3 minute read
CLOUD-VERTRÄGE
DIE WOLKE UND IHRE JURISTISCHEN TÜCKEN
Cloudlösungen versprechen vieles: hohe Skalierbarkeit und Flexibilität, wenig Investition und hohe Ausfallsicherheit. Bei allen technischen und ökonomischen Vorteilen sollten jedoch beim Abschluss eines Cloudvertrages einige rechtliche Überlegungen angestellt und rechtliche Vorgaben beachtet werden, die besonders dem Nutzer unliebsame Überraschungen ersparen.
Advertisement
Cloudlösungen werden in zahlreichen Formen und verschiedenen Bezeichnungen angeboten. So finden sich dazu Angebote der „Infrastructure as a Service“ (IaaS), „Platform as a Service“ (PaaS) und allen voran „Software as a Service“ (SaaS). Nutzer ersparen sich durch diese Lösungen (hohe) Kosten für die eigene Hardware und IT- Struktur, Anbieter können ihren Aufwand mehrfach einsetzen und so die Kosten gut amortisieren. Darüber hinaus bieten solche Lösungen eine hohe Flexibilität für die Nutzer. Dennoch gibt es einiges zu beachten.
Bei Cloudlösungen gehen Daten regelmäßig zu einem Dritten, dem Cloudanbieter. Das spielt bei Geschäftsgeheimnissen, dem Datenschutz und speziellen Vorschriften, wie dem Bankgeheimnis, besonderen Verschwiegenheitsverpflichtungen wie bei Ärzten oder bei Unternehmen mit kritischen Infrastrukturen eine große Rolle. Diese sektorenspezifischen Regeln, etwa in der Bankenbranche oder für Betreiber von
EIN PAAR WENIGE RECHTLICHE UND VERTRAGLICHE VORKEHRUNGEN UND ÜBERLEGUNGEN KÖNNEN VIEL DAZU BEITRAGEN, DASS DER NUTZEN UND DIE WIRTSCHAFTLICHEN UND TECHNISCHEN VORTEILE EINER CLOUDLÖSUNG AUCH ERHALTEN BLEIBEN UND KEINE RECHTLICHEN KOMPLIKATIONEN AUFTRETEN.
kritischer Infrastruktur, können in manchen Fällen Cloudlösungen unmöglich machen, immer sind dabei jedoch die Daten- und Betriebssicherheit, die Betriebskontinuität, Auskunfts- und Prüfrechte, lokale Datenhaltungspflichten und auch die Kontrolle über die Dienstleistungskette sicherzustellen.
Bei den Geschäftsgeheimnissen wiederum ist zu beachten, dass diese Geheimnisse Gegenstand von den Umständen entsprechenden Geheimhaltungsmaßnahmen sein müssen, was sich auch auf die Speicherung und Verarbeitung beim Cloudanbieter bezieht. Je nach Cloudlösungen (public, private, multi-tender) kann das bisweilen eine Herausforderung sein.
DATENSCHUTZRECHT Werden in der Cloud personenbezogene Daten verarbeitet, ist auch das Datenschutzrecht einzuhalten. Der Nutzer bleibt normalerweise der Verantwortliche und der Cloudanbieter ist der Auftragsverarbeiter. Die Folge ist der zwingende Abschluss eines datenschutzrechtlichen Auftragsverarbeitungsvertrages und technische und organisatorische Maßnahmen des Cloudanbieters, um die notwendigen und angemessenen Schutzvorkehrungen zur Sicherheit der Verarbeitung sicherzustellen.
Eine wesentliche Rolle spielt datenschutzrechtlich auch der Standort des Rechenzentrums, welches konkret die Daten verarbeitet. Befindet sich dieses nicht in der Europäischen Union (EU), sondern in einem Drittland, ist zu überprüfen, ob ein sogenannter „Angemessenheitsbeschluss“ besteht. Damit bescheinigt die EU-Kommission dem jeweiligen Land ein ausreichendes und angemessenes Datenschutzrecht, das jenem in der Europäischen Union entspricht. Darunter fallen bisher jedoch nur wenige Länder, etwa die Schweiz, Norwegen, Großbritannien, Japan oder Kanada. In einem anderen Drittland, etwa in den USA, müssen geeignete Garantien vorgesehen und sichergestellt werden, dass die Daten in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Besonders ist zu überprüfen, ob ausländische Behörden auf diese Daten zugreifen können und damit europäische Datenschutzstandards unterlaufen werden. Sonst ist mit der Übermittlung ein Datenschutzverstoß verbunden und es drohen empfindliche Strafen.
Hier gibt es mehrere Möglichkeiten, dieses Risiko zu entschärfen, alle sollten aber bei der Wahl des Cloudanbieters und dem Vertragsabschluss berücksichtigt werden.
URHEBERRECHT Ein weiterer Aspekt ist der rasche digitale Wandel gepaart mit dem Urheberrecht, der bei der Vertragsgestaltung berücksichtigt werden sollte. Während bisher von nutzerbasierten Modellen, bei denen nach Arbeitsplatz oder genannten Nutzern bezahlt wird, ausgegangen wurde, tritt nunmehr immer stärker die tatsächliche Nutzungsintensität in den Vordergrund. Technisch ist das durch die zunehmende indirekte Nutzung über vorgeschaltete und interagierende Systeme sowie die automatisierte Nutzung bedingt.
Eine automatisierte Nutzung liegt dann vor, wenn etwa mittels Bots, Robotic-Automatisation-Software oder direkt von IoT-Devices zugegriffen wird. Da die Software urheberrechtlich geschützt ist, hängt die erlaubte Nutzung ausschließlich von der Vereinbarung mit dem Urheberberechtigten ab. Darauf bezieht sich dann auch das Vergütungsmodell. Wurde allerdings eine Vereinbarung geschlossen, die die tatsächliche Nutzung nicht abdeckt, vielleicht auch da sich diese durch die digitale Entwicklung geändert hat, besteht ein hohes Risiko, dass dadurch in die Urheberrechte eingegriffen wird. Dann kann nicht mehr das vereinbarte Nutzungsentgelt fällig werden, sondern der entsprechende Schadenersatz. Und das kann sehr teuer werden. VERTRAGSENDE Zuletzt sei noch erwähnt, dass besonders auch an das Ende des Vertrages, den sogenannten Exit, gedacht werden muss, also an den Fall, dass die Zusammenarbeit mit dem Cloudanbieter beendet werden soll. Je nach Nutzung müssen dann Unmengen an Daten und Informationen entweder zurück ins eigene System oder an den neuen Drittanbieter transferiert werden. Ein Unterfangen, das in der Regel Zeit und Ressourcen, aber auch technische Kompatibilität und entsprechende Mitwirkung des ehemaligen Vertragspartners voraussetzt. Hierbei sind spezielle vertragliche und betriebliche Absicherungen notwendig, etwa zu allfälligen Herausgabepflichten der Daten und entsprechender Formate, sowie Exit-Pläne und -Tests, unter Umständen auch temporäre Parallelbetriebe.
Diese Liste ließe sich noch fortsetzen. Natürlich ist auch dafür eine entsprechende vertragliche Absicherung und betriebsinterne Vorbereitung von Vorteil, damit „easy in – easy out“ auch Wirklichkeit wird.
