e:2.17 Beschaffung von Cloud Services

Das Marketingwort «Cloud» sagt nichts über die Rechtsbeziehung und Leistung aus

Die IT-Industrie hat in den letzten Jahren zahlreiche standardisierte IT-Services entwickelt, welche zu attraktiven Konditionen angeboten werden. Solche Services werden häufig unter der Bezeichnung «Cloud» vermarktet, bisweilen auch in Kombination mit präzisierenden Begriffen wie Public Cloud, Private Cloud oder Hybrid Cloud. Weitere gängige Schlagworte im Zusammenhang mit Cloud-Services sind SaaS (Software as a Service), PaaS (Platform as a Service) oder IaaS (Infrastructure as a Service). Alle diese Bezeichnungen sind unscharfe Marketingbegriffe, die weder durch Gesetze noch durch Normen spezifiziert sind. Welche Leistung erbringt der Anbieter und welche Zusicherungen macht er betreffend deren Verfügbarkeit? Was geschieht mit den Daten des Kunden? Wer hat Zugriff zum gleichen Dienst? Das alles erschliesst sich erst bei einer Analyse der technischen Beschreibung und der rechtlichen Nutzungsbedingungen. Sind die von den Anbietern zur Verfügung gestellten Unterlagen zu wenig präzise, müssen weitere Abklärungen getätigt werden.

Besonderheiten von Cloud-Services 

Allen Cloud-Services gemein ist, dass der Kunde nicht Eigentums- oder Nutzungsrechte an konkret definierten Produkten erwirbt. Er erhält weder Hardware noch eine Softwarelizenz, sondern nur das Recht, einen IT-Dienst zu nutzen. Der Dienst wird vom Anbieter auf eigenen Servern betrieben oder er beauftragt Dritte mit dieser Leistung. Der Zugriff des Kunden erfolgt über das Internet oder eine WAN-Anbindung. Der Kunde hat keinen physischen Zugriff auf die Hardware und keine Verfügungsgewalt (Installation, Update, Deinstallation) über die Software. Sein Nutzungsrecht ist auf den reinen Gebrauch der vom Anbieter betriebenen Software beschränkt. 

Bei Cloud-Services handelt es sich um stark standardisierte Produkte. Sie werden vom Anbieter unabhängig von konkreten Kundenanfragen entwickelt und vermarktet. Der Anbieter definiert, welche Funktionalität zur Verfügung steht, und der Kunde kann nur aus den angebotenen Optionen auswählen. Er kauft seine Informatiklösung quasi «ab Stange». Dadurch unterscheiden sich Cloud-Dienste vom «Massanzug» des klassischen Outsourcings, welches auf einen konkreten Kunden zugeschnitten wird.

Schliesslich werden Cloud Services regelmässig auf stark virtualisierten und dezentralisierten IT-Infrastrukturen betrieben. Dies führt dazu, dass die entsprechenden Leistungen regelmässig einfach und stark skalierbar ausgestaltet sind und der Kunde entsprechend einfach und schnell an zusätzliche Einheiten gelangt.

Rechtliche Erwägungen bei der Beschaffung und Nutzung von Cloud-Services

Aus der Charakteristik von Cloud-Services resultieren einige rechtliche Besonderheiten, die bei der Beschaffung solcher Services zu berücksichtigen sind. 

Datenschutz: Durch die Auslagerung der Datenverarbeitung verliert der Kunde den direkten Zugriff zu seinen Daten. Dies ist zwar auch beim Outsourcing der Fall, dort werden die Daten jedoch regelmässig auf einer ausschliesslich für den Kunden betriebenen IT-Infrastruktur an einem bekannten Standort verarbeitet. Bei Cloud-Services ist das nicht gewährleistet. Die Daten einer Vielzahl von Kunden werden auf der gleichen Plattform verarbeitet. Die Trennung der eigenen Daten von den Daten anderer Kunden erfolgt rein virtuell über Zugriffsrechte. Der Standort der physischen IT-Infrastruktur (bzw. der Standort der darauf gespeicherten Daten) ist dem Kunden oft nicht bekannt.

Nach Art. 7 des Datenschutzgesetzes (DSG) muss ein Dateninhaber die Datensicherheit gewährleisten. Dazu muss er die zum Schutz der Daten erforderlichen technischen und organisatorischen Massnahmen treffen. Das Schutzniveau ist von der Art der bearbeiteten Daten abhängig. Bevor die Datenbearbeitung in die Cloud ausgelagert wird, sind rechtliche Abklärungen zur Zulässigkeit einer solchen Auslagerung und zum allenfalls erforderlichen Schutzniveau zu tätigen. Dazu kommt, dass eine Übermittlung von Personendaten ins Ausland je nach Land, in welchem die Datenbearbeitung geschieht, eine Meldung an den Datenschutzbeauftragten nötig macht. Und: Die Verletzung von Datenschutzbestimmungen ist kein Kavaliersdelikt mehr. Die europäische Datenschutz-Grundverordnung, welche auch auf Schweizer Unternehmen Anwendung findet, wenn diese Daten von Personen mit Wohnsitz in der EU bearbeiten, sieht Bussen von bis zu EUR 20 Millionen bzw. 4% des Jahresumsatzes vor. Und auch dem DSG steht eine Anpassung bevor, mit welcher sich die Strafen für Verletzungen signifikant erhöhen dürften.

