Während Softwarefachleute noch darüber streiten, ob die Wolke wirklich als technologische Revolution zu verstehen ist, warnen Rechtsexperten immer wieder vor Risiken beim Vertragsschluss. Wirklich neu sind die vertragsrechtlichen Fallstricke bei der Cloud-basierten Bereitstellung von Speicherplatz, Softwareanwendungen, Rechnerkapazitäten und E-Mail-Diensten zwar nicht. Aber es gilt, die Fehler früherer IT-Outsourcing- und Application-Service-Providing-Verträge zu vermeiden.
Die Bereitstellung von Hard- und Software aus der Wolke ist für den Kunden wesentlich bedarfsorientierter und flexibler als der Kauf und Eigenbetrieb. Doch unter vertraglichen Aspekten unterscheidet sie sich kaum von den etablierten Angeboten, mit denen die Provider IT-Services bereitstellen. Auch hier lauten die Fragen: Wie sicher sind meine Daten? Welche Leistungen muss der Provider bei Vertragsende erbringen? Kann der Vertragspartner unbeschränkt Subunternehmer einsetzen?
Noch lange kein Commodity-Geschäft
Das Cloud Computing ist eigentlich keine konkrete technische Lösung. Vielmehr handelt es sich um ein Sammelbecken für eine Vielzahl virtualisierter IT-Dienstleistungen wie Application Service Providing (ASP), Software as a Service (SaaS) oder Managed Services und Hosting-Services, die mitunter ausgelagert werden, um betriebliche und projektbezogene Spitzen abzudecken.
Marktanalysen zeigen deutlich, dass Cloud Computing noch lange kein Commodity-Geschäft ist. Immerhin lässt die zunehmende Standardisierung dieser IT-Dienste die Provider auf wachsende Nachfrage hoffen. Hinzu kommt eine gesteigerte, vielleicht sogar übersteigerte Erwartungshaltung der Abnehmer. Sie zielt auf eine kurzfristige Verringerung der IT-Kosten und einen guten RoI.
Viele Cloud-Computing-Angebote locken ihre Kundschaft mit einer simplen Botschaft: Hier wird nur so viel bezahlt, wie an Bits und Bytes, Software, Speicherplatz und Rechnerkapazitäten "aus der Steckdose" fließt, also tatsächlich zur Verfügung gestellt und gebraucht wird. Sollte es irgendwann einmal zum Massengeschäft kommen, werden die Provider wohl auch verstärkt auf ihre allgemeinen Geschäftsbedingungen (AGBs) setzen, anstatt Individualverträge abzuschließen. Und dann unterliegen die Cloud-Computing-Verträge auch der allgemeinen inhaltlichen Kontrolle der AGBs. Sie schützt den Kunden und bewahrt ihn vor unwirksamen Vereinbarungen. Doch bis es so weit ist, kann man sich viele vertragliche Vorteile aus Outsourcing- und ASP-Verträgen abschauen, die in der Regel individuell ausgehandelt wurden.
Verantwortung für Datenschutz bleibt beim Kunden
Personen- wie unternehmensbezogene Daten werden in der Wolke nur noch auf virtuellen Servern des Providers verarbeitet und gespeichert. Mitunter werden sie dann quer über die Welt verteilt. Auch wenn es damit im Gegensatz zu ASP und Outsourcing keine Hard- und Softwarestruktur mehr gibt, die dem Kunden physisch zugeordnet werden kann, bleiben die gesetzlichen Anforderungen zum Datenschutz bestehen. Als "Herr der Daten", wie es das Bundesdatenschutzgesetz formuliert, ist der Kunde in letzter Konsequenz für die Authentizität, Integrität, Verfügbarkeit und Vertraulichkeit der Daten voll verantwortlich. Das verpflichtet ihn per se zur "sorgfältigen Auswahl" seines Cloud-Providers, so die Gesetzesvorgabe - wie übrigens die Datenschutznovelle vom 1. September 2009 nochmals bestätigt hat.
Aufträge für das Cloud Computing sollten daher zumindest rudimentär beschreiben, wie die konkreten Datenverarbeitungsprozesse des Providers aussehen, technische und organisatorische Maßnahmen zum Datenschutz beschreiben und im Einzelnen festlegen, ob und unter welchen Bedingungen gegebenenfalls Dritte zum Zuge kommen. Vor allem mit Blick auf den letzten Punkt zeigt die Praxis, dass die Konzern- und Gesellschaftsstrukturen der einzelnen Provider dem Kunden häufig nicht transparent vermitteln, wo und von wem seine Daten letztlich verarbeitet werden.
