Interessante Einsparmöglichkeit
Da sich Biotech-Unternehmen bevorzugt auf die Entwicklung ihrer wichtigen Medikamentenkandidaten konzentrieren und Personal wie auch finanzielle Mittel vorzugsweise dafür einsetzen, müssen sie an anderen Stellen sparen. Bei der IT-Infrastruktur (z.B. Speicherplatz, Entwicklungsplattformen, Software-Applikationen) kann Cloud Computing ein Ansatz sein. Bei diesem Geschäftsmodell läuft die Nutzung über den Internet-Browser. Die Gesellschaft zahlt fortlaufend Gebühren, spart sich jedoch kostspielige Anschaffungen. Auch müssen zumeist keine eigenen Support-Mitarbeiter mehr beschäftigt werden. Mögliche Cloud-Anwendungen, die sich für Biotech-Unternehmen anbieten, sind
• Dokumenten-Management (z.B. um die Dokumentation im Rahmen von Forschungsprojekten zu verwalten),
• Kollaborations-Software (z.B. um die Zusammenarbeit im Rahmen eines Forschungsprojekts intern und mit externen Dienstleistern zu ermöglichen) sowie
• E-Mail-Funktion und Speicherplatz.
Privilegierung durch Auftragsdatenverarbeitung
Bei den drei genannten Anwendungen fallen zumeist personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDGS) an. Das Biotech-Unternehmen hat daher die entsprechenden Vorschriften bei der Auslagerung an den Dienstleister zu beachten. Es bleibt trotz Auslagerung die für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortliche Stelle. Grundsätzlich stellt die Nutzung der Cloud Services eine Übermittlung personenbezogener Daten dar, die der Rechtfertigung bedarf (entweder durch Einwilligung oder das Eingreifen gesetzlicher Erlaubnistatbestände). Schließen das Biotech-Unternehmen und der Cloud Provider aber einen Auftragsdatenverarbeitungsvertrag (ADV), der den Anforderungen von § 11 BDSG genügt, dann wird die Datenübermittlung an den Provider wie eine nutzerinterne Übermittlung behandelt, eine Rechtfertigung ist nicht erforderlich. So privilegiert ist die Auftragsdatenverarbeitung aber nur im Inland und innerhalb des Europäischen Wirtschaftsraums (EWR).
Cloud Computing außerhalb des EWR
Außerhalb des EWR gilt wiederum die Grundregel, dass die Übermittlung an den Cloud Provider der Rechtfertigung bedarf. Liegt keine wirksame Einwilligung der Betroffenen vor, kann auf die gesetzliche Erlaubnis zurückgegriffen werden (gemäß § 28 Abs. 1 Satz 1 Nr. 2 BDSG). Hierfür muss beim Cloud Provider als Empfänger der Datenübermittlung ein angemessenes Datenschutzniveau sichergestellt sein. Dies ist der Fall, wenn Anbieter in Argentinien, der Schweiz, Kanada, Isle of Man, Jersey, Guernsey und Israel Daten verarbeiten. Ein angemessenes Datenschutzniveau liegt auch dann vor, wenn das Biotech-Unternehmen und der Cloud Provider einen Datenverarbeitungsvertrag auf Basis der EU-Standardvertragsklauseln (Controller to Processor) schließen. Cloud Provider, die Daten in den USA verarbeiten, stellen ein angemessenes Datenschutzniveau sicher, wenn sie „Safe Harbor“-zertifiziert sind. Bei Beauftragung eines nach „Safe Harbor“ zertifizierten Cloud Providers sind zudem die erweiterten Prüfpflichten zu beachten, die sich aus dem Beschluss des „Düsseldorfer Kreises“, der Arbeitsgruppe der Datenschutz-Aufsichtsbehörden, vom April 2010 ergeben.
