C loud Computing kommt so oder so, die Frage ist nur, in welcher Form und in welcher Geschwindig-keit», bemerkte Peter Fischer, Delegierter des In-formatikstrategieorgans des Bundes anfangs 2011

in einem Interview mit Computerworld. Aktuelle Studien zeigen, dass er recht hatte. Nach wie vor begegnet ein Teil der Schweizer Unternehmen dem Cloud Computing zwar skeptisch. Alles in allem gestaltet sich die Grosswetterlage rund um die zahlreichen neuen Cloud-Angebote aber schon heute recht freundlich. Doch wann ist eine Auslagerung in die Wolke sinnvoll? Neben technischen und betriebswirt-schaftlichen Faktoren sind insbesondere auch rechtliche Aspekte beim Entscheid für oder gegen die Cloud zu beach-ten. Grundsätzliche rechtliche Hindernisse bestehen nicht. Risiken können aber oft massiv minimiert werden, indem Cloud-Angebote genau unter die Lupe genommen und kri-tische Punkte vertraglich vernünftig geregelt werden. Nach-folgend werden wichtige rechtliche Aspekte erläutert und aufgezeigt, was den Anwender in der Praxis erwartet.

Genaue LeistunGsbeschreibunGenAbhängig von der Vertragsart und den konkret zu erbringen-den Diensten können Cloud-Computing-Verträge zwischen Anbietern und Kunden sehr unterschiedlich ausgestaltet sein. In jedem Fall sollte aber anhand von möglichst präzi-sen Leistungsbeschreibungen definiert sein, welche Dienste in die Cloud ausgelagert werden. Besonders wichtig sind Regelungen über die Verfügbarkeiten und Performance. Die oft gewünschte Skalierbarkeit der Leistungen sollte bei Bedarf ebenfalls sauber vertraglich abgebildet werden.

Die Konkretisierung der geschuldeten Leistungen erfolgt regelmässig durch Service Level Agreements. Die Qualität der Service Levels ist in der Praxis sehr unterschiedlich. Es lohnt sich daher, genau zu untersuchen, welche Service Le-vels garantiert werden und ob diese den Erwartungen des Kunden entsprechen. Verschiedene Anbieter garantieren

Verfügbarkeiten von 99,9 Prozent pro Jahr oder sogar mehr; sind bei den Folgen, die bei Unterschreitungen der verein-barten Service Levels eintreten, dann aber bedeutend we-niger grosszügig. Ein effektives Mittel, den Anbieter zur Einhaltung der garantierten Service Levels zu bringen, kann bekanntlich die Festlegung von Konventionalstrafen sein. In Standardverträgen von Cloud-Anbietern finden sich der-artige Regelungen jedoch kaum. Benötigt ein Kunde diese Sicherheit, sind damit in der Regel Mehrkosten verbunden. Zudem setzt die Verhandlungsbereitschaft der Anbieter meist eine bestimmte Höhe des Vertragsvolumens voraus.

transparenz bei den KostenTypischerweise wird für den Bezug von Cloud-Dienstleis-tungen nach Nutzung (pay as you go) abgerechnet. Preistransparenz wird vonseiten der Anbieter oft als Argu-ment für Cloud Computing hervorgehoben. Ein gutes Bei-spiel eines Schweizer Anbieters mit klarer Preisregelung ist Myfactory Software Schweiz. Abhängig von der Anzahl Nut-zer und der gewählten Lösung wird ein Pauschalpreis fest-gesetzt. Übersichtlich ist auch die Preisgestaltung von CloudSigma. Eine Besonderheit dieses IaaS-Anbieters be-steht darin, dass die Berechnung der Ressourcennutzung durch den Kunden in einer 5-Minuten-Taktung erfolgt. Doch nicht alle Anbieter setzen ihre Preise derart transpa-rent fest. Die genaue Prüfung der Kostenregelung ist daher wichtig. Besonderes Augenmerk sollte dabei den potenziel-len Migrationskosten geschenkt werden.

