Cloud-Nutzungsvertrag rechtssicher abschliessen

Rechtlich ist ein Cloud-Nutzungsvertrag als IT-Servicevertrag anzusehen. In ihm wird vereinbart, dass durch den Cloud Service Provider (CSP) bestimmte Serviceleistungen im Web erbracht werden. Aber auch die Nutzung von Software oder IT-Plattformen sowie die Verwaltung und Speicherung von Kundendaten können Gegenstand eines Cloud-Servicevertrages sein.

Da der Kunde durch den Vertragsabschluss die Kontrolle über Datenhaltung und Datenzugriff an den Cloud-Anbieter übergibt, sollte sowohl der Auswahl des Anbieters als auch der Abfassung des Nutzungsvertrages grösstes Augenmerk geschenkt werden.

Cloud-Nutzungsvertrag korrekt abschliessen – so funktioniert es

Wird die Inanspruchnahme von Online-Servicediensten vereinbart, sollten mit dem Cloud Service Provider (CSP) konkrete Absprachen zu allen relevanten Punkten getroffen und im Cloud-Nutzungsvertrag festgehalten werden. Dabei ist ausführlich zu beschreiben, welche Dienste seitens des CSP in welchem Umfang für welchen Zeitraum zur Verfügung gestellt werden. Darüber hinaus sollten auch konkrete Regelungen getroffen werden, um die Verfügbarkeit, Integrität und Vertraulichkeit der Nutzerdaten sicherzustellen.

In jedem Fall hat der Cloud-Dienstleister den Nachweis zu führen, dass er in der Lage ist, die Daten seiner Kunden vor Verlust und Missbrauch ausreichend zu schützen. Eine entsprechende Garantieerklärung seitens des CSP muss im Vertrag unbedingt enthalten sein.

Bei umfangreichen Regelungen empfiehlt es sich, eigene Service-Level-Agreements (SLAs), wie sie in jedem IT-Servicevertrag enthalten sind, in den Cloud-Vertrag aufzunehmen. In diesen können exakte Spezifikationen des Leistungsumfangs – etwa hinsichtlich Volumen und Qualität – vorgenommen werden. Es ist des Weiteren anzuraten, eine Beschreibung sämtlicher zum Schutz der Kundendaten getroffenen Massnahmen in die SLAs aufzunehmen. Aus diesen sollte das Sicherheitsmanagement des Anbieters in seiner Gesamtheit ersichtlich sein; Datensicherungsstrategien, Intrusion-Prevention-Massnahmen, verwendete Datenverschlüsselungsmethoden und andere dem Schutz der Kundendaten dienende Verfahren und Strategien sollten darin ausreichend dokumentiert sein.

Ist das Thema sehr umfangreich, können die diesbezüglichen Punkte in einem separaten Security-SLA zusammengefasst werden. Darin sollte auch eine Erklärung des Cloud-Anbieters enthalten sein, sämtliche Sicherheitsmassnahmen stets auf dem neuesten Stand der Technik zu halten und für eine regelmässige Fortbildung der Mitarbeiter in Sicherheitsfragen zu sorgen.

Grundsätzlich gilt: Sämtliche Vereinbarungen und Regelungen sind so detailliert und unmissverständlich wie möglich zu formulieren, denn im Streitfall gilt stets, was im Vertrag steht. Daher sollten auch Themen wie Online-Zugriffszeiten, Reaktionszeiten im Fall einer Störung sowie erforderliche Wartungstermine mit eventuell eingeschränktem Online-Betrieb klar geregelt sein. Eine lückenlose Protokollierung sämtlicher datenrelevanter Vorgänge ist zu empfehlen, da dies im Schadensfall einen wertvollen Beitrag zur Klärung der Verschuldensfrage leisten kann.


