Tipps fürs Cloud Computing

Wasserdichte Verträge und SLAs aushandeln

12.03.2013 von Silke Kilz
Kommt es in der Cloud zu Datenverlust oder -missbrauch, haftet nicht der Provider, sondern der Auftraggeber. Worauf Systemhauspartner ihre Kunden im Beratungsgespräch hinweisen sollten, erfahren Sie hier.
Firmen hierzulande legen auf Datensicherheit höchsten Wert. Beratungsstarke Partner können damit punkten.
Foto: lassedesignen - Fotolia.com

Kommt es in der Cloud zu Datenverlust oder -missbrauch, haftet nicht der Provider, sondern der Auftraggeber. Systemhauspartner, die ihre Kunden im Vorfeld bei der Festlegung der Service Level Agreements (SLAs) umfassend beraten, können sich an dieser Stelle gegenüber dem Wettbewerb positionieren. Worauf sie ihre Kunden bei der Auslagerung von Diensten und Daten in die Cloud hinweisen sollten, erfahren sie in diesem Beitrag.
von Silke Kilz
90 Prozent der IT-Experten würden ihrem eigenen Unternehmen dazu raten, sensible Daten lieber im eigenen Netz statt in der Cloud zu speichern - mit diesem Ergebnis überraschte kürzlich eine aktuelle Studie des Security-Spezialisten Lieberman Software. Eine Untersuchung von Capgemini zeichnet ein ähnliches Bild: Danach äußern 72 Prozent der deutschen Unternehmen Bedenken gegen die Cloud, insbesondere wegen möglicher Sicherheitslücken. Damit liegen die Firmen hierzulande weltweit an der Spitze der Bedenkenträger.

"Im Gegensatz zu anderen Ländern haben wir in Deutschland das Problem, dass die Begriffe Datenschutz und Datensicherheit oft in einen Topf geworfen oder sogar synonym verwendet werden", erklärt Jens Eckhardt, Fachanwalt für Informationstechnologierecht bei Juconomy Rechtsanwälte und Mitglied des Vorstands des EuroCloud Deutschland_eco e.V.
Im angelsächsischen Raum beispielsweise seien die entsprechenden Begriffe "privacy protection" und "data integrity" klar voneinander getrennt. "Hierzulande führt die unklare Begriffsdefinition zu einer diffusen Angst vor dem Auslagern von IT-Ressourcen und vor Kontrollverlust." Unternehmen sollten bei ihren Überlegungen daher klar zwischen der technischen Sicherheit der Daten und ihrem juristischen Schutz unterscheiden.

Wichtige Fragen zur Gestaltung einer globalen Governance
Die beschriebenen Ansätze in der Zusammenarbeit mit dem Servicepartner genügen in den meisten Fällen, um nationale Auslagerungsprojekte zu steuern. In länderübergreifenden Vorhaben kommen noch zusätzliche organisatorische Aspekte hinzu, die im Wesentlichen durch geografische, kulturelle und unternehmensstrategische Faktoren bestimmt werden. Wichtige Fragen zur Gestaltung einer globalen Governance lauten daher:
Frage 1:
Sollen die jeweiligen Landesgesellschaften Vertragsparteien sein?
Frage 2:
Soll es einen weltweit einheitlichen Leistungskatalog geben, oder wird zwischen lokalen Optionen unterschieden?
Frage 3:
Welche Rolle spielen Länder und Regionen bei der Transition und den nachfolgenden Transformationsprojekten?
Frage 4:
In welchen Fällen kann die Rechnungsstellung zentral erfolgen?
Frage 5:
Welche Steuerarten sind besonders zu berücksichtigen?
Frage 6:
Reichen zentral eingereichte Service-Reports aus, oder muss ein lokales Reporting implementiert werden?

Professionelle Rechenzentren sind viel sicherer

"Was die IT-Sicherheit angeht, können sich Unternehmen durch das Auslagern von Infrastruktur, Anwendungen und Daten eigentlich nur verbessern", ist Khaled Chaar, Managing Director Business Strategy und Geschäftsführer des IT-Dienstleisters Pironet NDH, überzeugt.
"Vor allem mittelständische Unternehmen erreichen in ihren hauseigenen Rechenzentren nur äußerst selten das Sicherheitsniveau eines professionellen Anbieters. Denn dafür reicht das Budget in der Regel gar nicht aus." Die Sorge, dass Daten bei einem externen Provider technisch nicht ausreichend gesichert sind, sei, so der Spezialist, in den meisten Fällen unbegründet.

