Customized Cloud-Verträge

Jan Geert Meents (Bild: silicon.de)

Dass Verträge über Cloud Services komplex sein können, ist bekannt. Rechtlich brisant wird es für ein Unternehmen bei dieser Materie aber erst, wenn die Cloud-Vereinbarungen nicht mit seiner geschäftlichen Praxis einhergehen. Auf welche vertraglichen Aspekte man beim Cloud-Betrieb besonders achten muss, fasst Dr. Jan Geert Meents von der Kanzlei DLA Piper zusammen.

1. Wie kann ein Standardvertrag für Cloud-Services an die Unternehmensbedürfnisse angepasst werden?

Zwar sieht Cloud Computing “out of the box” grundsätzlich keine Anpassung von Services an individuelle Unternehmensbedürfnisse vor, andererseits ergibt die Nutzung eines vollständig standardisierten Services in der Praxis auch keinen Sinn. Die Folge: Häufig werden Cloud-Dienstleistungen an die Anforderungen der Auftraggeber angepasst. Beispielsweise können Services mit großem Funktionsumfang durch Setzen von Parametern auf das gewünschte Maß reduziert werden oder nicht benötigte Module werden separiert. Dies zeigt sich zum Beispiel bei cloud-basierten Webservices, die es in einer kostenfreien “Light-Version” und einer kostenpflichtigen Variante mit größerem Funktionsumfang gibt. Der Umfang eine Anpassung ist in der Praxis allerdings meist nur sehr gering. Daher sollte vorab geprüft werden, ob eine Anpassung im erforderlichen Maß möglich ist und welche zusätzlichen Kosten hierdurch entstehen. Denn von den eigentlichen Kostenvorteilen des Cloud-Computings profitiert nur, wer keine gravierenden Änderungen vornimmt.
Neben der Kostenregelung für die Anpassung von Services ist bei der Vertragsgestaltung vor allem auf eine sorgfältige Leistungsbeschreibung zu achten. Hier gilt wie bei allen IT-Services: Nur anhand der Leistungsbeschreibung kann festgestellt werden, ob der Vertrag erfüllt wurde beziehungsweise ob eine Nicht- oder Schlechtleistung vorliegt und welches Gewährleistungsrecht greift. Schließlich muss der Vertrag genaue Regelungen zur Beschaffenheit der Hard- und Software des Unternehmens sowie zu den Schnittstellen zwischen Cloud-Anbieter und Cloud-Nutzer und der Übergabe der Leistungen enthalten, damit sichergestellt ist, dass die Services in das System des Unternehmens integrierbar sind.

 

2. Wie wird vertraglich die Sicherheit der Unternehmensdaten gewährleistet?

Unternehmen, die ihre Daten “aus der Hand geben” und in der Cloud speichern, wollen “Herr ihrer Daten” bleiben und permanent auf sie zugreifen können. Um sich gegen Datenverlust effektiv vertraglich abzusichern, sollte der Cloud-Nutzer im Vertrag festlegen, welche Daten der Anbieter wie und in welchen Abständen sichern soll und ob beziehungsweise wann Sicherungen gelöscht werden können. Erfolgt die Sicherung durch Online-Backups in der Cloud, muss eine permanente Verfügbarkeit des Services “Datenspeicherung” gewährleistet sein. Nutzt ein Unternehmen mehrere Clouds, bietet sich die mehrfache Speicherung der Daten in verschiedenen Wolken an, sogenannte Multi-Cloud-Lösung. Beachtenswert dabei: Die alternativen Cloud-Dienste sollten von unterschiedlichen Anbietern zu Verfügung gestellt werden. Bei Ausfall einer Cloud muss sofort auf einen alternativen Cloud-Service zurückgegriffen werden können. Die Steuerung und Überwachung mehrerer Clouds lässt sich über sogenanntes End-to-End Monitoring oder Cloud Service Management umsetzen. Besonders sensible Daten sollten zusätzlich durch das Unternehmen selbst regelmäßig gesichert werden, ein hybrider Lösungsansatz. Durch die zusätzliche lokale Sicherung im unternehmenseigenem System, bleibt der Datenzugriff auch bei unterbrochener Internetverbindung erhalten. Ferner macht sich das Unternehmen unabhängiger vom Anbieter.

