Mustervertrag Cloud Computing

Vertragsbeispiel Cloud Computing

In Kürze wird es auf europäischer Ebene Musterverträge für Cloud Computing geben. Ein href= "/News/Peter-Ganten-neuer-OSBA-Chef" onclick="_gaq.push(['_trackEvent','more-box','News/Peter-Ganten-neuer-OSBA-Chef','more-box'])">Peter Güntner neue OSBA-Chef

In der Open Source Business Alliance gibt es drei Vertragsmodelle für Serviceleistungen und die Bereitstellung von Ausrüstungen. Die Open Source Business Alliance (OSBA) will mit drei Vertragsmustern die formelle Organisation von Wirtschaftsbeziehungen rund um Open Source Programme erleichtern. Für die wesentlichen Arten des Softwaregeschäfts sind die Kontraktvorlagen in drei Variationen erhältlich: Services, SW-as-a-Service und Cloud sowie die Bereitstellung von Standardprodukten.

Bei den drei Musterverträgen handelt es sich um vorformulierte Allgemeine Geschäftsbedingungen und einen zweiten Teil mit vertragsspezifischen Informationen. Mit den Verträgen, die die praktischen Erfahrungen mehrerer IT-Anbieter in der OSB-Allianz einfließen lassen, hat die auf Open-Source-Recht spezialisierte Kanzlei JBB Berlin die entsprechenden Vereinbarungen getroffen. "Mit diesen Musterverträgen wollen wir die Grenze für die Kooperation zwischen IT-Anwendern und -Anbietern senken", erläutert Peter Güanten, Chairman der Open Source Business Alliances.

Mit diesen Musterverträgen werden die rechtlichen Rahmenbedingungen im Open-Source-Geschäft vereinheitlicht und vereinfacht." Die neue Arbeitsgruppe "Recht" in der OSBA nimmt mit den drei Musterverträgen ihre Arbeit auf. Ziel dieser Arbeitsgruppe ist es, das Wissen über die rechtlichen Fragen rund um Free and Open Source Programme (FOSS) zu vertiefen und die Voraussetzungen für mehr Klarheit im Umgangs mit solchen Programmen zu legen.

Standard-Vertrag "Dienstleistungen" Standard-Vertrag "Software as a Service und Cloud "Standard-Vertrag "Bereitstellung von Standardsoftware" Peter Güanten tritt die Nachfolge von Karl-Heinz Strassemeyer als neuem Vorsitzenden der Open-Source Business Alliance an.

Cloud Computing Tipps: Verhandeln von wasserdichten Verträgen und GLAs

90% der IT-Experten würden ihrem eigenen Haus empfehlen, vertrauliche Informationen in ihrem eigenen Netzwerk und nicht in der Cloud zu hinterlegen - eine neue Umfrage des Sicherheitsspezialisten Lieberman Softwar.... hat uns vor kurzem mit diesem Resultat überrascht. Ähnlich sieht es in einer Umfrage von Capgemini aus: 72 Prozentpunkte der deutschsprachigen Firmen äußerten sich besorgt über die Cloud, vor allem über mögliche Sicherheitsschwachstellen.

"â??In Deutschland fÃ?hrt die unscharfe Definition des Begriffs zu einer weit verbreiteten Ãngste vor dem Outsourcing von IT-Ressourcen und dem Verlust der Kontrolle. "Daher sollten Firmen eine klare Unterscheidung zwischen der fachlichen Datensicherheit und dem Rechtsschutz treffen. Wesentliche Fragestellungen bei der Ausgestaltung von Global Goverance sind daher: "Was die ITSicherheit betrifft, können sich mit dem Outsourcing von Infrastuktur, Applikationen und Dateien nur noch Verbesserungen erzielen", sagt Khaled Chaar, Managing Director Business Strategy und Managing Director des IT-Dienstleisters Pironet NDH.

"Gerade mittelgroße Firmen erzielen in ihren eigenen Datenzentren kaum das Sicherheits-Niveau eines Profis. "Die Befürchtung, dass die Angaben bei einem fremden Anbieter nicht hinreichend sicher sind, ist nach Ansicht des Spezialisten in den meisten FÃ?llen unbegrÃ? Ähnlich verhält es Michael Pauly, leitender Cloud Consultant bei T-Systems: "Analysen belegen, dass die Security von Cloud Services oft vergleichbar, wenn nicht gar größer ist als die der eigenen IT".

