1.
Arten von Cloud Computing ^
Cloud Services ist ein viel zitierter Begriff, hinter welchem sich bestehende Service Modelle verstecken, aber auch neue Ansätze der Zusammenarbeit subsumiert werden. Die Zusammenarbeitsvarianten erstrecken sich vom klassischen Outsourcing, bei welchem der Partner einen Teil Infrastruktur für den Kunden betreibt und für ihn sämtlich damit zusammenhängende Arbeiten erledigt (z.B. Betreiben einer gesamten IT-Infrastruktur oder eines (Daten-)netzes) bis hin zur Übernahme von Teilen der Prozesse zur Unterstützung der Wertschöpfungskette.
1.1.
Public, Private und Hybrid Cloud ^
Als Public Cloud wird eine durch einen Cloud Anbieter zur Verfügung gestellte resp. in seinem Eigentum stehende und von ihm betriebene Infrastruktur, eine Plattform oder Software verstanden, welche durch eine Vielzahl von Kunden über das Internet genutzt werden, ohne dass der Kunde selbst eine entsprechende IT-Infrastruktur aufbauen muss1. Der Kunde hat dabei weder auf den Standort der Infrastruktur, der Plattform resp. der Software, noch über deren effektive Beschaffenheit (Hardware, Firewalls, Back-ups etc.) einen Einfluss: Er bezieht einen IT-Service2, eine Rechendienstleistung (Kapazität), Programmierdienstleistung etc., verfügt aber über kein entsprechendes Eigentum, keine Infrastruktur etc., sprich keine (aktivierbaren) Aktiven (bezgl. der rechtlichen Qualifikation der damit verbundenen Verträge s. Ziff. 4 ff. unten). Der Kunde bezahlt die Dienstleistung nach der effektiven Nutzung, allenfalls gepaart mit weiteren Preiselementen für Zusatzdienstleistungen (z.B. für erhöhte Verfügbarkeit, Back-up etc.).
1.1.1.
Public Cloud ^
Eine Public Cloud steht einer unbegrenzten Zahl von potentiellen Kunden offen (kein dezidierter Server); Cloud-Provider und -Nutzer sind verschiedene Organisationen.3 Der Zugang zu den eigenen Daten folgt über das Internet.4 Die Kunden haben dabei weder Einfluss auf den Standort des Datenspeichers noch auf die Sicherheitskomponenten oder andere Teile der Infrastruktur (Hardware und Software), welche zur Sicherung der Daten eingesetzt werden.5 Das Unternehmen weiss nicht, welche anderen, fremden Aufgaben und Dienste ebenfalls auf derselben Infrastruktur, d.h. auf dem gleichen physikalischen Server bearbeitet werden, da die Cloud-Ressourcen von den Nutzern gleichermassen geteilt werden.6
1.1.2.
Private Cloud ^
Eine Private Cloud liegt nur dann vor, wenn dem Unternehmen ein oder mehrere dedizierte(r) (physische(r) virtuelle(r) Server zur Verfügung stehen. Der Server kann sich beim Unternehmen selbst oder bei einem Dritten befinden. Die Nutzung der Private Cloud ist auf einen bestimmten Personenkreis wie bspw. Angehörige einer Unternehmenseinheit oder Forschungseinrichtung beschränkt, was die Datensicherheit und die entsprechende Kontrolle erhöht.7 Es ist aber möglich, den Zugriff über spezielle Schnittstellen nach aussen zu erweitern, was z.B. im Umgang mit Kunden, Lieferanten oder Mitarbeitern sinnvoll sein kann.8 Die Private Cloud entspricht damit dem altbekannten Modell des eigenen Netzwerks.
1.1.3.
Hybrid Cloud und andere Mischformen ^
Einiges komplexer sind hybride Clouds, denn sie verbinden verschiedene Cloud-Modelle (Private, Community9 oder Public Cloud).10 So wird bspw. eine Private Cloud, ein internes Netzwerk, als Basis für die unternehmenseigene Infrastruktur genutzt. Für Kapazitätsengpässe (z.B. Marketingaktionen, (Rechen)Kapazitäten) werden Public-Cloud-Dienste in Anspruch genommen.
