Bird & Bird untersucht Vereinbarungen prominenter Cloud-Anbieter Cloud-Verträge oft mangelhaft bei der Erfüllung deutscher Gesetze

Redakteur: Elke Witmer-Goßner

Cloud Computing wirft eine Menge Fragen auf, vor allem in Hinsicht der vertraglichen Anforderungen nach deutschem Recht. Die Fragen rund um die Themen Lizenzierung, Nutzungsrechte, Gewährleistung oder Haftung, Datenschutz sowie Vertragsende betreffen alle Cloud-Dienste, egal ob IaaS, PaaS, SaaS, Process-as-a-Service oder andere Cloud-Angebote.

Firma zum Thema

Nutzungsverträge für Cloud-Services vor allem ausländischer Provider gehen nicht immer konform zum deutschen Gesetz; damit bremsen sich die Anbieter bei Unternehmenskunden selbst aus, sind die Wirtschaftsexperten von Bird & Bird überzeugt.
Nutzungsverträge für Cloud-Services vor allem ausländischer Provider gehen nicht immer konform zum deutschen Gesetz; damit bremsen sich die Anbieter bei Unternehmenskunden selbst aus, sind die Wirtschaftsexperten von Bird & Bird überzeugt.
(Bild: Aamon, Fotolia)

Doch wie gehen große Anbieter mit diesen Problemen um? Erfüllen sie die Anforderungen des deutschen Gesetzes? Und sind B2B-Nutzer rechtlich gut abgesichert? Um diesen Fragen auf den Grund zu gehen, hat die internationale Wirtschaftskanzlei Bird & Bird die größten Anbieter, die auch den deutschen Markt adressieren, miteinander verglichen. Mit dem Ergebnis, dass die meisten Anbieter vorwiegend Begriffe des ausländischen Rechts verwenden und sich mit Standard-Formulierungen bzw. -bedingungen in den Verträgen den strengen Kontrollen deutscher Gerichte entziehen wollen. Diese Praxis wirkt sich allerdings nachteilig für diese Anbieter aus, indem sie eine deutlich geringere Akzeptanz bei B2B-Nutzern (die sich nicht nur auf das KMU-Segment beschränken) hinnehmen müssen.

Hohe Messlatte

Die Studie „Cloud computing for the German market – A rough line legal comparison“ erhebt nicht den Anspruch auf Vollständigkeit der überprüften Kriterien. Die grobe Analyse zeigt allerdings bereits: Cloud-Anbieter müssen sich anstrengen, die hohen Erwartungen der Nutzer, dass sich die Verträge ordnungsgemäß an das strenge deutsche Recht halten, zu erfüllen. Andererseits haben diejenigen, die ihre Vertragsbedingungen schon an das deutsche Recht geknüpft haben, zahlreiche, dabei aber oft undurchführbare Bestimmungen aufgenommen. Die Bird&Bird-Untersuchung soll daher B2B-Nutzern als Orientierung dienen, in welchen Punkten sie ihre Provider genauer prüfen müssen und wo noch Raum für Verhandlungen oder Nachbesserungen besteht. Bird & Bird betont allerdings, dass der Vergleich umfassende Rechtsberatungen oder individuelle Verhandlungen nicht ersetzen kann.

Bildergalerie

Bird & Bird hat folgende Cloud Standard Agreements miteinander verglichen:

  • Amazon Web Services: "AWS Customer Agreement" vom 15.03.2012, geregelt durch die Gesetze des US-Staates Washington, sowie die „AWS Service Terms“, Stand vom 26.09.2012;
  • HP: „Customer Agreement for HP Cloud Services”, Stand vom 03.07.2012, geregelt durch die Gesetze des US-Staates New York;
  • IBM: „Smart Cloud Vereinbarung“, Stand vom 31.08.2012, geregelt durch das deutsche Recht;
  • Oracle: „RightNow Master Cloud Services Agreement“, Stand vom 13.04.2012, geregelt durch das deutsche Recht;
  • Salesforce: „Rahmen-Abonnementvertrag“, Stand vom 15.09.2009, geregelt durch das deutsche Recht;
  • SAP: „General Terms and Conditions for SAP Cloud Services“, Stand August 2012 und aktualisiert im Januar 2013, geregelt durch das deutsche Recht.

Während Nutzer von IaaS, PaaS und SaaS in den meisten Fällen keine Software kopieren, beinhalten aber alle Vereinbarungen in irgendeiner Form Klauseln zur Lizenzierung. In mehreren Fällen sehen diese weitere Einschränkungen über den Umfang der zulässigen Nutzung, einschließlich Limitierungen für bestimmte CPU-Klassen, Named-User-Konzepte usw. vor. In den meisten Vereinbarungen schwingen auch implizit oder sogar ausdrücklich Software-Mietmodelle mit, womit die effektive Einführung von Nicht-Transfer-Einschränkungen nach deutschem Recht legalisiert werden soll.

