Cloud-Dienstleistungen basieren darauf, dass IT-Infrastrukturen, wie Rechen- oder Netzkapazitäten, Datenspeicher oder auch Software direkt über ein Netzwerk, insbesondere das Internet, zur Verfügung gestellt werden und diese von einem Nutzer je nach Bedarf bezogen werden können. Der Nutzer braucht die konkrete IT-Infrastruktur in der Folge nicht lokal anzuschaffen und spart damit grosse Anschaffungskosten.
Das Cloud-Computing erlebt bereits seit mehreren Jahren eine nicht abreissende Nachfrage – und diese nicht nur im Businessumfeld, sondern auch bei Privaten. Heutzutage verfügt beispielsweise fast jeder über einen Webmail-Account z.B. bei Bluewin oder Gmail, oder über Onlinespeicher bei Dropbox oder einem anderen Anbieter. Auf diesen Cloud-Providern befinden sich nicht nur Personendaten, sondern vielfach weitere Arten von digitalen strukturieren oder unstrukturierten Daten.
Auch über Cloud-Provider können bei schlechtem Geschäftsgang Insolvenzverfahren eröffnet werden. Dies birgt für die Kunden die inhärente Gefahr, dass sie keinen Zugang mehr zu den privaten oder geschäftlich verwendeten Computerdaten, Systemen oder Funktionen haben.
Im Konkursverfahren umfasst die Konkursmasse das gesamte pfändbare Vermögen des Konkursiten (Art. 197 ff. SchKG). Dritteigentum, das sich in der Konkursmasse befindet, kann vom Dritteigentümer ausgesondert und herausverlangt werden (Art. 242 Abs. 1 SchKG). Dieses Recht bezieht sich allerdings lediglich auf sachenrechtliches Eigentum. Daten stellen keine körperlichen Gegenstände dar und werden in der Folge nicht als Sachen behandelt, an denen ein rechtliches Eigentum begründet werden kann.
Das Bundesgesetz über Schuldbetreibung- und Konkurs bietet den Kunden von Cloud-Providern folglich keine Sicherheit, dass diese im Konkurs des Providers auf die eigenen Daten zugreifen oder diese herausverlangen können. Nach derzeitigem Recht verlieren Unternehmen und auch Private im Insolvenzfall des Cloud-Providers jeden Zugriff und jeden Anspruch, um zu ihren eigenen Daten zu gelangen, weil die rechtliche Grundlage dafür fehlt. Im Zwangsvollstreckungsverfahren werden alle Vermögenswerte, darunter insbesondere Sachgegenstände wie die vorhandenen Rechner und Speichermedien, versilbert. Die auf den Rechnern und Speichermedien befindlichen Daten der ehemaligen Kunden werden nur berücksichtigt, wenn sie einen Vermögenswert besitzen und ebenfalls versilbert werden können. Ansonsten bleibt das Schicksal der Daten der ehemaligen Kunden direkt mit demjenigen des Sachgegenstands verbunden.
Vertragliche Lösungsansätze entfalten keine absichernde Wirkung, weil ein Cloud-Provider im Konkurs möglicherweise über keine Mittel und kein Personal (mehr) verfügt und auch kein nachhaltiges Interesse mehr hat, den vertraglichen Verpflichtungen nachzukommen. Und auch einer gerichtlichen Durchsetzung wird zu diesem Zeitpunkt wenig Erfolg beschieden sein.
Dieser Zustand ist in einer modernen, unausweichlich vermehrt digitalisierten (Geschäfts-)Welt untragbar. Es ist Sache des schweizerischen Gesetzgebers, de lege ferenda eine Erweiterung der gesetzlichen Aussonderungsrechte im Konkurs auf Daten in der Schweiz vorzunehmen.
Bislang hat sich erst Luxemburg dem Problem angenommen und in einem Gesetz ein Aussonderungsrecht für Daten im Falle eines Konkurses geregelt. Damit hat ein Antragsteller einen Anspruch gegen die konkursite Gesellschaft, um nichtkörperliche bewegliche Vermögenswerte herauszuverlangen, sofern die betreffenden Daten von den Daten der anderen Cloud-Nutzer getrennt werden können.
Eine vergleichbare Umsetzung über die Handhabung von Daten im Konkurs ist auch in der Schweiz im Sinne der Rechtssicherheit dringend nötig.
