Augen auf bei Cloud-Verträgen

Namhafte Schweizer Unternehmen setzen bereits heute auf die Cloud und weitere werden es demnächst tun. Doch welche re chtlichen As-pekte sind bei einem Entscheid für oder gegen die C loud eigentlich zu beachten?

von Oliver Staffelbach, Wenger&Vieli AG, Zürich abgedruckt in Computerworld 2010, Nr. 11

Aktuelle Studien zeigen, dass die Haltung von Schweizer Unternehmen gegenüber Cloud Computing weiterhin gespalten ist. Neben technischen sowie betriebswirtschaftlichen Ri-siken werden insbesondere auch rechtliche Aspekte intensiv diskutiert. Grundsätzliche rechtliche Hindernisse bestehen nicht. Wer Cloud-Angebote genau unter die Lupe nimmt und kritische Punkte vertraglich vernünftig regelt, kann die Risiken minimieren.

Ausgestaltung von Verträgen

Abhängig von den konkret zu erbringenden Diensten können Cloud-Computing-Verträge zwischen Anbietern und Kunden sehr unterschiedlich ausgestaltet sein. Umso wichtiger ist es, die Regelungen über Leistungsinhalte, Verfügbarkeiten, Performance, Sicherheits-aspekte etc. genau zu studieren. Welche Dienste in die Cloud ausgelagert werden, sollte anhand von möglichst präzisen Leistungsbeschreibungen, etwa durch Service Level Agreements (SLA), definiert werden. Ausserdem sind Flexibilität und Skalierbarkeit der Leistungen wichtige Motive für die Cloud und gehören daher sauber in der Leistungsbe-schreibung abgebildet.

Der Festlegung von sachgerechten Rechtsfolgen bei Verletzung der vereinbarten Service Levels wird in der Praxis oft zu wenig Gewicht beigemessen. Manche Anbieter locken z.B. mit einer garantierten Verfügbarkeit von 99,9 Prozent. Die Analyse der Folgen, die bei Unterschreitungen der vereinbarten Service Levels eintreten, kann jedoch zum Schluss führen, dass eine Auslagerung an den konkreten Anbieter nicht oder zumindest nicht be-züglich geschäftskritischer Daten infrage kommt.

Notfallregelungen

Gegen konkrete Cloud-Projekte sprechen bei den meisten Unternehmen die Aspekte Da-tenschutz, Datensicherheit und Vertraulichkeit. Eine gute vertragliche Grundlage kann zwar Vertrauen schaffen und Compliance-Anforderungen Genüge tun, sie ersetzt jedoch nicht die sorgfältige Prüfung der faktischen Verhältnisse. Besonders wichtig ist dabei die präzise Regelung der Berechtigungsverhältnisse an den Daten während und nach der Auflösung des Vertragsverhältnisses.

Idealerweise sollten Betriebsausfallrisiken umfassend abgesichert werden können. In der Praxis erweist sich diese aber oft als nicht realisierbar. Bereits ein kurzer Blick auf die Haftungsbestimmungen von Cloud-Computing-Verträgen zeigt, dass Anbieter oft nur sehr beschränkt gewillt sind, Betriebsausfallrisiken zu übernehmen. Umso wichtiger sind sinn-volle Regelungen über die Business Continuity, das Eskalationsverfahren und das Not-fallmanagement.

Cloud-Anbieter heben meist die Preistransparenz als Verkaufsargument hervor. Für den Bezug von Cloud-Dienstleistungen wird typischerweise nach Nutzung (pay as you go)

2

abgerechnet. In der Praxis kann sich jedoch eine ziemlich komplexe Gesamtkostenstruk-tur ergeben. Ein präziser und realistischer Blick auf die verschiedenen Kostenelemente ist daher äusserst wichtig.

Erweitertes rechtliches Umfeld

Die geplante Auslagerung in die Cloud kann unter Umständen gegen Verträge mit Dritten verstossen. Vielleicht sind bestimmte Daten, die zur Bearbeitung weitergegeben werden müssen, durch Geheimhaltungsklauseln geschützt oder einzelne Cloud-Dienste sind von einer bestehenden Lizenz nicht abgedeckt. Es ist daher immer zu prüfen, inwieweit die bestehenden Verträge mit der geplanten Auslagerung konform sind, bzw. welche Kosten im Hinblick darauf anfallen.

In verschiedenen Bereichen bestehen zudem regulatorische Vorgaben. So kann bei Fi-nanzdienstleistungen insbesondere das Rundschreiben der Eidgenössischen Finanz-marktaufsicht vom 20. November 2008 betreffend Auslagerung von Geschäftsbereichen von Banken relevant werden.

Hervorzuheben sind ferner die bestehenden Geheimnisschutzvorschriften für das Finanz- und Medizinalwesen. Erwähnenswert ist schliesslich die Geschäftsbücherverordnung, aus der hervorgeht, dass archivierte Geschäftsbücher, Buchungsbelege und Geschäftskor-respondenz vor unbefugtem Zugriff zu schützen und Zugriffe sowie Zutritte aufzuzeichnen sind.

