computerwoche.de

Compliance & Recht

Hüten Sie sich vor Radikallösungen

Rechtliche Fallstricke beim Cloud Computing

17.08.2010
Von 


Renate Oettinger war Diplom-Kauffrau Dr. rer. pol. und arbeitete als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche waren Wirtschaft, Recht und IT. Zu ihren Kunden zählten neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer. Am 29. Januar 2021 ist Renate Oettinger verstorben.
Alle Posts des Autors Email:

Klare Grenzen ziehen

Vertragliche Risiken ergeben sich aus verringerter Kontrolle. Dadurch wird der Anwender zwangsläufig sehr abhängig vom Anbieter. Was das konkret bedeutet, zeigt sich vor allem dann, wenn die Daten an einem Standort außerhalb des Unternehmens gelagert sind. Ein wesentliches Problem werfen dabei komplexe und lange Verbindungswege mit entsprechend zahlreichen Fehlerquellen auf.

Wer sichergehen möchte, dass alle Daten nach der Beendigung des Vertrages vollständig und entsprechend aufbereitet wieder ins eigene Unternehmen zurückgeführt werden, muss gleich zu Beginn der Partnerschaft die richtigen vertraglichen Weichen stellen. Da der Anbieter möglicherweise versuchen wird, die Abhängigkeitssituation des Anwenders zu seinen Gunsten auszunutzen, ist das Aushandeln dieser Rahmenvereinbarung eine äußerst knifflige aber unverzichtbare Aufgabe.

Knackpunkt Verantwortlichkeit

Cloud-basierte Dienste bieten für den Anwender zahlreiche Vorteile: Er ist vollständig vom Betrieb sowie der Wartung und Pflege der Software entlastet und muss lediglich die für den Zugang notwendige Infrastruktur bereithalten. Rechtlich entscheidend ist dabei die Frage, wo die Grenzen für die jeweiligen Verantwortlichkeiten liegen.

Dadurch erhalten die sogenannten "Leistungsübergabepunkte" ein besonderes Gewicht. An dieser Schnittstelle wird z.B. die Verfügbarkeit der Leistung gemessen. Sind die betreffenden Anwendungen weniger geschäftskritisch, könnte der Anwender auch hinnehmen, dass sein System still steht, falls die Datenübermittlung im Internet gestört ist. Ist eine sehr hohe Verfügbarkeit unverzichtbar, muss der Leistungsübergabepunkt zum Anwender hin verschoben werden.

Der Cloud-Anbieter wird das Risiko durch den Aufbau redundanter Systeme und Verbindungen zu minimieren versuchen, da diese Leistungen maßgeblich den Preis beeinflussen. Allerdings liegt eine Stärke der technischen Architektur von Cloud-Services aber gerade in der Nutzung verteilter Ressourcen, um jederzeit auf einen anderen Standort ausweichen zu können.

In einem Cloud-Vertrag sollten auch konkrete Pflichten des Anbieters in Bezug auf Notfallpläne (business continuity oder disaster recovery) enthalten sein. Hierbei muss der Anwender überprüfen, ob diese Pflichten dann auch eingehalten werden (Audit-Recht). Geht es um die wichtigsten Kriterien zur Messung von Leistungen, ist die Art der Services von entscheidender Bedeutung: Sie müssen objektiv messbar sein und für den Anwender die wichtigsten Parameter darstellen, um die Dienste in Anspruch zu nehmen. Dabei gilt: auf die wesentlichen Kriterien beschränken und harte Sanktionen dahinter setzen.