Aus diesem Grund hat die auf IT Recht spezialisierte Anwaltskanzlei Suffert Neuenschwander & Partner (www.snplegal.com) als Berater des ICT Dachverbandes ICTswitzerland einen Vorstoss ausgearbeitet, der vom Präsidenten des Verbandes, NR Marcel Dobler als parlamentarische Initiative eingereicht worden ist.
Der Vorstoss sieht vor, dass der Bundesrat beauftragt wird, Art. 242 des Bundesgesetzes für Schuldbetreibung und Konkurs mit einem zusätzlichen Absatz 1bis mit nachfolgendem Inhalt zu ergänzen:
„Die Konkursverwaltung trifft eine Verfügung über die Herausgabe von nichtkörperlichen Vermögenswerten, welche von einem Dritten beansprucht werden. Die Herausgabe setzt voraus, dass die nichtkörperlichen Vermögenswerte separiert werden können und der Antragsteller glaubhaft machen kann, dass diese dem Schuldner nur anvertraut sind.“
Zur Begründung wird ausgeführt:
Damit der Wirtschaftsstandort Schweiz im internationalen ICT-Umfeld Bestand haben kann, bedarf es zukunftsfähiger Grundlagen. Dazu gehören eine stabile und moderne Infrastruktur, gut ausgebildete Arbeitnehmer und fortschrittliche Rechtsgrundlagen zum Schutz von Personendaten sowie auch von Computerdaten.
Der Konkursfall eines Cloud-Providers stellt Kunden und Nutzer heute vor grosse Probleme: Der Eigentümer von Daten, die er als Kunde eines Cloud-Providers bei einem solchen hinterlegt, hat keine Möglichkeit, diese wieder heraus zu verlangen, wenn der Cloud-Provider in Konkurs fällt. Dies ist einerseits darauf zurück zu führen, dass Computerdaten sachenrechtlich keine beweglichen Sachen darstellen. Anderseits fehlt es einer rechtlichen Grundlage, um bei einer Konkursverwaltung den Antrag auf Rückgabe der hinterlegten Daten zu stellen.
Bereits in der parlamentarischen Anfrage Nr. 14.1064 von Jean Christophe Schwab vom 16.09.2014 an den Bundesrat hat dieser die Frage gestellt, ob das Konkursrecht in Bezug auf Computerdaten ergänzt werden muss, damit Kunden ihre Daten in der Insolvenz von Anbietern herausverlangen können. Der Bundesrat beantwortete die Anfrage abschlägig, da die Daten seines Erachtens bereits genügend geschützt seien und es keiner Sonderregel für Daten im Konkurs bedürfe. Der Bundesrat scheint die Brisanz der Anfrage zu unterschätzen, beantwortet er die Fragestellung lediglich in Bezug auf Personendaten hinsichtlich des Datenschutzrechts, jedoch ohne andere digitale Daten in Betracht zu ziehen.
Weil die heutige Gesetzeslage äusserst einschneidende Konsequenzen für den Dateneigentümer im Falle des Konkurses eines Cloud-Providers hat und vertragliche Regelungen keinen Schutz gewähren, ist es nicht nur wünschenswert, sondern eine längst überfällige Notwendigkeit, dass sich der Gesetzgeber diesen kontraproduktiven Effekten eines Konkurses annimmt. Damit würde nicht nur eine erheblich klarere Rechtslage geschaffen, die Rechtssicherheit schafft. Dies hätte vielmehr auch für die Schweiz als Wirtschaftsstandort für Cloud-Dienstleistungen und für Daten und Rechenzentren einen sehr positiven Einfluss.
Mit der vorgeschlagenen Erweiterung der Bestimmung im SchKG wird eine wenig aufwändige Regelung und praxistaugliche Lösung für die Aussonderung von nichtkörperlichen beweglichen Vermögenswerten geschaffen, die es zeitnah umzusetzen gilt.
Mittlerweile hat die Rechtskommission des Nationalrates den Vorstoss einstimmig angenommen, sodass damit zu rechnen ist, dass das Geschäft vor die Räte kommt, wenn denn nicht noch ein Bundesamt oder eine andere bundesnahe Institution querschiesst…
Dr. Peter K. Neuenschwander, Geschäftsführer beim KRM und Partner bei snplegal.com
lic. iur. Simon Oeschger, Senior Associate bei snplegal.com
