Dass Cloud Computing nicht nur IT Fachleute und Anwender, sondern auch Juristen auf den Plan ruft, ist wenig überraschend. Interessant ist aber, dass rechtliche Argumente nicht mehr primär als Begrenzungen des neuen Geschäftsmodells dienen, sondern mitunter sogar vertriebsunterstützend dazu genutzt werden, Lösungen mit hoher Verfügbarkeit und Sicherheit auf den Markt zu bringen.
Typischerweise sind die am Cloud-Computing-Prozess Beteiligten die Cloud-Nutzer (Verbraucher oder Unternehmen), die Cloud-Lösungsanbieter und schliesslich die Infrastrukturbetreiber, von denen die Cloud-Lösungsanbieter Leistungen beziehen. Kern des Cloud-Geschäftsmodells ist der weitgehende Verzicht auf dedizierte eigene Ressourcen und die rein an der tatsächlichen Nutzung orientierte Vergütung (”pay-as-you-go”). Cloud-Angebote werden in Infrastrukturangebote (”IaaS”, Nutzung von virtualisierten Hardware-Ressourcen wie Rechner, Netzwerke und Speicher), Applikationsangebote (”SaaS, Nutzungszugang zu Software-Sammlungen und Anwendungsprogrammen) und Plattformangebote (”PaaS”, Programmierungs- oder Laufzeitumgebungen mit flexiblen, dynamisch anpassbaren Rechen- und Datenkapazitäten) unterschieden.
Weiterhin wird zwischen Public, Private und Hybrid Clouds unterscheiden, was je nach Konstellation zu im Kern ähnlichen Rechtsfragen in unterschiedlicher Ausprägung führt. Neben Resellern wie Dropbox finden sich auch Anbieter wie Amazon Web Services (AWS), die mehrere Rollen gleichzeitig wahrnehmen. Die Grenzen sind also alles andere als trennscharf und es lohnt sich als Nutzer, genau zu prüfen, welche Art von Anbieter oder Betreiber man zum Partner wählt.
Einige der rechtlichen Fragen sind bereits aus der Ära des Outsourcing bekannt, sie stellen sich durch die Möglichkeiten des Cloud Computing nun aber in einer neuen Qualität. Die wichtigsten betroffenen Rechtsbereiche sind der Datenschutz, die Informationssicherheit, lizenzrechtliche Fragen und die Vertragsgestaltung. Nutzer müssen indes nicht bei jeder Cloud-Computing-Lösung die gesamte Bandbreite aller definierten Problemfelder abarbeiten. Vielmehr genügt es, sich die Situation des Unternehmens sorgfältig vorab zu verdeutlichen und die als potentiell problematisch identifizierten Felder dann detailliert abzuprüfen (siehe Checkliste am Ende des Artikels).
Rechtliche Bedenken überlagern allerdings häufig unternehmerische Vorfragen wie die Cloud-Fähigkeit auf Nutzerseite an sich. Eine selbstkritische Bestandsaufnahme der Datensicherheit und der ausreichenden Lizenzierung vor Beginn der Cloud-Nutzung wird wahrscheinlich in nicht wenigen Fällen Defizite im Umgang mit Unternehmensdaten oder dem internen Lizenzmanagement zu Tage fördern. Diese Befunde haben dann nichts mit der Cloud Nutzung zu tun, vielmehr zwingt die Auslagerung von Aufgaben in die Cloud idealerweise sogar dazu, bestehende Unternehmensprozesse auf ein höheres Niveau zu bringen.
Dieser Klärungsprozess umfasst beispielsweise die Einordnung der Daten in Geschäftsgeheimnisse, personenbezogene Daten und besonders sensible Daten im Sinne des Bundesdatenschutzgesetzs (BDSG), die Analyse der Lizenzverträge mit den für die Cloud-Nutzung bestimmten Applikationen und eine Due Diligence der geltenden regulatorischen Anforderungen (Compliance).
