34 35mANAGEmENT & kARRIERE Recht Wenger & Vieli www.wengervieli.ch

Augen auf bei Cloud-VerträgenNamhafte Schweizer Unternehmen setzen bereits heute auf die Cloud und weitere werden es dem-nächst tun. Doch welche rechtlichen Aspekte sind bei einem Entscheid für oder gegen die Cloud eigentlich zu beachten?

AbhängigkeitsverhältnisGenerell sollten auch starke Abhängigkeitsver-hältnisse (Vendor Lock-in) zum Anbieter vermie-den werden. Vor allem bei steigenden Kosten, sinkender Qualität der Leistungen oder im Hin-blick auf einen Konkursfall muss der Kunde die Möglichkeit haben, den Anbieter zu vernünftigen Bedingungen zu wechseln. Faire Verträge sollten Bestimmungen enthalten, die den Ausstieg und Wechsel des Kunden zu einem anderen Partner präzis regeln. Dem Umfang und Inhalt der ver-traglich festgelegten Mitwirkungspflichten des Anbieters kommt dabei eine zentrale Rolle zu. Fehlende Standardisierung von Application In-terfaces kann die ohnehin schon bestehenden Abhängigkeitsverhältnisse noch verstärken. Zu-dem sollten die vom Anbieter spezifisch verwen-deten Datenformate auch von Dritten in Stan-dardformate übersetzt werden können.

In Verträgen mit ausländischen Anbietern wird fast ausnahmslos die Zuständigkeit aus-ländischer Gerichte vereinbart. Damit können die Möglichkeiten des Kunden, sich bei Proble-men zu wehren, massiv verringert sein. IT-Strei-tigkeiten sind zwar oft nur beschränkt justizia-bel, ein Schweizer Gerichtsstand in Kombination mit einem griffigen Haftungsregime wirkt aber als willkommenes Druckmittel, um den Anbie-

ter von einer sinnvollen aussergerichtlichen Lösung zu überzeugen. So gesehen kann bei-spielsweise ein kalifornischer Gerichtsstand gepaart mit einem weitgehenden Haftungsaus-schluss Grund genug sein, dass ein Anbieter für die Auslagerung von geschäftskritischen Daten in die Cloud ausser Betracht fällt.

DAtenschutzrechtliche FrAgenEine Grundkonzeption des Cloud Computing besteht darin, dass Daten verstreut auf unter-schiedlichen Systemen gespeichert und teil-weise beliebig verschoben werden. Sofern es

VoN olIVER STAffElbACh

Aktuelle Studien zeigen, dass die Hal-tung von Schweizer Unternehmen ge-genüber Cloud Computing weiterhin gespalten ist. Neben technischen so-

wie betriebswirtschaftlichen Risiken werden insbesondere auch rechtliche Aspekte intensiv diskutiert. Grundsätzliche rechtliche Hinder-nisse bestehen nicht. Wer Cloud-Angebote ge-nau unter die Lupe nimmt und kritische Punkte vertraglich vernünftig regelt, kann die Risiken minimieren.

AusgestAltung von verträgenAbhängig von den konkret zu erbringenden Diensten können Cloud-Computing-Verträge zwischen Anbietern und Kunden sehr unter-schiedlich ausgestaltet sein. Umso wichtiger ist es, die Regelungen über Leistungsinhalte, Ver-fügbarkeiten, Performance, Sicherheitsaspekte etc. genau zu studieren. Welche Dienste in die Cloud ausgelagert werden, sollte anhand von möglichst präzisen Leistungsbeschreibungen, etwa durch Service Level Agreements (SLA), de-finiert werden. Ausserdem sind Flexibilität und Skalierbarkeit der Leistungen wichtige Motive für die Cloud und gehören daher sauber in der Leistungsbeschreibung abgebildet.

Der Festlegung von sachgerechten Rechts-folgen bei Verletzung der vereinbarten Service Levels wird in der Praxis oft zu wenig Gewicht beigemessen. Manche Anbieter locken z.B. mit einer garantierten Verfügbarkeit von 99,9 Pro-zent. Die Analyse der Folgen, die bei Unter-schreitungen der vereinbarten Service Le-

dabei um personenbezogene Daten (z.B. Ar-beitnehmer- oder Kundendaten) geht, sind datenschutzrechtliche Bestimmungen zu be-achten. Entsprechend des Schweizer Daten-schutzgesetzes dürfen Personendaten durch eine Vereinbarung auf Dritte übertragen wer-den, wenn die Daten nur so bearbeitet werden, wie der Kunde selbst es tun dürfte und dies durch keine gesetzliche oder vertragliche Ge-heimhaltungspflicht verboten wird.

Der Kunde bleibt für die von ihm ausgelager-ten Daten also weiterhin bis zu einem gewissen Grad verantwortlich. Er hat den Anbieter von Cloud-Dienstleistungen sorgfältig auszuwählen und sicherzustellen, dass dieser die notwendi-gen Voraussetzungen für die Datenbearbeitung erfüllt und insbesondere die erforderliche Datensicherheit gewährleisten kann. Die Veran-kerung angemessener Instruktions- und Kon-trollrechte des Kunden in Cloud-Computing- Verträgen ist daher zentral.

