SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud Computing - Am Beispiel...

1

Ein Überblick von

RA Dr. Hans M. WulfFachanwalt für IT-Recht

11.08.2011

Vertragliche Fallstricke beim Cloud ComputingAm Beispiel der Amazon Web Services

2

Inhaltsübersicht

RA Dr. Wulf, www.praetoria-legal.com

Einleitung

Einordnung der Anbieterpflichten

Kündigung, Datenherausgabe

Nutzungsrechte

Sperrungsrecht des Anbieters

Kontrolle des Anbieters

Verfügbarkeit

Change Requests

Datensicherheit, Datenschutz

Haftung, Anwendbares Recht

Haftungsrisiko § 91 AktG

3

Warum ist der Cloud-Computing-Vertrag wichtig?


Wenig Rechtsprechung

Umfangreiches und risikominimiertes Vertragswerk

erforderlich

Nutzungsbedingungen

Service Level Agreement

Pflicht zur Installation von Risikomanagement

Nachteilige Vertragsklauseln bedeuten Risiko

Unklare Gewährleistung

4

Wie sind die Pflichten des Anbieters jur. einzuordnen?


Zugriff auf Hardware-Umgebung und Speicherplatz (IaaS) Mietvertrag

Zugriff auf Laufzeit- und Entwicklungsumgebung (PaaS) Mietvertrag

Nutzung von Software auf Server (SaaS)

Bereitstellung bestimmter Bandbreite

Mietvertrag

Dienstvertrag

Pflege, Weiterentwicklung, Aktualisierung von Software Dienstvertrag

Bereitstellung von Rechenleistung Dienstvertrag

Überwachungs- und Betriebsleistungen Dienstvertrag

Installation, Implementierung, Anpassung von Software Werkvertrag

5

Was ist zur Verfügbarkeit zu beachten?


Verfügbarkeit ist Hauptleistungspflicht des Anbieters

Vertragliche Einschränkung der Verfügbarkeit ist bei Standardverträgen grundsätzlich unzulässige Haftungsbeschränkung

Jedoch anerkannt, dass Pflege- und Wartungsmaßnahmen die Verfügbarkeit einschränken müssen

Daher regelmäßige Verfügbarkeit von 98,5 bis 99,99% im Jahresdurchschnitt

6

Welche Rechtsfolgen der Unterschreitung kennt das Gesetz?


Mietvertrag (z.B. Zugriff auf Software)

Minderung

Rechtsfolgen Selbstvornahme mit Aufwendungsersatz

Schadensersatz

Dienstvertrag (z.B. Konfiguration von Software)

Rechtsfolgen Schadensersatz bei Pflichtverletzung

Kündigung

Werkvertrag (z.B. Installation von Software auf Server): Nacherfüllung, Nachbesserung

Rechtsfolgen Selbstvornahme mit Aufwendungsersatz

Minderung

Rücktritt

Schadensersatz

Zugriff?

Zugriff?

Bezifferung, Nachweis?



7

Wie kann man die Probleme umgehen?


Empfehlung: Service Level Agreement kann Schwächen der gesetzlichen Gewährleistung ausgleichen

Gängigste Inhalte eines SLA:

• Verfügbarkeit der Dienste• Reaktionszeiten im Störfall• Explizites Sanktionsregime

Sanktionsregime (Beispiel):

1. Stufe: Minderungsansprüche2. Stufe: Vertragsstrafe, abhängig vom Ausmaß der

Unterschreitung3. Stufe: Kündigungsrecht

8

Beispiel aus der Praxis


Amazon EC2 Service Level Agreement: “Service Commitment - AWS will use commercially reasonable efforts to make Amazon EC2 availablewith an Annual Uptime Percentage (defined below) of at least 99.95% during the Service Year. In the event Amazon EC2 does not meet the Annual Uptime Percentage commitment, you will be eligible to receive a Service Credit as described below.”

