Foto:
Welche rechtlichen Fallstricke müssen Partner beachten, wenn sie ihren Kunden Cloud-basierte Dienste anbieten? Welche Punkte gehören in den Vertrag? Rechtsanwalt Christian Solmecke* klärt auf.
Cloud Computing ist längst keine Zukunftsmusik mehr, sondern drängt zunehmend in den Alltag der digitalen Gesellschaft. Während die Nutzer sich vor allem über die beliebige Abrufbarkeit ihrer Daten auf den unterschiedlichsten Geräten freuen, ist der Service für Anbieter ein wirtschaftlich attraktives Betätigungsfeld.
Da die grenzenlose Freiheit mit Reinhard Mey erst über den Wolken beginnt, gilt es einige Spielregeln zu beachten, solange mit Daten in der Cloud Geld verdient werden soll.
Das deutsche Recht ist nicht auf die Problematik des Cloud Computings zugeschnitten. Daher sollten die Rechtsbeziehungen vertraglich gezielt und präzise gestaltet werden. Im Mittelpunkt stehen dabei eine exakte Leistungsbeschreibung, Service Level Agreements, Rechtswahlklauseln und Haftungsregelungen.
Eine exakte Leistungsbeschreibung ist das A und O eines jeden Vertrages. Diese sollte genau beschreiben, was das Unternehmen leisten will, um spätere Streitigkeiten darüber zu vermeiden.
Darüber hinaus werden Cloud-Computing-Verträge nach der deutschen Rechtsprechung oftmals als Mietverträge eingestuft. Demnach schuldet der Anbieter grundsätzlich eine 100-prozentige Verfügbarkeit der Mietsache (etwa der angemieteten Software oder Rechenkapazität). Diese Anforderung kann eine enorme Belastung für den Anbieter sein, da seine Systeme mitunter auch gewartet werden müssen und in dieser Zeit eine Nutzung schon technisch oftmals nicht möglich wäre. Bei Verstößen gegen die Überlassungspflicht wäre er dann eventuell Gewährleistungsrechten wie etwa Minderung oder Schadensersatz ausgesetzt.
Die gute Nachricht: Die Verfügbarkeit lässt sich vertraglich einschränken. Diese Möglichkeit sollte auch dringend wahrgenommen werden. Im schriftlichen Vertrag sollten konkrete Werte zur Verfügbarkeit/Downtime festgelegt werden sowie Angaben zu Zeitfenstern (Betriebszeiten, Feiertage) und zu zeitlichen Berechnungsgrundlagen (monatlich, quartalsweise, jährlich) gemacht werden. Bei diesen Angaben sollten dann beispielsweise Wartungszeiten berücksichtigt werden.
So ausgefeilt ein System auch sein mag, Fehler lassen sich nicht immer vollkommen ausschließen. Für eine Absicherung im Fall einer Störung des Cloud-Dienstes sollten Regelungen sowohl über die Reaktionszeit (Wann muss auf die Fehlernennung reagiert werden?) als auch über die Wiederherstellungszeit (Wann muss der Fehler behoben sein?) getroffen werden. Aus Unternehmersicht ist die Regelung einer Reaktionszeit meist unproblematisch, da die Reaktion auf die Fehlerbehebung oft kurzfristig erfolgen kann. Die Wiederherstellungsfrist hingegen sollte eher lang gewählt werden, da die letztendliche Behebung oftmals mit Komplikationen einhergehen kann.
Das Verwalten und Verfügbarmachen von hochgeladenen Daten ist zentrale Aufgabe der Cloud-Services. Damit sichergestellt ist, dass der Anbieter zu den notwendigen Vervielfältigungshandlungen (zum Beispiel Backups) berechtigt ist, muss er sich einfache Nutzungsrechte an den Daten einräumen lassen. Klargestellt werden sollte auch, wem die Nutzungsrechte an den in der Cloud erzeugten Daten zustehen.
