Der strafprozessuale Zugriff auf Inhaltsdaten in der Cloud E-Book

Abkürzungshinweise

Die hier verwendeten Abkürzungen richten sich (soweit nichts anderes angegeben ist) nach Kirchner, Abkürzungsverzeichnis der Rechtssprache, 8. Aufl. 2015.

ISBN: 978-3-8005-1755-8

© 2020 Deutscher Fachverlag GmbH, Fachmedien Recht undWirtschaft, Frankfurt am Main Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck: WIRmachenDRUCK GmbH, Backnang

Printed in Germany

Vorwort

Die Idee zu dieser Arbeit ist im Jahre 2009 auf der 10. Herbstakademie „Inside the Cloud – Neue Herausforderungen für das Informationsrecht“ der Deutschen Stiftung für Recht und Informatik entstanden. Mein erster Dank gilt an dieser Stelle Prof Dr. Hans Kudlich, der sich frühzeitig zur Betreuung der Arbeit bereiterklärt und zugleich die Verzögerungen toleriert hat, die mit der berufsbegleitenden Fertigstellung des Vorhabens einhergegangen sind. Prof. Dr. Safferling danke ich für die zügige Erstattung des Zweitgutachtens.

Darüber hinaus geht mein Dank an Prof. Dr. Prof. h.c. Jürgen Taeger, der als Vorsitzender des Vorstandes der DSRI nicht nur die eingangs erwähnte Tagung organisiert hat, sondern auch in den folgenden Jahren so freundlich war, mich immer wieder zu Vorträgen auf der Herbstakademie einzuladen. Dies hat mit erheblich dazu beigetragen, dass ich immer wieder neben dem beruflichen Alltag Zeit für wissenschaftliche Fragestellungen gefunden habe, was letztlich die Grundlage dafür war, dass ich die nun vorliegende Arbeit fertigstellen konnte. Ich bin glücklich und dankbar, dass das Thema trotz der inzwischen vergangenen Zeit praktisch nichts an Aktualität verloren hat.

Oberhausen, Oktober 2020

Dr. iur. Dirk Meinicke, LL.M.

Inhaltsverzeichnis

Abkürzungshinweise

Vorwort

A. Einleitung

B. Technische Grundlagen

I. Definition und grundlegende Charakteristika

1. Ressource-Pooling

2. Rapid Elasticity

3. On Demand self-service

4. Broad network-access

5. Measured service

II. Abgrenzung zu ähnlichen Technologien

1. Verteilte Systeme: Cluster- und Grid-Computing

2. IT-Outsourcing

3. Das Application-Service-Provider-Modell

4. Utility-Computing

III. Service-Modelle

1. Software-as-a-Service (SaaS)

2. Platform-as-a-Service (PaaS)

3. Infrastructure-as-a-Service (IaaS)

IV. Verschiedene Arten von Clouds

1. Öffentliche Cloud

2. Nichtöffentliche Cloud

3. Community-Cloud

4. Hybride Cloud

V. Technische Grundvoraussetzungen für Cloud Computing

1. (Breitband-)Internet, Hochleistungsserver, Multicore-Prozessoren und Web 2.0

2. Virtualisierung

VI. Technische Einzelheiten

1. Anforderungen an Cloud-Systeme und charakteristische Merkmale

a) Transparenz

b) Ausfallsicherheit und hohe Verfügbarkeit

c) Elastizität und Skalierbarkeit

2. Datensicherheit

a) Grundsätzliches

b) Datensicherungsstrategie

c) Arten der Datensicherung und Speichermedien

3. Datenlokalität

VII. Zusammenfassende Problemfokussierung und weiterer Gang der Untersuchung

C. Der verfassungsrechtliche Rahmen strafprozessualer Ermittlungsmaßnahmen

I. Verfassungsrechtliche Vorüberlegungen

1. Gesetzesvorbehalt und Eingriffsnorm

a) Allgemeiner Eingriffsvorbehalt und Wesentlichkeitskriterium

b) Analogieverbot und Bestimmtheitsgebot im Verfahrensrecht

2. Konsequenz: Notwendigkeit einer bereichsspezifischen Eingriffsnorm

II. Zwischenergebnis und Folgerungen für die Untersuchung

D. Strafprozessualer Zugriff auf Cloud Computing-Systeme de lege lata

I. § 94 StPO als Grundlage für Ermittlungen in Cloud Computing-Systemen

1. Mögliche Beschlagnahmegegenstände in Cloud-Sachverhalten

a) Hardware und Speichermedien als Beschlagnahmegegenstände

b) Daten als Beschlagnahmeobjekte

aa) Die ablehnende Ansicht von Bär

bb) Die bejahende Ansicht des BVerfG und der h.L.

cc) Stellungnahme

c) Verfahrensweisen zur Sicherstellung von Daten

2. Der Zugriff auf beim Provider zwischengespeicherte E-Mails als Blaupause für Cloud-Sachverhalte?

a) Technische Grundlagen der E-Mail-Kommunikation275

aa) Übertragung zum Mail(out)Server

bb) Übertragung zum Mail(in)Server

cc) Der Abruf der E-Mail durch den Empfänger

b) Rechtsprechung und Schrifttum zum E-Mail-Zugriff im Überblick

aa) Hintergrund: Die Einteilung der E-Mail-Kommunikation in „Phasen“

bb) E-Mail-Zugriff zwischen Beschlagnahme und TKÜ

(a) Rechtsprechung

(b) Literatur

(aa) Das Meinungsbild vor BVerfG NJW 2009, 2431ff.

(bb) Die Reaktionen im Schrifttum auf BVerfG NJW 2009, 2431ff.

(cc) Keine Ermächtigungsgrundlage für den Zugriff auf E-Mails

c) Folgerungen für die vorliegende Untersuchung

3. Die Unzulänglichkeit der §§ 94ff. StPO als Ermächtigung zum Eingriff in die Cloud

a) „IT-spezifische“ Gefährdungslage in Cloud-Sachverhalten

aa) Das neue Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

(a) Schutzbereich

(aa) Schutz des Systems als System

(bb) Negative Abgrenzung: Das Verhältnis zu den Art. 2 Abs. 1, 10, 13 GG

(1) Art. 13 GG

(2) Art. 10 GG

(3) Recht auf informationelle Selbstbestimmung

(cc) Bestimmung des Schutzbereichs vom Eingriff her

(dd) Die Cloud als System i.S.d. IT-Grundrechts

(b) Schranken

bb) Untauglichkeit der Beschlagnahmevorschriften als Ermächtigungsnorm für den Zugriff auf die Cloud

cc) Zwischenergebnis: Unanwendbarkeit der §§ 94ff. StPO

II. §§ 99f. StPO (Postbeschlagnahme)

1. Norminhalt

2. Keine Anwendbarkeit beim Zugriff auf die Cloud

III. § 100a StPO (Überwachung der Telekommunikation)

1. Zur großen praktischen Relevanz der TKÜ in Cloud-Sachverhalten

2. Der Telekommunikationsbegriff

a) Der strafprozessuale Telekommunikationsbegriff

aa) Grundlagen

bb) Erweiterungen

b) Der Telekommunikationsbegriff im TKG

c) Eigene Stellungnahme zum Telekommunikationsbegriff

aa) Die Anwendung des Methodenkanons

bb) Grundrechtsspezifische Aspekte

cc) Probleme des Kernbereichsschutzes

dd) Abschließende kritische Würdigung

3. Zwischenergebnis

IV. Online-Durchsuchung und Quellen-TKÜ (§§ 100a Abs. 1 S. 2, S. 2, 100b StPO n.F.)

1. Die Rechtslage bis zum 24.08.2017

a) Quellen-TKÜ

aa) Begriff und technischer Hintergrund

bb) Rechtliche Bewertung in Rechtsprechung und Schrifttum

cc) Bewertung des Diskussionsstandes

b) Die Online-Durchsuchung: Technische Grundlagen und rechtliche Bewertung vor der Neuregelung in § 100b StPO

