Rechtliche Aspekte der elektronischen Archivierung
Cloud Computing Verträge
1. 38 swiss CIO Recht Computerworld 11/15. Juni 2012 www.computerworld.ch 39
Cloud- Welche rechtlichen Aspekte sind bei einem Entscheid für oder
gegen die Cloud zu beachten? Ein Erfahrungsbericht aus der Praxis.
Von Oliver Staffelbach
Computing-
Verträge
C
loud Computing kommt so oder so, die Frage ist Verfügbarkeiten von 99,9 Prozent pro Jahr oder sogar mehr; Gemäss dem Schweizer Datenschutzgesetz dürfen Perso Datenverarbeitung ausschliesslich innerhalb europäischer
nur, in welcher Form und in welcher Geschwindig- sind bei den Folgen, die bei Unterschreitungen der verein- nendaten durch eine Vereinbarung auf Dritte übertragen Grenzen oder sogar ausschliesslich in bestimmten euro
keit», bemerkte Peter Fischer, Delegierter des In- barten Service Levels eintreten, dann aber bedeutend we- werden, wenn die Daten nur so bearbeitet werden, wie der päischen Ländern an. Selbst internationale Anbieter von
formatikstrategieorgans des Bundes anfangs 2011 niger grosszügig. Ein effektives Mittel, den Anbieter zur Kunde selbst es tun dürfte und dies durch keine gesetzliche Cloud-Diensten können bei genügend hohem Geschäfts-
in einem Interview mit Computerworld. Aktuelle Studien Einhaltung der garantierten Service Levels zu bringen, kann oder vertragliche Geheimhaltungspflicht verboten wird. volumen teilweise dazu bewegt werden, Daten ausschliess-
zeigen, dass er recht hatte. Nach wie vor begegnet ein Teil bekanntlich die Festlegung von Konventionalstrafen sein. In Der Kunde bleibt für die von ihm ausgelagerten Daten also lich in schweizerischen Datenzentren abzuspeichern.
der Schweizer Unternehmen dem Cloud Computing zwar Standardverträgen von Cloud-Anbietern finden sich der weiterhin bis zu einem gewissen Grad verantwortlich. Er hat
skeptisch. Alles in allem gestaltet sich die Grosswetterlage artige Regelungen jedoch kaum. Benötigt ein Kunde diese sicherzustellen, dass der Anbieter von Cloud-Leistungen Haftung Mein Lieblings-Gadget
rund um die zahlreichen neuen Cloud-Angebote aber schon Sicherheit, sind damit in der Regel Mehrkosten verbunden. die notwendigen Voraussetzungen für die Datenbearbei- Aus der Sicht des Kunden sollten Betriebsausfallrisiken «Densen-Stereoanlage –
heute recht freundlich. Doch wann ist eine Auslagerung in Zudem setzt die Verhandlungsbereitschaft der Anbieter tung erfüllt und insbesondere die erforderliche Daten umfassend abgesichert werden können. In der Praxis er- weil sie toll klingt, bild-
schön ist und wunderbar
Der Autor die Wolke sinnvoll? Neben technischen und betriebswirt- meist eine bestimmte Höhe des Vertragsvolumens voraus. sicherheit gewährleisten kann. In den Standardverträgen weist sich dieser durchaus berechtigte Wunsch aber meist
nachhaltig gebaut ist –
schaftlichen Faktoren sind insbesondere auch rechtliche der Cloud-Anbieter sind diese Aspekte oft nicht oder nur als nicht realisierbar. Anbieter sind nur sehr selten gewillt, was sich auch daran zeigt,
Oliver Staffelbach Aspekte beim Entscheid für oder gegen die Cloud zu beach- Transparenz bei den Kosten unzureichend geregelt. Der Kunde setzt sich in solchen derartige Risiken zu übernehmen. Sie schliessen ihre Haf- dass es eine lebenslange
hat über die Dekompilie-
ten. Grundsätzliche rechtliche Hindernisse bestehen nicht. Typischerweise wird für den Bezug von Cloud-Dienstleis- Fällen insbesondere Haftungs- und Imagerisiken aus. tung sogar oft umfassend aus und haften daher nur noch Garantie gibt.»
