Justitia in der Cloud

2012 wird in Österreich das Jahr des Cloud Computings. Zu diesem Ergebnis kommt eine Umfrage, die das Analystenhaus von IDC zusammen mit IBM Österreich aktuell unter mehr als 160 österreichischen CIO durchgeführt hat.

Cloud Computing ist aber für Anwender aus rechtlicher Sicht - bis dato - immer noch durchaus heikel - gerade aufgrund der Tatsache, dass Dienste meist über nationale Grenzen hinweg geleistet werden. Denn noch fehlen ein einheitlicher gesetzlicher Rahmen und internationale Standards, die die Auslagerung von Teilen der firmeneigenen IT-Landschaft regeln.

Wer also Cloud-Verträge rechtssicher gestalten will, sollte sich bei deren Gestaltung besondere Mühe geben. Die paneuropäische Brancheninitiative Eurocloud hat dafür einen Leitfaden entwickelt. Noch gilt dieser im deutschsprachigen Raum vor allem für Deutschland, "seit Ende April sind aber auch Ergänzungen für Österreich verfügbar", so Martin Reitbauer von Eurocloud Österreich. So ist vor allem der Bereich der sogenannten Service Level Agreements, die Einhaltung von Compliance Vorgaben sowie der Bereich Datenschutz und Haftung zu regeln.

Art des Vertrages

Grundsätzlich handelt es sich bei Cloud Computing, wenn man es von der reinen Nutzungsseite betrachtet, um einen Mietvertrag über einen Service.

Der Kunde hat dabei in der Regel eine vertragliche Bindung zu einem oder mehreren Cloud Providern, wobei diese harmonieren sollten, da diese sich sonst im Problemfall gegenseitig die Schuld zuweisen und so versuchen könnten, sich aus der Haftung zu stehlen. Eine andere Variante ist, dass sich ein Unternehmen eines Generalunternehmers (GU) bedient, der wiederum verschiedener anderer Cloud IT Unternehmer als Subunternehmer beauftragt. Hier ist der Vorteil, dass ein Unternehmen nur eine Ansprechperson und nur einen Vertrag mit diesem Anbieter im Auge behalten muss.

Grundsätzlich bieten sich bei der Vertragsgestaltung des Abrufs der Cloud-Leistungen drei Varianten an:

• zum einen eine verbrauchsabhängige Vergütung,
• zum zweiten der Abschluss eines Rahmenvertrages, der ein vertragliches Grundgerüst bildet und auch Regelungen zu Leistungen und Preisen von Einzelverträgen oder Bestellungen bildet
• sowie zum dritten ein sogenanntes Change-Verfahren, das Unternehmen eine weitreichende Hinzu- und Abbestellung der Leistungen bietet.

Dürfen die Daten Österreich verlassen?

Die nächste wichtige Frage, die zu klären ist: Wie weit soll die Auslagerung der Daten gehen? Rein interne Clouds, Private Clouds, Hybride Clouds oder Vollauslagerung? Die Rechtslage ändert sich je nach Stufe der Auslagerung. Viele sehen Cloud Computing als einen speziellen Outsourcing-Bereich mit neuen Spielregeln. Demnach gibt es auch eine ganze Reihe von Abstufungen in der Auslagerung. Technisch gesehen könnte man sogar hausintern bei manchen Lösungen schon von Clouds sprechen. Hier gibt es keine rechtlichen Bedenken.

Der nächste Schritt sind sogenannte private Clouds. Der Kunde lagert dabei die Infrastruktur an einen bestimmten Anbieter in ein bestimmtes abgeschlossenes Rechenzentrum aus. Hierbei handelt es sich eigentlich um Outsourcing. Die Rechtslage ist verhältnismäßig sicher. Wagt man sich weiter in die Wolke vor, bieten sich Hybrid-Modelle an, bei denen Unternehmen ihre Infrastruktur behalten und nur zu Spitzenzeiten auslagern, was mit noch größerer Flexibilität und Kostenersparnis lockt.

Gerade bei letzterem muss sich ein Unternehmen mit der Frage auseinandersetzen, wo die Daten gespeichert werden. Denn manche Anbieter halten die Standorte ihrer Rechenzentren geheim. So liefern beispielweise Anbieter wie Google und Co. keine Information über den Aufenthaltsort der Daten, denn sie verteilen die Daten auf der ganzen Welt, je nach Kapazitäten. Doch manche kritischen Informationen dürfen Österreich nach dem Datenschutzgesetz oder Vorgaben der Finanz gar nicht verlassen. Das allein mag noch kein Ausschlussgrund sein. Wichtig ist aber in jedem Fall zu wissen, worauf man sich einlässt.