Amazon EC2 Service Level Agreement: “Service Commitments and Service Credits - If the Annual Uptime Percentage for a customer drops below 99.95% for the Service Year, that customer is eligible to receive a Service Credit equal to 10% of their bill (excluding one-time payments made for Reserved Instances) for the Eligible Credit Period … We will apply any Service Credits only against future Amazon EC2 payments otherwise due from you; provided that, we may issue the Service Credit to the credit card that you used to pay for Amazon EC2 for the billing cycle in which the error occurred. Service Credits shall not entitle you to any refund or other payment from AWS."Amazon EC2 Service Level Agreement: “Amazon EC2 SLA Exclusions - The Service Commitment does not apply to any unavailability, suspension or termination of Amazon EC2, or any other Amazon EC2 performance issues: (i) that result from a suspension described in Section 6.1 of the AWS Agreement; (ii) caused by factors outside of our reasonable control, including any force majeure event or Internet access or related problems beyond the demarcation point of Amazon EC2; (iii) that result from any actions or inactions of you or any third party; (iv) that result from your equipment, software or other technology and/or third party equipment, software or other technology (other than third party equipment within our direct control); (v) that result from failures of individual instances not attributable to Region Unavailability; or (vi) arising from our suspension and termination of your right to use Amazon EC2 in accordance with the AWS Agreement."

Amazon

- Angestrebte Verfügbarkeit von 99,95% im Jahresdurchschnitt

- Bei Unterschreitung erfolgt Gutschrift

- Gutschrift beträgt 10% der Rechnungssumme

- Gutschrift muss verrechnet werden (keine Auszahlung)

- Keine Gutschrift bei verschuldeter Sperre oder externer Ursache für Störung

9

Weiteres Beispiel aus der Praxis


Salesforce Master Subscription Agreement: “4.1. Our Responsibilities. We shall: (i) provide Our basic support for the Purchased Services to You at no additional charge, and/or upgraded support if purchased separately, (ii) use commercially reasonable efforts to make the Purchased Services available 24 hours a day, 7 days a week, except for: (a) planned downtime (of which We shall give at least 8 hours notice via the Purchased Services and which We shall schedule to the extent practicable during the weekend hours from 6:00 p.m. Friday to 3:00 a.m. Monday Pacific Time), or (b) any unavailability caused by circumstances beyond Our reasonable control, including without limitation, acts of God, acts of government, floods, fires, earthquakes, civil unrest, acts of terror, strikes or other labor problems (other than those involving Our employees), Internet service provider failures or delays, or denial of service attacks, and (iii) provide the Purchased Services only in accordance with applicable laws and government regulations."

Salesforce Master Subscription Agreement: “11.1. Limitation of Liability. NEITHER PARTY'S LIABILITY WITH RESPECT TO ANY SINGLE INCIDENT ARISING OUT OF OR RELATED TO THIS AGREEMENT (WHETHER IN CONTRACT OR TORT OR UNDER ANY OTHER THEORY OF LIABILITY) SHALL EXCEED THE LESSER OF $500,000 OR THE AMOUNT PAID BY YOU HEREUNDER IN THE 12 MONTHS PRECEDING THE INCIDENT, PROVIDED THAT IN NO EVENT SHALL EITHER PARTY’S AGGREGATE LIABILITY ARISING OUT OF OR RELATED TO THIS AGREEMENT (WHETHER IN CONTRACT OR TORT OR UNDER ANY OTHER THEORY OF LIABILITY) EXCEED THE TOTAL AMOUNT PAID BY YOU HEREUNDER. THE FOREGOING SHALL NOT LIMIT YOUR PAYMENT OBLIGATIONS UNDER SECTION 6 (FEES AND PAYMENT FOR PURCHASED SERVICES)."

