Dienstleister und Kunden in der Pflicht Cloud Computing und Service Level Agreements

Autor / Redakteur: Lothar Lochmaier / Stephan Augsten

Aufgrund der völlig unterschiedlichen Cloud-Konzepte reicht das klassische Service Level Agreement (SLA) nicht mehr aus, um Haftungs- und Zuständigkeitsfragen in der Wolke verbindlich abzuklären. Fest steht: Es gibt viele „kleingedruckte“ Herausforderungen aus Sicht der Unternehmen zu lösen. Wie also kann ein individuell maßgeschneidertes Richtlinienwerk aussehen?

Anbieter zum Thema

Wo setzt ein Unternehmen beim rechtlichen Steuerungsinstrument der Service Level Agreements (SLAs) am besten den Hebel an, damit dies kein reiner Papiertiger bleibt? Auf diese komplizierte Fragestellung gibt Oliver M. Bühr, Fachanwalt für Informationsrecht bei der SKW Schwarz Rechtsanwälte in Frankfurt, eine eindeutige Antwort: „Die einzelnen Leistungskennzahlen [Key Performance Indicators, KPIs, Anm. d. Red.] müssen so genau wie möglich beschrieben werden, insbesondere die Cloud-spezifischen Charakteristika.“

Doch die Tücke steckt bekanntlich im Vertragsdetail: Die KPIs sind hernach, so der Rechtsexperte weiter, mit entsprechenden Strafen zu koppeln. Wo das nicht möglich sei, sollten kurze Kündigungsfristen vereinbart werden. „Im Gegensatz zum normalen Outsourcing sind Cloud-Leistungen Commodities [beliebig austauschbare Produkte, Anm. der Red.]. Ein kurzfristiger Anbieterwechsel ist deshalb eine tatsächliche Option“, gibt Bühr zu bedenken.

Doch wie lässt sich in der Wolke die Konformität zu den unzähligen Datenschutzgesetzen national wie international auf möglichst pragmatische Art und Weise herstellen? Konkret rät der Fachanwalt zunächst zu folgendem Vorgehen: Wo es möglich sei, sollen die Daten demnach anonymisiert oder verschlüsselt werden. „Eine Verschlüsselung dürfte allerdings in dem Moment ausscheiden, wo die Daten beim Cloud Provider weiter verarbeitet werden“, beschreibt der Experte einen denkbaren Konfliktherd.

Im Übrigen müsse der Cloud-Nutzer vor allem das Datenschutzrecht am jeweiligen Ort beachten, von dem er die personenbezogenen Daten an den Cloud-Anbieter weiter versende. Dieses Recht sei dem Cloud-Nutzer normalerweise bekannt, weil er die Daten auf dieser Grundlage bereits selbst erhoben und gespeichert habe. Jedoch lassen sich damit nicht alle Haftungs- und Zuständigkeitsfragen auf einen Blick erledigen.

Rechtliche Absicherung

Der Streit bzw. Schlichtungsfall ist gerade bei einem allzu eilfertigen Gang in die Wolke nicht selten programmiert. „Die Haftung des Cloud Providers ist eine der Sanktionen bei Schlechtleistung“, skizziert Bühr. Im Klartext: Die Leistungspflicht des Cloud-Providers wird überhaupt erst durch klare Sanktionsmechanismen untermauert. „Ansonsten hätte er kein Risiko, wenn er seinen Leistungspflichten nicht oder nicht ausreichend nachkommt“, fasst der Experte zusammen.

Selbst eine gute rechtliche Vorbereitung macht noch keinen Selbstläufer aus: Denn auch im laufenden Betrieb habe das Management des Cloud-Nutzers darauf zu achten, dass der „Cloud-Vertrag“ Haftungsregelungen enthalte, die das Unternehmen gegen Ansprüche Dritter, wie z.B. Kunden, bei einer mangelhaften Leistung des Cloud Providers absichere. „Der Cloud Nutzer haftet gegenüber seinen Kunden für Schlechtleistungen des von ihm beauftragten Cloud Providers, weil der Cloud Provider im Normalfall Erfüllungsgehilfe des Cloud Nutzers ist“, bilanziert der Experte die komplexe Gemengelage.

Seite 2: Rechtliche und technische Evaluierung eng verzahnen

(ID:2050930)