datenbearbeitunG durch den anbieterEine Grundkonzeption des Cloud Computing besteht darin, dass Daten verstreut auf unterschiedlichen Systemen ge-speichert und teilweise beliebig verschoben werden. Sofern es dabei um personenbezogene Daten (z.B. Arbeitnehmer- oder Kundendaten) geht, sind datenschutzrechtliche Bestimmungen zu beachten.

der autorOliver Staffelbachhat über die Dekompilie-rung von Software promo-viert und ein Nachdiplom-studium zu IT- und Immaterialgüterrecht in New York absolviert. Der Fokus des Zürcher Anwalts für die Kanzlei Wenger & Vieli liegt im Lizenz-, Inter-net- und Software-Recht.

www.wengervieli.ch

Gemäss dem Schweizer Datenschutzgesetz dürfen Perso-nendaten durch eine Vereinbarung auf Dritte übertragen werden, wenn die Daten nur so bearbeitet werden, wie der Kunde selbst es tun dürfte und dies durch keine gesetzliche oder vertragliche Geheimhaltungspflicht verboten wird. Der Kunde bleibt für die von ihm ausgelagerten Daten also weiterhin bis zu einem gewissen Grad verantwortlich. Er hat sicherzustellen, dass der Anbieter von Cloud-Leistungen die notwendigen Voraussetzungen für die Datenbearbei-tung erfüllt und insbesondere die erforderliche Daten-sicherheit gewährleisten kann. In den Standardverträgen der Cloud-Anbieter sind diese Aspekte oft nicht oder nur unzureichend geregelt. Der Kunde setzt sich in solchen Fällen insbesondere Haftungs- und Imagerisiken aus.

datentransfer ins ausLandDie regelmässig bestehende Internationalität der Daten-bearbeitung bei Cloud-Diensten kann zu weiteren daten-schutzrechtlichen Herausforderungen führen. Nach Schwei-zer Recht dürfen grundsätzlich keine Personen daten von der Schweiz ins Ausland bekannt gegeben werden, wenn dies zu einer schwerwiegenden Gefährdung der Persönlichkeit der betroffenen Personen führt. Das soll gemäss Datenschutz-gesetz namentlich der Fall sein, wenn eine Gesetzgebung fehlt, die angemessenen Schutz gewährleistet. Der Eidgenös-sische Datenschutz- und Öffentlichkeitsbeauftragte hat dazu eine unverbindliche Liste derjenigen Staaten veröffentlicht, die einen angemessenen Schutz aufweisen. Dies trifft für sämtliche Staaten der EU, nicht jedoch für die USA zu.

Erfolgt die Datenbearbeitung in Ländern, die über kein angemessenes Schutzniveau verfügen, kann datenschutz-rechtliche Konformität unter anderem durch vertragliche Garantien erzielt oder für die USA mit sogenannten Safe-Harbour-Registrierungen erreicht werden. Einige Anbieter haben bereits auf die in internationaler Hinsicht stark variierenden Datenschutzniveaus reagiert und bieten

Datenverarbeitung ausschliesslich innerhalb europäischer Grenzen oder sogar ausschliesslich in bestimmten euro-päischen Ländern an. Selbst internationale Anbieter von Cloud-Diensten können bei genügend hohem Geschäfts-volumen teilweise dazu bewegt werden, Daten ausschliess-lich in schweizerischen Datenzentren abzuspeichern.

haftunGAus der Sicht des Kunden sollten Betriebsausfallrisiken umfassend abgesichert werden können. In der Praxis er-weist sich dieser durchaus berechtigte Wunsch aber meist als nicht realisierbar. Anbieter sind nur sehr selten gewillt, derartige Risiken zu übernehmen. Sie schliessen ihre Haf-tung sogar oft umfassend aus und haften daher nur noch in dem Umfang, der vertraglich nicht wegbedungen werden kann, nämlich für vorsätzlich und grob fahrlässig verur-sachte Schäden. Ein Beispiel eines sehr umfassenden Haf-tungsausschlusses findet sich im AWS Customer Agree-ment von Amazon Web Services.

