Analysen
28. August 2013
AUTOR: Businesscloud.de

Cloud-Vertrag: Das stärkere Recht

Die USA sind derzeit nicht gerade das Land, das Anwendern und Unternehmen als erstes in den Sinn kommt, wenn es darum geht, ein möglichst sicheres Plätzchen für ihre Daten auszuwählen. Doch nicht nur staatliche Schnüffelstellen wie NSA, Prism & Co. bereiten ihnen Kopfzerbrechen. Unternehmen, die etwa Cloud-Computing-Services von US-amerikanischen Anbietern nutzen möchten, müssen bei den Verträgen ganz genau in das Kleingedruckte schauen. Cloud-Verträge - Das stärkere Recht - 600

Schließen Unternehmen einen Cloud-Vertrag mit einem US-amerikanischen Anbieter, sollten sie genau auf die Details achten.

Vor Gericht und auf hoher See ist man in Gottes Hand, lautet ein altes Sprichwort. Über eine gehörige Portion Gottvertrauen müssen wohl auch diverse US-amerikanische Cloud-Computing-Provider verfügen, wenn sie die in ihrem Heimatland geltenden Vertragsbestimmungen und -klauseln einfach übernehmen und übersetzen, anstatt sie an die im Land des Kunden herrschende Rechtsordnung und die dortigen Rechtsbegriffe anzupassen. Andere wiederum haben zwar ihre Geschäftsbedingungen an das hiesige Recht angepasst, dabei jedoch eine Reihe von Bestimmungen in die Vertragstexte aufgenommen, die in der Praxis schlicht nicht durchführbar beziehungsweise einklagbar sind. Zu diesen (und weiteren) Befunden gelangt eine Studie, die die auf IT-Recht spezialisierte internationale Kanzlei Bird & Bird kürzlich unter dem Titel „Cloud for the German Market – Are we getting there? A Rough Line Legal Comparison“ veröffentlicht hat. Dafür haben die Rechtsexperten die „Cloud Standard Agreements“ der in Deutschland tätigen Cloud-Provider Amazon Web Services, HP, IBM, Microsoft, Oracle, Salesforce und SAP unter die Lupe genommen. Die zahlreichen Mängel in der Vertragsgestaltung haben laut Bird & Bird auch zu einer bemerkenswert niedrigen Akzeptanz dieser Anbieter im Geschäftskundensektor (B2B) geführt, die keineswegs nur auf kleine und mittelständische Unternehmen (KMU) beschränkt ist.

Mängel und Lücken in Verträgen von US-Cloud-Anbietern

Im Einzelnen haben die Anwälte die Vertragsbestimmungen nach den folgenden Kriterien beziehungsweise Sachbereichen abgeklopft: Lizenzierung, Gewährleistungspflicht, Haftung, Datenschutz und Exit Management (Ausstieg aus Vertragsbeziehung). Schon beim Punkt Lizenzierung fällt auf, dass durchweg alle Anbieter entsprechende Klauseln in ihre Verträge eingebaut haben, obwohl Nutzer von Cloud-Leistungen „as a service“, sei es Infrastruktur (IaaS), Plattform (PaaS) oder Software (SaaS), in der Regel gar keine Software kopieren, also auch keine Software-Lizenzen benötigen. Des Weiteren sehen manche Klauseln Nutzungsbeschränkungen bezüglich User-Anzahl und CPU-Klassen vor, und bisweilen wird gar von Software-Mietmodellen gesprochen anstatt von Cloud-Services. Cloud-Verträge - Studie Bird and Bird - Lizensierung

Verwirrung stiften unter anderem die Vertragsklauseln zum Thema Lizenzen – denn diese erwirbt der Anwender überhaupt nicht, wenn er eine Cloud-Software nutzt. (Quelle: Bird & Bird)

