Cloud Computing und Compliance

Aufgepasst beim Kleingedruckten

18.06.2011
Von Silvia Hänig

Ausfallszenarien berücksichtigen

Geht es um die Verlagerung bestimmter Anwendungen oder Prozesse in die Cloud, müssen die beteiligten Parteien bereits bei der Vertragsgestaltung einige wichtige Ausfallszenarien berücksichtigen, die den Betrieb behindern könnten. Das ist keineswegs kleinlich, sondern geschäftlich von enormer Bedeutung. Denn hier geht es konkret um Risikoverteilung und Verantwortlichkeiten, um entstandene Verluste sowie die Haftung dafür.

Dreh- und Angelpunkt für ein rechtlich abgesichertes Cloud-Szenario sind laut Rechtsanwalt Meents ein dedizierter Anforderungskatalog an den Cloud-Provider sowie wasserdichte Serviceverträge: "Generell sind die Compliance-Anforderungen die gleichen wie beim klassischen Outsourcing", resümmiert er. Nur führe der Einsatz von Cloud-Services gegenüber dem klassischen Outsourcing eben zum Kontrollverlust. Das Unternehmen sei noch weniger in der Lage, Art, Umfang und Qualität der Leistungen zu kontrollieren.

Zudem tendieren die Cloud-Provider dazu, die mit den Cloud-Services verbundenen Risiken vertraglich auf den Kunden zu verlagern, weiß der Jurist. Das äußere sich unter anderem in einer deutlich verringerten Bereitschaft der Anbieter, auf Service Level Agreements (SLAs) einzulassen. Das Gleiche gelte hinsichtlich der Haftung. Hier hätten die Service-Provider das Bestreben, die Haftung noch weiter als bisher zu begrenzen.

Eine mögliche Vorgehensweise

In einem effektiven Vertrag sind Zuverlässigkeit und Qualität der eingekauften Services festgeschrieben. Wie wichtig das ist, unterstreicht auch PA-Consultant Schmidt: Um die versprochene Flexibilität gewährleisten zu können, müsse im Cloud Computing auf Vertragsebene aber anders gedacht werden als im klassischen Outsourcing.

"Wir gehen in unseren Projekten folgendermaßen vor", plaudert der Berater aus dem Nähkasten, "konkrete Leistungsbestandteile werden in Einzelverträgen definiert. Diese Work Order enthält neben dem SLA weitere rechtliche Regelungen wie Gewährleistung und Haftung, Vertragslaufzeit, Kündigungsmöglichkeiten oder Vertraulichkeitsverpflichtungen. So lässt sich auf der Ebene des Einzelvertrages die Compliance-Vorgabe für einen bestimmten Service prüfen, zum Beispiel für die Datenverteilung. Und bei Schlechtleistung oder Nichterfüllung, zum Beispiel der Portierung zu einem anderen Anbieter, lassen sich entsprechende Maßnahmen in die Wege leiten." (qua)