Immer mehr mittelständische Unternehmen streben in die Cloud. Angesichts kontinuierlich wachsender Anforderungen an Rechenleistung und Zugriffsmöglichkeiten verspricht die Migration von Daten und IT-Anwendungen in die extern gehostete "Cloud" Vorteile.

Dazu gehören mehr Flexibilität, mehr Kostentransparenz und mehr Sicherheit im Vergleich zu Inhouse-Lösungen, wenn man den "richtigen" Cloud-Dienstleister wählt. Wer "in die Cloud" gehen möchte, sollte vorab neben einer genauen Analyse der technischen und organisatorischen Vorraussetzungen für die Cloud-Nutzung die Vertragsgestaltung mit dem Cloud-Computing-Anbieter gründlich unter die Lupe nehmen.

Der neue Leitfaden des Kompetenzzentrums Trusted Cloud hilft, die wichtigsten juristischen Herausforderungen bei der Gestaltung von Cloud-Computing Verträgen zu meistern.

Vorsicht vor Kleingedrucktem
Woran erkennt man einen guten Cloud-Computing-Anbieter? Unter anderem, so wie bei jedem Vertragsabschluss, am "Kleingedruckten". "Das gilt erst recht für den Umgang mit wertvollen Daten", sagt Georg Borges, Professor für IT-Recht an der Universität des Saarlandes.

Zusammen mit Experten des Kompetenzzentrums Trusted Cloud hat er einen Leitfaden zur Vertragsgestaltung beim Cloud Computing erstellt. Borges ist überzeugt: "Gerade bei Verträgen lässt sich erkennen, ob die Leistung stimmt oder nicht."

Konkrete Maßnahmen zur Datensicherheit vereinbaren
Zu den wichtigsten rechtlichen Fragen in der Cloud gehört zweifellos der Datenschutz. "In jedem Vertrag zum Cloud Computing sollte es detaillierte Vereinbarungen zu Datensicherheit, Datenschutz und Geheimhaltung geben" sagt der Experte für IT-Recht.

"Deutsche Cloud-Kunden, die personenbezogene Daten in der Cloud verarbeiten lassen, sind sogar verpflichtet , dazu mit dem Anbieter einen schriftlichen Vertrag abzuschließen". Einem mittelständischen Unternehmen rät Borges: "In dem Vertrag muss man den Cloud-Dienstleister dazu verpflichten, konkrete technische und organisatorische Maßnahmen zur Datensicherheit zu ergreifen."

Serviceleistungen regeln
Ebenfalls per Vertrag geregelt werden sollten Themen rund um die Qualität des Dienstes. Wichtig sind unter anderem die Fragen, ob die Mitarbeiter des Cloud-Dienstleisters rund um die Uhr verfügbar sind, wie viel das kostet und wie schnell ein Problem behoben werden muss. "Um Streit über die geschuldete Qualität und Güte der vereinbarten Leistungen zu vermeiden, sind ausgewogene Leistungsbeschreibungen, sogenannte "Service Level Agreements", wichtig."

Georg Borges empfiehlt, die Service Level Agreements, kurz SLA, in einem gesonderten Teil des Cloud- Vertrages zu verabreden. "Dort wird dann bestimmt, welche Qualität geschuldet ist und welche Rechtsfolgen ein Verstoß nach sich zieht."

Urheber- und Nutzungsrechte klären
Ob die Leistung des Cloud-Anbieters stimmt, lässt sich auch daran erkennen, wie Fragen rund um Urheber- und Nutzungsrechte verabredet werden. In der Regel arbeiten Cloud-Anbieter mit urheberrechtlich geschützter Software um ihre Leistung erbringen zu können. Häufig setzen sie dabei auch patentrechtlich geschützte Verfahren ein, für die sie sich die notwendigen Nutzungsrechte beschaffen müssen.

Sollte solch eine Software oder solch ein Verfahren auch auf den Rechnern des Kunden eingesetzt werden, ist es wichtig, diese Nutzung vertraglich genau zu regeln. IT-Jurist Borges rät in dieser Situation: "Kunden aus dem Mittelstand sollten sich von allen Ansprüchen Dritter freistellen lassen."

Vertragsleitfaden zum downloaden
Weitere Vorschläge für gute Geschäftsvereinbarungen in der Cloud sind in dem Leitfaden "Vertragsgestaltung beim Cloud Computing" des Kompetenzzentrums Trusted Cloud zusammengestellt. Das Technologieprogramm Trusted Cloud des Bundesministeriums für Wirtschaft und Energie (BMWi) unterstützt seit September 2010 die Entwicklung innovativer, sicherer und rechtskonformer Cloud-Lösungen, die sich insbesondere für den Einsatz im Mittelstand eignen.

Zu weiteren wichtigen Rechtsfragen rund um das Cloud Computing hat die Arbeitgruppe "Rechtsrahmen des Cloud Computing" im Kompetenzzentrums u. a. Leitfäden, zum Lizenzierungsbedarf beim Cloud Computing und zum Einsatz von Open Source Software in der Cloud erstellt, die in diesem oft schwer durchschaubaren Feld Übersicht schaffen.

Checkliste: Diese Fragen sollten beim Cloud Computing vertraglich geregelt sein:

  • Welches Recht gilt: Wo ist der Gerichtsstand?
  • Werde ich schnell informiert, wenn etwas schief läuft?
  • Gibt es eine Planung für den Notfall - beispielsweise wenn der Dienstleister ausfällt?
  • Wie bin ich abgesichert?
  • Was passiert, wenn bei mir der Strom ausfällt - kann ich dennoch auf die Cloud zugreifen?
  • Wie gut ist der Service: Sind bei Fragen die Mitarbeiter des Dienstleisters rund um die Uhr verfügbar und wie teuer ist das?
  • Wie teuer wird es, wenn ich zusätzliche Cloud-Kapazität nachbuchen möchte?
  • Wie werden Probleme gehandhabt?
  • Fallen externe Kosten an, wenn ein Techniker kommen muss?
  • Was passiert bei entgangenem Gewinn?

Über das Technologieprogramm Trusted Cloud
"Trusted Cloud" ist ein Technologieprogramm des Bundesministeriums für Wirtschaft und Energie (BMWi) mit dem Ziel der Entwicklung und Erprobung innovativer, sicherer und rechtskonformer Cloud-Computing-Lösungen. 14 Projekte mit Beteiligten aus insgesamt 36 Unternehmen, 27 wissenschaftlichen Einrichtungen und vier weiteren Institutionen erarbeiten Technologien und Cloud-Anwendungen für die Bereiche Industrie, Handwerk, Gesundheit und den öffentlichen Sektor. Die Forschungs- und Entwicklungsaktivitäten haben im September 2011 begonnen und werden Anfang 2015 enden.

Weitere Beiträge....