Ob der Einsatz von Cloud Computing dem Unternehmen technische und kaufmännische Vorteile bietet, hängt maßgeblich von rechtlichen Themen und Fragen wie Datenschutz, IT-Security und Compliance ab. Vielfach fehlen noch Standards dafür. Die notwendigen Lösungen müssen jeweils in den Verträgen umgesetzt werden.
Sowohl die Anbieter wie die Kunden von Cloud Computing benötigen eine tragfähige rechtliche Grundlage für den Einsatz in der Praxis. Unterstützung bietet der neue Bitkom-Leitfaden "Cloud Computing - Was Entscheider wissen müssen". Hier eine kurze Zusammenfassung.
Welches nationale Recht?
Eine zentrale Frage für Verträge ist, welchem nationalen Recht sie unterliegen. Das lässt sich am besten durch ausdrücklich vereinbarte Rechtswahl klären. Sonst gilt oft das Recht am Sitz des Anbieters, das der Kunde aber häufig nicht kennt.
Der Kunde muss auch entscheiden, mit wie vielen Anbietern er Vereinbarungen für unterschiedliche Cloud-Computing-Leistungen abschließt. Verhandelt er selbst mit mehreren Anbietern, oder nur mit einem Generalunternehmer, der oft Subunternehmer einsetzt?
Welcher Vertragstyp?
Die Leistungsbeschreibung bestimmt, welcher gesetzliche Vertragstyp vorliegt. Oft schließt Cloud Computing Leistungen unterschiedlicher Vertragstypen ein (etwa Miete, Dienst- und Werkvertrag oder Leihverhältnis). Dann ist schwer feststellbar, welche Vorschriften für welche Leistungsanteile gelten.
Solche Fragen lassen sich durch Vereinbarung der konkreten Leistungen und ihrer Parameter in SLAs (Service Level Agreements) vorab entschärfen. Das empfiehlt sich umso mehr, als die gesetzlichen Vorschriften Themen wie Verfügbarkeiten, Kapazitäten und genaue Leistungscharakteristika nicht näher regeln.
Auch für unzureichende Leistungen bietet das Gesetz kaum praxistauglichen Lösungen: Das Recht zur Minderung der Vergütung verhilft dem Kunden nicht zur benötigten Leistung. Auch ein Recht zur Selbstabhilfe bei Mängeln ist bei Cloud Computing praxisfern. Deshalb sollten die SLAs auch die Folgen unzureichender Leistungen regeln.
Vorsicht bei Subunternehmern
Gern unterschätzt werden zwei weitere Aspekte: Das Kundenunternehmen unterliegt vielen gesetzlichen Anforderungen. Ob Archivierung steuerlich relevanter Daten oder branchenspezifische Regelungen - die Anforderungen sind auch beim Cloud Computing einzuhalten.Falls der Anbieter einen Subunternehmer einsetzt, müssen einige Rechte des Kunden auch diesem gegenüber ausdrücklich vereinbart sein. Ansonsten lassen sie sich faktisch nicht wahrnehmen.
Datenschutz in der Cloud
Die Anforderungen des Datenschutzes gelten für alle Daten, die auf einzelne Person zu beziehen sind - und zwar ohne Einschränkungen auch für Cloud Computing. Wenn keine gesetzliche Erlaubnis oder wirksame Einwilligung der betroffenen Person vorliegen, ist der Umgang mit ihren Daten verboten.
Die EU-weite Angleichung der Datenschutzvorschriften ermöglicht Cloud Computing aus Leistungsstandorten in der EU genauso wie innerhalb Deutschlands. Sollen personenbezogene Daten auch außerhalb der EU verarbeitet werden, sind jedoch besondere Maßnahmen erforderlich, etwa die Vereinbarung von EU-Standardvertragsklauseln oder die Einführung verbindlicher Unternehmensregelungen (Binding Corporate Rules). Nur für die USA können die Regelungen des "Safe Harbour" eine Lösung bieten.
Auschließlich innerhalb der EU ist die Auftragsdatenverarbeitung möglich, bei der ein Anbieter für Kunden personenbezogene Daten verarbeitet. Verantwortlich für die Verarbeitung personenbezogener Daten bleibt der Kunde, zuständig dessen Datenschutzbeauftragter. Der Anbieter hat angemessene technische und organisatorische Maßnahmen für die Datensicherheit zu treffen und dem Kunden deren Kontrolle zu ermöglichen.
Verbesserte IT-Security
Die IT-Security erfordert eine ganzheitliche Betrachtung der Sicherheitsanforderungen und ihrer Umsetzung. Es gelten die klassischen Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit. Dabei schneiden professionelle Cloud-Leistungen - dank durchgängiger Standards - oft besser ab als konventionelle IT-Umgebungen. Schließlich entscheidet die IT-Security mit über den Anbietererfolg.
Last, but not least: Compliance
Die Umsetzung unternehmensinterner Compliance-Vorgaben und -Programme muss beim Cloud Computing gewährleistet bleiben. Dazu werden häufig auch Verpflichtungen der Subunternehmer erforderlich.