Störungen im Cloud-Betrieb – was tun?

Jan Geert Meents (Bild: silicon.de)

Ausfälle in Rechenzentren zeigen, dass Unternehmen sich bei der Verlagerung bestimmter Anwendungen und Prozesse in die Cloud, auch Gedanken über mögliche Störszenarien machen müssen. Inwieweit Unsicherheiten durch entsprechende vertragliche Vorkehrungen ausgeschlossen werden können, erläutern Antworten auf die am häufigsten gestellten Fragen.

Ihr Cloud Provider wird insolvent – wie können Sie Ihre Daten zurückerhalten und sie inklusive der Technologie einem anderen Anbieter übertragen?
Aus rechtlicher Sicht besteht kein Unterschied zu Outsourcing¬-Konzepten. Der Vertrag muss durch “Exitklauseln” die Rechte des Kunden sichern, die Daten zurückzuerhalten oder einem neuen Provider übertragen zu können. In der praktischen Umsetzung kann dies schwierig werden, wenn der Cloud-Anbieter einen Drittprovider mit dem Hosting der Daten beauftragt hat. Hier sollte der Kunde berechtigt sein, die Daten vom Drittprovider zurückzufordern.

Ihr Cloud Provider überträgt Ihre Daten unerlaubt und unter Verletzung der Datenschutzgesetze und anderer Regelungen.
Auch hier besteht rechtlich kein Unterschied zu den herkömmlichen Outsourcing-Konzepten. Die relevanten Datenschutzmaßnahmen und -vorschriften müssen vertraglich festgelegt sein. Der Vertrag muss dem Kunden außerdem detaillierte Überwachungsrechte einräumen. Bei einer Vertragsverletzung sollte der Kunde berechtigt sein, den Vertrag zu kündigen. Wie bereits erwähnt, muss der Vertrag durch “Exitklauseln” die Rechte des Kunden sichern, die Daten zurückzuerhalten oder einem neuen Provider übertragen zu können. Verletzt der Cloud Provider Datenschutzgesetze und drohen dem Kunden deswegen behördliche Geldstrafen oder sonstige Ansprüche, darf die Haftung des Cloud Providers für derartige Ansprüche gegenüber dem Kunden nicht ausgeschlossen oder begrenzt sein.

Welche Maßnahmen können Sie ergreifen, wenn Ihr Cloud Provider mangelhafte Dienste leistet (in Anbetracht dessen, dass die Haftung bei ‘normalen’ Cloud-Verträgen häufig begrenzt und kein Service Level Agreement enthalten ist)?
Man muss zwischen “Public-Cloud-Services” und “Private- oder Enterprise-Cloud-Services” unterscheiden. Public-Cloud-Angebote sind eventuell nur für nicht kritische, unkomplizierte Standardanwendungen und -daten geeignet, da Verträge für Public-Cloud-Dienste keine spezifischen Gewährleistungs- und Service-Level-Bestimmungen aufweisen. Bei “Private- oder Enterprise-Cloud-Services” Angeboten verhält es sich anders. Diese Dienste und Verträge sind meistens spezifisch auf einen bestimmten Kunden abgestimmt und enthalten daher die entsprechenden Gewährleistungs- und Service-Level-Vereinbarungen.

Was geschieht, wenn der Provider keine ausreichenden Disaster-Recovery-Vorkehrungen trifft?
Disaster-Recovery-Vorkehrungen (einschließlich Backup-Vereinbarungen) müssen vertraglich festgelegt und vereinbart werden. Der Vertrag muss dem Kunden außerdem detaillierte Überwachungsrechte einräumen. Bei einer Vertragsverletzung muss der Kunde eine vertraglich vereinbarte Kündigungsmöglichkeit haben. Der Vertrag sollte durch ‘Exitklauseln’ die Rechte des Kunden sichern, die Daten zurückzuerhalten oder einem neuen Provider übertragen zu können. Verletzt der Cloud Provider Datenschutzgesetze und drohen dem Kunden deswegen behördliche Geldstrafen oder sonstige Ansprüche, darf die Haftung des Cloud Providers für derartige Ansprüche gegenüber dem Kunden nicht ausgeschlossen oder begrenzt sein.

Die Nutzung der Cloud ist abhängig vom verfügbaren Internetzugang. Was geschieht, wenn der Netzwerkbetreiber ausfällt? Wer ist in diesem Fall verantwortlich?
Für gewöhnlich gibt es zwei vertragliche Regelungen: Einmal zwischen dem Cloud Service Provider und dem Kunden einerseits und andererseits ein Untervertrag zwischen dem Cloud Service Provider und dem Netzwerkbetreiber. In der Beziehung zwischen dem Cloud Provider und dem Kunden wird ein Ausfall des Netzwerkbetreibers als Ausfall des Cloud Providers betrachtet. Folglich müsste der Cloud Provider den Kunden für alle Verluste entschädigen, die durch das Ausfallen des Netzwerkbetreibers verursacht werden. Sofern der Kunde für eine Verletzung der Datenschutzgesetze durch den Cloud Provider haftbar gemacht werden könnte, darf die Haftung des Providers für derartige Ansprüche nicht ausgeschlossen oder begrenzt sein.