Records Management und Archivierung: Unternehmen sind verpflichtet, bestimmte Daten während einer gewissen Zeit aufzubewahren, z.B. Geschäftsbücher und Buchungsbelege während zehn Jahren. Die Verfügbarkeit von Daten wird zwar auch durch Anbieter von Cloud-Services versprochen und technisch abgesichert. Was ist jedoch, wenn der Anbieter den Betrieb einstellt, weil er das Geschäft aufgibt, übernommen wird, in Konkurs geht oder von einer Regierung dazu gezwungen wird? Dieses sogenannte Gegenpartei-Risiko besteht bei einer selber betriebenen IT naturgemäss nicht. Es ist umso grösser, je exotischer der Standort des Anbieters von Cloud-Services ist. Insbesondere sollten in diesem Zusammenhang auch politische Risiken berücksichtigt werden. 

Werden entsprechende Unterlagen nur elektronisch aufbewahrt, so bestehen darüber hinaus Vorschriften zur elektronischen Archivierung. Dabei gilt es zu prüfen, ob der Cloud-Dienst diesen Vorgaben entspricht. 

Geheimnispflichten: Der Nutzung von Cloud-Diensten können gesetzliche Geheimnispflichten entgegenstehen (zu denken ist etwa an das Amts- oder Berufsgeheimnis). Dies gilt es vor der Nutzung der entsprechenden Dienste zu prüfen.

Vertragsgestaltung und die Vertragsverhandlung: Cloud-Services sind stark standardisiert. Der Kunde bezieht einen Service (allenfalls angereichert mit Optionen) in der Regel in derjenigen zugesicherten Qualität und in der Art, wie ihn der Anbieter allen seinen Kunden anbietet. Selbstverständlich sind auch Cloud-Provider auf ihre Kunden angewiesen und sie müssen sich an deren Bedürfnissen orientieren. Sie tun dies jedoch im Vorfeld beim Aufbau des Cloud-Service. Steht der Service, wollen und können Cloud-Provider einzelnen Kunden keine Zugeständnisse machen. Dies gilt auf jeden Fall für die Leistungskriterien (SLAs) des angebotenen Services. Ein anderes Thema ist der Preis, über welchen je nach Anbieter und Kundenvolumen durch[1]aus verhandelt werden kann.

Vertragsdauer: Der grosse Vorteil von Cloud-Services liegt (neben den günstigen Kosten) in der Flexibilität. Der Anbieter ermöglicht dem Kunden in aller Regel, den Leistungsumfang jederzeit aufzustocken. Er sollte Leistungen aber auch wieder abbestellen können. Lange Kündigungsfristen haben in Cloud-Verträgen deshalb nichts verloren, zumindest nicht für den Kunden. Hingegen ist es gerechtfertigt, dem Cloud-Provider längere Kündigungsfristen zuzumuten. Bei Cloud-Verträgen sind deshalb asynchrone Kündigungsregelungen anzutreffen mit einer kurzen Kündigungsfrist für den Kunden und einer langen für den Provider.

Rückübernahme: Wer Daten in die Cloud auslagert, sollte sich Gedanken darüber machen, wie die Datenbearbeitung wieder zurückgenommen oder auf andere Anbieter übertragen werden kann. Ist der Kunde dazu auf die Dienstleistungen des Cloud-Anbieters angewiesen? Und falls ja: Sichert der Anbieter seine Unterstützung zu? Zu welchen Konditionen? Werden die Daten in einem standardisierten Format zurückgegeben? Wann löscht der Anbieter die Daten von seinen Systemen? Das gilt es vertraglich abzusichern.

Fazit

Cloud-Services können eine effiziente und kostengünstige Alternative zur eigenen IT sein. Sie eignen sich jedoch nicht in jedem Fall. Vor dem Entscheid zur Auslagerung der IT in die Cloud sind nicht nur Fragen des IT-Betriebs sondern auch rechtliche Fragen sorgfältig abzuklären. 

Wir bieten Beratung, Verhandlungsbegleitung und Prozessvertretung im Hinblick auf die Beschaffung von IT-Leistungen und unterstützen Sie gerne praxisgerecht, rasch und effizient.

epartners Rechtsanwälte AG