Tipps fürs Cloud Computing

Wasserdichte Verträge und SLAs aushandeln

07.05.2013
Silke Kilz ist als freie Journalistin in Köln tätig.
Kommt es in der Cloud zu Datenverlust oder -missbrauch, haftet nicht der Provider, sondern der Auftraggeber. Wer seine Informationen in die Wolke auslagern möchte, sollte Anbieter und Vertrag in Sachen Datenschutz und Sicherheit deshalb genau unter die Lupe nehmen.
Foto: lassedesignen - Fotolia.com

90 Prozent der IT-Experten würden ihrem eigenen Unternehmen dazu raten, sensible Daten lieber im eigenen Netz statt in der Cloud zu speichern - mit diesem Ergebnis überraschte kürzlich eine aktuelle Studie des Security-Spezialisten Lieberman Software. Eine Untersuchung von Capgemini zeichnet ein ähnliches Bild: Danach äußern 72 Prozent der deutschen Unternehmen Bedenken gegen die Cloud, insbesondere wegen möglicher Sicherheitslücken. Damit liegen die Firmen hierzulande weltweit an der Spitze der Bedenkenträger.

"Im Gegensatz zu anderen Ländern haben wir in Deutschland das Problem, dass die Begriffe Datenschutz und Datensicherheit oft in einen Topf geworfen oder sogar synonym verwendet werden", erklärt Jens Eckhardt, Fachanwalt für Informationstechnologierecht bei Juconomy Rechtsanwälte und Mitglied des Vorstands des EuroCloud Deutschland_eco e.V. Im angelsächsischen Raum beispielsweise seien die entsprechenden Begriffe "privacy protection" und "data integrity" klar voneinander getrennt. "Hierzulande führt die unklare Begriffsdefinition zu einer diffusen Angst vor dem Auslagern von IT-Ressourcen und vor Kontrollverlust." Unternehmen sollten bei ihren Überlegungen daher klar zwischen der technischen Sicherheit der Daten und ihrem juristischen Schutz unterscheiden.

Professionelle Rechenzentren sind viel sicherer

"Was die IT-Sicherheit angeht, können sich Unternehmen durch das Auslagern von Infrastruktur, Anwendungen und Daten eigentlich nur verbessern", ist Khaled Chaar, Managing Director Business Strategy und Geschäftsführer des IT-Dienstleisters Pironet NDH, überzeugt. "Vor allem mittelständische Unternehmen erreichen in ihren hauseigenen Rechenzentren nur äußerst selten das Sicherheitsniveau eines professionellen Anbieters. Denn dafür reicht das Budget in der Regel gar nicht aus." Die Sorge, dass Daten bei einem externen Provider technisch nicht ausreichend gesichert sind, sei, so der Spezialist, in den meisten Fällen unbegründet.

Michael Pauly, Senior Cloud Consultant bei T-Systems, sieht das ähnlich: "Analysen zeigen, dass die Sicherheit von Cloud Services oftmals gleichwertig, wenn nicht sogar höher ist als die der unternehmenseigenen IT." Das bestätigt auch der "Global State of Information Security Survey 2012" von Pricewaterhouse Coopers (PwC): 54 Prozent der befragten Unternehmen gaben an, dass sich durch die Verwendung von Cloud Services die Informationssicherheit verbessert habe. Trotz allem, so rät Pauly, sollten Unternehmen genau prüfen, mit welchen Sicherheitskonzepten ein Cloud-Anbieter die ihm anvertrauten IT-Ressourcen vor unerlaubtem Zugriff durch Dritte schützt.