rung von Software promo-
viert und ein Nachdiplom- Risiken können aber oft massiv minimiert werden, indem tungen nach Nutzung (pay as you go) abgerechnet. in dem Umfang, der vertraglich nicht wegbedungen werden
studium zu IT- und Cloud-Angebote genau unter die Lupe genommen und kri- Preistransparenz wird vonseiten der Anbieter oft als Argu- Datentransfer ins Ausland kann, nämlich für vorsätzlich und grob fahrlässig verur-
Immaterialgüterrecht in tische Punkte vertraglich vernünftig geregelt werden. Nach- ment für Cloud Computing hervorgehoben. Ein gutes Bei- Die regelmässig bestehende Internationalität der Daten sachte Schäden. Ein Beispiel eines sehr umfassenden Haf-
New York absolviert. Der folgend werden wichtige rechtliche Aspekte erläutert und spiel eines Schweizer Anbieters mit klarer Preisregelung ist bearbeitung bei Cloud-Diensten kann zu weiteren daten- tungsausschlusses findet sich im AWS Customer Agree-
Fokus des Zürcher Anwalts aufgezeigt, was den Anwender in der Praxis erwartet. Myfactory Software Schweiz. Abhängig von der Anzahl Nut- schutzrechtlichen Herausforderungen führen. Nach Schwei- ment von Amazon Web Services.
für die Kanzlei Wenger &
zer und der gewählten Lösung wird ein Pauschalpreis fest- zer Recht dürfen grundsätzlich keine Personen aten von der
d Einige Anbieter sehen in ihren Standardverträgen diffe-
Vieli liegt im Lizenz-, Inter-
net- und Software-Recht.
Genaue Leistungsbeschreibungen gesetzt. Übersichtlich ist auch die Preisgestaltung von Schweiz ins Ausland bekannt gegeben werden, wenn dies zu renziertere Regelungen vor als den pauschalen Haftungs-
www.wengervieli.ch Abhängig von der Vertragsart und den konkret zu erbringen- CloudSigma. Eine Besonderheit dieses IaaS-Anbieters be- einer schwerwiegenden Gefährdung der Persönlichkeit der ausschluss. Gemäss dem sogenannten Master Subscription
den Diensten können Cloud-Computing-Verträge zwischen steht darin, dass die Berechnung der Ressourcennutzung betroffenen Personen führt. Das soll gemäss Datenschutz Agreement von Salesforce beispielsweise hat Salesforce
Anbietern und Kunden sehr unterschiedlich ausgestaltet durch den Kunden in einer 5-Minuten-Taktung erfolgt. gesetz namentlich der Fall sein, wenn eine Gesetzgebung grundsätzlich bis zum Betrag, der vom Kunden in den 12
sein. In jedem Fall sollte aber anhand von möglichst präzi- Doch nicht alle Anbieter setzen ihre Preise derart transpa- fehlt, die angemessenen Schutz gewährleistet. Der Eidgenös- Monaten vor dem Eintritt des entsprechenden Schadens an
sen Leistungsbeschreibungen definiert sein, welche Dienste rent fest. Die genaue Prüfung der Kostenregelung ist daher sische Datenschutz- und Öffentlichkeitsbeauftragte hat dazu Salesforce bezahlt worden ist, einzustehen, wobei diverse
in die Cloud ausgelagert werden. Besonders wichtig sind wichtig. Besonderes Augenmerk sollte dabei den potenziel- eine unverbindliche Liste derjenigen Staaten veröffentlicht, Ausnahmen zu diesem Grundsatz bestehen. Insbesondere
Regelungen über die Verfügbarkeiten und Performance. Die len Migrationskosten geschenkt werden. die einen angemessenen Schutz aufweisen. Dies trifft für wird jegliche Haftung für mittelbare Schäden wie entgange-
oft gewünschte Skalierbarkeit der Leistungen sollte bei sämtliche Staaten der EU, nicht jedoch für die USA zu. ner Gewinn umfassend ausgeschlossen. In gewissen Fällen
Bedarf ebenfalls sauber vertraglich abgebildet werden. Datenbearbeitung durch den Anbieter Erfolgt die Datenbearbeitung in Ländern, die über kein können für den Kunden durch Vertragsverhandlungen subs-
Die Konkretisierung der geschuldeten Leistungen erfolgt Eine Grundkonzeption des Cloud Computing besteht darin, angemessenes Schutzniveau verfügen, kann datenschutz- tanzielle Verbesserungen der haftungsrechtlichen Situation
regelmässig durch Service Level Agreements. Die Qualität dass Daten verstreut auf unterschiedlichen Systemen ge- rechtliche Konformität unter anderem durch vertragliche erzielt werden. Verhandlungsspielraum besteht vor allem
der Service Levels ist in der Praxis sehr unterschiedlich. Es speichert und teilweise beliebig verschoben werden. Sofern Garantien erzielt oder für die USA mit sogenannten Safe- bei grösseren Vertragsvolumen und Referenzprojekten.