Für den Fall, dass dennoch Daten verloren gehen, muss der Vertrag ein Konzept für die Datenwiederherstellung enthalten, das regelt, wie bei Datenverlusten zu verfahren ist. Dabei sollte die Dauer des maximalen Systemausfalls, der Zeitraum vom Schadenseintritt bis zur Einspielung der Backups in ein lauffähiges System, das heißt der vollständigen Datenwiederherstellung, bestimmt werden. Zudem muss sich das Unternehmen überlegen, ob und in welchem Umfang er Datenverluste hinnehmen kann. Hierzu wird der Zeitraum zwischen den einzelnen Datensicherungen genau bestimmt. Die Daten und Transaktionen zwischen den Sicherungsintervallen stellen die maximale Datenverlustmenge dar. Schließlich sind die Kosten der Datenwiederherstellung und die Haftung für die mittelbar durch den (vorrübergehenden) Datenverlust entstandenen Schäden zu regeln. Bietet der Anbieter Services zur Datenwiederherstellung, hier spricht man von Desaster Recovery-as-a-Service, in der Cloud an, sollte das Unternehmen genau prüfen, ob der angebotene Service für sein Unternehmen den ausreichenden Schutz bietet und gegebenenfalls zusätzliche Vereinbarungen treffen.

 

3. Wie wird vertraglich der Personenbezug der Daten geregelt?

In der Cloud werden häufig auch personenbezogene Daten verarbeitet und gespeichert. Dabei handelt es sich um eine sog. Auftragsdatenverarbeitung, bei der der Cloud-Anbieter die Daten des Cloud-Nutzers in dessen rechtlicher Risiko- und Verantwortungssphäre verarbeitet und speichert. Bei der Vertragsgestaltung ist auf die Einhaltung der datenschutzrechtlichen Vorgaben zu achten.

Nach dem BDSG müssen die Parteien den Vertrag über die Auftragsdatenverarbeitung in schriftlicher Form schließen. Neben Regelungen zur Berichtigung, Löschung und Sperrung von Daten sowie dem Einräumen von Kontrollrechten zugunsten des Unternehmens, muss geklärt werden, ob der Anbieter zur Erfüllung seiner vertraglichen Pflichten Dritte unterbeauftragen darf. Da das Unternehmen auch in diesem Verhältnis verantwortlich bleibt, sollte eine Unterbeauftragung vertraglich ausgeschlossen oder von der Zustimmung des Unternehmens abhängig gemacht werden. Ferner muss das Unternehmen weisungsberechtigt sein, so dass der Anbieter nur weisungsgebunden verfahren darf.

 

4. Sind Geheimhaltungsvereinbarungen notwendig?

Gerade sensible Daten, die in der Cloud verarbeitet und gespeichert werden, müssen vor Kenntnisnahme durch Unbefugte geschützt werden. Geheimhaltungsabreden sind daher sinnvoll.

Bereits bei der Projektplanung im Vorfeld zum Vertragsschluss können Daten an Unbefugte gelangen. Da der gesetzliche Schutz oft unzureichend ist, sollten die Parteien bereits für diese Phase eine Geheimhaltungsvereinbarung (Non-Disclosure Agreement) schließen. Wird im Anschluss ein Vertrag für Cloud-Services geschlossen, sind die Abreden entsprechend anzupassen und zu erweitern. Wer sich im Vertrag auf frühere Vereinbarungen innerhalb der Projektplanungsphase bezieht, muss aufpassen, da sie sich häufig nur auf die Vertragsanbahnungsphase, nicht auf die Vertragslaufzeit beziehen. Bei Vertragsschluss muss zudem für den Fall der Beendigung der Vertragsbeziehungen festgelegt werden, dass die Absprachen über das Vertragsende hinaus gelten sollen.

Diese Absprachen noch zusätzlich mit Vertragsstrafen abzusichern, macht ebenfalls Sinn, da der Geschädigte bei Preisgabe von Informationen den verursachten Schaden kaum nachweisen kann. Bedient sich der Anbieter Dritter zur Erfüllung seiner Pflichten, ist der Anbieter zu verpflichten, auch den Subunternehmern die Geheimhaltungspflichten aufzuerlegen.

 

5. Wie wichtig ist das Exit Management?

Bei Vertragsende befinden sich die Unternehmensdaten auf dem System des Anbieters. Im Exit Management ist daher festzulegen, wie mit den in der Cloud gespeicherten Daten bei Vertragsende umzugehen ist. Es muss geregelt werden, ob die Daten zurückgegeben oder gar vernichtet werden sollen, der Übermittlungsweg sowie auch das Dateiformat.

Für den Fall, dass das Unternehmen seine Daten nicht abholt, muss dem Anbieter ein einseitiges Löschungsrecht zustehen. Andernfalls ist es rechtlich nicht klar, ob der Anbieter die Daten ohne weitere Vergütung weiter sichern muss. Darüberhinaus muss er sämtliche Unternehmensdaten, die noch auf seinen Systemen sind, löschen. Das geht nicht einfach per Knopfdruck, da durch Betätigung der Löschtaste die Daten nicht endgültig entfernt werden. Gut beraten ist, wer sich im Vertrag ein qualifiziertes Löschungsverfahren mit technischer Beschreibung der Vorgehensweise zulegt. Damit wird der Anbieter verpflichtet, Unternehmensdaten zu überschreiben und mit zufällig erzeugten Daten aus seinem System endgültig zu entfernen.