aa) Technische Grundlagen522

bb) Rechtliche Bewertung nach alter Rechtslage

(a) Strafrechtliche Rechtsprechung zur „Online-Durchsuchung“

(aa) Beschl. des Ermittlungsrichters v. 21.2.2006, StV 2007, 60

(bb) Beschl. des Ermittlungsrichters vom 25.11.2006

(cc) BGH Beschl. v. 31.1.2007

(b) Die Behandlung der strafprozessualen Online-Durchsuchung im Schrifttum

2. Die Neuregelung durch das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens

a) Quellen-TKÜ nach §§ 100a Abs. 1 S. 2 und S. 3 StPO

aa) Inhalt der Neuregelung im Überblick

bb) Kritische Würdigung

b) Online Durchsuchung nach § 100b StPO n.F.

aa) Inhalt der Neuregelung im Überblick

bb) Kritische Würdigung

V. § 110 Abs. 3 StPO und die transnationale Dimension des Zugriffs auf in der Cloud gespeicherte Daten

1. Die Anwendbarkeit von § 110 Abs. 3 StPO beim Zugriff auf inländische Clouds

2. § 110 Abs. 3 StPO und grenzüberschreitender Zugriff

a) Der Souveränitätsgrundsatz

aa) Allgemeines

bb) Mögliche Rechtfertigungen bei Verstößen

(a) Gewohnheitsrecht

(b) Völkerrechtliche Vereinbarungen: Die Cybercrime-Konvention

b) Jüngste europäische Entwicklungen: Das Marktortprinzip

aa) Allgemeiner Inhalt des Kommissionsvorschlags

bb) Konkrete Ausgestaltung und Verfahren

cc) Kritische Würdigung

(a) Mangelnder Grundrechtsschutz

(b) Verstoß gegen den Souveränitätsgrundsatz

(c) Beschränkung des einseitigen Vorgehens auf die Sicherungsanordnung

VI. Zusammenfassung der Ergebnisse: Derzeit keine Ermächtigungsgrundlage für Zugriff auf in der Cloud gespeicherte Daten/Übergangszeit

E. Verwertbarkeit unzulässig erlangter Daten

I. Grundlagen und Begrifflichkeiten

1. Der Aufklärungsgrundsatz

2. Die unterschiedlichen Kategorien der Beweisverbote

a) Kurzer Überblick über die Begrifflichkeiten

b) Zur Relevanz selbstständiger Beweisverwertungsverbote im vorliegenden Zusammenhang

II. Die unselbstständigen Beweisverwertungsverbote

1. Die Rechtsprechung (insbesondere Abwägungslehre)

2. Einzelne Ansätze aus der Literatur im Überblick

III. Beweisverwertungsverbote bei Verstößen gegen Rechtshilfevorschriften

IV. Eigene Stellungnahme für die vorliegende Fallgruppe

F. Zusammenfassung der Ergebnisse

Literaturverzeichnis

A. Einleitung

„Das Internet kennt keine Grenzen.“1 Mit dieser Feststellung illustriert die Europäische Kommission im Jahr 2018 die Notwendigkeit einer europaweit einheitlichen Regelung für den grenzüberschreitenden strafprozessualen Zugriff auf elektronische Beweismittel. Die von der Kommission vorgeschlagene Verordnung nehme „das spezifische Problem ins Visier, das durch die Volatilität elektronischer Beweismittel und die internationale Dimension entsteht“.2 An späterer Stelle gibt die Begründung des Verordnungsentwurfs einen guten zusammenfassenden Überblick über die Struktur jener Technologie, bei der das besagte spezifische Problem der Volatilität und Internationalität in besonderer Weise entsteht.

Nun ist die die Relevanz moderner Kommunikationsmittel für die Strafverfolgung insgesamt alles andere als eine neue Erkenntnis, sondern vielmehr fast schon ein Allgemeinplatz.4 Auch wurde das Phänomen Cloud-Computing schon vor einigen Jahren erstmals in den Fokus strafprozessualer Diskussionen gerückt5 und ist zuletzt auch Gegenstand einzelner Monographien6 gewesen. Dass die mit dem strafprozessualen Zugriff auf Cloud-Systeme verbundenen Fragestellungen gleichwohl weiterhin nicht befriedigend gelöst sind, hat aus Sicht des Verf. im Wesentlichen zwei Ursachen: Zum einen sind Cloud-Sachverhalte praktisch immer inter- bzw. transnational, weil die Daten im absoluten Regelfall auf Servern außerhalb des Bundesgebietes gespeichert sind, womit das nationale Recht allein keine Handhabe zur Beantwortung der aufgeworfenen Rechtsfragen bietet.7 Zum anderen zeigen sich die Schwierigkeiten beim Umgang mit Cloud-Sachverhalten als Symptom eines tiefergehenden Defizits, das darin besteht, dass der bundesdeutsche Gesetzgeber bislang wenig Mühe darauf verwendet hat, den Katalog strafprozessualer Ermittlungsbefugnisse an die Herausforderungen des digitalen Zeitalters anzupassen.8 Die erst kürzlich eingeführten Vorschriften zu Quellen-TKÜ und Online-Durchsuchung9 haben insofern zwar die richtige Zielrichtung, sind aber in einem hektischen und fragwürdigen Verfahren verabschiedet worden und weisen dementsprechend eine Reihe von Mängeln auf.

Die Diskussion über Cloud-Sachverhalte im nationalen Recht wird daher letztlich unweigerlich auf die klassischen Maßnahmen der Beschlagnahme bzw. Durchsuchung und der Telekommunikationsüberwachung (TKÜ) zurückgeworfen. Weil nun aber die Notwendigkeit des Zugriffs auf Cloud-Daten zur Gewährleistung einer effektiven Strafverfolgung angesichts der ubiquitären Verbreitung dieser Technologie unbezweifelbar ist, scheint sich eine gewisse Tendenz im Schrifttum bemerkbar zu machen, die überkommenen Eingriffsbefugnisse in einer Weise zu interpretieren, die den Zugriff auf die Cloud sicherstellt.10 Dieser Tendenz wird in der vorliegenden Arbeit mit Nachdruck entgegengetreten. Dem wird die Einsicht entgegengehalten, dass der staatliche Zugriff auf Datenbestände in informationstechnischen Systemen mit Blick auf Intensität und Reichweite des Grundrechtseingriffs eine neuartige Qualität hat. Das ist vom Ersten Senat des Bundesverfassungsgerichts in seiner Entscheidung zur (präventiven) Online-Durchsuchung – sowie anschließend in der Entscheidung zum BKAG – im Grundsatz zutreffend herausgearbeitet worden.11

