Jusletter IT

Cloud Services ist ein viel zitierter Begriff, hinter welchem sich bestehende Service Modelle verstecken, aber auch neue Ansätze der Zusammenarbeit subsumiert werden. Die Zusammenarbeitsvarianten erstrecken sich vom klassischen Outsourcing, bei welchem der Partner einen Teil Infrastruktur für den Kunden betreibt und für ihn sämtlich damit zusammenhängende Arbeiten erledigt (z.B. Betreiben einer gesamten IT-Infrastruktur oder eines (Daten-)netzes) bis hin zur Übernahme von Teilen der Prozesse zur Unterstützung der Wertschöpfungskette.

Im klassischen Outsourcing stellt der Outsourcing-Partner in erster Linie sein Know How, aber auch seine Infrastruktur und seine Services mehreren Kunden zur Verfügung und nutzt die sich daraus ergebenden Synergien. Der Kunde profitiert seinerseits von einem grossen Know How, bester Infrastruktur und hoher Qualität. Die Limitierung lag und liegt im Outsourcing-Partner, welcher seine Kompetenzen auf die von ihm angebotenen Services konzentriert, ja konzentrieren muss. Mittels Cloud Services werden die Möglichkeiten des Zugriffs auf Know How, Infrastruktur und Services vervielfacht: Der Kunde hat einen breiteren Zugang zu qualifiziertem Know How und Dienstleistungen zur Erbringung seiner eigenen Services, muss aber die bezogenen Dienstleistungen nur bedarfs- und nutzungsgerecht bezahlen. Die Investition in teure Infrastruktur und Spezialisten Know How fällt weg; die frei werdenden Ressourcen können gezielt eingesetzt werden.

Vorab werden verschiedene Varianten von Cloud Services skizziert, um danach auf wichtige rechtliche Herausforderungen aus praktischer Sicht im Sinne eines Überblicks einzugehen. Es bedarf im konkreten Einzelfall detaillierter juristischer Betrachtungsweisen, ob Cloud Services im konkreten Fall den Anforderungen eines Unternehmens genügen oder zwischen den Vertragsparteien weitere Regelungen getroffen werden müssen.

Als Public Cloud wird eine durch einen Cloud Anbieter zur Verfügung gestellte resp. in seinem Eigentum stehende und von ihm betriebene Infrastruktur, eine Plattform oder Software verstanden, welche durch eine Vielzahl von Kunden über das Internet genutzt werden, ohne dass der Kunde selbst eine entsprechende IT-Infrastruktur aufbauen muss¹. Der Kunde hat dabei weder auf den Standort der Infrastruktur, der Plattform resp. der Software, noch über deren effektive Beschaffenheit (Hardware, Firewalls, Back-ups etc.) einen Einfluss: Er bezieht einen IT-Service², eine Rechendienstleistung (Kapazität), Programmierdienstleistung etc., verfügt aber über kein entsprechendes Eigentum, keine Infrastruktur etc., sprich keine (aktivierbaren) Aktiven (bezgl. der rechtlichen Qualifikation der damit verbundenen Verträge s. Ziff. 4 ff. unten). Der Kunde bezahlt die Dienstleistung nach der effektiven Nutzung, allenfalls gepaart mit weiteren Preiselementen für Zusatzdienstleistungen (z.B. für erhöhte Verfügbarkeit, Back-up etc.).

Eine Public Cloud steht einer unbegrenzten Zahl von potentiellen Kunden offen (kein dezidierter Server); Cloud-Provider und -Nutzer sind verschiedene Organisationen.³ Der Zugang zu den eigenen Daten folgt über das Internet.⁴ Die Kunden haben dabei weder Einfluss auf den Standort des Datenspeichers noch auf die Sicherheitskomponenten oder andere Teile der Infrastruktur (Hardware und Software), welche zur Sicherung der Daten eingesetzt werden.⁵ Das Unternehmen weiss nicht, welche anderen, fremden Aufgaben und Dienste ebenfalls auf derselben Infrastruktur, d.h. auf dem gleichen physikalischen Server bearbeitet werden, da die Cloud-Ressourcen von den Nutzern gleichermassen geteilt werden.⁶

Eine Private Cloud liegt nur dann vor, wenn dem Unternehmen ein oder mehrere dedizierte(r) (physische(r) virtuelle(r) Server zur Verfügung stehen. Der Server kann sich beim Unternehmen selbst oder bei einem Dritten befinden. Die Nutzung der Private Cloud ist auf einen bestimmten Personenkreis wie bspw. Angehörige einer Unternehmenseinheit oder Forschungseinrichtung beschränkt, was die Datensicherheit und die entsprechende Kontrolle erhöht.⁷ Es ist aber möglich, den Zugriff über spezielle Schnittstellen nach aussen zu erweitern, was z.B. im Umgang mit Kunden, Lieferanten oder Mitarbeitern sinnvoll sein kann.⁸ Die Private Cloud entspricht damit dem altbekannten Modell des eigenen Netzwerks.

