Cloud Computing

Die Rechtslage ist kompliziert

25.09.2009
Von Jan Pohle
Der bestehende Gesetzesrahmen ist auf die flexiblen internationalen Cloud-Dienste (noch) nicht eingestellt.

Cloud-basierte Dienste stoßen in Zeiten enger Budgets und stetigen Kostendrucks bei Unternehmen auf wachsendes Interesse. Die Industrie reagiert mit Angeboten für den kommenden Massenmarkt. Die "Azure"-Plattform von Microsoft ist nur ein Beispiel. Allerdings bewegen sich Dienste aus der Private oder Public Cloud in einem Rechtsrahmen, der auf ihre Besonderheiten nicht ausgerichtet ist. Vor allem in einem internationalen Leistungsumfeld entstehen dadurch eine Vielzahl von rechtlichen Fragen zu Vertragsgestaltung, Urheberrecht, Datenschutz, IT-Sicherheit und Compliance.

Für Cloud-Dienste gilt Mietrecht

Cloud-basierte Dienste werden unter Nutzung vieler, meist weltweit verteilter Dienstleister erbracht. Verträge, die solche Angebote zum Gegenstand haben, sollten daher ausdrücklich einer bestimmten Rechtsordnung unterstellt werden. Anderenfalls drohen Anbieter wie Anwender im Dickicht uneinheitlicher internationaler Regelungen unterzugehen. Dies gilt auch für die Rechtsdurchsetzung. Erforderlich sind klare Vereinbarungen zu Schiedsgericht oder Gerichtsstand und vor allem von Service Level Agreements (SLAs). Inhaltlich geht es dabei nicht nur um die Vereinbarung eines spezifischen Sanktionssystems (Vertragsstrafen, Kündigung), sondern auch um eine sorgfältige Beschreibung der vertraglichen Leistung.

Nach deutschem Recht werden cloud-basierte Dienste in wesentlichen Teilen nach dem Mietrecht beurteilt. Das ergibt sich aus der Rechtssprechung des Bundesgerichtshofes zum Application Service Providing (ASP). Dementsprechend schuldet der Cloud-Anbieter seinem Kunden eine hundertprozentige Verfügbarkeit, was allerdings in der Realität selten der Fall ist. Daher kann nur eine detaillierte Leistungsbeschreibung die Gesetzeslage an die faktischen Gegebenheiten anpassen. Ungeklärt ist, ob sich dies auch in Standardverträgen rechtswirksam gewährleisten lässt. Bislang hat die Rechtssprechung hier tendenziell ablehnend reagiert, das Risiko für den Massenmarkt ist erheblich.

Tipps für die Vertragsgestaltung

  • Sorgen Sie in Service Level Agreements (SLAs) für eine sorgfältige Beschreibung der vertraglichen Leistung.

  • Lassen Sie sich die erforderlichen Rechte Dritter vertraglich einräumen.

  • Achten Sie auf eine flächendeckende Vereinbarung von Binding Corporate Rules oder der EU-Vertragsklauseln. Im Rechtsverkehr mit den USA besteht zudem die Option der Safe Harbor Rules.

  • Prüfen Sie die vertragliche Sicherstellung der datenschutzrechtlich notwendigen Kontrolle des Providers.

  • Bestehen Sie auf angemessenen und detaillierten vertraglichen Regelungen zum Schutz aller unternehmenswesentlichen Daten.

Inhalt dieses Artikels