Rechtssicherheit in der Datenwolke 

Kleine und mittlere Unternehmen schrecken vor dem Einsatz von Cloud-Technik zurück und zögern, einem Provider die eigenen Daten anzuvertrauen. Die rechtlich neuralgischen Punkte lassen sich klar benennen, der Rest ist eine Frage des Risiko-Managements.

Die Verträge, welche die vielen großen „Hyperscaler“ und kleinen Anbieter von Cloud-Diensten potenziellen Kundenvorlegen, sind höchst unterschiedlich. Es gibt aber einige kritische Punkte, die immer zu beachten sind.

Systemverfügbarkeit checken

Damit alles reibungslos abläuft, muss der Cloud-Service ständig verfügbar sein. In der Regel enthalten die Service-Level-Agreements (SLA), die man mit dem Cloud-Anbieter schließt, klare Regelungen über die Verfügbarkeit der Datenwolke. Doch Vorsicht: Eine verlockend klingende Verfügbarkeit von 99,5 Prozent – wie sie auch SAP zusagt – bedeutet, dass der Cloud-Service für insgesamt drei Stunden und 36 Minuten pro Monat nicht verfügbar sein darf. Bei einem längeren Ausfall läge ein Mangel vor und die vertraglich vereinbarten Sanktionen, etwa die Zahlung einer Vertragsstrafe, würden greifen.

Dr. Michael Karger, Rechtsanwalt & Fachanwalt für IT-Recht in der Münchner Kanzlei TCI Rechtsanwälte

„Das kann insbesondere dann problematisch sein, wenn der Kunde auf eine Hochverfügbarkeit angewiesen ist“, betont Dr. Michael Karger, Rechtsanwalt und Fachanwalt für IT-Recht in der Münchner Kanzlei TCI Rechtsanwälte. Zudem würden in die Verfügbarkeitsberechnungen geplante Ausfallzeiten nicht mit eingerechnet, also insbesondere regelmäßige Wartungsfenster, die je nach Anwendung bis zu sieben Stunden in der Woche betragen dürften.

Carsten Marmulla, Managing Partner der auf Cybersicherheit
spezialisierten Unternehmensberatung Carmasec GmbH & Co. KG

Es ist Sache des individuellen Risk-Managements, eine solche Ausfallzeit einzustufen und einzupreisen. Das rät auch Carsten Marmulla, Managing Partner der auf Cybersicherheit spezialisierten Unternehmensberatung Carmasec GmbH & Co. KG mit Hauptsitz in Essen: „Unternehmen sollten im Vorfeld einer Entscheidung zur Nutzung von Cloud-Diensten sorgfältig abwägen, was der zu erwartende Vorteil ist und dies in Relation zu den Risiken und dem Aufwand zur notwendigen Risikominderung setzen.“

Vertragsstrafe und Schadensersatz

SAP weist als Vertragsstrafe eine Gutschrift aus, wenn die Verfügbarkeitswerte nicht eingehalten wurden und die Kundin oder der Kunde dies aufgrund des Reportings moniert. „Hier muss das Unternehmen prüfen, ob eine solche Gutschrift ausreicht, um möglicherweise eingetretene Schäden aufgrund der Nichtverfügbarkeit auszugleichen“, empfiehlt IT-Rechtler Michael Karger. „Häufig wird dies nicht der Fall sein, sodass der Kunde dann gesondert noch Schadensersatz fordern und dabei auch noch die Beweislast für eine Vertragsverletzung durch SAP tragen muss.“ Die Herausforderung dabei: Dies ist ein ziemlich schwieriges Unterfangen, zumal die Fristen zur Geltendmachung der Ansprüche sehr kurz sind und ein schnelles Handeln erfordern. Das besondere Kündigungsrecht, das SAP bei mehrfacher Nichteinhaltung der zugesagten Verfügbarkeit einräumt, hilft wenig, wenn man auf die Cloud angewiesen und ein schneller Wechsel auf ein anderes System unmöglich ist.

