Cloud Computing und Verträge

Klarheit für nebulöse Cloud-Leistungen

15.07.2014 von Jan Geert Meents
Verträge über Cloud-Services sind oft komplex. Rechtlich brisant werden sie für ein Unternehmen dann, wenn Vereinbarungen und geschäftliche Praxis auseinanderdriften. Auf welche vertraglichen Aspekte ist besonders zu achten?
Unternehmen, die ihre Daten "aus der Hand geben" und in der Cloud speichern, wollen zumindest "Herr ihrer Daten" bleiben und permanent auf sie zugreifen können. Wie aber lässt sich die Sicherheit der Unternehmensdaten vertraglich gewährleisten?
Foto: Iakov Kalinin - Fotolia.com

Wie lassen sich Cloud-Verträge so gestalten, dass später keine Unstimmigkeiten auftreten? Dazu müssen im Wesentlichen fünf Fragenkomplexe erörtert und geklärt werden:

1. Customizing von Standardverträgen für eigene Bedürfnisse

Grundsätzlich sieht Cloud Computing "out of the Box" keine Anpassung von Services an individuelle Unternehmensbedürfnisse vor. Andererseits ergibt die Nutzung eines vollständig standardisierten Service in der Praxis nicht immer Sinn. Die Folge: Häufig werden Cloud-Dienstleistungen an die Anforderungen der Auftraggeber angepasst. Beispielsweise lassen sich Services mit großem Funktionsumfang durch Setzen von Parametern auf das gewünschte Maß reduzieren. Oder nicht benötigte Module werden separiert.

Allerdings ist der Umfang einer Anpassung in der Praxis typischerweise gering. Vorab sollte geprüft werden, ob eine Anpassung im erforderlichen Maß überhaupt möglich ist und welche zusätzlichen Kosten hierdurch entstehen. Denn von den Kostenvorteilen des Cloud Computings profitiert eigentlich nur, wer keine gravierenden Änderungen vornimmt.

Neben der Kostenregelung für die Anpassung von Services ist bei der Vertragsgestaltung vor allem auf eine sorgfältige Leistungsbeschreibung zu achten. Nur damit lässt sich feststellen, ob der Vertrag erfüllt wurde beziehungsweise eine Nicht- oder Schlechtleistung vorliegt und welches Gewährleistungsrecht greift.

Schließlich muss der Vertrag folgende Punkte regeln: die Beschaffenheit der Hard- und Software, die Schnittstellen zwischen Cloud-Anbieter und -Nutzer sowie die Übergabe der Leistungen. So lässt sich sicherstellen, dass die Services auch in das Unternehmenssystem integriert werden können.

Die wichtigsten Fragen zum Customizing:

