Standardisierte IT-Services
Die IT-Industrie hat in den letzten Jahren zahlreiche standardisierte IT-Services entwickelt, welche zu attraktiven Konditionen angeboten werden. Solche Services werden unter der Bezeichnung Cloud-Services vermarktet, bisweilen auch in Kombination mit zusätzlichen Begriffen wie Public Cloud, Private Cloud oder Hybrid Cloud. Weitere gängige Schlagworte im Zusammenhang mit Cloud-Services sind SaaS (Software as a Service), PaaS (Platform as a Service) oder IaaS (Infrastructure as a Service). Alle diese Bezeichnung sind unscharfe Marketingbegriffe, die weder durch Gesetze noch durch Normen spezifiziert sind. Welche Leistung wird angeboten? Wer hat Zugriff zum selben Dienst? Das alles erschliesst sich erst bei einer Analyse der technischen Beschreibung und der rechtlichen Nutzungsbedingungen. Allzu oft jedoch sind die von den Anbietern zur Verfügung gestellten Unterlagen zu wenig präzis und es sind weitere Abklärungen erforderlich.
Keinen physischen Zugriff
Allen Cloud-Diensten gemeinsam ist, dass der Kunde nicht Eigentums- oder Nutzungsrechte an konkret definierten Produkten erwirbt. Er erhält weder Hardware noch eine Softwarelizenz, sondern nur das Recht, einen IT-Dienst zu nutzen. Der Dienst wird vom Anbieter betrieben und der Zugriff des Kunden erfolgt über eine WAN-Anbindung. Der Kunde hat keinen physischen Zugriff auf die Hard- oder Software. Sein Nutzungsrecht ist auf den reinen Gebrauch beschränkt. Er erhält hinsichtlich der benutzten Software weder Vervielfältigungs- noch Bearbeitungsrechte.
Bei Cloud-Services handelt es sich um stark standardisierte Produkte. Sie werden vom Anbieter unabhängig von konkreten Kundenanfragen entwickelt und vermarktet. Der Anbieter definiert, welche Funktionalität zur Verfügung steht und der Kunde kann nur unter den angebotenen Optionen auswählen. Er kauft seine Informatiklösung quasi «ab Stange». Dadurch unterscheiden sich Cloud-Dienste vom «Massanzug» des klassischen Outsourcings, welches auf einen konkreten Kunden zugeschnitten wird.
Schliesslich sind Cloud-Services skalierbar. Weil der Anbieter die IT-Services unabhängig von konkreten Bestellungen anbietet und damit gewissermassen «auf Lager» bereit hält, kann der Kunde leicht zusätzliche Einheiten bestellen.
Aus der Charakteristik von Cloud-Services resultieren ein paar rechtliche Besonderheiten, die bei der Beschaffung solcher Services zu berücksichtigen sind.
Datenschutz
Durch die Auslagerung der Datenverarbeitung verliert der Kunde den physischen Zugriff auf seine Daten. Dies ist zwar auch beim Outsourcing der Fall, dort werden die Daten jedoch auf einer ausschliesslich für den Kunden betriebenen IT-Infrastruktur an einem bekannten Standort verarbeitet. Bei Cloud-Services ist das nicht gewährleistet. Die Daten einer Vielzahl von Kunden werden auf der gleichen Plattform verarbeitet. Die Trennung der eigenen Daten von den Daten anderer Kunden erfolgt rein virtuell über Zugriffsrechte. Der Standort der physischen IT-Infrastruktur ist dem Kunden oft nicht bekannt.
Nach Art. 7 DSG muss ein Dateninhaber die Datensicherheit gewährleisten. Dazu muss er die zum Schutz der Daten erforderlichen technischen und organisatorischen Massnahmen treffen. Das Schutzniveau ist von der Art der bearbeiteten Daten abhängig. Besonders zu schützen sind Gesundheits- und Finanzdaten. Bei Finanzdaten z.B. muss der Dateninhaber zwingend den Standort der Datenbearbeitung kennen und ein Datenexport ins Ausland darf nur in verschlüsselter Form erfolgen. Bevor die Datenbearbeitung in die Cloud ausgelagert wird, sind rechtliche Abklärungen zur Zulässigkeit einer solchen Auslagerung und zum allenfalls erforderlichen Schutzniveau zu tätigen.
Records Management und Archivierung
Unternehmen sind verpflichtet, bestimmte Daten während einer gewissen Zeit aufzubewahren, z.B. die Buchhaltung während 10 Jahren. Die Verfügbarkeit von Daten wird zwar auch durch Anbieter von Cloud-Services versprochen und technisch abgesichert. Was ist jedoch, wenn der Anbieter den Betrieb einstellt, weil er das Geschäft aufgibt, übernommen wird, in Konkurs geht oder von einer Regierung dazu gezwungen wird? Dieses sogenannte Gegenpartei-Risiko besteht bei einer selber betriebenen IT naturgemäss nicht. Es ist umso grösser, je exotischer der Standort des Anbieters von Cloud-Services ist. Insbesondere sollten in diesem Zusammenhang auch politische Risiken berücksichtigt werden.
Vertragsgestaltung und die Vertragsverhandlung
Cloud-Services sind stark standardisiert. Entweder der Kunde kauft einen Service (allenfalls angereichert mit Optionen) oder er lässt es bleiben. Selbstverständlich sind auch Cloud-Provider auf ihre Kunden angewiesen und sie müssen sich an deren Bedürfnissen orientieren. Sie tun dies jedoch im Vorfeld beim Aufbau des Cloud-Service. Steht der Service, wollen und können Cloud-Provider einzelnen Kunden keine Zugeständnisse machen. Dies gilt auf jeden Fall für die Leistungskriterien (SLAs) des angebotenen Services. Ein anderes Thema ist der Preis, über welchen durchaus verhandelt werden kann.
Vertragsdauer
Der grosse Vorteil von Cloud-Services liegt (neben den günstigen Kosten) in der Flexibilität. Der Kunde kann leicht Services dazu kaufen. Er sollte sie aber auch wieder abbestellen können. Lange Kündigungsfristen haben in Cloud-Verträgen deshalb nichts verloren, zumindest nicht für den Kunden. Hingegen ist es gerechtfertigt, dem Cloud-Provider längere Kündigungsfristen zuzumuten. Bei Cloud-Verträgen sind deshalb asynchrone Kündigungsregelungen anzutreffen mit einer kurzen Kündigungsfrist für den Kunden und einer langen für den Provider.
Rückübernahme
Wer Daten in die Cloud auslagert, sollte sich Gedanken darüber machen, wie die Datenbearbeitung wieder zurückgenommen oder auf andere Anbieter übertragen werden kann. Ist der Kunde dazu auf die Dienstleistungen des Cloud-Anbieters angewiesen? Und falls ja: Sichert der Anbieter seine Unterstützung zu? Zu welchen Konditionen? Das gilt es vertraglich abzusichern.
Wer Daten in die Cloud auslagert, sollte sich Gedanken darüber machen, wie die Datenbearbeitung wieder zurückgenommen oder auf andere Anbieter übertragen werden kann. Ist der Kunde dazu auf die Dienstleistungen des Cloud-Anbieters angewiesen? Und falls ja: Sichert der Anbieter seine Unterstützung zu? Zu welchen Konditionen? Das gilt es vertraglich abzusichern.