Ratgeber für Systemhäuser und Provider

Rechtssicherheit in der Cloud

10.04.2012
Welche rechtlichen Fallstricke müssen Partner beachten, wenn sie ihren Kunden Cloud-basierte Dienste anbieten? Welche Punkte gehören in den Vertrag? Rechtsanwalt Christian Solmecke klärt auf.
Christian Solmecke, Rechtsanwalt in der Kanzlei Wilde Beuger Solmecke
Christian Solmecke, Rechtsanwalt in der Kanzlei Wilde Beuger Solmecke
Foto:

Welche rechtlichen Fallstricke müssen Partner beachten, wenn sie ihren Kunden Cloud-basierte Dienste anbieten? Welche Punkte gehören in den Vertrag? Rechtsanwalt Christian Solmecke* klärt auf.
Cloud Computing ist längst keine Zukunftsmusik mehr, sondern drängt zunehmend in den Alltag der digitalen Gesellschaft. Während die Nutzer sich vor allem über die beliebige Abrufbarkeit ihrer Daten auf den unterschiedlichsten Geräten freuen, ist der Service für Anbieter ein wirtschaftlich attraktives Betätigungsfeld.
Da die grenzenlose Freiheit mit Reinhard Mey erst über den Wolken beginnt, gilt es einige Spielregeln zu beachten, solange mit Daten in der Cloud Geld verdient werden soll.

Das deutsche Recht ist nicht auf die Problematik des Cloud Computings zugeschnitten. Daher sollten die Rechtsbeziehungen vertraglich gezielt und präzise gestaltet werden. Im Mittelpunkt stehen dabei eine exakte Leistungsbeschreibung, Service Level Agreements, Rechtswahlklauseln und Haftungsregelungen.

Eine exakte Leistungsbeschreibung ist das A und O eines jeden Vertrages. Diese sollte genau beschreiben, was das Unternehmen leisten will, um spätere Streitigkeiten darüber zu vermeiden.

Darüber hinaus werden Cloud-Computing-Verträge nach der deutschen Rechtsprechung oftmals als Mietverträge eingestuft. Demnach schuldet der Anbieter grundsätzlich eine 100-prozentige Verfügbarkeit der Mietsache (etwa der angemieteten Software oder Rechenkapazität). Diese Anforderung kann eine enorme Belastung für den Anbieter sein, da seine Systeme mitunter auch gewartet werden müssen und in dieser Zeit eine Nutzung schon technisch oftmals nicht möglich wäre. Bei Verstößen gegen die Überlassungspflicht wäre er dann eventuell Gewährleistungsrechten wie etwa Minderung oder Schadensersatz ausgesetzt.

Die gute Nachricht: Die Verfügbarkeit lässt sich vertraglich einschränken. Diese Möglichkeit sollte auch dringend wahrgenommen werden. Im schriftlichen Vertrag sollten konkrete Werte zur Verfügbarkeit/Downtime festgelegt werden sowie Angaben zu Zeitfenstern (Betriebszeiten, Feiertage) und zu zeitlichen Berechnungsgrundlagen (monatlich, quartalsweise, jährlich) gemacht werden. Bei diesen Angaben sollten dann beispielsweise Wartungszeiten berücksichtigt werden.

So ausgefeilt ein System auch sein mag, Fehler lassen sich nicht immer vollkommen ausschließen. Für eine Absicherung im Fall einer Störung des Cloud-Dienstes sollten Regelungen sowohl über die Reaktionszeit (Wann muss auf die Fehlernennung reagiert werden?) als auch über die Wiederherstellungszeit (Wann muss der Fehler behoben sein?) getroffen werden. Aus Unternehmersicht ist die Regelung einer Reaktionszeit meist unproblematisch, da die Reaktion auf die Fehlerbehebung oft kurzfristig erfolgen kann. Die Wiederherstellungsfrist hingegen sollte eher lang gewählt werden, da die letztendliche Behebung oftmals mit Komplikationen einhergehen kann.

Das Verwalten und Verfügbarmachen von hochgeladenen Daten ist zentrale Aufgabe der Cloud-Services. Damit sichergestellt ist, dass der Anbieter zu den notwendigen Vervielfältigungshandlungen (zum Beispiel Backups) berechtigt ist, muss er sich einfache Nutzungsrechte an den Daten einräumen lassen. Klargestellt werden sollte auch, wem die Nutzungsrechte an den in der Cloud erzeugten Daten zustehen.

Die Anwendbarkeit deutschen Rechts und die Festlegung eines deutschen Gerichtsstandes sollte (wenn möglich) vereinbart werden, da die Cloud, bildlich gesprochen, vor Ländergrenzen keinen Halt macht und ansonsten ausländisches Recht Anwendung finden könnte.

Haftungsregelungen und Datensicherung

Haftungsfragen sind letzten Endes immer Kostenfragen und damit von erhöhter wirtschaftlicher Bedeutung. Die Anbieter haben daher ein nicht unerhebliches Interesse, ihre eigene Haftung zu begrenzen. Zu denken ist etwa an eine Haftung bei Datenverlust.
In diesem Rahmen sollte dem Nutzer vor allem die Pflicht zur Datensicherung auferlegt werden.

Auch der gewünschte Zugriff des Nutzers auf seine eigenen Daten und die Möglichkeit der Migration der Leistungen zu einem anderen Anbieter könnten von Relevanz und daher zu regeln sein. Ob dies praktisch umsetzbar ist, ist eine andere Frage.

Zur Startseite