Lizenzmodelle von Cloud-Anbietern

Rechtliches Wagnis

Jan-Bernd Meyer betreut als leitender Redakteur Sonderpublikationen und -projekte der COMPUTERWOCHE. Auch für die im Auftrag der Deutschen Messe AG publizierten "CeBIT News" ist Meyer zuständig. Inhaltlich betreut er darüber hinaus Hardware- und Green-IT- bzw. Nachhaltigkeitsthemen sowie alles was mit politischen Hintergründen in der ITK-Szene zu tun hat.   
Die international tätige Wirtschaftskanzlei Bird & Bird hat sich in einer Untersuchung mit den Lizenzmodellen von Cloud-Anbietern auseinandergesetzt. Sie kommt zu Ergebnissen, die Anwender hierzulande ins Grübeln bringen dürften.

Alexander Duisberg, der bei Bird & Bird als Co-Head der IT Sector Group fungiert, hat eine Analyse erarbeitet, die sich verschiedenen Fragen der Vertragsgestaltung von Cloud-Computing-Serviceverträgen in Bezug auf geltendes deutsches Recht widmet. Wir veröffentlichen hier Kernaussagen und Tipps des IT-Anwalts.

Fundamentale Fragen

Foto: pockygallery, Shutterstock.com

Nach Duisberg stellen sich zu Cloud-Services verschiedene grundsätzliche Fragen. Diese drehen sich um Nutzungsrechte, Gewährleistungsansprüche, Datenschutz und die Beendigung von Verträgen. Duisberg betont, dass seine Arbeit keine umfassende Untersuchung ist und dass seine Ratschläge keinesfalls eine gute Rechtsberatung ersetzen - indirekt ein Hinweis darauf, wie wichtig anwaltlicher Rat bei der Cloud-Vertragsgestaltung ist.

Eine wichtige Erkenntnis lautet: Cloud-Provider haben Probleme, ihre Vertragsgestaltungen mit den Vorgaben des deutschen Rechts in Einklang zu bringen. Zwar gibt es Anbieter, die sich hier am deutschen Recht und deutscher Rechtsprechung entlanghangeln. Zugleich aber versuchen sie laut Duisberg, im Kleingedruckten eine Vielzahl wichtiger Bestimmungen in ihre Allgemeinen Geschäftsbedingungen (AGB) einfließen zu lassen, die vom Leitbild klassischer Vertragsmodelle (die für Cloud-Angebote nur schwer greifen) mehr oder minder weit abweichen. Achtung: Manche Vertragsbedingung ist de facto vor einem deutschen Gericht nicht einklagbar.

Duisberg hat einige der im Netz frei verfügbaren B2B-Serviceangebote der führenden Cloud-Dienstleister für den deutschen Markt verglichen: Amazon, Hewlett-Packard, IBM, Microsoft, Oracle, Salesforce und SAP. Hier nun folgen Aspekte, die ihm besonders aufgefallen sind. Einige Cloud-Anbieter unterstellen ihre AGB von vornherein ausländischem Recht. Damit vermeiden sie (für B2B-Angebote) die stringente AGB-Kontrolle deutscher Gerichte.

In den meisten Fällen kopiert der Nutzer eines Cloud-Angebots wie etwa IaaS, PaaS oder SaaS keine Software. Trotzdem beinhalten alle Cloud-Vereinbarungen in irgendeiner Form auch Lizenzierungsklauseln. In vielen dieser Fälle ist der zulässige Gebrauch dann an Restriktionen gebunden (Named-User-Concepts, Nutzung bestimmter CPU-Rechenleistungen etc.).

Cloud-Anbieter vereinbaren in den meisten Verträgen explizit oder zumindest indirekt eine Form der Softwareanmietung. Sie tun dies unter anderem, weil sie damit die Rechtsbasis für ein Weitergabeverbot von Software gemäß deutscher Rechtsprechung schaffen.

Jede Cloud-Vertragsvereinbarung enthält Gewährleistungsklauseln und Regelungen, die den Anwender unter anderem vor Defekten und vor Verletzungen geistigen Eigentums schützen sollen. Da Cloud-Vereinbarungen mit Blick auf deutsches Recht in aller Regel als Mietvereinbarungen abgeschlossen werden, sehen die Bestimmungen dieser Verträge entsprechend aus. Ein wichtiger Punkt im deutschem Recht dazu: Softwaremängel und Rechtsmängel (also die Verletzung geistigen Eigentums Dritter) sind grundsätzlich gleich zu behandeln.

Weitere Kosten?

