Insolvenz des Cloud-Dienstleisters
Eine dritte Frage von Wolfgang Hinrichs: Meldet der beauftragte Cloud-Dienstleister Insolvenz an, drohen dem Auftraggeber einige Konsequenzen. Welche davon sind juristisch relevant, und wie stellen sie sich dar?
Thomas Jansen: Im schlimmsten Fall droht ein Datenverlust. Der kann zu Betriebsausfällen und zusätzlich zur Haftung gegenüber den eigenen Kunden führen. Dabei ist zu beachten, dass man seine Forderung - zum Beispiel auf Schadensersatzzahlung - an ein insolventes Unternehmen meist nur teilweise erfüllt bekommt. In dieser Situation ist es besonders hilfreich, wenn die Daten nur verschlüsselt vorliegen. Denn in einem solchen Fall ist es durchaus möglich, dass IT-Systeme samt den kundeneigenen ungeschützten Daten veräußert werden oder sonst Dritte unerlaubt Zugriff darauf erlangen.
Jochen Notholt: Das wesentliche Problem ist, dass der Anbieter über seinen Insolvenzverwalter die Möglichkeit hat, Kundenverträge kurzfristig zu kündigen. Diesen Fall des außerplanmäßigen Vertragsendes muss der Kunde in seinen Planungen berücksichtigen. Er sollte sich die Möglichkeit offenhalten, kurzfristig Daten zu exportieren und komplikationslos zu einem anderen Anbieter zu wechseln.
Frage von Bernd Hilgenberg (SHD): Wie kann der Kunde eine vertragliche Garantie auf Ausfallsicherheit bekommen?
Thomas Jansen: Anders als im klassischen IT-Outsourcing sind Cloud-Anbieter nur in Ausnahmefällen bereit, Service-Levels zu garantieren. Aber selbst wenn, sollte man sich nicht blind darauf verlassen. Zu den Grundanforderungen gehört es sicherzustellen, dass der Kunde im Notfall Zugang zu seinen Daten hat oder dass es ein lokales Backup gibt. Der Standardservice in der Public Cloud bietet selten die für Unternehmensanwender wichtigen Service-Levels. Deshalb sollte ein Unternehmen gerade für kritische Applikationen lieber auf die Enterprise Cloud ausweichen, in der es sich von den Anbietern Service-Levels zusichern lassen kann.
Jochen Notholt: Eine Garantie kann es immer nur dergestalt geben, dass der Anbieter die Ausfallsicherheit (Verfügbarkeit) im Vertrag verspricht und die Kunden bei Ausfällen angemessenen Ersatz erhalten. In der Praxis tendieren die Anbieter aber dazu, bei solchen Versprechen zu tricksen und Kompensationen auf Nachlässe bei der Vergütung zu beschränken. Wenn der Anbieter eine Haftung auf Schadensersatz zusagt, hat der Kunde zudem regelmäßig das Problem, Ausfallschäden zu beziffern und zu belegen.
Frage von Bernhard Thomas: Gibt es hinsichtlich der Datenspeicherung in der Cloud einen verlässlichen Kriterien-katalog, mit dem der Auftraggeber die Erfüllung der einschlägigen Regelungen und Gesetze beim Provider abprüfen kann?
Thomas Jansen: Die Fragen sind regelmäßig zu individuell, als dass allgemeine Antworten möglich wären. Es gibt vereinzelt Kriterienkataloge wie den für das Internet-Zeitalter schon "alten" Bitkom-Leitfaden zum Cloud Computing von 2009. Aktueller ist das BSI-Eckpunktepapier "Sicherheitsempfehlungen für Cloud-Computing-Anbieter" vom Februar 2012. (rb)