Die Anwendbarkeit deutschen Rechts und die Festlegung eines deutschen Gerichtsstandes sollte (wenn möglich) vereinbart werden, da die Cloud, bildlich gesprochen, vor Ländergrenzen keinen Halt macht und ansonsten ausländisches Recht Anwendung finden könnte.
Haftungsregelungen und Datensicherung
Haftungsfragen sind letzten Endes immer Kostenfragen und damit von erhöhter wirtschaftlicher Bedeutung. Die Anbieter haben daher ein nicht unerhebliches Interesse, ihre eigene Haftung zu begrenzen. Zu denken ist etwa an eine Haftung bei Datenverlust.
In diesem Rahmen sollte dem Nutzer vor allem die Pflicht zur Datensicherung auferlegt werden.
Auch der gewünschte Zugriff des Nutzers auf seine eigenen Daten und die Möglichkeit der Migration der Leistungen zu einem anderen Anbieter könnten von Relevanz und daher zu regeln sein. Ob dies praktisch umsetzbar ist, ist eine andere Frage.
Datenschutz
Channel Sales Kongress "Cloud Computing"
Der Kongress findet am 9. Mai in München statt und vermittelt einen Überblick über Cloud-basierte Lösungen und Partnerprogramme, Praxisbeispiele sowie Tipps zur Vertragsgestaltung und zur Neuausrichtung des Partner-Geschäftsmodells für das Cloud-Business.
Vor Ort vertreten sind: Also Actebis, Akamai, Avnet, Hewlett-Packard, IBM, nfon, Sage Software, PFU (Fujitus Imaging Solutions), Samsung, Telekom und Vitec Distribution.
Infos und Anmeldung unter: www.channelpartner.de/events/cloud
Die in der Cloud gespeicherten Daten der Nutzer stellen in der Regel personenbezogene Daten dar. Stellen, die solche Daten erheben, verarbeiten oder nutzen, unterliegen nach dem Bundesdatenschutzgesetz (BDSG) besonderen Anforderungen, die einen effektiven Datenschutz gewährleisten sollen. Zu nennen sind etwa die Grundsätze der Datenvermeidung und Datensparsamkeit, die Ermöglichung von Anonymisierung und Pseudonymisierung und die Einhaltung des Datengeheimnisses.
Für Cloud-Computing-Anbieter ist insbesondere die Anlage zu § 9 BDSG relevant, die eine ganze Liste von Anforderungen enthält. Inhaber eigener Rechenzentren müssen beispielsweise sicherstellen, dass Unbefugten der Zutritt zu Datenverarbeitungsanlagen verwehrt wird. Ferner muss sichergestellt werden, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Verstöße gegen das Datenschutzrecht können mit Bußgeldern in Höhe von bis zu 50.000 Euro oder - in besonders eklatanten Fällen - sogar bis 300.000 Euro geahndet werden.
Wenn Daten ins Ausland übermittelt werden und der Kunde ein angemessenes Datenschutzniveau gewährleistet haben will, empfehlen sich EU-Standardvertragsklauseln, "Binding Corporate Rules" oder, bei Übermittlung in die USA, ein "Safe-Harbour-Agreement".
Fazit
Cloud Computing ist aus der digitalen Gesellschaft kaum mehr wegzudenken, da es für alle Beteiligten mannigfaltige Vorteile und Möglichkeiten bereithält. Neben der Betonung der positiven Aspekte gilt es jedoch auch, Fragen nach Datensicherheit und -schutz, Zuverlässigkeit und Haftung nicht aus den Augen zu verlieren. Durchsetzungsfähig am Markt wird letzten Endes nur sein, wer Risiko und Chancen abzuschätzen und auszubalancieren versteht. RB
*Christian Solmecke arbeitet als Rechtsanwalt in der Kanzlei Wilde Beuger Solmecke in Köln und ist auf den Bereich Internetrecht/E-Commerce spezialisiert. Außerdem ist er Geschäftsführer des Deutschen Instituts für Kommunikation und Recht im Internet (DIKRI) an der Cologne Business School (www.dikri.de).Kontakt und Infos: E-Mail: info@wbs-law.de
(rb)