Deshalb ist es eine entscheidende Frage, ob das Recht des Staates, in dem das Unternehmen niedergelassen ist oder das Recht des Staates des Verbrauchers zur Anwendung kommt. Innerhalb der EU gilt das Herkunftslandprinzip, das besagt, dass sich ein Dienstanbieter an die rechtlichen Anforderungen des Staates, in dem er niedergelassen ist, richten muss. Unter den Ausnahmen befinden sich Verbraucherverträge, in deren Fall das Recht des Verbraucherstaates anwendbar ist. In den USA hingegen gibt es meist keinen Verbraucherschutz und so ist hier meist das Recht des Staates in dem das Unternehmen niedergelassen ist, anzuwenden. Da dies in den USA aber sehr unklar und auslegungsbedürftig ist, liegt die Entscheidung oft bei der entscheidenden Instanz.

Der Trend des Datenauslagerns ist stark von US-amerikanischen Unternehmen getrieben - und wie bei so vielen jungen Entwicklungen, sind die Verträge oftmals nicht den heimischen rechtlichen Gepflogenheiten angepasst. "Oft wird hier mit formularartigen Verträgen gearbeitet, daran merkt man, dass die Entwicklung noch in den Kinderschuhen steckt", bekritteln deswegen viele Juristen.

Deswegen ist anzuraten, Service Level Agreements, also individuelle vertragliche Absprachen, mit dem Provider einzugehen. Die Verträge der internationalen Großkonzerne beinhalten oft keine Haftung und Gewährleistung in dem Sinne, wie sie für kontinentaleuropäische Verträge üblich sind. Für die Service Level gelten im Grunde die aus dem Outsourcing bekannten Grundsätze. Die vereinbarten Service Levels sollten die zentralen Leistungen erfassen, sind klar zu beschreiben und müssen auf die vertraglich geschuldeten Leistungen Bezug nehmen. Für den Fall der Nichteinhaltung empfiehlt es sich, Konsequenzen zu regeln, etwa Kündigungsrechte. Auch die Konsequenzen zu vertraglichen Mängelrechten und Reporting der Service Level sind zu vereinbaren. Bei Cloud Computing sollte man wegen der Natur des Dienstes zudem auch sogenannte Security Levels vereinbaren, die der Absicherung von Pflichten zur Vertraulichkeit, IT-Sicherheit und dem Datenschutz dienen.

Die Haftungsfragen

Es ist kein Zufall, dass Cloud Computing gerade im Finanz- und Versicherungsbereich noch wenig verbreitet ist. Je kritischer die Daten, die das Unternehmen über ein Cloud-Modell aus der Hand gibt, desto schwerwiegender können die Folgen sein. Cloud-Computing ist deswegen derzeit vor allem für Anwendungen ohne personenbezogene Daten geeignet, nicht für geschäftskritische Inhalte.

Denn Haftung ist hier immer ein Thema, weil es unterschiedlichen Verpflichtungen gegenüber verschiedenen Gruppen nachzukommen gilt, etwa Mitarbeitern, Lieferanten oder Kunden. So könnte es beispielsweise neben vertraulichen Kundenunterlagen auch bei steuerrechtlich relevanten Daten Probleme geben. Denn es bleibt in der Verantwortung des Kundenunternehmens, Aufbewahrungs- und Verfügbarkeitspflichten zu einzuhalten.

Nutzer-Pflichten

Nicht nur der Anbieter von Cloud Anwendungen, sondern auch deren Nutzer haben Verpflichtungen, die keinesfalls vernachlässigt werden dürfen. Wer übersieht, dass gegenüber dem Cloud-Provider eine gewisse Holschuld besteht und sich nicht ausreichend informiert hat, kann schneller in die Haftungsfalle geraten, als ihm lieb ist, warnen Rechtsanwälte. Egal mit welchem Anbieter man Cloud-Verträge abschließt - es ist immer ratsam, sich externe Berater an Bord zu holen. Hier argumentieren nicht nur die IT-Anwälte für ihr eigenes Geschäft, es ist auch sinnvoll, etwa auf das Wissen von IT-Unternehmensberatern zurückzugreifen.

Denn diverse Rechtsinitiativen auf EU-Ebene könnten noch in diesem Jahr Klärung einiger noch offener Fragen bei Cloud-Verträgen bringen - besonders mit Blick auf den Datenschutz. Möglicherweise lohnt es sich für auslagerungswillige Unternehmen, derzeit noch etwas abzuwarten.

Kontakt bei Fragen

WKO Wien, Fachgruppe UBIT: www.wko.at

Das paneuropäische Netzwerk Eurocloud ist eine Interessensvertretung für die nationale und europäische Cloud Computing-Branche: www.eurocloud.at.