Salesforce

- Angestrebte Verfügbarkeit von 100%

- Ausnahmen: Eingeplante Wartungsfenster, höhere Gewalt, externe Ursachen

- Haftungsbeschränkung auf 12-Monats-Vergütung

10

Kontrolle des Anbieters - Gesetzespflichten


§ 11 BDSG Auftragsdatenverarbeitung:

“(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: […]

7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, […]

9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält […]

[…] Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.“

11

Kontrolle des Anbieters - Empfohlene Inhalte


Kontrollpflichten

Vorlagepflicht von Zertifikaten & Prüfberichten (§ 9 BDSG)

Auditrechte

Vorbehalt von Weisungsrechten

Pflicht zur Protokollierung der Verfügbarkeit

Reportingpflichten(z.B. zu

Verfügbarkeit oder Systemänderungen)

12

Beispiele aus der Praxis


Amazon EC2: keine Kontrollrechte

Google Apps: keine Kontrollrechte

Microsoft Azure: keine Kontrollrechte

Salesforce: keine Kontrollrechte in AGB, aber

Stellungnahme Hogan Lovells zu Salesforce (Seite 6): „[…] Von der Einhaltung dieser technischen und organisatorischen Maßnahmen können sich die Kunden durch Audits vor Ort bei salesforce.com Inc. in den USA überzeugen. Derartige Audits können von den Kunden in regelmäßigen Abständen (zumeist einmal jährlich) und wann immer dies rechtlich erforderlich ist, durchgeführt werden. Den Kunden wird zudem auf Wunsch der jeweils aktuelle SAS 70 (Type II) Report zur Verfügung gestellt. Dadurch, dass unabhängige Dritte im Rahmen der zuvor genannten Zertifikate und Audits die Einhaltung der technischen und organisatorischen Maßnahmen bei salesforce.com prüfen, ist es für den einzelnen Kunden im Regelfall nicht erforderlich, ein Audit vor Ort in den USA bei salesforce.com Inc. durchzuführen. Nur im Einzelfall kann die besondere Sensitivität der Daten zu einem anderen Ergebnis führen […]“

13

Nutzungsrechte - Erforderlich oder nicht?


Ansicht Nr. 1: Nutzung von Software in der Cloud (SaaS) ist Vervielfältigung nach § 69c Nr. 1 UrhG, da zumindest eine Speicherung im Arbeitsspeicher des Nutzers erfolgt

Ansicht Nr. 2: Vervielfältigung technisch begleitend nach § 44a UrhG bzw. zur bestimmungsgemäßen Nutzung erforderlich nach § 69d Abs. 1 UrhG

Ansicht Nr. 3: technische Vervielfältigung findet in der Cloud statt, daher keine urheberrechtlich relevante Handlung

(Soweit ersichtlich) Keine Rechtsprechung vorhanden

Daher: Vorerst auf Einräumung von Nutzungsrechten in Cloud-Verträgen achten → Von wieviel Arbeitsplätzen darf gleichzeitig Zugriff erfolgen? Dürfen Nutzungsrechte auf andere Anwender übertragen werden?

14



Amazon Customer Agreement: “8.4 Service Offerings License. As between you and us, we orour affiliates or licensors own and reserve all right,title, and interest in and to the Service Offerings. We grant you a limited, revocable, non-exclusive, non-sublicensable, non-transferrable license to do the following during the Term: (i) access and use the Services solely in accordance with this Agreement; and (ii) copy and use the AWS Content solely in connection with your permitted use of the Services. Except as provided in this Section 8.4, you obtain no rights under this Agreement from us or our licensors to the Service Offerings, including any related intellectual property rights. Some AWS Content may be provided to you under a separate license, such as the Apache Software License, in which case that license will govern your use of those AWS Content.”