Nach geltendem Recht ist der Anbieter von Mietsoftware während der Dauer der Vertragsbeziehung verpflichtet, diese Software funktionsfähig zu halten. Er darf dabei, abgesehen vom vereinbarten Mietpreis, keine weiteren Kosten berechnen - es sei denn für zusätzliche Leistungen, die so nach Mietrecht nicht geschuldet sind (etwa Service Levels, zusätzliche Support-Dienstleistungen etc.).
Hier bauen nun einige Cloud-Anbieter zeitlich begrenzte Gewährleistungsklauseln ein. Oft sind die auf nur ein Jahr begrenzt. Die Anbieter erklären dies mit der Natur der Software, die per se nie völlig fehlerfrei sei. Hier, so Duisberg in seiner Analyse, ist ein klarer Widerspruch zum Mietrecht zu sehen.

Obwohl die meisten Cloud-Anbieter die Nutzungsrechte ausdrücklich regeln, behandeln nicht alle Cloud-Vereinbarungen die Frage der Haftungsfreistellung, um den Anwender gegen Ansprüche von Dritten abzusichern. Das ist dann problematisch, wenn die Cloud-Vereinbarungen ausländischem und nicht deutschem Recht unterliegen.

Wenn Cloud-Anbieter ihre vertragliche Haftung für Fahrlässigkeit nicht nur auf "typische vorhersehbare Schadensfälle" begrenzen wollen, kann der Anwender den Ausschluss der Haftung oder bestimmte Haftungsgrenzen vor Gericht angreifen - aber will er das? Gleichwohl haben einige Cloud-Anbieter Klauseln eingebaut, die sich rechtlich im Graubereich befinden und die noch zu Streit vor Gericht führen werden. Cloud-Anbieter, die nach ausländischem Recht anbieten, können da weiter gehen - treffen damit aber nicht unbedingt die Erwartungen der Kunden an eine angemessene Absicherung.

Beim Thema Datenschutz ist Aufmerksamkeit immer dann wichtig, wenn der Anwender personen-bezogene Daten in die Cloud gibt. Duisberg weist darauf hin, dass die Auftragsdatenverarbeitung nach § 11 des Bundesdatenschutzgesetzes (BDSG) hier einige wichtige Vorgaben macht. So muss sich beispielsweise der Anwender vor und während der Cloud-Nutzung "davon überzeugen, dass der Auftragnehmer die erforderlichen Maßnahmen zur Gewährleistung der technischen Sicherheit ergriffen hat".

Heiß diskutiert wird der Datenschutz vor allem dann, wenn der Cloud-Anbieter seine Infrastruktur außerhalb des EU-Raums beziehungsweise des Europäischen Wirtschaftsraums ansiedelt und dort die Daten lagert. Hier müssen, so die Forderung von Duisberg, exakte Vertragsvereinbarungen und ausreichende Sicherheitsmaßnahmen getroffen werden, um die Harmonisierung mit EU-Regeln (für die USA etwa durch die Safe-Harbor-Bestimmungen) sicherzustellen. Deutsche Datenschutzbehörden sehen diesen Punkt besonders kritisch.

Im Falle des GAUs

Was passiert bei Datenverlusten? Das Datenschutzrecht verlangt von Unternehmen in solch einem Fall bei kritischen Datenlagen, sofort die Behörden - aber auch die einzelnen Betroffenen - zu informieren. Beunruhigend ist, wenn der Cloud-Dienstleister Kunden über derlei Datenvorfälle oder -verluste lange im Unklaren lassen kann. Anwender sollten also Pflichten des Cloud-Dienstleisters zur Information im Fall des GAUs sorgfältig lesen und, wenn etwas fehlt, in die Geschäftsbedingungen diktieren.

Wird die Cloud-Beziehung zwischen Dienstleister und Kunde aufgelöst, sollte vorher geregelt sein, dass der Dienstleister die Löschung noch existierender Daten sicherstellt. Er sollte auch einen sanften und effizienten Übergang aller Daten auf die Systeme eines anderen Cloud-Serviceanbieters oder auf die Systeme des Kunden garantieren. Zu diesem Thema gehört auch die saubere Definition von Datenformaten. Wichtig ist eine Planung, die ausreichend Zeit für die Datenmigration erlaubt.

Schließlich müssen so genannte "Rechte des Datenbankherstellers" nach EU- und deutschem Recht geklärt sein, wenn der Cloud-Dienst etwa auch Datenanalyse umfasst. Gretchenfrage: Hat der Cloud-Dienstleister klargestellt, dass ein gesetzlicher Erwerb der Rechte des Datenbankherstellers nicht die vom Anwender eingestellten Daten erfasst und er seine Daten - auch bei Rekonfigurierung und Neustrukturierung in der Cloud - ohne rechtliche Fussangeln frei zurückbekommt? (mhr)