2015-09 Cloud für CIM - cim lingen Gliederung Was ist Cloud Computing? Vertragsinhalt, u.a. Grundsätzliches Serverstandort(e) Service Level Business Continuity Datenschutz & Datensicherheit

Stolperfallen+in+Cloud0Verträgen

Jens-Christof Niemeyer

Ziel• Problembewusstsein.schaffen.• rechtliche.Lösungsansätze.für.technische.Gegebenheiten.• „Basics“

Gliederung�Was ist Cloud Computing?

� Vertragsinhalt, u.a.

� Grundsätzliches

� Serverstandort(e)

� Service Level

� Business Continuity

� Datenschutz & Datensicherheit

� Vorkehrungen für das Vertragsende

� Ausblick (hoffnungsvoll)

3Stolperfallen in Cloud-Verträgen

Was ist Cloud Computing?� kein einheitlicher Begriff

�Merkmale lt. BITKOM 2009:

� bedarfsgerechte und flexible Nutzung von IT-Leistungen

� Bereitstellung in Echtzeit über das Internet

� Abrechnung nach Nutzungsumfang

�Merkmale lt. NIST 2011:

�Wahrnehmung der Ortsunabhängigkeit = Kunde hat keine Kontrolle oder Wissen über den Ort der bereitgestellten Ressourcen

� Skalierbarkeit der Leistungen


Anreize (u.a.)� Ersparnis von Investitionen

und laufenden Kosten

�weltweiter Datenzugriff

� Lastspitzen abfangen

� Inhouse geringere Expertise als bei Cloud-Anbieter

5

Risiken (u.a.)� Assets extern gelagert

� Risiken schwerer vorhersehbar

� Imageschäden bei Datenpannen

� unerwünschte Zugriffe bzw. entsprechende Möglichkeiten (z.B. durch administrative US-Einrichtungen)

� Rechtliche Hemmnisse?!

Stolperfallen in Cloud-Verträgen

Vertragsinhalt


Wozu?

• Keynote:.kognitives.Alignment.• Missverständnisse.vermeiden!.• Interesse:.erwünschte.Leistung.wird.erbracht.• notfalls:.Verantwortlichkeit.nachzuhalten.+.geordneter.Rückzug.möglich

7

Vertragsinhalt (u.a.)� Vertragsparteien

� Vertragsgegenstand

�Hauptleistung

� Service Level

�Nutzungsrechte

� Vergütung

�Hauptleistung, Zusatzleistung

� Zahlungsmodalitäten

�Nutzungsvoraussetzungen und Mitwirkungspflichten

� Laufzeit und Beendigung

� Vertragsänderungen

� Preisanpassung

� Change-Request-Verfahren

�Haftung, Gewährleistung für Sach- und Rechtsmängel

� Datenschutz, Datensicherheit und Vertraulichkeit

� Subunternehmer

� Exit-Management

� Rechtswahl + Vertragssprache


Grundsätzliches� Gebrauchsüberlassung auf Zeit: i.d.R. Mietrecht

� Schriftform

�Hilft!

� nur für Vereinbarung zur Auftragsdatenverarbeitung zwingend, Nichtbeachtung hätte aber wohl Gesamtnichtigkeit zur Folge

� Vertragsparteien genau erfassen

� Anspruchsgegner kennen, Vertretungsberechtigungen prüfen

� Schon im Vorfeld Beteiligungsverhältnisse möglicher Vertragspartner klären.

� vollständigen Vertrag schließen

� zu beachten v.a. bei modularem Aufbau mit Anlagenkonglomerat

�Worst case: Unwirksamkeit des gesamten Vertrags bei Verweis auf (fehlende) Anlage zur Beschreibung vertragswesentlicher Leistung


10

Leistung + Gegenleistung


Leistungsbeschreibung� bei Bereitstellung einer Software (SaaS) z.B.

� Anzahl gleichzeitiger Zugriffe

�Herkunft der Nutzer (Unternehmen, Konzern, Länder, …)

� „named user“ vs. „concurrent users“

� konkreter

� Einsatzbereich + Einsatzweck (Funktionen) + Skalierbarkeit

� Bereitstellung und Wartung von Software, Hardware, Infrastruktur

� Lizenzierung

� Internetverbindung

� Speicherung und Sicherung der Anwendungsdaten

� Berichte zum Nutzungsumfang


Vergütung� Vergütung vereinbaren (Klarheit! Wirksamkeit!)