Amazon

- Einräumung von einfachen Nutzungsrechten an den integrierten Softwareanwendungen

- kein Recht zur Weitergabe oder Nutzung nach Beendigung des Vertrages

15

Change Request - Änderungsverfahren vorher klären


Beispiel: Kunde wünscht neue Funktionen der Cloud-Anwendung oder neues Betriebssystem

Beispiel: Anbieter ändert Leistungsinhalt (neue Funktionen) oder Leistungsumfang (weitere Nutzer, zusätzliche Speicherkapazitäten)

Empfehlung: Change-Request-Verfahren vereinbaren

• Änderungswunsch des Kunden mit Beschreibung und Begründung

• Prüfung durch Anbieter und Mitteilung, ob vom Vertrag umfasst oder vergütungspflichtiger Sonderaufwand

• ggf. Durchführung von Vertragsergänzung

16



Amazon Customer Agreement: „2.1 To the Service Offerings. We may change, discontinue, or deprecate any of the Service Offerings (including the Service Offerings as a whole) or change or remove features or functionality of the Service Offerings from time to time. We will notify you of any material change to or discontinuation of the Service Offerings.“

Amazon

- Jederzeitiges Recht zur Änderung der Leistung als solche oder einzelner Funktionen

17

Datenschutz - § 11 BDSG beachten


Cloud-Nutzer bleibt datenschutzrechtlich verantwortlich

Zulässigkeit von Cloud-Diensten umstritten, in jedem Fall erforderlich (direkt oder analog): Einhaltung von § 11 BDSG

• Dauer des Auftrages• Umfang, Art und Zweck der Datenverarbeitung• Art der Daten• Kreis der Betroffenen• den nach § 9 BDSG zu treffenden Maßnahmen• Berichtigung, Lösung und Sperrung von Daten• besonderen Pflichten des Anbieter (insb. Bestellung BetrDB)• Berechtigungen hinsichtlich Subunternehmern• Kontrollrechten des Kunden• Mitwirkungspflichten des Anbieters• mitzuteilenden Verstößen• Umfang der vorbehaltenen Weisungsbefugnisse• Rückgabe überlassener Datenträger und Datenlöschung.

Cloud-Vertrag muss daher Regelungen enthalten zu:

18

Beispiele aus der Praxis


Amazon Customer Agreement: “3.2 Data Privacy. We participate in the safe harbor programs described in the PrivacyPolicy. You may specify the AWS regions in which Your Content will be stored and accessible by End Users. We will not move Your Content from your selected AWS regions without notifying you, unless required to comply with the law or requests of governmental entities. You consent to our collection, use and disclosure of information associated with the Service Offerings in accordance with our Privacy Policy, and to the processing of Your Content in, and the transfer of Your Content into, the AWS regions you select.”

Microsoft Azure Nutzungsbedingungen: „Personenbezogene Daten, die durch den Onlinedienst erfasst werden, können inden USA oder anderen Ländern, in denen Microsoft oder ihre Serviceprovider Einrichtungen unterhalten, übertragen, gespeichert und verarbeitet werden. Dies schließt personenbezogene Daten ein, die Sie durch die Nutzung des Dienstes erfassen. Indem Sie diesen Onlinedienst verwenden, erklären Sie sich mit der Übertragung von personenbezogenen Daten außerhalb Ihres Landes einverstanden. Sie erklären sich ebenfalls damit einverstanden, von den Personen, die Ihnen personenbezogene Daten bereitstellen, die entsprechenden Genehmigungen einzuholen, um die Daten an Microsoft und ihre Vertreter zu übertragen und die Übertragung, Speicherung und Verarbeitung derselben zu ermöglichen.“

Amazon

- Auswahl des Serverstandortes

- Einwilligung in Übertragung von personenbezogenen Daten

- keine weiteren Regelungen nach § 11 BDSG

Microsoft

- Daten werden in die USA transferiert, keine Auswahl des Serverstandortes

- Einwilligung in Übertragung von personenbezogenen Daten

- keine weiteren Regelungen nach § 11 BDSG

19



Stellungnahme Hogan Lovells für Salesforce (Seite 3):