lohnt sich daher, genau zu untersuchen, welche Service Le- es dabei um personenbezogene Daten (z. B. Arbeitnehmer- Harbour-Registrierungen erreicht werden. Einige Anbieter Die für den Kunden nachteiligen Haftungsregelungen
vels garantiert werden und ob diese den Erwartungen des oder Kundendaten) geht, sind datenschutzrechtliche haben bereits auf die in internationaler Hinsicht stark in Cloud-Computing-Verträgen mögen auf den ersten
Kunden entsprechen. Verschiedene Anbieter garantieren Bestimmungen zu beachten. variierenden Datenschutzniveaus reagiert und bieten Blick besonders riskant erscheinen. Beachtenswert ist
2. 40 swiss CIO Recht Computerworld 11/15. Juni 2012 www.computerworld.ch
jedoch, dass die haftungsrechtliche Situation des Kunden einem Exit für den Kunden hohe Mehrkosten oder sogar
auch bei anderen Leistungen, die im Bereich der Informa- Datenverlust zur Folge haben. Andere Anbieter sind sehr
tionstechnologie erbracht werden, meist nicht viel besser bemüht, dass Daten ohne grossen Aufwand aus der Cloud
ist. Insbesondere sind Anbieter nur in sehr seltenen Fällen exportiert werden können. Google hat beispielsweise ein
bereit, für Betriebsausfallsrisiken einzustehen. Andern- spezielles Team aus Entwicklern – die sogenannte Data
falls könnte ein einziger Vorfall, der vielleicht Tausende Liberation Front – zusammengestellt, um den Datenexport
von Kunden betreffen würde, für den Anbieter von exis- für den Kunden zu erleichtern.
tenzieller Bedeutung sein.
Gerichtsstand und anwendbares Recht
ExitManagement Wird in Cloud-Computing-Verträgen die Zuständigkeit aus-
Nicht nur in faktischer, sondern auch in rechtlicher Hinsicht ländischer Gerichte und ausländisches Recht vereinbart,
sollten starke Abhängigkeitsverhältnisse zum Anbieter ver- kann das die Möglichkeiten des Kunden, sich bei Proble-
mieden werden (sog. Vendor Lock-in). Vor allem bei stark men zu wehren, massiv verringern. Streitigkeiten im Be-
steigenden Kosten, sinkender Qualität der Leistungen oder reich der Informationstechnologie sind zwar oft nur be-
im Hinblick auf einen Konkursfall muss der Kunde die Mög- schränkt justiziabel. Ein Schweizer Gerichtsstand in Kom-
lichkeit haben, den Anbieter zu vernünftigen Bedingungen bination mit einem griffigen Haftungsregime kann aber ein
wechseln zu können. Faire Cloud-Computing-Verträge soll- willkommenes Druckmittel sein, um den Anbieter von einer
sinnvollen aussergerichtlichen Lösung zu überzeugen.