1.2.1.
Infrastructure as a Service ^
Wie der Name bereits verrät, handelt es sich bei IaaS um das Bereitstellen von (virtualisierter) Infrastruktur. Hohe Rechenleistung, Netzwerkzugang wie auch grosse Mengen an Speicherplatz werden durch den Cloud-Provider über physische und virtuelle Server nutzbar gemacht, so dass sich der Kunde darauf selbständig eigene Software installieren kann.11 Der Konsument hat damit keine Investitionskosten für die physikalische Hardware zu tragen.12 Die Verantwortlichkeit für die IT-Infrastruktur liegt ebenfalls beim Cloud-Provider.13 Damit werden die Kosten des Housings wie z.B. Kühlung, unterbruchsfreie Stromversorgung, Kosten für die physische Sicherheit oder Speicherkapazitäten der Hardware sowie die damit verbundenen Aufwendungen (Ressourcen etc.) durch den IaaS-Cloud-Anbieter zur Verfügung gestellt.14
1.2.2.
Software as a Service ^
Bei SaaS wird eine bereits komplett entwickelte, funktionsfähige, sich auf dem neusten Stand befindliche Software (Applikation, App) über das Internet resp. über einen Web-Browser zur Verfügung gestellt und genutzt.15 Es spielt keine Rolle, wo sich der Kunde oder Enduser gerade befindet, denn der Zugriff erfolgt ortsunabhängig über das Internet.16 Bekannte SaaS-Dienstleistungen sind z.B. die Windows Life Services und Windows 365 von Microsoft, iWork.com von Apple, Google Docs und Salesforce.com Customer Relationship Management (CRM).
1.2.3.
Platform as a Service ^
PaaS richtet sich v.a. an die Entwickler von Systemen und Anwendungen: Der Cloud-Provider stellt über standardisierte Schnittstellen Plattformen zur Entwicklung und Integration von Software bereit, ohne dass der Kunde gezwungen ist, Investitionen in Hardware oder Entwicklungssoftware zu tätigen.17 Im Gegensatz zu IaaS, welcher in erster Linie den Bereich der Hardware betrifft, handelt es sich bei PaaS um Middleware.18 Der Anwender behält die Kontrolle über seine selbst entwickelte Software, benötigt dafür jedoch keine eigene Entwicklungsumgebung.19 Typische PaaS-Dienstleistungen sind u.a. die Windows Azure Platform von Microsoft, die nahezu komplette Plattform Force.com von Salesforce.com oder die Google App Engine von Google.20
1.2.4.
Anything as a Service ^
2.1.1.
IaaS Services als Mietvertrag ^
Beim Grossteil der IaaS Services werden auf einer physischen Hardware mehrere virtuelle Server installiert und jeweils durch einzelne individuelle Kunden genutzt. Möglich ist zudem, dass nebst der reinen Zurverfügungstellung von dedizierter Hardware weitere gewichtige Dienstleistungen vom IaaS-Anbieter bezogen werden (z.B. im Bereich Daten-/Zugriffssicherheit etc.), so handelt es sich nicht um ein reines Mietverhältnis: Die (physische) Sache kann somit nur teilweise durch den Kunden allein genutzt werden, nebst der Nutzung zum Gebrauch spielen weitere Leistungen eine wesentliche Rolle, namentlich die Virtualisierung des physischen Servers, die Mandantenfähigkeit des physischen Servers, die Sicherheitsdienstleistungen (Zugriffsmanagement, unterbruchsfreie Stromversorgung, Firewalls etc.). Damit kommen zu den mietvertraglichen Elementen weitere hinzu, welche eine mindestens ebenso gewichtige, wenn nicht wichtigere Rolle spielen. Ein reines Mietverhältnis liegt demzufolge nicht mehr vor, wohl aber ein Innominatkontrakt mit wesentlichen mietrechtlichen Elementen.