Datenschutz und Cloud Computing – ein Widerspruch?
Der Schutz personenbezogener Daten von Mitarbeitern und Kunden steht nach Ansicht der Nutzer im Zentrum der Bedenken und beherrscht daher auch die Diskussion rechtlicher Aspekte des Cloud Computing. Es entspricht allgemeiner Ansicht unter den IT-Juristen, dass eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG vorliegt, wenn der Datenverarbeiter ein gewisses Maß an Einfluß auf Art und Weise der Datenverarbeitung und Kenntnisnahmemöglichkeit der personenbezogenen Daten des Nutzers hat. Dies ist bei den marktgängigen Cloud-Angeboten stets der Fall.
In diesem Fall ist eine schriftliche Vereinbarung zur Auftragsdatenverarbeitung zwischen Cloud-Nutzer und Cloud-Anbieter abzuschließen, in der konkrete technische und organisatorische Maßnahmen zu vereinbaren sind (§ 9 BDSG). Diese sollen dem Schutzzweck des BDSG dienen, nämlich dem Schutz des Einzelnen vor der Beeinträchtigung seiner Persönlichkeitsrechte.
Der Aufwand der Maßnahmen muß in einem angemessenen Verhältnis zum Schutzzweck stehen. Und genau hier setzt die Unsicherheit ein. Denn welche Sicherheitsmaßnahmen nun angemessen sind, wird vom Gesetzgeber oder Gerichten nicht näher definiert. Deshalb ist in Abhängigkeit vom Risiko im Einzelfall zu überprüfen und festzulegen, welche Maßnahmen dies sind. Eine der Voraussetzungen der zulässigen Auftragsdatenverarbeitung ist, dass der Anbieter nach Weisung handelt und eben nur Hilfsfunktionen im Verhältnis zum Kunden ausüben darf. Deshalb besteht in der Ausgestaltung der Vereinbarung nach § 11 BDSG eine gewisse Herausforderung, da der Anbieter ja gerade Flexibilität bezüglich der Ressourcenallokation benötigt, um die Skaleneffekte des Geschäftsmodells ausnutzen zu können.
Verschlüsselungstechniken sind mittlerweile bei allen marktstarken Anbietern im Einsatz. Die Juristen diskutieren derzeit noch, wie sie rechtlich zu bewerten sind. Die Verschlüsselung von Daten ist jedenfalls als eine Maßnahme nach § 9 BDSG anerkannt, mittels derer man Zugang zu, Zugriff auf und Weitergabe von personenbezogenen Daten kontrollieren kann. Das Verwaltungsgericht Berlin (VG Berlin v. 24.5.2011 - 1 K 133.10 ) hat kürzlich die Investition in eine Verschlüsselungssoftware als im Verhältnis zum Schutzzweck ”überobligatorische” und damit nicht erforderliche Investition angesehen. Es ging hier um die – einvernehmliche – Versendung von unverschlüsselten Lebensläufen von Leiharbeitnehmern über das Internet, das Urteil ist nicht rechtskräftig.
Noch konnte sich keine Mehrheit der juristischen Stimmen dafür finden, das BDSG auf verschlüsselt übertragene und gespeicherte Daten erst gar nicht anzuwenden (dem Argument folgend, dass gar keine personenbezogenen Daten transportiert würden, sondern nur für den Verarbeiter unlesbare Datensätze, weil es auf die subjektive Kenntnisnahmemöglichkeit ankomme). Als eine zukunftsweisende Methode wird zwar die homomorphe Verschlüsselung propagiert, bei der die Daten beim Anbieter zu keinem Zeitpunkt entschlüsselt werden müssen. Ob dieses ressourcenintensive Verfahren aber ausreichend skaliert und damit kurzfristig marktgängig sein wird, wird von Fachleuten kritisch gesehen.