In jedem Fall sollte der Vertrag ausdrücklich die Weisungsbefugnis des Kunden formulieren und absichern. So könnte beispielsweise festgelegt sein, dass ein Datentransfer über die EU-Landesgrenzen hinaus nur dann gestattet ist, wenn in dem betreffenden Drittstaat ein mit den EU-Vorgaben vergleichbares "angemessenes Datenschutzniveau" besteht. Denn auch hier sind Cloud-Kunden keinesfalls vor Überraschungen geschützt: Die USA zum Beispiel erfüllen diese Anforderungen aus datenschutzrechtlicher Sicht zunächst nicht. Amerikanische Provider können dieses Defizit jedoch wettmachen, indem sie sich mit ihren Cloud Services den so genannten Safe-Harbour-Bestimmungen unterwerfen.
Die mit dem Cloud Computing verbundene Internationalität provoziert aber auch die Frage, welche Rechtsordnung und welcher Gerichtsstand im Streitfalle gelten sollen. Wer sein Recht durchsetzen will, sollte den Service-Provider - schon aus Kostengründen - in Deutschland verklagen können. Lässt sich das deutsche Recht nicht als das für den Vertrag gültige Recht vereinbaren, so sollte der Kunde wenigstens versuchen, den Partner auf das UN-Kaufrecht festzulegen.
Service-Level-Vereinbarungen im Cloud-Vertrag
Aus vertragstypologischer Sicht finden sich im Cloud Computing häufig mietrechtliche Elemente wieder. Aber Vorsicht: Der Cloud-Provider unterliegt eben keiner typischen mietrechtlichen Garantieverpflichtung, aus der der Kunde einen zu 100 Prozent unterbrechungsfreien und stets verfügbaren Service beanspruchen könnte. So lohnt es sich also auch hier wie im ASP und Outsourcing, Service-Level-Vereinbarungen zur Verfügbarkeit und zu Wartungsfenstern in den Vertrag aufzunehmen.
Darüber hinaus sollten auch die eigentliche Servicebeschreibung und die damit verbundene Preisgestaltung so vollständig und präzise wie möglich vereinbart sein. In den Vertrag gehören klare Vereinbarungen zu Backups und Datensicherung, etwaigen Mindestabnahmen und Grundgebühren sowie zu festen Vertragslaufzeiten und Verlängerungsoptionen. Für das Auftragsende sollte die Verpflichtung des Providers zur Datenherausgabe klar geregelt sein. Dabei ist es sinnvoll, auch das Datenformat vertraglich zu bestimmen. Banken, Finanzdienstleister und Versicherungen müssen bei der Vertragsgestaltung auf die Einhaltung und Umsetzung der aufsichtsrechtlichen Vorgaben achten, wie sie sich beispielsweise aus den Zentralvorschriften in Paragraf 25a des Kreditwesengesetzes und Paragraf 64 des Versicherungsaufsichtsgesetzes bindend ergeben. (qua)
Das Wichtigste in Kürze - sechs Ratschläge
Tipps zum Vertragsabschluss
Auch im Cloud Computing gilt: Achten Sie auf eine differenzierte und vollständige Leistungsbeschreibung, die einen für Sie bedarfsgerechten Bezug der Leistungen aus der Cloud sicherstellt. Treffen Sie also klare Vereinbarungen über Zugangszeiten und Datenvolumina, und zahlen Sie nur für tatsächliche genutzte Kapazitäten. So vermeiden Sie künftige Diskussionen um Regelungslücken.
Vereinbaren Sie die für die Verfügbarkeitsregelungen üblichen Service-Level-Vereinbarungen. Regeln Sie stattdessen, in welchen Fällen Unterbrechungen, zum Beispiel bei Wartungen, zulässig sind.
Lassen Sie sich einen ausreichenden Datenschutz vom Provider und gegebenenfalls vom nachgelagerten Subunternehmer zusichern. Im Zweifelsfall sollten Sicherheitszertifikate vorgelegt und als vertragliche Bestandteile aufgenommen werden.
Vorsicht bei vorgesehenen Datentransfers über die EU-Landesgrenzen hinweg. Der Vertrag muss deutlich angeben, ob dort mit dem EU-Datenschutzniveau vergleichbare gesetzliche Standards gelten. Zudem sollte er alle Phasen der Datenverarbeitung beschreiben.
Wird der Service über Ländergrenzen hinweg erbracht, dann nehmen Sie in den Vertrag auf, welche Rechtsordnung gelten und welcher Gerichtsstand vereinbart werden soll.
Stützen die Cloud-Services kritische Unternehmensbereiche, gehört in den Vertrag zwingend eine Vereinbarung für Eskalationen und Notfälle.