Weil in informationstechnischen Systemen also permanent (oft vom Nutzer unbemerkt) unterschiedlichste Daten gespeichert und erzeugt werden, aus denen sich in der Gesamtheit nicht selten aussagekräftige Persönlichkeitsbilder, Bewegungsprofile und Verhaltensmuster ableiten lassen, ist es unabdingbar, dass die wesentlichen Voraussetzungen des strafprozessualen Zugriffs auf entsprechende Daten vom Gesetzgeber in bereichsspezifischer und klarer Weise bestimmt werden. Die Uminterpretation geltender Vorschriften ist demgegenüber kein gangbarer Weg. Damit lässt sich das Ergebnis dieser Untersuchung an dieser Stelle vorwegnehmen: Das geltende Recht sieht – da auch die kürzlich neu in die Strafprozessordnung eingefügten Vorschriften zu Quellen-TKÜ und Online-Durchsucheng einer kritischen (verfassungsrechtlichen) Prüfung nicht standhalten – derzeit keine Ermächtigungsgrundlage für den Zugriff auf Cloud-Systeme vor. Das ist unter dem im Grundsatz anerkennenswerten Bedürfnis nach effektiver Strafverfolgung unbefriedigend, wobei den gravierendsten Auswirkungen durch die Anerkennung einer Übergangsfrist begegnet werden kann.12 Im Übrigen sollte es nach Ansicht des Verf. aber auch Aufgabe einer rechtswissenschaftlichen Arbeit sein, ein entsprechendes Regelungsdefizit klar zu benennen, anstatt im vorauseilenden Gehorsam der gerichtlichen Praxis vermeintliche „Lösungen“ anzubieten und damit den Gesetzgeber von seiner Verantwortung zu entlasten.

Die Rechtsprechung – namentlich ist hier der Zweite Senat des Bundesverfassungsgerichts zu nennen – hat in der Vergangenheit die eine oder andere Chance verpasst, den Gesetzgeber an seine verfassungsrechtlich verbürgte Verantwortung zu erinnern, die darin besteht, die wesentlichen Voraussetzungen neuartiger Grundrechtseingriffe in hinreichend bestimmter Weise zu regeln. In erster Linie ist hier die Entscheidung zum strafprozessualen Zugriff auf beim Diensteanbieter gespeicherte E-Mails zu nennen,13 eine Maßnahme, die in technischer Hinsicht ein Unterfall der Cloud-Problematik ist. Zuletzt wurde auch die Überwachung des Surfverhaltens, und damit ein der Intensität nach mit einer Online-Durchsuchung zumindest teilweise vergleichbarer Eingriff, auf die herkömmliche Telekommunikationsüberwachung gestützt.14 Indem die Judikatur bis hin zum Zweiten Senat des Bundesverfassungsgerichts in dieser Weise das Instrumentarium der Zwangsmaßnahmen im geltenden Recht auf neuartige Eingriffe mit ihren spezifischen Gefährdungslagen ausdehnt, konnte für die Praxis eine trügerische Scheinsicherheit geschaffen werden dahingehend, dass der mit Blick auf die Bedürfnisse effektiver Strafverfolgung ohne Frage notwendige Zugriff auf informationstechnische Systeme – speziell auf die heute besonders weit verbreitete E-Mail-Kommunikation – auch ohne Gesetzesänderung möglich sein würde.

Indes zeigt sich spätestens bei der Rechtslage hinsichtlich der Überwachung des Surfverhaltens, dass solche Lösungen auf der Basis des überkommenen geltenden Rechts vermutlich nicht von Dauer sein können. Denn während der für das Strafrecht zuständige Zweite Senat am BVerfG diese Maßnahme in wenig überzeugender Weise unter Berufung auf § 100a StPO für zulässig erklärt hat, gibt es Rechtsprechung des für die präventiven Ermittlungsmaßnahmen zuständigen Ersten Senats, die diesem Verständnis recht eindeutig entgegensteht. Womöglich ist daher das letzte Wort noch nicht gesprochen hinsichtlich der Frage, ob die StPO in ihrer geltenden Fassung den Herausforderungen des digitalen Zeitalters gewachsen ist. Nach der hier entwickelten Lösung, die sich auf dem sicheren Boden allgemeiner verfassungsrechtlicher Maßstäbe verortet,15 scheitert das geltend Recht hieran beinahe schon krachend.

Den grundsätzlich richtigen Weg für eine zukünftige gesetzliche Regelung weist aus Sicht des Verfassers der eingangs erwähnte Verordnungsvorschlag der Europäischen Kommission.16 Darin wird ebenso simpel wie revolutionär das sog. Marktortprinzip implementiert, wonach die Strafverfolgungsorgane den Zugriff auf etwaige Daten unabhängig von ihrem konkreten – häufig gar nicht mehr zuverlässig zu ermittelnden – Speicherort an dem Ort vornehmen, an der der Serviceprovider seine Dienste anbietet. Damit wird der ansonsten unvermeidliche loss of location,17 der Verlust eines erreichbaren Ortes für den ermittlungsbehördlichen Zugriff auf die in der weltweiten informationstechnischen Netzwerkstruktur zirkulierenden Daten, verhindert. Sofern dann – was dem Vorschlag der Kommission leider gründlich misslingt – Eingriffsnormen geschaffen werden, die den sensiblen Anforderungen eines zeitgemäßen Grundrechts- und Verfahrensschutzes Rechnung tragen, müssen effektive Strafverfolgung einerseits und tragfähiger Grundrechtsschutz andererseits auch im „Strafprozessrecht 4.0“ keine unüberwindbaren Gegensätze bleiben.

Die vorliegende Untersuchung geht zur Klärung der beim strafprozessualen Zugriff auf Cloud-Systeme auftretenden Fragen wie folgt vor: Zunächst werden im ersten Abschnitt die technischen Grundlagen etwas näher geschildert, die für das Funktionieren von Cloud-Anwendungen von Bedeutung sind (B). Anschließend müssen die verfassungsrechtlichen Rahmenbedingungen skizziert werden, die bei der Suche nach einschlägigen Ermächtigungsnormen zu beachten sind (C), bevor darauf aufbauend die einzelnen in Betracht kommenden Eingriffsgrundlagen innerhalb des deutschen Strafprozessrechts auf ihre Eignung zur Legitimation des Zugriffs auf die Cloud hin untersucht werden (D). Schließlich ist zu der Frage der Verwertbarkeit von rechtswidrig erlangten Daten Stellung zu nehmen (E), bevor die Arbeit mit einer Zusammenfassung der wesentlichen Ergebnisse endet (F). Die Untersuchung beschränkt sich dabei auf die Voraussetzungen eines Zugriffs auf Inhaltsdaten,18 weil diese unter dem Gesichtspunkt eines angemessenen Grundrechtsschutzes von herausragender Bedeutung sind.19

1

COM(2018) 225 final vom 17.4.2018, S. 1.

2

COM(2018) 225 final vom 17.4.2018, S. 2.

3

COM(2018) 225 final vom 17.4.2018, S. 16

4

Der Hinweis hierauf wurde bereits im Jahr 2011 als „inflationär“ bezeichnet, vgl.

Kudlich

, GA 2011,193; aus der Literatur näher etwa

Klesczewski

, ZStW 123 (2011), S. 737ff.; umfassend

Sieber

, DJT-Gutachten, C 35ff.; C 62ff. und C 103ff.

5

Frühzeitig etwa

Obenhaus

, NJW 2010, 651ff.;

M. Gercke

, CR 2010, 345ff.

