Cloud-Klauseln
Compliance und Cloud Computing
Cloud Computing ist in der Business-Welt angekommen: Flexibles Arbeiten ohne Grenzen. Nicht ganz - denn wie verträgt sich eigentlich Grenzenlosigkeit mit gesetzlichen Kontrollen? Compliance und Cloud Computing sind - bei richtiger Weichenstellung - vereinbar.Marktforscher wissen es längst: Cloud Computing wird in den kommenden Jahren das Top-Thema der IT-Industrie. Schon heute profitieren viele Unternehmen von der Private Cloud, wobei auch Public-Cloud-Dienste den IT-Markt nachhaltig verändern werden. Sie sorgen für ganz neue Beschaffungswege und -formen in der IT. Trotz vieler verheißungsvoller Vorteile der Cloud unternehmen Firmen vorerst kleine Schritte, wenn sie sich auf die Wolke begeben.
Dies liegt sicherlich zum einen an den Voraussetzungen der eigenen Infrastruktur, zum anderen aber auch an den Sicherheitsbedenken bei der virtuellen Speicherung unternehmenskritischer Daten. Dass diese Haltung nicht unberechtigt ist, zeigt der jüngste Störfall im Rechenzentrum von Amazon. Er gibt konkret Anlass dazu, sich gezielt Fragen zur eigenen rechtlichen Position gegenüber dem Cloud-Provider zu stellen: Gegen welche Ausfallszenarien ist das Unternehmen gerüstet? Wie lässt sich das Risiko des Kontrollverlusts eingrenzen? Was kann ein Unternehmen tun, wenn der Provider mangelhafte Dienste abliefert? Solche und ähnliche Fragen erhalten vor dem Hintergrund des Vorfalls im Rechenzentrum für auftraggebende Unternehmen plötzlich ganz besondere Relevanz.
Sorge um die Kontrolle
Der große Knackpunkt scheint hier der Kontrollverlust: "Generell sind die Compliance-Anforderungen die gleichen wie beim klassischen Outsourcing", stellt der Rechtsexperte von DLA Piper Dr. Jan Geert Meents fest, "nur führt der Einsatz von Cloud-Services gegenüber dem klassischen Outsourcing zum Kontrollverlust. Das Unternehmen ist noch weniger in der Lage, Art, Umfang und Qualität der Leistungen zu kontrollieren." Die Cloud-Provider tendierten zudem dazu, die mit den Cloud-Services verbundenen Risiken vertraglich auf den Kunden zu verlagern. "Das äußert sich auch in einer deutlich reduzierte Bereitschaft der Service-Provider, sich im Bezug auf Cloud-Services auf Service Level Agreements (SLAs) einzulassen", so seine Erfahrung. Das Gleiche gelte hinsichtlich der Haftung der Service-Provider. "Hier gibt es Bestrebungen, diese noch weiter als bisher zu begrenzen", warnt der Rechtsexperte. Für ein rechtlich abgesichertes Cloud-Szenario rät er zum Aufsetzen eines dedizierten Anforderungskatalogs an Cloud-Provider sowie zum Abfassen wasserdichter Service-Verträge.
Auch Heiko Schmidt, Management-Consultant bei PA Consulting in Frankfurt, unterstreicht die Bedeutung effektiver Verträge, in denen die Zuverlässigkeit und Qualität eingekaufter Services festgeschrieben wird: "Um die versprochene Flexibilität gewährleisten zu können, muss im Bereich des Cloud Computings auf Vertragsebene im Gegensatz zum klassischen Outsourcing ganz anders gedacht werden. Ich empfehle daher das folgende Vorgehen: konkrete Leistungsbestandteile werden in Einzelverträgen ("Work Order") definiert, wobei diese neben dem SLA auch weitere rechtliche Regelungen beinhalten, wie Gewährleistung und Haftung, Vertragslaufzeit, Kündigungsmöglichkeiten oder Vertraulichkeitsverpflichtungen." So lasse sich auf der Ebene des Einzelvertrags die Compliance-Vorgabe für einen bestimmten Service prüfen, und bei Schlechtleistung oder Nichterfüllung könne man entsprechende Maßnahmen in die Wege leiten.
Flexible Verträge
Diese vertragliche Flexibilität scheint berechtigt, damit das Unternehmen im Fall von Unsicherheiten beim Provider sofort handlungsfähig sein kann. Gerade in puncto Haftung steht hier einiges auf dem Spiel. Während die Haftung laut Aussagen der Kanzlei DLA Piper bei "normalen" Cloud-Verträgen häufig begrenzt ist, da keine SLAs enthalten sind, sehe es bei den Public-Cloud-Services schon anders aus. Diese Dienste und Verträge seien meist spezifisch auf einen bestimmten Kunden abgestimmt und enthielten daher entsprechende Gewährleistungs- und Service-Level-Vereinbarungen. Welche Gewährleistungsansprüche kann der Kunde beispielsweise geltend machen, wenn der Internet-Zugang des Netzbetreibers ausfällt? Wer hat das zu verantworten? "Gewöhnlich gibt es zwei vertragliche Regelungen: einmal zwischen dem Cloud-Service-Provider und dem Kunden und dann noch einen Untervertrag zwischen Cloud-Service-Provider und Netzbetreiber. In dieser Beziehung wird der Ausfall des Netzbetreibers als Ausfall des Cloud-Service-Providers betrachtet. Folglich müsste er den Kunden für alle Verluste entschädigen," skizziert Meents? Kollege Thomas Jansen.
Dies zeigt den hohen Stellenwert offener Compliance-Fragen in der Praxis. Heiko Schmidt rät aus diesem Grund: "Neben den Anwälten sollten von Anfang an Compliance-Vertreter und Sicherheitsspezialisten in die Organisation eines Cloud-Projekts integriert werden." Denn laut dem Berater und Anwalt ergeben sich Compliance-Anforderungen neben den anwendbaren gesetzlichen Grundlagen vor allem auch aus den Best Practices.
Lesen Sie mehr zum Thema
