2015-09 cloud für cim - cim lingen gliederung was ist cloud computing? vertragsinhalt, u.a....
TRANSCRIPT
Ziel• Problembewusstsein.schaffen.• rechtliche.Lösungsansätze.für.technische.Gegebenheiten.• „Basics“
Gliederung�Was ist Cloud Computing?
� Vertragsinhalt, u.a.
� Grundsätzliches
� Serverstandort(e)
� Service Level
� Business Continuity
� Datenschutz & Datensicherheit
� Vorkehrungen für das Vertragsende
� Ausblick (hoffnungsvoll)
3Stolperfallen in Cloud-Verträgen
Was ist Cloud Computing?� kein einheitlicher Begriff
�Merkmale lt. BITKOM 2009:
� bedarfsgerechte und flexible Nutzung von IT-Leistungen
� Bereitstellung in Echtzeit über das Internet
� Abrechnung nach Nutzungsumfang
�Merkmale lt. NIST 2011:
�Wahrnehmung der Ortsunabhängigkeit = Kunde hat keine Kontrolle oder Wissen über den Ort der bereitgestellten Ressourcen
� Skalierbarkeit der Leistungen
4Stolperfallen in Cloud-Verträgen
Anreize (u.a.)� Ersparnis von Investitionen
und laufenden Kosten
�weltweiter Datenzugriff
� Lastspitzen abfangen
� Inhouse geringere Expertise als bei Cloud-Anbieter
5
Risiken (u.a.)� Assets extern gelagert
� Risiken schwerer vorhersehbar
� Imageschäden bei Datenpannen
� unerwünschte Zugriffe bzw. entsprechende Möglichkeiten (z.B. durch administrative US-Einrichtungen)
� Rechtliche Hemmnisse?!
Stolperfallen in Cloud-Verträgen
Wozu?
• Keynote:.kognitives.Alignment.• Missverständnisse.vermeiden!.• Interesse:.erwünschte.Leistung.wird.erbracht.• notfalls:.Verantwortlichkeit.nachzuhalten.+.geordneter.Rückzug.möglich
7
Vertragsinhalt (u.a.)� Vertragsparteien
� Vertragsgegenstand
�Hauptleistung
� Service Level
�Nutzungsrechte
� Vergütung
�Hauptleistung, Zusatzleistung
� Zahlungsmodalitäten
�Nutzungsvoraussetzungen und Mitwirkungspflichten
� Laufzeit und Beendigung
� Vertragsänderungen
� Preisanpassung
� Change-Request-Verfahren
�Haftung, Gewährleistung für Sach- und Rechtsmängel
� Datenschutz, Datensicherheit und Vertraulichkeit
� Subunternehmer
� Exit-Management
� Rechtswahl + Vertragssprache
8Stolperfallen in Cloud-Verträgen
Grundsätzliches� Gebrauchsüberlassung auf Zeit: i.d.R. Mietrecht
� Schriftform
�Hilft!
� nur für Vereinbarung zur Auftragsdatenverarbeitung zwingend, Nichtbeachtung hätte aber wohl Gesamtnichtigkeit zur Folge
� Vertragsparteien genau erfassen
� Anspruchsgegner kennen, Vertretungsberechtigungen prüfen
� Schon im Vorfeld Beteiligungsverhältnisse möglicher Vertragspartner klären.
� vollständigen Vertrag schließen
� zu beachten v.a. bei modularem Aufbau mit Anlagenkonglomerat
�Worst case: Unwirksamkeit des gesamten Vertrags bei Verweis auf (fehlende) Anlage zur Beschreibung vertragswesentlicher Leistung
9Stolperfallen in Cloud-Verträgen
Leistungsbeschreibung� bei Bereitstellung einer Software (SaaS) z.B.
� Anzahl gleichzeitiger Zugriffe
�Herkunft der Nutzer (Unternehmen, Konzern, Länder, …)
� „named user“ vs. „concurrent users“
� konkreter
� Einsatzbereich + Einsatzweck (Funktionen) + Skalierbarkeit
� Bereitstellung und Wartung von Software, Hardware, Infrastruktur
� Lizenzierung
� Internetverbindung
� Speicherung und Sicherung der Anwendungsdaten
� Berichte zum Nutzungsumfang
11Stolperfallen in Cloud-Verträgen
Vergütung� Vergütung vereinbaren (Klarheit! Wirksamkeit!)