Einiges komplexer sind hybride Clouds, denn sie verbinden verschiedene Cloud-Modelle (Private, Community⁹ oder Public Cloud).¹⁰ So wird bspw. eine Private Cloud, ein internes Netzwerk, als Basis für die unternehmenseigene Infrastruktur genutzt. Für Kapazitätsengpässe (z.B. Marketingaktionen, (Rechen)Kapazitäten) werden Public-Cloud-Dienste in Anspruch genommen.

Wie der Name bereits verrät, handelt es sich bei IaaS um das Bereitstellen von (virtualisierter) Infrastruktur. Hohe Rechenleistung, Netzwerkzugang wie auch grosse Mengen an Speicherplatz werden durch den Cloud-Provider über physische und virtuelle Server nutzbar gemacht, so dass sich der Kunde darauf selbständig eigene Software installieren kann.¹¹ Der Konsument hat damit keine Investitionskosten für die physikalische Hardware zu tragen.¹² Die Verantwortlichkeit für die IT-Infrastruktur liegt ebenfalls beim Cloud-Provider.¹³ Damit werden die Kosten des Housings wie z.B. Kühlung, unterbruchsfreie Stromversorgung, Kosten für die physische Sicherheit oder Speicherkapazitäten der Hardware sowie die damit verbundenen Aufwendungen (Ressourcen etc.) durch den IaaS-Cloud-Anbieter zur Verfügung gestellt.¹⁴

Bei SaaS wird eine bereits komplett entwickelte, funktionsfähige, sich auf dem neusten Stand befindliche Software (Applikation, App) über das Internet resp. über einen Web-Browser zur Verfügung gestellt und genutzt.¹⁵ Es spielt keine Rolle, wo sich der Kunde oder Enduser gerade befindet, denn der Zugriff erfolgt ortsunabhängig über das Internet.¹⁶ Bekannte SaaS-Dienstleistungen sind z.B. die Windows Life Services und Windows 365 von Microsoft, iWork.com von Apple, Google Docs und Salesforce.com Customer Relationship Management (CRM).

PaaS richtet sich v.a. an die Entwickler von Systemen und Anwendungen: Der Cloud-Provider stellt über standardisierte Schnittstellen Plattformen zur Entwicklung und Integration von Software bereit, ohne dass der Kunde gezwungen ist, Investitionen in Hardware oder Entwicklungssoftware zu tätigen.¹⁷ Im Gegensatz zu IaaS, welcher in erster Linie den Bereich der Hardware betrifft, handelt es sich bei PaaS um Middleware.¹⁸ Der Anwender behält die Kontrolle über seine selbst entwickelte Software, benötigt dafür jedoch keine eigene Entwicklungsumgebung.¹⁹ Typische PaaS-Dienstleistungen sind u.a. die Windows Azure Platform von Microsoft, die nahezu komplette Plattform Force.com von Salesforce.com oder die Google App Engine von Google.²⁰

Es zeichnet sich ab, dass nebst den bekannten Service-Modellen mit den entsprechenden Schnittstellen jegliche Art von Dienstleistungen in Zukunft als Cloud-Dienst aufgesetzt werden kann. Kombinationen von Dienstleistungen und Infrastrukturen sind x-beliebig – eben XaaS. XaaS-Dienste-Anbieter können ihre Verfügbarkeit mit der Präsenz in der Cloud erhöhen und effizienter zwischen Nutzersegmenten agieren. Hierbei ist auch der Content-Provider im weitesten Sinne ein XaaS-Anbieter