Einige Anbieter sehen in ihren Standardverträgen diffe-renziertere Regelungen vor als den pauschalen Haftungs-ausschluss. Gemäss dem sogenannten Master Subscription Agreement von Salesforce beispielsweise hat Salesforce grundsätzlich bis zum Betrag, der vom Kunden in den 12 Monaten vor dem Eintritt des entsprechenden Schadens an Salesforce bezahlt worden ist, einzustehen, wobei diverse Ausnahmen zu diesem Grundsatz bestehen. Insbesondere wird jegliche Haftung für mittelbare Schäden wie entgange-ner Gewinn umfassend ausgeschlossen. In gewissen Fällen können für den Kunden durch Vertragsverhandlungen subs-tanzielle Verbesserungen der haftungsrechtlichen Situation erzielt werden. Verhandlungsspielraum besteht vor allem bei grösseren Vertragsvolumen und Referenzprojekten.

Die für den Kunden nachteiligen Haftungsregelungen in Cloud-Computing-Verträgen mögen auf den ersten Blick besonders riskant erscheinen. Beachtenswert ist

VerträgeWelche rechtlichen Aspekte sind bei einem Entscheid für oder gegen die Cloud zu beachten? Ein Erfahrungsbericht aus der Praxis.

VOn OliVer Staffelbach

Cloud- Computing-

Mein lieblings-Gadget«Densen-Stereoanlage – weil sie toll klingt, bild-schön ist und wunderbar nachhaltig gebaut ist – was sich auch daran zeigt, dass es eine lebenslange Garantie gibt.»

38 39SwiSS ciO Recht Computerworld 11/15. Juni 2012 www.computerworld.ch

jedoch, dass die haftungsrechtliche Situation des Kunden auch bei anderen Leistungen, die im Bereich der Informa-tionstechnologie erbracht werden, meist nicht viel besser ist. Insbesondere sind Anbieter nur in sehr seltenen Fällen bereit, für Betriebsausfallsrisiken einzustehen. Andern-falls könnte ein einziger Vorfall, der vielleicht Tausende von Kunden betreffen würde, für den Anbieter von exis-tenzieller Bedeutung sein.

exitManaGeMentNicht nur in faktischer, sondern auch in rechtlicher Hinsicht sollten starke Abhängigkeitsverhältnisse zum Anbieter ver-mieden werden (sog. Vendor Lock-in). Vor allem bei stark steigenden Kosten, sinkender Qualität der Leistungen oder im Hinblick auf einen Konkursfall muss der Kunde die Mög-lichkeit haben, den Anbieter zu vernünftigen Bedingungen wechseln zu können. Faire Cloud-Computing-Verträge soll-

ten Bestimmungen enthalten, die den Ausstieg und Wechsel des Kunden zu einem anderen Partner in praktikabler Weise regeln. Fehlende Standardisierung von Datenstrukturen oder Schnittstellen können allenfalls ohnehin schon bestehende Abhängigkeitsverhältnisse noch verstärken. Vom Anbieter spezifisch verwendete Datenformate sollten auch von Drit-ten in Standardformate übersetzt werden können.

Erfahrungsgemäss ist die Qualität von Cloud-Compu-ting-Verträgen in Bezug auf das Exitmanagement sehr unterschiedlich. Einige Standardverträge von Cloud-Anbie-tern regeln diesen Aspekt schlechthin nicht. Das kann bei

einem Exit für den Kunden hohe Mehrkosten oder sogar Datenverlust zur Folge haben. Andere Anbieter sind sehr bemüht, dass Daten ohne grossen Aufwand aus der Cloud exportiert werden können. Google hat beispielsweise ein spezielles Team aus Entwicklern – die sogenannte Data Liberation Front – zusammengestellt, um den Datenexport für den Kunden zu erleichtern.

