-demand self-service), d.h. die Bereitstellung von Ressourcen erfolgt „automatisch ohne manuelle Interaktion des Cloud-Anbieters“. Auch das US-amerikanische NIST und die European Union Agency for Cybersecurity (ENISA) fordern ein „near instantaneous provisioning“, also ohne nennenswerte menschliche Eingriffe. Der Rückgriff auf die technischen Standards von ISO, NIST und Co. zeichnet also ein klareres Bild: Ein Cloud-Dienst ist demnach durch Vollautomatisierung geprägt.

4. Gestaltungsspielraum für Unternehmen

Die Unschärfe der gesetzlichen Definitionen eröffnet einen Gestaltungsspielraum in der Praxis. Um die Einordnung ihres digitalen Dienstes als „Datenverarbeitungs-“ oder „Cloud-Computing-Dienst“ aktiv zu steuern, können Unternehmen bereits in der Designphase ansetzen und frühzeitig gezielte technische Weichenstellungen vornehmen. Ein effektiver Hebel liegt dabei in der bewussten Durchbrechung der Vollautomatisierung, etwa durch die Implementierung statischer Ressourcengrenzen, die eine elastische Skalierung im technischen Sinne verhindern. Entfällt das Merkmal einer Verwaltung bzw. einer Verfügbarkeit „auf Abruf“, fehlt eine zentrale Anforderung des Datenverarbeitungs- und Cloud-Computing-Dienste-Begriffs, wodurch sich der Dienst wieder stärker klassischen Hosting-Modellen annähert. In der Konsequenz lässt sich dann oft vertreten, dass derartige Dienste aus dem Anwendungsbereich etwa der NIS2-RL, des BSIG und des Data Acts herausfallen.  

Ergänzend zu den technischen Maßnahmen können Unternehmen organisatorische Mechanismen ergreifen, die sich unmittelbar auf den charakteristischen „Self-Service-Mechanismus“ auswirken. Hierzu zählt insbesondere die Implementierung echter manueller Freigabeprozesse, bei denen eine Ressourcen-Erweiterung zwingend eine individuelle Prüfung und aktive Handlung durch den Anbieter erfordert (etwa die Akzeptanz einer Order Form). Denkbar ist auch eine vertragliche Beschränkung der Administrationsrechte auf wenige Personen, wodurch ebenfalls die „unmittelbare Verfügbarkeit“ unterbrochen werden kann.

Dabei werden Unternehmen selbstverständlich abzuwägen haben, welche wirtschaftlichen Auswirkungen derartige Maßnahmen auf ihre Dienste haben könnten.

5. Zusammenfassung

Nach derzeitigem Stand haben Anbieter digitaler Dienste erheblichen Gestaltungsspielraum, um eine Klassifizierung als Datenverarbeitungsdienst nach dem Data Act bzw. als Cloud-Computing-Dienste nach der NIS2-RL zu vermeiden.