Beziehung zwischen Kunde und Cloud
Angesichts dieser komplexen Strukturen stellen Vertragsmodelle, rechtliche Fragen und Datenschutzanforderungen Anwender und Anbieter vor neue Herausforderungen. Grundsätzlich sollte zwischen der Beziehung von Endkunde und Cloud-IT-Anbieter einerseits sowie den Verflechtungen innerhalb der Clouds andererseits unterschieden werden.
Ein Kunde geht also eine vertragliche Bindung mit einem (a) oder mehreren (b) Cloud-IT-Anbietern ein. Hierbei stellt der Anbieter unterschiedliche Leistungen wie den Betrieb von Applikationen (c), die Bereitstellung von File- oder Webspace (d) oder die Verfügung über Datenbankkapazitäten (e) zur Verfügung. Die Unterschiede zwischen diesen Leistungen sind juristisch zu würdigen.
a) Ein Cloud-ITAnbieter
Bezieht ein Kunde seine Leistungen von einem einzigen Cloud-IT-Anbieter, so ergibt sich daraus zunächst auch nur ein einfaches Vertragsverhältnis. Hierbei lassen sich die üblichen Regelungen wie bei einem normalen Outsourcing-/Hosting-Vertrag zu Grunde legen. Auch wenn es heißt, die IT-Services könnten wie Strom aus der Steckdose bezogen werden, werden die Anwender wohl kaum ständig ihren Cloud-IT-Anbieter wechseln. Deshalb muss der häufige, schnelle Wechsel auch nicht explizit in den Verträgen berücksichtigt werden. Wichtiger ist es zu regeln, ob sich der Cloud-IT-Anbieter auch anderer Clouds als Subunternehmer bedienen darf und wie dieser Sachverhalt rechtlich zu behandeln ist.
b) Mehrere Cloud IT Anbieter
Foto: Söbbing/Deutsche Leasing
Nimmt das Unternehmen Leistungen von mehreren Cloud-IT-Anbietern in Anspruch, so stellt sich die Frage nach der Konstellation: Bedient es sich eines Generalunterneh-mers (GU), der andere Cloud-IT-Anbieter als Subunternehmer beschäftigt? Oder organisiert es selbst die unterschiedlichen Anbieter im Rahmen eines Vendor-Management?
Auf den ersten Blick erscheint das GU-Modell sinnvoller, weil es hier einen einzigen Ansprechparter oder Single Point of Contact (Spoc) für alle Fragen gibt. Er haftet nach Paragraf 276 BGB für sich selbst beziehungsweise nach Paragraf 278 BGB auch für seine Subunternehmer ("Verrichtungsgehilfen"). Aufgrund der Vertragsbeziehung zwischen GU und Subunternehmer ist auch eine Haftung über das Dienstvertragsrecht möglich.
Besonderes Augenmerk muss der GU darauf legen, dass Sicherheits- und Qualitätsstandards (insbesondere hinsichtlich Datensicherheit und -schutz) auch von den Subunternehmern beachtet werden. Gegebenenfalls hat er sie durch Audits zu überprüfen und nachzuweisen. Das wird sich der GU allerdings vergüten lassen. Zudem kann sich der Kunde in vielen Bereichen nicht gänzlich seiner Audit- und Überwachungspflichten entledigen; das gilt vor allem für den Datenschutz oder einige sektorspezifische Regelungen, beispielsweise für Finanzinstitute. Hier muss sich der Kunde über den GU ein Durchgriffsrecht auf den jeweiligen Subunternehmer einräumen lassen.
Aber auch der Einzelbezug der Leistungen von unterschiedlichen Cloud-IT-Anbietern (Multivendor-Strategie) weist Nachteile auf. Der Kunde muss hier vor allem darauf achten, dass die einzeln eingekauften IT-Services miteinander harmonieren. Insbesondere könnte es im Falle von Minderleistungen dazu kommen, dass keiner der Anbieter einen Fehler einräumen will, sondern immer auf den jeweils anderen verweist.