Falls diese Methode sich durchsetzt, aber auch dann, wenn auf dem Stand der Technik arbeitende, aktuell gehaltene herkömmliche Verschlüsselungssoftware lückenlos eingesetzt wird, müssen sich die Juristen, allen voran die Datenschützer, mit der Frage auseinandersetzen, ob es wirklich gerechtfertigt ist, die volle Anwendung des BDSG zu verlangen. Allerdings wäre dazu wohl auch erforderlich, dass die Anbieter damit aufhören, sich in ihren AGB mittels schwammiger Formulierungen vorzubehalten, die Daten zu entschlüsseln und weiterzugeben.
Innerhalb der EU beziehungsweise des Europäische Wirtschaftsraums (EWR) ist die Übertragung personenbezogener Daten datenschutzrechtlich ohne weiteres zulässig, sofern die übrigen Voraussetzungen der Auftragsdatenverarbeitung vorliegen. Im internationalen Bereich können nach dem Safe-Harbour-Abkommen zertifizierte Unternehmen oder Vertragsparteien mittels
Datenschutzvereinbarungen nach dem Vorbild der sogenannten EU-Modell-Verträge eine zulässige Auftragsdatenverarbeitung auch ausserhalb der EU vornehmen. Gleichwertig daneben stehen die Kombination aus Safe Harbor und Verträgen zur Auftragsdatenverarbeitung, Binding Corporate Rules und eine eigene Vertragslösung. Zukünftig kommt möglicherweise noch die Lösung der ”Binding Processor Rules” hinzu. Bei der Übertragung in Drittstaaten sollte vorab eine sorgfältige Analyse des Rechtsrahmens durchgeführt werden.
In Summe sind einige Voraussetzungen zu erfüllen, die aber auch schon zu Zeiten des Outsourcings erfüllbar waren und auch genutzt wurden. Eine unabdingbare Voraussetzung für die rechtliche Gestaltung ist allerdings, dass die Vertragspartner des Cloud-Vertrags päzise Kenntnis darüber haben, welche Arten von Daten wo gespeichert und verarbeitet werden. Vielfach wird darauf hingewiesen, dass es einen unaufgelösten Konflikt zwischen den Anforderungen des ”US Patriot Act” (2001) und denen des europäischen Datenschutzrechts gebe, den primär Anbieter mit Konzernstrukturen und Sitz oder Niederlassungen sowohl in Europa als auch den USA aushalten müssten. Denn deren Unternehmensleitungen würden im Falle des Verdachts terroristischer Straftaten gegebenenfalls.
Aufforderungen zur Datenherausgabe durch das FBI erhalten, denen sie nur folgen könnten, wenn sie ”sehenden Auges” geltendes Datenschutzrecht brechen würden. Unternehmen wie Google und Microsoft haben ihre diesbezügliche Bereitschaft zur Herausgabe im Einklang mit dem geltenden (US-)Recht bereits im Sommer 2011 öffentlich kundgetan. Ob die Furcht vor diesem Konflikt begründet ist und Beschaffungsentscheidungen tatsächlich beeinflussen sollte, wird in Zweifel gezogen. Eine namhafte US-Kanzlei hat nachgewiesen, dass beispielsweise Frankreich sehr viel niedrigere gesetzliche Zugriffshürden auf Daten durch Strafverfolgungsbehörden vorsieht, als dies der US Patriot Act tut. Auch hier spielen also Annahmen über Rechtssituationen eine Rolle, die nicht immer juristisch-fachlich abgesichert sind.
Zahlreiche Cloud-Anbieter haben mittlerweile geographisch dedizierte ”Availability Zones” eingerichtet, die den aus der genannten Datenschutzproblematik EU/USA resultierenden Länderzonungen folgen. Die für eine rechtskonforme Datenverarbeitung in der Cloud erforderlichen Vereinbarungen sind mittlerweile keine ”Geheimwissenschaft” mehr, sie werden üblicherweise von kompetenten (IT-)Juristen beherrscht.
