Wie sich unfairen Cloud-Service-Bedingungen begegnen lässt

Eine Entscheidung zugunsten der Cloud fällt häufig leicht, weil sie einige Vorteile gegenüber den eigenen On-Premises-Servern und eigener Administration bietet, während die erfolgreiche Implementierung und Integration in die Unternehmensprozesse und der Betrieb dagegen schon häufig unerwartet schwerer fallen. Unterdessen seien Cloud-Infrastrukturdienste inzwischen eine tragende Säule der digitalen Transformation, so jedenfalls Professor Frédéric Jenny, Chairman of the OECD Competition Committee and Professor at ESSEC Paris Business School, in einer kürzlich veröffentlichten Studie von CISPE zu wettbewerbswidrigen Praktiken von Cloud-Services . Gleichzeitig sind aber auch die damit verbundenen Nachteile, etwa zusätzliche Abhängigkeiten und intransparente Bedingungen bis hin zu neuen spezifischen Cloud-Risiken wie Datenschutz und Datenhoheit erheblich.

Eine zentrale Aussage der Studie ist, dass die Verhaltensweisen, die zur heutigen enormen Abhängigkeit im On-Premises-Bereich geführt haben, sich aktuell im Cloud-Umfeld wiederholen. Tatsächlich verschlimmern diese sich hierdurch noch. Einige wenige, oftmals US-Anbieter, haben hier wie bereits zuvor im On-Premises-Bereich eine marktbeherrschende Stellung eingenommen, wodurch Europa sich wiederum auch auf Infrastrukturebene abhängig macht. Die Versäumnisse haben hier leider Tradition.

Viele Unternehmensverantwortliche und staatliche Entscheidungsträger haben es in diesem Kontext über Jahrzehnte versäumt, ihren vorrangigen Verpflichtungen zur Wahrung der Interessen des eigenen Unternehmens beziehungsweise der öffentlichen Hand gerecht zu werden. Stattdessen wurde scheinbar alternativlos dasjenige erworben, was von Monopolisten angeboten wurde. Dabei sind neben der gesamten Geschäftsführung auch IT-Entscheider originär und prioritär dazu verpflichtet, Risiken zu erkennen und zu streuen, technische Unabhängigkeit anzustreben, Exit- und Fallback-Szenarien zu entwickeln sowie die Stabilität herzustellen. Wer sich heute in Großunternehmen oder Behörden umsieht, findet regelmäßig eine totale Abhängigkeit insbesondere von Microsoft, SAP oder nunmehr AWS vor. Wie das im Besonderen mit den eigenen Data-Governance-Grundsätzen zu vereinbaren ist, erschließt sich nicht.

Hier nicht nur eine Fortsetzung mit dem Erwerb von Cloud- und Cloud-Infrastruktur-Diensten zu wagen, sondern damit auch noch auf der Hand liegende Abhängigkeiten auszubauen, erschüttert. So ist es fast nur konsequent, jetzt in der besagten Studie  zu erfahren, welche Vielzahl elementarer kritischer Bedingungen akzeptiert wurde. Dieselben Fehler werden also nicht nur wiederholt, sondern noch um weitere ergänzt und die Gesamtrisiken potenziert. Allzu oft wurden die Cloud-Bedingungen im technischen und rechtlichen Sinne von den Entscheidern der Nutzer nicht ausreichend geprüft und vorschnell aufgrund der vermeintlichen Zwangsläufigkeit akzeptiert, anstatt angemessene Bedingungen zu verhandeln und Risiken ausreichend zu prognostizieren und zu bewerten – auch langfristig einschließlich etwaiger zukünftiger Exit- und Fallback-Möglichkeiten.

Durch verschiedene Maßnahmen, wie Data Governance Act, Digital Markets Act, Digital Services Act sowie Data Act, versucht die EU hier gegenzusteuern. In der Umsetzung zeigen Projekte wie die EU-Cloud Gaia-X allerdings, dass am Ende wieder die typischen US-Anbieter federführend beteiligt sind.

Kritische Stimmen fanden bisher aufgrund der medialen und vertrieblichen Präsenz der Softwaregiganten vergleichsweise wenig Bühne. Allenfalls der Datenschutz fungiert hier etwa infolge des Wegfalls des „EU-US PrivacyShield“ noch als Warner. Mit der Diskussion um digitale Souveränität gewinnt das Thema bei unzähligen Experten in ganz Europa unterdessen endlich an der gebührenden Aufmerksamkeit.

Die Studie liefere etwa vor dem Hintergrund des von der EU geplanten Digital Markets Acts (DMA), der den fairen digitalen Wettbewerb ermöglichen und die Marktmacht von Digitalriesen einschränken soll, wichtige Erkenntnisse zu den Praktiken und Problemen, so Alban Schmutz, Präsident der CISPE . Angeführt werden dort unter anderem überhöhte Kosten, eine unfaire Bindung und eingeschränkte Wahlmöglichkeiten. Betont wird die Torwächterstellung einiger weniger Anbieter. In den Lizenzbestimmungen seien laut Jenny wettbewerbsfeindliche Praktiken verpackt, darunter höhere Preise bei Nutzung von Software in Clouds Dritter, das Verschwinden von Bring-Your-Own-License-Angeboten, welche auch (zum Beispiel „gebraucht“) erworbene Kauf-Lizenzen zuließen, die Abrechnung nach potenzieller Nutzung statt nach tatsächlicher Nutzung, undurchsichtige und nachträgliche Änderungen der Lizenzbedingungen sowie die Bündelung und Kopplung von Produkten zur Erhöhung der Kosten für Wettbewerber. Als Beispiel einer wettbewerbsbeschränkenden Praxis nennt die Studie etwa Azure und Windows 365, wodurch Office in Verbindung mit Cloud-Diensten anderer Anbieter faktisch teurer sei und dementsprechend von Kunden weniger wahrscheinlich gewählt würde .

