Aus verringerter Kontrolle über die ausgelagerten Daten ergeben sich für Cloud-Nutzer vertragliche Risiken. So wird der Anwender zwangsläufig technisch abhängig vom Anbieter. Was das konkret bedeutet, zeigt sich vor allem dann, wenn die Daten nach Ende des Cloud-Vertrags wieder zurückzuführen sind. Hier ist der Anwender in der Regel auf die Unterstützung des Anbieters angewiesen.
Ein wesentliches Problem werfen dabei komplexe und lange Verbindungswege mit entsprechend zahlreichen Fehlerquellen auf. Wer sichergehen möchte, dass alle Daten nach der Beendigung des Vertrages vollständig und entsprechend aufbereitet wieder ins eigene Unternehmen übertragen werden, muss dafür schon zu Beginn einer Partnerschaft die richtigen vertraglichen Weichen stellen.
Auf Basis möglicher gegenläufiger Interessen von Anwender und Anbieter einerseits und den schwer vorhersehbaren Anforderungen zum Vertragsende andererseits ist das rechtzeitige Aushandeln von Regelungen zur Beendigung der Vereinbarung zwar eine äußerst kniffelige, aber auch eine unverzichtbare Aufgabe.
Die richtigen Leistungsübergabepunkte festlegen
Cloudbasierte Dienste entlasten Anwender vom Betrieb sowie von der Wartung und Pflege von Software. Sie müssen lediglich die für den Zugang notwendige Infrastruktur bereithalten. Rechtlich entscheidend ist dabei die Frage, wo die Grenzen für die jeweiligen Verantwortlichkeiten liegen. Dadurch erhalten die sogenannten „Leistungsübergabepunkte“ ein besonderes Gewicht.
An dieser Schnittstelle wird zum Beispiel die Verfügbarkeit der Leistung gemessen. Rückt der Leistungsübergabepunkt bei kritischen Services weit in Richtung des Anwenders, wird der Cloud-Anbieter gleichzeitig versuchen, das Risiko eines Diensteausfalls durch den Aufbau redundanter Systeme und Verbindungen zu minimieren. Allerdings beeinflussen gerade diese Maßnahmen maßgeblich den Preis. Denn eine Stärkte der technischen Architektur von Cloud Services ist ja gerade die Nutzung verteilter Ressourcen, um jederzeit auf einen anderen Standort ausweichen zu können.
Die richtigen SLAs festlegen
In einem Cloud-Vertrag sollten in Bezug auf die vereinbarten Service Level auch konkrete Pflichten des Anbieters im Hinblick auf Notfallpläne enthalten sein. Hierbei muss der Anwender das Recht haben zu überprüfen, ob diese Pflichten dann auch eingehalten werden (Audit-Recht).
Bildergalerie
Für die Festlegung der wichtigsten Kriterien zur Messung der Servicequalität ist die Art der Services von entscheidender Bedeutung. Die Kriterien müssen objektiv messbar sein und die vom Anwender definierten Leistungsanforderungen widerspiegeln. Service Level Agreements sollten sich auf die wesentlichen Leistungskriterien beschränken. Werden diese nicht eingehalten sollten gegebenenfalls Sanktionen vorgesehen sein.
Fazit
Ob die Nutzung von Cloud Services in Anbetracht all dieser Pflichten in Frage kommt, müssen Anwender von Fall zu Fall entscheiden. Es gibt momentan sicherlich noch Bereiche, in denen hiervon eher abzuraten ist. Andererseits lassen sich viele rechtliche Hürden mit einer entsprechenden Vertragsgestaltung auch überwinden. Da die Entscheidung für Cloud Computing Unternehmen in technischer und rechtlicher Hinsicht fordert, sollten sie sich dem Thema schrittweise nähern, um die Risiken bewusst zu begrenzen.
Jan Geert Meents ...
... ist Partner der internationalen Rechtsanwaltskanzlei DLA Piper in München.