� Beispiele

� Pauschalpreis für Bereitstellung + Nutzung

� rein nutzungsabhängige Vergütung

� Grundbetrag + nutzungsabhängige Vergütung

� Fälligkeit: Vorauszahlung / nachträgliche Abrechnung


Serverstandort(e)


Scheinbar lokal begrenzte Ereignisse mit unerwarteter Breitenwirkung

� 2008: Ausfall in Umspannwerk in Hannover führt zur Unbenutzbarkeit von Geldautomaten, Auszugsdruckern und Onlinebanking von 150 Banken in Deutschland

� 2009: Nachlässige Wartungsarbeiten in Rechenzentrum: Stundenlang kein Fahrkartenverkauf und bundesweite Ausfälle und Verspätungen von Zügen

� 2010: Vulkan Eyjafjalla legt europäischen Flugverkehr lahm


Serverstandort(e)� Datenschutzniveau

� EU/EWR

� Zugriffsmöglichkeiten für staatliche Stellen (siehe nur: Patriot Act)

� geltendes Landesrecht

� faktische Kontrollmöglichkeiten (für Kunden)


16

Leistungsvereinbarungen (Service Level)


� Umfang und Güte der Leistung für sämtliche Teilleistungen

�messbare Parameter der zu erbringenden Leistung, Messpunkt, Sanktion

� z.B. (Störungsszenario) „Der Anbieter stellt dem Kunden eine Hotline zur Beantwortung von Anfragen bereit. Eingehende Anfragen werden während der Betriebszeit binnen 90 Minuten per E-Mail bestätigt. Für jede vollendete Stunde Überschreitung ist ein Service Credit von … verwirkt.“

17

Nur zur Veranschaulichung –

nicht ungeprüft übernehmen!

Service Level/Leistungsbeschreibung


Service Level/Leistungsbeschreibung� Betriebszeit z.B.

� 7×24 (7 Tage à 24 Stunden, außer sonntags 0–4 Uhr)

� 5×13 (Mo–Fr von 7–20 Uhr)

� Skalierbarkeit

� Verfügbarkeit

� prozentualer Zeitanteil

� 99,9% Verfügbarkeit/Jahr = bis zu 9 Stunden Downtime

� Datensicherheit festschreiben (mit Vertragsstrafe)

� Storage + Backup + Transfer


Service Level: „Fallen“� Bezugsgröße

� 99,5% Verfügbarkeit/Monat = bis zu 3,5 Stunden Downtime möglich

� 99,5% Verfügbarkeit/Jahr = bis zu 44 Stunden Downtime möglich

� Entstörzeiten

� Reparaturzeit vs. mittlere Reparaturzeit

� Reparaturzeit vs. Reaktionszeit

� Rückmeldung zum voraussichtlichen Beginn der Reparaturen ≠ erfolgreiche Behebung

� Achtung: „angemessen“, „rechtzeitig“, „nach besten Kräften“


Business Continuity Nutzungsvoraussetzungen

Kommunikationswege Eskalationsmechanismen

Haftung


Business Continuity� Datensicherung: Format, Intervall, Strukturierung,

Speicherort, Test, Wiederherstellungszeiten

� redundante Betriebsstrukturen

�Notfallpläne


Nutzungsvoraussetzungen

� Internetzugang des Cloud-Kunden (bis zum Übergabepunkt des Cloud-Anbieters)

�Hardware- oder Software-Voraussetzungen (z.B. VPN-Client)

22

Kommunikationswege, Eskalationsmechanismen� beide Seiten benennen kompetente und

entscheidungsbefugte Ansprechpartner sowie deren Stellvertreter

� Streitbeilegungsverfahren vorsehen


Warum scheitern Projekte? Befindlichkeiten + Kommunikationsprobleme

Regelungsbedarf: Haftungsverteilung (u.a. für Lizenzverstöße)

23

–Hilber/Reintzsch: „Cloud Computing und Open Source – Wie groß ist die Gefahr des Copyleft bei Saas?“ (CR 2014, 697, 702)

„hohes Maß an Rechtsunsicherheit“


„WLAN“-Gesetzesentwurf (16.09.2015)

führt Begriff „gefahrgeneigter Dienste“

ein – Gefahr für Cloud-Anbieter?

