Wenn Ihr Cloud Provider bankrott geht

* Dr. Mark A. Reutter ist Partner und Rechtsanwalt bei Walder Wyss AG. Zu seinen Spezialgebieten zählen Outsourcing, Datenschutz, Insolvenzrecht und Informationstechnologie   Die Gefahr, dass ein Cloud-Anbieter in Konkurs geht, ist real ? dies zeigt das Beispiel Nirvanix. Das US-amerikanische Unternehmen startete sein Cloud-Angebot im Jahr 2007 und konnte bis 2012 über mehrere Finanzierungsrunden insgesamt 70 Millionen US-Dollar für den Aufbau seiner Aktivitäten sichern. Das Angebot richtete sich an Endkunden und an Anbieter, welche die Dienste mit ihren eigenen Angeboten bündelten. Ein wichtiger Meilenstein in der Geschichte von Nirvanix war der Abschluss eines Fünfjahresvertrags mit IBM im Jahr 2011. Gestützt auf diesen Vertrag wurden IBMs SmartCloud Enterprise Storage Services um von Nirvanix bereitgestellte Cloud-basierte Speicherkapazitäten erweitert. Auch für Dell-Kunden war Nirvanix im Subunternehmerverhältnis als Storage-Provider tätig.

Völlig überraschend wurden die Kunden am 16. September 2013 aufgefordert, ihre bei Nirvanix gespeicherten Daten innert spätestens 15 Tagen zu «entfernen». Anschliessend stünden die Systeme nicht mehr zur Verfügung und es werde ein Konkurs- bzw. Sanierungsverfahren (Chapter 11) eingeleitet, hiess es in der Mitteilung. Am 1. Oktober reichte Nirvanix wie angekündigt das Konkursbegehren ein. Immerhin gab es anschlies­send für diejenigen Kunden, die ihre Daten bis zu diesem Zeitpunkt noch nicht retten konnten, eine zweite und letzte Möglichkeit zur Migration ihrer Daten bis zum 15. Oktober. Der Fall Nirvanix verlief für die Kunden noch einigermassen glimpflich, weil sie wenigstens die Möglichkeit hatten, vor dem Konkurs ihre Daten zu sichern. Es hätte ohne Weiteres auch anders kommen können: Wäre Nirvanix ohne Vorankündigung in ein Sanierungsverfahren gegangen oder direkt in Konkurs gefallen, wäre es für die Kunden praktisch unmöglich ge­wesen, ihre Daten innert nützlicher Frist zurückzuerlangen.

Ein anderes Problem bei einer Insolvenz wurde im Konkursverfahren von RadioShack offenkundig. RadioShack war einer der grössten amerikanischen Detailhändler für Elektronik ? daneben aber auch als Wiederverkäufer für wichtige Telefongesellschaften wie AT&T tätig. Auf den Systemen von RadioShack befanden sich ? wie bei einem Cloud-Anbieter ? auch Daten anderer Firmen und deren Kunden. Diese Kundendaten wurden bereits im Vorfeld des Konkurses als einer der wichtigsten Vermögenswerte von RadioShack identifiziert. Unmittelbar nach Eröffnung des Verfahrens traf man Anstalten, diese Daten so schnell und gut wie möglich zu versilbern, d. h., an einen Dritten zu verkaufen. Für die Telefongesellschaften kam diese Gefahr unerwartet. Sie strengten Gerichtsverfahren an, die schliesslich in einen Vergleich mündeten.

Die Insolvenz eines Cloud-Providers (wie auch von Outsourcing-Providern generell) birgt für den Kunden die Gefahr, dass er keinen Zugang mehr zu geschäftskritischen Daten, Systemen oder auch Funktionen hat, dass Daten verloren gehen oder ungewollt in die Hände von Dritten gelangen. Um hier für Klarheit zu sorgen, reichte Nationalrat Jean Christophe Schwaab am 16.9.2014 eine parlamentarische Anfrage ein. Der Bundesrat solle sich äussern, ob in der Schweiz besondere Bestimmungen im Konkursrecht nötig seien, damit Kunden ihre Daten in der Insolvenz von Anbietern herausverlangen können. Die Antwort war abschlägig. Nach Ansicht des Bundesrats ist eine Sonderregel betreffend Daten im Konkursfall nicht angemessen. Zudem seien Daten bereits sonst genügend geschützt. Die Antwort des Bundesrats ist bedauerlich. Sie verkennt die Brisanz der Fragestellung und den Handlungsbedarf gerade auch in der Schweiz. Die Konkursmasse umfasst das gesamte pfändbare Vermögen des Konkursiten. Vermögen ist prima vista alles, was im «Besitz» des Konkursiten ist, bzw., was sich in seiner Herrschaft befindet. Und dies sind eben auch Daten, die er für Dritte bearbeitet und speichert. Pfändbar ist, was veräusserlich ist ? auch dieses Kriterium können wertvolle Daten erfüllen. Das schweizerische Zwangsvollstreckungsrecht basiert zwar auf dem Grundsatz, dass Dritteigentum, das sich in einer Konkursmasse oder in den Händen eines Pfändungsschuldners befindet, vom Dritteigentümer herausverlangt und so vor einem Beschlag geschützt werden kann. Bei Daten greift dieser Schutz jedoch nicht.

