Service-Level-Vereinbarungen im Cloud-Vertrag
Aus vertragstypologischer Sicht finden sich im Cloud Computing häufig mietrechtliche Elemente wieder. Aber Vorsicht: Der Cloud-Provider unterliegt eben keiner typischen mietrechtlichen Garantieverpflichtung, aus der der Kunde einen zu 100 Prozent unterbrechungsfreien und stets verfügbaren Service beanspruchen könnte. So lohnt es sich also auch hier wie im ASP und Outsourcing, Service-Level-Vereinbarungen zur Verfügbarkeit und zu Wartungsfenstern in den Vertrag aufzunehmen.
Darüber hinaus sollten auch die eigentliche Servicebeschreibung und die damit verbundene Preisgestaltung so vollständig und präzise wie möglich vereinbart sein. In den Vertrag gehören klare Vereinbarungen zu Backups und Datensicherung, etwaigen Mindestabnahmen und Grundgebühren sowie zu festen Vertragslaufzeiten und Verlängerungsoptionen. Für das Auftragsende sollte die Verpflichtung des Providers zur Datenherausgabe klar geregelt sein. Dabei ist es sinnvoll, auch das Datenformat vertraglich zu bestimmen. Banken, Finanzdienstleister und Versicherungen müssen bei der Vertragsgestaltung auf die Einhaltung und Umsetzung der aufsichtsrechtlichen Vorgaben achten, wie sie sich beispielsweise aus den Zentralvorschriften in Paragraf 25a des Kreditwesengesetzes und Paragraf 64 des Versicherungsaufsichtsgesetzes bindend ergeben. (qua)
Das Wichtigste in Kürze - sechs Ratschläge
Tipps zum Vertragsabschluss
Auch im Cloud Computing gilt: Achten Sie auf eine differenzierte und vollständige Leistungsbeschreibung, die einen für Sie bedarfsgerechten Bezug der Leistungen aus der Cloud sicherstellt. Treffen Sie also klare Vereinbarungen über Zugangszeiten und Datenvolumina, und zahlen Sie nur für tatsächliche genutzte Kapazitäten. So vermeiden Sie künftige Diskussionen um Regelungslücken.
Vereinbaren Sie die für die Verfügbarkeitsregelungen üblichen Service-Level-Vereinbarungen. Regeln Sie stattdessen, in welchen Fällen Unterbrechungen, zum Beispiel bei Wartungen, zulässig sind.
Lassen Sie sich einen ausreichenden Datenschutz vom Provider und gegebenenfalls vom nachgelagerten Subunternehmer zusichern. Im Zweifelsfall sollten Sicherheitszertifikate vorgelegt und als vertragliche Bestandteile aufgenommen werden.
Vorsicht bei vorgesehenen Datentransfers über die EU-Landesgrenzen hinweg. Der Vertrag muss deutlich angeben, ob dort mit dem EU-Datenschutzniveau vergleichbare gesetzliche Standards gelten. Zudem sollte er alle Phasen der Datenverarbeitung beschreiben.
Wird der Service über Ländergrenzen hinweg erbracht, dann nehmen Sie in den Vertrag auf, welche Rechtsordnung gelten und welcher Gerichtsstand vereinbart werden soll.
Stützen die Cloud-Services kritische Unternehmensbereiche, gehört in den Vertrag zwingend eine Vereinbarung für Eskalationen und Notfälle.