Störfälle im Cloud-Betrieb – was nun?

Geht es um die Verlagerung bestimmter Anwendungen oder Prozesse in die Cloud, müssen die Parteien bereits bei der Vertragsgestaltung einige wichtige Störfälle ins Kalkül ziehen. Dr. Thomas Jansen, Partner der Wirtschaftskanzlei DLA Piper, beantwortet die wichtigsten Fragen über Störfälle in der Cloud und wie man sich darauf vorbereiten kann.

Angenommen, mein Cloud Provider macht Konkurs – wie kann ich meine Daten zurückerhalten und sie inklusive der Technologie einem anderen Anbieter übertragen?

Dr. Jansen: Aus rechtlicher Sicht besteht kein Unterschied zu den herkömmlichen Outsourcing-Konzepten.

Der Vertrag muss durch “Exitklauseln” die Rechte des Kunden sichern, die Daten zurückzuerhalten oder einem neuen Provider übertragen zu können. In der praktischen Umsetzung kann dies schwierig werden, wenn der Cloud-Anbieter einen Drittprovider mit dem Hosting der Daten beauftragt hat. Hier sollte der Kunde berechtigt sein, die Daten vom Drittprovider zurückzufordern.

Was passiert, wenn mein Cloud Provider meine Daten unerlaubt und unter Verletzung der Datenschutzgesetze und anderer Regelungen überträgt.

Dr. Jansen: Auch hier besteht rechtlich kein Unterschied zu den herkömmlichen Outsourcing-Konzepten. Die relevanten Datenschutzmaßnahmen und -vorschriften müssen vertraglich festgelegt sein. Der Vertrag muss dem Kunden außerdem detaillierte Überwachungsrechte einräumen.

Bei einer Vertragsverletzung muss der Kunden berechtigt sein, den Vertrag zu kündigen. Der Vertrag muss durch “Exitklauseln” die Rechte des Kunden sichern, die Daten zurückzuerhalten oder einem neuen Provider übertragen zu können.

Verletzt der Cloud Provider Datenschutzgesetze und drohen dem Kunden deswegen behördliche Geldstrafen oder sonstige Ansprüche, darf die Haftung des Cloud Providers für derartige Ansprüche gegenüber dem Kunden nicht ausgeschlossen oder begrenzt sein.

Welche Maßnahmen kann ich ergreifen, wenn mein Cloud Provider mangelhafte Dienste leistet (in Anbetracht dessen, dass die Haftung bei “normalen” Cloud-Verträgen häufig begrenzt und kein Service Level Agreement enthalten ist)?

Dr. Jansen: Man muss zwischen “Public-Cloud-Services” und den “Private- oder Enterprise-Cloud-Services” unterscheiden.

Public-Cloud-Angebote sind eventuell nur für nicht kritische, unkomplizierte Standardanwendungen und -daten geeignet, da Verträge für Public-Cloud-Dienste keine kundenfreundlichen Gewährleistungs- und Service-Level-Bestimmungen aufweisen.

Bei “Private- oder Enterprise-Cloud-Services”-Angeboten verhält es sich meist anders. Diese Dienste und Verträge sind meistens spezifisch auf einen bestimmten Kunden abgestimmt und enthalten daher die entsprechenden Gewährleistungs- und Service-Level-Vereinbarungen.

Was geschieht, wenn der Provider keine ausreichenden Disaster-Recovery-Vorkehrungen trifft?

Dr. Jansen: Disaster-Recovery-Vorkehrungen (einschließlich Backup-Vereinbarungen) müssen vertraglich festgelegt und vereinbart werden. Der Vertrag muss dem Kunden außerdem detaillierte Überwachungsrechte einräumen. Bei einer Vertragsverletzung muss der Kunde eine vertraglich vereinbarte Kündigungsmöglichkeit haben.

Der Vertrag muss durch “Exitklauseln” die Rechte des Kunden sichern, die Daten zurückzuerhalten oder einem neuen Provider übertragen zu können. Verletzt der Cloud Provider Datenschutzgesetze und drohen dem Kunden deswegen behördliche Geldstrafen oder sonstige Ansprüche, darf die Haftung des Cloud Providers für derartige Ansprüche gegenüber dem Kunden nicht ausgeschlossen oder begrenzt sein.

Die Nutzung der Cloud ist abhängig vom verfügbaren Internetzugang. Was geschieht, wenn der Netzwerkbetreiber ausfällt? Wer ist in diesem Fall verantwortlich?

Dr. Jansen: Gewöhnlich gibt es zwei vertragliche Regelungen: Einmal zwischen dem Cloud Service Provider und dem Kunden einerseits und andererseits ein Untervertrag zwischen dem Cloud Service Provider und dem Netzwerkbetreiber. In der Beziehung zwischen dem Cloud Provider und dem Kunden wird ein Ausfall des Netzwerkbetreibers als Ausfall des Cloud Providers betrachtet. Folglich müsste der Cloud Provider den Kunden für alle Verluste entschädigen, die durch das Ausfallen des Netzwerkbetreibers verursacht werden.

Sofern der Kunde für eine Verletzung der Datenschutzgesetze durch den Cloud Provider haftbar gemacht werden könnte, darf die Haftung des Cloud Providers für derartige Ansprüche nicht ausgeschlossen oder begrenzt sein.

Was geschieht bei einem Denial-of-Service-Angriff oder einer Datenschutzverletzung? Wer ist in diesem Fall verantwortlich?

Dr. Jansen: Die relevanten Datenschutzmaßnahmen und -vorschriften müssen vertraglich festgelegt sein. Der Vertrag muss dem Kunden außerdem detaillierte Überwachungsrechte einräumen.

Bei einer Vertragsverletzung muss dem Kunden ein vertraglich vereinbartes Kündigungsrecht zustehen. Der Vertrag muss durch “Exitklauseln” die Rechte des Kunden sichern, die Daten zurückzuerhalten oder einem neuen Provider übertragen zu können.

Verletzt der Cloud Provider Datenschutzgesetze und drohen dem Kunden deswegen behördliche Geldstrafen oder sonstige Ansprüche, darf die Haftung des Cloud Providers für derartige Ansprüche gegenüber dem Kunden nicht ausgeschlossen oder begrenzt sein.