Nach Schweizer Recht dürfen grundsätzlich keine Personendaten von der Schweiz ins Aus-land bekannt gegeben werden, wenn dies zu einer schwerwiegenden Gefährdung der Per-sönlichkeit der betroffenen Personen führt. Das soll gemäss Datenschutzgesetz namentlich der Fall sein, wenn eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet. Der Eidgenössische Datenschutzbeauftragte hat eine unverbindliche Liste derjenigen Staa-ten veröffentlicht, die einen angemessenen Schutz aufweisen. Dies trifft für die Staaten der EU, nicht jedoch für die USA zu. Erfolgt die Da-tenbearbeitung in Ländern, die über kein ange-messenes Schutzniveau verfügen, kann daten-schutzrechtliche Konformität unter anderem durch vertragliche Garantien erzielt oder für die USA mit sogenannten Safe-Harbour-Registrie-rungen erreicht werden. Einige Anbieter haben bereits auf die in internationaler Hinsicht stark variierenden Datenschutzniveaus reagiert und bieten Datenverarbeitung ausschliesslich in-nerhalb europäischer Grenzen an.

oliver Staffelbach ist auf IT-Recht spezialisierter Rechtsanwalt bei Wenger & Vieli aus Zürich

Welche Leistungen werden angeboten, welche Service Levels werden garantiert und welche Folgen hat die Nichteinhaltung der Service Levels?

Wie sieht das Haftungsregime des Anbie-ters aus? Bestehen sinnvolle Regelungen über Business Continuity, Eskalationsver-fahren und Notfallmanagement?

Wo werden die Daten gespeichert und wie sicher sind sie? Wird dem Datenschutz ausreichend Rechnung getragen?

Checkliste Cloud-Verträge Wird Preistransparenz gewährleistet? Erlauben die bestehenden Verträge mit

Dritten die geplante Auslagerung in die Cloud?

Kann die Einhaltung bestehender Compli-ance-Vorschriften sichergestellt werden?

Unter welchen Voraussetzungen ist ein Ausstieg möglich und wie teuer ist dies?

Erlaubt es die vertragliche Grundlage, bei Problemen Druck auf den Anbieter auszuüben?

BILD

: FoT

oLIA

vels eintreten, kann jedoch zum Schluss führen, dass eine Auslagerung an den konkreten Anbie-ter nicht oder zumindest nicht bezüglich ge-schäftskritischer Daten infrage kommt.

notFAllregelungenGegen konkrete Cloud-Projekte sprechen bei den meisten Unternehmen die Aspekte Daten-schutz, Datensicherheit und Vertraulichkeit. Eine gute vertragliche Grundlage kann zwar Vertrauen schaffen und Compliance-Anforde-rungen Genüge tun, sie ersetzt jedoch nicht die sorgfältige Prüfung der faktischen Verhält-nisse. Besonders wichtig ist dabei die präzise Regelung der Berechtigungsverhältnisse an den Daten während und nach der Auflösung des Vertragsverhältnisses.

Idealerweise sollten Betriebsausfallrisiken umfassend abgesichert werden können. In der Praxis erweist sich diese aber oft als nicht rea-lisierbar. Bereits ein kurzer Blick auf die Haf-tungsbestimmungen von Cloud-Computing-Verträgen zeigt, dass Anbieter oft nur sehr beschränkt gewillt sind, Betriebsausfallrisiken zu übernehmen. Umso wichtiger sind sinnvolle Regelungen über die Business Continuity, das Eskalationsverfahren und das Notfall-management.

Cloud-Anbieter heben meist die Preistrans-parenz als Verkaufsargument hervor. Für den Bezug von Cloud-Dienstleistungen wird typi-scherweise nach Nutzung (pay as you go) ab-gerechnet. In der Praxis kann sich jedoch eine ziemlich komplexe Gesamtkostenstruktur erge-ben. Ein präziser und realistischer Blick auf die verschiedenen Kostenelemente ist daher äus-serst wichtig.

erweitertes rechtliches umFelDDie geplante Auslagerung in die Cloud kann unter Umständen gegen Verträge mit Dritten verstossen. Vielleicht sind bestimmte Daten, die zur Bearbeitung weitergegeben werden müssen, durch Geheimhaltungsklauseln ge-schützt oder einzelne Cloud-Dienste sind von einer bestehenden Lizenz nicht abgedeckt. Es ist daher immer zu prüfen, inwieweit die be-stehenden Verträge mit der geplanten Aus-lagerung konform sind, bzw. welche Kosten im Hinblick darauf anfallen.

In verschiedenen Bereichen bestehen zu-dem regulatorische Vorgaben. So kann bei Finanzdienstleistungen insbesondere das Rundschreiben der Eidgenössischen Finanz-marktaufsicht vom 20. November 2008 betref-fend Auslagerung von Geschäftsbereichen von Banken relevant werden.

Hervorzuheben sind ferner die bestehen-den Geheimnisschutzvorschriften für das Fi-nanz- und Medizinalwesen. Erwähnenswert ist schliesslich die Geschäftsbücherverordnung, aus der hervorgeht, dass archivierte Geschäfts-bücher, Buchungsbelege und Geschäftskorre-spondenz vor unbefugtem Zugriff zu schützen und Zugriffe sowie Zutritte aufzuzeichnen sind.