Angenommen, mein Cloud Provider macht Konkurs – wie kann ich meine Daten zurückerhalten und sie inklusive der Technologie einem anderen Anbieter übertragen?
Dr. Jansen: Aus rechtlicher Sicht besteht kein Unterschied zu den herkömmlichen Outsourcing-Konzepten.
Der Vertrag muss durch “Exitklauseln” die Rechte des Kunden sichern, die Daten zurückzuerhalten oder einem neuen Provider übertragen zu können. In der praktischen Umsetzung kann dies schwierig werden, wenn der Cloud-Anbieter einen Drittprovider mit dem Hosting der Daten beauftragt hat. Hier sollte der Kunde berechtigt sein, die Daten vom Drittprovider zurückzufordern.
Was passiert, wenn mein Cloud Provider meine Daten unerlaubt und unter Verletzung der Datenschutzgesetze und anderer Regelungen überträgt.
Dr. Jansen: Auch hier besteht rechtlich kein Unterschied zu den herkömmlichen Outsourcing-Konzepten. Die relevanten Datenschutzmaßnahmen und -vorschriften müssen vertraglich festgelegt sein. Der Vertrag muss dem Kunden außerdem detaillierte Überwachungsrechte einräumen.
Bei einer Vertragsverletzung muss der Kunden berechtigt sein, den Vertrag zu kündigen. Der Vertrag muss durch “Exitklauseln” die Rechte des Kunden sichern, die Daten zurückzuerhalten oder einem neuen Provider übertragen zu können.
Verletzt der Cloud Provider Datenschutzgesetze und drohen dem Kunden deswegen behördliche Geldstrafen oder sonstige Ansprüche, darf die Haftung des Cloud Providers für derartige Ansprüche gegenüber dem Kunden nicht ausgeschlossen oder begrenzt sein.
Welche Maßnahmen kann ich ergreifen, wenn mein Cloud Provider mangelhafte Dienste leistet (in Anbetracht dessen, dass die Haftung bei “normalen” Cloud-Verträgen häufig begrenzt und kein Service Level Agreement enthalten ist)?
Dr. Jansen: Man muss zwischen “Public-Cloud-Services” und den “Private- oder Enterprise-Cloud-Services” unterscheiden.
Public-Cloud-Angebote sind eventuell nur für nicht kritische, unkomplizierte Standardanwendungen und -daten geeignet, da Verträge für Public-Cloud-Dienste keine kundenfreundlichen Gewährleistungs- und Service-Level-Bestimmungen aufweisen.
Bei “Private- oder Enterprise-Cloud-Services”-Angeboten verhält es sich meist anders. Diese Dienste und Verträge sind meistens spezifisch auf einen bestimmten Kunden abgestimmt und enthalten daher die entsprechenden Gewährleistungs- und Service-Level-Vereinbarungen.
Was geschieht, wenn der Provider keine ausreichenden Disaster-Recovery-Vorkehrungen trifft?
Dr. Jansen: Disaster-Recovery-Vorkehrungen (einschließlich Backup-Vereinbarungen) müssen vertraglich festgelegt und vereinbart werden. Der Vertrag muss dem Kunden außerdem detaillierte Überwachungsrechte einräumen. Bei einer Vertragsverletzung muss der Kunde eine vertraglich vereinbarte Kündigungsmöglichkeit haben.
Der Vertrag muss durch “Exitklauseln” die Rechte des Kunden sichern, die Daten zurückzuerhalten oder einem neuen Provider übertragen zu können. Verletzt der Cloud Provider Datenschutzgesetze und drohen dem Kunden deswegen behördliche Geldstrafen oder sonstige Ansprüche, darf die Haftung des Cloud Providers für derartige Ansprüche gegenüber dem Kunden nicht ausgeschlossen oder begrenzt sein.
Die Nutzung der Cloud ist abhängig vom verfügbaren Internetzugang. Was geschieht, wenn der Netzwerkbetreiber ausfällt? Wer ist in diesem Fall verantwortlich?
Dr. Jansen: Gewöhnlich gibt es zwei vertragliche Regelungen: Einmal zwischen dem Cloud Service Provider und dem Kunden einerseits und andererseits ein Untervertrag zwischen dem Cloud Service Provider und dem Netzwerkbetreiber. In der Beziehung zwischen dem Cloud Provider und dem Kunden wird ein Ausfall des Netzwerkbetreibers als Ausfall des Cloud Providers betrachtet. Folglich müsste der Cloud Provider den Kunden für alle Verluste entschädigen, die durch das Ausfallen des Netzwerkbetreibers verursacht werden.
Sofern der Kunde für eine Verletzung der Datenschutzgesetze durch den Cloud Provider haftbar gemacht werden könnte, darf die Haftung des Cloud Providers für derartige Ansprüche nicht ausgeschlossen oder begrenzt sein.
Was geschieht bei einem Denial-of-Service-Angriff oder einer Datenschutzverletzung? Wer ist in diesem Fall verantwortlich?
Dr. Jansen: Die relevanten Datenschutzmaßnahmen und -vorschriften müssen vertraglich festgelegt sein. Der Vertrag muss dem Kunden außerdem detaillierte Überwachungsrechte einräumen.
Bei einer Vertragsverletzung muss dem Kunden ein vertraglich vereinbartes Kündigungsrecht zustehen. Der Vertrag muss durch “Exitklauseln” die Rechte des Kunden sichern, die Daten zurückzuerhalten oder einem neuen Provider übertragen zu können.
Verletzt der Cloud Provider Datenschutzgesetze und drohen dem Kunden deswegen behördliche Geldstrafen oder sonstige Ansprüche, darf die Haftung des Cloud Providers für derartige Ansprüche gegenüber dem Kunden nicht ausgeschlossen oder begrenzt sein.
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.
Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.
View Comments
Exitklausel
Das meiststrapazierte Wort in diesem Artikel ist "Exitklausel". Wichtig ist die, ok. Was aber mache ich mit den Daten, die "zurückerhalten" habe? Auf welchen Systemen setze ich sie dann wieder produktiv ein? Und - wie lange dauert das? Diese Fragen werden seltsamerweise nicht gestellt.