� Beispiele
� Pauschalpreis für Bereitstellung + Nutzung
� rein nutzungsabhängige Vergütung
� Grundbetrag + nutzungsabhängige Vergütung
� Fälligkeit: Vorauszahlung / nachträgliche Abrechnung
12Stolperfallen in Cloud-Verträgen
Scheinbar lokal begrenzte Ereignisse mit unerwarteter Breitenwirkung
� 2008: Ausfall in Umspannwerk in Hannover führt zur Unbenutzbarkeit von Geldautomaten, Auszugsdruckern und Onlinebanking von 150 Banken in Deutschland
� 2009: Nachlässige Wartungsarbeiten in Rechenzentrum: Stundenlang kein Fahrkartenverkauf und bundesweite Ausfälle und Verspätungen von Zügen
� 2010: Vulkan Eyjafjalla legt europäischen Flugverkehr lahm
14Stolperfallen in Cloud-Verträgen
Serverstandort(e)� Datenschutzniveau
� EU/EWR
� Zugriffsmöglichkeiten für staatliche Stellen (siehe nur: Patriot Act)
� geltendes Landesrecht
� faktische Kontrollmöglichkeiten (für Kunden)
15Stolperfallen in Cloud-Verträgen
� Umfang und Güte der Leistung für sämtliche Teilleistungen
�messbare Parameter der zu erbringenden Leistung, Messpunkt, Sanktion
� z.B. (Störungsszenario) „Der Anbieter stellt dem Kunden eine Hotline zur Beantwortung von Anfragen bereit. Eingehende Anfragen werden während der Betriebszeit binnen 90 Minuten per E-Mail bestätigt. Für jede vollendete Stunde Überschreitung ist ein Service Credit von … verwirkt.“
17
Nur zur Veranschaulichung –
nicht ungeprüft übernehmen!
Service Level/Leistungsbeschreibung
Stolperfallen in Cloud-Verträgen
Service Level/Leistungsbeschreibung� Betriebszeit z.B.
� 7×24 (7 Tage à 24 Stunden, außer sonntags 0–4 Uhr)
� 5×13 (Mo–Fr von 7–20 Uhr)
� Skalierbarkeit
� Verfügbarkeit
� prozentualer Zeitanteil
� 99,9% Verfügbarkeit/Jahr = bis zu 9 Stunden Downtime
� Datensicherheit festschreiben (mit Vertragsstrafe)
� Storage + Backup + Transfer
18Stolperfallen in Cloud-Verträgen
Service Level: „Fallen“� Bezugsgröße
� 99,5% Verfügbarkeit/Monat = bis zu 3,5 Stunden Downtime möglich
� 99,5% Verfügbarkeit/Jahr = bis zu 44 Stunden Downtime möglich
� Entstörzeiten
� Reparaturzeit vs. mittlere Reparaturzeit
� Reparaturzeit vs. Reaktionszeit
� Rückmeldung zum voraussichtlichen Beginn der Reparaturen ≠ erfolgreiche Behebung
� Achtung: „angemessen“, „rechtzeitig“, „nach besten Kräften“
19Stolperfallen in Cloud-Verträgen
Business Continuity Nutzungsvoraussetzungen
Kommunikationswege Eskalationsmechanismen
Haftung
20Stolperfallen in Cloud-Verträgen
Business Continuity� Datensicherung: Format, Intervall, Strukturierung,
Speicherort, Test, Wiederherstellungszeiten
� redundante Betriebsstrukturen
�Notfallpläne
21Stolperfallen in Cloud-Verträgen
Nutzungsvoraussetzungen
� Internetzugang des Cloud-Kunden (bis zum Übergabepunkt des Cloud-Anbieters)
�Hardware- oder Software-Voraussetzungen (z.B. VPN-Client)
22
Kommunikationswege, Eskalationsmechanismen� beide Seiten benennen kompetente und
entscheidungsbefugte Ansprechpartner sowie deren Stellvertreter
� Streitbeilegungsverfahren vorsehen
Stolperfallen in Cloud-Verträgen
Warum scheitern Projekte? Befindlichkeiten + Kommunikationsprobleme
Regelungsbedarf: Haftungsverteilung (u.a. für Lizenzverstöße)
23
–Hilber/Reintzsch: „Cloud Computing und Open Source – Wie groß ist die Gefahr des Copyleft bei Saas?“ (CR 2014, 697, 702)
„hohes Maß an Rechtsunsicherheit“
Stolperfallen in Cloud-Verträgen
„WLAN“-Gesetzesentwurf (16.09.2015)
führt Begriff „gefahrgeneigter Dienste“
ein – Gefahr für Cloud-Anbieter?