Sicherheit und Compliance: Was ist in der Cloud zu beachten?
Weil zunehmend Geschäftsleiter für Rechtsverstöße in ihren Unternehmen persönlich haftbar gemacht werden, ist die Aufmerksamkeit der Leitungsebene für die Rechtstreue in allen Unternehmensteilen gestiegen. Seit aber auch Mitarbeiter von Abteilungen, die für die Compliance zuständig sind, zur Verantwortung gezogen werden, herrscht zunehmende Verunsicherung und Sorge vor Haftung (vergleiche dazu das teilweise als zu weit gehend kritisierte Urteil des BGH vom 17. Juli 2009, AZ 5 StR 394/08, in dem einem Compliance-Beauftragten die Pflicht zugewiesen wurde, aktiv Rechtsverstöße aus dem Unternehmen heraus zu verhindern).
Hier muß mit Augenmaß, gleichwohl schnell und entschlossen gehandelt werden, wenn tatsächlich Sicherheitslücken für die eigenen Unternehmensinformationen bestehen oder Kundendaten dem unberechtigten Zugriff Dritter anheimfallen könnten. Das deutsche Recht kennt keinen einheitlichen rechtlichen Sicherheitsbegriff. Vielmehr wird (richtigerweise) nach den zu regelnden Materien unterschieden (Beispiel: im Luftverkehrsgesetz, dem Gentechnikgesetz und dem Atomgesetz werden unterschiedliche Sicherheitsbegriffe verwendet). Das BDSG bleibt hier vage.
Die Frage, wieviel Sicherheit bei der Verarbeitung personenbezogener oder anderer Unternehmensdaten erforderlich ist, sollte sich auch beim Cloud Computing primär am Risiko ausrichten. Die Einschätzung eines Risikos folgt zunächst ausschliesslich aus der Relation des zu schützenden Wertobjekts zu dessen Gefährdung und den potentiellen Schäden. Ergänzend können in diese Risikobewertung subjektive, unternehmensspezifische Gewichtungsfaktoren einfliessen, wie ewta der Wunsch, als besonders vertrauenswürdiger Dienstleister zu gelten. Der Gesetzgeber mag bei seinen Setzungen rechtspolitische oder gar standortpolitische Überlegungen einfliessen lassen. Insgesamt wirken die Sicherheitsbegriffe und Risikoanalysen (soweit zum Cloud Computing vorhanden) jedenfalls nicht konsistent.
Im BDSG klafft zwischen dem Schutzzweck (Persönlichkeitsrechte) und den Anforderungen an die Kontrolleffektivität (Schutzmaßnahmen) die Lücke des ”wie”. Aus der EU-Datenschutzrichtlinie ist nur abzuleiten, dass die verlangten Maßnahmen dem ”Stand der Technik” zu entsprechen haben, was das technisch Mögliche umfasst. Dies geht mithin weiter als das, was gängig und der Mehrzahl der Fachleute bekannt und von diesen anerkannt ist (”anerkannte Regeln der Technik”). Leider behandelt das BDSG diese Frage losgelöst vom so definierten Risiko, denn es bestimmt die Erforderlichkeit der Schutzmaßnahmen nach einer Kosten-Nutzen-Relation im Verhältnis zum Schutzzweck (Schutz des Einzelnen vor Beeinträchtigungen seiner Persönlichkeitsrechte). Es geht jedoch nicht konkret auf das tatsächliche Risiko für das Schutzgut ein, also ob zum Beispiel ein Datenverlust einer Adresse, die auch aus einem öffentlich zugänglichen Verzeichnis stammt, vorliegt oder ein Verlust von Kreditkartendaten oder gar einer elektronischen Krankenakte. Bei Gesundheitsdaten bestehen übrigens besondere rechtliche Anforderungen.