Gesundheitsbezogene Daten und Patientendaten
Für Biotech-Unternehmen wichtig ist, dass gesundheitsbezogene Daten als besondere Arten personenbezogener Daten (vgl. § 3 Abs. 9 BDSG) nur im Ausnahmefall ohne die Einwilligung des Betroffenen verarbeitet werden dürfen. Im Regelfall können derartige Daten daher in Cloud Services nur innerhalb des EWR und auf der Grundlage eines Auftragsdatenverarbeitungsvertrags verarbeitet werden. Für Patientendaten, die im Rahmen klinischer Prüfungen erhoben werden, sind zudem die strengen Anforderungen des Arzneimittelgesetzes zu beachten. Ausreichend pseudonymisierte Patientendaten (d.h. Daten, die für den Cloud Provider als Empfänger keinen Personenbezug haben) können aber, ohne dass hierfür datenschutzrechtliche Zulässigkeitsvoraussetzungen zu beachten sind, an den Cloud Provider übermittelt und von ihm verarbeitet werden.
Stolperstein private E-Mail-Nutzung
Gestattet das Biotech-Unternehmen seinen Mitarbeitern die Nutzung der E-Mail-Funktion zu privaten Zwecken, dann gilt es als Diensteanbieter im Sinne des Telekommunikationsgesetzes (TKG). Eine Auslagerung der E-Mail-Funktion in die Cloud kommt dann nur unter den einschränkenden Voraussetzungen des § 92 TKG in Betracht, wonach (so die überwiegende Auffassung) die Auslagerung nur im Anwendungsbereich der Auftragsdatenverarbeitung, also innerhalb des EWR, zulässig ist. An Provider außerhalb des EWR kann die E-Mail-Funktion nur bei einem Verbot der privaten Nutzung ausgelagert werden; vorausgesetzt, die zuvor dargestellten datenschutzrechtlichen Anforderungen sind erfüllt.
Aspekte steuerrechtlicher Art
Steuerlich relevante Aufzeichnungen sind nach § 146 Abgabenordnung (AO) grundsätzlich im Original im Inland zu führen und aufzubewahren. Die zuständige Finanzbehörde kann jedoch bei Vorliegen bestimmter Voraussetzungen gemäß § 146 Abs. 2a AO auf schriftlichen Antrag des Steuerpflichtigen bewilligen, dass elektronische Aufzeichnungen auch außerhalb Deutschlands geführt und aufbewahrt werden.
Service Level Agreements
Für die Vertragsgestaltung empfehlenswert ist, die vom Cloud Provider zu erbringenden Services in Form von Service Level Agreements (SLAs) näher zu beschreiben. Die Qualität der Leistungserbringung sollte durch sogenannte Key Performance-Indikatoren wie Verfügbarkeit, Reaktionszeiten und Fehlerbeseitigungszeiten festgelegt und Sanktionen für das Nichterreichen der Service Levels vereinbart werden.
Fazit:
Die zuvor dargestellten Anforderungen sind nicht abschließend. So haben Biotech-Unternehmen, die als juristische Person organisiert sind, auch IT-Compliance-Vorgaben zu beachten, infolge derer u.a. angemessene Migrations- und Exit-Regelungen zu vereinbaren sind. Steuerrechtliche und handelsrechtliche Buchführungsverpflichtungen können zudem hinsichtlich der Verfügbarkeit bestimmter Daten, ihrer Speicherdauer sowie des Speicherformats zu beachten sein. Weitere Informationen über die bei der Auslagerung in die Cloud zu beachtenden Anforderungen und Empfehlungen für die Vertragsgestaltung bietet beispielsweise der Cloud Computing-Leitfaden des Branchenverbandes Bitkom.
Zur Autorin
Dr. Undine von Diemar ist Rechtsanwältin und Counsel bei der internationalen Sozietät Hogan Lovells in München. Ihre Tätigkeitsschwerpunkte umfassen den Entwurf und die Verhandlung von Outsourcing-Verträgen (einschließlich von Cloud Service Agreements). Sie vertritt seit mehreren Jahren einen weltweit führenden Cloud Provider in vertrags- und datenschutzrechtlichen Angelegenheiten. Derzeit absolviert sie ein Secondment im Washingtoner Büro von Hogan Lovells.
