Cloud Computing, das "Rechnen in der Wolke" wird immer wichtiger. Die Gartner-Marktforschung hat die Cloud zur wichtigsten strategischen Technologie 2011 erklärt [1]. Es kann Lastspitzen in der Nutzung von IT-Systemen abfangen und sogar Anwendungen auf lokalen Rechnern ersetzen und gerade für mittelständische Anwender vorteilhaft sein [2]
Cloud Computing muss jedoch vertraglich klar geregelt sein, wenn seine Nutzung gesichert und dauerhaft von Nutzen sein soll. Nachfolgend sind die wichtigsten Regelungspunkte aufgelistet. Bei der Abfassung der Verträge empfiehlt sich besondere Sorgfalt und Berücksichtigung technischer wie rechtlicher Besonderheiten. Es gibt nämlich bisher kaum einschlägige Rechtsprechung Für jede Anwendung müssen deshalb individuell passgenaue Regelungen erarbeitet und vereinbart werden, um möglichst Regelungslücken zu vermeiden. Nur dann lässt sich der Erfolg des Cloud Computing-Projekts sichern. [3]
Welche Leistung soll geschuldet sein und wie lässt sie sich beschreiben, um eine Erfüllungskontrolle zu ermöglichen ? Wie ist der Zugriff auf Daten organisiert ? Ist abgesichert, dass nur berechtigte auf Daten zugreifen und nicht unbefugt verwendet werden dürfen ? Rechtliche Überprüfung ist hier dringend geboten, denn bei einer Mehrzahl von Leistungen können unterschiedliche gesetzliche Vertragstypen zur Anwendung kommen und in den Regelungsfolgen anzupassen sein. Ist etwa ein bestimmtes Ergebnis geschuldet, ist Werkvertragsrecht mit zwingender, verschuldensunabhängiger Mängelhaftung anwendbar. Schuldet der Anbieter nur Unterstützung, kann Dienstvertragsrecht anwendbar sein, bei dem der Anbieter nur bei Vertretenmüssen haftet.
Welcher Typ des Cloud Computing soll geschuldet sein, Application, Platform oder Infrastructure Cloud ? Je nach Cloud-Typ sind sehr unterschiedliche Leistungen erforderlich und überprüfbar zu vereinbaren.
Darf beim Kunde vorhandene Software temporär auf Rechnern des Cloud-Anbieters (und gar durch diesen) genutzt werden ? Oder bei Nutzung von in der Cloud vorhandener Software: Welche Nutzungsrechte muss der Kunde vom Anbieter erwerben ? Von wievielen Arbeitsplätzen darf etwa zeitgleich zugegriffen werden ? Und dürfen diese Nutzungsrechte auf andere Anwender weiterübertragen werden ?
Welche Gewährleistung sieht der Anbieter vor ? Sind Mängelbeseitigungen technisch möglich ? In welcher Zeit ?
Sind die Datenverbindungen ausfallsicher implementiert ?
Welche Datenmengen dürfen übermittelt, verarbeitet und abgerufen werden ? Welche Skalierungen sind möglich ? Sind angebotene Service Levels klar voneinander angegrenzt und ihre Einhaltung überprüfbar ?
Wie ist die technische Sicherheit der IT-Systeme in der Cloud gestaltet ? Bestehen insbesondere ausreichend Zugangs- und Zugriffsabsicherungen ? Bestehen Passwortrichtlinien, Anmeldeprotokollierungen, Datenzugriffsmodelle ? Können ausreichende Verschlüsselungsabsicherungen realisiert werden ? Ist eine 128-Bit-SSL-Verschlüsselung für jede Transaktion vorgesehen ? Liegen Verisign-Zertifikate vor ? Sind ständige Überwachung von Firewalls, Intrusion Detection und präventives Log-File-Monitoring implementiert und fehlgeschlagene Logins und Eindringversuche sowie sonstige sicherheitsrelevante Vorfälle dokumentiert ?
Sind für den Fall von Leistungsstörungen Eskalationsverfahren vertraglich abgesichert ?
Welche Mindestlaufzeit sieht der Vertrag vor ? Sind Mindestfristen möglich ? Wie und in welchem Format werden die Daten bei Vertragsende zurückübertragen ?
Kann ein Escrow des "Software as a Service"-Image vereinbart werden, um bei Anbieterinsolvenz abgesichert zu sein ?
Welchen Datenschutz sieht der Anbieter vor ? Erfüllt er die gesetzlichen Anforderungen an die Auftragsdatenverarbeitung ? Ist sichergestellt, dass der Cloud-Anbieter nicht Personendaten ohne Einwilligung der Betroffenen Dritten zugänglich macht ? ACHTUNG: Außerhalb von EU/EWR belegene Anbieter sind nach deutschem Datenschutzrecht nicht bloß Auftragnehmer, für die der Cloud-Anbieter einstehen muss, sondern (etwa als Betreiber in den USA) selbst verantwortliche Empfänger von Datenübermittlungen und Datenschutzrechte (auch) gegen diese geltend zu machen. Wenn der Cloud-Anbieter Dienstleister aus Drittstaaten in die Cloud einbezieht, auf die kein angemessenes Datenschutzrecht anwendbar ist, haftet er selbst und kann jede Verwendung von Personendaten unzulässig sein.
Ist ein Disaster-Recovery-System organisiert ? Haftet der Anbieter bei Ausfall seiner IT-Systeme ?
Zu raten ist, diese und weitere projektspezifische Fragen rechtzeitig vor Vertragsschluss zu klären und gezielt zu verhandeln. Nachträgliche Änderungen der Regelungen können, wenn sie mit Leistungsänderungen verbunden sind, schnell in die Kosten gehen. Wichtiger noch: Trifft die Geschäftsleitung des auftraggebenden Unternehmens keine ausreichende technischen und vertraglichen Vorkehrungen und Regelungen, kann dies zur persönlichen Haftung der Mitglieder der Geschäftsleitung aus unzureichendem Risikomanagement führen.
Nicht übersehen darf man, dass auch private Anwendungen "in der Cloud" laufen, so etwa die Google App Engine, die online die Apps verteilt und oft auch online verwaltet.[4]
Das BSI hat Mindestanforderungen an Cloud-Computing-Anbieter definiert [5].
[1] www.heise.de/tr/artikel/Die-Cloud-sprengt-alle Grenzen-1171597.html [ 2 ]Wirtschaftswoche 8/2011, S. 62 [3] Auflistung teilweise nach Sempert, Computerwoche 8/11, S. 8 (Mittelstand) [4] www.heise.de/tr/artikel/Immer-die-passende-Wolke-1192535.html [5] Entwurf v. 27.9.2010 www.bsi.bund.de/SharedDocs/Downloads/ DE/BSI/ Publikationen/Sonstige/ Cloud_Computing_Mindestsicherheits-anforderungen.pdf?_blob=publicationFile#download=1
RA Dr. Koch, München, Februar 2011
koch@anwaltskanzlei-koch.de