Die Auslagerung von Datenmaterial an einen Cloud-Dienstleister befreit den Nutzer grundsätzlich nicht von der Verantwortung für die übergebenen Daten. (Bild: liquo / Shutterstock.com)
Die Auslagerung von Datenmaterial an einen Cloud-Dienstleister befreit den Nutzer grundsätzlich nicht von der Verantwortung für die übergebenen Daten. (Bild: liquo / Shutterstock.com)


Die Auslagerung von Datenmaterial an einen Cloud-Dienstleister befreit den Nutzer grundsätzlich nicht von der Verantwortung für die übergebenen Daten, da rechtlich gesehen die Daten im Eigentum des Nutzers verbleiben. Umso wichtiger ist es daher, die organisatorischen und technischen Rahmenbedingungen des IT-Dienstleisters vor Vertragsabschluss einer genauen Prüfung zu unterziehen.

Folgende Punkte sollten ebenfalls beachtet werden:

  • Verschlüsselungsverfahren: Die Handhabung der Datenverschlüsselung sowie der diesbezüglich anzuwendenden Verfahren ist in Cloud-Nutzungsverträgen mitunter mangelhaft bzw. unvollständig geregelt. Denn es sind nicht nur die zu versendenden Daten sicher zu verschlüsseln, es hat darüber hinaus auch der Transport der Daten über eine verlässlich abgesicherte Verbindung zu erfolgen. Diesem Sicherheitsaspekt kommt besonders bei mobiler Nutzung der Cloud-Anwendung in öffentlichen Wireless LANs – etwa auf Flughäfen oder in Restaurants – erhöhte Bedeutung zu.
  • Kündigung des Vertrages: Im Cloud-Nutzungsvertrag ist eine eindeutige Regelung zu treffen, unter welchen Bedingungen und mit welchem Zeithorizont eine ordentliche oder ausserordentliche Beendigung des Vertrages möglich ist. In diesem Fall ist zu gewährleisten, dass die Daten in einem vom EDV-System des Kunden verarbeitbaren Format an den Auftraggeber übermittelt werden. Der Cloud-Anbieter ist verpflichtet, nach der Datenübergabe die Daten des Kunden einschliesslich sämtlicher Kopien von all seinen Systemen und Speichermedien sowie von jenen eventueller Subunternehmen vollständig und nicht wiederherstellbar zu entfernen.
  • Geschäftssitz des Cloud-Anbieters: In der Schweiz ansässigen Unternehmen steht die Wahl des Anbieters grundsätzlich frei; im Gegensatz dazu haben EU-Unternehmen einen Cloud-Provider auszuwählen, der seinen Geschäftssitz einschliesslich Serverfarm in einem EU-Mitgliedsland unterhält.
  • Prüfung der Sicherheitsarchitektur bei Anbieter und Nutzer: Je ähnlicher das datenbezogene Sicherheitsmanagement von Cloud-Anbieter und Nutzer ist, desto besser werden beide Vertragsparteien in Fragen der Informationssicherheit zusammenarbeiten. Der Cloud-Nutzungsvertrag sollte Auskunft darüber geben, welche Schnittstellen für die Datenübergabe genutzt werden und wie diese seitens des Cloud-Anbieters abgesichert sind. Es ist auch zu klären, ob für den Bereich Informationssicherheit ein Qualitätsmanagement-Konzept existiert bzw. ob grundsätzlich nach qualitätssichernden Richtlinien vorgegangen wird.

Sicherheitszertifikate, wie etwa jenes nach ISO 27001 oder das speziell für Cloud-SaaS-Dienstleistungen geschaffene Euro-Cloud-Star-Siegel, bieten die Gewissheit, dass der Anbieter die grundsätzlichen Anforderungen hinsichtlich Informationssicherheit erfüllt.

In jedem Fall ist anzuraten, sich vor einer Auftragserteilung selbst ein Bild vom Betrieb des Cloud-Dienstleisters, seiner IT-Architektur sowie von seinem Sicherheits- und Qualitätsmanagement zu machen. In diesem Punkt wären eine unzureichende Kooperation oder gar eine Weigerung des Anbieters als Indiz für mangelnde Seriosität zu werten.

 

Oberstes Bild: © sellingpix – Shutterstock.com

jQuery(document).ready(function(){if(jQuery.fn.gslider) {jQuery('.g-22').gslider({groupid:22,speed:10000,repeat_impressions:'Y'});}});