Auch die " Global State of Information Security Survey 2012 " von Price Waterhouse Coopers (PwC) belegt dies: 54 Prozentpunkte der untersuchten Firmen geben an, dass die Nutzung von Cloud Services die Datensicherheit erhöht hat. Dennoch empfiehlt Paulus, dass Firmen sorgfältig überprüfen sollten, mit welchen Security-Konzepten ein Cloud-Provider die ihm überlassenen IT-Ressourcen vor unbefugtem Zugang durch Dritte absichert.

Cloud-Anbieter, die dieses Prädikat besitzen, haben ein nachgewiesenes hohes Maß an IT-Sicherheit für ihre Endkunden. Daher sollten sich die Firmen im Vorfeld darüber erkundigen, für was ein Anbieter konkret zugelassen ist. Das BSI hat auf seiner Website (www.bsi.de) einen Wegweiser mit den Mindestanforderungen an die Sicherheit von Cloud Computing-Anbietern herausgegeben. Firmen können bis zu fünf Sternen erringen.

Anbieter mit dieser Maximalbewertung werden von Fachleuten als glaubwürdig eingestuft. Zur Beurteilung, ob ein Cloud-Anbieter kundenspezifische Sondervereinbarungen bietet, können die folgenden Merkmale erstellt und überprüft werden: Die juristischen Gesichtspunkte des Cloud Computing sind zumindest so vielschichtig wie die Frage der IKT-Sicherheit. Die Datenschutzbestimmungen sind immer dann anwendbar, wenn es sich um Daten handelt, die in irgendeiner Weise eine persönliche Verbindung haben oder bei denen ein Dritter eine solche Verbindung einrichten kann.

Laut Anwalt gibt es in der Realität nur sehr wenige Cloud-Anwendungen, bei denen die Angaben nicht annähernd persönlich sind. Der Schutz personenbezogener Nutzerdaten erfolgt insbesondere durch die EU-Grundrechtecharta und das Recht Deutschlands auf informationelle Mitbestimmung. Daher stellen sich viele Firmen die Frage, ob diese Information überhaupt in die Cloud auslagerbar ist.

Cloud-Computerverträge sind aus rechtlicher Sicht nichts Neuartiges. Die Auslagerung von Informationen in die Cloud ist eine Art Outsourcing, das seinerseits Teil der Bedingungen der Bestelldatenverarbeitung ist. Diese Auftragsdaten verarbeitenden Vertragsbeziehungen ermöglichen in der Regel die Übermittlung personenbezogener Nutzungsdaten an einen Drittanbieter. "Befindet sich das betreffende Dienstleistungsunternehmen jedoch in einem Drittstaat wie den USA, ist die rechtliche Situation umständlicher.

Dabei ist laut Eckhardt sorgfältig zu prüfen, ob und unter welchen Voraussetzungen eine Datenübermittlung überhaupt möglich ist. Ausschlaggebend ist dabei, wo sich die Zentrale des Cloud-Anbieters aufhält. Bei unkritischen Informationen, wie z. B. ungeschützten Bildern, ist es egal, wo sich die Datenserver des Anbieters aufhalten. "Egal ob ein in Europa oder Amerika ansässiges oder nicht ansässiges Unter-nehmen, die grundlegende Voraussetzung für Cloud Computing sollte ein anspruchsvoller Dienstleistungsvertrag mit dem Provider sein.

Dies gilt auch, wenn ein Untenehmen zuerst nur eine Cloud-Anwendung ausprobieren möchte. Erstens sollte in einem Cloud Computing-Vertrag exakt definiert werden, welche Dienste ein Provider in welcher Intensität erbringt. "Â "Â "Unternehmen sollten sich immer darüber im Klaren sein, was fÃ?r die praxisorientierte Anwendung bestimmter Informationen wichtig istÂ", schildert Pailey. In einem Cloud-Vertrag müssen auch die Maintenance-Fenster angegeben werden.

Mit welchen Verschlüsselungsmethoden arbeitet der Anbieter? Gibt es ein Backup-Rechenzentrum, in dem alle Informationen wiedergegeben werden? Sind die Kommunikationen zwischen Anbieter und Kunde sowie zwischen den Niederlassungen des Dienstleisters ohne Ausnahme chiffriert? Durch die typischerweise mehrjährige Laufzeit von Cloud-Computing-Verträgen sollte auch darauf geachtet werden, dass der Anbieter sein Security-Konzept laufend an die technische Weiterentwicklung angepasst.