Wird Speicherkapazität in der Form eines Servers dediziert durch einen Kunden genutzt, so stellt der Cloud Anbieter dem Kunden Infrastruktur und damit bewegliche (physischen) Sachen zur Verfügung. Die Hauptleistung besteht darin, diese Infrastruktur, diese bewegliche Sache, dediziert nutzen zu können. Damit beinhaltet IaaS, genutzt von einem einzelnen Kunden, in erster Linie das Recht des Nutzers, eine Sache zum Gebrauch zu nutzen und dasjenige des Cloud-Anbieters, dem Kunden eine Sache zum Gebrauch zu überlassen und dafür einen Preis zu erhalten. Die in Art. 253 OR erwähnten Merkmale der Miete sind damit erfüllt. Liegt damit ein reines Mietverhältnis vor oder aufgrund weiterer Sachverhaltselemente ein Innominatkontrakt mit wesentlichen mietrechtlichen Komponenten? Wird physische Hardware durch einen Kunden dediziert genutzt und Dritten nicht zur Verfügung gestellt, so handelt es sich um ein Mietverhältnis i.S. von Art. 253ff. OR. Selbst wenn vereinzelt zusätzliche Dienstleistungen Vertragsbestandteil sind, so liegt grundsätzlich ein (reines) Mietverhältnis vor. Dies gilt insbesondere auch dann, wenn Sicherheitselemente wie Brandschutz, Zutrittskontrolle etc. wesentliche Vertragsbestandteile sind; Haupt- und Nebenleistung beziehen sich auf die Nutzung der Mietsache, des Servers, so dass sich aufgrund dessen keine andere Qualifikation ergibt. Denkbar wäre aber, dass aufgrund der Nebenleistungspflichten nicht mietvertragliche Komponenten mit einzubeziehen wären, die mietvertraglichen Komponenten überwiegen jedoch im Normalfall. Wichtig ist für die Praxis, insbesondere auch die Kündigungsfristen und -formalitäten zu regeln, um die relativ zwingende Kündigungsfrist von drei Tagen gemäss Art. 266f OR auszuschliessen resp. entsprechend längere Kündigungsfristen vorzusehen21. Die in Art. 266l OR vorgesehene Formvorschrift für Mietkündigungen (zwingende Schriftlichkeit der Kündigung des Mieters, zwingende schriftliche Kündigung mittels amtlichem Formular i.S. von Art. 266l Abs. 2 OR) ist einzuhalten, ansonsten die entsprechende Kündigung nichtig ist.22
2.1.2.
PaaS, SaaS oder XaaS Services ^
Die Qualifikation des Vertrages zwischen einem Cloud Anbieter und dem Kunden hängt von den einzelnen Dienstleistungskomponenten ab. Je weniger die Dienstleistungen des Cloud Anbieters in erster Linie die Nutzung von Hardware und damit einer beweglichen Sache im Sinne des ZGB23 beinhalten, desto geringer sind die Mietvertragskomponenten zu gewichten, da das Mietrecht auf den sachenrechtlichen Begriff einer Sache abstellt. Es handelt sich demzufolge spätestens ab dem Zeitpunkt, ab welchem Hardware mittels virtueller Server genutzt werden, um einen Innominatvertrag mit u.a. mietvertraglichem, aber auch auftragsrechtlichem sowie – je nach Dienstleistung – werkvertragsähnlichen Komponenten. Eine generelle, sprich abstrakte Qualifikation ist damit weder möglich noch sinnvoll. Der einzelne Vertrag ist in concreto zu qualifizieren.
3.1.
Services ^
3.1.1.
