Wie lassen sich Cloud-Verträge so gestalten, dass später keine Unstimmigkeiten auftreten? Dazu müssen im Wesentlichen fünf Fragenkomplexe erörtert und geklärt werden:
1. Customizing von Standardverträgen für eigene Bedürfnisse
Grundsätzlich sieht Cloud Computing "out of the Box" keine Anpassung von Services an individuelle Unternehmensbedürfnisse vor. Andererseits ergibt die Nutzung eines vollständig standardisierten Service in der Praxis nicht immer Sinn. Die Folge: Häufig werden Cloud-Dienstleistungen an die Anforderungen der Auftraggeber angepasst. Beispielsweise lassen sich Services mit großem Funktionsumfang durch Setzen von Parametern auf das gewünschte Maß reduzieren. Oder nicht benötigte Module werden separiert.
Allerdings ist der Umfang einer Anpassung in der Praxis typischerweise gering. Vorab sollte geprüft werden, ob eine Anpassung im erforderlichen Maß überhaupt möglich ist und welche zusätzlichen Kosten hierdurch entstehen. Denn von den Kostenvorteilen des Cloud Computings profitiert eigentlich nur, wer keine gravierenden Änderungen vornimmt.
Neben der Kostenregelung für die Anpassung von Services ist bei der Vertragsgestaltung vor allem auf eine sorgfältige Leistungsbeschreibung zu achten. Nur damit lässt sich feststellen, ob der Vertrag erfüllt wurde beziehungsweise eine Nicht- oder Schlechtleistung vorliegt und welches Gewährleistungsrecht greift.
Schließlich muss der Vertrag folgende Punkte regeln: die Beschaffenheit der Hard- und Software, die Schnittstellen zwischen Cloud-Anbieter und -Nutzer sowie die Übergabe der Leistungen. So lässt sich sicherstellen, dass die Services auch in das Unternehmenssystem integriert werden können.
Die wichtigsten Fragen zum Customizing:
Können die Services angepasst und technisch in das System des Unternehmens integriert werden?
Wer trägt welche Kosten?
Sind die individualisierten Services im Vertrag detailliert beschrieben?
Ist vertraglich geregelt, welche Beschaffenheit die Software und Hardware des Nutzers aufweisen muss?
Wurden Schnittstellen und Übergabe der Services genau festgelegt?
2. Die Sicherheit der Unternehmensdaten
Unternehmen, die ihre Daten "aus der Hand geben" und in der Cloud speichern, wollen zumindest "Herr ihrer Daten" bleiben und permanent auf sie zugreifen können. Wie aber lässt sich die Sicherheit der Unternehmensdaten vertraglich gewährleisten?
Um sich gegen Datenverlust effektiv abzusichern, sollte der Cloud-Nutzer im Vertrag festlegen, welche Daten der Anbieter selbst wie und in welchen Abständen sichern soll sowie ob beziehungsweise wann Sicherungen gelöscht werden können. Werden für die Sicherung Online-Backups in der Cloud genutzt, muss die ständige Verfügbarkeit des Service "Datenspeicherung" gewährleistet sein.
Nutzt ein Unternehmen gleich mehrere Clouds, so bietet sich eine "Multi-Cloud-Lösung" an, sprich: die mehrfache Speicherung der Daten in verschiedenen Wolken. Die alternativen Cloud-Dienste sollten dabei von unterschiedlichen Anbietern zur Verfügung gestellt werden, und beim Ausfall einer Cloud muss es möglich sein, sofort auf einen alternativen Service zurückzugreifen. Steuerung und Überwachung der Clouds lassen sich über End-to-End-Monitoring oder Cloud-Service-Management umsetzen.
Besonders sensible Daten sollten die Unternehmen zusätzlich selbst sichern ("hybrider Lösungsansatz") - und zwar regelmäßig. So bleibt der Datenzugriff auch bei unterbrochener Internet-Verbindung erhalten. Ferner macht sich das Unternehmen damit unabhängiger vom Anbieter.
Dennoch können Daten verloren gehen. Deshalb muss der Vertrag ein Konzept für die Datenwiederherstellung enthalten. Es regelt, wie bei Datenverlusten zu verfahren ist. Bestimmt werden sollten die Dauer des maximalen Systemausfalls und der Zeitraum vom Schadenseintritt bis zur Einspielung der Backups in ein lauffähiges System.
Zudem muss sich das Unternehmen überlegen, ob und in welchem Umfang es Datenverluste hinnehmen kann. Hierzu wird der Zeitraum zwischen den Datensicherungen bestimmt. Das Datenaufkommen und die Transaktionen zwischen den Sicherungen stellen die maximale Datenverlustmenge dar.
Schließlich sind die Kosten der Datenwiederherstellung zuzuweisen und die Haftung für die Schäden zu regeln, die mittelbar durch den (vorübergehenden) Datenverlust entstehen. Bietet der Cloud-Anbieter Disaster Recovery as a Service an, sollte der Kunde genau prüfen, ob dieser Service ausreichenden Schutz schafft.
Die wichtigsten Fragen zur Datensicherung:
Ist der Anbieter vertraglich verpflichtet, regelmäßig Backups durchzuführen? Reicht das Backup aus? Können mehrere Backup-Verfahren kombiniert werden?
Muss der Anbieter umfassend Bericht erstatten?