6

Dalby

, Grundlagen;

Wicker

, Strafanspruch, jew.

passim

.

7

Vgl. hierzu unten D.V. 2.

8

Siehe bereits knapp hierzu

Meinicke

, StV 2012, 463 sowie vertiefend

ders

., in: Scholz/Funk (Hrsg.), S. 73, 75ff.; grds. ebenso auch

Sieber

, DJT-Gutachten, C 155f.

9

Hierzu unten D. IV.

10

Siehe etwa den Hinweis auf „unüberwindbare praktische Schwierigkeiten“ beim Zugriff auf im Ausland gespeicherte Daten bei

Wohlers

/

Jäger

, in: SK-StPO, § 102 Rn. 15a a.E.; ausführlich nunmehr für eine „Problemlösung“ auf der Basis des geltenden Rechts

Wicker

, Strafanspruch, S. 333ff.

11

Hierzu eingehend unten D I 3 a).

12

Siehe unten D. VI.

13

Vgl. hierzu unten D. I. 2.

14

Dazu unter D. III.

15

Vgl. zu diesen unten C.

16

Dazu unten D.V. 2. b).

17

Begriff von

Spoenle

, Cloud Computing, S. 5.

18

Vgl. zu diesem im TKG nicht ausdrücklich definierten Begriff statt Vieler

B. Gercke

, GA 2012, 474, 484f.

19

Zum Zugriff auf andere (insbesondere Bestands-)Daten vgl. nur

Dalby

, Grundlagen, S. 56ff.

B. Technische Grundlagen

Nachstehend werden also zunächst die wichtigsten Grundbegriffe sowie die technischen Hintergründe des Phänomens „Cloud Computing“ skizziert. Diese technisch-empirische Befundaufnahme soll einen präzisen Zugang zu den spezifischen rechtlichen Problemen beim strafprozessualen Zugriff auf in der Cloud gespeicherte Daten ermöglichen.

I. Definition und grundlegende Charakteristika

In einer knappen Definition20 lässt sich Cloud Computing als Möglichkeit zur Nutzung von IT-Infrastruktur, die über ein Netzwerk (i.d.R. das Internet) zur Verfügung gestellt wird, beschreiben, wobei vom Anbieter je nach Bedarf z.B. Speicherplatz, Rechenleistung oder Software bereitgestellt werden kann.21 Der Kunde nutzt also den Zugang zum Internet, um die von einem anderen zur Verfügung gestellte Soft- und Hardware zu verwenden.22 Es lassen sich insbesondere fünf charakteristische Merkmale von Cloud Computing ausmachen:23

1.Ressource-Pooling

Zunächst ist das Konzept des sog, Ressource-Pooling zu nennen. Damit ist das Zusammenfassen („Poolen“) bestimmter physischer Ressourcen, z.B. von Rechenleistung, Speicherkapazität oder Netzwerkbandbreite gemeint, wodurch ein zentral abrufbarer Vorrat entsteht, der bedarfsorientiert auf die einzelnen Nutzer verteilt wird.24 Die Verteilung erfolgt auf der Basis sog. Virtualisierungen, das bedeutet, dass durch die Einführung einer logischen Abstraktionsebene von der tatsächlich vorhandenen Hardware abstrahiert wird.25 Es werden also logische Ressourcen auf physische Ressourcen abgebildet, wobei der Benutzer einer logischen Ressource in der Anwendung keinen Unterschied im Vergleich zur Verwendung der physischen Ressource selbst erkennen kann.26 Wer Cloud Computing-Leistungen in Anspruch nimmt, erhält also virtuell seine eigene (physische) Struktur, „ein Stück Hardware, Betriebssystem und Software für sich selbst“,27 während er sich tatsächlich mit einer Vielzahl anderer Nutzer dieselben Ressourcen teilt. Diese Technik der Virtualisierung ist für die Funktionsweise des Cloud Computing von großer Bedeutung (vgl. auch unten).28

Der Parallelbegriff im Bereich der Datenhaltung zum auf physische Ressourcen bezogenen Begriff der Virtualisierung ist das sog. Konzept der Mandantenfähigkeit, der Multi-Tenancy. Dabei wird von physischen Datenbeständen abstrahiert und mit lediglich logisch separierten Einheiten gearbeitet, weshalb nur eine einzige Software-Basis für alle Nutzer zum Einsatz kommt.29

2.Rapid Elasticity

Ein weiteres zentrales Funktionsmerkmal von Cloud Computing-Systemen ist die sog. „rapid Elasticity“ (im Deutschen inzwischen meist als „unverzügliche Elastizität“ übersetzt). Diese hat zur Folge, dass das System extrem flexibel auf wechselnde Belastungen reagieren kann, was für den Nutzer den Eindruck erweckt, er könne über praktisch unbegrenzte Ressourcen verfügen.30 Dieses Phänomen der scheinbaren Unerschöpflichkeit wird auch als „infinite Scalability“ bezeichnet.31 Die Vorteile lassen sich z.B. anhand eines Konzertveranstalters veranschaulichen, der Tickets online anbietet.32 Arbeitet dieser mit einer Cloud Plattform, spielt es keine Rolle, ob gerade Karten für den Auftritt eher unbekannter Bands oder eines internationalen Weltstars im Angebot sind. Selbst wenn es im letztgenannten Fall zu einem plötzlichen und sprunghaften Anstieg der Zugriffe kommt, verhindert die rapid Elasticity, dass die Server „in die Knie gehen“ und die Seite für Nutzer nicht mehr verfügbar ist.

3.On Demand self-service

In engem Zusammenhang mit dem Phänomen der rapid Elasticity steht der sog. „on demand self-service“, was mit „bedarfsorientierter Selbstbedienung“ übersetzt werden kann. Dieses Konzept ermöglicht es dem Nutzer eines Cloud-Dienstes, jederzeit und ohne die Einschaltung von Mitarbeitern des Anbieters praktisch vollautomatisiert („automatic computing“) die erforderliche Menge an Ressourcen anzupassen, wodurch der Anbieter zugleich Personal einspart und so attraktive Preise zur Verfügung stellen kann.33 Zusätzliche Leistungen, z.B. Serverzeit oder Speicherplatz, können vom Nutzer in der Situation einer kurzfristig eintretenden Bedarfserhöhung regelmäßig online gebucht und sodann vom Anbieter meist innerhalb weniger Minuten oder gar Sekunden bereitgestellt werden.34 Diese Automatisierung ist zwingend erforderlich, um die schnelle und flexible Nutzbarkeit der Cloud-Angebote zu realisieren, wodurch deren Attraktivität erheblich gesteigert wird, da Erhöhungen der Leistungsfähigkeit für den Nutzer anderenfalls zumeist mit Installationen oder gar Hardwarezukäufen verbunden sind.35

4.Broad network-access

Die jederzeitige flexible Nutzung von Cloud-Diensten erfordert weiterhin einen umfassenden Netzwerkzugriff („broad network-access“).36 Das besagt im Kern nichts anderes, als dass die angebotenen Leistungen für den Nutzer standardmäßig über das Internet verfügbar sein sollten.37 Dadurch wird insbesondere die dezentrale Nutzung über unterschiedliche Endgeräte gewährleistet, von herkömmlichen Rechnern über Notebooks, Tablets und sogar Smartphones, sofern eine hinreichend große Bandbreite zur Verfügung steht.38

5.Measured service

Als fünftes funktionelles Merkmal des Cloud Computing kann die nutzungsbezogene Zahlung angesehen werden, was die Messung des Nutzungsvolumens erfordert, (engl. „measured service“).39 Die Notwendigkeit einer Messung, die je nach Art der genutzten Ressourcen unterschiedlich abläuft, folgt letztlich aus den vier zuvor dargestellten Prinzipien.40 Ein transparentes und einsichtiges Kontrollverfahren dient sowohl den Interessen des Anbieters als auch des Nutzers (vgl. etwa die Internetseite trust.salesforce.com).41

20

Vgl. zu den Definitionsschwierigkeiten im Einzelnen

Dalby

, Grundlagen, S. 149f.