«Sie bleiben auch als Ein Schweizer Gerichtsstand kann daher auch als Argu-
ment für einen Anbieter sprechen. Schweizer Unternehmen
Cloud-Kunde
haben in diesem Zusammenhang also oft bessere Karten als
ausländische Unternehmen. Aus der Sicht von Schweizer
Kunden kann aufgrund der tendenziell sehr hohen Rechts-
in gewissem Grad
verfolgungskosten ein Gerichtsstand in den USA riskant
sein. Einige der grossen Anbieter von Cloud-Diensten haben
für Ihre Daten
dies erkannt und auf die Bedürfnisse der Kunden reagiert.
So wird beispielsweise im Master Subscription Agreement
von Salesforce bei Streitigkeiten mit Schweizer Kunden ein
Schweizer Gerichtsstand festgesetzt.
verantwortlich» Minimierung von Risiken
Die Erbringung von Cloud-Diensten ist vielfach in grund-
sätzlich nicht verhandelbaren Standardverträgen geregelt.
Oliver Staffelbach Damit wird sichergestellt, dass geringe Transaktionskosten
entstehen und Cloud-Dienste zu attraktiven finanziellen
ten Bestimmungen enthalten, die den Ausstieg und Wechsel Bedingungen angeboten werden können. Vor allem bei
des Kunden zu einem anderen Partner in praktikabler Weise grös eren Vertragsvolumen oder Verträgen mit Referenz-
s
regeln. Fehlende Standardisierung von Datenstrukturen oder charakter besteht aber selbst bei grossen Anbietern durch-
Schnittstellen können allenfalls ohnehin schon bestehende aus die Chance, dass Vertragsanpassungen durchgesetzt
Abhängigkeitsverhältnisse noch verstärken. Vom Anbieter und damit rechtliche Risiken minimiert werden können. In
spezifisch verwendete Datenformate sollten auch von Drit- jedem Fall sollte ein Unternehmen genau prüfen, inwieweit
ten in Standardformate übersetzt werden können. die vertraglichen Bedingungen des Cloud-Anbieters von
Erfahrungsgemäss ist die Qualität von Cloud-Compu- den Soll-Bedingungen abweichen. Im Sinne einer Kompro-
ting-Verträgen in Bezug auf das Exitmanagement sehr misslösung kann es auch sinnvoll sein, nur gewisse Daten
unterschiedlich. Einige Standardverträge von Cloud-Anbie- in die Cloud auszulagern oder verschiedene Daten unter-
tern regeln diesen Aspekt schlechthin nicht. Das kann bei schiedlichen Anbietern zu überlassen.
Checkliste Cloud-Computing-Verträge
Leistungsbeschreibung: Sind möglich? Zu welchen Mehr Haftung: Inwieweit ist die Haf- Service Levels sowie von
die vom Anbieter zu erbringen- kosten führt eine vom Kunden tung des Anbieters beschränkt? Compliance-Vorschriften zu
den Leistungen genau genug gewünschte Erweiterung der Kündigungsmodalitäten und kontrollieren?
beschrieben? Leistungen? Exitmanagement: Sind die Kün- Business Continuity, Disas-
Service Levels: Werden ange- Datenschutz, Daten digungsmodalitäten angemes- ter Recovery und Eskalations-
messene Service Levels festge- sicherheit und Vertraulichkeit: sen geregelt? Unter welchen verfahren: Bestehen in diesen
legt (z. B. betreffend Uptime)? Wo werden die Daten gespeichert Voraussetzungen ist ein Ausstieg Bereichen sinnvolle Regelungen?
Was ist die Folge einer Verlet- und wie sicher sind sie? Wird möglich und zu welchen Kosten Gerichtsstand und anwend-
zung der Service Levels? dem Datenschutz, der Datensi- führt er? bares Recht: Sind bei Streitig-
Preistransparenz: Wird cherheit und der Vertraulichkeit Kontrollrechte: Inwieweit keiten ausschliesslich Schweizer
Preistransparenz gewährleistet? faktisch und vertragich ausrei-
l hat der Kunde die Möglichkeit, Gerichte zuständig? Ist Schwei-
Wann sind Preiserhöhungen chend Rechnung getragen? die Einhaltung von garantierten zer Recht anwendbar?