Aus verringerter Kontrolle über die ausgelagerten Daten ergeben sich für Cloud-Nutzer vertragliche Risiken. So wird der Anwender zwangsläufig technisch abhängig vom Anbieter. Was das konkret bedeutet, zeigt sich vor allem dann, wenn die Daten nach Ende des Cloud-Vertrags wieder zurückzuführen sind. Hier ist der Anwender in der Regel auf die Unterstützung des Anbieters angewiesen.
Ein wesentliches Problem werfen dabei komplexe und lange Verbindungswege mit entsprechend zahlreichen Fehlerquellen auf. Wer sichergehen möchte, dass alle Daten nach der Beendigung des Vertrages vollständig und entsprechend aufbereitet wieder ins eigene Unternehmen übertragen werden, muss dafür schon zu Beginn einer Partnerschaft die richtigen vertraglichen Weichen stellen.
Auf Basis möglicher gegenläufiger Interessen von Anwender und Anbieter einerseits und den schwer vorhersehbaren Anforderungen zum Vertragsende andererseits ist das rechtzeitige Aushandeln von Regelungen zur Beendigung der Vereinbarung zwar eine äußerst kniffelige, aber auch eine unverzichtbare Aufgabe.
Die richtigen Leistungsübergabepunkte festlegen
Cloudbasierte Dienste entlasten Anwender vom Betrieb sowie von der Wartung und Pflege von Software. Sie müssen lediglich die für den Zugang notwendige Infrastruktur bereithalten. Rechtlich entscheidend ist dabei die Frage, wo die Grenzen für die jeweiligen Verantwortlichkeiten liegen. Dadurch erhalten die sogenannten „Leistungsübergabepunkte“ ein besonderes Gewicht.
An dieser Schnittstelle wird zum Beispiel die Verfügbarkeit der Leistung gemessen. Rückt der Leistungsübergabepunkt bei kritischen Services weit in Richtung des Anwenders, wird der Cloud-Anbieter gleichzeitig versuchen, das Risiko eines Diensteausfalls durch den Aufbau redundanter Systeme und Verbindungen zu minimieren. Allerdings beeinflussen gerade diese Maßnahmen maßgeblich den Preis. Denn eine Stärkte der technischen Architektur von Cloud Services ist ja gerade die Nutzung verteilter Ressourcen, um jederzeit auf einen anderen Standort ausweichen zu können.
Die richtigen SLAs festlegen
In einem Cloud-Vertrag sollten in Bezug auf die vereinbarten Service Level auch konkrete Pflichten des Anbieters im Hinblick auf Notfallpläne enthalten sein. Hierbei muss der Anwender das Recht haben zu überprüfen, ob diese Pflichten dann auch eingehalten werden (Audit-Recht).
Für die Festlegung der wichtigsten Kriterien zur Messung der Servicequalität ist die Art der Services von entscheidender Bedeutung. Die Kriterien müssen objektiv messbar sein und die vom Anwender definierten Leistungsanforderungen widerspiegeln. Service Level Agreements sollten sich auf die wesentlichen Leistungskriterien beschränken. Werden diese nicht eingehalten sollten gegebenenfalls Sanktionen vorgesehen sein.
Fazit
Ob die Nutzung von Cloud Services in Anbetracht all dieser Pflichten in Frage kommt, müssen Anwender von Fall zu Fall entscheiden. Es gibt momentan sicherlich noch Bereiche, in denen hiervon eher abzuraten ist. Andererseits lassen sich viele rechtliche Hürden mit einer entsprechenden Vertragsgestaltung auch überwinden. Da die Entscheidung für Cloud Computing Unternehmen in technischer und rechtlicher Hinsicht fordert, sollten sie sich dem Thema schrittweise nähern, um die Risiken bewusst zu begrenzen.
... ist Partner der internationalen Rechtsanwaltskanzlei DLA Piper in München.
Vernetzte Produkte müssen laut Cyber Resilience Act über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen.
Das jüngste Update für Windows, macOS und Linux stopft drei Löcher. Eine Anfälligkeit setzt Nutzer…
Zwei von Google-Mitarbeitern entdeckte Schwachstellen werden bereits aktiv gegen Mac-Systeme mit Intel-Prozessoren eingesetzt. Sie erlauben…
Die Hintermänner haben es unter anderem auf Daten von Facebook-Geschäftskonten abgesehen. Opfer werden über angebliche…
Bis 2027 werden 90 Prozent der Unternehmen eine Hybrid-Cloud-Strategie umsetzen.
Apple belegt in der Statistik von Counterpoint die ersten drei Plätze. Samsungs Galaxy S24 schafft…