21

Vossen/Haselmann u.a.,

Cloud-Computing, S. 20; vgl. außerdem den Nachw. zu der – in der Sache ähnlichen, jedoch etwas ausführlicheren – Definition des Branchenverbandes BITKOM bei

Schorer

, in:

Hilber,

Handbuch, C/1, Rn. 7.

22

Vossen/Haselmann u.a.,

Cloud-Computing, S. ix: „Cloud Computing is using the Internet to access someone else’s software running on someone else’s hardware in someone else’s data center“.

23

Nach

Vossen/Haselmann u.a.,

Cloud-Computing, S. 21 sowie

Schorer

, in:

Hilber,

Handbuch, C/1, Rn. 8 m.w.N.

24

Vossen/Haselmann u.a.,

Cloud-Computing, S. 22.

25

Vossen/Haselmann u.a.,

Cloud-Computing, S. 18; vgl. zur Virtualisierung in Cloud-Systemen auch

Meir-Huber,

Cloud Computing, S. 13.

26

Vossen/Haselmann u.a.,

Cloud-Computing, S. 17; auch

Metzger/Reitz u.a.,

Cloud Computing, S. 15f.

27

Metzger/Reitz u.a.,

Cloud Computing, S. 3f.

28

Meir-Huber,

Cloud Computing, S. 22.

29

Vossen/Haselmann u.a.,

Cloud-Computing, S. 22; zur Mandantenfähigkeit auch

Metzger/Reitz u.a.,

Cloud Computing, S. 14.

30

Metzger/Reitz u.a.,

Cloud Computing, S. 14;

Vossen/Haselmann u.a.,

Cloud-Computing, S. 23.

31

Vossen/Haselmann u.a.,

Cloud-Computing, S. 23.

32

Angelehnt an

Meir-Huber,

Cloud Computing, S. 12f.

33

Vossen/Haselmann u.a.,

Cloud-Computing, S. 23f.

34

Metzger/Reitz u.a.,

Cloud Computing, S. 13 mit einem Beispiel.

35

Vossen/Haselmann u.a.,

Cloud-Computing, S. 23f.

36

Vossen/Haselmann u.a.,

Cloud-Computing, S. 24.

37

Metzger/Reitz u.a.,

Cloud Computing, S. 13.

38

Vossen/Haselmann u.a.,

Cloud-Computing, S. 24.

39

Vossen/Haselmann u.a.,

Cloud-Computing, S. 24;

Metzger/Reitz u.a.,

Cloud Computing, S. 15.

40

Vossen/Haselmann u.a.,

Cloud-Computing, S. 24

41

Metzger/Reitz u.a.,

Cloud Computing, S. 15.

II. Abgrenzung zu ähnlichen Technologien

Bereits in den 1960er Jahren wurden Konzepte entwickelt, mit denen höhere Anforderungen an die Leistungsfähigkeit von Rechnern nicht mehr ausschließlich durch die Konstruktion immer leistungsstärkerer einzelner („Super“-)Rechner, sondern durch die (sowohl effizientere als auch flexiblere) Zusammenschaltung mehrerer Rechner bewältigt werden sollten.42 Diese Vorläufer des Cloud Computing und die Unterschiede zur heute verwendeten Technologie werden nachfolgend dargestellt, um auf diesem Wege die Besonderheiten der hier in Rede stehenden Technologie deutlicher herauszuarbeiten.

1.Verteilte Systeme: Cluster- und Grid-Computing

Sowohl beim sog. „Cluster-“ als auch beim „Grid-Computing“ werden zunächst mehrere Rechner zu sog. „Knoten“ verbunden, um dann wiederum mehrere dieser „Knoten“ zu einem Gesamtsystem zu verbinden. Der zentrale Unterschied zwischen „Cluster-“ und „Grid-Computing“ besteht insoweit darin, dass ersteres auf der Zusammenschaltung mehrerer identischer Knoten besteht, die an einem Ort über ein Hochgeschwindigkeitsnetzwerk verbunden werden, während bei letzterem die einzelnen „Knoten“ hinsichtlich Hardware, Software sowie im Hinblick auf die Anbindung an das „Grid“ differieren.43 „Grid-Computing“ wird typischerweise für einen sehr begrenzten und klar spezifizierten Anwenderkreis verwendet, z.B. in der Wissenschaft oder im Pharma-Segment.44 Der Zugriff erfolgt insoweit meist eher über ein organisationseigenes Intranet als über das Internet.45

Eine entscheidende Weiterentwicklung bei Cloud-Systemen gegenüber den Vorläufern besteht in der erheblich höheren Dynamik und Flexibilität. Während in Grid- und Cluster-Systemen die verfügbaren Ressourcen meist im Vorfeld verteilt werden, erfolgt bei Cloud-Systemen eine bedarfsorientierte Bereitstellung, weshalb nur Cloud-Systeme auf sich verändernden Ressourcenbedarf adäquat reagieren können.46 Außerdem ist der Grad der Virtualisierung bei Cloud Computing deutlich höher, wo ausschließlich mit virtuellen Ressourcen gearbeitet wird.47 Letztlich dürfte der Hauptgrund für den „Siegeszug“ der Cloud-Technologie nicht zuletzt in ihrer Ausrichtung an Wirtschaftlichkeitsaspekten liegen, die bei Grid- und Cluster-Verfahren nicht bzw. nur in geringerem Maße gegeben ist.48

2.IT-Outsourcing

Cloud Computing steht im Kontext des seit den 1980er-Jahren zunehmend verbreiteten Konzepts des sog. IT-Outsourcing, das vor allem für die Vielzahl der Unternehmen relevant wird, für die IT zwar wichtig ist, jedoch nicht zu ihren eigenen Kernkompetenzen zählt.49 Die Cloud-Technologie in ihrer heutigen Form ist jedoch eine deutliche Modifikation bzw. Weiterentwicklung klassischer Outsourcing-Konzepte.50 So ermöglicht die für Cloud Computing charakteristische vollständige Entkopplung von Kundenstandort und Rechenzentrum eine wesentlich höhere Flexibilität aufgrund der Verteilbarkeit der ausgelagerten Dienste auf unterschiedliche Standorte.51 Zudem sinkt die Abhängigkeit des Kunden vom Anbieter, da er jederzeit auf unterschiedliche Cloud-Dienste von unterschiedlichen Anbietern zugreifen kann und sich im Regelfall nicht langfristig an einen Dienstleister binden muss.52 Das hat allerdings auch zur Folge, dass der Kunde keine individuelle Anpassung der angebotenen Dienste durch den Anbieter erwarten kann, sondern dass er diese regelmäßig selbst vornehmen muss.53