Alle von Bird & Bird überprüften Standardverträge enthalten Gewährleistungsklauseln im Fall von Materialfehlern oder Rechtsmängeln. Nach hierzulande geltender Rechtsprechung sind Anbieter zudem verpflichtet, während der gesamten Vertragslaufzeit für die einwandfreie Funktionsfähigkeit der Software Sorge zu tragen, ohne dass Anwendern dafür über den vereinbarten Preis hinaus zusätzliche Kosten entstehen. Einige Anbieter bauen jedoch in ihre Vertragsbestimmungen eine zeitlich begrenzte Gewährleistung ein (meist auf ein Jahr) oder wollen gar einen Haftungsausschluss geltend machen. Das Argument: Da eine Software „naturgemäß“ nie frei von Defekten sei, könne sich der Cloud-Vertrag nur auf die zum Zeitpunkt der Indienststellung gelieferten Software-Services beziehen. Doch sind weder eine begrenzte Garantiezeit noch ein solcher Haftungsausschluss mit dem deutschen Recht vereinbar. Cloud-Verträge - Studie Bird and Bird - Haftbarkeit

Auch bei der Haftbarkeit gehen die Anbieter eigene Wege – und lassen den Kunden für Softwarefehler bezahlen. (Quelle: Bird & Bird)

Hinzu kommt: Nur in der Hälfte aller untersuchten Verträge werden die Kunden durch entsprechende Bestimmungen ausdrücklich vor Entschädigungsansprüchen Dritter geschützt, wie sie etwa bei Verletzungen des Schutzrechts auf geistiges Eigentum entstehen können. Und in allen Vereinbarungen haben Bird & Bird zahlreiche Klauseln zum Haftungsausschluss gefunden, die vor deutschen Gerichten nicht Bestand haben würden. Die Anbieter riskieren damit, im Fall einer Klage gemäß der hierzulande gültigen gesetzlichen Haftungsvorschriften behandelt zu werden – deutsches Recht hat bei Cloud-Verträgen grundsätzlich Vorrang vor ausländischem Recht.

Datenschutz ist kein US-Spezialgebiet

Die Anwälte von Bird & Bird schreiben des Weiteren, dass „überraschenderweise“ nicht alle Verträge „Vereinbarungen zur Auftragsdatenverarbeitung“ enthalten, die nach deutschem Recht aber unabdingbar sind, wenn Nutzer personenbezogene Daten auslagern. Im Licht der jüngsten Datenschutzskandale, in die US-amerikanische Behörden verwickelt sind, wirkt dies nicht mehr ganz so überraschend. Gleichwohl sind die Anforderungen von § 11 des Bundesdatenschutzgesetzes (BDSG) zum Punkt „personenbezogene Daten“ unmissverständlich, ebenso wie die Vorschriften des § 9 BDSG bezüglich der Dokumentation technischer und organisatorischer Maßnahmen. Doch auch hier herrscht weitgehend Fehlanzeige in den Verträgen, wie die Rechtsexperten festgestellt haben. Cloud-Verträge - Studie Bird and Bird - Datenschutz

Vereinbarungen zur Auftragsdatenverarbeitung? Nach deutschem Recht unabdingbar in den Verträgen, fehlen sie de facto jedoch oft. (Quelle: Bird & Bird)

Zusätzliche Probleme entstehen, wenn ein Provider seine Backend-Infrastruktur nicht innerhalb der EU respektive des Europäischen Wirtschaftsraums betreibt. Für diesen Fall müssten die Verträge Sicherheitsvorkehrungen und Bestimmungen entlang der EU-Musterklauseln beziehungsweise der Safe-Harbor-Regelung enthalten – ganz abgesehen davon, dass die Auslagerung bestimmter sensibler Daten wie Gesundheitsdaten in internationale Clouds von den zuständigen deutschen Datenschutzbehörden ohnehin stets abgelehnt wird. Ein grundsätzliches Manko aller Verträge liegt zudem darin, dass sie das Thema der internationalen Auslagerung in ihren Bestimmungen nur sehr allgemein streifen. Mit anderen Worten: Es herrscht ein erheblicher Mangel an Transparenz und Information der Anwender über den tatsächlichen jeweiligen Aufbewahrungsort ihrer Daten. Und noch eine weitere beunruhigende Entdeckung haben Bird & Bird gemacht: In fast allen Verträgen fehlt eine Vereinbarung, die den Cloud-Provider verpflichtet, seinen Kunden im Falle von Daten-Lecks sofort zu informieren. Dies könnte also dazu führen, dass der Kunde über einen längeren Zeitraum völlig ahnungslos bleibt – obwohl er laut Gesetz dazu verpflichtet ist, entsprechende Daten-Lecks sofort anzuzeigen. Alles in allem bleibt festzuhalten, dass auf dem Feld des Datenschutzes und der Dokumentation auf die US-amerikanischen Cloud-Provider noch sehr viel Arbeit wartet.