Beim Grossteil der IaaS Services werden auf einer physischen Hardware mehrere virtuelle Server installiert und jeweils durch einzelne individuelle Kunden genutzt. Möglich ist zudem, dass nebst der reinen Zurverfügungstellung von dedizierter Hardware weitere gewichtige Dienstleistungen vom IaaS-Anbieter bezogen werden (z.B. im Bereich Daten-/Zugriffssicherheit etc.), so handelt es sich nicht um ein reines Mietverhältnis: Die (physische) Sache kann somit nur teilweise durch den Kunden allein genutzt werden, nebst der Nutzung zum Gebrauch spielen weitere Leistungen eine wesentliche Rolle, namentlich die Virtualisierung des physischen Servers, die Mandantenfähigkeit des physischen Servers, die Sicherheitsdienstleistungen (Zugriffsmanagement, unterbruchsfreie Stromversorgung, Firewalls etc.). Damit kommen zu den mietvertraglichen Elementen weitere hinzu, welche eine mindestens ebenso gewichtige, wenn nicht wichtigere Rolle spielen. Ein reines Mietverhältnis liegt demzufolge nicht mehr vor, wohl aber ein Innominatkontrakt mit wesentlichen mietrechtlichen Elementen.

Je weiter der Dienstleistungskatalog des IaaS-Anbieters geht – z.B. im Bereich der Bereitstellung von Sicherheitsdienstleistungen (Firewall, Back-up der Daten, Zertifizierungen, Verfügbarkeiten, Zugangssicherheit, die über die standardisierten Dienstleistungen hinausgehen) – desto gewichtiger werden die nicht-mietvertraglichen Komponenten.

Wird Speicherkapazität in der Form eines Servers dediziert durch einen Kunden genutzt, so stellt der Cloud Anbieter dem Kunden Infrastruktur und damit bewegliche (physischen) Sachen zur Verfügung. Die Hauptleistung besteht darin, diese Infrastruktur, diese bewegliche Sache, dediziert nutzen zu können. Damit beinhaltet IaaS, genutzt von einem einzelnen Kunden, in erster Linie das Recht des Nutzers, eine Sache zum Gebrauch zu nutzen und dasjenige des Cloud-Anbieters, dem Kunden eine Sache zum Gebrauch zu überlassen und dafür einen Preis zu erhalten. Die in Art. 253 OR erwähnten Merkmale der Miete sind damit erfüllt. Liegt damit ein reines Mietverhältnis vor oder aufgrund weiterer Sachverhaltselemente ein Innominatkontrakt mit wesentlichen mietrechtlichen Komponenten? Wird physische Hardware durch einen Kunden dediziert genutzt und Dritten nicht zur Verfügung gestellt, so handelt es sich um ein Mietverhältnis i.S. von Art. 253ff. OR. Selbst wenn vereinzelt zusätzliche Dienstleistungen Vertragsbestandteil sind, so liegt grundsätzlich ein (reines) Mietverhältnis vor. Dies gilt insbesondere auch dann, wenn Sicherheitselemente wie Brandschutz, Zutrittskontrolle etc. wesentliche Vertragsbestandteile sind; Haupt- und Nebenleistung beziehen sich auf die Nutzung der Mietsache, des Servers, so dass sich aufgrund dessen keine andere Qualifikation ergibt. Denkbar wäre aber, dass aufgrund der Nebenleistungspflichten nicht mietvertragliche Komponenten mit einzubeziehen wären, die mietvertraglichen Komponenten überwiegen jedoch im Normalfall. Wichtig ist für die Praxis, insbesondere auch die Kündigungsfristen und -formalitäten zu regeln, um die relativ zwingende Kündigungsfrist von drei Tagen gemäss Art. 266f OR auszuschliessen resp. entsprechend längere Kündigungsfristen vorzusehen²¹. Die in Art. 266l OR vorgesehene Formvorschrift für Mietkündigungen (zwingende Schriftlichkeit der Kündigung des Mieters, zwingende schriftliche Kündigung mittels amtlichem Formular i.S. von Art. 266l Abs. 2 OR) ist einzuhalten, ansonsten die entsprechende Kündigung nichtig ist.²²

Die Qualifikation des Vertrages zwischen einem Cloud Anbieter und dem Kunden hängt von den einzelnen Dienstleistungskomponenten ab. Je weniger die Dienstleistungen des Cloud Anbieters in erster Linie die Nutzung von Hardware und damit einer beweglichen Sache im Sinne des ZGB²³ beinhalten, desto geringer sind die Mietvertragskomponenten zu gewichten, da das Mietrecht auf den sachenrechtlichen Begriff einer Sache abstellt. Es handelt sich demzufolge spätestens ab dem Zeitpunkt, ab welchem Hardware mittels virtueller Server genutzt werden, um einen Innominatvertrag mit u.a. mietvertraglichem, aber auch auftragsrechtlichem sowie – je nach Dienstleistung – werkvertragsähnlichen Komponenten. Eine generelle, sprich abstrakte Qualifikation ist damit weder möglich noch sinnvoll. Der einzelne Vertrag ist in concreto zu qualifizieren.