Zertifikate helfen bei der Provider-Auswahl

Hilfreich sind hier Zertifikate, die für verschiedene Kategorien vergeben werden. Eines der gängigsten Siegel ist die ISO-27001-Zertifizierung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Cloud-Anbieter, die dieses Zertifikat tragen, verfügen über einen nachweislich hohen Grad an IT-Sicherheit gegenüber ihren Kunden. Allerdings wird das Siegel oft auch nur für Teilbereiche vergeben. Unternehmen sollten sich daher vorab informieren, wofür ein Provider genau zertifiziert ist. Einen Leitfaden mit den Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter hat das BSI auf seiner Internet-Seite veröffentlicht (www.bsi.de). Ein weiteres Zertifikat, das neben der IT-Sicherheit auch Aspekte wie Vertragsgestaltung, Infrastruktur und Prozesse bewertet, ist das Eurocloud Star Audit SaaS. Unternehmen können dabei bis zu fünf Sterne erreichen. Provider, die über diese Höchstwertung verfügen, gelten unter Experten als vertrauenswürdig.

Daten sind meistens personenbezogen

Mindestens ebenso komplex wie das Thema IT-Sicherheit sind die rechtlichen Aspekte des Cloud Computing. Im Fokus steht dabei derzeit das Thema Datenschutz. Der Datenschutz greift immer dann, wenn es um Informationen geht, die in irgendeiner Form einen Personenbezug haben oder bei denen ein Dritter einen solchen Bezug herstellen könnte. "Man muss wissen, dass der Begriff 'Personenbezug' im Sinne des Bundedatenschutzgesetzes (BDSG) sehr weit gefasst ist", erklärt Eckhardt. In der Praxis, so der Rechtsanwalt, gebe es also nur sehr wenige Cloud-Anwendungen, wo Daten nicht zumindest teilweise personenbezogen seien.

Personenbezogene Daten sind durch die EU-Grundrechtecharta und das deutsche Recht auf informelle Selbstbestimmung besonders geschützt. Viele Unternehmen fragen sich daher, ob diese Informationen überhaupt in die Cloud ausgelagert werden dürfen. "Grundsätzlich ja", erläutert Eckhardt, allerdings gelte es hier, einige wichtige Regeln zu beachten.

Datentransfer in Drittländer ist kritisch

Cloud-Computing-Verträge sind juristisch gesehen nichts Neues. Das Auslagern von Daten in die Wolke ist eine Form des Outsourcings, das wiederum zu den Verhältnissen der Auftragsdatenverarbeitung zählt. Solche Auftragsdatenverarbeitungs-Vertragsverhältnisse erlauben grundsätzlich die Weitergabe persönlicher Daten an einen externen Anbieter. Voraussetzung dafür ist allerdings, dass sich der Sitz des Providers in einem Land innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums befindet. "Sitzt das Unternehmen hingegen in einem Drittland wie den USA, ist die Rechtslage komplizierter. Hier, so Eckhardt, müsse genau geprüft werden, ob der Datentransfer überhaupt zulässig sei und unter welchen Bedingungen.

Viel diskutiert wird in diesem Zusammenhang der "Patriot Act", den die USA 2006 zur Terrorbekämpfung verabschiedet haben. Das Gesetz erlaubt es US-amerikanischen Behörden, im Verdachtsfall auf Firmendaten zuzugreifen. Entscheidend ist hier, wo sich der Hauptsitz des Cloud-Anbieters befindet. Auch wenn der US-Cloud-Provider Server in Europa betreibt, haben US-Behörden im Bedarfsfall trotzdem Zugriff. Wer auf Nummer sicher gehen und komplexe vertragliche Regelungen hinsichtlich der Auftragsdatenverarbeitung umgehen möchte, ist daher gut beraten, sensible Firmendaten ausschließlich an deutsche oder europäische Anbieter auszulagern. "Allerdings sprechen wir hier immer von personenbezogenen Informationen", erklärt Chaar. Geht es um unkritische Daten, wie beispielsweise nicht geschützte Fotos, spielt es keine große Rolle, wo sich die Server des Providers befinden."

Service-Level-Agreements prüfen

Unabhängig davon, ob ein Unternehmen in Europa oder in Amerika sitzt, sollte die Grundvoraussetzung für das Cloud Computing ein ausgefeilter Vertrag mit dem Anbieter sein. Das trifft auch dann zu, wenn ein Unternehmen eine Cloud-Anwendung zunächst nur testen möchte. "Wer bei einem solchen Probelauf komplizierte Vertragsverhandlungen umgehen will, verzichtet bei Testzugängen besser auf Realdaten", empfiehlt Eckhardt.