Vertraglich für den Absprung aus der Wolke vorsorgen

Als „unterentwickelt“ bewerten die Anwälte von Bird & Bird schließlich auch die vertraglichen Vorkehrungen für einen sauberen Abgang aus der Cloud – sei es, um den Anbieter zu wechseln oder das Datenmanagement wieder in Eigenverantwortung und unternehmenseigenen Rechenzentren zu betreiben. Doch die Definition von einfachen „plug & pull“-Ausstiegsszenarien für eine saubere Datenmigration ist in den untersuchten Verträgen alles andere als Standard. Unternehmen sollten jedoch in ihrem ureigenen Interesse darauf bestehen, von Anfang an festzulegen, dass ihre Daten in einem anwendbaren und migrationsfähigen Format abgelegt werden und im Migrationsfall eine ordnungsgemäße und vollständige Löschung in der Cloud des bisherigen Anbieters erfolgt. Anders ist ein „clean exit“ nicht zu bewältigen. Neben den richtigen Datenformaten gehören im Übrigen auch ausreichend bemessene Migrationsfristen zu den Voraussetzungen für eine erfolgreiche Datenübergabe. Ansonsten droht das „Vendor Lock-in“-Syndrom, sprich die gefühlte Auf-Gedeih-und-Verderb-Abhängigkeit von einem Cloud-Provider, die Anwender und Unternehmen tunlichst vermeiden sollten. Cloud-Verträge - Studie Bird and Bird - Exit Management

Unternehmen sollten auf Regelungen zum Exit Management achten, ansonsten droht der „Vendor Lock-in“. (Quelle: Bird & Bird)

Fazit

Unter dem Strich haben die Bird & Bird-Anwälte nahezu bei allen Anbietern und ihren Standardverträgen Nachbesserungsbedarf ausgemacht. So sind die Bestimmungen zu Gewährleistung und Haftung größtenteils nicht vereinbar mit den hierzulande geltenden Bestimmungen. Weitere Fallstricke für Anwenderunternehmen lauern beim Datenschutz und seiner Dokumentation; hier mangelt es nicht zuletzt auch an Transparenz. Last but not least sind die Bedingungen für eine eventuelle Beendigung des Vertragsverhältnisses und ein Exit Management wenig kundenfreundlich. So kann es kaum verwundern, dass die Akzeptanz US-amerikanischer Cloud-Anbieter unter deutschen Unternehmen bislang sehr überschaubar ist. In komplizierten Materien wie Recht, Gesetzen und Vertragsgestaltung hat es eben seine Vorteile, wenn Anbieter und Kunde nicht nur im übertragenen Sinn die gleiche Sprache sprechen.

Seite teilen

Must Reads von anderen Tech-Seiten
silicon.de: Safe-Harbor-Nachfolger – EU-Datenschützer verlangen Nachbesserungen Weiterlesen

 

CANCOM.info: Drei Gründe für die Hybrid Cloud – Das leistet der Cloud-Mix in Unternehmen Weiterlesen

 

Scope Online: Cloud Computing in der Produktion – Drei Mythen über Business Cloud-Lösungen  Weiterlesen

Pressemitteilungen

München/Köln, den 30. Juni 2016 – In der umfassendsten Analyse des deutschen Marktes für Cloud-Computing-Services im B2B-Bereich ... Weiterlesen
Köln, den 21. Juni 2016 – PIRONET macht Anwendern den Umstieg auf die neue Anwendungssuite SAP S/4HANA ab sofort besonders leicht: Kunden ... Weiterlesen
München/Köln, 19. April 2016 – Der IT-Konzern CANCOM hat einen neuartigen Marktplatz für Softwareanwendungen aus der Cloud ... Weiterlesen
München/Köln, den 18. Februar 2016 – Das Immobilien-Unternehmen Tectareal hat nach der Herauslösung aus dem Hochtief-Konzern ... Weiterlesen