IaaS ^
Kernelement des IaaS-Vertrages ist die Beschreibung der Dienstleistung. Dazu gehören im IaaS-Bereich insbesondere folgende Punkte:
- die Beschreibung der Infrastruktur, wie dies im Bereich der Collocation oder des Housing bereits in der Vergangenheit der Fall war und ist;
- die Regelung sämtlicher relevanter Fragen der physischen und virtuellen
(Daten-)Sicherheit (Zutritt zur physischen Infrastruktur, Brandschutz, Internet-Anbindungen, USV, Business Continuity Management/BCM, Zugriff auf die physische und virtuelle Infrastruktur etc.); - Verfügbarkeiten und Service Levels mit Konventionalstrafen etc.;
- evtl. Life Cycle Management der Hardware, soweit keine reine Speicherkapazität bezogen wird;
- Lizenzen und Nutzungsrechte;
- Compliance-Themen wie Datenschutz und Auditrechte etc.
- Back-up-Szenarien.
3.1.2.
SaaS und XaaS ^
Werden vom Kunden Dienstleistungen im Bereich SaaS und XaaS bezogen, so sind die damit im Zusammenhang stehenden Software-/ Content-Dienstleistungen oder generelle Dienstleistungen zu beschreiben. Folgende Punkte sind dabei insbesondere zu definieren:
- Beschreibung der zur Verfügung gestellten Software (Nutzungsrechte / -einschränkungen wie beispielsweise ein territorial oder im Umfang beschränktes Nutzungsrecht)
- Nutzungsmodell (per User, per Click, Flatrate etc.)
- Ausstiegsszenarien und Datenmigrationen (Schnittstellen etc..), Wechsel von Cloud Anbieter.
3.2.
Finanzielle Regelungen ^
Seitens des Cloud Anbieters besteht zudem die Herausforderung, die Prozesse intern so abzubilden, dass allfällige Zahlungsausstände oder Beanstandungen kundenseitig bei erfolgter Bezahlung via Kreditkarte erfolgreich vor Gericht geltend gemacht werden können.24 Elektronische Bestellungen oder Rechnungen genügen diesen Anforderungen meist nicht, weitere Beweise zur Dienstleistungserbringung sind meist nötig, so dass die internen Prozessanforderungen (im juristischen wie auch im organisatorischen Sinn) genau geprüft und entsprechend implementiert werden müssen.
Parallel zu den flexiblen Preismodellen muss jedoch beidseitig – seitens des Cloud Anbieters wie auch seitens des Kunden – ein detailliertes Controlling geführt und vertraglich verankert werden, um die (Preis-)Entwicklungen zu verfolgen, zu nutzen und anzupassen – im Bedarfsfall auch zusammen abzugleichen und Differenzen zu lösen. Regelungen für Differenzen in den Anzahl Abonnementen, Kapazitäten etc. sind deshalb vertraglich zu fixieren, insbesondere bei höheren Nutzer- und Kapazitätszahlen, da dort die Fehlerquoten steigen.
Im Gegensatz zu klassischen Outsourcing-Modellen bestehen grundsätzlich keine Verantwortlichkeiten gegenüber den Lizenzgebern bezüglich Unterlizenzierung, da der Cloud Anbieter dem Kunden sämtliche Ressourcen bedarfsgerecht zur Verfügung stellt, so dass die finanziellen Risiken bezüglich der Nutzung gegenüber Dritten/Lizenzgebern gering(er) sind. Sind jedoch Auditrechte des Lizenzgebers vertraglich ausbedungen worden – z.B. weil letzter gleichzeitig als Cloud Anbieter auftritt (vgl. Microsoft 365 – Online-Abonnement-Vertrag25), so wird ein Teil des Risikos auf den Kunden zurückübertragen. Das Controlling ist in solchen Fällen zu verstärken.
3.3.
Technische Spezifikationen ^
In technischer Hinsicht stehen bei cloud Computing in erster Linie die Dienstleistungen und nicht die technischen Lösungen im Vordergrund. Damit sind einmal mehr in technischer Hinsicht folgende Punkte vertraglich zu fixieren:
- Standardisierte Schnittstellen;
- Verfügbarkeiten – Service Level Agreement ;
- Software-Versionen im Zusammenhang mit PaaS;
- Datenmigrationen – Schnittstellen, Datenformate, Datensicherheit etc.
- Zugriffsmanagement;
- Zertifizierungen.
3.4.