Personenbezogene Daten in die Cloud? (z.B. Kunden- oder Mitarbeiterdaten)
� EU/EWR: Geht, aber Reformbedarf vorhanden.
� Außereuropäische Cloud-Anbieter (insbesondere US-amerikanische)
� Safe-Harbour erfordert Überprüfung
� Lesetipp: http://www.cr-online.de/blog/2015/04/22/aktuelles-in-sachen-safe-harbor-wird-der-hafen-endlich-sicher/
� Binding Corporate Rules: Einzelgenehmigungsverfahren
� deutsche Anforderungen „de facto nicht realisierbar“ (Kühling/Biendl: „Datenschutzrecht – Basis und Bremse des Cloud Computing“, CR 2014, 150, 154)
26
(übersprungen)
Stolperfallen in Cloud-Verträgen
Datenschutz, Datensicherheit, Vertraulichkeit� Datenschutz
� Vereinbarung zur Auftragsdatenvereinbarung (siehe § 11 Abs. 2 BDSG)
� Reformbedarf
� Schriftform mit eigenhändiger Unterschift für standardisierte Vorgänge nicht sachgerecht
� Kontrollpflichten vor Ort (Wo denn? Urteilsvermögen? „Prüftourismus“?)
� Datensicherheit (§ 9 S. 1 BDSG + Anlage)
� Einhaltung der „8 Gebote“
� Verschlüsselung
� Zertifizierung
� Vertraulichkeit
� begrenzter Personenkreis hat Zugang
� Verpflichtung gem. § 5 BDSG!
� Verschwiegenheitsklauseln
27
(übersprungen)
Stolperfallen in Cloud-Verträgen
Rechtliche+„Empfehlungen“
28
StaNsNken
KonstrukNonsdaten
ProdukNonsdaten
Verkaufsdaten
Kostenaufstellungen
Lagerbestandsdaten
Allgemeine(Daten
Name
AnschriP
Geburtsdatum
Beruf
Telefonnummer
Berufsgeheimnisse
Bankwesen
Telefongespräche
Gesundheitsdaten
ethnische.Zugehörigkeit
Religion
Personenbezogene(Daten
Persönliche(Daten
Besondere(Arten(
personenbezogener(Daten
einfacher.Schutz verstärkter.Schutz besonderer.Schutz
Bei(uns(gibt(es(doch(
nichts(zu(holen!?
–BSI-Eckpunktepapier „Sicherheitsempfehlungen für Cloud Computing Anbieter, Mindestanforderungen in der
Informationssicherheit“, S. 11
„In abgespeckter Form müssen auch Cloud-Nutzer die Risiken bewerten, die für sie durch eine Verlagerung von Daten oder Anwendungen in die Cloud
entstehen können.“
30Stolperfallen in Cloud-Verträgen
Auswirkungen durch IT-
Sicherheitsgesetz (01.08.2015)?
31
–Trüg/Mansdörfer: „Strafrecht und Strafprozessrecht“, in: Hilber (Hg.): Handbuch Cloud Computing (2014: 574f.)
„Wer Daten in die Cloud auslagert oder Cloud-Dienste in anderer Weise nutzt, muss davon ausgehen, dass die Daten mehr oder
weniger systematisch von privater und öffentlicher Seite auch jenseits der legalen Eingriffsbefugnisse erhoben […] werden.“
Stolperfallen in Cloud-Verträgen
„Der Spiegel“ Nr. 46 vom 10.11.2014
� Der BND will verschlüsselte Datenübertragung im Internet auswerten. Habe bis 2020 ca. 4,5 Millionen Euro Budget für Erwerb von Informationen zu Zero Day Exploits.
� Edward Snowden: NSA zahle jährlich zweistelligen Millionenbetrag für derartige Informationen.