Die Komplexität der Fragen ist denkbar hoch. Selbst in Bezug auf die Studie ist zu bedenken, dass zu den Mitgliedern von CISPE auch AWS gehört, wodurch Spannungen zwischen Cloud-Service-Anbietern einerseits und Cloud-Infrastruktur-Anbietern andererseits möglich erscheinen. Ob die EU der globalen Praxis beikommen kann, ist von maßgebender Bedeutung für unsere digitale Zukunft. Es ist aber nicht allein Sache der Politik, dem entgegenzusteuern.

Vielmehr ist jeder Entscheidungsträger in diesem Zusammenhang verpflichtet, sich der Problematiken im Cloud-Zusammenhang bewusst zu machen und nicht einfach einem Trend zu folgen, ohne die hohe Tragweite, enorme Kosten und substanzielle Risiken erkannt und bewertet zu haben. Das bedeutet gleichzeitig und gleichrangig auch den zweiten Grundpfeiler der aktuellen EU-Agenda „Green Deal“ in diesem Kontext einzubeziehen.

Hier zeigt sich die Stärke von On-Premises-Software, die vergleichsweise weniger Risiken aufweist und sich gleichzeitig nachhaltig dank der höchstrichterlichen europäischen Rechtsprechung „gebraucht“ weiterveräußern und nutzen lässt. Dieser Markt ist die absolute Ausnahme, ein europäisches Juwel, das die Machtstrukturen der großen Softwareanbieter aufbricht und Kunden ihre europäischen (Eigentums-)Rechte und Grundfreiheiten an der Software bewahrt. Auf diese europäischen Grundwerte leichtfertig durch Abo-Modelle zu verzichten, wenngleich es weiterhin aktuelle On-Premises-Versionen gibt, erscheint zumindest unreflektiert.

Freiheiten im digitalen Kontext sind überaus voraussetzungsvoll. Diese Erkenntnis wird sich im Cloud-Kontext noch deutlich verstärken. Denn bekanntlich geht mit Cloud-Services der Verlust der eigenen Datenhoheit im technischen Sinn einher. Eine Stärkung des rechtlichen Rahmens, aber auch des technischen Ökosystems in der EU ist sehr zu begrüßen. Am Ende wird der Kunde aber den Unterschied machen, bestimmte Geschäftspraktiken abzulehnen und risikobewusst zu entscheiden. Er muss sich ehrlich und transparent klarmachen und kalkulieren, welchen Preis die aufgezeigten Risiken für ihn haben können.

Wer glaubt, dass Cloud-Services günstiger seien, verkennt die drohenden Kosten durch den Lock-In-Effekt bei Exit-Bestrebungen und die wirtschaftlichen Risiken, wenn es zu nicht kompensierten Ausfällen kommt sowie den Machtverlust über die eigene IT. Insbesondere mangelt es an einer Prüfung der langfristigen Perspektive, wenn von dem Fortbestehen der gegenwärtigen Freiheiten aufgrund der oftmals formell kurzen Vertragslaufzeit ausgegangen wird.

Manche Entscheider werden erst jetzt erkennen, dass Cloud-Services keineswegs leichtfertig, unvorbereitet und unverhandelt sowie ohne gesicherte Fallback-Möglichkeiten eingegangen werden sollten, sondern die problematisierten Einschränkungen einschließlich dem Lock-in Effekt sowie der datenrechtlichen Dimension in jedem Einzelfall individuell bewertet gehören. Im Ergebnis wird Ausfluss dessen zum Beispiel die Streuung von Risiken sein, wobei der liberalisierende Aspekt „gebrauchter“ Software als Alternative einen positiven Effekt entfalten kann. Durch den Druck einiger Kunden und des Handels bieten zumindest Microsoft und SAP nach wie vor viele ihre aktuellen Produkte On-Premises zum Kauf an.

Im Ergebnis sollte es nicht nur um die anhand der Studie erkennbaren Herausforderungen in der Art und Weise der Cloud-Angebote gehen, sondern auch deren bedarfsgerechte Notwendigkeit vorab hinterfragt werden. Vor dem Hintergrund der aufgezeigten Risiken und aktueller On-Premises-Lösungen können Unternehmen wie Behörden zumindest insoweit die Cloud-Problematik ausklammern, bis entsprechende Lösungen technisch ausgereift und rechtlich ausgewogen geworden sind. Soweit Cloud aktuell bereits zwingend erforderlich erscheint, kann es zur Wahrung der eigenen Verantwortlichkeit nicht mehr im Ansatz genügen, einfach die Standardbedingungen zu akzeptieren.