Gerichtsstand und anwendbares rechtWird in Cloud-Computing-Verträgen die Zuständigkeit aus-ländischer Gerichte und ausländisches Recht vereinbart, kann das die Möglichkeiten des Kunden, sich bei Proble-men zu wehren, massiv verringern. Streitigkeiten im Be-reich der Informationstechnologie sind zwar oft nur be-schränkt justiziabel. Ein Schweizer Gerichtsstand in Kom-bination mit einem griffigen Haftungsregime kann aber ein willkommenes Druckmittel sein, um den Anbieter von einer sinnvollen aussergerichtlichen Lösung zu überzeugen.

Ein Schweizer Gerichtsstand kann daher auch als Argu-ment für einen Anbieter sprechen. Schweizer Unternehmen haben in diesem Zusammenhang also oft bessere Karten als ausländische Unternehmen. Aus der Sicht von Schweizer Kunden kann aufgrund der tendenziell sehr hohen Rechts-verfolgungskosten ein Gerichtsstand in den USA riskant sein. Einige der grossen Anbieter von Cloud-Diensten haben dies erkannt und auf die Bedürfnisse der Kunden reagiert. So wird beispielsweise im Master Subscription Agreement von Salesforce bei Streitigkeiten mit Schweizer Kunden ein Schweizer Gerichtsstand festgesetzt.

MiniMierunG Von risiKenDie Erbringung von Cloud-Diensten ist vielfach in grund-sätzlich nicht verhandelbaren Standardverträgen geregelt. Damit wird sichergestellt, dass geringe Transaktionskosten entstehen und Cloud-Dienste zu attraktiven finanziellen Bedingungen angeboten werden können. Vor allem bei grös seren Vertragsvolumen oder Verträgen mit Referenz-charakter besteht aber selbst bei grossen Anbietern durch-aus die Chance, dass Vertragsanpassungen durchgesetzt und damit rechtliche Risiken minimiert werden können. In jedem Fall sollte ein Unternehmen genau prüfen, inwieweit die vertraglichen Bedingungen des Cloud-Anbieters von den Soll-Bedingungen abweichen. Im Sinne einer Kompro-misslösung kann es auch sinnvoll sein, nur gewisse Daten in die Cloud auszulagern oder verschiedene Daten unter-schiedlichen Anbietern zu überlassen.

«Sie bleiben auch als

verantwortlich»

Cloud-Kunde

Oliver Staffelbach

in gewissem Grad

für Ihre Daten

leistungsbeschreibung: Sind die vom Anbieter zu erbringen-den Leistungen genau genug beschrieben?

Service levels: Werden ange-messene Service Levels festge-legt (z.B. betreffend Uptime)? Was ist die Folge einer Verlet-zung der Service Levels?

Preistransparenz: Wird Preistransparenz gewährleistet? Wann sind Preiserhöhungen

möglich? Zu welchen Mehr-kosten führt eine vom Kunden gewünschte Erweiterung der Leistungen?

Datenschutz, Daten-sicherheit und Vertraulichkeit: Wo werden die Daten gespeichert und wie sicher sind sie? Wird dem Datenschutz, der Datensi-cherheit und der Vertraulichkeit faktisch und vertrag lich ausrei-chend Rechnung getragen?

haftung: Inwieweit ist die Haf-tung des Anbieters beschränkt?

Kündigungsmodalitäten und exitmanagement: Sind die Kün-digungsmodalitäten angemes-sen geregelt? Unter welchen Voraussetzungen ist ein Ausstieg möglich und zu welchen Kosten führt er?

Kontrollrechte: Inwieweit hat der Kunde die Möglichkeit, die Einhaltung von garantierten

Service Levels sowie von Compliance-Vorschriften zu kontrollieren?

business continuity, Disas-ter recovery und eskalations-verfahren: Bestehen in diesen Bereichen sinnvolle Regelungen?

Gerichtsstand und anwend-bares recht: Sind bei Streitig-keiten ausschliesslich Schweizer Gerichte zuständig? Ist Schwei-zer Recht anwendbar?

checKliSte clOuD-cOMPutinG-VerträGe

Computerworld 11/15. Juni 2012 www.computerworld.ch40 SwiSS ciO Recht