Entsprechende Ansprüche von Dritten werden unter dem SchKG (Schuldbetreibungs- und Konkursgesetz) in einem eigenen Verfahren, dem sogenannten Widerspruchs- oder Aussonderungsverfahren, behandelt. Einem Herausgabeanspruch wird stattgegeben, wenn der Dritte sein Eigentum nachweisen kann. Für die Erleichterung dieses Nachweises (und zwecks Vermeidung der Notwendigkeit der Führung von Prozessen) haben sich in der «analogen Welt» für verschiedene Rechtsverhältnisse besondere Massnahmen etabliert. So wird etwa bei Miet- oder Leasingverträgen oft stipuliert, dass die gemieteten oder geleasten Gegenstände mit einer Markierung als Eigentum des Besitzers zu kennzeichnen sind und dass Betreibungs- oder Konkursbeamte auf das Dritteigentum aufmerksam gemacht werden sollen. Vergleichbare Vorkehrungen für die «digitale Welt» gibt es leider nicht direkt. Herausgegeben und ausgesondert werden gemäss dem SchKG nur körperliche Gegenstände, oder juristischer ausgedrückt: Geschützt wird nur das sachenrechtliche Eigentum. Daten sind keine körperlichen Gegenstände und damit keine Sachen, an denen rechtliches Eigentum begründet werden kann. Dies gilt nicht nur in der Schweiz, sondern auch in anderen Rechtsordnungen. Daten sind zwar allenfalls durch Spezial­gesetze besonders geschützt: Personendaten zum Beispiel durch das Datenschutzgesetz, Unternehmensdaten durch Bestimmungen zum Fabrikations- und Geschäftsgeheimnis und je nachdem auch zu unlauterem Wett­bewerb. Dieser Spezialschutz verhilft aber nicht zur Erlangung von Daten, die sich in einer Konkursmasse befinden. Zudem wird ein Cloud-Provider nicht nur Personendaten und spezifische Unternehmensdaten, sondern regelmässig auch weitere Datenarten und -kategorien und je nachdem auch verbundene Systeme für seine Kunden betreuen und aufbewahren. Das geltende SchKG verschafft dem Kunden eines Cloud-Providers folglich keinerlei verlässliche Gewähr, dass solche Daten oder verbundene Systeme im Konkurs des Providers he­rausverlangt und behändigt werden können. Ebenso wenig besteht die Gewissheit, dass die Ansprüche eines Kunden zeitnah angegangen werden (was aufgrund der kurzen Halbwertszeit von Daten wichtig wäre). Entgegen der Ansicht des Bundesrats besteht damit dringender Handlungsbedarf für eine spezifische Daten­regelung im SchKG. Andernfalls sind im Konkursfall die Betroffenen schlicht der Willkür von Konkursbeamten ausgeliefert. Lesen Sie auf der nächsten Seite: Nichts geht mehr

Hindernisse für den Kunden bestehen nicht nur, weil griffige gesetzliche Regelungen fehlen. Auch der Ablauf eines Konkursverfahrens kann Hürden mit sich bringen. In der Praxis der Konkursämter ist die sogenannte «Schliessung der Lokale» nach der Eröffnung eines Konkurses eher die Regel als die Ausnahme, wobei auch der Betrieb eingestellt und die Belegschaft entlassen wird. Bei einem Konkurs des Cloud-Providers bedeutet dies, dass die Personen nicht mehr verfügbar sind, die das nötige Fachwissen hätten, um Daten und virtuelle Systeme der Kunden auszulesen und herauszugeben. Auch der technische Betrieb lässt sich nach kurzer Zeit nicht mehr aufrechterhalten. Grund: Cloud-Provider stützen sich in der Regel auf verschiedenste andere Provider (wie etwa Netzwerk- oder Hosting-Provider) ab. Bleiben deren Rechnungen unbezahlt, werden diese ohne Weiteres auch ihre Leistungen  einstellen. Manchmal bieten Konkursämter aus Kulanz oder Pragmatismus dennoch Hand zur Aussonderung von Daten, ungeachtet der fehlenden gesetzlichen Grundlage. Doch selbst das nützt den betroffenen Unternehmen wenig. Die üblichen Wartefristen von Wochen oder gar Monaten, bis Entscheide über eine Aussonderung getroffen werden, sind schlicht zu lange, wenn es um für ein Unternehmen notwendige Daten geht.

