IT-Recht: ein Zehn-Punkte-Plan für 2010
Die Experten der Kanzlei DLA Piper sehen durch sich wandelnde Technologie und bevorstehende Gesetzesänderungen in den nächsten Monaten auf Firmen einiges zukommen. Um zehn Aspekte sollten sich IT-Verantwortliche 2010 jedoch vorrangig kümmern.
6. Missverständnisse ausräumen
Neue Technologien (zum Beispiel Cloud Computing) werden sich 2010 stark auf die Gestaltung von IT-Service- und IT-Outsourcing-Verträgen auswirken. Mit zunehmender Nutzung dieser Technologien ist im Rahmen der Vertragsgestaltung verstärkt darauf zu achten, dass die Leistungsbeschreibung und die Vereinbarung von Service Levels den technischen Besonderheiten dieser Technologien Rechnung tragen.
Die vielen unterschiedlichen Auffassungen über die Leistungen dieser Technologien, bergen die Gefahr, dass die Vertragsparteien Unterschiede über den tatsächlichen Leistungsinhalt erst bei Vertragsdurchführung erkennen. Daher ist es empfehlenswert, die Vertragsinhalte und deren technische Umsetzung detailliert und vollständig zu beschreiben, um Missverständnisse rechtzeitig feststellen und vermeiden zu können. Der Einsatz von neuen Technologien stellt erhöhte Anforderungen an Vertragsgestaltung und -prüfung für Unternehmen.
7. Outsourcing-Verträge: Service Level als Risiko
Bei der Nutzung von Cloud-Technologien werden Unternehmen in diesem Jahr versuchen, sich über Outsourcing-Verträge mit weitreichenden Zusagen zu den Service-Leveln abzusichern. Damit würde eine mangelhafte Leistungsbeschreibung durch unangemessene Service Level kompensiert werden. Das Pferd wird von hinten aufgezäumt und ein Scheitern des Vertrags ist wahrscheinlich.
Daher müssen die Vertragspartner schon bei der Gestaltung und Verhandlung von Verträgen über die Nutzung von Cloud Computing und SaaS dem Reflex widerstehen, rechtliche Risiken und vertragliche Unsicherheiten in unangemessener Weise auf die schwächere Vertragspartei zu verlagern.
8. Virtualisierung: Klartext bei Lizenzrechten
Aufgrund von Kostenvorteilen und verbesserter Ressourcenplanung werden Unternehmen nochmals vermehrt Virtualisierungsprojekte in Angriff nehmen. Bestehende IT-Infrastrukturen werden zu einem Teil oder komplett virtuell ausgerichtet. Da viele Lizenzverträge aber noch keine Virtualisierungsregelung enthalten, besteht Klärungsbedarf.
Es ist wichtig, unbedingt vor der Umsetzung eines Virtualisierungsprojekts die lizenzrechtliche Situation zum Beispiel zur betroffenen Software zu klären. Neben der Transparenz hinsichtlich einer lizenzrechtlichen Zulässigkeit, gilt es im Rahmen eines geplanten Projektes außerdem, Pflege und Support für die Software in der virtuellen Betriebsumgebung sicherzustellen.
9. Vertragsrisiko Cloud Computing
Die Anwendung von Cloud Computing birgt rechtliche Risiken, da es hierfür noch keine allgemeinen Leistungsstandards gibt. Es ist also entscheidend, dass der Vertrag eine sorgfältige Beschreibung der geschuldeten Leistungen enthält.
Unternehmen sollten ein besonderes Augenmerk auf kritische Geschäftsprozesse legen, die in die Cloud verlagert werden sollen. Denn je kritischer diese Prozesse sind, desto höher ist die Abhängigkeit vom Anbieter. Einige wichtige Punkte, die bei der Vertragsgestaltung daher beachtet werden sollten: Maßnahmen zum Business Continuity Management, Eskalationsmanagement, Vergütungskriterien oder auch Regelungen über Teilleistungen und deren Kündigung.
10. IT-Compliance: rechtliche Pflichten der “Cloud”-Parteien
Wer im kommenden Jahr seine IT-Dienste in die virtuelle Wolke verlagern möchte, muss wissen, dass die Verlagerung der Services auch zu einer Verlagerung der tatsächlichen Verantwortung auf den Betreiber der Wolke führt. Die gesetzliche Verantwortung (Organisationspflicht), bleibt jedoch bei der Unternehmensführung (Paragraf 91 II, 93 AktG, Paragraf 43 GmbHG). Konventionelle Vereinbarungen, etwa Auditrechte zur Prüfung der Zutritts-, Zugangs- und Zugriffskontrolle, laufen bei einer virtuellen Wolkenstruktur ins Leere. Maßnahmen der IT-Compliance müssen zwangsläufig vertraglich auf den Cloud-Anbieter übertragen werden. Dazu zählen:
- Pflicht zur Geheimhaltung
- Implementierung verbindlicher Sicherheitskonzepte
- Einhalten von IT-Notfallkonzepten
- Pflichten-Reporting