Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

25.05.2001 - 

Bundeswirtschaftsministerium legt Mustervertrag zum Web-Hosting vor

Mehr Verwirrung als Nutzen gestiftet

Im Rahmen seiner Initiativen für mehr Datensicherheit und als Konsequenz der raschen Verbreitung des Web-Hosting ist das Bundeswirtschaftsministerium in die Offensive gegangen und hat einen Mustervertrag entworfen. Durch seinen allgemeinen Charakter verbergen sich darin jedoch erhebliche Risiken für die Unternehmen. Von Jörg Wassink*

Die Politik will sich offenbar immer mehr mit konkreten Impulsen in die IT-Praxis einbringen. Und sie begibt sich dabei sogar auf ein völlig neues Terrain, wie das Beispiel des Bundeswirtschafts- und -technologieministeriums (BMWi) zeigt. Es hat Anfang des Jahres einen Mustervertrag für das Web-Hosting auf seiner Homepage veröffentlicht (http://www.sicherheit-im-internet.de/themes/themes.phtml?ttid=6&tdid=621) Er soll dazu dienen, Sicherheitsstandards bei der Nutzung dieser Web-Services einzuführen. "Eine lobenswerte Absicht", kommentierte Hans Peter Stihl kurz vor seinem Abschied aus dem Amt des DIHT-Präsidenten.

Ungenaue FormulierungenDie Maßnahme des Wirtschaftsministeriums sei ein richtiger Schritt, Unternehmen praktisch nutzbare Hilfestellungen anzubieten, sofern die politischen Institutionen über entsprechende Kompetenzen verfügten.

Doch allem Anschein nach hapert es gerade in letzterem Punkt. Der Vertragsentwurf für das Web-Hosting erweist sich nur als bedingt hilfreich, weil die Empfehlungen - wie immer bei einem Mustervertrag - relativ allgemein bleiben. Eine unzureichende Konkretisierung der Anforderungen birgt jedoch die Gefahr eines breiten Interpretationsspielraums, der meistens zu Ungunsten der Kunden von Hosting-Services ausfällt. Und potenzielle Fallstricke sind im Entwurf des Ministeriums reichlich vorhanden.

Es beginnt damit, dass sehr ungenau von "geeigneten technischen und organisatorischen Maßnahmen" für den physischen Zugang zum Rechenzentrum oder logischen Zugriff auf den Web-Server gesprochen wird. Da es an einer beispielhaften Darstellung fehlt, welche Maßnahmen als angemessen gelten sollen, könnten sich Hosting-Dienstleister ohne rechtliches Risiko auf ein sehr geringes Niveau der Sicherheitsvorkehrungen zurückziehen. "Entweder muss der Kunde über großes technisches Know-how verfügen, und dann benötigt er auch keinen Mustervertrag. Oder der Internet-Provider kann die Sicherheitsstandards nach freiem Belieben definieren, aber auch in diesem Fall hilft der Vertragsvorschlag dem Anwender wenig", kritisiert Horst Enzelmüller die unzureichende Präzision.

Eingebaute FallstrickeDer Chef des TK-Unternehmens Colt Telecom, das auch als Hosting-Provider agiert, verweist außerdem auf den Vertragspassus zur Verfügbarkeit. Die darin genutzte Formulierung "rund um die Uhr" sage lediglich etwas darüber aus, dass ein 24-stündiger Betrieb gewährleistet sein müsse. "Wenn dies zugesichert wird, aber wegen technischer Einschränkungen vielleicht nur ein durchschnittlicher Verfügungsgrad von 95 Prozent erreicht werden kann, dann hat der Kunde im Zeitalter des Electronic Commerce ein großes Problem." In das gleiche Horn stößt Christian Lipski: "Die Verfügbarkeit ist bei der Bewertung der Provider ein K.o.-Kriterium", meint der Senior Analyst bei Forrester Research Deutschland. Wer einen Anbieter im Web zweimal nicht erreiche, der sei auf Dauer als Kunde verloren.

Servicevereinbarungen auf Basis des Mustervertrags aus dem Haus des Wirtschaftsministers können sich dabei jedoch nicht nur wegen unklarer Sicherungs- und Verfügbarkeitsbedingungen zu einem Fallstrick entwickeln. Auch das Informationsinteresse der Kunden über mögliche manipulative Zugriffe wird darin sehr unzureichend gewichtet. So soll der Kunde lediglich "über besondere über das übliche Maß hinausgehende systematische Angriffe auf den Web-Server" in Kenntnis gesetzt werden. Lediglich im Falle konkreter Schäden bestehe eine unmittelbare und detaillierte Informationspflicht.

"Was ist das übliche Maß systematischer Angriffe?" fragt Enzelmüller und meint damit nicht einmal die in dieser Formulierung verborgene unklare Rechtsposition: "Wenn systematische Attacken festgestellt werden, ganz gleich in welchem Umfang, haben Kunden sogar ein existenzielles Interesse daran, über dieses Gefahrenpotenzial informiert zu werden." Dies dürfe nicht im beliebigen Ermessen des Providers liegen.

In der Praxis unbrauchbarAuch der auf das Internet spezialisierte Fachanwalt Oliver Süme aus Hamburg, Vorstandsmitglied des Verbandes der deutschen Internet-Wirtschaft Eco Electronic Commerce Forum e.V., wundert sich über eine Vielzahl an Unzulänglichkeiten des Mustervertrags. Der Jurist bezeichnet ihn für die Praxis als "unbrauchbar", weil er "mehr Probleme erzeugt als er lösen kann". Keine der daran beteiligten juristischen Personen wisse anhand der vorgegebenen Klauseln, was sie zu tun habe beziehungsweise verlangen könne. "Ich würde den Entwurf des BMWi also weniger als Vertrag, sondern nur als erste Informationsquelle für interessierte Unternehmer betrachten", empfiehlt Süme.

*Jörg Wassink ist freier Journalist in Köln.

Abb: Zahl der Web-Hoster

Die meisten Anwender vertrauen nur einem Web-Hoster. Quelle: Forrester Research