Michael Pauly, Senior Cloud Consultant bei T-Systems, sieht das ähnlich: "Analysen zeigen, dass die Sicherheit von Cloud Services oftmals gleichwertig, wenn nicht sogar höher ist als die der unternehmenseigenen IT."
Das bestätigt auch der "Global State of Information Security Survey 2012" von Pricewaterhouse Coopers (PwC): 54 Prozent der befragten Unternehmen gaben an, dass sich durch die Verwendung von Cloud Services die Informationssicherheit verbessert habe. Trotz allem, so rät Pauly, sollten Unternehmen genau prüfen, mit welchen Sicherheitskonzepten ein Cloud-Anbieter die ihm anvertrauten IT-Ressourcen vor unerlaubtem Zugriff durch Dritte schützt.

Zertifikate helfen bei der Provider-Auswahl

Hilfreich sind hier Zertifikate, die für verschiedene Kategorien vergeben werden. Eines der gängigsten Siegel ist die ISO-27001-Zertifizierung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Cloud-Anbieter, die dieses Zertifikat tragen, verfügen über einen nachweislich hohen Grad an IT-Sicherheit gegenüber ihren Kunden.
Allerdings wird das Siegel oft auch nur für Teilbereiche vergeben. Unternehmen sollten sich daher vorab informieren, wofür ein Provider genau zertifiziert ist. Einen Leitfaden mit den Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter hat das BSI auf seiner Internet-Seite veröffentlicht (www.bsi.de). Ein weiteres Zertifikat, das neben der IT-Sicherheit auch Aspekte wie Vertragsgestaltung, Infrastruktur und Prozesse bewertet, ist das Eurocloud Star Audit SaaS. Unternehmen können dabei bis zu fünf Sterne erreichen. Provider, die über diese Höchstwertung verfügen, gelten unter Experten als vertrauenswürdig.

Checkliste Cloud-SLAs
Um zu beurteilen, ob ein Cloud-Provider kundenfreundliche SLAs anbietet, lassen sich folgende Kriterien anlegen und überprüfen:
Punkt 1:
Kurze und klare Gestaltung von Inhalt, Struktur und Formulierung.
Punkt 2:
Version in der Landessprache des Kunden.
Punkt 3:
Klare Definitionen von Fach- und Produktbegriffen zu Beginn.
Punkt 4:
Detaillierte Ankündigung und Planung der Wartungsfenster (Beispiel: "Viermal im Jahr an vorangemeldeten Wochenenden").
Punkt 5:
Leistungsbeschreibung in Tabellenform (Übersicht!).
Punkt 6:
Klar definierte Bereitstellungszeiträume für neue Ressourcen (Beispiele: Bereitstellung virtueller Server bei Managed Cloud in maximal vier Stunden; Bereitstellung kompletter Umgebungen oder dedizierter Server in fünf bis zehn Tagen).
Punkt 7:
Bereitstellung von klar abgegrenzten Konfigurationsoptionen für Ressourcen (Beispiel: Konfiguration von Servern nach Gigahertz, Gigabyte).
Punkt 8:
Einfach unterscheidbare Service-Levels (Beispiel: Silber, Gold, Platin); Abgrenzungskriterien können sein: Verfügbarkeit, Bereitstellungszeiten, fest reservierte Kapazitäten ja/nein, Support-Level (Telefon, E-Mail).
Punkt 9:
Bei IaaS-Angeboten unbedingt auf Netzwerk-Konfigurationsmöglichkeiten und Bandbreite achten (Volumen? Im Preis inkludiert ja/nein?).
Punkt 10:
Kundenfreundlicher Reporting- beziehungsweise Gutschriftenprozess (am besten aktive Gutschriften auf Kundenkonto; kein bürokratischer, schriftlicher Prozess; möglichst einfache Beweis- und Nachweispflicht für Kunden).
Punkt 11:
Reaktionszeiten und Serviceverfügbarkeit klar beschreiben (zentrale Hotline; Reaktionszeiten auf Incidents in Stunden).
Punkt 12:
Nennung der Rechenzentrumsstandorte mit Adresse und sonstigen Informationen wie Zertifizierungen und Tier.
Punkt 13:
Definition der Verfügbarkeiten: Unterschiede hinsichtlich Verfügbarkeit Server/VM und Verfügbarkeit Admin-Konsole definieren.
Punkt 14:
Erläuterung zu Möglichkeiten der SLA-Überwachung beziehungsweise des Incident-Reportings für den Anwender (Beispiel: Link auf Monitoring-Dashboard).