Enthält der Vertrag ein Konzept zur Datenwiederherstellung? Bietet der Anbieter Disaster Recovery as a Service an? Gewährt dieser Service ausreichenden Schutz? Sind weitere individuelle Vereinbarungen notwendig?
Sind Datensicherung und -wiederherstellung im Zusammenhang mit der Verfügbarkeit in den SLAs (Service-Level-Agreements) geregelt?
3. Regeln für den Umgang mit personenbezogenen Daten
In der Cloud werden häufig auch personenbezogene Daten verarbeitet und gespeichert. Es handelt sich um eine Auftragsdatenverarbeitung, bei der der Anbieter die Daten des Nutzers in dessen rechtlicher Risiko- und Verantwortungssphäre verarbeitet und speichert.
Nach dem BDSG müssen die Parteien den Vertrag über die Auftragsdatenverarbeitung in schriftlicher Form schließen. Es sind Regelungen zur Berichtigung, Löschung und Sperrung von Daten sowie zum Einräumen von Kontrollrechten zugunsten des Kundenunternehmens zu fixieren.
Daneben muss geklärt werden, ob der Anbieter zur Erfüllung seiner vertraglichen Pflichten Dritte beauftragen darf. Da der Kunde auch in diesem Verhältnis verantwortlich bleibt, sollte eine Unterbeauftragung vertraglich ausgeschlossen oder von der Zustimmung des Unternehmens abhängig gemacht werden. Ferner muss der Kunde gegenüber dem Anbieter weisungsberechtigt sein.
Die wichtigsten Fragen zur Auftragsdatenverarbeitung:
Haben die Parteien einen schriftlichen Vertrag zur Auftragsdatenverarbeitung im Sinne des BDSG geschlossen?
Ist die Zulässigkeit von Unterbeauftragungen durch den Anbieter geregelt?
Wurde dem Kunden ein Weisungsrecht gegenüber dem Anbieter eingeräumt?
Kann das Unternehmen die Einhaltung der datenschutzrechtlichen Vorgaben beim Anbieter oder Subunternehmer auf geeignete Weise kontrollieren?
4. Vereinbarungen über die Geheimhaltung
Sensible Daten, die in der Cloud verarbeitet und gespeichert werden, müssen vor Kenntnisnahme durch Unbefugte geschützt werden. Geheimhaltungsabreden sind daher sinnvoll.
Bereits bei der Projektplanung im Vorfeld des Vertragabsschlusses können Daten an Unbefugte gelangen. Hier ist der gesetzliche Schutz oft unzureichend. Deshalb sollten die Parteien bereits für diese Phase eine Geheimhaltungsvereinbarung ("Non-Disclosure Agreement") schließen. Wird im Anschluss ein Vertrag für Cloud-Services geschlossen, sind die Abreden anzupassen und zu erweitern. Wer sich auf frühere Vereinbarungen aus der Projektplanungsphase bezieht, muss aufpassen: Häufig betreffen sie nur die Anbahnungsphase und nicht die Laufzeit. Zudem ist bei Vertragsschluss festzulegen, dass Absprachen über das Vertragsende hinaus gelten.
Ebenfalls sinnvoll ist es, diese Absprachen zusätzlich mit Vertragsstrafen abzusichern. Denn im Fall einer Preisgabe von Informationen kann der Geschädigte den verur-sachten Schaden kaum nachweisen. Bedient sich der Anbieter Dritter zur Erfüllung seiner Pflichten, sollte er verpflichtet werden, auch den Subunternehmern die Geheimhaltungspflichten aufzuerlegen.
Die wichtigsten Fragen zur Geheimhaltung:
Wurden für die Projektplanung Geheimhaltungsabreden getroffen?
Sind die Vereinbarungen bei Vertragsschluss erneuert und erweitert worden?
Gelten die Vereinbarungen über das Vertragsende hinaus?
Sind die Abreden mit Vertragsstrafen abgesichert?
Wurde dem Unternehmen ein Auditrecht eingeräumt?
Ist die Geheimhaltung bei Verpflichtung von Subunternehmern gewährleistet?
5. Die Bedeutung des Exit-Managements
Bei Vertragsende befinden sich die Unternehmensdaten auf dem System des Anbieters. Wie damit umzugehen ist, muss im Exit-Management festgelegt werden: Sollen die Daten zurückgegeben oder gar vernichtet werden? Zu regeln sind auch der Übermittlungsweg und das Dateiformat.
Für den Fall, dass das Unternehmen seine Daten nicht abholt, muss dem Anbieter das Recht zustehen, sie einseitig zu löschen. Er muss sämtliche Kundendaten, die auf seinen Systemen sind, vollständig (!) entfernen - nicht nur per Knopfdruck. Gut beraten ist, wessen Vertrag ein qualifiziertes Löschungsverfahren mit technischer Beschreibung der Vorgehensweise vorgibt. Damit wird der Anbieter verpflichtet, Unternehmensdaten zu überschreiben und zufällig erzeugte Daten aus seinem System endgültig zu entfernen.
Die wichtigsten Fragen zum Exit-Management:
Enthält der Vertrag überhaupt ein Exit-Management?
Ist die Datenrückgabe geregelt?
Wurde ein qualifiziertes Datenlöschungsverfahren festgelegt? (qua)