Laut Chars ist in diesem Kontext auch die genaue Definition von Sanktionen für den Falle, dass ein Anbieter die Vorgaben der GAV nicht erfüllt, elementare Bestandteile. Andererseits sollten Firmen auch auf eventuelle Haftungsausschlusserklärungen oder -beschränkungen des Dienstleisters achten. Außerdem müssen die Betriebe klarstellen, ob und in welcher Weise der Anbieter bestimmte Dienstleistungen weitervergeben darf.

Verfügt der Cloud Computing-Anbieter zum Beispiel überhaupt über ein eigenes Datacenter? In diesem Fall vermietet er die Kapazität an einen unabhängigen Service? "Prinzipiell darf ein Anbieter nur solche Firmen in Auftrag geben, die mindestens das gleiche Sicherheitsniveau garantieren wie der Auftraggeber selbst", erläutert Eckhardt. "Eine Firma muss sich jedoch bewusst sein, dass sie mit einem solchen Bauwerk im Notfall für die Unterauftragnehmer ebenso haftbar ist wie für den Generalunternehmer.

"Um feststellen zu können, ob ein Lieferant alle Verträge erfüllt, muss sich das Vertragsunternehmen durch einen Vertrag ein Kontrollsystem einrichten. Es gibt dem Kunden im idealen Fall das Recht, die Verarbeitung der Daten einschließlich der Schutzmassnahmen vor Ort beim Dienstleister und auch bei dessen Unterlieferanten steuern zu können. Der Jurist Eckhardt weist daher darauf hin, dass der Standort des Rechenzentrums des Cloud-Providers nicht irrelevant ist.

Für die Kontrolle und Überwachung der Security in Cloud-Umgebungen gibt es eine Reihe von kostenlosen Tools, so dass Benutzer nicht notwendigerweise auf kostenintensive Suites zurückgreifen müssen. Für Firmen bestehen verschiedene gesetzliche Aufbewahrungspflichten. Bei der Langzeitarchivierung von Emails, E-Mails und elektronischen Dokumenten geht es um die langfristige Aufbewahrung. In diesem Zusammenhang ist nicht nur die Dauer von Cloud-Verträgen zu regeln, sondern auch die Rücksendung oder Vernichtung von Nutzungsdaten am Ende des Vertrages.

Auch die Voraussetzungen für die Rücksendung der gesendeten Informationen, wie z.B. der Übertragungspfad oder das Datenformat, sollten klargestellt werden. Eine vorzeitige Datenrückgabe - z.B. im Insolvenzfall eines Anbieters oder bei einem Providerwechsel - muss ebenso eindeutig sein. Im Zweifelsfalle sollte eine solche Exit-Strategie den Kunden auch dazu berechtigt sein, die Informationen von Subunternehmern zurückzuverlangen.

Dabei ist auch die Finanzstabilität eines Cloud-Computing-Anbieters ein ausschlaggebendes Entscheidungskriterium. Konkrete Leistungsangebote (SLA): Das Dienstleistungsangebot des Anbieters sollte im Auftrag präzise spezifiziert werden. Aufgrund der in der Regel mehrjährigen Verträge für Cloud Computing sollte auch darauf geachtet werden, dass der Anbieter sein Security-Konzept laufend an die technische Weiterentwicklung angepasst. Konventionalstrafen bei Nichterfüllung: Die Vertragsparteien sollten Sanktionen für den Falle vereinbaren, dass der Dienstleister die versprochenen Dienstleistungen nicht bereitstellt.

Inbetriebnahme von Subunternehmern: Dabei haben die Vertragsparteien zu bestimmen, ob und in welcher Weise der Dienstleister bestimmte Dienstleistungen weitervergeben kann. Ein Cloud-Anbieter darf prinzipiell nur solche Firmen in Auftrag geben, die das gleiche Sicherheitsniveau wie der Anbieter selbst gewährleisten. Kundenkontrollrecht: Der Kunde muss sich das Recht zur regelmäßigen Kontrolle der datentechnischen Verarbeitung des Cloud-Anbieters, einschließlich der Sicherungsmaßnahmen, vertragsgemäß verschaffen.

Vertragsdauer und Datenrückgabe: Bei einem Cloud-Vertrag müssen nicht nur die Dauer, sondern auch die Bedingungen für die Rücksendung oder Vernichtung der Nutzdaten festgelegt werden. Exit-Strategie: Es muss auch klare Regeln für die vorzeitige Datenrückgabe geben - zum Beispiel im Fall der Zahlungsunfähigkeit eines Anbieters oder bei einem Providerwechsel.

Im Zweifelsfalle sollte eine solche Exit-Strategie den Kunden auch dazu berechtigt sein, die Informationen von Subunternehmern zurückzuverlangen.

Mehr zum Thema