3.Das Application-Service-Provider-Modell

Das sog. Application-Service-Provider-Modell (ASP) ist ein direkter Vorläufer des Cloud Computing in der Variante des Software-as-a-Service (dazu siehe unten). Auch beim ASP werden dem Kunden bedarfsorientiert Softwareanwendungen zur Verfügung gestellt, etwa über einen Terminal-Server-Zugang.54 Der Anbieter stellt die Anwendung i.d.R. über das Internet oder ein privates Datennetz bereit und übernimmt für den Kunden Aufgaben wie Administration, Datensicherung sowie das Einspielen von Upgrades oder Patches.55 Hier unterscheidet sich ASP vom sog. Applikations-Hosting, bei dem ebenfalls eine Software zur Verfügung gestellt wird, der Kunde aber Administration usw. selbst übernimmt.56 Ebenso wie das eigentliche Cloud Computing ist auch das ASP-Modell eine besondere Form des IT-Outsourcing.57 Wenn das ASP-Konzept heute trotz der großen Parallelen zu Cloud Computing (speziell SaaS) als weitgehend durch letzteres überholt anzusehen ist, so liegt das daran, dass bei ASP-Modellen praktisch keine gemeinsame Nutzung physischer Ressourcen stattfindet, sondern für jeden Nutzer eine dezidiert-individuelle Infrastruktur bereitzustellen ist, weshalb die gewünschten Skaleneffekte letztlich oft nicht erreicht werden.58

4.Utility-Computing

Eher eine (in der Rückschau in mancherlei Hinsicht durchaus prophetische) Vision aus den Anfangszeiten des Internets als eine tatsächlich relevante Vorläufertechnologie des Cloud Computing verbirgt sich hinter dem Stichwort „Utility Computing“. Der Informatiker John McCarthy sagte anlässlich eines Vortrags auf dem MIT Centennial 1961 voraus, dass es eines Tages möglich sein werde, Rechnerleistung im Rahmen der öffentlichen Versorgung vergleichbar mit dem Strom- oder dem Telefonnetz zu beziehen.59 Nachdem einige frühe Versuche, diese Vision in die Tat umzusetzen gescheitert waren, nicht zuletzt wegen fehlender Verbreitung des Internets und unzureichender Hardware, wurde sie mit dem Aufkommen von Cloud Computing wieder aufgegriffen und ist heute in mancher Hinsicht bereits Realität.60

42

S.

Vossen/Haselmann u.a.,

Cloud-Computing, S. 13ff.

43

S.

Vossen/Haselmann u.a.,

Cloud-Computing, S. 15f.

44

Meir-Huber,

Cloud Computing, S. 19;

Repschläger/Pannicke u.a.

, HMD 2010, 6, 7 mit einem Beispiel;

Metzger/Reitz u.a.,

Cloud Computing, S. 24.

45

Vossen/Haselmann u.a.,

Cloud-Computing, S. 25.

46

Vossen/Haselmann u.a.,

Cloud-Computing, S. 25f.

47

Vossen/Haselmann u.a.,

Cloud-Computing, S. 25f.

48

Vgl. dazu

Repschläger/Pannicke u.a.

, HMD 2010, 6, 7; außerdem zur deutlich höheren kommerziellen Bedeutung von Cloud Computing gegenüber der Grid-Technoplogie

Meir-Huber,

Cloud Computing, S. 19.

49

Vgl.

Vossen/Haselmann u.a.,

Cloud-Computing, S. 16.

50

Schmidt-Bens,

Cloud Computing, S. 2f.

51

Vossen/Haselmann u.a.,

Cloud-Computing, S. 26f., die allerdings auch ein Beispiel für Prozesse benennen, die sich nicht für eine Auslagerung in die Cloud eignen.

52

Schmidt-Bens,

Cloud Computing, S. 3.

53

Vossen/Haselmann u.a.,

Cloud-Computing, S. 27.

54

Vossen/Haselmann u.a.,

Cloud-Computing, S. 16f.

55

Metzger/Reitz u.a.,

Cloud Computing, S. 23.

56

Metzger/Reitz u.a.,

Cloud Computing, S. 23.

57

Repschläger/Pannicke u.a.

, HMD 2010, 6, 7;

Metzger/Reitz u.a.,

Cloud Computing, S. 24.

58

Vossen/Haselmann u.a.,

Cloud-Computing, S. 17; auch

Repschläger/Pannicke u.a.

, HMD 2010, 6, 7, wonach es sich bei ASP und SaaS um „das gleiche Modell, [...] aber unterschiedliche Entwicklungsstufen und Ausprägungen“ handelt.

59

Vgl. das abgedruckte Originalzitat bei

Vossen/Haselmann u.a.,

Cloud-Computing, S. 19; ferner

Repschläger/Pannicke u.a.

, HMD 2010, 6; siehe aber auch

Schorer

, in:

Hilber,

Handbuch, C/1, Rn. 2, wo das Konzept des Utility-Computing dem kanadischen Forscher und Wissenschaftsminister

Douglas Parkhill

zugeschrieben wird, wobei dessen Buch erst 1966 erschien.

60

Vossen/Haselmann u.a.,

Cloud-Computing, S. 19.

III. Service-Modelle

Cloud-Services werden in unterschiedlichen Modellen angeboten, die üblicherweise in die drei Kategorien SaaS, PaaS und IaaS unterteilt sind.61 Teilweise wird die Kombination der Modelle auch als Everythingas-a-Service (EaaS) bezeichnet.62

1.Software-as-a-Service (SaaS)

Das bislang wohl am weitesten verbreitete Modell zur Bereitstellung von Cloud-Anwendungen läuft unter der Bezeichnung „Software-as-a-Service (SaaS)“.63 Hier stellt der Provider eine Software zur Verfügung, die vom Endkunden über einen Webbrowser benutzt, jedoch hinsichtlich Wartung, Aktualisierung, Fehlerbeseitigung usw. ausschließlich vom (Cloud-) Provider betrieben wird.64 Der Nutzer kann somit von unterschiedlichen (auch mobilen) Endgeräten aus jederzeit auf seine Anwendungen (Dokumente) zugreifen, ohne dass die entsprechende Software auf den Endgeräten noch installiert sein muss.65 Unter die Rubrik „SaaS“ fallen z.B. klassische Webmail-Dienste wie „Web.de“ oder „Microsoft Hotmail“ sowie etwa SalesForce CRM oder Google Docs.66 SaaS bietet eine breite Palette von Einsatzmöglichkeiten und ist deshalb sowohl für kommerzielle (Business) als auch für private Nutzer von großem Interesse.67 Google bietet z.B. Tabellenkalkulations-, Textverarbeitungs- und Präsentationssoftware via SaaS an, was für Firmenkunden besonders interessant sein kann.68

Herkömmliche Webmail-Dienste bilden i.Ü. den ersten – bislang nicht immer als solchen benannten – Berührungspunkt zwischen Cloud Computing (in Form von SaaS) und strafprozessualen Ermittlungen, da die Möglichkeiten des Zugriffs von Ermittlern auf in Webmail-Accounts gespeicherte E-Mails Gegenstand einer breiten Diskussion in Rechtsprechung und Schrifttum ist (dazu näher siehe unten). Sofern zunehmend Firmen dazu übergehen sollten, Teile ihrer betriebsbezogenen Unterlagen (z.B. Buchhaltung) über SaaS-Anwendungen zu verwalten,69 können vergleichbare Probleme zukünftig auch vermehrt in Wirtschaftsstrafverfahren auftreten, wenn die Ermittler bei Durchsuchungen in den Firmengebäuden auf der dort vorgefundenen Hardware keine Daten finden.

