Software Cloud Nutzungsvertrag

Published on Juni 19th, 2013 | by PM United

0

Cloud Nutzungsvertrag rechtssicher abschließen

Cloud-Computing ist derzeit ein viel diskutiertes Thema. Es handelt sich dabei jedoch um keine neue Technologie, sondern um eine Kombination bzw. Weiterentwicklung bestehender IT-Technik. Rechtlich hat ein Cloud-Nutzungsvertrag den Charakter eines IT-Servicevertrages, in dessen Rahmen der Kunde vom Cloud Service Provider (CSP) im Web zur Verfügung gestellte Services nutzt. Gegenstand dieses Servicevertrages kann die Nutzung von Softwareanwendungen oder IT-Plattformen, aber auch die Verwaltung und Speicherung von Kundendaten sein. In jedem Fall gibt der Kunde die Kontrolle über Datenhaltung und Datenzugriff aus der Hand, der Abfassung eines rechtssicheren Nutzungsvertrages sollte daher größtes Augenmerk geschenkt werden.

Cloud-Nutzungsvertrag rechtssicher abschließen – so funktioniert es

Wer die Inanspruchnahme von Online-Servicediensten mit einem Cloud-Service-Provider vereinbart, sollte mit diesem konkrete Absprachen treffen und diese im Nutzungsvertrag festhalten. Dies betrifft nicht nur die Klärung der Frage, welche Dienste durch den CSP zur Verfügung gestellt werden sollen, sondern auch Regelungen, welche die Integrität (lückenlose Nachvollziehbarkeit sämtlicher Änderungen der Nutzerdaten), Verfügbarkeit (uneingeschränkte Zugriffsmöglichkeit auf Daten und Anwendungsprogramme im vereinbarten Zeitraum) und Vertraulichkeit (nur autorisierte Benutzer können auf die Daten zugreifen) der Nutzerdaten betreffen. Der IT-Dienstleister hat in jedem Fall nachzuweisen, dass die Daten seiner Kunden vor Verlust und Missbrauch ausreichend geschützt sind, ein entsprechender vertraglicher Passus ist unbedingt vorzusehen. Bewährt hat sich die Aufnahme derartiger Vereinbarungen in die Service-Level-Agreements (SLAs), welche fixer Bestandteil jedes IT-Servicevertrages sind. SLAs stellen den Kern derartiger Verträge dar, in ihnen wird festgelegt, welche Leistungen der CSP in welcher Qualität wann zu erbringen hat. Es hat sich als sinnvoll erwiesen, sämtliche Maßnahmen, welche der CSP zum Schutz der Kundendaten vorsieht (Datensicherungsmethode, Intrusion-Prevention-Systeme, Verschlüsselungsverfahren …) in einem separaten Security-SLA zusammenzufassen.

Das Security-SLA sollte auch eine Verpflichtungserklärung des CSP beinhalten, sämtliche Sicherheitsmaßnahmen stets auf dem neuesten Stand der Technik zu halten. Grundsätzlich sind SLAs stets mit möglichst hohem Detaillierungsgrad auszuformulieren, denn im Streitfall zählt das, was im Vertrag steht. So sollten neben der allgemeinen Leistungsaufstellung auch Themen wie Zugriffszeiten, Reaktions- und Behebungszeiten im Störungsfall sowie erforderliche Wartungsfenster fix geregelt sein. Wenn kein eigener Security-SLA vereinbart wird, sind die Bereiche IT-Security und Informationssicherheit in den allgemeinen Teil des Vertrages aufzunehmen, dies entspricht auch den Empfehlungen, welche das Bundesamt für Sicherheit in der Informationsstechnik (BSI) für die Nutzung von Cloud-Computing herausgegeben hat. Ist eine lückenlose Aufzeichnung sämtlicher datenbezogener Vorgänge in Form von Logprotokolldateien vereinbart, können diese im Schadensfall zur Klärung der Verschuldensfrage beitragen.

Die Auslagerung der Daten an den Cloud-Dienstleister befreit den Nutzer jedoch nicht von der grundsätzlichen Verantwortung für Sicherheit und Schutz seiner Daten. §9 des Bundesdatenschutzgesetzes bestimmt, dass der Nutzer als Daten erhebende Stelle stets alle notwendigen Maßnahmen zu treffen hat, um größtmögliche Informationssicherheit zu gewährleisten. Er hat insbesondere sicherzustellen, dass beim Datentransfer zu und vom CSP sowie bei der Datenhaltung und Bearbeitung auf IT-Systemen des Dienstleisters Unbefugte keinen Zugang erhalten. Umso wichtiger ist eine genaue Prüfung der technischen und organisatorischen Möglichkeiten des IT-Dienstleisters, denn die Letztverantwortung für den Schutz der Daten verbleibt gemäß den Bestimmungen des Bundesdatenschutzgesetzes beim Nutzer als „Inhaber“ der Daten.