Festzuhalten bleibt, dass auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der sogenannte Düsseldorfer Kreis (informelle Vereinigung der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich) in ihren Empfehlungen dazu tendieren, im Zweifel höhere Schutzmaßnahmen und Prüfpflichten der Unternehmen anzunehmen. Sie treten also für ein differenziertes, nach Risiken abgestuftes Schutzsystem ein. Das ist rollenadäquat, sollte aber weder Nutzer noch Anbieter dazu zwingen, kategorisch immer nur höchste Sicherheitsmaßnahmen anzubieten oder zu fordern.
Zertifizierungen sind ein Resultat der verbreiteten Sicherheitsbedenken. Diese Zertifizierungen sind weithin an die Stelle ausgehandelter Sicherheits- und Vertraulichkeitsregelungen getreten. Die Vertragswerke nehmen meist, jedoch nicht immer auf diese Zertifizierungen Bezug, sodass im Einzelfall sorgfältig geprüft werden muß, welchen Aussagen- und rechtlichen Stellenwert diese in der Vertragsbeziehung haben. Datenschutzrechtlich kann es ausreichen, die eigene Prüfung durch zuverlässige, bezüglich des Datenschutzkonzeptes präzise Zertifikate zu ersetzen. Ein Standard hat sich hier noch nicht etabliert, sodass stets eine eigene Einschätzung der CIOs oder Geschäftsleiter erfolgen sollte und bei Zweifeln oder besonders sensiblen Daten eigene Überprüfungen vorzunehmen sind.
Urheberrecht und Lizenzen: Was geht in der Cloud?
In puncto Urheberrecht und Lizenzen stellen sich vor allem zwei Fragen: Ein Anwender, der eine Applikation in die Cloud verlagert, muß ausreichend lizenziert sein, um diese auf Rechnern des Anbieters betreiben zu dürfen. Umstritten ist unter Juristen derzeit, ob das Anzeigen der Software im reinen Terminal-Betrieb eine Vervielfältigungshandlung im Sinne von § 69c Nr. 1 UrhG ist oder nicht. Da es hierzu divergierende Gerichtsentscheidungen gibt, sollte für die Cloud-Nutzung im Zweifel die ausdrückliche Zustimmung des Softwareherstellers eingeholt oder bereits bei der erstmaligen Lizenzierung im Vertrag vorsorglich vereinbart werden. Jedenfalls bedarf es für eine Weitergabe von Softwarekopien an einen Anbieter der Zustimmung des Softwareherstellers analog der Situation beim Hosting.
Weiter muss mit dem Softwarehersteller geklärt sein, ob er mit dem Anbieten einer nicht vom Anbieter entwickelten Applikation zur Cloud-Nutzung durch den Anbieter einverstanden ist. Denn dies ist nach überwiegender Ansicht eine zustimmungsbedürftige Weitervermietung.
Die Entscheidung des Europäischen Gerichtshofs in Sachen Oracle/ USedSoft vom 3.7.2012, C-128/11 hat auf die Frage, ob Weitervermietung zulässig ist, keine Auswirkung. In diesem Urteil wurde die Frage geklärt, dass es bei nicht-körperlicher Verbreitung von Software (download) analog zur Verbreitung auf Datenträger keine vertragliche Möglichkeit des Softwareherstellers gibt, den Weiterverkauf als „Gebrauchtsoftware“ zu verbieten, sofern der Ersterwerber die Nutzung ganz einstellte. Bei Cloud Computing ist die Zustimmung des Rechteinhabers nach wie vor erforderlich, soweit nicht die Bereitstellung in einer Cloud ausdrücklich als Nutzungsart eingeräumt ist. Bei älteren Verträgen ist dies anhand der vertraglichen Formulierung der Nutzungsrechteeinräumung auszulegen. Soweit Open-Source-Software zum Einsatz kommen soll, muß vorab geklärt sein, unter welcher Lizenz diese genutzt oder weitergegeben werden kann.
Vertragsgestaltung: Was müssen Cloud-Nutzer regeln?
