Peter Huppertz und Dr. Christoph Ohrmann sind Rechtsanwälte in der Düsseldorfer Kanzlei Hoffmann Liebs Fritsch & Partner

Cloud Computing wird für Mittelstandskunden immer interessanter und somit auch für Fachhandel und Systemhaus. Worauf Reseller und Kunden bei Vertragsabschluss achten sollten, zeigen Peter Huppertz und Dr. Christoph Ohrmann auf.

Bei »Cloud Computing« handelt es sich meist um die bereits bekannte Bereitstellung von Services im Wege des Outsourcings. Der ortsunabhängige, dezentrale Abruf »aus der Wolke« ermöglicht eine nutzungs- bzw. bedarfsorientierte Verwendung von Soft- und Hardwareressourcen ohne deren feste physikalische Zuordnung zu einem Kunden. Kennzeichnend für das »Cloud Computing« ist die Bereitstellung einer On-Demand-Infrastruktur (Rechner, Speicher, Netze) und von On-Demand-Software (Betriebssysteme, Anwendungen, etc.) die dynamisch an die Erfordernisse von Geschäftsprozessen und den Bedarf eines Unternehmens angepasst werden.

Die betriebswirtschaftlichen Vorteile des Einkaufs von bedarfsorientierten IT-Ressourcen, die nur bei entsprechender Nutzung abgerechnet werden, liegen auf der Hand. Keine langfristige Beschaffungsplanung, Ausschluss möglicher Unter- bzw. Überversorgung sowie eine bedarfsabhängige und somit besser planbare Abrechnung. Allerdings gibt es auch eine Vielzahl von rechtlichen Fragestellungen, die Systemhaus und Auftraggeber vor Vertragsabschluss berücksichtigen sollten.

Die wohl wichtigste Rolle beim rechtlichen Umgang mit Cloud Services stellt das Datenschutzrecht dar. Datenschutzrechtliche Vorgaben spielen stets dann eine Rolle, wenn personenbezogene Daten, z.B. Kunden-, Lieferanten oder Mitarbeiterdaten verarbeitet werden.

Bei der überwiegenden Mehrzahl der Cloud Computing Angebote handelt es sich datenschutzrechtlich um eine so genannte Auftragsdatenverarbeitung des Cloud-Anbieters für den jeweiligen Auftraggeber. Dem Cloud-Anbieter kommt bei der Leistungserbringung wenig Ausführungsermessen zu (weisungsgebunden) und er greift auf standardisierte Prozesse zurück. Der wichtigste Grundsatz in diesem Zusammenhang ist, dass der Nutzer, also der Auftraggeber für die Rechtmäßigkeit der Datenverarbeitung verantwortlich bleibt bzw. bleiben soll (»Herr der Daten«).

Das BDSG enthält in § 11 Abs. 2 eine Aufzählung von zehn Regelungsbereichen, die zwingend in jedem schriftlich abzuschließenden Vertrag, der eine Auftragsdatenverarbeitung zum Gegenstand hat, aufzunehmen sind. Diese zwingend in den Vertrag aufzunehmenden Regelungsbereiche betreffen z.B. die Festlegung der Laufzeit und Rückgabe von Daten, der nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen zur Einhaltung eines Mindeststandards für den Datenschutz, die Regelung zur Einschaltung und Kontrolle von Subunternehmern (in der Regel nur mit Zustimmung des Auftraggebers) sowie die Festlegung von Kontroll- und Auditierungsrechten des Auftraggebers (z.B. Zugang zu den eingesetzten Rechenzentren zur Kontrolle der technischen und organisatorischen Maßnahmen).

Festlegung der Service Level

Die detaillierte und transparente Festlegung der zu erbringenden Leistungen ist bei der vertraglichen Regelung von Cloud Computing Services von zentraler Bedeutung für Reseller und Kunde. Je sensibler die auszulagernden Prozesse sind (z.B. Controlling, Accounting), desto mehr sollte auf eine sorgfältige Leistungsbeschreibung geachtet werden. Üblicherweise ist die Leistungsbeschreibung in so genannten Service Level Agreements (»SLAs«) geregelt.

Im Wesentlichen bietet sich folgender Aufbau für ein SLA an:

• Allgemeine Leistungsbeschreibung/Leistungsumfang
• Festlegung der Service Level und Parameter
• Monitoring/Reporting der Service Level (Messverfahren, Berichtszeitraum)
  Mitwirkungspflichten des Kunden, Randbedingungen, Abgrenzung der Verantwortlichkeiten
• Sanktionen bei Nichterfüllung der Service Level (Vertragstrafen, Service Level Credits)
• Vergütung

Worauf ein Reseller und Systemhaus bei Cloud Computing Verträgen noch achten muss, erklärt Dr. Christoph Ohrmann in seinem Vortrag auf der Focusreseller Kongressmesse.