Compliance ^
Cloud Computing umfasst insbesondere im Bereich IaaS die bekannten klassischen Outsourcing-Dienstleistungen und beinhaltet damit auch bereits bekannte Compliance-Themen. Mit diversen Neuangeboten und Erweiterungen werden die bekannten Muster aber gesprengt resp. ausgedehnt: Wurden bisher umfassende Verträge bezüglich Dienstleistungspaketen vereinbart, so waren Partner, Mitarbeiter, Standorte, Leistungen gut bekannt. Mit Cloud Computing zeichnet sich auch im Business-Bereich jedoch der Trend zu weniger engen Beziehungen, zu anonymeren Dienstleistungen und zu mehr Flexibilität ab. Unternehmen verlagern unternehmenskritische Daten oder Prozesse in die Cloud: Email- oder Office-Dienste werden aus der Cloud bezogen (z.B. Gmail oder Microsoft 365). Damit gewinnen Corporate Governance und damit Compliance-Themen erheblich an Bedeutung. Es ist deshalb klar zu regeln, wie die Prozesse und die Abgrenzungen im Zusammenhang mit dem Zugriff auf Daten, deren Sicherheit, Rapportierungsfragen etc. aussehen müssen. Waren bisher im klassischen Outsourcing die Partner meist bekannt oder auf Anfrage bekannt zu geben, so ist dies im Cloud Computing im Rahmen von Public Clouds meist nicht der Fall: Es existiert zwar eine Vertragsbeziehung mit einem Cloud Anbieter, dieser betreibt und bezieht Dienstleistungen jedoch selbst von Dritten, nutzt verschiedene (nationale und internationale) Standorte etc., ohne dass der Kunde diesbezüglich Einblick hat.
Soweit Kunden Compliance-Vorschriften unterliegen (nationale und internationale börsenrechtliche Vorschriften, Records Management / Verpflichtungen im Zusammenhang mit Buchführungsvorschriften / Geschäftsbücherverordnung / GeBüV, SR 221.431), müssen diese Compliance-Verpflichtungen mit dem Cloud Anbieter geregelt werden. Dies gilt auch für die Einhaltung von Datenschutzvorschriften (s. dazu Ziff. II.2.d).
Eine solche Regelung hat insbesondere auch Fragen der Datenaufbewahrung zu regeln: Grundsätzlich haben Unternehmen, welche den schweizerischen Buchführungsvorschriften unterliegen, die Geschäftsbücher 10 Jahre aufzubewahren und zu archivieren (Art. 958ff OR). Nutzt ein Unternehmen Cloud Services z.B. in der Form von Datenspeicher eines Cloud Anbieters, so hat er sicherzustellen, dass diese Daten i.S. der GeBüV aufbewahrt werden, sei es während des laufenden Rechnungsjahrs, sei es zu Archivierungszwecken i. S. von Art. 6 GeBüV. Der vertraglichen Zusicherung des Cloud-Anbieters müssen entsprechende Audit-Rechte zur Prüfung virtuell und vor Ort zugesichert werden. Diese haben nicht nur die Datenaufbewahrung an und für sich, sondern auch die damit verbundenen Prozesse zu beinhalten.
Offen und heute im Normalfall nicht geregelt sind Fragen im Zusammenhang mit dem Bundesgesetz über die Überwachung des Post- und Fernmeldeverkehrs (BÜPF/ SR 780.1): Ausgehend von der anstehenden Revision des BÜPF, bei welcher die Cloud Anbieter in Zukunft dem BÜPF ebenfalls unterstellt werden (vgl. Art. 2 des Entwurfs der BÜPF/ EBÜPF)26, stellen sich neue Herausforderungen. Vorab stellen diese Regelungen im Bollwerk der angepriesenen Schweizer Sicherheit und der angeblich fehlenden Zugriffsmöglichkeiten inländischer und ausländischer Behörden auf die Infrastrukturen von Cloud Anbietern «Schwachstellen» dar, die u.U. im Verlaufe der Zeit noch erweitert werden (vgl. hängiges Vernehmlassungsverfahren über das Bundesgesetz über den zivilen Nachrichtendienst vom 8. März 2013)27. Zudem können solche Überwachungsmassnahmen Dritte tangieren, z.B. im Rahmen einer Beschlagnahmung eines physischen (aber virtualisierten) Servers, was bei gemeinsam genutzter Infrastruktur zu vermehrter Überwachung, technischen Problemen etc. führen kann. Das juristische und vertragliche Risiko kann nicht auf den Cloud Anbieter abgewälzt werden, da letzterer keine Abwehrmöglichkeiten gegen solche Eingriffe in seine Infrastruktur und Dienstleistungen hat und ergo einer Duldungspflicht unterworfen ist (vgl. Art. 2 BÜPF).