Kernpunkt jedes Vertrages ist die Beschreibung der Leistung, was selbstverständlich auch für Cloud Verträge gilt: Unabhängig davon, um welche Cloud Dienstleistungen es sich im Einzelnen handelt und welche Form der Vertrag und seine allfälligen Anhänge (Einzelvertrag, AGB etc.) oder Informationen schlussendlich aufweisen, müssen die Vertragsparteien festlegen, welche Dienstleistungen im Einzelnen geliefert resp. bezogen werden. Die unterschiedlichen Ausprägungen von Dienstleistungen stehen dabei im Vordergrund: Im Rahmen der Dienstleistungen ist zwischen IaaS und den übrigen Cloud Services (meist in der Form von SaaS oder XaaS) zu unterscheiden.

Kernelement des IaaS-Vertrages ist die Beschreibung der Dienstleistung. Dazu gehören im IaaS-Bereich insbesondere folgende Punkte:

• die Beschreibung der Infrastruktur, wie dies im Bereich der Collocation oder des Housing bereits in der Vergangenheit der Fall war und ist;
• die Regelung sämtlicher relevanter Fragen der physischen und virtuellen
  (Daten-)Sicherheit (Zutritt zur physischen Infrastruktur, Brandschutz, Internet-Anbindungen, USV, Business Continuity Management/BCM, Zugriff auf die physische und virtuelle Infrastruktur etc.);
• Verfügbarkeiten und Service Levels mit Konventionalstrafen etc.;
• evtl. Life Cycle Management der Hardware, soweit keine reine Speicherkapazität bezogen wird;
• Lizenzen und Nutzungsrechte;
• Compliance-Themen wie Datenschutz und Auditrechte etc.
• Back-up-Szenarien.

Bei vielen Fragen kann auf die während Jahren erarbeiteten Vertragsdokumente zurückgegriffen werden. Die neuen Komponenten insbesondere des nur beschränkt bestehenden Wissens über den physischen Standort der Datenaufbewahrung (Ubiquitätsprinzip) und damit der geringeren Kontrolle über einen Teil der Infrastruktur führen dazu, dass diese Verschiebung der Verantwortlichkeit durch entsprechende vertragliche Zusicherungen, Prüfungsrechte etc. ersetzt werden müssen.

Fragen der Datensicherheit stellen sich nicht nur bei IaaS, sondern selbstverständlich auch und insbesondere bei SaaS resp. XaaS-Dienstleistungen, welche in erster Linie die Herstellung, Bearbeitung, Weiterverbreitung oder Löschung von Daten in der einen oder anderen Form beinhalten.

Werden vom Kunden Dienstleistungen im Bereich SaaS und XaaS bezogen, so sind die damit im Zusammenhang stehenden Software-/ Content-Dienstleistungen oder generelle Dienstleistungen zu beschreiben. Folgende Punkte sind dabei insbesondere zu definieren:

• Beschreibung der zur Verfügung gestellten Software (Nutzungsrechte / -einschränkungen wie beispielsweise ein territorial oder im Umfang beschränktes Nutzungsrecht)
• Nutzungsmodell (per User, per Click, Flatrate etc.)
• Ausstiegsszenarien und Datenmigrationen (Schnittstellen etc..), Wechsel von Cloud Anbieter.

Die bedarfsgerechten Lösungen werden in der Form von Dienstleistungen erbracht; dies gilt auch für Software, welche dem Kunden einzig zur Nutzung zur Verfügung gestellt wird. Der zulässige Nutzungsumfang richtet sich nach dem Lizenzvertrag zwischen dem Lizenzgeber und dem/den Lizenznehmer(n), d.h. dem Cloud Anbieter. Der Kunde hat damit einzig die Möglichkeit, das Nutzungsrecht wie angeboten zu akzeptieren und damit von der Skalierbarkeit von Nutzung und Dienstleistung preislich und hinsichtlich Stabilität, Verfügbarkeit etc. zu profitieren. Individuelle Lösungen können bei Grosskunden im Fokus stehen, nicht aber im KMU-Bereich mit kleineren Volumen (Kapazitäten, User etc.).