Daten sind meistens personenbezogen

Mindestens ebenso komplex wie das Thema IT-Sicherheit sind die rechtlichen Aspekte des Cloud Computing. Im Fokus steht dabei derzeit das Thema Datenschutz. Der Datenschutz greift immer dann, wenn es um Informationen geht, die in irgendeiner Form einen Personenbezug haben oder bei denen ein Dritter einen solchen Bezug herstellen könnte.
"Man muss wissen, dass der Begriff 'Personenbezug' im Sinne des Bundedatenschutzgesetzes (BDSG) sehr weit gefasst ist", erklärt Eckhardt. In der Praxis, so der Rechtsanwalt, gebe es also nur sehr wenige Cloud-Anwendungen, wo Daten nicht zumindest teilweise personenbezogen seien.

Personenbezogene Daten sind durch die EU-Grundrechtecharta und das deutsche Recht auf informelle Selbstbestimmung besonders geschützt. Viele Unternehmen fragen sich daher, ob diese Informationen überhaupt in die Cloud ausgelagert werden dürfen. "Grundsätzlich ja", erläutert Eckhardt, allerdings gelte es hier, einige wichtige Regeln zu beachten.

Datentransfer in Drittländer ist kritisch

Cloud-Computing-Verträge sind juristisch gesehen nichts Neues. Das Auslagern von Daten in die Wolke ist eine Form des Outsourcings, das wiederum zu den Verhältnissen der Auftragsdatenverarbeitung zählt. Solche Auftragsdatenverarbeitungs-Vertragsverhältnisse erlauben grundsätzlich die Weitergabe persönlicher Daten an einen externen Anbieter.
Voraussetzung dafür ist allerdings, dass sich der Sitz des Providers in einem Land innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums befindet. "Sitzt das Unternehmen hingegen in einem Drittland wie den USA, ist die Rechtslage komplizierter. Hier, so Eckhardt, müsse genau geprüft werden, ob der Datentransfer überhaupt zulässig sei und unter welchen Bedingungen.

Viel diskutiert wird in diesem Zusammenhang der "Patriot Act", den die USA 2006 zur Terrorbekämpfung verabschiedet haben. Das Gesetz erlaubt es US-amerikanischen Behörden, im Verdachtsfall auf Firmendaten zuzugreifen. Entscheidend ist hier, wo sich der Hauptsitz des Cloud-Anbieters befindet.
Auch wenn der US-Cloud-Provider Server in Europa betreibt, haben US-Behörden im Bedarfsfall trotzdem Zugriff. Wer auf Nummer sicher gehen und komplexe vertragliche Regelungen hinsichtlich der Auftragsdatenverarbeitung umgehen möchte, ist daher gut beraten, sensible Firmendaten ausschließlich an deutsche oder europäische Anbieter auszulagern. "Allerdings sprechen wir hier immer von personenbezogenen Informationen", erklärt Chaar. Geht es um unkritische Daten, wie beispielsweise nicht geschützte Fotos, spielt es keine große Rolle, wo sich die Server des Providers befinden."

Service-Level-Agreements prüfen

Unabhängig davon, ob ein Unternehmen in Europa oder in Amerika sitzt, sollte die Grundvoraussetzung für das Cloud Computing ein ausgefeilter Vertrag mit dem Anbieter sein. Das trifft auch dann zu, wenn ein Unternehmen eine Cloud-Anwendung zunächst nur testen möchte. "Wer bei einem solchen Probelauf komplizierte Vertragsverhandlungen umgehen will, verzichtet bei Testzugängen besser auf Realdaten", empfiehlt Eckhardt.