� Folge
� Überwachung: vielleicht
� Verzögerte Behebung von Schwachstellen: sicherlich
32Stolperfallen in Cloud-Verträgen
34
–Lutz/Weigl: „Second Generation IT-Outsourcing, Die Problematik des Dreiecksverhältnisses“ (CR 2014, 629, 630)
„Kernelement und gleichzeitig größter Risikofaktor […] ist das ‚Dreiecksverhältnis‘ zwischen
dem Kunden, dem alten Provider und dem neuen Provider.“
Stolperfallen in Cloud-Verträgen
Laufzeit und Beendigung� Laufzeitvereinbarung
� unbestimmte Dauer, feste Dauer, feste Mindestdauer, feste Dauer mit Verlängerung
� Kündigungsrecht (ordentlich)
� Form, Frist
� Kündigungsrecht (außerordentlich)
� anhaltende Schlechtleistung nach Abmahnung
�wiederholte Verstöße gegen Service-Level-Vereinbarung
� Änderung der Mehrheitsverhältnisse
� Insolvenz des Cloud-Anbieters
�Nutzungsüberschreitung
35Stolperfallen in Cloud-Verträgen
Exit-Management� Anlässe (u.a.)
� Laufzeitende oder außerordentliche Kündigung
� Interesse des Cloud-Kunden
� geordnete „Datenübergabe“
� ggf. Überführung zu neuem Anbieter
� anschließende Löschung
36Stolperfallen in Cloud-Verträgen
Exit-Management� Best Practice
� proaktive Herausgabepflicht des Cloud-Anbieters
� vs. Hinweis auf Möglichkeit zur Datensicherung
� geeignetes Datenformat
� ausreichender Zeitraum nach Vertragsende
� anschließend vollständige Löschung
� ggf.
� Dokumentation bzw. Training/Schulung
�Nutzungsrechte über Vertragsende hinaus
� Vergütung der Exit-Leistungen
�Mitwirkungspflichten vertraglich regeln
37Stolperfallen in Cloud-Verträgen
Exit-Management� Im Insolvenzfall (aber nicht nur dann) hilft:
� Vertraglich vereinbartes Recht, Datenkopie jederzeit herauszuverlangen.
� Besser: Aktuelle Datenkopie ist jederzeit vorhanden bzw. darf jederzeit über entsprechende Schnittstelle abgerufen werden.
� Datenverschlüsselung
� essentiell, wenn Insolvenzverwalter Hardware veräußert
� So oder so: Vorsorglich ergänzend pauschales Leistungskontingent und Pflicht zur Zusammenarbeit mit neuem Anbieter vereinbaren.
38Stolperfallen in Cloud-Verträgen
Checkliste:+„7+auf+einen+Streich“
• detaillierte,.messbare.Leistungsbeschreibung.(SLA).• Vorkehrungen.zur.Datensicherheit.vertraglich.festschreiben.• Vertragsstrafen.bei.Nichterfüllung.• Serverstandort(e).und.Zulässigkeit.der.Einschaltung.von.Subunternehmern.regeln.• Kontrollbefugnisse.des.Auftraggebers.• Laufzeit,.Datenrückgabe.(und.Zlöschung).• ExitZManagement
42
Zertifizierung nach ISO/IEC 27018:2014� u.a.
� Verarbeitung personenbezogener Daten nur nach Vorgaben des Auftraggebers
� Datenherausgabe an Strafverfolgungsbehörden nur bei Verpflichtung, Benachrichtigung des Auftraggebers (soweit zulässig)
�Offenlegung Subunternehmer + Serverstandorte vor Vertragsschluss
� vollständige Dokumentation von Sicherheitsverletzungen
� regelmäßige Kontrolle durch unabhängige Prüfer
43Stolperfallen in Cloud-Verträgen
Schlussbemerkung�Matthias Schorer: Cloud Computing ist keine Technologie, sondern ein
Paradigmenwechsel.
�Ortsunabhängige Verfügbarkeit von IT-Systemen und neue Möglichkeiten, etwa der standortübergreifenden Zusammenarbeit, sind heute Innovationsmotor und morgen Selbstverständlichkeiten.
� Daher:
� Cloud Computing als Herausforderung und Chance begreifen.
� Informierte Entscheidungen auf Grundlage einer – auch rechtlichen – Risikoanalyse und -bewertung treffen.
� Falls möglich: Vertragliche Gestaltungsmöglichkeiten nutzen.
44Stolperfallen in Cloud-Verträgen
Jens-Christof Niemeyer Rechtsanwalt, Fachanwalt für IT-Recht
Kanzlei Poststraße 36, 32139 Spenge
E-Mail [email protected] Telefon 05225/8738444 Web anwaltniemeyer.de Twitter @anwaltniemeyer
Vielen Dank für die Aufmerksamkeit.