2.Platform-as-a-Service (PaaS)

Unter dem Schlagwort „Platform-as-a-Service (PaaS)“ versteht man die Bereitstellung einer Entwickler-Plattform, auf der die Nutzer – es wird sich regelmäßig um Web-Entwickler handeln – eigene Programme kreieren und hosten können.70 Geläufige Beispiele hierfür sind die „Google App Engine“ oder „Microsoft Windows Azure“. Solche Anwendungen stellen dem Benutzer eine vollständige Entwicklungsumgebung für Programmierarbeiten zur Verfügung.71 PaaS-Angebote sind die Basis für die Entwicklung von SaaS-Anwendungen, die bei Nutzung von PaaS-Technologien produziert werden können, ohne dass der Entwickler eigene IT-Kapazitäten vorhalten muss.72 Der PaaS-Anbieter legt zur Ermöglichung einer umfassenden Automatisierung regelmäßig bestimmte Rahmenbedingungen fest, etwa die Programmiersprache und verwendbare Bibliotheken, während der Kunde im Übrigen seine Programme nach eigenem Belieben gestalten kann.73 Häufig liegen bereits einzelne Komponenten einer Entwicklung als vom Anbieter bereitgestellte Dienste vor.74

3.Infrastructure-as-a-Service (IaaS)

Bei „Infrastructure-as-a-Servie (IaaS)“ stellt der Anbieter (virtuelle) Hardware oder Infrastrukturdienstleistungen bereit, also vor allem Speicherplatz, Rechnerkapazität oder Netzwerkbandbreite.75 Anders als bei PaaS ist der Kunde bei IaaS-Modellen vollständig für die Installation und Nutzung des Betriebssystems sowie etwaiger Anwendungskomponenten verantwortlich, während der Cloud-Anbieter ausschließlich die Hardware/die Infrastruktur zur Verfügung stellt.76 IaaS-Anwendungen bieten dem Nutzer lediglich das „Rohmaterial“, während er vollständig frei über die softwaretechnische Nutzung entscheiden kann.77 Die erforderlichen Ressourcen lassen sich je nach Bedarf des Nutzers in ihrem Volumen flexibel anpassen.78 Durch eine gezielte Lastverteilung, das sog. „Load Balancing“, stellt der Anbieter sicher, dass für jeden Kunden die erworbenen Leistungen stets verfügbar sind.79 Alternativ kann der Kunde aber auch dezidiert für ihn bereitgestellte Ressourcen in Anspruch nehmen, was allerdings regelmäßig mit höheren Kosten verbunden ist.80 Das typische Anwendungsbeispiel aus dem Bereich des IaaS ist die Bereitstellung von Rechenleistung („Compute“), was im Begriff „Cloud Computing“ zum Ausdruck kommt.81 Ein bekanntes Beispiel für IaaS sind die Amazon Web Services.82

61

Vossen/Haselmann u.a.,

Cloud-Computing, S. 3, 28; vgl. zu gelegentlich gebrauchten weiteren Kategorien

Terplan/Voigt,

Cloud, S. 27f.; außerdem

Schorer

, in:

Hilber,

Handbuch, C/1, Rn. 24 und 27f.

62

Dalby

, Grundlagen, S. 155.

63

Laut einer Studie von PWC nutzen zwei Drittel aller dort befragten Unternehmen SaaS-Anwendungen, s.

Vehlow/Golkowsky,

Cloud Computing.

64

Vossen/Haselmann u.a.,

Cloud-Computing, S. 28.

65

Metzger/Reitz u.a.,

Cloud Computing, S. 21;

Schorer

, in:

Hilber,

Handbuch, C/1, Rn. 24; vertiefend

Meir-Huber,

Cloud Computing, S. 46ff.

66

Zu diesen und weiteren Beispielen

Schmidt-Bens,

Cloud Computing, S. 16;

Vossen/Haselmann u.a.,

Cloud-Computing, S. 28;

Metzger/Reitz u.a.,

Cloud Computing, S. 22;

Dalby

, Grundlagen, S. 166ff.

67

Meir-Huber,

Cloud Computing, S. 47.

68

Schorer

, in:

Hilber,

Handbuch, C/1, Rn. 26.

69

Vgl. zu Bürosoftware als SaaS auch

Schorer

, in:

Hilber,

Handbuch, C/1, Rn. 54 und 61.

70

Näher

Vossen/Haselmann u.a.,

Cloud-Computing, S. 29.

71

Schmidt-Bens,

Cloud Computing, S. 17;

Metzger/Reitz u.a.,

Cloud Computing, S. 21.

72

Repschläger/Pannicke u.a.

, HMD 2010, 6, 10;

Schorer

, in:

Hilber,

Handbuch, C/1, Rn. 23.

73

Vossen/Haselmann u.a.,

Cloud-Computing, S. 29.

74

Metzger/Reitz u.a.,

Cloud Computing, S. 21.

75

Vossen/Haselmann u.a.,

Cloud-Computing, S. 30;

Schmidt-Bens,

Cloud Computing, S. 17;

Metzger/Reitz u.a.,

Cloud Computing, S. 21;

Schorer

, in:

Hilber,

Handbuch, C/1, Rn. 22.

76

Schmidt-Bens,

Cloud Computing, S. 17.

77

Meir-Huber,

Cloud Computing, S. 42 spricht von der „untersten Schicht“.

78

Vgl.

Repschläger/Pannicke u.a.

, HMD 2010, 6, 9.

79

Meir-Huber,

Cloud Computing, S. 42.

80

Schorer

, in:

Hilber,

Handbuch, C/1, Rn. 22.

81

Vossen/Haselmann u.a.,

Cloud-Computing, S. 30.

82

Siehe hierzu etwa

Schmidt-Bens,

Cloud Computing, S. 17f.; siehe auch

Schorer

, in:

Hilber,

Handbuch, C/1, Rn. 22 a.E.

IV. Verschiedene Arten von Clouds

Es existieren unterschiedliche Arten von Clouds. Nach der geläufigen Unterteilung werden insoweit öffentliche, nichtöffentliche (private), Community- und Hybride-Clouds unterschieden.