Zunächst sollte in einem Cloud-Computing-Vertrag genau festgelegt sein, welche Leistungen ein Anbieter in welcher Qualität erbringen muss. Zu solchen Service-Level-Agreements (SLA) gehören in erster Linie die Verfügbarkeit der Dienste, die zulässige Ausfallrate, die Reaktionszeiten bei einer Störung sowie die Wiederanlaufzeit der Systeme nach einem Ausfall.
"Unternehmen sollten sich hier immer klarmachen, was bestimmte Angaben in der Praxis bedeuten können", warnt Pauly. "Eine Gesamtverfügbarkeit von 99 Prozent pro Jahr bedeutet, dass ein Service im schlimmsten Fall vier Tage im Jahr ausfällt." Dabei mache es, so der T-Systems-Mitarbeiter, einen großen Unterschied, ob ein Dienst vier Tage am Stück ausfalle oder stundenweise über das Jahr verteilt. Besser sei es daher, eine maximale Ausfallzeit pro Monat zu definieren.
Auch Wartungsfenster sind in einem Cloud-Vertrag genau festzulegen. Sie sollten möglichst außerhalb der Geschäftszeiten liegen und einen begrenzten Umfang haben.

Das BSI empfiehlt, auch sicherheitsrelevante Aspekte und Datenschutzvereinbarungen in den SLAs festzuschreiben. Geklärt werden sollte unter anderem: Ist das Rechenzentrum ausreichend gegen Zutritt durch Unbefugte sowie gegen Feuer oder Hochwasser geschützt? Welche Verschlüsselungsverfahren setzt der Provider ein? Existiert ein Ausweichrechenzentrum, in dem sämtliche Daten gespiegelt werden? Wie sind die Server gegen Viren und Hacker-Angriffe geschützt?
Ist die Kommunikation zwischen Provider und Kunden sowie zwischen den Standorten des Anbieters ausnahmslos verschlüsselt? Da Cloud-Computing-Verträge in der Regel auf mehrere Jahre angelegt sind, sollte außerdem sichergestellt sein, dass der Provider sein Sicherheitskonzept entsprechend der technischen Entwicklung kontinuierlich anpasst.

Elementar ist laut Chaar in diesem Zusammenhang auch die konkrete Festlegung von Pönalen für den Fall, dass ein Provider die SLAs nicht einhält. Dieser Aspekt werde manchmal vernachlässigt, was SLAs dann nahezu wertlos mache. Umgekehrt sollten Unternehmen auch auf Haftungsausschlüsse oder -begrenzungen seitens des Anbieters achten.

Vertrauen ist gut - Kontrollrecht ist besser

Klären müssen Unternehmen auch, ob und in welcher Form der Provider Subunternehmen mit bestimmten Leistungen beauftragen darf. Hat der Cloud-Computing-Anbieter beispielsweise überhaupt ein eigenes Rechenzentrum? Oder mietet er sich Kapazitäten bei einem externen Dienstleister? "Grundsätzlich darf ein Provider nur solche Unternehmen beauftragen, die zumindest dasselbe Schutzniveau sicherstellen wie der Auftragnehmer selbst", erklärt Eckhardt. "Ein Unternehmen muss sich bei einem solchen Konstrukt jedoch darüber im Klaren sein, dass es für die Subunternehmer im Ernstfall genauso haftet wie für den Hauptauftragnehmer."

Um nachvollziehen zu können, ob ein Anbieter alle Vereinbarungen einhält, muss sich das beauftragende Unternehmen vertraglich ein Kontrollrecht sichern. Im Idealfall berechtigt es den Auftraggeber, die Datenverarbeitung einschließlich der Schutzmaßnahmen vor Ort beim Provider und auch bei dessen Subunternehmern kontrollieren zu können. Es sei daher nicht unerheblich, wo sich das Rechenzentrum des Cloud-Anbieters befinde, gibt Rechtsexperte Eckhardt zu bedenken. Ein Kontrollrecht nütze wenig, wenn es die Mitarbeiter aufgrund zu hoher Reisekosten nicht wahrnehmen könnten.

