Dienstleister und Kunden in der Pflicht Cloud Computing und Service Level Agreements

Autor / Redakteur: Lothar Lochmaier / Stephan Augsten

Aufgrund der völlig unterschiedlichen Cloud-Konzepte reicht das klassische Service Level Agreement (SLA) nicht mehr aus, um Haftungs- und Zuständigkeitsfragen in der Wolke verbindlich abzuklären. Fest steht: Es gibt viele „kleingedruckte“ Herausforderungen aus Sicht der Unternehmen zu lösen. Wie also kann ein individuell maßgeschneidertes Richtlinienwerk aussehen?

Firma zum Thema

Bei Cloud Services muss sich jedes Unternehmen die Frage stellen, in welchen Fällen es zur Haftung herangezogen werden kann.
Bei Cloud Services muss sich jedes Unternehmen die Frage stellen, in welchen Fällen es zur Haftung herangezogen werden kann.
( Archiv: Vogel Business Media )

Wo setzt ein Unternehmen beim rechtlichen Steuerungsinstrument der Service Level Agreements (SLAs) am besten den Hebel an, damit dies kein reiner Papiertiger bleibt? Auf diese komplizierte Fragestellung gibt Oliver M. Bühr, Fachanwalt für Informationsrecht bei der SKW Schwarz Rechtsanwälte in Frankfurt, eine eindeutige Antwort: „Die einzelnen Leistungskennzahlen [Key Performance Indicators, KPIs, Anm. d. Red.] müssen so genau wie möglich beschrieben werden, insbesondere die Cloud-spezifischen Charakteristika.“

Doch die Tücke steckt bekanntlich im Vertragsdetail: Die KPIs sind hernach, so der Rechtsexperte weiter, mit entsprechenden Strafen zu koppeln. Wo das nicht möglich sei, sollten kurze Kündigungsfristen vereinbart werden. „Im Gegensatz zum normalen Outsourcing sind Cloud-Leistungen Commodities [beliebig austauschbare Produkte, Anm. der Red.]. Ein kurzfristiger Anbieterwechsel ist deshalb eine tatsächliche Option“, gibt Bühr zu bedenken.

Doch wie lässt sich in der Wolke die Konformität zu den unzähligen Datenschutzgesetzen national wie international auf möglichst pragmatische Art und Weise herstellen? Konkret rät der Fachanwalt zunächst zu folgendem Vorgehen: Wo es möglich sei, sollen die Daten demnach anonymisiert oder verschlüsselt werden. „Eine Verschlüsselung dürfte allerdings in dem Moment ausscheiden, wo die Daten beim Cloud Provider weiter verarbeitet werden“, beschreibt der Experte einen denkbaren Konfliktherd.

Im Übrigen müsse der Cloud-Nutzer vor allem das Datenschutzrecht am jeweiligen Ort beachten, von dem er die personenbezogenen Daten an den Cloud-Anbieter weiter versende. Dieses Recht sei dem Cloud-Nutzer normalerweise bekannt, weil er die Daten auf dieser Grundlage bereits selbst erhoben und gespeichert habe. Jedoch lassen sich damit nicht alle Haftungs- und Zuständigkeitsfragen auf einen Blick erledigen.

Rechtliche Absicherung

Der Streit bzw. Schlichtungsfall ist gerade bei einem allzu eilfertigen Gang in die Wolke nicht selten programmiert. „Die Haftung des Cloud Providers ist eine der Sanktionen bei Schlechtleistung“, skizziert Bühr. Im Klartext: Die Leistungspflicht des Cloud-Providers wird überhaupt erst durch klare Sanktionsmechanismen untermauert. „Ansonsten hätte er kein Risiko, wenn er seinen Leistungspflichten nicht oder nicht ausreichend nachkommt“, fasst der Experte zusammen.

Selbst eine gute rechtliche Vorbereitung macht noch keinen Selbstläufer aus: Denn auch im laufenden Betrieb habe das Management des Cloud-Nutzers darauf zu achten, dass der „Cloud-Vertrag“ Haftungsregelungen enthalte, die das Unternehmen gegen Ansprüche Dritter, wie z.B. Kunden, bei einer mangelhaften Leistung des Cloud Providers absichere. „Der Cloud Nutzer haftet gegenüber seinen Kunden für Schlechtleistungen des von ihm beauftragten Cloud Providers, weil der Cloud Provider im Normalfall Erfüllungsgehilfe des Cloud Nutzers ist“, bilanziert der Experte die komplexe Gemengelage.

