Augen auf bei Cloud-Verträgen Cloud Computing

1. 34 mANAGEmENT & kARRIERE Recht Wenger & Vieli www.wengervieli.ch 35
Augen auf bei
dabei um personenbezogene Daten (z. B. Ar-
beitnehmer- oder Kundendaten) geht, sind
datenschutzrechtliche Bestimmungen zu be-
Cloud-Verträgen
achten. Entsprechend des Schweizer Daten-
schutzgesetzes dürfen Personendaten durch
eine Vereinbarung auf Dritte übertragen wer-
den, wenn die Daten nur so bearbeitet werden,
wie der Kunde selbst es tun dürfte und dies
Namhafte Schweizer Unternehmen setzen bereits durch keine gesetzliche oder vertragliche Ge-
heute auf die Cloud und weitere werden es dem- heimhaltungspflicht verboten wird.
Der Kunde bleibt für die von ihm ausgelager-
nächst tun. Doch welche rechtlichen Aspekte sind ten Daten also weiterhin bis zu einem gewissen
bei einem Entscheid für oder gegen die Cloud Grad verantwortlich. Er hat den Anbieter von
Cloud-Dienstleistungen sorgfältig auszuwählen
eigentlich zu beachten? und sicherzustellen, dass dieser die notwendi-
gen Voraussetzungen für die Datenbearbeitung
erfüllt und insbesondere die erforderliche
Datensicherheit gewährleisten kann. Die Veran-
kerung angemessener Instruktions- und Kon-
trollrechte des Kunden in Cloud-Computing-
VoN olIVER STAffElbACh Verträgen ist daher zentral.
A
Nach Schweizer Recht dürfen grundsätzlich
ktuelle Studien zeigen, dass die Hal- vels eintreten, kann jedoch zum Schluss führen, keine Personendaten von der Schweiz ins Aus-
tung von Schweizer Unternehmen ge- dass eine Auslagerung an den konkreten Anbie- land bekannt gegeben werden, wenn dies zu
genüber Cloud Computing weiterhin ter nicht oder zumindest nicht bezüglich ge- einer schwerwiegenden Gefährdung der Per-
gespalten ist. Neben technischen so- schäftskritischer Daten infrage kommt. sönlichkeit der betroffenen Personen führt. Das
wie betriebswirtschaftlichen Risiken werden soll gemäss Datenschutzgesetz namentlich der
insbesondere auch rechtliche Aspekte intensiv notFAllregelungen Fall sein, wenn eine Gesetzgebung fehlt, die
diskutiert. Grundsätzliche rechtliche Hinder- Gegen konkrete Cloud-Projekte sprechen bei einen angemessenen Schutz gewährleistet.
nisse bestehen nicht. Wer Cloud-Angebote ge- den meisten Unternehmen die Aspekte Daten- Der Eidgenössische Datenschutzbeauftragte
nau unter die Lupe nimmt und kritische Punkte schutz, Datensicherheit und Vertraulichkeit. hat eine unverbindliche Liste derjenigen Staa-
vertraglich vernünftig regelt, kann die Risiken Eine gute vertragliche Grundlage kann zwar erweitertes rechtliches umFelD Abhängigkeitsverhältnis ter von einer sinnvollen aussergerichtlichen ten veröffentlicht, die einen angemessenen
minimieren. Vertrauen schaffen und Compliance-Anforde- Die geplante Auslagerung in die Cloud kann Generell sollten auch starke Abhängigkeitsver- Lösung zu überzeugen. So gesehen kann bei- Schutz aufweisen. Dies trifft für die Staaten der
rungen Genüge tun, sie ersetzt jedoch nicht unter Umständen gegen Verträge mit Dritten hältnisse (Vendor Lock-in) zum Anbieter vermie- spielsweise ein kalifornischer Gerichtsstand EU, nicht jedoch für die USA zu. Erfolgt die Da-
AusgestAltung von verträgen die sorgfältige Prüfung der faktischen Verhält- verstossen. Vielleicht sind bestimmte Daten, den werden. Vor allem bei steigenden Kosten, gepaart mit einem weitgehenden Haftungsaus- tenbearbeitung in Ländern, die über kein ange-
Abhängig von den konkret zu erbringenden nisse. Besonders wichtig ist dabei die präzise die zur Bearbeitung weitergegeben werden sinkender Qualität der Leistungen oder im Hin- schluss Grund genug sein, dass ein Anbieter für messenes Schutzniveau verfügen, kann daten-
Diensten können Cloud-Computing-Verträge Regelung der Berechtigungsverhältnisse an müssen, durch Geheimhaltungsklauseln ge- blick auf einen Konkursfall muss der Kunde die die Auslagerung von geschäftskritischen Daten schutzrechtliche Konformität unter anderem
zwischen Anbietern und Kunden sehr unter- den Daten während und nach der Auflösung schützt oder einzelne Cloud-Dienste sind von Möglichkeit haben, den Anbieter zu vernünftigen in die Cloud ausser Betracht fällt. durch vertragliche Garantien erzielt oder für die
schiedlich ausgestaltet sein. Umso wichtiger ist des Vertragsverhältnisses. einer bestehenden Lizenz nicht abgedeckt. Es Bedingungen zu wechseln. Faire Verträge sollten USA mit sogenannten Safe-Harbour-Registrie-
es, die Regelungen über Leistungsinhalte, Ver- Idealerweise sollten Betriebsausfallrisiken ist daher immer zu prüfen, inwieweit die be- Bestimmungen enthalten, die den Ausstieg und DAtenschutzrechtliche FrAgen rungen erreicht werden. Einige Anbieter haben
fügbarkeiten, Performance, Sicherheitsaspekte umfassend abgesichert werden können. In der stehenden Verträge mit der geplanten Aus- Wechsel des Kunden zu einem anderen Partner Eine Grundkonzeption des Cloud Computing bereits auf die in internationaler Hinsicht stark
etc. genau zu studieren. Welche Dienste in die Praxis erweist sich diese aber oft als nicht rea- lagerung konform sind, bzw. welche Kosten im präzis regeln. Dem Umfang und Inhalt der ver- besteht darin, dass Daten verstreut auf unter- variierenden Datenschutzniveaus reagiert und
Cloud ausgelagert werden, sollte anhand von lisierbar. Bereits ein kurzer Blick auf die Haf- Hinblick darauf anfallen. traglich festgelegten Mitwirkungspflichten des schiedlichen Systemen gespeichert und teil- bieten Datenverarbeitung ausschliesslich in-
möglichst präzisen Leistungsbeschreibungen, tungsbestimmungen von Cloud-Computing- In verschiedenen Bereichen bestehen zu- Anbieters kommt dabei eine zentrale Rolle zu. weise beliebig verschoben werden. Sofern es nerhalb europäischer Grenzen an.
etwa durch Service Level Agreements (SLA), de- Verträgen zeigt, dass Anbieter oft nur sehr dem regulatorische Vorgaben. So kann bei Fehlende Standardisierung von Application In-
finiert werden. Ausserdem sind Flexibilität und
Skalierbarkeit der Leistungen wichtige Motive
beschränkt gewillt sind, Betriebsausfallrisiken
zu übernehmen. Umso wichtiger sind sinnvolle
Finanzdienstleistungen insbesondere das
Rundschreiben der Eidgenössischen Finanz-
terfaces kann die ohnehin schon bestehenden
Abhängigkeitsverhältnisse noch verstärken. Zu-
Checkliste Cloud-Verträge
für die Cloud und gehören daher sauber in der Regelungen über die Business Continuity, marktaufsicht vom 20. November 2008 betref- dem sollten die vom Anbieter spezifisch verwen- Welche Leistungen werden angeboten, Wird Preistransparenz gewährleistet?
Leistungsbeschreibung abgebildet. das Eskalationsverfahren und das Notfall- fend Auslagerung von Geschäftsbereichen von deten Datenformate auch von Dritten in Stan- welche Service Levels werden garantiert Erlauben die bestehenden Verträge mit
Der Festlegung von sachgerechten Rechts- management. Banken relevant werden. dardformate übersetzt werden können. und welche Folgen hat die Nichteinhaltung Dritten die geplante Auslagerung in die
folgen bei Verletzung der vereinbarten Service Cloud-Anbieter heben meist die Preistrans- Hervorzuheben sind ferner die bestehen- In Verträgen mit ausländischen Anbietern der Service Levels? Cloud?
Levels wird in der Praxis oft zu wenig Gewicht parenz als Verkaufsargument hervor. Für den den Geheimnisschutzvorschriften für das Fi- wird fast ausnahmslos die Zuständigkeit aus- Wie sieht das Haftungsregime des Anbie- Kann die Einhaltung bestehender Compli-
beigemessen. Manche Anbieter locken z.B. mit Bezug von Cloud-Dienstleistungen wird typi- nanz- und Medizinalwesen. Erwähnenswert ist ländischer Gerichte vereinbart. Damit können ters aus? Bestehen sinnvolle Regelungen ance-Vorschriften sichergestellt werden?
einer garantierten Verfügbarkeit von 99,9 Pro- scherweise nach Nutzung (pay as you go) ab- schliesslich die Geschäftsbücherverordnung, die Möglichkeiten des Kunden, sich bei Proble- über Business Continuity, Eskalationsver- Unter welchen Voraussetzungen ist ein
zent. Die Analyse der Folgen, die bei Unter- gerechnet. In der Praxis kann sich jedoch eine aus der hervorgeht, dass archivierte Geschäfts- men zu wehren, massiv verringert sein. IT-Strei- fahren und Notfallmanagement? Ausstieg möglich und wie teuer ist dies?
schreitungen der vereinbarten Service Le- ziemlich komplexe Gesamtkostenstruktur erge- bücher, Buchungsbelege und Geschäftskorre- tigkeiten sind zwar oft nur beschränkt justizia- Wo werden die Daten gespeichert und wie Erlaubt es die vertragliche Grundlage,
BILD: FoToLIA
ben. Ein präziser und realistischer Blick auf die spondenz vor unbefugtem Zugriff zu schützen bel, ein Schweizer Gerichtsstand in Kombination sicher sind sie? Wird dem Datenschutz bei Problemen Druck auf den Anbieter
oliver Staffelbach ist auf IT-Recht spezialisierter verschiedenen Kostenelemente ist daher äus- und Zugriffe sowie Zutritte aufzuzeichnen mit einem griffigen Haftungsregime wirkt aber ausreichend Rechnung getragen? auszuüben?
Rechtsanwalt bei Wenger & Vieli aus Zürich serst wichtig. sind. als willkommenes Druckmittel, um den Anbie-