Ein Hautpmerkmal standardisierter Cloud-Dienste ist die Verwendung von ebenso standardisierten Verträgen. Dies birgt Vor- und Nachteile. Es liegt auf der Hand, dass ein wesentlicher Vorteil des Geschäftsmodells darin liegt, dass gerade kein individualisierender, iterativer und kleinteiliger Definitionsprozeß der optimalen Lösung stattfindet, sondern vorgefertigte Lösungen katalogartig bestellt werden können. Dies muss sich aus Anbietersicht auch im Vertragsprozeß widerspiegeln. Gleichwohl sind die meisten Anbieter bereit, ihre AGB durch eine Zusatzvereinbarung zu ergänzen oder in den für Kunden wichtigen Punkten abzuändern.
Gelingt das nicht, hilft deutschen Nutzern das vielfach gescholtene Recht der allgemeinen Geschäftsbedingungen (§§ 305ff. BGB), welches anders als in vielen anderen Ländern auch im B2B-Bereich eine umfassende vertragliche Inhaltskontrolle auf Angemessenheit, Transparenz und Üblichkeit der verwendeten Klauseln bietet. Allerdings kann dieses Regelwerk im B2B-Bereich durch Rechtswahl ausgeblendet werden, sodass eine erste, wichtige Weichenstellung darin liegt, welches anwendbare Recht vom Anbieter vorgesehen wird. Auch gibt das AGB-Recht dem Nutzer natürlich keine Gewähr für Vollständigkeit und Passgenauigkeit der verwendeten Klauseln auf den Geschäftsvorfall, sodass eine Analyse der Verträge im Hinblick auf die eigene Einschätzung der Risiken nicht unterbleiben sollte. Auch kontrolliert das AGB-Recht Preis und Leistungsbeschreibung nur eingeschränkt.
Eine klare Vertragstypik ist nicht definiert, es liegt somit in den Händen der Parteien ob die prägenden Vertragspflichten miet-, dienst- oder werkvertraglich ausgestaltet werden sollen. Der Bundesgerichtshof hat in seiner ASP-Entscheidung im Jahr 2006 (15.11.2006, XII ZR 120/04) ausreichende Hinweise gegeben, wie die Einordnung vonstatten geht (dort: Werkvertrag).
In Anbetracht der (notwendigen) Standardisierung von Verträgen kann man von einer Vorverlagerung des Vertragsprozesses sprechen: Rechtskriterien sind in den Auswahlprozeß aufzunehmen, da echte Vertragsverhandlung nunmal nicht zum Geschäftsmodell gehört (anders gegebenenfalls bei private Cloud Angeboten). Will man etwa sensible Daten in die Cloud verlagern, kommt nur ein Anbieter in Frage, mit dem man über die Vertragsinhalte verhandeln kann oder dessen generelle Zusagen so belastbar sind, dass man sich damit zufrieden geben kann, weil sie auch die Compliance-Anforderungen im Unternehmen des Nutzers abdecken.
Falls machbar, lohnt die Aufnahme der wesentlichen Rechtskriterien bei der Auswahl des Anbieters in ein Request for Proposal (”RfP”). Naturgemäß sind Anbieter in der Auswahlphase flexibler als nach der Endauswahl. Ein vergleichweise geringfügiger, aber in der Auswirkung wichtiger Punkt ist wie oben dargestellt die Auswahl des anwendbaren Rechts und des Gerichtsstands.
Fazit: Augenmaß statt Paranoia!
Cloud Computing ist rechtlich ohne weiteres möglich. Nutzer müssen sich vorab sorgfältig mit dem Vertragswerk der Anbieter auf ihrer ”Shortlist” auseinandersetzen und daraus eine eigene Risikoanalyse ableiten. Vertragsfragen sind möglichst in die Auswahlentscheidung einzubeziehen. Insgesamt scheint die Devise ”Augenmaß statt Paranoia” ein guter Ratgeber zu sein. Nutzer sollten die Chancen nutzen, Rechtsbedingungen zu ”rightsizen” und sich dafür spezialisierten Rechtsrat einkaufen.