„Salesforce.com Inc. ist Safe Harbor-zertifiziert. Die salesforce.com Sàrl (als Auftragnehmerin) vereinbart mit deutschen Kunden (als Auftraggeber) regelmäßig eine Auftragsdatenverarbeitung gemäß § 11 BDSG als Anlage zum Rahmen-Abonnementvertrag. Zudem hat die salesforce.com Sàrl mit der salesforce.com Inc. eine Unter-Auftragsdatenverarbeitung gemäß § 11 BDSG vereinbart. Hierin hat die salesforce.com Sàrl die Verpflichtungen, die sie aus den mit ihren deutschen Kunden vereinbarten Auftragsdatenverarbeitungen treffen, an ihre Unter-Auftragsdatenverarbeiterin salesforce.com Inc. weitergegeben.“

20

Sperrungsrecht des Anbieters - Bestenfalls ausschließen


Sperre als Zurückbehaltungsrecht grundsätzlich zulässig, jedoch infolge einer Verweigerung der Hauptleistungs-pflicht nur als letztes Mittel erlaubt

Problem: Kunde macht sich erpressbar, wenn es um streitige Zahlungs-forderungen geht

Lösung: Recht auf Sperre nur bei unstrittigen oder rechtskräftig festgestellten Ansprüchen durchsetzen

21



Amazon Customer Agreement: “6.1 Generally. We may suspend your or any End User’s right to access or use any portion or all of the Service Offerings immediately upon notice to you if we determine: (a) your or an End User’s use of the Service Offerings (i) poses a security risk to the Service Offerings or any third party, (ii) may adversely impact the Service Offerings or the systems or Content of any other AWS customer, or (iii) may subject us, our affiliates, or any third party to liability; (b) you are, or any End User is, in breach of this Agreement, including if you are delinquent on your payment obligations for more than 15 days; or (c) you have ceased to operate in the ordinary course, made an assignment for the benefit of creditors or similar disposition of your assets, or become the subject of any bankruptcy, reorganization, liquidation, dissolution or similar proceeding.”

Amazon

Sperre zulässig, wenn

• a.) Sicherheitsrisiko oder Systemzugriff verursacht

• b.) Haftungsansprüche Dritter gegen Amazon erhobenen werden

• c.) Vertragsverletzung, wie z.B. Zahlungsverzug mit mehr als 15 Tagen

• d.) Geschäftseinstellung, Insolvenz oder Sicherungsabtretung

22



Microsoft Licensing-Nutzungsrechte für Onlinedienste: „Ziffer III lit. c: Aussetzung des Onlinedienstes. Wir sind unter folgenden Bedingungen berechtigt, den Onlinedienst auszusetzen: (a) falls wir der Ansicht sind, dass Ihre Verwendung des Onlinedienstes eine direkte oder indirekte Gefahr für die Funktion oder Integrität unseres Netzwerks oder die Verwendung des Onlinedienstes durch andere darstellt, (b) falls wir der Ansicht sind, dass Sie Ihren Lizenzvertrag, einschließlich dieser Nutzungsrechte für Onlinedienste, verletzt haben, (c) falls Ihre Verwendung die in der Dokumentation des jeweiligen Onlinedienstes angegebenen Quoten übersteigt oder (d) falls wir anderweitig gesetzlich dazu verpflichtet sind.“

Salesforce-Agreement: „10. Zahlungsversäumnis und Aussetzung des Service - Zusätzlich zu den anderen ihr aus diesem Vertrag zustehenden Rechten behält sich salesforce.com das Recht vor, diesen Vertrag und Ihren Zugang zu dem Service vorübergehend auszusetzen oder zu beenden, wenn Sie in Zahlungsverzug geraten.“

Microsoft

Sperre zulässig, wenn Microsoft der Ansicht ist, dass

• Gefahr für Netzwerk besteht

• der Lizenzvertrag verletzt wird

Salesforce

Sperre zulässig, wenn Zahlungsverzug

23

Kündigung - Bestenfalls lange Laufzeiten


Lange Laufzeit oder Kündigungsfrist ratsam, da Umstellung einen erheblichen Aufwand erfordert