Cloud Services sind auf bedarfsgerechte Leistungen ausgerichtet: Bezahlt wird, was effektiv genutzt wird. Der teure Aufbau von Infrastruktur oder Lizenzen für Bedürfnisse in Spitzenzeiten fällt damit weg. Preismodelle sind deshalb bedarfsgerecht aufgebaut – i.S. von Dynamic Cloud Services bedarfsgerecht, schnell anpassbar und transparent. Werden beispielsweise Server benötigt, so werden diese virtuell aufgebaut und/oder genutzt. Ist innert kurzer Zeit mehr Speicherkapazität notwendig, so wird mehr bestellt und – je nach Anbieter – innert Stunden bereitgestellt. Ist die Nachfrage gestillt, der vorübergehende Bedarf gedeckt, wird die Ressource abbestellt, gelöscht, gestrichen – der Preis reduziert sich umgehend nach dem Pay-per-Use-Prinzip. Diese Flexibilität ist vertraglich entsprechend zu fixieren und mit entsprechenden Preis-Modellen zu hinterlegen.

Seitens des Cloud Anbieters besteht zudem die Herausforderung, die Prozesse intern so abzubilden, dass allfällige Zahlungsausstände oder Beanstandungen kundenseitig bei erfolgter Bezahlung via Kreditkarte erfolgreich vor Gericht geltend gemacht werden können.²⁴ Elektronische Bestellungen oder Rechnungen genügen diesen Anforderungen meist nicht, weitere Beweise zur Dienstleistungserbringung sind meist nötig, so dass die internen Prozessanforderungen (im juristischen wie auch im organisatorischen Sinn) genau geprüft und entsprechend implementiert werden müssen.

Parallel zu den flexiblen Preismodellen muss jedoch beidseitig – seitens des Cloud Anbieters wie auch seitens des Kunden – ein detailliertes Controlling geführt und vertraglich verankert werden, um die (Preis-)Entwicklungen zu verfolgen, zu nutzen und anzupassen – im Bedarfsfall auch zusammen abzugleichen und Differenzen zu lösen. Regelungen für Differenzen in den Anzahl Abonnementen, Kapazitäten etc. sind deshalb vertraglich zu fixieren, insbesondere bei höheren Nutzer- und Kapazitätszahlen, da dort die Fehlerquoten steigen.

Im Gegensatz zu klassischen Outsourcing-Modellen bestehen grundsätzlich keine Verantwortlichkeiten gegenüber den Lizenzgebern bezüglich Unterlizenzierung, da der Cloud Anbieter dem Kunden sämtliche Ressourcen bedarfsgerecht zur Verfügung stellt, so dass die finanziellen Risiken bezüglich der Nutzung gegenüber Dritten/Lizenzgebern gering(er) sind. Sind jedoch Auditrechte des Lizenzgebers vertraglich ausbedungen worden – z.B. weil letzter gleichzeitig als Cloud Anbieter auftritt (vgl. Microsoft 365 – Online-Abonnement-Vertrag²⁵), so wird ein Teil des Risikos auf den Kunden zurückübertragen. Das Controlling ist in solchen Fällen zu verstärken.

In technischer Hinsicht stehen bei cloud Computing in erster Linie die Dienstleistungen und nicht die technischen Lösungen im Vordergrund. Damit sind einmal mehr in technischer Hinsicht folgende Punkte vertraglich zu fixieren:

• Standardisierte Schnittstellen;
• Verfügbarkeiten – Service Level Agreement ;
• Software-Versionen im Zusammenhang mit PaaS;
• Datenmigrationen – Schnittstellen, Datenformate, Datensicherheit etc.
• Zugriffsmanagement;
• Zertifizierungen.

Bei spezialisierten Cloud Lösungen – z.B. im Bereich der Softwareentwicklung /PaaS – sind jedoch detailliertere Informationen über die Entwicklungstools, die Schnittstellen, Administrationsrechte, Library etc. unerlässlich, damit diese Tools von den Nutzern bestmöglich genutzt werden können.