1.Öffentliche Cloud

In einer öffentlichen Cloud (Public Cloud) können grundsätzlich beliebig viele Nutzer ohne Zugangsbeschränkung – ggf. gegen eine Nutzungsgebühr – die angebotenen Dienste in Anspruch nehmen.83 Insbesondere große Anbieter, wie z.B. Google, Microsoft oder Amazon, treten als Betreiber von öffentlichen Clouds in Erscheinung.84 Bei diesen Anbietern funktioniert der Vertragsabschluss regelmäßig im Wege eines sog. „click-through statement“, das direkt online abgeschlossen wird und dem Nutzer den unmittelbaren Zugang zu den gewünschten Diensten ermöglicht.85 Typischerweise bei nationalen Anbietern kann die Vertragsgrundlage aber auch in einem schriftlichen Vertragswerk bestehen, das wesentlich größere Spielräume für spezifische Gestaltungen der Zusammenarbeit zwischen Anbieter und Nutzer (sog. Service-Level-Agreements, SLA) ermöglicht.86

2.Nichtöffentliche Cloud

Eine nichtöffentliche Cloud (Private Cloud) wird demgegenüber regelmäßig für eine einzige Organisation/Firma bzw. deren Mitglieder/Mitarbeiter betrieben, wobei die Organisation/Firma entweder selbst die Verwaltung übernimmt oder diese Aufgabe an einen externen Dienstleister überträgt.87 Im engeren Sinne sollte von einer nichtöffentlichen Cloud jedoch erst gesprochen werden, wenn die oben angegebenen Cloudspezifischen Kriterien erfüllt sind, so dass eine Abgrenzung z.B. von reinen Server-Virtualisierungen gewährleistet bleibt.88 Derartige private/nichtöffentliche Clouds bieten den Nutzern – neben einer Bewältigung von Problemen im Bereich Datensicherheit –89 ein hohes Maß an Individualisierung, führen jedoch auch zu deutlich erhöhten Kosten.90 Sie sind daher regelmäßig nur für große Organisationen attraktiv und werden z.B. in Universitätsrechenzentren eingesetzt.91 Dabei kann der Anbieter entweder die nötige Hard- und Software „schlüsselfertig“ im Rechenzentrum des Kunden aufbauen und den Betrieb in der Folgezeit per Fernwartung übernehmen (sog. „on premises, managed service, private cloud“) oder der Kunde stellt über das Internet eine Verbindung zu Hard- und Software des Anbieters her, die sich in dessen Rechenzentrum befinden („off premises cloud“).92

3.Community-Cloud

Eine spezielle Form der nichtöffentlichen Cloud ist die sogenannte Community-Cloud, die von mehreren Organisationen mit ähnlichen Anforderungen gemeinsam genutzt wird, z.B. im Gesundheitswesen, bei Banken und Sparkassen oder bei Steuerberatern.93 Letztlich handelt es sich um einen Zusammenschluss mehrerer „Private Clouds“, durch den die beteiligten Organisationen Kosteneinsparungen realisieren können.94 Community-Clouds finden vor allem dort Anwendung, wo die Cloud-Nutzer zwar die Sicherheit einer nichtöffentlichen Cloud benötigen, jedoch (z.B. aufgrund mangelnder Größe) keine eigene Cloud betreiben können oder wollen.95

4.Hybride Cloud

Von einer sogenannten hybride Cloud spricht man, wenn mehrere Clouds durch Standards oder proprietäre Technologien verknüpft werden, um den Austausch von Daten und Programmen – z.B. zum Zweck einer Lastbalancierung zwischen mehreren Clouds einer Organisation – zu ermöglichen.96 Häufig werden Teile des IT-Portfolios eines Unternehmens in einer privaten Cloud betrieben, während andere Teile in eine öffentliche Cloud ausgelagert werden.97 Ein weiterer Anwendungsfall ist das sog. Cloud-Bursting, das „Ausbrechen“ aus einer Cloud in eine weitere, wenn die Ressourcen der ersten nicht mehr ausreichen.98 Auch dann, wenn etwa aus Sicherheitsgründen Teile des Datenbestandes eines Unternehmens nicht außerhalb von Europa gelagert werden sollen, kann eine hybride Cloud die adäquate Lösung sein, indem zum einen globale SaaS-Lösungen verwendet, bestimmte Daten aber in einer lokalen Cloud abgelegt werden.99

83

Vossen/Haselmann u.a.,

Cloud-Computing, S. 30.

84

Meir-Huber,

Cloud Computing, S. 40.

85

Schorer

, in:

Hilber,

Handbuch, C/1, Rn. 18 mit einem Überblick über Vor- und Nachteile aus Unternehmenssicht.

86

Schorer

, in

Hilber,

Handbuch, C/1, Rn. 19.

87

Vossen/Haselmann u.a.,

Cloud-Computing, S. 30;

Schmidt-Bens,

Cloud Computing, S. 18.

88

Schorer

, in:

Hilber,

Handbuch, C/1, Rn. 13.

89

Metzger/Reitz u.a.,

Cloud Computing, S. 18.

90

Vgl.

Meir-Huber,

Cloud Computing, S. 41.

91

Vossen/Haselmann u.a.,

Cloud-Computing, S. 30.

92

Schorer

, in:

Hilber,

Handbuch, C/1, Rn. 14ff.

93

Vossen/Haselmann u.a.,

Cloud-Computing, S. 31.

94

Metzger/Reitz u.a.,

Cloud Computing, S. 19.

95

Vossen/Haselmann u.a.,

Cloud-Computing, S. 31.

96

Vossen/Haselmann u.a.,

Cloud-Computing, S. 31; auch

Meir-Huber,

Cloud Computing, S. 41.

97

Die Windows Azure-Plattform bietet etwa solche Lösungen an, vgl.

Schmidt-Bens,

Cloud Computing, S. 20; zum Zusammenspiel von öffentlichen und nichtöffentlichen Clouds im Rahmen von hybride Cloud-Konzepten auch

Metzger/Reitz u.a.,

Cloud Computing, S. 19f.; näher außerdem

Schorer

, in:

Hilber,

Handbuch, C/1, Rn. 20.

98

Vossen/Haselmann u.a.,

Cloud-Computing, S. 31.

99

Metzger/Reitz u.a.,

Cloud Computing, S. 20.

V. Technische Grundvoraussetzungen für Cloud Computing

Es waren unterschiedliche Entwicklungen und Fortschritte in der Informationstechnologie erforderlich, bevor Cloud Computing in der heutigen Form technisch realisierbar wurde. Die wesentlichen Entwicklungsschritte sollen im nachfolgenden Abschnitt im Überblick dargestellt werden.

1.(Breitband-)Internet, Hochleistungsserver, Multicore-Prozessoren und Web 2.0

Zunächst sind Entwicklung und Verbreitung der Internettechnologie ersichtlich eine unabdingbare Voraussetzung für die Existenz von Cloud-Technologien. Dabei lässt sich der Begriff „Internet“ grundsätzlich in zwei unterschiedlichen Richtungen deuten. Zum einen kann darunter die physische Verbindung von Rechnern und anderen Endgeräten wie Mobiltelefonen oder Fernsehern auf der ganzen Welt mittels Koaxialkabeln, Kupferdrähten, Glasfasern und Radiowellen verstanden werden.100 Dem steht es nahe, wenn das BVerfG das Internet als „elektronische[n] Verbund von Rechnernetzwerken“101 beschreibt. Zum anderen bezeichnet der Begriff „Internet“ aber auch eine einheitliche, auf dem TCP/IP-Modell basierende Verständigungsmethode, die den Datenaustausch zwischen den physisch miteinander verbundenen Rechnern und Rechnernetzwerken ermöglicht.102 Dabei wird jedem der beteiligten Rechner durch das Internet Protocol (IP) eine eigene IP-Adresse zugeordnet.103 Das Transmission Control Protocol (TCP) sorgt sodann für eine Funktionalität des Datenaustausches, vor allem dafür, dass die in kleinere Teile zerlegten Datenpakete beim Empfänger wieder richtig zusammengefügt und eventuelle Fehler gemeldet werden.104

Es ist letztlich die Kombination der weltweit verbundenen physischen Ressourcen und der von diesen genutzten einheitlichen Kommunikationsverfahren, durch die nicht nur internetbasierte Anwendungen wie das World Wide Web, E-Mail-Kommunikation, Instant Messaging und Internettelefonie ermöglicht werden.105