Kündigung mit kurzer Frist nur aus wichtigem Grund

Keine willkürliche Kündigung zulassen

24



Amazon Customer Agreement: “7.2 Termination: (a) Termination for Convenience. You may terminate this Agreement for any reason by (1) providing us notice and (2)closing your account for all Services for which we provide anaccount closing mechanism. We may terminate this Agreement for any reason by providing you 30 days advance notice. (b) Termination for Cause. (1) By Either Party. Either party may terminate this Agreement for cause upon 30 days advance notice to the other party if there is any material default or breach of this Agreement by the other party, unless the defaulting party has cured the material default or breach within the 30 day notice period. (2) By Us. We may also terminate this Agreement immediately upon notice to you (A) for cause, if any act or omission by you or any End User results in a suspension described in Section 6.1, (B) if our relationship with a third party partner who provides software or other technology we use to provide the Service Offerings expires, terminates or requires us to change the way we provide the software or other technology as part of the Services, (C) if we believe providing the Services could create a substantial economic or technical burden or material security risk for us, (D) in order to comply with the law or requests of governmental entities, or (E) if we determine use of the Service Offerings by you or any End Users or our provision of any of the Services to you or any End Users has become impractical or unfeasible for any legal or regulatory reason.”

Amazon

Kündigung zulässig, wenn

• Vertragsverletzung

• Grund für Sperre nach Ziffer 6.1 (Sicherheitsrisiko, Erhebung von Ansprüchen Dritter, Zahlungsverzug, Sicherungsabtretung)

• Austritt eines Softwarepartners

• Ansicht von Amazon, dass Sicherheitsrisiko existent

• Unmöglichkeit der Leistungserbringung aus

25

Datenherausgabe nach Kündigung


Datenherausgabe

Unterstützungs-pflicht des Anbieters

Pflicht zur Übergabe

sämtlicher Daten in festgelegtem

Format

Pflicht zur Verwendung technischer Standards

Sonst Löschung der Daten

Hinterlegungs-pflicht zm

Quellcode bei SaaS

Zwingende Regelung nach § 11 BDSG

26



Amazon Customer Agreement: “7.3. Effect of Termination: (b) Post-Termination Assistance.Unless we terminate your use of the Service Offerings pursuant to Section 7.2(b), during the 30 days following termination: (i) we will not erase any of Your Content as a result of the termination; (ii) you may retrieve Your Content from the Services only if you have paid any charges for any post-termination use of the Service Offerings and all other amounts due; and (iii) we will provide you with the same post-termination data retrieval assistance that we generally make available to all customers.”

Amazon

Mitwirkung zur Datenherausgabe und keine Datenlöschung, falls

• Rechnungen bezahlt und

• keine Kündigung wegen Pflichtverletzung (Sicherheitsrisiko, Erhebung von Ansprüchen Dritter, Zahlungsverzug, Sicherungsabtretung)

27

Haftung - Bleiben Sie hartnäckig


Haftungsreduzierung auf Höchstbetrag bei grober Fahrlässigkeit und Vorsatz nach deutschem Recht unzulässig

US-Cloud-Anbieter beschränken jedoch regelmäßig ihre Haftung in allen Fällen auf das Serviceentgelt für 12 Monate