3.5.
Datenschutz, Datensicherheit und Datenintegrität ^
Der in der Schweiz tätige Cloud Anbieter ist grundsätzlich dem Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG / SR 235.1), der dazugehörigen Datenschutzverordnung etc. unterstellt. Damit besteht bei inländischen Verhältnissen die Verpflichtung zur Einhaltung der besagten gesetzlichen Vorschriften im Zusammenhang mit der Bearbeitung von Personendaten gemäss DSG. Im Rahmen der Zusammenarbeit zwischen Cloud Anbieter und Kunde sind deshalb folgende Punkte zusätzlich zu regeln:
- Zusicherung der Gewährleistung der Einhaltung von Datenschutzvorschriften;
- Gewährleistung der Datenintegrität, Datensicherheit etc.;
- Implementierung hoher Sicherheitsstandards (Verschlüsselung, Zugriffsmanagement, Überwachungen, Telekommunikationsanbindungen etc.);
- Back-up-Szenarien;
- Sicherstellung der Daten im Back-up;
- Auditrechte zur Überprüfung der Einhaltung von Datenschutzvorschriften;
- Korrekte und notwendige Beschriftung zur Identifikation von dedizierter (im Eigentum des Kunden stehende) IT-Infrastruktur für den Konkursfall (sofern der Kunde nicht explizit etwas anderes wünscht);
- Abschluss von Versicherungslösungen für Datenbestände/-integrität;
- Implementierung von regelmässigen Prüfungen der Datensicherheit und -integrität.
Sind grenzüberschreitende Sachverhalte gegeben, so sind zusätzliche die in Art. 6 DSG vorgeschriebenen Bedingungen einzuhalten, welche der Eidgenössische Datenschutzbeauftragte in seinen Erläuterungen zur Übermittlung von Personendaten ins Ausland vom 6. April 2011 präzisiert hat.28 Die dort ebenfalls aufgeführten Musterverträge und Erläuterungen insbesondere bei Datenübertragungen ausserhalb der EU sind im Einzelnen beizuziehen und die Fragestellungen detailliert zu prüfen.29
3.6.
Immaterialgüterrechte insbesondere Urheberrechte und Lizenzfragen ^
Mit dem Gang in die Cloud gibt der Kunde — das Unternehmen — einen Teil seiner Verfügungsgewalt über die Software, Prozesse und darunter liegende Hardware ab, die im Rahmen von Cloud Services im Verantwortungsbereich des Cloud Anbieters liegen. Kauft ein Unternehmen heute Softwarelizenzen ein, so erfolgt die Installation intern, ebenfalls so die Pflege, Problembehebung (sicher First und Second Level), das Lizenzen Management etc. Der Kunde hat Zugriff auf die von ihm gekaufte Software – sie ist bei ihm installiert, ist verfüg- und zugreifbar. Bereits im Rahmen eines Outsourcing werden diese Prozesse nicht mehr vom Kunden betreut, wohl aber die Prozesse, Zyklen etc. abgesprochen und definiert und die Software häufig vom Kunden eingekauft und lizenziert. Die Installation erfolgt meist nach wie vor beim Kunden.