Alle Verträge enthalten Klauseln zur Garantie und/oder Bestimmungen über die rechtlichen Möglichkeiten der Nutzer bei Materialfehlern oder Rechtsmängeln (IP-Verletzung). Hierzu betont Bird & Bird, dass Cloud-Verträge im deutschen Recht allgemein als Mietverträge behandelt werden, denen die vertraglichen Rechtsbehelfe folgen. Zum anderen behandelt das deutsche Vertragsrecht Materialfehler (in diesem Fall Fehlfunktionen der Software) und Rechtsmängel (wie IP-Zuwiderhandlungen) weitgehend parallel. Dem Gesetz nach müssen Software-Mietanbieter kontinuierlich dafür sorgen, dass die Funktionen während der gesamten Vertragslaufzeit aufrechterhalten werden, ohne dass zusätzliche Kosten neben dem Mietpreis berechnet werden. Interessanterweise haben einige Anbieter zum einen begrenzte Gewährleistungsfristen gesetzt, oft eingeschränkt auf ein Jahr, obwohl der Auftraggeber nach deutschem Vertragsrecht behandelt werden müsste. Und zum anderen formulieren manche Provider Haftungsausschlüsse, indem sie behaupten eine Dienstleistung zu erbringen, die den Ist-Zustand bei Vertragsabschluss wiederspiegelt, da Software naturgemäß nie frei von Defekten sei, so das Argument. Beides ist eindeutig nicht mit der deutschen Rechtslage vereinbar.

Deutsches schlägt ausländisches Recht

Trotz aller Vereinbarungen, die die Nutzungsrechte festschreiben, wird nur die Hälfte der Vertragspartner durch ausdrückliche Bestimmungen zu IP-Entschädigungen vor Ansprüchen Dritter geschützt. Das wird vor allem dann wichtig, wenn die Vereinbarungen auf ausländischem Recht basieren und Nutzer möglicherweise in Gefahr stehen, Softwarepatente zu verletzen. Unterliegt die Vereinbarung deutschem Recht, kann sich der Nutzer darauf verlassen, dass die Entschädigung wie im Fall von Materialfehlern gesetzlich geregelt ist. So hat ein Anbieter die IP-Entschädigung auf in den USA auftretende Patenverletzungen beschränkt. Das ist allerdings nicht durchsetzbar, sobald der Anbieter seine Verträge nach deutschem Recht abschließt.

Alle Vereinbarungen enthalten Haftungsklauseln, die nach Meinung von Bird & Bird größtenteils vor deutschen Gerichten nicht durchsetzbar wären, falls die Urteile die allgemeinen deutschen Geschäftsbedingungen berücksichtigen. Damit sind Anbieter bei Absturzgefahr ihrer Systeme wieder an die deutsche gesetzliche Haftung gebunden und somit unbegrenzt haftbar für jede Art von Vorsatz, grober Fahrlässigkeit und in Folge jeglicher Art indirekter oder direkter Folgeschäden. Einigen Providern scheint dies nicht bewusst zu sein und glauben ihr Geschäftsmodell dadurch aufrechterhalten zu können, wenn sie ihre Verträge nach ausländischem Recht verfassen.

Überraschenderweise schreiben nicht alle Anbieter sogenannte „Vereinbarungen zur Auftragsdatenverarbeitung“ vor, was allerdings unerlässlich ist, sobald der Benutzer personenbezogene Daten in eine Cloud verlagert. Großer Handlungsbedarf besteht also darin, die gesetzlichen Anforderungen des §11 BSDG (Bundesdatenschutzgesetz) für Cloud-Dienstleistungen richtig in die Anbieterverträge zu implementieren. Das Fehlen ausreichend dokumentierter technischer und organisatorischer Maßnahmen, wie es §9 BSDG eigentlich fordert, bewertet Bird & Bird ebenfalls als unbefriedigend.

Laut Bird & Bird entstehen zusätzliche Datenschutzprobleme, wenn der Anbieter seine Infrastruktur außerhalb der EU bzw. des europäischen Wirtschaftsraums betreibt. Hier müssen also ordnungsgemäße vertragliche Vereinbarungen und ausreichende Sicherheitsvorkehrungen garantiert sein, die den Linien der EU-Modellklauseln oder den Safe-Harbor-Regelungen entsprechen. Nutzer sollten sich andererseits bewusst sein, dass die deutschen Datenschutzbehörden ihre Regelungen für internationale Datentransfers verschärft haben. Unter anderem nehmen die deutschen Datenschützer in einem „Zwei-Stufen-Test“ die Rechtmäßigkeit sowie die adäquaten Anforderungen des Transfers genau unter die Lupe.

Mehr Wissen beim Nutzer

Die Behörden haben darüber hinaus deutlich gemacht, dass bestimmte Daten, wie Gesundheitsdaten, nicht international transferiert werden dürfen. Alle Vereinbarungen der Anbieter, die internationale Transfers betreffen, sind aber sehr allgemein gehalten. Bird & Bird bemängelt, dass Nutzer kaum erfahren, wo ihre Daten gehostet werden. Die Wirtschaftskanzlei weist daher darauf hin, dass Nutzer selbst sicherstellen müssen, dass alle rechtlichen Anforderungen für eine rechtskonforme Verarbeitung ihrer Daten erfüllt sind.