Cloud Computing umfasst insbesondere im Bereich IaaS die bekannten klassischen Outsourcing-Dienstleistungen und beinhaltet damit auch bereits bekannte Compliance-Themen. Mit diversen Neuangeboten und Erweiterungen werden die bekannten Muster aber gesprengt resp. ausgedehnt: Wurden bisher umfassende Verträge bezüglich Dienstleistungspaketen vereinbart, so waren Partner, Mitarbeiter, Standorte, Leistungen gut bekannt. Mit Cloud Computing zeichnet sich auch im Business-Bereich jedoch der Trend zu weniger engen Beziehungen, zu anonymeren Dienstleistungen und zu mehr Flexibilität ab. Unternehmen verlagern unternehmenskritische Daten oder Prozesse in die Cloud: Email- oder Office-Dienste werden aus der Cloud bezogen (z.B. Gmail oder Microsoft 365). Damit gewinnen Corporate Governance und damit Compliance-Themen erheblich an Bedeutung. Es ist deshalb klar zu regeln, wie die Prozesse und die Abgrenzungen im Zusammenhang mit dem Zugriff auf Daten, deren Sicherheit, Rapportierungsfragen etc. aussehen müssen. Waren bisher im klassischen Outsourcing die Partner meist bekannt oder auf Anfrage bekannt zu geben, so ist dies im Cloud Computing im Rahmen von Public Clouds meist nicht der Fall: Es existiert zwar eine Vertragsbeziehung mit einem Cloud Anbieter, dieser betreibt und bezieht Dienstleistungen jedoch selbst von Dritten, nutzt verschiedene (nationale und internationale) Standorte etc., ohne dass der Kunde diesbezüglich Einblick hat.

Soweit Kunden Compliance-Vorschriften unterliegen (nationale und internationale börsenrechtliche Vorschriften, Records Management / Verpflichtungen im Zusammenhang mit Buchführungsvorschriften / Geschäftsbücherverordnung / GeBüV, SR 221.431), müssen diese Compliance-Verpflichtungen mit dem Cloud Anbieter geregelt werden. Dies gilt auch für die Einhaltung von Datenschutzvorschriften (s. dazu Ziff. II.2.d).

Eine solche Regelung hat insbesondere auch Fragen der Datenaufbewahrung zu regeln: Grundsätzlich haben Unternehmen, welche den schweizerischen Buchführungsvorschriften unterliegen, die Geschäftsbücher 10 Jahre aufzubewahren und zu archivieren (Art. 958ff OR). Nutzt ein Unternehmen Cloud Services z.B. in der Form von Datenspeicher eines Cloud Anbieters, so hat er sicherzustellen, dass diese Daten i.S. der GeBüV aufbewahrt werden, sei es während des laufenden Rechnungsjahrs, sei es zu Archivierungszwecken i. S. von Art. 6 GeBüV. Der vertraglichen Zusicherung des Cloud-Anbieters müssen entsprechende Audit-Rechte zur Prüfung virtuell und vor Ort zugesichert werden. Diese haben nicht nur die Datenaufbewahrung an und für sich, sondern auch die damit verbundenen Prozesse zu beinhalten.

Offen und heute im Normalfall nicht geregelt sind Fragen im Zusammenhang mit dem Bundesgesetz über die Überwachung des Post- und Fernmeldeverkehrs (BÜPF/ SR 780.1): Ausgehend von der anstehenden Revision des BÜPF, bei welcher die Cloud Anbieter in Zukunft dem BÜPF ebenfalls unterstellt werden (vgl. Art. 2 des Entwurfs der BÜPF/ EBÜPF)²⁶, stellen sich neue Herausforderungen. Vorab stellen diese Regelungen im Bollwerk der angepriesenen Schweizer Sicherheit und der angeblich fehlenden Zugriffsmöglichkeiten inländischer und ausländischer Behörden auf die Infrastrukturen von Cloud Anbietern «Schwachstellen» dar, die u.U. im Verlaufe der Zeit noch erweitert werden (vgl. hängiges Vernehmlassungsverfahren über das Bundesgesetz über den zivilen Nachrichtendienst vom 8. März 2013)²⁷. Zudem können solche Überwachungsmassnahmen Dritte tangieren, z.B. im Rahmen einer Beschlagnahmung eines physischen (aber virtualisierten) Servers, was bei gemeinsam genutzter Infrastruktur zu vermehrter Überwachung, technischen Problemen etc. führen kann. Das juristische und vertragliche Risiko kann nicht auf den Cloud Anbieter abgewälzt werden, da letzterer keine Abwehrmöglichkeiten gegen solche Eingriffe in seine Infrastruktur und Dienstleistungen hat und ergo einer Duldungspflicht unterworfen ist (vgl. Art. 2 BÜPF).

Ähnliche Fragestellungen sind auch im Zusammenhang mit kartellrechtlichen Verfahren zu prüfen und zu regeln. Auch diese Problematiken sind im Zusammenhang mit outgesourcten Dienstleistungen nicht neu, müssen aber vor dem Hintergrund einer zunehmenden Anonymisierung der Dienstleistungsanbieter bei der Wahl des Cloud Anbieters und der zur Verfügung gestellten Sicherheitsdispositivs und -prozesse mitberücksichtigt werden.

Der in der Schweiz tätige Cloud Anbieter ist grundsätzlich dem Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG / SR 235.1), der dazugehörigen Datenschutzverordnung etc. unterstellt. Damit besteht bei inländischen Verhältnissen die Verpflichtung zur Einhaltung der besagten gesetzlichen Vorschriften im Zusammenhang mit der Bearbeitung von Personendaten gemäss DSG. Im Rahmen der Zusammenarbeit zwischen Cloud Anbieter und Kunde sind deshalb folgende Punkte zusätzlich zu regeln:

• Zusicherung der Gewährleistung der Einhaltung von Datenschutzvorschriften;
• Gewährleistung der Datenintegrität, Datensicherheit etc.;
• Implementierung hoher Sicherheitsstandards (Verschlüsselung, Zugriffsmanagement, Überwachungen, Telekommunikationsanbindungen etc.);
• Back-up-Szenarien;
• Sicherstellung der Daten im Back-up;
• Auditrechte zur Überprüfung der Einhaltung von Datenschutzvorschriften;
• Korrekte und notwendige Beschriftung zur Identifikation von dedizierter (im Eigentum des Kunden stehende) IT-Infrastruktur für den Konkursfall (sofern der Kunde nicht explizit etwas anderes wünscht);
• Abschluss von Versicherungslösungen für Datenbestände/-integrität;
• Implementierung von regelmässigen Prüfungen der Datensicherheit und -integrität.

Zentral hinsichtlich des Datenschutzes ist die Frage der Zulässigkeit der Datenbearbeitung durch den Cloud Anbieter (Art. 10a DSG), soweit er Daten des Kunden überhaupt bearbeiten muss resp. darf.

Sind grenzüberschreitende Sachverhalte gegeben, so sind zusätzliche die in Art. 6 DSG vorgeschriebenen Bedingungen einzuhalten, welche der Eidgenössische Datenschutzbeauftragte in seinen Erläuterungen zur Übermittlung von Personendaten ins Ausland vom 6. April 2011 präzisiert hat.²⁸ Die dort ebenfalls aufgeführten Musterverträge und Erläuterungen insbesondere bei Datenübertragungen ausserhalb der EU sind im Einzelnen beizuziehen und die Fragestellungen detailliert zu prüfen.²⁹

Mit dem Gang in die Cloud gibt der Kunde — das Unternehmen — einen Teil seiner Verfügungsgewalt über die Software, Prozesse und darunter liegende Hardware ab, die im Rahmen von Cloud Services im Verantwortungsbereich des Cloud Anbieters liegen. Kauft ein Unternehmen heute Softwarelizenzen ein, so erfolgt die Installation intern, ebenfalls so die Pflege, Problembehebung (sicher First und Second Level), das Lizenzen Management etc. Der Kunde hat Zugriff auf die von ihm gekaufte Software – sie ist bei ihm installiert, ist verfüg- und zugreifbar. Bereits im Rahmen eines Outsourcing werden diese Prozesse nicht mehr vom Kunden betreut, wohl aber die Prozesse, Zyklen etc. abgesprochen und definiert und die Software häufig vom Kunden eingekauft und lizenziert. Die Installation erfolgt meist nach wie vor beim Kunden.

Im Rahmen des Cloud Computing werden die Rollen jedoch angepasst und die Verantwortlichkeiten, wie unter Ziff. 3.2 dargelegt, dem Cloud Anbieter übergeben resp. in dessen Namen ohne weiteres wahrgenommen. Dem Kunden werden deshalb im Rahmen des Cloud Vertrages, sei es bei Bezug von IaaS Leistungen, sei es bei SaaS oder XaaS Leistungen, entsprechende Lizenzrechte zur Nutzung der besagten Software gewährt. Updates oder Upgrades, Release Management etc. obliegt jedoch dem Cloud Anbieter, da der Kunde weder mit den entsprechenden Softwarelieferanten Lizenz- und Wartungsverträge hat, noch über die notwendigen Zugriffsrechte verfügt, um solche Arbeiten ausführen zu können.

