Der Dokumententext behandelt die rechtlichen Aspekte des Cloud Computing, insbesondere in Bezug auf Datenschutz, Vertragsarten und Sicherheitsanforderungen. Es wird betont, dass Anbieter auch an internationale Datenschutzgesetze gebunden sind und dass bei der Auswahl eines Cloud-Dienstleisters sorgfältige Überprüfungen nötig sind. Zudem gibt es Empfehlungen für Service Level Agreements (SLAs) zur Qualitätssicherung und Verantwortlichkeit in der Cloud-Nutzung.

1. Conferencing aus der Cloud

3. Wir befinden uns inmitten einer
grundlegenden Veränderung

4. Megatrends verändern unser
Privatleben & unsere Arbeitswelt

5. Virtuelle Teams gewinnen
an Bedeutung

6. Wissensarbeiter heute
• ... checken ihre Smartphones
bis zu 150 Mal proTag
• ... verbringen 28% ihrer Zeit mit
der Bearbeitung von E-Mails
• ... brauchen 67 Sekunden, um
sich nach einer Email wieder
auf etwas anderes zu
konzentrieren
• ... praktizieren zu 75% Multi-
Tasking während ihrer Meetings

17. CONSOLIDATE ALL MEETINGS, EVEN VERY LARGE AND TOWN-HALL STYLE,
ON SKYPE FOR BUSINESS

20. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
20
 Gelten für die Provider auch Anforderungen aus Übersee?
 „Objektive Anknüpfung“: Sitz der Vertragsparteien bzw. des
Providers, Ort der Vertragsunterzeichnung, Ort / Schwerpunkt der
Leistungserbringung (wo ist dieser bei virtueller Infrastruktur?)
 Freie (?) Rechtswahl in den Grenzen des IPR vs. „Standard Terms
and Conditions“
 Nur für Vertragsrecht (Servicepflichten, Zahlungsbedingungen
etc.) möglich, Datenschutzniveau nicht frei wählbar
 Rechtsnatur von Cloud-Verträgen
 Kein Vertragstypus „IT“, sondern typengemischte Verträge
 Qualifikation abhängig von Schwerpunkt
 IaaS = Dienst-/Werkvertragsrecht?
 PaaS = Dienst-/Werkvertragsrecht?
 SaaS = Mietvertrag (wie ASP)? -> verschuldensunabhängige
Haftung
 SLA
01 Die Wolke eingrenzen – Rechtswahl und Datenschutz

21. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
21
 § 1 Abs. 5 BDSG: Deutsches Recht anwendbar,
Territorialitätsprinzip
 Aber: der lange Arm des CIA („Patriot Act“) erreicht auch
„europäische Clouds“ US amerikanischer Anbieter
 Übermittlung von Daten außerhalb EU (§ 4b BDSG)
 „angemessenes Datenschutzniveau“?
 Binding Corporate Rules, EU Vertragsklauseln oder Safe Harbor
 § 11 BDSG, ADV: Sorgfältige Auswahl und Überwachung des
Anbieters
 Überwachung des ordnungsgemäßen Cloud-Betriebes wegen
Virtualisierungstechniken / Grids schwierig
 Mindestinhalte des ADV Vertrages nach BDSG?
 Kenntnis über alle Speicherorte und Subunternehmer
zwingend?
01 Die Wolke eingrenzen – Rechtswahl und Datenschutz

22. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
22
 IT-Sicherheit, als Aspekt des Datenschutzes
 Verfügbarkeit, Prozessstabilität und (physische) Sicherheit der
Prozesse
 Anforderungen Datenaufbewahrung und -archivierung
 Schutzmaßnahmen nach § 9 BDSG – auch bei Virtualisierung?
 Zertifizierung des Providers als Ruhekissen des Kunden
 §§ 4d, 4e, 4g BDSG: Aufgaben des Datenschutzbeauftragten,
Integration der Cloud ins Verfahrensverzeichnis?
 Benachrichtigungspflichten bei Feststellung eines Datenlecks,
soweit besonders sensible Daten betroffen sind (§ 42a BDSG)
 Sachliche (Fach) Hinweise: „Orientierungshilfe – Cloud
Computing“ der Datenschutzbehörden
01 Die Wolke eingrenzen – Rechtswahl und Datenschutz

23. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
23
 Zusätzlich: Datenschutzempfehlung der EU-Datenschutzbehörden (Stellungnahme
der Art. 29 Datenschutzgruppe – WP 196):
 Strenge zusätzliche Vorgaben für Auftragsdatenverarbeitungs-verträge (z.B.
Angaben über sämtliche Verarbeitungsorte, Versicherung der Einhaltung
rechtlicher Standards)
 EU Kommission schlägt Mustervertrag vor
 Weitere detaillierte Empfehlungen und Vorgaben
01 Die Wolke eingrenzen – Rechtswahl und Datenschutz

24. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
24
 Bei Cloud Computing wird die Verbindung von Software und
Hardware gelöst, damit ist auch das Modell der
Softwareüberlassung neu:
 Installation vom Datenträger vs. Online Zugriff ohne Installation
 Der Software-/Datenbankanbieter als Service Provider
 Installationsort der Software liegt beim Cloud-Anbieter
(Unbestimmbarkeit in virtualisierter Cloud-Umgebung
problematisch z.B. für Archivierungspflichten)
 Was bedeutet das rechtlich?
 Nicht die Qualität und Lauffähigkeit der Installationsdatei
entscheidet über Mangel oder Mangelfrei, sondern die
ununterbrochene Verfügbarkeit der Software (via
Netzanbindung) für den Kunden
 Statt Kauf-/Werkvertragsgewährleistung sind Mietrecht
(ununterbrochene Gebrauchsüberlassung) und
Dienstvertragsrecht (Service „mittlerer Art und Güte“)
anwendbar
02 Auf die Wolke zugreifen – SLA und Verfügbarkeitsgarantien

25. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
25
 SLA als Instrument der Qualitätssicherung:
 Für Dienstverträge gilt: „Leistungen mittlerer Art und Güte“
 Fehlt eine individuelle vertragliche Regelung, hat der Anbieter
grundsätzlich für eine 100%ige Verfügbarkeit einzustehen
 Im Mietrecht ist die ununterbrochene gebrauchsfertige
Überlassung die gesetzliche Zielvorgabe
 Netzanbindung über Internet kann nicht zu 100% sichergestellt
werden, liegt auch in der Mitverantwortung des Kunden
 SLA regeln daher individuelle Verfügbarkeitsvorgaben
 Verfügbarkeitsanforderungen variieren je nach Art der
Applikation
 Bei Mietmodell ist kein gesonderter Pflegevertrag mehr nötig
(fortlaufende „on demand“ Lizenzgebühren vs. Pflegegebühren)
 Support, Upgrade und Update müssen aber weiterhin geregelt
werden
02 Auf die Wolke zugreifen – SLA und Verfügbarkeitsgarantien

26. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
26
Gesetzlich vorgesehene Mängelgewährleistung ist oft
nicht praxistauglich:
 Was ist die vertraglich geschuldete „Soll-Leistung“?
 Welche gesetzliche Gewährleistung gilt dafür?
 Gewährleistungsrechte sind oft nicht umsetzbar
(Selbstabhilfe …) oder nicht zielführend (Minderung …).
 Wie werden finanzielle Ansprüche berechnet?
Lösung: Regelung unzureichender Leistungen in SLA
02 Auf die Wolke zugreifen – SLA und Verfügbarkeitsgarantien

27. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
27
Service Level Agreement (SLA)
 genaue Leistungsbeschreibung anhand KPI (Key Performance Indicator)
 „Soll-Größen“ für KPI mit Messintervallen
 Folgen von Unterschreitungen der Soll-Größen
(Malus, Gutschrift, Minderung, pauschaler Schadensersatz, etc.)
 ggf. Folgen für Vertrag bei dauerhaften schwerwiegenden
Unterschreitungen bestimmter KPI (gesonderte „Schwellwerte“)
 Verhältnis zu „Gewährleistung“ (abschließende Regelung: SLA, ggf. daneben noch
gesetzliche Mängelgewährleistungsrechte)
02 Auf die Wolke zugreifen – SLA und Verfügbarkeitsgarantien

28. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
28
 Rechtliche Einordnung des Vertragstypus hat auch Konsequenzen
für Vergütungspflicht und deren grundsätzliche Fälligkeit
 Gesetzliche Leitbilder:
 Kaufvertrag: direkt mit Übergabe bzw. Download
 Werkvertrag: nach erfolgter Abnahme
 Dienstvertrag: im Nachhinein, „kein Geld ohne Arbeit“
 Mietvertrag: fortlaufend im Voraus abhängig vom bestellten
Mietzeitraum
 In der Praxis:
 bei SaaS ist verbrauchsabhängige (z.B. pro genutzter
Rechnerstunde) Abrechnung im Nachhinein üblich
 Bei vorbestellten Hostingkapazitäten ist fortlaufende
Mietzahlung im Vorhinein üblich (auch wenn gemietete
Serverkapazität physisch nicht bestimmbar, sondern nur
virtualisiert vorhanden)
03 Die Wolke bezahlen – Vergütungsmodelle rechtlich betrachtet

29. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
29
 Wer Daten bei einem Dritten platziert, bleibt weiterhin für deren
Schutz und Sicherheit verantwortlich (datenschutzrechtlicher
Grundsatz)
 Lediglich die Ausführung kann delegiert werden, nicht die
Verantwortung
 Aber: Wie findet man den richtigen Service Provider, der einem das
garantiert?
 Checklisten der wichtigsten Anforderungen können helfen, z.B.
 BSI Richtlinie für Mindestsicherheitsanforderungen an Cloud
Computing-Anbieter
 BITKOM Leitfaden „Cloud Computing“
 „Orientierungshilfe – Cloud Computing“ der
Datenschutzbehörden
04 Die Wolke praktisch – Checkliste für Cloud Service Kunden

30. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
30
 Wirksames IT Sicherheitskonzept, idealerweise mit Zertifizierung belegt (z.B. ISO
27001)
 Mandantenfähige Systemarchitektur, die wirksame Datentrennung garantiert
 Wirksame physische Sicherung der Rechenzentren und virtuelle Sicherung der
Netzwerke
 Gesetzeskonforme und reproduzierbare Datenarchivierung
 Wirksame Verschlüsselung beim Provider und in der Kommunikation mit Kunden
 Funktionierendes ID- und Rechtemanagement
 Der Berechtigte bekommt nur die Daten zu sehen, die er sehen darf
 Umfassendes Monitoring und zeitnahe, aussagekräftige Reports
 24/7 erreichbares Incident Management und Troubleshooting
04 Die Wolke praktisch – Checkliste für Cloud Service Kunden

31. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
31
 Nachweis der Implementierung eines Standard Notfallkonzepts
 einschließlich regelmäßiger Überprüfung und Tests
 Regelmäßige Prüfung des IT Sicherheitszustands mit Nachweis
 Vertrauenswürdiges, geschultes und verpflichtetes Personal
 Transparenz schafft Vertrauen
 Offenlegung der Speicherorte, staatlicher Einsichtsrechte, eingesetzte
Subunternehmer, gesellschaftsrechtliche Mehrheitsverhältnisse
 Definierte Sicherheitsleistungen
 Absicherung und Rückgabe der Daten bei Insolvenz
 Gewährung von Auditrechten
 Portabilität und Rückforderungsrecht bzgl. der Daten
 Interoperabilität mit anderen Providern und Kundensystemen
 Datenschutz und allgemeine Compliance
04 Die Wolke praktisch – Checkliste für Cloud Service Kunden