Checkliste Cloud-SLAs
Checkliste Cloud-SLAs
Um zu beurteilen, ob ein Cloud-Provider kundenfreundliche SLAs anbietet, lassen sich folgende Kriterien anlegen und überprüfen:
Punkt 1:
Kurze und klare Gestaltung von Inhalt, Struktur und Formulierung.
Punkt 2:
Version in der Landessprache des Kunden.
Punkt 3:
Klare Definitionen von Fach- und Produktbegriffen zu Beginn.
Punkt 4:
Detaillierte Ankündigung und Planung der Wartungsfenster (Beispiel: "Viermal im Jahr an vorangemeldeten Wochenenden").
Punkt 5:
Leistungsbeschreibung in Tabellenform (Übersicht!).
Punkt 6:
Klar definierte Bereitstellungszeiträume für neue Ressourcen (Beispiele: Bereitstellung virtueller Server bei Managed Cloud in maximal vier Stunden; Bereitstellung kompletter Umgebungen oder dedizierter Server in fünf bis zehn Tagen).
Punkt 7:
Bereitstellung von klar abgegrenzten Konfigurationsoptionen für Ressourcen (Beispiel: Konfiguration von Servern nach Gigahertz, Gigabyte).
Punkt 8:
Einfach unterscheidbare Service-Levels (Beispiel: Silber, Gold, Platin); Abgrenzungskriterien können sein: Verfügbarkeit, Bereitstellungszeiten, fest reservierte Kapazitäten ja/nein, Support-Level (Telefon, E-Mail).
Punkt 9:
Bei IaaS-Angeboten unbedingt auf Netzwerk-Konfigurationsmöglichkeiten und Bandbreite achten (Volumen? Im Preis inkludiert ja/nein?).
Punkt 10:
Kundenfreundlicher Reporting- beziehungsweise Gutschriftenprozess (am besten aktive Gutschriften auf Kundenkonto; kein bürokratischer, schriftlicher Prozess; möglichst einfache Beweis- und Nachweispflicht für Kunden).
Punkt 11:
Reaktionszeiten und Serviceverfügbarkeit klar beschreiben (zentrale Hotline; Reaktionszeiten auf Incidents in Stunden).
Punkt 12:
Nennung der Rechenzentrumsstandorte mit Adresse und sonstigen Informationen wie Zertifizierungen und Tier.
Punkt 13:
Definition der Verfügbarkeiten: Unterschiede hinsichtlich Verfügbarkeit Server/VM und Verfügbarkeit Admin-Konsole definieren.
Punkt 14:
Erläuterung zu Möglichkeiten der SLA-Überwachung beziehungsweise des Incident-Reportings für den Anwender (Beispiel: Link auf Monitoring-Dashboard).

2. Die Sicherheit der Unternehmensdaten

Unternehmen, die ihre Daten "aus der Hand geben" und in der Cloud speichern, wollen zumindest "Herr ihrer Daten" bleiben und permanent auf sie zugreifen können. Wie aber lässt sich die Sicherheit der Unternehmensdaten vertraglich gewährleisten?

Um sich gegen Datenverlust effektiv abzusichern, sollte der Cloud-Nutzer im Vertrag festlegen, welche Daten der Anbieter selbst wie und in welchen Abständen sichern soll sowie ob beziehungsweise wann Sicherungen gelöscht werden können. Werden für die Sicherung Online-Backups in der Cloud genutzt, muss die ständige Verfügbarkeit des Service "Datenspeicherung" gewährleistet sein.

Nutzt ein Unternehmen gleich mehrere Clouds, so bietet sich eine "Multi-Cloud-Lösung" an, sprich: die mehrfache Speicherung der Daten in verschiedenen Wolken. Die alternativen Cloud-Dienste sollten dabei von unterschiedlichen Anbietern zur Verfügung gestellt werden, und beim Ausfall einer Cloud muss es möglich sein, sofort auf einen alternativen Service zurückzugreifen. Steuerung und Überwachung der Clouds lassen sich über End-to-End-Monitoring oder Cloud-Service-Management umsetzen.

Besonders sensible Daten sollten die Unternehmen zusätzlich selbst sichern ("hybrider Lösungsansatz") - und zwar regelmäßig. So bleibt der Datenzugriff auch bei unterbrochener Internet-Verbindung erhalten. Ferner macht sich das Unternehmen damit unabhängiger vom Anbieter.

Dennoch können Daten verloren gehen. Deshalb muss der Vertrag ein Konzept für die Datenwiederherstellung enthalten. Es regelt, wie bei Datenverlusten zu verfahren ist. Bestimmt werden sollten die Dauer des maximalen Systemausfalls und der Zeitraum vom Schadenseintritt bis zur Einspielung der Backups in ein lauffähiges System.

Zudem muss sich das Unternehmen überlegen, ob und in welchem Umfang es Datenverluste hinnehmen kann. Hierzu wird der Zeitraum zwischen den Datensicherungen bestimmt. Das Datenaufkommen und die Transaktionen zwischen den Sicherungen stellen die maximale Datenverlustmenge dar.

