Cloud-Computing-Vertrag (Schweizer Recht)

1.246 Aufrufe

Veröffentlicht am

Cloud-Computing-Vertrag Schweizer Recht

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.246
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
2
Aktionen
Geteilt
0
Downloads
13
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Cloud-Computing-Vertrag (Schweizer Recht)

  1. 1. Augen auf bei Cloud-VerträgenNamhafte Schweizer Unternehmen setzen bereits heute auf die Cloudund weitere werden es demnächst tun. Doch welche rechtlichen As-pekte sind bei einem Entscheid für oder gegen die Cloud eigentlich zubeachten?von Oliver Staffelbach, Wenger&Vieli AG, Zürichabgedruckt in Computerworld 2010, Nr. 11Aktuelle Studien zeigen, dass die Haltung von Schweizer Unternehmen gegenüber CloudComputing weiterhin gespalten ist. Neben technischen sowie betriebswirtschaftlichen Ri-siken werden insbesondere auch rechtliche Aspekte intensiv diskutiert. Grundsätzlicherechtliche Hindernisse bestehen nicht. Wer Cloud-Angebote genau unter die Lupe nimmtund kritische Punkte vertraglich vernünftig regelt, kann die Risiken minimieren.Ausgestaltung von VerträgenAbhängig von den konkret zu erbringenden Diensten können Cloud-Computing-Verträgezwischen Anbietern und Kunden sehr unterschiedlich ausgestaltet sein. Umso wichtigerist es, die Regelungen über Leistungsinhalte, Verfügbarkeiten, Performance, Sicherheits-aspekte etc. genau zu studieren. Welche Dienste in die Cloud ausgelagert werden, sollteanhand von möglichst präzisen Leistungsbeschreibungen, etwa durch Service LevelAgreements (SLA), definiert werden. Ausserdem sind Flexibilität und Skalierbarkeit derLeistungen wichtige Motive für die Cloud und gehören daher sauber in der Leistungsbe-schreibung abgebildet.Der Festlegung von sachgerechten Rechtsfolgen bei Verletzung der vereinbarten ServiceLevels wird in der Praxis oft zu wenig Gewicht beigemessen. Manche Anbieter locken z.B.mit einer garantierten Verfügbarkeit von 99,9 Prozent. Die Analyse der Folgen, die beiUnterschreitungen der vereinbarten Service Levels eintreten, kann jedoch zum Schlussführen, dass eine Auslagerung an den konkreten Anbieter nicht oder zumindest nicht be-züglich geschäftskritischer Daten infrage kommt.NotfallregelungenGegen konkrete Cloud-Projekte sprechen bei den meisten Unternehmen die Aspekte Da-tenschutz, Datensicherheit und Vertraulichkeit. Eine gute vertragliche Grundlage kannzwar Vertrauen schaffen und Compliance-Anforderungen Genüge tun, sie ersetzt jedochnicht die sorgfältige Prüfung der faktischen Verhältnisse. Besonders wichtig ist dabei diepräzise Regelung der Berechtigungsverhältnisse an den Daten während und nach derAuflösung des Vertragsverhältnisses.Idealerweise sollten Betriebsausfallrisiken umfassend abgesichert werden können. In derPraxis erweist sich diese aber oft als nicht realisierbar. Bereits ein kurzer Blick auf dieHaftungsbestimmungen von Cloud-Computing-Verträgen zeigt, dass Anbieter oft nur sehrbeschränkt gewillt sind, Betriebsausfallrisiken zu übernehmen. Umso wichtiger sind sinn-volle Regelungen über die Business Continuity, das Eskalationsverfahren und das Not-fallmanagement.Cloud-Anbieter heben meist die Preistransparenz als Verkaufsargument hervor. Für denBezug von Cloud-Dienstleistungen wird typischerweise nach Nutzung (pay as you go)
  2. 2. 2abgerechnet. In der Praxis kann sich jedoch eine ziemlich komplexe Gesamtkostenstruk-tur ergeben. Ein präziser und realistischer Blick auf die verschiedenen Kostenelemente istdaher äusserst wichtig.Erweitertes rechtliches UmfeldDie geplante Auslagerung in die Cloud kann unter Umständen gegen Verträge mit Drittenverstossen. Vielleicht sind bestimmte Daten, die zur Bearbeitung weitergegeben werdenmüssen, durch Geheimhaltungsklauseln geschützt oder einzelne Cloud-Dienste sind voneiner bestehenden Lizenz nicht abgedeckt. Es ist daher immer zu prüfen, inwieweit diebestehenden Verträge mit der geplanten Auslagerung konform sind, bzw. welche Kostenim Hinblick darauf anfallen.In verschiedenen Bereichen bestehen zudem regulatorische Vorgaben. So kann bei Fi-nanzdienstleistungen insbesondere das Rundschreiben der Eidgenössischen Finanz-marktaufsicht vom 20. November 2008 betreffend Auslagerung von Geschäftsbereichenvon Banken relevant werden.Hervorzuheben sind ferner die bestehenden Geheimnisschutzvorschriften für das Finanz-und Medizinalwesen. Erwähnenswert ist schliesslich die Geschäftsbücherverordnung, ausder hervorgeht, dass archivierte Geschäftsbücher, Buchungsbelege und Geschäftskor-respondenz