Cloud-Security-Tools
Um die Sicherheit in Cloud-Umgebungen zu kontrollieren und zu überwachen, gibt es etliche Werkzeuge zum Nulltarif, so dass Anwender nicht unbedingt zu kostspieligen Suiten greifen müssen.
Date Leak Prevention: MyDLP und OpenDLP
Um herauszufinden, wo unternehmenskritische Daten lagern und auf welchen Wegen sie im Corporate Network transportiert werden, bieten sich Programme wie "MyDLP" (www.mydlp.com) und "OpenDLP" an. Beides sind Open-Source-Programme für Data Loss Prevention (DLP). Beide Tools verhindern, dass sensible Informationen per E-Mail, als Kopien auf USB-Sticks oder in Form von Ausdrucken das Haus verlassen.
Date Leak Prevention: MyDLP und OpenDLP
Zudem helfen die Programme, den Speicherort sensibler Daten ausfindig zu machen und eine Konsolidierung vorzunehmen. Das etwas komfortabler zu benutzende Programm ist MyDLP. Es führt den Anwender Schritt für Schritt durch den Installations- und Konfigurationsvorgang. Dagegen merkt man OpenDLP seine Vergangenheit in der "Kommandozeilen-Ecke" an.
GRC-Stack der Cloud Security Alliance
Für Checklisten, die unter anderem bei der Auswahl des richtigen Cloud-Service-Providers und der Implementierung von Sicherheitsvorkehrungen in Cloud-Umgebungen helfen, hat die Cloud Security Alliance (CSA) den "GRC Stack" erarbeitet. Die Unterlagen sind ausschließlich in Englisch verfügbar und zudem stark auf Compliance-Vorgaben ausgelegt, die in den USA gelten. Dennoch können sie als Basis für Sicherheits-Checks im Rahmen von Cloud-Computing-Projekten herangezogen werden.
GRC-Stack der Cloud Security Alliance
Ebenfalls von der CSA stammt die "Cloud Controls Matrix" (CCM). Anhand dieser Checkliste können Interessenten die Sicherheitsvorkehrungen eines Cloud-Service-Providers unter die Lupe nehmen. Die Grundlage bilden Sicherheits- und Compliance-Standards wie ISO 27001/27002, ISACA, COBIT, PCI, NIST, Jericho Forum und NERC CIP. Die aktuelle Version 1.3 der CCM vom September 2012 steht auf der Website der Organisation kos-tenlos zum Herunterladen bereit.
Zwei-Faktor-Authentifizierung mit WiKID
Wie bereits angesprochen, spielt die Authentifizierung von Nutzern im Rahmen von Cloud Computing eine zentrale Rolle, auch bei Cloud-Migrationsprojekten. Unternehmen, die noch keine Erfahrung mit einer Zwei-Faktor-Authentifizierung gesammelt haben, können dies mit dem Open-Source-Produkt "WiKID" nachholen. Die Software lässt sich unter anderem einsetzen, um Intranets abzuschotten, deren Nutzer Zugang zu den Ressourcen eines externen Cloud-Computing-Service-Providers haben.
Microsoft Cloud Security Readiness Tool
Kostenlos verfügbar ist auch das "Cloud Security Readiness Tool" von Microsoft. Es soll vor allem kleine und mittelständische Betriebe ansprechen. Der Nutzer muss Fragen beantworten, beispielsweise ob Regeln für den Zugriff auf Daten bestehen, welche Sicherheits-Policies gelten und ob grundlegende Sicherungen wie etwa ein Malware-Schutz und Firewalls oder eine Zutrittskontrolle zum Rechenzentrum vorhanden sind. Die Resultate fasst das Tool inklusive Bewertung und Empfehlungen in einem etwa 60-seitigen Bericht zusammen.
Centrify Cloud Tools
Die amerikanische Firma Centrify hat in Form der "Centrify Cloud Tools" eine Sammlung von Programmen und Scripts zusammengestellt. Mit ihnen können Systemverwalter eine Authentifizierung und Zugriffskontrolle für Linux-Server einrichten, die auf den Plattformen von Cloud-Service-Providern wie Amazon EC2 oder der Cloud-Management-Plattform von Rightscale aufgesetzt wurden.
Spiceworks spürt heimlich genutzte Cloud-Services auf
Ebenfalls gratis erhältlich sind die "Cloud Management Tools" von Spiceworks. Das Unternehmen hat sich auf IT-System-Management-Software spezialisiert. Dementsprechend lassen sich mit den Cloud-Management- Tools On- und Off-Premise-Cloud-Services verwalten. Dies ist auch unter dem Sicherheitsaspekt von Vorteil, denn mit der Software können Administratoren Cloud-Services aufspüren, die einzelne User oder Unternehmensbereiche ohne Wissen der IT-Abteilung verwenden - Stichwort "Rogue Cloud Services". Die Cloud Management Tools enthalten Monitoring-Funktionen, mit denen der Nutzer den Status der Systeme in der Cloud überwachen kann, etwa von Hosted Servern.
VMware- und Hyper-V-Hosts überwachen
Eher am Rande mit Cloud-Security zu tun haben Tools, mit denen sich der Status von Virtual Hosts überwachen lässt. Zwei Anbieter stellen kostenlose Versionen ihrer Monitoring-Werkzeuge zur Verfügung: Veeam mit der "Veeam One Free Edition" ...
VMware- und Hyper-V-Hosts überwachen
und Solarwinds mit "VM Monitor". Beide Tools überwachen den Status der VMware- und Microsoft-Hyper-V-HostSysteme.

