Vereinbarung zur Auftragsdatenverarbeitung
Wenn Unternehmen Cloud-Dienste in Anspruch nehmen, schließen sie in der Regel einen Vertrag mit dem Anbieter. Kernstück einer solchen vertraglichen Regelung ist eine schriftliche Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 BDSG. Sie ist zwingend vorgeschrieben, wenn personenbezogene Daten verarbeitet werden. Ein Mustervertrag findet sich z. B. auf der Website der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Hinzu kommen Regelungen betreffend die technischen und organisatorischen Maßnahmen gemäß § 9 BDSG. Wer sichergehen will, passt ein Vertragsmuster an die Belange seines Unternehmens an und lässt das Ganze vom Fachanwalt überprüfen.
Wesentliche Vertragsinhalte
Vertrag nach deutschem oder zumindest nach EU-Recht
Deutsche Cloud-Anbieter sind an deutsches Datenschutzrecht nach dem Bundesdatenschutzgesetz (BDSG) gebunden. Eine BDSG-konforme Auftragsdatenverarbeitung ist z. B. in einer EU/EWR-Cloud gewährleistet. Dabei dürfen die Daten nur innerhalb des Europäischen Wirtschaftsraumes verarbeitet werden. Individuelle vertragliche Regelungen finden nur insoweit Anwendung, als sie nicht gegen das übergeordnete (Datenschutz)-Recht verstoßen.
Der Vertrag sollte deutsches oder europäisches Recht und als Gerichtsstand das Heimatland des Kunden vorsehen. Der Ort der Datenverarbeitung und Datenhaltung sollte spezifiziert werden.
Vorsicht bei US-Anbietern!
Manche US-Provider bieten ebenfalls EU/EWR-Clouds an. Dabei ist allerdings oft nicht gewährleistet, dass die Daten auch wirklich in Europa verbleiben. Außerdem werden die Bestimmungen des § 11 BDSG verletzt, was für ein deutsches Unternehmen Bußgelder und rechtliche Verwicklungen nach sich ziehen kann. Wer bereits mit einem US-Anbieter zusammenarbeitet, sollte seinen Vertrag genau überprüfen und gegebenenfalls nachverhandeln!
Das renommierte IT-Magazin ix hat nachgefragt, welche Garantien US-Anbieter ihren Kunden bieten und wie sie mit Anfragen von US-Behörden (Stichwort „Patriot Act“) umgehen. Die Cloud-Anbieter Salesforce, IBM, Amazon und Google reagierten gar nicht erst auf die Anfrage. Außerdem legen viele US-Anbieter einen Gerichtsstand in den USA fest, was die Rechtsposition und Durchsetzungsfähigkeit deutscher Kunden empfindlich schwächen kann.
Regelungen zum Datenschutz
Schutzwürdige Daten sollten jederzeit verschlüsselt übertragen und gespeichert werden. Das gilt nicht nur für personenbezogene Daten, sondern auch für F&E-Daten und Finanzinformationen. Cloud-Anbieter können Auskunft über die Sicherheit ihrer Verschlüsselungstechnologien geben.
Einhaltung regulatorischer Vorschriften
Neben dem BDSG können auch noch andere Gesetze und Regelungen für die Datenspeicherung und –verarbeitung maßgeblich sein, etwa für die revisionssichere Speicherung geschäftlicher Unterlagen. Aus Compliance-Gründen ist es gut, wenn der Cloud-Anbieter alle diese Vorschriften erfüllt. Für die Einhaltung gesetzlicher Aufbewahrungsfristen u.dgl. ist aber der Kunde selbst verantwortlich; schließlich kann er seine Daten jederzeit löschen.
Eigentumsrechte
Der Kunde bleibt Eigentümer seiner Daten. Der Cloud-Provider darf diese nicht für eigene Zwecke kopieren, lediglich im Rahmen von Datensicherungsmaßnahmen.
Der Provider bleibt Eigentümer seiner Soft- und Hardware. Er stellt diese üblicherweise als SaaS (Software-as-a-Service) entgeltlich zur Verfügung.
Nach Vertragsende müssen die Daten eines Kunden von den Servern des Cloud-Providers gelöscht werden. Eventuell muss ein Nachweis darüber erbracht werden.
Laufzeiten, Kündigungsfristen
Die Vertragslaufzeit ist ein wichtiger Punkt, da sehr unterschiedliche Vertragsbindungen vorkommen. Die fairste Regelung ist das so genannte „Pay-per-Use“-Prinzip, wonach Anwendungen und Lizenzen taggenau gebucht und gekündigt werden. Der Cloud-Provider rechnet die Services dann im Nachhinein ab.
Der Vertrag sollte auch regeln, wie nach einer Kündigung mit Altdaten verfahren wird.
Entgelt für die Nutzung der Services
In den Zahlungsvereinbarungen wird geregelt, wie der Kunde dem Provider seine Services vergütet. Auch ist zu regeln, was geschieht, wenn der Kunde nicht zahlt. Gegebenenfalls wird ihm eine angemessene Frist eingeräumt, um seine Daten zu exportieren, damit anschließend den Vertrag beendet werden kann.
Service Level Agreement
Service Level Agreements (SLAs) legen im Detail fest, welche Leistungen der Provider wie, wo, wann und in welchem Umfang erbringt. Die Vergütung ist häufig an die Qualität der Leistung gekoppelt. SLAs sind Zusatzvereinbarungen zu den Regelungen für die Auftragsdatenverarbeitung.
Outsourcing
Wenn der Provider Unteraufträge an andere IT-Dienstleister (insbesondere Rechenzentren) vergibt, muss gewährleistet sein, dass auch diese die zwingenden gesetzlichen Vorschriften und die einschlägigen Vertragsvereinbarungen einhalten.
Weisungsbefugnisse und Kontrollrechte des Kunden
Auch die kundenfreundlichste Regelung nutzt nichts, wenn der Kunde nicht nachprüfen kann, ob sie auch eingehalten wird. Daher sollte der Vertrag vorsehen, dass sich der Cloud-Provider an die vertraglichen Weisungen des Kunden hält und diesem Auskünfte und Nachweise liefert, soweit datenschutzrechtlich zulässig.
Zertifizierungen
Sowohl der Cloud-Provider als auch die von ihm beauftragte Rechenzentren sollten zertifiziert sein. Die Zertifizierungen sind dem Kunden gegenüber nachzuweisen.
Bestimmungen zu Haftung und Schadenersatz
Die Einhaltung der Vertragsbestimmungen sollte durch Vertragsstrafen abgesichert werden.
Weitere Bestimmungen
Der Fantasie der Anwälte sind kaum Grenzen gesetzt. Neben den oben genannten Bestimmungen sind noch viele weitere Reglungen möglich, etwa zur Leistungsübergabe, zu Mitwirkungspflichten oder zu eventuell auftretenden Engpässen (Overbooking).