Cloud-Dienste
- Cloud-Dienste
-
«Cloud» bzw. «Cloud-Computing» sind keine juristisch definierten Begriffe. An sie knüpfen keine direkten rechtlichen Folgen an. Vielmehr werden darunter sehr unterschiedliche Erscheinungsformen von computergestützten Services verstanden, die über ein Netzwerk zu Verfügung gestellt werden. Aus rechtlicher Sicht handelt es sich beim Bezug von Dienstleistungen aus der Cloud um einen typischen Outsourcing-Vertrag.
Von Outsourcing im Bereich der Informatik spricht man, wenn eine Organisation ICT-Dienstleistungen, die sie operativ und strategisch benötigt, nicht im eigenen Haus, sondern ausser Haus durch einen Dritten regelmässig und dauernd erbringen lässt. Dabei werden in der Regel auch Personendaten übermit-telt bzw. ausgelagert. Diesbezüglich sind insbesondere die Voraussetzungen des IDG zu beachten.
Nachfolgend werden rechtliche Aspekte erläutert, die es bezüglich der Vertragsgestaltung zu beachten gilt.
- Leistungsbeschreibung: Anhand möglichst präziser Leistungsbeschreibungen ist zu definieren, welche Cloud-Services erbracht werden. Besonders wichtig sind Regelungen über die Verfügbarkeit und die Performance der Dienste.
- Service-Levels: Die Konkretisierung der Leistungen erfolgt i.d.R. durch Service-Level-Agreements (Verfügbarkeit, Bereitschafts-, Reaktions- und Fehlerbehebungszeiten, Berichterstattung, Sicherheitsmassnahmen etc.). Es ist genau zu prüfen, welche Service-Levels garantiert werden und ob diese den Erwartungen der Schule entsprechen. Ferner ist zu prüfen, was die Konsequenzen sind, wenn vereinbarte Service-Levels nicht eingehalten werden.
- Technische Spezifikationen: Die technischen Spezifikationen sind ebenfalls vertraglich zu fixieren. Festzuhalten sind u.a. Informationen zu standardisierten Schnittstellen, Datenmigrationen (Schnittstellen, Datenformate, Datensicherheit etc.), Zugriffsmanagement, Zertifizierung, Administrationsrechte etc.
- Preistransparenz: I.d.R. werden Cloud-Dienste nach Nutzung (pay as you go) abgerechnet. Jedoch setzen nicht alle ICT-Anbieter ihre Preise transparent fest. Daher ist eine genaue Prüfung der Kostenregelung wichtig. Besonderes Augenmerk sollte den potenziellen Migrationskosten geschenkt werden.
- Lizenzrecht: Soll im Rahmen des Cloud-Dienstes bereits vorhandene Software eingesetzt wer-den, sind die entsprechenden Berechtigungen abzuklären bzw. beim Softwareanbieter einzuholen. Eine derartige Nutzung der Software ist gegebenenfalls nicht im Lizenzvertrag vorgesehen.
- Compliance, insbes. Vertraulichkeiten, Datenschutz und Datensicherheit: Die Schulen bleiben für die Einhaltung der gesetzlichen Anforderungen verantwortlich, auch wenn einzelne Dienste in die Cloud bzw. an externe Anbieter ausgelagert werden. Spezifische Anforderungen und Verpflichtungen sind deshalb mit dem ICT-Anbieter zu regeln bzw. auf diesen zu überbinden, insbesondere bezüglich Datenschutz und Vertraulichkeit.
- Audit- und Kontrollrechte: Die Schulen haben die Pflicht, die Anbieter ausreichend zu überwachen, um allfälligen Ungereimtheiten entgegenzuwirken oder im äussersten Fall den Vertrag zu kündigen. Aus diesem Grund sind spezifische Kontroll- und Aufsichtsrechte sowie Berichtspflichten in den Vertrag mitaufzunehmen.
- Wartungsarbeiten: Für Wartungsarbeiten sind im Allgemeinen definierte Wartungsfenster festzu-legen. Überdies ist zu vereinbaren, wann welche Person sensible Wartungsarbeiten wie beispielsweise Datenbankreorganisationen etc. vornimmt.
- Klärung der Zuständigkeiten und Verantwortlichkeiten: Es sind die Zuständigkeiten und Verantwortlichkeiten zwischen den Schulen und den Cloud-Anbietern sowie allfälligen Drittleistungserbringern (z. B. Subunternehmen) festzulegen, beispielsweise wer für Backups zuständig ist.
- Haftung: Anbieter sind nur in sehr seltenen Fällen gewillt, für Betriebsausfallrisiken einzustehen. Die Haftung wird daher oft auf das rechtlich zulässige Minimum reduziert, d.h. Haftung nur für vorsätzlich und grobfahrlässig verursachte Schäden. Durch Vertragsverhandlungen können in gewissen Fällen Verbesserungen der haftungsrechtlichen Situation erzielt werden.
- Kündigungsmodalitäten und Exit-Management: Nicht nur in faktischer, sondern auch in rechtlicher Hinsicht soll eine starke Abhängigkeit vom Anbieter vermieden werden (sog. Vendor Lock-in). Insbesondere bei stark steigenden Kosten, sinkender Qualität oder im Hinblick auf einen allfälligen Konkursfall müssen die Schulen die Möglichkeit haben, den Anbieter zu vernünftigen Bedingungen zu wechseln. Ausgewogene Cloud-Verträge enthalten Bestimmungen, die den Ausstieg und Anbieterwechsel in praktikabler Weise regeln (beispielsweise Kündigungsregeln, Datenübergabeprozedere, Unterstützung beim Wechsel).
- Gerichtsstand und anwendbares Recht: Es ist ein schweizerischer Gerichtsstand sowie die Anwendbarkeit von Schweizer Recht zu vereinbaren.
Grundsätzlich ist ein schriftlicher Vertrag zwischen der Schule und dem Cloud-Anbieter erforderlich. Kann kein schriftlicher Vertrag abgeschlossen werden, ist auch das Akzeptieren der Nutzungsbedingungen respektive der AGB möglich. Diese dürfen jedoch nicht einseitig durch den Anbieter abänderbar sein.
- Leistungsbeschreibung: Anhand möglichst präziser Leistungsbeschreibungen ist zu definieren, welche Cloud-Services erbracht werden. Besonders wichtig sind Regelungen über die Verfügbarkeit und die Performance der Dienste.