28



Amazon Customer Agreement: “11. Limitations of Liability: WE AND OUR AFFILIATES OR LICENSORS WILL NOT BE LIABLE TO YOU FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, CONSEQUENTIAL OR EXEMPLARY DAMAGES (INCLUDING DAMAGES FOR LOSS OF PROFITS, GOODWILL, USE, OR DATA), EVEN IF A PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. FURTHER, NEITHER WE NOR ANY OF OUR AFFILIATES OR LICENSORS WILL BE RESPONSIBLE FOR ANY COMPENSATION, REIMBURSEMENT, OR DAMAGES ARISING IN CONNECTION WITH: (A) YOUR INABILITY TO USE THE SERVICES, INCLUDING AS A RESULT OF ANY (I) TERMINATION OR SUSPENSION OF THIS AGREEMENT OR YOUR USE OF OR ACCESS TO THE SERVICE OFFERINGS, (II) OUR DISCONTINUATION OF ANY OR ALL OF THE SERVICE OFFERINGS, OR, (III) WITHOUT LIMITING ANY OBLIGATIONS UNDER THE SLAS, ANY UNANTICIPATED OR UNSCHEDULED DOWNTIME OF ALL OR A PORTION OF THE SERVICES FOR ANY REASON, INCLUDING AS A RESULT OF POWER OUTAGES, SYSTEM FAILURES OR OTHER INTERRUPTIONS; (B) THE COST OF PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; (C) ANY INVESTMENTS, EXPENDITURES, OR COMMITMENTS BY YOU IN CONNECTION WITH THIS AGREEMENT OR YOUR USE OF OR ACCESS TO THE SERVICE OFFERINGS; OR (D) ANY UNAUTHORIZED ACCESS TO, ALTERATION OF, OR THE DELETION, DESTRUCTION, DAMAGE, LOSS OR FAILURE TO STORE ANY OF YOUR CONTENT OR OTHER DATA. IN ANY CASE, OUR AND OUR AFFILIATES’ AND LICENSORS’ AGGREGATE LIABILITY UNDER THIS AGREEMENT WILL BE LIMITED TO THE AMOUNT YOU ACTUALLY PAY US UNDER THIS AGREEMENT FOR THE SERVICE THAT GAVE RISE TO THE CLAIM DURING THE 12 MONTHS PRECEDING THE CLAIM.”

Amazon

- Keine Haftung für

• Schäden irgendwelcher Art

• (vorübergehende) Einstellung von Leistungen

• Datenverlust

- Ansonsten Haftungsbesch-ränkung auf 12-Monatsvergütung

29

Anwendbares Recht


Artikel 3 ROM-I-VO Nr. 593/2008 vom 17.6.2008: Vertrag unterliegt demjenigen Recht, welches von den Parteien vereinbart wurde.

Sofern die Parteien keine Rechtswahl getroffen haben, gilt gemäß Artikel 4 ROM-I-VO das Recht des Staates, in welchem der Dienstleister seinen gewöhnlichen Aufenthalt hat

Ort der Leistungserbringung ist unerheblich

30



Amazon Customer Agreement: “13.11 Governing Law; Venue. The laws of the State of Washington, without reference to conflict of law rules, govern this Agreement and any dispute of any sort that might arise between you and us. Any dispute relating in any way to the Service Offerings or this Agreement where a party seeks aggregate relief of $7,500 or more will be adjudicated in any state or federal court in King County, Washington.”

Amazon

- US-amerikanisches Recht ist allein anwendbar

- damit keine Anwendung von deutschem AGB-Recht

31

Fazit - Worauf muss ich besonders achten?


Checkliste• Klare Leistungsbeschreibung• Service Level Agreement mit abgestufter Sanktionsregelung• Kontrollrechte vereinbaren (Vorlage von Prüfberichten, Auditrechte,

Weisungsvorbehalt, Verfügbarkeitsprotokollierung)• Nutzungsrechte einräumen lassen• Change-Request-Verfahren regeln• Datensicherheit garantieren lassen (tägliches Backup, technische/

organisatorische Datenschutzmaßnahmen, Zertifikat zur SSL-Verschlüsselung, Protokollierung von Sicherheitsverletzungen, bestenfalls ISO 27001)

• Anlage zum Vertrag nach § 11 BDSG (Auftragsdatenverarbeitung)• Kein Recht auf Sperrung des Zugangs• Lange Laufzeiten, keine kurzfristige Kündigung durch Anbieter• Umfangreiche Pflicht zur Datenherausgabe nach Laufzeitende• Haftungsbeschränkung nach deutschem Standard• Deutsches Recht für anwendbar erklären

32

Dankeschön.


Vielen Dank für IhreAufmerksamkeit.

[email protected] 040 / 73 444 217-0

SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud Computing - Am Beispiel...

Documents

Transcript of SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud Computing - Am Beispiel...