Abhängigkeitsverhältnis

Generell sollten auch starke Abhängigkeitsverhältnisse (Vendor Lock-in) zum Anbieter vermieden werden. Vor allem bei steigenden Kosten, sinkender Qualität der Leistungen oder im Hinblick auf einen Konkursfall muss der Kunde die Möglichkeit haben, den Anbie-ter zu vernünftigen Bedingungen zu wechseln. Faire Verträge sollten Bestimmungen ent-halten, die den Ausstieg und Wechsel des Kunden zu einem anderen Partner präzis re-geln. Dem Umfang und Inhalt der vertraglich festgelegten Mitwirkungspflichten des Anbie-ters kommt dabei eine zentrale Rolle zu. Fehlende Standardisierung von Application Inter-faces kann die ohnehin schon bestehenden Abhängigkeitsverhältnisse noch verstärken. Zudem sollten die vom Anbieter spezifisch verwendeten Datenformate auch von Dritten in Standardformate übersetzt werden können.

In Verträgen mit ausländischen Anbietern wird fast ausnahmslos die Zuständigkeit aus-ländischer Gerichte vereinbart. Damit können die Möglichkeiten des Kunden, sich bei Problemen zu wehren, massiv verringert sein. IT-Streitigkeiten sind zwar oft nur be-schränkt justiziabel, ein Schweizer Gerichtsstand in Kombination mit einem griffigen Haf-tungsregime wirkt aber als willkommenes Druckmittel, um den Anbieter von einer sinnvol-len aussergerichtlichen Lösung zu überzeugen. So gesehen kann beispielsweise ein kali-fornischer Gerichtsstand gepaart mit einem weitgehenden Haftungsausschluss Grund genug sein, dass ein Anbieter für die Auslagerung von geschäftskritischen Daten in die Cloud ausser Betracht fällt.

Datenschutzrechtliche Fragen

Eine Grundkonzeption des Cloud Computing besteht darin, dass Daten verstreut auf un-terschiedlichen Systemen gespeichert und teilweise beliebig verschoben werden. Sofern es dabei um personenbezogene Daten (z.B. Arbeitnehmer- oder Kundendaten) geht, sind datenschutzrechtliche Bestimmungen zu beachten. Entsprechend des Schweizer Daten-schutzgesetzes dürfen Personendaten durch eine Vereinbarung auf Dritte übertragen werden, wenn die Daten nur so bearbeitet werden, wie der Kunde selbst es tun dürfte und dies durch keine gesetzliche oder vertragliche Geheimhaltungspflicht verboten wird.

3

Der Kunde bleibt für die von ihm ausgelagerten Daten also weiterhin bis zu einem gewis-sen Grad verantwortlich. Er hat den Anbieter von Cloud-Dienstleistungen sorgfältig aus-zuwählen und sicherzustellen, dass dieser die notwendigen Voraussetzungen für die Da-tenbearbeitung erfüllt und insbesondere die erforderliche Datensicherheit gewährleisten kann. Die Verankerung angemessener Instruktions- und Kontrollrechte des Kunden in Cloud-Computing-Verträgen ist daher zentral.

Nach Schweizer Recht dürfen grundsätzlich keine Personendaten von der Schweiz ins Ausland bekannt gegeben werden, wenn dies zu einer schwerwiegenden Gefährdung der Persönlichkeit der betroffenen Personen führt. Das soll gemäss Datenschutzgesetz na-mentlich der Fall sein, wenn eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet. Der Eidgenössische Datenschutzbeauftragte hat eine unverbindliche Liste derjenigen Staaten veröffentlicht, die einen angemessenen Schutz aufweisen. Dies trifft für die Staaten der EU, nicht jedoch für die USA zu. Erfolgt die Datenbearbeitung in Län-dern, die über kein angemessenes Schutzniveau verfügen, kann datenschutzrechtliche Konformität unter anderem durch vertragliche Garantien erzielt oder für die USA mit so-genannten Safe-Harbour-Registrierungen erreicht werden. Einige Anbieter haben bereits auf die in internationaler Hinsicht stark variierenden Datenschutzniveaus reagiert und bie-ten Datenverarbeitung ausschliesslich innerhalb europäischer Grenzen an.

Checkliste Cloud-Verträge

� Welche Leistungen werden angeboten, welche Service Levels werden garantiert und welche Folgen hat die Nichteinhaltung der Service Levels?

� Wie sieht das Haftungsregime des Anbieters aus? Bestehen sinnvolle Regelungen über Business Continuity, Eskalationsverfahren und Notfallmanagement?

� Wo werden die Daten gespeichert und wie sicher sind sie? Wird dem Datenschutz ausreichend Rechnung getragen?

� Wird Preistransparenz gewährleistet?

� Erlauben die bestehenden Verträge mit Dritten die geplante Auslagerung in die Cloud?

� Kann die Einhaltung bestehender Compliance-Vorschriften sichergestellt werden?

� Unter welchen Voraussetzungen ist ein Ausstieg möglich und wie teuer ist dies?

� Erlaubt es die vertragliche Grundlage, bei Problemen Druck auf den Anbieter aus-üben?