Dem Kunden bleibt somit das im Vertrag zwischen Cloud Anbieter und Kunde beschriebene Nutzungsrecht, die entsprechende Lizenz. Dem Kunden stehen, soweit er Lizenzrechte an Software hat, die in Art. 21 URG (Entschlüsselung von Software für den Erhalt von Schnittstelleninformationen) resp. Art. 24 URG (Recht zur Erstellung einer Sicherungskopie) festgesetzten Urheberrechte zu. Voraussetzung dafür ist, dass der Kunde/Nutzer überhaupt eine Sicherungskopie anfertigen kann (was in der Regel kaum mehr der Fall sein wird). Eine Geltendmachung von Ansprüchen aus Art. 21 resp. Art. 24 URG ist zwar möglich, in praktischer Hinsicht wohl eher eine Seltenheit, die zeitliche und finanzielle Komponente diesbezüglich betrachtend. Im Übrigen beschränkt sich das Urheberrecht des Kunden auf das vertraglich beschriebene Nutzungsrecht; dem Kunden stehen keine weiteren Rechte, kein elektronisches oder physisches Lizenzmaterial (CD, Source Code etc.) zu. Gleichzeitig entfällt für den Kunden auch jegliche Pflicht zur Wartung, Implementierung neuer Software Versionen, Bug Fixing etc.³⁰ Es werden damit erhebliche IT-Ressourcen frei.

Vor dem Gesagten stehen in vertraglicher Hinsicht die Definition des Lizenz- und des damit zusammenhängenden Preismodells im Vordergrund. Die bisher im Verantwortungsbereich des Kunden gelegenen Lizenz- und Supportfragen müssen vollumfänglich und state of the art vom Cloud Anbieter übernommen werden. Er hat sich vertraglich zur Installation resp. zum Zurverfügungstellen der jeweils neusten Version zu verpflichten und Fehler zu beheben etc. Bezüglich der Reaktionszeiten sowie der technischen Fragen kann auf Ziff. 3.3 oben verwiesen werden.

Mit dem Nutzungsrecht eng verbunden ist die Abwehr von Drittansprüchen, welche vom Cloud Anbieter grundsätzlich ohne weiteres gewährt werden sollte.

Haftungs- und Geheimhaltungsverträgen kommt in einem Cloud Vertrag eine hohe Bedeutung zu. Die Tatsache, dass der Cloud Anbieter Zugriff auf wichtige Geschäftsdaten des Kunden haben kann, weil sich die Daten auf seiner Infrastruktur befinden, muss sich entsprechend im Umfang und der Höhe der Haftung widerspiegeln.

Ein entsprechendes Service Level Agreement bei Bezug von geschäftskritischen Dienstleistungen aus der Cloud sollte Teil des Vertrages sein. Dasselbe gilt für Konventionalstrafen, insbesondere für den Fall der Verletzung von Datenschutzvorschriften, Verletzungen von Service Level Agreements und Geheimhaltungsvorschriften.

In internationalen Verhältnissen ist die Frage des anwendbaren Rechts sowie des Gerichtsstands zu regeln. Diesbezüglich weichen die Fragestellungen nach Prüfbarkeit verschiedener Fragen, Kosten im Streitfall, Verfahrensdauer etc. nicht von denjenigen im Zusammenhang mit Outsourcing-Verträgen ab. Zu beachten ist allenfalls die zusätzliche internationale Komponente, welche bei fehlender klarer Regelung aufgrund der Regelungen des Bundesgesetzes über das Internationale Privatrecht vom 18. Dezember 1987 (SR 291) besteht.

Cloud Computing stellt insbesondere im Infrastrukturbereich auf bekannte Modelle ab, die nach wie vor Gültigkeit haben. Hinzu kommen jedoch zusätzliche Anforderungen insbesondere in den Bereichen Sicherheit, Management-Aufgaben seitens des Cloud Anbieters und Compliance-Themen (börsenrechtliche Vorschriften etc.). Die neuen Fragestellungen bedingen, dass die einzelnen Dienstleistungskomponenten sehr kritisch geprüft werden müssen. Entsprechende Audits dienen denn auch der Behebung von Schwachstellen und Fehlern und einer konstanten Verbesserung der einzelnen Services.

Ein besonderes Augenmerk gilt dem Datenschutz respektive der Datensicherheit sowie Compliance-Fragen, die aufgrund grenzüberschreitender Tatbestände eine grosse Rolle spielen. Diese Punkte sind im Detail vertraglich zu regeln.

---

 

RA lic.iur. Carmen De la Cruz ist Rechtsanwältin, Notarin und eidg. Dipl. Wirtschaftsinformatikerin und Partnerin von de la cruz beranek Rechtsanwälte AG in Zug.