Austrittsregelungen definieren

Unternehmen unterliegen vielfältigen gesetzlichen Archivierungspflichten. Daten, E-Mails und elektronische Dokumente müssen langfristig aufbewahrt werden. Vor diesem Hintergrund muss bei Cloud-Verträgen nicht nur die Laufzeit zwingend geregelt werden, sondern auch die Rückgabe oder Löschung der Daten bei Vertragsende.
Ebenfalls geklärt werden sollten die Anforderungen an eine Rückgabe der Daten, wie zum Beispiel der Übertragungsweg oder das Dateiformat. Auch eine frühzeitige Rückgabe der Daten - zum Beispiel im Falle der Insolvenz eines Providers oder bei einem Anbieterwechsel - muss klar definiert sein. Eine solche Exit-Strategie sollte den Auftraggeber im Zweifelsfall auch berechtigen, die Daten von Subunternehmen zurückzufordern. In diesem Zusammenhang ist auch die finanzielle Stabilität eines Cloud-Computing-Providers ein entscheidendes Kriterium.

"Neben all diesen rechtlichen und vertraglichen Regelungen hat Cloud Computing letztlich aber immer auch viel mit Vertrauen zu tun", sagt Chaar. "Unternehmen sollten daher nicht vergessen, dass ein Provider auch kulturell und von seiner Größe her zum eigenen Unternehmen passen sollte." (pg)

Checkliste: Was ein Cloud-Computing-Vertrag regeln sollte

  1. Konkretes Leistungsangebot (SLA): Im Vertrag sollte das Leistungsangebot des Providers genau festgelegt werden. Zu diesen Service-Level-Agreements gehören unter anderem die Verfügbarkeit der Services, die zulässige Ausfallrate, die Reaktionszeiten bei Störungen oder die Wiederanlaufzeit der Systeme nach einem Ausfall.

  2. Sicherheits- und Datenschutzaspekte: Das BSI empfiehlt, neben den konkreten Leistungen auch sicherheitsrelevante Aspekte und Datenschutzvereinbarungen in den SLAs festzulegen. Da Cloud-Computing-Verträge meistens auf mehrere Jahre angelegt sind, sollte zudem sichergestellt sein, dass der Provider sein Sicherheitskonzept entsprechend der technischen Entwicklung kontinuierlich anpasst.

  3. Vertragsstrafen bei Nichterfüllung: Die Vertragspartner sollten Pönalen vereinbaren für den Fall, dass der Provider die zugesicherten Leistungen nicht erbringt. Ansonsten sind die SLAs wertlos.

  4. Beauftragung von Subunternehmen: Die Vertragspartner müssen genau festlegen, ob und in welcher Form der Provider Subunternehmen mit bestimmten Leistungen beauftragen kann. Grundsätzlich darf ein Cloud-Anbieter dabei nur solche Unternehmen beauftragen, die dasselbe Schutzniveau sicherstellen wie der Auftragnehmer selbst.

  5. Kontrollrecht des Auftraggebers: Der Auftraggeber muss sich vertraglich das Recht zusichern lassen, dass er die Datenverarbeitung des Cloud-Anbieters einschließlich der Schutzmaßnahmen regelmäßig kontrollieren darf.

  6. Vertragslaufzeit und Rückgabe der Daten: In einem Cloud-Vertrag muss nicht nur die Laufzeit zwingend geregelt werden, sondern auch die Modalitäten bei der Rückgabe oder Löschung der Daten. Dazu gehören zum Beispiel der Übertragungsweg oder das Dateiformat.

  7. Exit-Strategie: Auch eine frühzeitige Rückgabe der Daten - zum Beispiel im Falle der Insolvenz eines Providers oder bei einem Anbieterwechsel - muss klar geregelt sein. Eine solche Exit-Strategie sollte den Auftraggeber im Zweifelsfall auch berechtigen, die Daten von Subunternehmen zurückzufordern.

    (Der Beitrag wurde von der CP-Schwesterpublikation Computerwoche übernommen / rb)