Schließlich sind die Kosten der Datenwiederherstellung zuzuweisen und die Haftung für die Schäden zu regeln, die mittelbar durch den (vorübergehenden) Datenverlust entstehen. Bietet der Cloud-Anbieter Disaster Recovery as a Service an, sollte der Kunde genau prüfen, ob dieser Service ausreichenden Schutz schafft.

Die wichtigsten Fragen zur Datensicherung:

3. Regeln für den Umgang mit personenbezogenen Daten

In der Cloud werden häufig auch personenbezogene Daten verarbeitet und gespeichert. Es handelt sich um eine Auftragsdatenverarbeitung, bei der der Anbieter die Daten des Nutzers in dessen rechtlicher Risiko- und Verantwortungssphäre verarbeitet und speichert.

Nach dem BDSG müssen die Parteien den Vertrag über die Auftragsdatenverarbeitung in schriftlicher Form schließen. Es sind Regelungen zur Berichtigung, Löschung und Sperrung von Daten sowie zum Einräumen von Kontrollrechten zugunsten des Kundenunternehmens zu fixieren.

Daneben muss geklärt werden, ob der Anbieter zur Erfüllung seiner vertraglichen Pflichten Dritte beauftragen darf. Da der Kunde auch in diesem Verhältnis verantwortlich bleibt, sollte eine Unterbeauftragung vertraglich ausgeschlossen oder von der Zustimmung des Unternehmens abhängig gemacht werden. Ferner muss der Kunde gegenüber dem Anbieter weisungsberechtigt sein.

Die wichtigsten Fragen zur Auftragsdatenverarbeitung:

4. Vereinbarungen über die Geheimhaltung

Sensible Daten, die in der Cloud verarbeitet und gespeichert werden, müssen vor Kenntnisnahme durch Unbefugte geschützt werden. Geheimhaltungsabreden sind daher sinnvoll.

Bereits bei der Projektplanung im Vorfeld des Vertragabsschlusses können Daten an Unbefugte gelangen. Hier ist der gesetzliche Schutz oft unzureichend. Deshalb sollten die Parteien bereits für diese Phase eine Geheimhaltungsvereinbarung ("Non-Disclosure Agreement") schließen. Wird im Anschluss ein Vertrag für Cloud-Services geschlossen, sind die Abreden anzupassen und zu erweitern. Wer sich auf frühere Vereinbarungen aus der Projektplanungsphase bezieht, muss aufpassen: Häufig betreffen sie nur die Anbahnungsphase und nicht die Laufzeit. Zudem ist bei Vertragsschluss festzulegen, dass Absprachen über das Vertragsende hinaus gelten.

Ebenfalls sinnvoll ist es, diese Absprachen zusätzlich mit Vertragsstrafen abzusichern. Denn im Fall einer Preisgabe von Informationen kann der Geschädigte den verur-sachten Schaden kaum nachweisen. Bedient sich der Anbieter Dritter zur Erfüllung seiner Pflichten, sollte er verpflichtet werden, auch den Subunternehmern die Geheimhaltungspflichten aufzuerlegen.

Die wichtigsten Fragen zur Geheimhaltung:

5. Die Bedeutung des Exit-Managements

Bei Vertragsende befinden sich die Unternehmensdaten auf dem System des Anbieters. Wie damit umzugehen ist, muss im Exit-Management festgelegt werden: Sollen die Daten zurückgegeben oder gar vernichtet werden? Zu regeln sind auch der Übermittlungsweg und das Dateiformat.

Für den Fall, dass das Unternehmen seine Daten nicht abholt, muss dem Anbieter das Recht zustehen, sie einseitig zu löschen. Er muss sämtliche Kundendaten, die auf seinen Systemen sind, vollständig (!) entfernen - nicht nur per Knopfdruck. Gut beraten ist, wessen Vertrag ein qualifiziertes Löschungsverfahren mit technischer Beschreibung der Vorgehensweise vorgibt. Damit wird der Anbieter verpflichtet, Unternehmensdaten zu überschreiben und zufällig erzeugte Daten aus seinem System endgültig zu entfernen.

Die wichtigsten Fragen zum Exit-Management: