Cloud-Computing-Vertrag Schweizer Recht

1. Augen auf bei Cloud-Verträgen
Namhafte Schweizer Unternehmen setzen bereits heute auf die Cloud
und weitere werden es demnächst tun. Doch welche rechtlichen As-
pekte sind bei einem Entscheid für oder gegen die Cloud eigentlich zu
beachten?
von Oliver Staffelbach, Wenger&Vieli AG, Zürich
abgedruckt in Computerworld 2010, Nr. 11
Aktuelle Studien zeigen, dass die Haltung von Schweizer Unternehmen gegenüber Cloud
Computing weiterhin gespalten ist. Neben technischen sowie betriebswirtschaftlichen Ri-
siken werden insbesondere auch rechtliche Aspekte intensiv diskutiert. Grundsätzliche
rechtliche Hindernisse bestehen nicht. Wer Cloud-Angebote genau unter die Lupe nimmt
und kritische Punkte vertraglich vernünftig regelt, kann die Risiken minimieren.
Ausgestaltung von Verträgen
Abhängig von den konkret zu erbringenden Diensten können Cloud-Computing-Verträge
zwischen Anbietern und Kunden sehr unterschiedlich ausgestaltet sein. Umso wichtiger
ist es, die Regelungen über Leistungsinhalte, Verfügbarkeiten, Performance, Sicherheits-
aspekte etc. genau zu studieren. Welche Dienste in die Cloud ausgelagert werden, sollte
anhand von möglichst präzisen Leistungsbeschreibungen, etwa durch Service Level
Agreements (SLA), definiert werden. Ausserdem sind Flexibilität und Skalierbarkeit der
Leistungen wichtige Motive für die Cloud und gehören daher sauber in der Leistungsbe-
schreibung abgebildet.
Der Festlegung von sachgerechten Rechtsfolgen bei Verletzung der vereinbarten Service
Levels wird in der Praxis oft zu wenig Gewicht beigemessen. Manche Anbieter locken z.B.
mit einer garantierten Verfügbarkeit von 99,9 Prozent. Die Analyse der Folgen, die bei
Unterschreitungen der vereinbarten Service Levels eintreten, kann jedoch zum Schluss
führen, dass eine Auslagerung an den konkreten Anbieter nicht oder zumindest nicht be-
züglich geschäftskritischer Daten infrage kommt.
Notfallregelungen
Gegen konkrete Cloud-Projekte sprechen bei den meisten Unternehmen die Aspekte Da-
tenschutz, Datensicherheit und Vertraulichkeit. Eine gute vertragliche Grundlage kann
zwar Vertrauen schaffen und Compliance-Anforderungen Genüge tun, sie ersetzt jedoch
nicht die sorgfältige Prüfung der faktischen Verhältnisse. Besonders wichtig ist dabei die
präzise Regelung der Berechtigungsverhältnisse an den Daten während und nach der
Auflösung des Vertragsverhältnisses.
Idealerweise sollten Betriebsausfallrisiken umfassend abgesichert werden können. In der
Praxis erweist sich diese aber oft als nicht realisierbar. Bereits ein kurzer Blick auf die
Haftungsbestimmungen von Cloud-Computing-Verträgen zeigt, dass Anbieter oft nur sehr
beschränkt gewillt sind, Betriebsausfallrisiken zu übernehmen. Umso wichtiger sind sinn-
volle Regelungen über die Business Continuity, das Eskalationsverfahren und das Not-
fallmanagement.
Cloud-Anbieter heben meist die Preistransparenz als Verkaufsargument hervor. Für den
Bezug von Cloud-Dienstleistungen wird typischerweise nach Nutzung (pay as you go)