Checkliste für Cloud Nutzer
Teil I - Unternehmensprozesse:
1. Cloud-Fähigkeit
-
Habe ich intern geklärt, welche Daten in den Applikationen verarbeitet werden, die in die Cloud sollen? Handelt es sich um unternehmensinterne Daten, bei denen ich gegebenenfalls Zustimmungen der Mitarbeiter/ des Betriebsrats noch einholen könnte oder über das BDSG Erlaubnistatbestände bestehen oder geht es um Transaktionsdaten, die mein Geschäftsmodells beeinflussen ?
-
Bestehen im Unternehmen potentielle Widerstände gegen die Verlagerung von Applikationen in die Cloud? Habe ich die richtige Projektorganisation, mittels derer ich mit dem Anbieter auf Augenhöhe verhandeln und den Auswahlprozess effizient gestalten kann (inklusive rechtlicher Beratung)?
-
Erhöhen sich meine Risiken tatsächlich durch die Nutzung einer Cloud-Lösung oder existieren bereits heute Risiken im Unternehmen, die signifikant höher sind oder durch eine Cloud-Lösung sogar verringert werden könnten (Datenverfügbarkeit, Datenintegrität, Vertraulichkeit)?
2. Auswirkungen der Cloud Entscheidung
-
Haben die Applikationen und Daten Auswirkungen auf Erklärungen, die das Management im Rahmen der Compliance-Prüfung abgibt (zum Beispiel bezüglich des Vorhandenseins von Risikofrühwarnsystemen oder finanziellen Reporting-Systemen?)
-
Was sind meine Auswahlkriterien für Anbieter? Welche dieser Kriterien werden von den potentiellen Anbietern wie abgedeckt?
-
Gibt es Auswirkungen dieser Abdeckung auf die rechtliche Bewertung von Risiken, womöglich mit Auswirkungen auf die Notwendigkeit der buchhalterischen Risikovorsorge?
-
Wie ist das Ausstiegsszenario: Habe ich Ausstiegshürden oder droht gar ein „Customer Lock-in“ oder unterstützt der Anbieter den Wechsel möglicherweise sogar aktiv?
Teil II – Rechtliches / Compliance
3. Rechtliche Kriterien der Cloud-Entscheidung
-
Art der verarbeiteten Daten (Transaktionsdaten, Stammdaten, personenbezogene Daten, sensible Daten, Geschäftsgeheimnisse)
-
Möglichkeiten der Anonymisierung/ Pseudonymisierung/ Verschlüsselung
-
Qualität der Service-Level-Zusagen, Absicherung durch Übernahme von Haftung oder technische Vorkehrungen
-
Weitere ”Hebel” gegenüber dem Anbieter wie Performance Garantien, freiwillige Selbstverpflichtungen, Referenzprojektvereinbarungen, Vertragsstrafen ?
-
Sicherheit durch Möglichkeit, rechtlich vor Ort vorzugehen (Gerichtsstand, anwendbares Recht)?
-
Verhandlungsbereitschaft/ Flexibilität der Anbieter in Vertragsfragen ?
4. Zentrale Punkte bei der Vertragsgestaltung von Cloud Verträgen
-
Leistungsbeschreibung
-
Service-Level-Vereinbarungen, Haftung
-
Sicherheitskonzept (Integrität, Verfügbarkeit, Vertraulichkeit)
-
Datenschutzkonzept, Auftragsdatenverarbeitungs-Vereinbarung
-
Vergütungsregeln, Preissteigerungsklauseln, echtes „pay-as-you-go“ oder doch feste Abnahmemengen?
-
Reporting, Audit-Rechte
-
Laufzeit, Kündigungsmöglichkeiten
-
Exit- und Übergabeszenario, Löschungsprozeduren
-
Anwendbares Recht und Gerichtsstand