Im Rahmen des Cloud Computing werden die Rollen jedoch angepasst und die Verantwortlichkeiten, wie unter Ziff. 3.2 dargelegt, dem Cloud Anbieter übergeben resp. in dessen Namen ohne weiteres wahrgenommen. Dem Kunden werden deshalb im Rahmen des Cloud Vertrages, sei es bei Bezug von IaaS Leistungen, sei es bei SaaS oder XaaS Leistungen, entsprechende Lizenzrechte zur Nutzung der besagten Software gewährt. Updates oder Upgrades, Release Management etc. obliegt jedoch dem Cloud Anbieter, da der Kunde weder mit den entsprechenden Softwarelieferanten Lizenz- und Wartungsverträge hat, noch über die notwendigen Zugriffsrechte verfügt, um solche Arbeiten ausführen zu können.
Dem Kunden bleibt somit das im Vertrag zwischen Cloud Anbieter und Kunde beschriebene Nutzungsrecht, die entsprechende Lizenz. Dem Kunden stehen, soweit er Lizenzrechte an Software hat, die in Art. 21 URG (Entschlüsselung von Software für den Erhalt von Schnittstelleninformationen) resp. Art. 24 URG (Recht zur Erstellung einer Sicherungskopie) festgesetzten Urheberrechte zu. Voraussetzung dafür ist, dass der Kunde/Nutzer überhaupt eine Sicherungskopie anfertigen kann (was in der Regel kaum mehr der Fall sein wird). Eine Geltendmachung von Ansprüchen aus Art. 21 resp. Art. 24 URG ist zwar möglich, in praktischer Hinsicht wohl eher eine Seltenheit, die zeitliche und finanzielle Komponente diesbezüglich betrachtend. Im Übrigen beschränkt sich das Urheberrecht des Kunden auf das vertraglich beschriebene Nutzungsrecht; dem Kunden stehen keine weiteren Rechte, kein elektronisches oder physisches Lizenzmaterial (CD, Source Code etc.) zu. Gleichzeitig entfällt für den Kunden auch jegliche Pflicht zur Wartung, Implementierung neuer Software Versionen, Bug Fixing etc.30 Es werden damit erhebliche IT-Ressourcen frei.
Vor dem Gesagten stehen in vertraglicher Hinsicht die Definition des Lizenz- und des damit zusammenhängenden Preismodells im Vordergrund. Die bisher im Verantwortungsbereich des Kunden gelegenen Lizenz- und Supportfragen müssen vollumfänglich und state of the art vom Cloud Anbieter übernommen werden. Er hat sich vertraglich zur Installation resp. zum Zurverfügungstellen der jeweils neusten Version zu verpflichten und Fehler zu beheben etc. Bezüglich der Reaktionszeiten sowie der technischen Fragen kann auf Ziff. 3.3 oben verwiesen werden.
3.7.
Haftung & Geheimhaltung ^
3.8.
Rechtswahl und Vertragsdauer ^
4.
Fazit ^
RA lic.iur. Carmen De la Cruz ist Rechtsanwältin, Notarin und eidg. Dipl. Wirtschaftsinformatikerin und Partnerin von de la cruz beranek Rechtsanwälte AG in Zug.
- 1 Vgl. dazu Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Erläuterungen zu Cloud Computing vom 20. Februar 2012, abrufbar unter: <http://www.edoeb.admin.ch/datenschutz/00683/00877/index.html> (eingesehen am 06. Mai 2013).
- 2 Dito.
- 3 Marko Roland, Vertragsrechtliche Aspekte des Cloud Computing, in: Blaha Ralf/Marko Roland/Zellhofer Andreas/Liebel Helmut (Hrsg.), Rechtsfragen des Cloud Computing, Vertragsrecht – Datenschutz – Risiken und Haftung, Wien 2011, S. 21.
- 4 National Institute of Standards and Technology (NIST), U.S. Departement of Commerce, Guidelines on Security and Privacy in Public Cloud Computing vom Dezember 2011, abrufbar unter: <http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf> (eingesehen am 06. Mai 2013), S. 3.
