Die Struktur der Verträge
SaaS- und andere Cloud-Verträge bestehen im Wesentlichen aus drei Teilen: Im ersten werden die Services beschrieben und die Vergütung geregelt. Auch die Datenformate und Leistungen des Cloud-Anbieters bei Vertragsende gehören in diesen Teil.
Im zweiten Vertragsteil werden die wichtigen Vereinbarungen zum Datenschutz und zur Datensicherheit getroffen. Personenbezogene Daten wie Kunden-, Beschäftigten- und Lieferantendaten, dürfen in der Cloud nur unter bestimmten rechtlichen Voraussetzungen verarbeitet werden.
Foto: askaja/Fotolia.com
In der Praxis wird vereinbart, dass der Cloud-Anbieter Auftragsdatenverarbeiter wird. Damit behält das Unternehmen die Kontrolle über die Datenverarbeitung. Der Cloud-Anbieter darf die Daten nur im Auftrag und nach Weisung verarbeiten. Dafür muss die Vereinbarung detaillierte Regelungen zu den Pflichten des Cloud-Anbieters und zu den Rechten des Auftraggebers enthalten sowie die technischen und organisatorischen Maßnahmen zur Datensicherheit festlegen.
Das betrifft beispielsweise Vorgaben, in welchen Rechenzentren die Daten verarbeitet werden dürfen oder durch welche Verschlüsselungstechniken die Datenübermittlung zwischen den Rechenzentren geschützt ist. Geregelt werden muss auch, welche Verfahren eingesetzt werden, um Einbrüche in virtuelle Cloud-Server zu verhindern oder wie Daten gelöscht werden, bevor andere Nutzer Zugriff auf den Speicherbereich erhalten.
Die Vereinbarungen über Auftragsdatenverarbeitung weisen in der Praxis vielfach Mängel auf. In solchen Fällen drohen Bußgelder. Für die Vertragsverhandlungensollte das Unternehmen Know-how aus unterschiedlichen Abteilungen bündeln, um rechtliche Fragen und IT-Fachwissen gleichermaßen zu berücksichtigen.
Der dritte Vertragsteil ist das Service Level Agreement (SLA). Es regelt die Verfügbarkeit der Dienste, die Wartungszeiten und den Support. SLAs auszuhandeln verlangt technisches Wissen darüber, wann Daten für bestimmte Geschäftsprozesse zur Verfügung stehen müssen, damit es nicht zu Verzögerungen im Betriebsablauf kommt. Daneben ist rechtliche Expertise erforderlich, um angemessene vertragliche Regelungen zu schaffen.