Zunächst sollte in einem Cloud-Computing-Vertrag genau festgelegt sein, welche Leistungen ein Anbieter in welcher Qualität erbringen muss. Zu solchen Service-Level-Agreements (SLA) gehören in erster Linie die Verfügbarkeit der Dienste, die zulässige Ausfallrate, die Reaktionszeiten bei einer Störung sowie die Wiederanlaufzeit der Systeme nach einem Ausfall. "Unternehmen sollten sich hier immer klarmachen, was bestimmte Angaben in der Praxis bedeuten können", warnt Pauly. "Eine Gesamtverfügbarkeit von 99 Prozent pro Jahr bedeutet, dass ein Service im schlimmsten Fall vier Tage im Jahr ausfällt." Dabei mache es, so der T-Systems-Mitarbeiter, einen großen Unterschied, ob ein Dienst vier Tage am Stück ausfalle oder stundenweise über das Jahr verteilt. Besser sei es daher, eine maximale Ausfallzeit pro Monat zu definieren. Auch Wartungsfenster sind in einem Cloud-Vertrag genau festzulegen. Sie sollten möglichst außerhalb der Geschäftszeiten liegen und einen begrenzten Umfang haben.

Das BSI empfiehlt, auch sicherheitsrelevante Aspekte und Datenschutzvereinbarungen in den SLAs festzuschreiben. Geklärt werden sollte unter anderem: Ist das Rechenzentrum ausreichend gegen Zutritt durch Unbefugte sowie gegen Feuer oder Hochwasser geschützt? Welche Verschlüsselungsverfahren setzt der Provider ein? Existiert ein Ausweichrechenzentrum, in dem sämtliche Daten gespiegelt werden? Wie sind die Server gegen Viren und Hacker-Angriffe geschützt? Ist die Kommunikation zwischen Provider und Kunden sowie zwischen den Standorten des Anbieters ausnahmslos verschlüsselt? Da Cloud-Computing-Verträge in der Regel auf mehrere Jahre angelegt sind, sollte außerdem sichergestellt sein, dass der Provider sein Sicherheitskonzept entsprechend der technischen Entwicklung kontinuierlich anpasst.

Elementar ist laut Chaar in diesem Zusammenhang auch die konkrete Festlegung von Pönalen für den Fall, dass ein Provider die SLAs nicht einhält. Dieser Aspekt werde manchmal vernachlässigt, was SLAs dann nahezu wertlos mache. Umgekehrt sollten Unternehmen auch auf Haftungsausschlüsse oder -begrenzungen seitens des Anbieters achten.

Vertrauen ist gut - Kontrollrecht ist besser

Klären müssen Unternehmen auch, ob und in welcher Form der Provider Subunternehmen mit bestimmten Leistungen beauftragen darf. Hat der Cloud-Computing-Anbieter beispielsweise überhaupt ein eigenes Rechenzentrum? Oder mietet er sich Kapazitäten bei einem externen Dienstleister? "Grundsätzlich darf ein Provider nur solche Unternehmen beauftragen, die zumindest dasselbe Schutzniveau sicherstellen wie der Auftragnehmer selbst", erklärt Eckhardt. "Ein Unternehmen muss sich bei einem solchen Konstrukt jedoch darüber im Klaren sein, dass es für die Subunternehmer im Ernstfall genauso haftet wie für den Hauptauftragnehmer."

Um nachvollziehen zu können, ob ein Anbieter alle Vereinbarungen einhält, muss sich das beauftragende Unternehmen vertraglich ein Kontrollrecht sichern. Im Idealfall berechtigt es den Auftraggeber, die Datenverarbeitung einschließlich der Schutzmaßnahmen vor Ort beim Provider und auch bei dessen Subunternehmern kontrollieren zu können. Es sei daher nicht unerheblich, wo sich das Rechenzentrum des Cloud-Anbieters befinde, gibt Rechtsexperte Eckhardt zu bedenken. Ein Kontrollrecht nütze wenig, wenn es die Mitarbeiter aufgrund zu hoher Reisekosten nicht wahrnehmen könnten.

