Cloud Computing: Auf den Vertrag kommt es an
Cloud Computing ist noch nicht weit verbreitet. Deswegen sind genaue Regelungen in den Verträgen zwischen Provider und Nutzer unerlässlich. Vor allem Datenschutz und Compliance-Richtlinien müssen auch beim Auslagern von Daten gewährleistet sein. Welche Fallstricke drohen und worauf Nutzer achten sollen, erklärt PwC-Rechtsexperte Dr. Jan-Peter Ohrtmann.
Mit Cloud Computing beginnt eine neue Zeitrechnung. Unternehmen beziehen Software aus dem Internet und lagern Daten auf externen Servern. Anbieter und Nutzer betreten ein bisher unbekanntes Terrain. Es stellen sich Fragen, die in Verträgen genau beantwortet sein sollten: Sind die Daten sicher? Wie überträgt der Anbieter bei Vertragsende die Daten? Wo werden die Daten gelagert? Oder: Kann der Anbieter Subunternehmer einsetzen und dürfen diese Daten in einem Drittland lagern?
Bisher noch keine allgemein verbindlichen Standards
"Probleme können beim Cloud Computing daraus entstehen, dass es noch keine allgemeinen verbindlichen Standards gibt", sagt PwC-Rechtsexperte Jan-Peter Ohrtmann. Deswegen kommt der Vertragsgestaltung zwischen Anbieter und Nutzer eine wichtige Rolle zu. Der Ratschlag des Experten: "Leistungen und Verpflichtungen sollten in den Verträgen exakt definiert sein, um Unklarheiten zu verhindern", betont Ohrtmann.
"Das fängt zum Beispiel bei der Frage an, wie weit die Rechte für die Nutzung einer Software reichen", erklärt Ohrtmann. Sind sie übertragbar, erfassen sie auch die Nutzung im Cloud-Computing-Umfeld? Hier sind genaue Vertragsbedingungen gefragt. Als großer Vorteil von Cloud Computing gilt der Abbau von fixen Kosten, weil Unternehmen ja nur bei Bedarf die Dienstleistungen in Anspruch nehmen. "In der Realität ist diese Flexibilität nicht immer in den Nutzungsbedingungen abgebildet." Daher sollten Nutzer die ihnen vorgelegten Verträge auf die Eignung für ihre Zwecke prüfen.
Gesetzlich zur sorgfältigen Auswahl eines Cloud-Providers verpflichtet
Generell sollten Nutzer auf strenge vertragliche Bestimmungen Wert legen, wenn sie Daten extern speichern lassen. Auch wenn die Daten physisch nicht mehr auf dem Server des Nutzers liegen, bleibt er datenschutzrechtlich in der Verantwortung. Er ist deswegen gesetzlich zur sorgfältigen Auswahl eines Cloud-Providers verpflichtet. "Die Nutzer müssen den Provider detailliert zur Einhaltung des Datenschutzes verpflichten", sagt Ohrtmann.
In Verträgen sollte genau geregelt sein, wie der Provider die Daten verarbeitet, welche Maßnahmen er zum Datenschutz trifft und ob er Subunterunternehmer einschalten darf. Eine Verlagerung von Daten in einen Drittstaat sollte nur dann möglich sein, wenn in dem Land ein vergleichbares Datenschutzniveau wie in der Europäischen Union herrscht. Denn nicht überall sind die Nutzer auf der sicheren Seite. So erfüllen zum Beispiel die USA nicht generell die strengen EU-Standards. Eine Lösung: US-Provider unterwerfen sich freiwillig den sogenannten Safe-Harbour-Bestimmungen.
Eindeutige Exit-Regeln sind ein wichtiger Bestandteil
Ein wichtiges Thema ist auch die Übergabe von Daten am Ende der Vertragszeit. "In Verträgen müssen die Modalitäten der Übergabe von Daten genau vereinbart sein", empfiehlt Ohrtmann. Eindeutige Exit-Regeln sind ein wichtiger und wesentlicher Bestandteil. "Auch im Fall der Insolvenz des Providers müssen die Daten sicher übertragen werden." Hier sollten Notfallregeln zum Einsatz kommen.
Bei den Verträgen sollten Nutzer möglichst einen deutschen Gerichtsstand vereinbaren. Im Streitfall lassen sich so die Kosten senken.
- Markus Vehlow
- Frankfurt am Main
- Tel: +49 69 9585-2293
- Fax: +49 69 9585-939234
- Dr. Jan-Peter Ohrtmann
- Düsseldorf
- Tel: +49 211 981-2572
- Fax: +49 211 981-4790
Weitere Informationen
Cloud Computing
Cloud Computing verändert die IT-Landschaft. Doch worauf müssen Anbieter und Nutzer achten? Welche Besonderheiten gelten für Vertrag und Datenschutz? Verschaffen Sie sich einen Überblick, worauf es ankommt.