Ein weiterer, sehr relevanter Fehler in den meisten Vereinbarungen ist das Fehlen einer Informationspflicht der Anbieter im Falle von Datenlecks. Der Gesetzgeber nimmt hier den Nutzer (Controller) in die Pflicht, sofort zu handeln und Behörden oder betroffene Personen über einen Datenverlust oder -diebstahl zu informieren. Bird & Bird findet es sehr beunruhigend, dass Dienstleister ihre Kunden über Datenlecks auch über einen längeren Zeitraum hinweg im Unklaren lassen dürfen. Es steht also im ureigenen Interesse der Nutzer, mit ihrem Provider eine entsprechende Informationsklausel im Service-Vertrag zu verankern.

Nutzer von Cloud-Dienstleistungen müssen darauf vertrauen können, dass ihr Provider ihre Daten in einem brauchbaren und migrationsfähigen Format speichert, um sie wieder abrufen zu können. Anbieter müssen aber auch die ordnungsgemäße und vollständige Löschung bestehender Daten aus der Cloud als Teil einer „clean exit“-Vereinbarung sicherstellen. Ebenso wichtig ist, dass Anbieter die reibungslose und effiziente Migration von Daten zu einem anderen Anbieter oder zurück in die eigenen Systeme des Nutzers ermöglichen. Die richtige Definition der Datenformate sowie ausreichende Fristen für den Übergang sind entscheidend dafür, den bei Nutzern gefürchteten „Vendor Lock-in“ zu verhindern. Viele Nutzer vergessen aber diese Problematik beim Abschluss ihres Cloud-Vertrages. Daher sollten Anbieter Cloud-Ausstiege und Datenmigration durch die Definition von Ausstiegsszenarien („plug & pull“) vereinfachen. Das Gegenargument der Provider, eine solche Unterstützung könnte die Services verteuern, hält Bird & Bird für fragwürdig. Allerdings sollte noch ein gemeinsamer Industriestandard für benutzerfreundliche Ausstiegsbedingungen entwickelt werden.

Die Rechte der Datenbank-Betreiber nach deutschem und EU-Urheberrecht – ein weiterer, sehr wichtiger Punkt – wurde ebenfalls kaum oder noch gar nicht berücksichtigt, kritisiert die Studie. Denn sobald ein Nutzer Datenbanken hochlädt, muss er dem Anbieter die Genehmigung zur Verwendung dieser Daten erteilen. Einige Vertragsvereinbarungen berücksichtigen zwar diesen Punkt, indem durch Definition einer generischen Content-Lizenz diese Erlaubnis erteilt wird. Dabei muss aber zusätzlich noch beachtet werden: Sobald ein Anbieter Rohdaten oder bereits bestehende Datenbanken rekonfiguriert übernimmt, ist es möglich, dass er dann von Rechts wegen der Inhaber der Rechte in Hinblick auf solche neu erstellte Datenbanken wird. Der Knackpunkt macht sich spätestens dann bemerkbar, wenn ein Nutzer aus dem Vertrag aussteigen will. Nutzer sind daher gut beraten, diesen Aspekt besonders zu berücksichtigen und sollten sich vertragliche zusichern lassen, dass sie ohne Erstattungsanspruch oder Vorbehalt an den Rechten den Vertrag beenden können.

Fazit

Einige der deutschen Vorschriften zu den Vertragsbedingungen, insbesondere Garantien und Haftungen, stellen hohe Herausforderung an die Cloud-Anbieter. Noch sind die Provider weit davon entfernt, die besten Bedingungen, die dem deutschen Gesetz gerecht werden, anzubieten. Das erwarten aber nicht nur kleine und mittelständische Unternehmen.

Darüber hinaus bewertet Bird & Bird insbesondere die fehlende Transparenz bezüglich der Einhaltung des Datenschutzes als äußerst bedenklich. Das Problem verschärft sich noch, wenn der Back-end-Betrieb außerhalb der EU bzw. des europäischen Wirtschaftsraums angesiedelt ist. Weitere Bedenken hegt die Wirtschaftsagentur bei Betrachtung der Ausstiegsbedingungen und intransparenter Vertragsbedingungen hinsichtlich der Vermeidung eines „Vendor Lock-in“. Bird & Bird rät Nutzern daher, sorgfältig die Folgen unzureichender vertraglicher Unterlagen in diesen Punkten zu bedenken.

Alles in allem müssen Cloud-Anbieter also noch ihren Weg finden, auf dem deutschen Markt auch in rechtlicher Hinsicht zu bestehen. Provider müssen darauf drängen, sich verstärkt auf eine gemeinsame beste Vorgehensweise zu verständigen. Benutzer sollten besonderes Augenmerk auf die Fallstricke rund um den Datenschutz richten sowie auf die Ausstiegsbedingungen. Alles in allem haben Anbieter noch viel Raum, ihre Anstrengungen hinsichtlich Datensicherheit und Compliance vertraglich zu dokumentieren. Bird & Bird ist überzeugt, dass dies der Schlüssel ist, die Akzeptanz von Cloud-Angeboten zu erhöhen.

Artikelfiles und Artikellinks

(ID:39312490)