Austrittsregelungen definieren

Unternehmen unterliegen vielfältigen gesetzlichen Archivierungspflichten. Daten, E-Mails und elektronische Dokumente müssen langfristig aufbewahrt werden. Vor diesem Hintergrund muss bei Cloud-Verträgen nicht nur die Laufzeit zwingend geregelt werden, sondern auch die Rückgabe oder Löschung der Daten bei Vertragsende. Ebenfalls geklärt werden sollten die Anforderungen an eine Rückgabe der Daten, wie zum Beispiel der Übertragungsweg oder das Dateiformat. Auch eine frühzeitige Rückgabe der Daten - zum Beispiel im Falle der Insolvenz eines Providers oder bei einem Anbieterwechsel - muss klar definiert sein. Eine solche Exit-Strategie sollte den Auftraggeber im Zweifelsfall auch berechtigen, die Daten von Subunternehmen zurückzufordern. In diesem Zusammenhang ist auch die finanzielle Stabilität eines Cloud-Computing-Providers ein entscheidendes Kriterium.

"Neben all diesen rechtlichen und vertraglichen Regelungen hat Cloud Computing letztlich aber immer auch viel mit Vertrauen zu tun", sagt Chaar. "Unternehmen sollten daher nicht vergessen, dass ein Provider auch kulturell und von seiner Größe her zum eigenen Unternehmen passen sollte." (pg)

Checkliste: Was ein Cloud-Computing-Vertrag regeln sollte

  1. Konkretes Leistungsangebot (SLA): Im Vertrag sollte das Leistungsangebot des Providers genau festgelegt werden. Zu diesen Service-Level-Agreements gehören unter anderem die Verfügbarkeit der Services, die zulässige Ausfallrate, die Reaktionszeiten bei Störungen oder die Wiederanlaufzeit der Systeme nach einem Ausfall.

  2. Sicherheits- und Datenschutzaspekte: Das BSI empfiehlt, neben den konkreten Leistungen auch sicherheitsrelevante Aspekte und Datenschutzvereinbarungen in den SLAs festzulegen. Da Cloud-Computing-Verträge meistens auf mehrere Jahre angelegt sind, sollte zudem sichergestellt sein, dass der Provider sein Sicherheitskonzept entsprechend der technischen Entwicklung kontinuierlich anpasst.

  3. Vertragsstrafen bei Nichterfüllung: Die Vertragspartner sollten Pönalen vereinbaren für den Fall, dass der Provider die zugesicherten Leistungen nicht erbringt. Ansonsten sind die SLAs wertlos.

  4. Beauftragung von Subunternehmen: Die Vertragspartner müssen genau festlegen, ob und in welcher Form der Provider Subunternehmen mit bestimmten Leistungen beauftragen kann. Grundsätzlich darf ein Cloud-Anbieter dabei nur solche Unternehmen beauftragen, die dasselbe Schutzniveau sicherstellen wie der Auftragnehmer selbst.

  5. Kontrollrecht des Auftraggebers: Der Auftraggeber muss sich vertraglich das Recht zusichern lassen, dass er die Datenverarbeitung des Cloud-Anbieters einschließlich der Schutzmaßnahmen regelmäßig kontrollieren darf.

  6. Vertragslaufzeit und Rückgabe der Daten: In einem Cloud-Vertrag muss nicht nur die Laufzeit zwingend geregelt werden, sondern auch die Modalitäten bei der Rückgabe oder Löschung der Daten. Dazu gehören zum Beispiel der Übertragungsweg oder das Dateiformat.

  7. Exit-Strategie: Auch eine frühzeitige Rückgabe der Daten - zum Beispiel im Falle der Insolvenz eines Providers oder bei einem Anbieterwechsel - muss klar geregelt sein. Eine solche Exit-Strategie sollte den Auftraggeber im Zweifelsfall auch berechtigen, die Daten von Subunternehmen zurückzufordern.