vor unbefugtem Zugriff zu schützen und Zugriffe sowie Zutritte aufzuzeichnensind.AbhängigkeitsverhältnisGenerell sollten auch starke Abhängigkeitsverhältnisse (Vendor Lock-in) zum Anbietervermieden werden. Vor allem bei steigenden Kosten, sinkender Qualität der Leistungenoder im Hinblick auf einen Konkursfall muss der Kunde die Möglichkeit haben, den Anbie-ter zu vernünftigen Bedingungen zu wechseln. Faire Verträge sollten Bestimmungen ent-halten, die den Ausstieg und Wechsel des Kunden zu einem anderen Partner präzis re-geln. Dem Umfang und Inhalt der vertraglich festgelegten Mitwirkungspflichten des Anbie-ters kommt dabei eine zentrale Rolle zu. Fehlende Standardisierung von Application Inter-faces kann die ohnehin schon bestehenden Abhängigkeitsverhältnisse noch verstärken.Zudem sollten die vom Anbieter spezifisch verwendeten Datenformate auch von Dritten inStandardformate übersetzt werden können.In Verträgen mit ausländischen Anbietern wird fast ausnahmslos die Zuständigkeit aus-ländischer Gerichte vereinbart. Damit können die Möglichkeiten des Kunden, sich beiProblemen zu wehren, massiv verringert sein. IT-Streitigkeiten sind zwar oft nur be-schränkt justiziabel, ein Schweizer Gerichtsstand in Kombination mit einem griffigen Haf-tungsregime wirkt aber als willkommenes Druckmittel, um den Anbieter von einer sinnvol-len aussergerichtlichen Lösung zu überzeugen. So gesehen kann beispielsweise ein kali-fornischer Gerichtsstand gepaart mit einem weitgehenden Haftungsausschluss Grundgenug sein, dass ein Anbieter für die Auslagerung von geschäftskritischen Daten in dieCloud ausser Betracht fällt.Datenschutzrechtliche FragenEine Grundkonzeption des Cloud Computing besteht darin, dass Daten verstreut auf un-terschiedlichen Systemen gespeichert und teilweise beliebig verschoben werden. Sofernes dabei um personenbezogene Daten (z.B. Arbeitnehmer- oder Kundendaten) geht, sinddatenschutzrechtliche Bestimmungen zu beachten. Entsprechend des Schweizer Daten-schutzgesetzes dürfen Personendaten durch eine Vereinbarung auf Dritte übertragenwerden, wenn die Daten nur so bearbeitet werden, wie der Kunde selbst es tun dürfte unddies durch keine gesetzliche oder vertragliche Geheimhaltungspflicht verboten wird.
  3. 3. 3Der Kunde bleibt für die von ihm ausgelagerten Daten also weiterhin bis zu einem gewis-sen Grad verantwortlich. Er hat den Anbieter von Cloud-Dienstleistungen sorgfältig aus-zuwählen und sicherzustellen, dass dieser die notwendigen Voraussetzungen für die Da-tenbearbeitung erfüllt und insbesondere die erforderliche Datensicherheit gewährleistenkann. Die Verankerung angemessener Instruktions- und Kontrollrechte des Kunden inCloud-Computing-Verträgen ist daher zentral.Nach Schweizer Recht dürfen grundsätzlich keine Personendaten von der Schweiz insAusland bekannt gegeben werden, wenn dies zu einer schwerwiegenden Gefährdung derPersönlichkeit der betroffenen Personen führt. Das soll gemäss Datenschutzgesetz na-mentlich der Fall sein, wenn eine Gesetzgebung fehlt, die einen angemessenen Schutzgewährleistet. Der Eidgenössische Datenschutzbeauftragte hat eine unverbindliche Listederjenigen Staaten veröffentlicht, die einen angemessenen Schutz aufweisen. Dies trifftfür die Staaten der EU, nicht jedoch für die USA zu. Erfolgt die Datenbearbeitung in Län-dern, die über kein angemessenes Schutzniveau verfügen, kann datenschutzrechtlicheKonformität unter anderem durch vertragliche Garantien erzielt oder für die USA mit so-genannten Safe-Harbour-Registrierungen erreicht werden. Einige Anbieter haben bereitsauf die in internationaler Hinsicht stark variierenden Datenschutzniveaus reagiert und bie-ten Datenverarbeitung ausschliesslich innerhalb europäischer Grenzen an.Checkliste Cloud-Verträge Welche Leistungen werden angeboten, welche Service Levels werden garantiert und welche Folgen hat die Nichteinhaltung der Service Levels? Wie sieht das Haftungsregime des Anbieters aus? Bestehen sinnvolle Regelungen über Business Continuity, Eskalationsverfahren und Notfallmanagement? Wo werden die Daten gespeichert und wie sicher sind sie? Wird dem Datenschutz ausreichend Rechnung getragen? Wird Preistransparenz gewährleistet? Erlauben die bestehenden Verträge mit Dritten die geplante Auslagerung in die Cloud? Kann die Einhaltung bestehender Compliance-Vorschriften sichergestellt werden? Unter welchen Voraussetzungen ist ein Ausstieg möglich und wie teuer ist dies? Erlaubt es die vertragliche Grundlage, bei Problemen Druck auf den Anbieter aus- üben?

×