Seite 2: Rechtliche und technische Evaluierung eng verzahnen

Rechtliche und technische Evaluierung eng verzahnen

Neben der rechtlichen Sichtweise rückt die nächste Hürde in Verbindung mit der Ausgestaltung von SLA spätestens bei der technischen Evaluierung in Sichtweite. Kurzum: IT Governance oder auch „Cloud Governance” sind wichtige Bausteine auf dem Weg zu professionell gemanagten Cloud-Umgebungen.

„Aber nur wenn die Dienstleister ihre SLA transparent gestalten und auch einhalten sowie die interne IT sich mit den notwendigen Technologien und Schnittstellen auch selbst auskennt, lassen sich hybride Clouds erfolgreich und sicher betreiben“, betont Carlo Velten, Senior Advisor bei den Marktforschern der Experton Group.

Dies bedeutet für Unternehmen, sowohl kulturell als auf Prozessebene sich für das neue Sourcing-Modell zu wappnen. Kurzum, Unternehmen sollten die Herausforderung ganzheitlich angehen. Die Cloud Governance solle sich an den Kriterien Transparenz, Machbarkeit und Messbarkeit orientieren, um im Rahmen einer breiter angelegten IT Governance dauerhaft Bestand zu haben, präzisiert Velten. „Nur wenn Strategien, Roadmaps, Projekte, Architekturen und Sourcingprozesse klar und verständlich beschrieben und in der Praxis umsetzbar sind, wird das Modell im Unternehmen Erfolg haben.“

Kein Generalschlüssel für maßgeschneiderte SLA

Man dürfe die Cloud-Problematik ohnehin nicht losgelöst betrachten von anderen IT-Megatrends, etwa von der Mobilität und der rasant anwachsenden Endgerätevielfalt, ergänzt Viktor Hagen, Experte Data Center Architecture & Virtualisation bei Cisco. Der Ansatzpunkt für eine tragfähige Governance-Strategie könne deshalb nur das Netzwerk selbst sein: „Denn Netzwerke sind die Plattform sowohl für jede Art von Cloud-Service als auch für den mobilen Remote-Zugriff auf Unternehmensressourcen.“

Für eine ganzheitliche Sichtweise offeriert der Netzwerkspezialist diverse Lösungsansätze, etwa auf Basis der High-Level Policy Language von Cisco SecureX. Ein optimaler und zugleich pragmatischer Lösungsansatz ergebe sich durch Kombination aus übergreifendem Policy Enforcement, kontextsensitiven Scanning-Modulen und globaler Thread-Defense-Intelligenz, empfiehlt Viktor Hagen.

„Bei der Planung von virtuellen Umgebungen muss die Governance von Anfang an mit eingebaut werden“, betont demgegenüber Mark Masterson, Innovation Lead Cloud Computing, beim IT-Dienstleister CSC. Üblicherweise werde jede Form der Steuerung (Governance) jedoch von den Virtualisierungsspezialisten eher als störend empfunden und nicht als Business Enabler. Die Governance-Verantwortlichen dagegen verstünden oftmals nicht die technischen Zusammenhänge. Hier sei deshalb gegenseitige Aufklärungsarbeit zu leisten, „und es sollten heterogene Projektteams gebildet werden“, so der Experte weiter.

Fazit: Die Preisfrage, ob sich überhaupt eine Blaupause zur Lösung der SLA-Problematik in der Wolke aufstellen lässt, oder ob allzu generalisierte Richtlinien nicht ans Ziel führen, bleibt in der technischen Umsetzung eine Gratwanderung. „Sobald Organisationen Services aus einer Public Cloud beziehen, sollten sie als Maßstab für SLAs zumindest die Forderungen anlegen, die sie sich auch beim Eigenbetrieb auferlegen würden“, fasst deshalb Mark Masterson zusammen.

Und der Experte von CSC verkündet schließlich auch eine gute Nachricht, die die Umsetzung durchaus als realistisch erscheinen lässt. In der Regel lieferten die Cloud-Anbieter deutlich bessere SLA’s, als dies die Organisationen selbst mit vernünftigem Aufwand bewerkstelligen könnten, bilanziert der Experte vom IT-Dienstleister CSC.

(ID:2050930)