Neueste Kommentare
2 Kommentare zu Rechtliche Hürden für Cloud Computing
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Daten in der Cloud durch Vertragsgestaltung lösbar?
Ein den räumlichen Gegebenheiten angepasster, der Komplexität des Themas und der erheblichen Risiken, von denen hier nur einige wenige angerissen, geschweige denn ausführlich beschrieben worden sind, kaum gerecht werdender Artikel.
Tatsächlich kann das Risiko beim Cloud-Computing durch rechtliche Vereinbarung de facto gar nicht kontrolliert werden. Das ginge nur dann, wenn ausschließlich der Cloud-Anbieter mit ausschließlich eigenen Mitteln die Auftragsdatenverarbeitung durchführen würde. Das tut er aber gerade nicht. Alle vertraglichen Konstellationen sind nur so gut wie der schwächste Vertrag in der ganzen Kette. Völlig üblich ist es, dass Nachunternehmer, die der Anbieter einsetzt, nach ausländischem Recht arbeiten, keine Audit-Klauseln haben und – siehe Sidekick-Skandal – oft aus Kostengründen auf triviale Sicherheitsinfrastruktur verzichten.
Ich stimme dem Verfasser zu, dass man das Thema fallweise betrachten muss. Dabei muss man aber nicht nur rechtlich, sondern auch technisch tief in die Cloud blicken muss, um alle Risiken zu erkennen.
Derzeit sind sowohl die Anbieterkonstellationen, die datenschutzrechtlichen Sicherungsmaßnahmen und die generellen Schutzniveaus der Anbieter so unausgereift, dass man tendenziell eher ab- denn zuraten sollte.
Beste Grüße
Dr. Wolfgang Hackenberg
Rechtsanwalt
wenn man Juristen entscheiden lässt …
Fakt ist das das tatsächliche Schutzniveau bei den großen SaaS-Anbietern für Unternehmen (die Kosten dann auch was) wesentlich höher ist als das was die interne IT-Abteilung der meißten Unternehmen jemals leisten kann. Das kann auch gar nicht anders sein. Wenn man wie google und Salesforce hunderte Ingenieure hat, die nur mit der Datensicherheit beschäftigt sind und außerdem noch Millionen Kunden, so das Lecks sehr schnell entdeckt würden dann kann das gar nicht anders sein. Außerdem habe Angriffer nicht den Source-Code der Server, wie beim Einsatz von Open-Soruce Technologie.
Es gibt kaum einen Server der nicht gehackt werden kann, am einfachsten von Innen (Mitarbeiter der Firma) oder von IT-Dienstleistern. Aber auch von außen, da immer mehr interne Systeme natürlich auch von außen zugänglich sein müssen.
Und das Argument, dass man abhängig vom Anbieter ist: Ach, ist man das nicht, wenn man eine proprietäre Software kauft? Was macht man, wenn die nicht mehr weiterentwickelt wird, oder die Entwicklung in eine andere Richtung geht? Was macht man was das Unternehmen von Konkurrenten gekauft wird? Oder von einer chinesischen Firma? Natürlich ist man abhängig, das ist nichts neues.
Die Verfügbarkeitswerte die Beispielsweise google-Mail (auch Teil von google Apps) erreicht sind unübertroffen. Die Sicherheitsmechanismen (zum Beispiel wird der Nutzer anhand der IP automatisch gewarnt, wenn jemand anderes sich Zugriff verschafft haben könnte http://www.golem.de/1003/74079.html) sind absolut führend, der Virenfilter ist auch Top.
Also aus rein juristischen Gründen, wäre es natürlich viel besser deutlich unsichere Infrastruktur zu nutzen ;-)
Besonders für kmU, bei denen ein Admin für die Sicherheit zig verschiedener Systeme sorgen soll sind Cloud-basierte Dienste gerade was die Sicherheit angeht ideal.
Natürlich sollte man sich den Anbieter genau anschauen.