Datenschutz Datensicherheit


Personenbezogene Daten in die Cloud? (z.B. Kunden- oder Mitarbeiterdaten)

� EU/EWR: Geht, aber Reformbedarf vorhanden.

� Außereuropäische Cloud-Anbieter (insbesondere US-amerikanische)

� Safe-Harbour erfordert Überprüfung

� Lesetipp: http://www.cr-online.de/blog/2015/04/22/aktuelles-in-sachen-safe-harbor-wird-der-hafen-endlich-sicher/

� Binding Corporate Rules: Einzelgenehmigungsverfahren

� deutsche Anforderungen „de facto nicht realisierbar“ (Kühling/Biendl: „Datenschutzrecht – Basis und Bremse des Cloud Computing“, CR 2014, 150, 154)

26

(übersprungen)


Datenschutz, Datensicherheit, Vertraulichkeit� Datenschutz

� Vereinbarung zur Auftragsdatenvereinbarung (siehe § 11 Abs. 2 BDSG)

� Reformbedarf

� Schriftform mit eigenhändiger Unterschift für standardisierte Vorgänge nicht sachgerecht

� Kontrollpflichten vor Ort (Wo denn? Urteilsvermögen? „Prüftourismus“?)

� Datensicherheit (§ 9 S. 1 BDSG + Anlage)

� Einhaltung der „8 Gebote“

� Verschlüsselung

� Zertifizierung

� Vertraulichkeit

� begrenzter Personenkreis hat Zugang

� Verpflichtung gem. § 5 BDSG!

� Verschwiegenheitsklauseln

27

(übersprungen)


Rechtliche+„Empfehlungen“

28

StaNsNken

KonstrukNonsdaten

ProdukNonsdaten

Verkaufsdaten

Kostenaufstellungen

Lagerbestandsdaten

Allgemeine(Daten

Name

AnschriP

Geburtsdatum

Beruf

Telefonnummer

Berufsgeheimnisse

Bankwesen

Telefongespräche

Gesundheitsdaten

ethnische.Zugehörigkeit

Religion

Personenbezogene(Daten

Persönliche(Daten

Besondere(Arten(

personenbezogener(Daten

einfacher.Schutz verstärkter.Schutz besonderer.Schutz

Bei(uns(gibt(es(doch(

nichts(zu(holen!?

Unternehmensinteresse?

29

alle(Daten

besonderer.Schutz

–BSI-Eckpunktepapier „Sicherheitsempfehlungen für Cloud Computing Anbieter, Mindestanforderungen in der

Informationssicherheit“, S. 11

„In abgespeckter Form müssen auch Cloud-Nutzer die Risiken bewerten, die für sie durch eine Verlagerung von Daten oder Anwendungen in die Cloud

entstehen können.“


Auswirkungen durch IT-

Sicherheitsgesetz (01.08.2015)?

31

–Trüg/Mansdörfer: „Strafrecht und Strafprozessrecht“, in: Hilber (Hg.): Handbuch Cloud Computing (2014: 574f.)

„Wer Daten in die Cloud auslagert oder Cloud-Dienste in anderer Weise nutzt, muss davon ausgehen, dass die Daten mehr oder

weniger systematisch von privater und öffentlicher Seite auch jenseits der legalen Eingriffsbefugnisse erhoben […] werden.“


„Der Spiegel“ Nr. 46 vom 10.11.2014

� Der BND will verschlüsselte Datenübertragung im Internet auswerten. Habe bis 2020 ca. 4,5 Millionen Euro Budget für Erwerb von Informationen zu Zero Day Exploits.

� Edward Snowden: NSA zahle jährlich zweistelligen Millionenbetrag für derartige Informationen.