2. 2
abgerechnet. In der Praxis kann sich jedoch eine ziemlich komplexe Gesamtkostenstruk-
tur ergeben. Ein präziser und realistischer Blick auf die verschiedenen Kostenelemente ist
daher äusserst wichtig.
Erweitertes rechtliches Umfeld
Die geplante Auslagerung in die Cloud kann unter Umständen gegen Verträge mit Dritten
verstossen. Vielleicht sind bestimmte Daten, die zur Bearbeitung weitergegeben werden
müssen, durch Geheimhaltungsklauseln geschützt oder einzelne Cloud-Dienste sind von
einer bestehenden Lizenz nicht abgedeckt. Es ist daher immer zu prüfen, inwieweit die
bestehenden Verträge mit der geplanten Auslagerung konform sind, bzw. welche Kosten
im Hinblick darauf anfallen.
In verschiedenen Bereichen bestehen zudem regulatorische Vorgaben. So kann bei Fi-
nanzdienstleistungen insbesondere das Rundschreiben der Eidgenössischen Finanz-
marktaufsicht vom 20. November 2008 betreffend Auslagerung von Geschäftsbereichen
von Banken relevant werden.
Hervorzuheben sind ferner die bestehenden Geheimnisschutzvorschriften für das Finanz-
und Medizinalwesen. Erwähnenswert ist schliesslich die Geschäftsbücherverordnung, aus
der hervorgeht, dass archivierte Geschäftsbücher, Buchungsbelege und Geschäftskor-
respondenz vor unbefugtem Zugriff zu schützen und Zugriffe sowie Zutritte aufzuzeichnen
sind.
Abhängigkeitsverhältnis
Generell sollten auch starke Abhängigkeitsverhältnisse (Vendor Lock-in) zum Anbieter
vermieden werden. Vor allem bei steigenden Kosten, sinkender Qualität der Leistungen
oder im Hinblick auf einen Konkursfall muss der Kunde die Möglichkeit haben, den Anbie-
ter zu vernünftigen Bedingungen zu wechseln. Faire Verträge sollten Bestimmungen ent-
halten, die den Ausstieg und Wechsel des Kunden zu einem anderen Partner präzis re-
geln. Dem Umfang und Inhalt der vertraglich festgelegten Mitwirkungspflichten des Anbie-
ters kommt dabei eine zentrale Rolle zu. Fehlende Standardisierung von Application Inter-
faces kann die ohnehin schon bestehenden Abhängigkeitsverhältnisse noch verstärken.
Zudem sollten die vom Anbieter spezifisch verwendeten Datenformate auch von Dritten in
Standardformate übersetzt werden können.
In Verträgen mit ausländischen Anbietern wird fast ausnahmslos die Zuständigkeit aus-
ländischer Gerichte vereinbart. Damit können die Möglichkeiten des Kunden, sich bei
Problemen zu wehren, massiv verringert sein. IT-Streitigkeiten sind zwar oft nur be-
schränkt justiziabel, ein Schweizer Gerichtsstand in Kombination mit einem griffigen Haf-
tungsregime wirkt aber als willkommenes Druckmittel, um den Anbieter von einer sinnvol-
len aussergerichtlichen Lösung zu überzeugen. So gesehen kann beispielsweise ein kali-
fornischer Gerichtsstand gepaart mit einem weitgehenden Haftungsausschluss Grund
genug sein, dass ein Anbieter für die Auslagerung von geschäftskritischen Daten in die
Cloud ausser Betracht fällt.
Datenschutzrechtliche Fragen
Eine Grundkonzeption des Cloud Computing besteht darin, dass Daten verstreut auf un-
terschiedlichen Systemen gespeichert und teilweise beliebig verschoben werden. Sofern
es dabei um personenbezogene Daten (z.B. Arbeitnehmer- oder Kundendaten) geht, sind
datenschutzrechtliche Bestimmungen zu beachten. Entsprechend des Schweizer Daten-
schutzgesetzes dürfen Personendaten durch eine Vereinbarung auf Dritte übertragen
werden, wenn die Daten nur so bearbeitet werden, wie der Kunde selbst es tun dürfte und
dies durch keine gesetzliche oder vertragliche Geheimhaltungspflicht verboten wird.

3. 3
Der Kunde bleibt für die von ihm ausgelagerten Daten also weiterhin bis zu einem gewis-
sen Grad verantwortlich. Er hat den Anbieter von Cloud-Dienstleistungen sorgfältig aus-
zuwählen und sicherzustellen, dass dieser die notwendigen Voraussetzungen für die Da-
tenbearbeitung erfüllt und insbesondere die erforderliche Datensicherheit gewährleisten
kann. Die Verankerung angemessener Instruktions- und Kontrollrechte des Kunden in
Cloud-Computing-Verträgen ist daher zentral.
Nach Schweizer Recht dürfen grundsätzlich keine Personendaten von der Schweiz ins
Ausland bekannt gegeben werden, wenn dies zu einer schwerwiegenden Gefährdung der
Persönlichkeit der betroffenen Personen führt. Das soll gemäss Datenschutzgesetz na-
mentlich der Fall sein, wenn eine Gesetzgebung fehlt, die einen angemessenen Schutz
gewährleistet. Der Eidgenössische Datenschutzbeauftragte hat eine unverbindliche Liste
derjenigen Staaten veröffentlicht, die einen angemessenen Schutz aufweisen. Dies trifft
für die Staaten der EU, nicht jedoch für die USA zu. Erfolgt die Datenbearbeitung in Län-
dern, die über kein angemessenes Schutzniveau verfügen, kann datenschutzrechtliche
Konformität unter anderem durch vertragliche Garantien erzielt oder für die USA mit so-
genannten Safe-Harbour-Registrierungen erreicht werden. Einige Anbieter haben bereits
auf die in internationaler Hinsicht stark variierenden Datenschutzniveaus reagiert und bie-
ten Datenverarbeitung ausschliesslich innerhalb europäischer Grenzen an.
Checkliste Cloud-Verträge
Welche Leistungen werden angeboten, welche Service Levels werden garantiert und
welche Folgen hat die Nichteinhaltung der Service Levels?
Wie sieht das Haftungsregime des Anbieters aus? Bestehen sinnvolle Regelungen
über Business Continuity, Eskalationsverfahren und Notfallmanagement?
Wo werden die Daten gespeichert und wie sicher sind sie? Wird dem Datenschutz
ausreichend Rechnung getragen?
Wird Preistransparenz gewährleistet?
Erlauben die bestehenden Verträge mit Dritten die geplante Auslagerung in die
Cloud?
Kann die Einhaltung bestehender Compliance-Vorschriften sichergestellt werden?
Unter welchen Voraussetzungen ist ein Ausstieg möglich und wie teuer ist dies?
Erlaubt es die vertragliche Grundlage, bei Problemen Druck auf den Anbieter aus-
üben?