Diese Punkte sind beim Cloud Vertrag besonders zu beachten:

Sitz des Anbieters

Cloud-Computing-Anbieter, welche ihren ordentlichen Geschäftssitz in Deutschland haben, unterliegen deutschem Recht bzw. EU-Recht. Dies ist insofern von Bedeutung, als geltende gesetzliche Regelungen bestimmen, dass lediglich Cloud-Dienstleister mit Sitz in einem EU-Mitgliedsland Datenverarbeitungen im Auftrag eines Kunden durchführen dürfen. Aufgrund unterschiedlicher datenschutzrechtlicher Standards existieren derzeit noch keine diesbezüglichen Kooperationsabkommen mit Nicht-EU-Ländern. Es kann für den Nutzer eines Cloud-Computing-Abkommens daher böse Folgen haben, wenn sich die Serverfarm des Cloud-Serviceanbieters in Nordamerika befindet, da in diesem Fall gegen geltende gesetzliche Bestimmungen verstoßen wird. Es sollte somit ein Dienstleister ausgewählt werden, dessen IT-Infrastruktur, wie Rechenzentrum, Speichermedien und Serverfarm, sich innerhalb des EU-Raumes befindet, eine diesbezügliche Bestätigung des Anbieters im Vertrag ist in jedem Fall erforderlich.

Verschlüsselungsverfahren

Datenverschlüsselung ist ein häufiger Schwachpunkt in Cloud-Nutzungsverträgen. Oft wird übersehen, dass nicht nur die Daten sicher zu verschlüsseln sind, sondern auch der Transport der Daten über eine abgesicherte Verbindung zu erfolgen hat, wie dies etwa bei einem Virtual Private Network (VPN) der Fall ist. Dieser Sicherheitsaspekt ist besonders bei mobiler Nutzung der Cloud-Anwendung in öffentlichen Wireless LANs von Bedeutung.

Kündigung des Vertrages

Im Cloud Vertrag ist eindeutig zu definieren, was bei einer ordentlichen oder außerordentlichen Beendigung der Geschäftsbeziehung mit den Kundendaten zu geschehen hat. Es muss sichergestellt sein, dass in diesem Fall innerhalb eines festgelegten Zeitraumes die Nutzerdaten einschließlich sämtlicher Kopien sowohl von allen Systemen und Datenträgern des CSP als auch von den Speichermedien eventueller Subunternehmen vollständig und nicht wiederherstellbar entfernt werden und die Daten in einem mit dem Kundensystem kompatiblen Format an den Nutzer übermittelt werden.

Prüfung der Sicherheitsarchitektur bei Anbieter und Nutzer

Je ähnlicher die daten- und systembezogene Sicherheitspolitik von Anbieter und Nutzer ist, desto besser wird sich die Zusammenarbeit hinsichtlich der Datensicherheit gestalten. Vertragsrelevante Fragen sind vor allem, welche Schnittstellen für die Datenübergabe genutzt werden und wie diese anbieterseitig abgesichert sind. Wichtig ist auch die Klärung der Frage, ob bezüglich Informationssicherheit ein Qualitätsmanagement-Konzept besteht bzw. ob grundsätzlich qualitätsgesichert vorgegangen wird. Eine Möglichkeit, dies zu überprüfen, bieten Sicherheitszertifikate wie jenes nach ISO 27001 oder das speziell für Cloud-SaaS-Dienstleistungen geschaffene Euro-Cloud Star Audit. Derartige Zertifikate stellen sicher, dass grundsätzliche Anforderungen der Informationssicherheit erfüllt werden. Ungeachtet dessen sollte sich der Nutzer jedoch vor Ort selbst ein Bild von den Sicherheitsmaßnahmen des Anbieters machen, eine diesbezügliche Weigerung des CSP wäre ein Indiz für mangelnde Seriosität.


About the Author

Andreas ist Betreiber und Gründer von PM United. Aufbauend auf seinen Kernkompetenzen Suchmaschinenoptimierung, Webdesign und Social Media - gehört seine Leidenschaft der Planung, Umsetzung und Steuerung von neuen Projekten.



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Back to Top ↑