Für den Juristen wie auch für den Geschäftsmann stellt sich damit natürlich die Frage, ob man solche Situationen nicht vertraglich regeln kann. Die Antwort dazu ist leider tendenziell nein. Vertragliche Bestimmungen, die auf die Gestaltung der Rechtslage nach einer Konkurseröffnung zielen und darüber hinaus auch noch in Zwangsvollstreckungsrecht eingreifen, sind in schweizerischen Konkursen zumeist unzulässig oder nicht durchsetzbar. So wäre etwa eine vertragliche Verpflichtung, wonach der Cloud-Provider sofort nach Konkurseröffnung sämtliche Daten und virtualisierten Systeme herauszugeben hat, nicht durchsetzbar und ohne Bestand, weil damit unzulässig eine Verpflichtung der Konkursverwaltung begründet werden will.  Zulässig sind hingegen vertragliche Vereinbarungen, wonach ein Cloud-Provider bereits vor oder bei Einleitung eines Konkursverfahrens (und damit vor der Konkurseröffnung) verpflichtet ist, sofort sämtliche Daten und vir­tualisierten Systeme eines Kunden heraus­zugeben. Fraglich ist allerdings, ob ein Cloud-Provider in einem solchen Moment seinen Pflichten tatsächlich nachkommen würde. Ist der Konkurs einmal eröffnet, kann auch eine solche vertragliche Verpflichtung nicht mehr durchgesetzt werden.

Die Schweiz steht mit den rechtlichen Un­sicherheiten in Bezug auf den Konkurs eines Cloud-Providers nicht alleine da ? unser Land hat also immerhin keinen Standortnachteil. Auch in Deutschland werden rege Diskussionen geführt, wie rechtliche Fragen rund um Daten in der Insolvenz eines Dienstleisters besser gelöst werden könnten. Das nördliche Nachbarland kennt ebenfalls kein Eigentum an Daten. Als bislang grosse Ausnahme hat sich Luxemburg dieser Sache konkret angenommen und mit einem Gesetz ausdrücklich das Schicksal von Daten in der Insolvenz von Providern ge­regelt. Art. 567 Abs. 2 des Luxemburgischen Handelsgesetzes legt seit 2013 fest, dass es einen Anspruch auf Rückgabe bzw. Übergabe von nichtkörperlichen beweglichen Vermögenswerten gegenüber einer konkursiten Gesellschaft gibt. Voraussetzung ist, dass der Konkursit die Daten nur innehat (und nicht rechtlicher Inhaber daran ist), dass ihm die Daten anvertraut wurden und dass die Daten separiert werden können. Die Kosten der Herausgabe muss der Ansprechende tragen. Daten werden dabei in einem weiten Sinne verstanden und die  Bestimmung richtet sich nicht nur an Cloud-Provider, sondern ist generell auf Konstellationen ausgerichtet, unter denen Daten einer dritten Partei anvertraut werden.

Bei all diesen Unsicherheiten stellt sich die Frage nach der generellen Prävention. Ein einfaches Mittel ist die Standortwahl. Ein Cloud-Provider, der in Luxemburg (oder einem anderen Land mit vergleichbarem Rechtsrahmen) inkorporiert ist und die Daten seiner Kunden auch dort hält, kann bereits einiges an Komfort verschaffen. Verschiedene weitere Präventionsmassnahmen lassen sich leider nur schwer mit den Vorteilen der Virtualisierung und den damit an­gestrebten Kosteneinsparungen in Einklang bringen. So sollten Daten wenn immer möglich separiert und die Datenstandorte festgelegt sein. Double- oder gar Multiprovider-Strategien («back up the backup») sind ebenfalls zu empfehlen. Vermieden werden sollte ein Lock-in auf die Technologie eines Providers; der Portabilität von Daten und virtualisierten Systemen muss ebenfalls Augenmerk zukommen. Auch Escrow-Lösungen können zielführend sein: Die Hinterlegung von Administrationspasswörtern/-rechten für Cloud-Provider-Systeme bei einem Escrow-Agenten kann dem Kunden ermög­lichen, im Konkursfall nötigenfalls selbst zu handeln und seine Daten unabhängig vom Cloud-Provider bzw. der Konkursverwaltung abzurufen. Dies setzt aber natürlich voraus, dass die Systeme des Cloud-Providers trotz des Konkurses noch laufen. Auch wenn vertragliche Bestimmungen nicht in jedem Fall effektiv sind, empfiehlt es sich dennoch, dass im Vertrag mit dem Cloud-Provider die Inhaberschaft an Daten sowie virtualisierten Systemen und die Pflichten zur Herausgabe sowie auch allfällige Herausgabemodalitäten klar und eindeutig geregelt werden.

Providern gravierende Probleme auftreten. Diese sind nicht nur rein rechtlicher Natur (kein Sacheigentum an Daten), sondern auch technisch bedingt (Datenstandort, Extrahierung der Daten). Hinzu kommen zeitliche Unwägbarkeiten (Konkursverwaltungen müssen keine Fristen einhalten) und auch konkursrechtliche Eigenheiten: Konkurse sind durch das Prinzip der Territorialität geprägt und grenzüberschreitende Sachverhalte bringen zusätzliche, komplexe Fragen mit sich.  Was die Schweiz als Standort für Cloud-Services und Data Center anbelangt, wäre es wünschenswert, dass der Gesetzgeber sich ein  Beispiel an Luxemburg nimmt und zumindest dafür sorgt, dass ein klarer rechtlicher Rahmen geschaffen wird.