09.10.2017

Cloud-Services: Beschaffung von Cloud-Services

Die IT-Beschaffung befindet sich in einem Umbruch. Die Informatik löst sich von ihrer Verankerung in der physischen Welt. Heute wird IT immer häufiger als fertiger Service eingekauft. Dabei gilt es ein paar Besonderheiten zu beachten.

Von: Urs Egli   Drucken Teilen   Kommentieren  

Dr. iur. Urs Egli

Rechtsanwalt Dr. iur. Urs Egli ist Gründungspartner der Anwaltskanzlei epartners Rechtsanwälte in Zürich (www.epartners.ch). Nach einer dreijährigen Tätigkeit am Bezirksgericht Zürich und einem Anwaltspraktikum in Newcastle upon Tyne (GB) arbeitete er zunächst auf dem Rechtsdienst von AT&T/NCR in der Schweiz. Seit 1997 hat er als Wirtschaftsanwalt eine grosse Zahl von Klienten betreut und sich insbesondere auf den Gebieten Informatik- und Technologierecht sowie Arbeitsrecht einen Namen gemacht. Dr. Urs Egli publiziert regelmässig auf diesen Gebieten und tritt als Referent an Fachveranstaltungen auf.

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

Standardisierte IT-Services

Die IT-Industrie hat in den letzten Jahren zahlreiche standardisierte IT-Services entwickelt, welche zu attraktiven Konditionen angeboten werden. Solche Services werden unter der Bezeichnung Cloud-Services vermarktet, bisweilen auch in Kombination mit zusätzlichen Begriffen wie Public Cloud, Private Cloud oder Hybrid Cloud. Weitere gängige Schlagworte im Zusammenhang mit Cloud-Services sind SaaS (Software as a Service), PaaS (Platform as a Service) oder IaaS (Infrastructure as a Service). Alle diese Bezeichnung sind unscharfe Marketingbegriffe, die weder durch Gesetze noch durch Normen spezifiziert sind. Welche Leistung wird angeboten? Wer hat Zugriff zum selben Dienst? Das alles erschliesst sich erst bei einer Analyse der technischen Beschreibung und der rechtlichen Nutzungsbedingungen. Allzu oft jedoch sind die von den Anbietern zur Verfügung gestellten Unterlagen zu wenig präzis und es sind weitere Abklärungen erforderlich.

Keinen physischen Zugriff

Allen Cloud-Diensten gemeinsam ist, dass der Kunde nicht Eigentums- oder Nutzungsrechte an konkret definierten Produkten erwirbt. Er erhält weder Hardware noch eine Softwarelizenz, sondern nur das Recht, einen IT-Dienst zu nutzen. Der Dienst wird vom Anbieter betrieben und der Zugriff des Kunden erfolgt über eine WAN-Anbindung. Der Kunde hat keinen physischen Zugriff auf die Hard- oder Software. Sein Nutzungsrecht ist auf den reinen Gebrauch beschränkt. Er erhält hinsichtlich der benutzten Software weder Vervielfältigungs- noch Bearbeitungsrechte.

Bei Cloud-Services handelt es sich um stark standardisierte Produkte. Sie werden vom Anbieter unabhängig von konkreten Kundenanfragen entwickelt und vermarktet. Der Anbieter definiert, welche Funktionalität zur Verfügung steht und der Kunde kann nur unter den angebotenen Optionen auswählen. Er kauft seine Informatiklösung quasi «ab Stange». Dadurch unterscheiden sich Cloud-Dienste vom «Massanzug» des klassischen Outsourcings, welches auf einen konkreten Kunden zugeschnitten wird.

Schliesslich sind Cloud-Services skalierbar. Weil der Anbieter die IT-Services unabhängig von konkreten Bestellungen anbietet und damit gewissermassen «auf Lager» bereit hält, kann der Kunde leicht zusätzliche Einheiten bestellen.

Aus der Charakteristik von Cloud-Services resultieren ein paar rechtliche Besonderheiten, die bei der Beschaffung solcher Services zu berücksichtigen sind.

Datenschutz

Durch die Auslagerung der Datenverarbeitung verliert der Kunde den physischen Zugriff auf seine Daten. Dies ist zwar auch beim Outsourcing der Fall, dort werden die Daten jedoch auf einer ausschliesslich für den Kunden betriebenen IT-Infrastruktur an einem bekannten Standort verarbeitet. Bei Cloud-Services ist das nicht gewährleistet. Die Daten einer Vielzahl von Kunden werden auf der gleichen Plattform verarbeitet. Die Trennung der eigenen Daten von den Daten anderer Kunden erfolgt rein virtuell über Zugriffsrechte. Der Standort der physischen IT-Infrastruktur ist dem Kunden oft nicht bekannt.