� Folge

� Überwachung: vielleicht

� Verzögerte Behebung von Schwachstellen: sicherlich


Vertragsende


34

–Lutz/Weigl: „Second Generation IT-Outsourcing, Die Problematik des Dreiecksverhältnisses“ (CR 2014, 629, 630)

„Kernelement und gleichzeitig größter Risikofaktor […] ist das ‚Dreiecksverhältnis‘ zwischen

dem Kunden, dem alten Provider und dem neuen Provider.“


Laufzeit und Beendigung� Laufzeitvereinbarung

� unbestimmte Dauer, feste Dauer, feste Mindestdauer, feste Dauer mit Verlängerung

� Kündigungsrecht (ordentlich)

� Form, Frist

� Kündigungsrecht (außerordentlich)

� anhaltende Schlechtleistung nach Abmahnung

�wiederholte Verstöße gegen Service-Level-Vereinbarung

� Änderung der Mehrheitsverhältnisse

� Insolvenz des Cloud-Anbieters

�Nutzungsüberschreitung


Exit-Management� Anlässe (u.a.)

� Laufzeitende oder außerordentliche Kündigung

� Interesse des Cloud-Kunden

� geordnete „Datenübergabe“

� ggf. Überführung zu neuem Anbieter

� anschließende Löschung


Exit-Management� Best Practice

� proaktive Herausgabepflicht des Cloud-Anbieters

� vs. Hinweis auf Möglichkeit zur Datensicherung

� geeignetes Datenformat

� ausreichender Zeitraum nach Vertragsende

� anschließend vollständige Löschung

� ggf.

� Dokumentation bzw. Training/Schulung

�Nutzungsrechte über Vertragsende hinaus

� Vergütung der Exit-Leistungen

�Mitwirkungspflichten vertraglich regeln


Exit-Management� Im Insolvenzfall (aber nicht nur dann) hilft:

� Vertraglich vereinbartes Recht, Datenkopie jederzeit herauszuverlangen.

� Besser: Aktuelle Datenkopie ist jederzeit vorhanden bzw. darf jederzeit über entsprechende Schnittstelle abgerufen werden.

� Datenverschlüsselung

� essentiell, wenn Insolvenzverwalter Hardware veräußert

� So oder so: Vorsorglich ergänzend pauschales Leistungskontingent und Pflicht zur Zusammenarbeit mit neuem Anbieter vereinbaren.


Hoffnungsvoller Ausblick


Checkliste:+„7+auf+einen+Streich“

• detaillierte,.messbare.Leistungsbeschreibung.(SLA).• Vorkehrungen.zur.Datensicherheit.vertraglich.festschreiben.• Vertragsstrafen.bei.Nichterfüllung.• Serverstandort(e).und.Zulässigkeit.der.Einschaltung.von.Subunternehmern.regeln.• Kontrollbefugnisse.des.Auftraggebers.• Laufzeit,.Datenrückgabe.(und.Zlöschung).• ExitZManagement

42

Zertifizierung nach ISO/IEC 27018:2014� u.a.

� Verarbeitung personenbezogener Daten nur nach Vorgaben des Auftraggebers

� Datenherausgabe an Strafverfolgungsbehörden nur bei Verpflichtung, Benachrichtigung des Auftraggebers (soweit zulässig)

�Offenlegung Subunternehmer + Serverstandorte vor Vertragsschluss

� vollständige Dokumentation von Sicherheitsverletzungen

� regelmäßige Kontrolle durch unabhängige Prüfer


Schlussbemerkung�Matthias Schorer: Cloud Computing ist keine Technologie, sondern ein

Paradigmenwechsel.

�Ortsunabhängige Verfügbarkeit von IT-Systemen und neue Möglichkeiten, etwa der standortübergreifenden Zusammenarbeit, sind heute Innovationsmotor und morgen Selbstverständlichkeiten.

� Daher:

� Cloud Computing als Herausforderung und Chance begreifen.

� Informierte Entscheidungen auf Grundlage einer – auch rechtlichen – Risikoanalyse und -bewertung treffen.

� Falls möglich: Vertragliche Gestaltungsmöglichkeiten nutzen.


Jens-Christof Niemeyer Rechtsanwalt, Fachanwalt für IT-Recht

Kanzlei Poststraße 36, 32139 Spenge

E-Mail [email protected] Telefon 05225/8738444 Web anwaltniemeyer.de Twitter @anwaltniemeyer

Vielen Dank für die Aufmerksamkeit.

wir+danken+unseren+cim0sponsoren

by

2015-09 Cloud für CIM - cim lingen Gliederung Was ist Cloud Computing? Vertragsinhalt, u.a. Grundsätzliches Serverstandort(e) Service Level Business Continuity Datenschutz & Datensicherheit

Documents