Rechtssicherheit beim Abschluss eines Cloud-Nutzungsvertrags

Gegenstand eines Cloud-Nutzungsvertrags sind die Leistungen, die von einem CSP (Cloud Service Provider) im Web erbracht werden. Zudem kann es in ihm um die Speicherung und Verwaltung von Kundendaten sowie die Nutzung von IT-Plattformen und Software gehen. Juristisch gesehen ist er somit ein IT-Servicevertrag. 

Mit der Unterschrift unter den Vertrag tritt der Kunde die Kontrolle über die Haltung seiner Daten und den Zugriff darauf an den CSP ab. Deshalb sollte man vor Abschluss des Vertrags sich den Anbieter und das Schriftstück genau ansehen.

Was für den korrekten Abschluss eines Cloud-Nutzungsvertrags zu beachten ist

Mit dem CSP sollte vor Abschluss des Vertrages über alle wesentlichen Aspekte geredet werden. Die Absprachen über diese Details der Online-Servicedienste sollten im Nutzungsvertrag präzise fixiert werden. Wichtig sind dabei Art, Umfang und Zeitraum der Dienste, auf die der Kunde vertraglich einen Anspruch hat. Was Vertrauenswürdigkeit, Vertraulichkeit und Verfügbarkeit der Nutzerdaten angeht, so sollten konkrete Vereinbarungen getroffen werden, um all dies sicherzustellen.

Der Cloud Service Provider sollte auf jeden Fall den Schutz der Kundendaten vor Verlust und Missbrauch garantieren. Dass er dazu in der Lage ist, hat er dem Kunden nachzuweisen, und eine entsprechende Erklärung muss unter allen Umständen in den Vertrag aufgenommen werden.

Eigene SLAs (Service-Level-Agreements) – wie in jedem IT-Servicevertrag enthalten – sollten auch in den Cloud-Vertrag aufgenommen werden, vor allem wenn er Gegenstand von Regelungen mit beträchtlichem Umfang ist. Spezifikationen des Leistungsumfangs, z.B. was die Qualität angeht, können auf diese Weise vorgenommen werden. Vor allem ist es auch ratsam, exakt zu beschreiben, mit welchen Massnahmen der Dienstleister die Kundendaten zu schützen gedenkt. Strategien der Datensicherung, Methoden der Verschlüsselung, Massnahmen zum Schutz vor Internet-Attacken, kurz, alle Bestandteile des Sicherheitsmanagements des CSP, die dazu dienen, die vertraulichen Kundendaten ausreichend zu schützen, sollten transparent dokumentiert werden.

All diese Punkte können auch in einem gesonderten Security-SLA gesammelt werden, sollte die Thematik ausführlicher zu behandeln sein. Dort hätte der CSP auch schriftlich zu versichern, seine Mitarbeiter regelmässig sicherheitstechnisch fortbilden zu lassen und sein eigenes Sicherheitsmanagement immer auf dem neuesten Stand der Technik zu halten.

Verschachteltes Juristendeutsch hat in einem solchen Vertrag keinen Platz, geht es doch in erster Linie um Ausführlichkeit, Klarheit und Transparenz. Im Zweifelsfall gilt immer, was im Vertrag geschrieben steht. Transparenz und Unmissverständlichkeit sollten auch bei so relevanten Fragen wie Wartungstermine mit unter Umständen eingeschränktem Online-Betrieb, Störungs-Reaktionszeiten und Online-Zugriffszeiten herrschen. Um im Schadensfall die Klärung der Schuldfrage zu erleichtern, bietet sich an, alle Vorgänge mit Datenrelevanz vollständig in einem Protokoll festzuhalten.

---

---

Der Auftraggeber ist auch weiterhin für seine Daten verantwortlich. An den Eigentumsverhältnissen ändert auch der Vertrag mit dem CSP nichts. Vor diesem Hintergrund ist die Relevanz einer sorgfältigen Überprüfung der technischen und organisatorischen Rahmenbedingungen des Cloud-Dienstleisters, bevor der Vertrag abgeschlossen wird, zu sehen.

Ausserdem ist zu beachten:

• Verfahren der Datenverschlüsselung: Oft wird dem Aspekt der Absicherung der Transportverbindung der Daten wenig Aufmerksamkeit geschenkt. Denn nicht nur sind die Daten sicher zu verschlüsseln, auch ihr Transport sollte auf optimal abgesichertem Wege erfolgen. Gerade bei der Nutzung der Cloud in Hotels, auf Flughäfen, in Restaurants oder anderen öffentlich zugänglichen WLANs kommt der verlässlichen Absicherung der Datentransportwege eine entscheidende Bedeutung zu. Deshalb sollte dieser Aspekt in Cloud-Nutzungsverträgen detailliert geregelt werden.

• Vertragskündigung: Wann kann ein Cloud-Nutzungsvertrag gekündigt werden? Unter welchen Bedingungen kann eine Kündigung erfolgen? Diese Fragen sind unmissverständlich im Vertrag zu regeln. Bei einer ordentlichen oder ausserordentlichen Beendigung des Vertrags muss der CSP den Kunden die Daten in einem Format zukommen lassen, das dessen EDV zu verarbeiten in der Lage ist. Danach hat der Cloud-Anbieter alle Kundendaten samt sämtlichen Kopien nachhaltig zu vernichten.

• Geschäftssitz des CSP: Unternehmen, die ihren Geschäftssitz innerhalb der EU haben, müssen sich einen Cloud-Anbieter suchen, der samt Serverfarm ebenfalls in der Europäischen Union ansässig ist. Hingegen sind Schweizer Unternehmen in der Wahl des CSPs nicht beschränkt.

• Überprüfung des Sicherheitsmanagements bei CSP und Kunde: Für die Qualität der auf die Datensicherheit bezogenen Zusammenarbeit von Cloud-Provider und Nutzer sind die Gemeinsamkeiten beider Sicherheitsmanagements von wesentlicher Bedeutung. Welche Schnittstellen werden für die Datenübergabe genutzt? Auf welche Weise sind diese abgesichert? Existiert ein Qualitätsmanagement-Konzept bzw. werden prinzipiell Richtlinien der Qualitätssicherung beachtet? Diese Fragen sollten vor Vertragsunterzeichnung unbedingt geklärt werden.

Als Nachweis für die Erfüllung elementarer Informationssicherheitsanforderungen können Zertifikate dienen. Hier sind besonders das Euro-Cloud-Star-Siegel, das eigens für Cloud-SaaS-Dienstleistungen geschaffen wurde, und das Sicherheitszertifikat nach ISO 27001 zu nennen.

Als wichtigste Voraussetzung für eine Auftragserteilung muss aber angesehen werden, dass sich der Kunde gewissenhaft vom Cloud Service Provider über dessen Qualitäts- und Sicherheitsmanagement sowie dessen IT-Architektur informieren lässt, kurz, dass er sich ein umfassendes eigenes Bild von dem Dienstleistungsbetrieb macht. Sollte dieser die Fragen bezüglich des Cloud-Computing nur unzureichend beantworten oder sich ihnen gar verweigern, wäre dies als ernstzunehmendes Indiz für fehlende Seriosität des Anbieters zu werten.

 

Oberstes Bild: © Peshkova – shutterstock.com