Albtraum Anbieterwechsel

Das bekommen aktuell vor allem Kunden in Russland zu spüren, wo SAP seine Geschäfte – und damit auch den Cloud-Dienst – aufgrund des Angriffskrieges gegen die Ukraine einstellt. „Es empfiehlt sich immer, vor der Nutzung das Szenario eines ‚Vendor Lock-In‘, also der Abhängigkeit von einem einzigen Dienstleister ohne zeitnahe Substitutionsmöglichkeit, im Rahmen der Risikobetrachtung zu bewerten“, gibt Berater Carsten Marmulla zu bedenken. „Denn der Wechsel zwischen verschiedenen Cloud-Diensten wird mit zunehmender Komplexität der Infrastruktur technisch sehr aufwendig.“

Entsprechend böten die Provider meist keine oder keine angemessene Regelung zur Unterstützung und Transition bei Beendigung des Vertragsverhältnisses an, sagt Michael Karger und ergänzt: „Auch die Standardverträge von SAP wären im Hinblick auf solche Punkte im Kundeninteresse noch optimierungsfähig.“ Er findet, dass die Verträge der meisten Provider den Kundinnen und Kunden tendenziell eine zu schwache Position einräumen – „problematisch, weil der Kunde maximal vom Cloud-Anbieter abhängig ist“, erklärt der Jurist.

Sensible Daten besonders schützen

Eine der größten Unbekannten ist für viele KMU der Datenschutz in der Cloud. Sobald ein Unternehmen in seiner Datenwolke auch personenbezogene Daten speichert, erhöht sich das erforderliche Datenschutzniveau, das eingehalten werden muss. Der Diensteanbieter ist im Verhältnis zur Kundin oder zum Kunden Auftragsverarbeiter dieser sensiblen Daten, was vertraglich besonders geregelt werden muss. „Gleichwohl sollte jeder Kunde durch seinen Datenschutzbeauftragten sorgfältig prüfen, ob seine spezifischen datenschutzrechtlichen Anforderungen in diesem Vertrag nebst seinen Anlagen auch ausreichend abgebildet sind“, rät Michael Karger. Die Verantwortung für die Sicherheit der personenbezogenen Daten liegt dabei immer beim Unternehmen selbst. Der IT-Rechtler betont: „Der Kunde ist dafür verantwortlich, dass alle datenschutzrechtlichen Anforderungen eingehalten werden und trägt diesbezüglich insbesondere das Bußgeldrisiko bei Verstößen“ – und das kann erheblich sein.

Server-Standort entscheidend

Das hohe deutsche Datenschutzniveau gewährleisten zumindest Cloud-Provider, die ihren Sitz in der Europäischen Union oder im europäischen Wirtschaftsraum haben und von dort aus auch tatsächlich agieren. Denn sie haben die strenge EU-Datenschutz-Grundverordnung (DS-GVO; s. Glossar) zu beachten. Bei Anbietern aus anderen Ländern muss zumindest ein „angemessenes Datenschutzniveau“ herrschen. Ein solches hat der Europäische Gerichtshof (EuGH) den USA schon vor einigen Jahren abgesprochen. „Sämtliche Versuche einer Harmonisierung, beispielsweise im Rahmen der Abkommen ‚Safe Harbor‘ und ‚Privacy Shield‘ (s. Glossar), sind vom EuGH für unwirksam erklärt worden“, erläutert Cyber-Sicherheitsexperte Carsten Marmulla. „Seitdem gibt es keine Regelung für den rechtskonformen Datentransfer in Drittländer.“ Auch dies sei im Rahmen einer Risikobetrachtung auf jeden Fall zu berücksichtigen. „Nach Möglichkeit sollten nur Standorte innerhalb der EU akzeptiert werden“, bringt es Michael Karger auf den Punkt. 

Glossar

Datenschutz-Grundverordnung (DS-GVO) 
Die Datenschutz-Grundverordnung gilt seit Mai 2018 in allen Mitgliedstaaten der Europäischen Union (EU). Sie gewährleistet einen einheitlich hohen Schutzstandard insbesondere für personenbezogene Daten und regelt den freien Datenverkehr innerhalb der EU. 

Safe Harbor
Ein Abkommen zwischen der EU und den USA über den transatlantischen Datenaustausch, das von 2000 bis 2015 galt und zu dessen Einhaltung sich US-amerikanische Unternehmen im Geschäftsverkehr mit Europa verpflichten mussten. Es wurde in einem Aufsehen erregenden Urteil vom Europäischen Gerichtshof (EuGH) für ungültig erklärt, weil es keinen dem europäischen Niveau entsprechenden Datenschutz sicherstelle. 

Privacy Shield 
Die Nachfolgeregelung für das Safe-Harbor-Abkommen. Sie wurde 2020 ebenfalls vom EUGH gekippt.


Bildnachweis: Shutterstock + Anna Polywka, Carsten Marmulla, Managing Partner der auf Cybersicherheit spezialisierten Unternehmensberatung Carmasec GmbH & Co. KG, und Dr. Michael Karger, Rechtsanwalt und Fachanwalt für IT-Recht in der Münchner Kanzlei TCI Rechtsanwälte

Sarah Meixner

Autorin: Sarah Meixner
blaupause-Redaktion
blaupause@dsag.de