Nach Art. 7 DSG muss ein Dateninhaber die Datensicherheit gewährleisten. Dazu muss er die zum Schutz der Daten erforderlichen technischen und organisatorischen Massnahmen treffen. Das Schutzniveau ist von der Art der bearbeiteten Daten abhängig. Besonders zu schützen sind Gesundheits- und Finanzdaten. Bei Finanzdaten z.B. muss der Dateninhaber zwingend den Standort der Datenbearbeitung kennen und ein Datenexport ins Ausland darf nur in verschlüsselter Form erfolgen. Bevor die Datenbearbeitung in die Cloud ausgelagert wird, sind rechtliche Abklärungen zur Zulässigkeit einer solchen Auslagerung und zum allenfalls erforderlichen Schutzniveau zu tätigen.

Records Management und Archivierung

Unternehmen sind verpflichtet, bestimmte Daten während einer gewissen Zeit aufzubewahren, z.B. die Buchhaltung während 10 Jahren. Die Verfügbarkeit von Daten wird zwar auch durch Anbieter von Cloud-Services versprochen und technisch abgesichert. Was ist jedoch, wenn der Anbieter den Betrieb einstellt, weil er das Geschäft aufgibt, übernommen wird, in Konkurs geht oder von einer Regierung dazu gezwungen wird? Dieses sogenannte Gegenpartei-Risiko besteht bei einer selber betriebenen IT naturgemäss nicht. Es ist umso grösser, je exotischer der Standort des Anbieters von Cloud-Services ist. Insbesondere sollten in diesem Zusammenhang auch politische Risiken berücksichtigt werden.

Vertragsgestaltung und die Vertragsverhandlung

Cloud-Services sind stark standardisiert. Entweder der Kunde kauft einen Service (allenfalls angereichert mit Optionen) oder er lässt es bleiben. Selbstverständlich sind auch Cloud-Provider auf ihre Kunden angewiesen und sie müssen sich an deren Bedürfnissen orientieren. Sie tun dies jedoch im Vorfeld beim Aufbau des Cloud-Service. Steht der Service, wollen und können Cloud-Provider einzelnen Kunden keine Zugeständnisse machen. Dies gilt auf jeden Fall für die Leistungskriterien (SLAs) des angebotenen Services. Ein anderes Thema ist der Preis, über welchen durchaus verhandelt werden kann.

Vertragsdauer

Der grosse Vorteil von Cloud-Services liegt (neben den günstigen Kosten) in der Flexibilität. Der Kunde kann leicht Services dazu kaufen. Er sollte sie aber auch wieder abbestellen können. Lange Kündigungsfristen haben in Cloud-Verträgen deshalb nichts verloren, zumindest nicht für den Kunden. Hingegen ist es gerechtfertigt, dem Cloud-Provider längere Kündigungsfristen zuzumuten. Bei Cloud-Verträgen sind deshalb asynchrone Kündigungsregelungen anzutreffen mit einer kurzen Kündigungsfrist für den Kunden und einer langen für den Provider.

Rückübernahme

Wer Daten in die Cloud auslagert, sollte sich Gedanken darüber machen, wie die Datenbearbeitung wieder zurückgenommen oder auf andere Anbieter übertragen werden kann. Ist der Kunde dazu auf die Dienstleistungen des Cloud-Anbieters angewiesen? Und falls ja: Sichert der Anbieter seine Unterstützung zu? Zu welchen Konditionen? Das gilt es vertraglich abzusichern.

Wer Daten in die Cloud auslagert, sollte sich Gedanken darüber machen, wie die Datenbearbeitung wieder zurückgenommen oder auf andere Anbieter übertragen werden kann. Ist der Kunde dazu auf die Dienstleistungen des Cloud-Anbieters angewiesen? Und falls ja: Sichert der Anbieter seine Unterstützung zu? Zu welchen Konditionen? Das gilt es vertraglich abzusichern.

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Verträge entwerfen und verhandeln

Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

Gehen Sie rechtssicher mit IT-Outsourcing und Cloud Computing um. Lernen Sie die Rahmenbedingungen kennen, schätzen Sie Risiken realistisch ein und beurteilen Sie Verträge professionell.

Nächster Termin: 16. November 2017

mehr Infos

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • Rechtssicher

    Rechtssicher

    Sicherheit bei Rechtsfragen im Geschäftsalltag

    Mehr Infos

  • Download-Paket IT-Musterverträge

    Download-Paket IT-Musterverträge

    Über 120 Mustervorlagen für ein sicheres und effizientes IT-Management

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, ½ Tag, ZWB, Zürich

    Update Datenschutz

    Neuerungen in der EU und der Schweiz

    Nächster Termin: 07. November 2017

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 16. November 2017

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Workshop Datenschutz in der Praxis

    Die neue DSGVO und deren Folgen für Schweizer Unternehmen

    Nächster Termin: 30. November 2017

    mehr Infos