- 5 Vgl. Weber Mathias/Münzl Gerald/Przywara Bernhard, Cloud Computing – Evolution in der Technik, Revolution im Business, BITKOM-Leitfaden, im Auftrag des BITKOM (Hrsg.), vom Oktober 2009, Berlin-Mitte, abrufbar unter: <http://www.bitkom.org/files/documents/BITKOM-Leitfaden-CloudComputing_Web.pdf> (eingesehen am: 06. Mai 2013), S. 30.
- 6 Heck Uwe/Müller Willy, Vorstudie zu Cloud Computing in Schweizer Behörden, im Auftrag des ISB, vom 21. Oktober 2010, abrufbar unter: <http://www.isb.admin.ch/themen/architektur/00183/01368/01372/index.html?lang=de&download=NHzLpZeg7t,lnp6I0NTU042l2Z6ln1acy4Zn4Z2qZpnO2Yuq2Z6gpJCE eHt3gGym162epYbg2c_JjKbNoKSn6A--&t=.pdf> (eingesehen am 06. Mai 2013), S. 11; Meir-Huber Mario, Cloud Computing, Praxisratgeber und Einstiegsstrategien, Frankfurt am Main 2010, S. 40.
- 7 Marko, a.a.o., S. 21; m.w.H. Deussen Peter H./Strick Linda/Peters Johannes, Cloud Computing für die öffentliche Verwaltung, ISPRAT-Studie, im Auftrag des FOKUS (Hrsg.), vom November 2010, Berlin 2010, abrufbar unter: <http://www.fokus.fraunhofer.de/de/elan/_docs/_studien_broschueren/isprat_cloud_studie _20110106.pdf> (eingesehen am 06. Mai 2013), S. 20 f., welche die Private Cloud noch in interne, verwaltete oder externe Cloud unterteilen, je nachdem wie stark externe Anbieter involviert sind.
- 8 Vgl. Meir-Huber, a.a.o., S. 41.
- 9 Cloud-Angebote für eine bestimmte, geschlossene Nutzergruppe wie beispielsweise Banken, die Pharmaindustrie oder den Staat (vgl. Ankündigung von IBM zur Schaffung einer «Federal Community for Government Organizations», abrufbar unter: <http://www-03.ibm.com/press/us/en/pressrelease/32911.wss> (eingesehen am 05.05.2013).
- 10 NIST, a.a.o. Guidelines, S. 3; m.w.H: Meir-Huber, a.a.o., S. 41; Weber/Münzl/Przywara, a.a.o., S. 30 f.; Heck/Müller, a.a.o., S. 11 f.
- 11 Deussen/Strick/Peters, a.a.o., S. 18; Hoffmann Rauno, Cloud Computing, in: ST 6-7/12, S. 465; m.w.H. Marchini Renzo, Cloud Computing: A Practical Introduction to the Legal Issues, London 2010, S. 5; Meir-Huber, a.a.o., S. 42 ff;
- 12 Weber/Münzl/Przywara, a.a.o., S. 25; Heck/Müller, a.a.o., S. 9 f.
- 13 EDÖB, a.a.o., S.1; m.w.H. National Institute of Standards and Technology (NIST), U.S. Departement of Commerce, The NIST Definition of Cloud Computing, Recommendations of the National Institute of Standards and Technology vom September 2011, abrufbar unter: <http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf> (eingesehen am: 06. Mai 2013), S. 3.
- 14 NIST, a.a.o. Guidelines, S. 5.
- 15 Marko, a.a.o., S. 20; Metzger Christian/Reitz Thorsten/Villar Juan, Cloud Computing, Chancen und Risiken aus technischer und unternehmerischer Sicht, München 2011, S. 21 f.
- 16 Meir-Huber, a.a.o., S. 47.
- 17 Deussen/Strick/Peters, a.a.o., S. 17.
- 18 Vgl. Weber/Münzl/Przywara, a.a.o., S. 25.
- 19 Deussen/Strick/Peters, a.a.o., S. 17.
- 20 M.w.H. zu PaaS-Produkten bspw. Metzger/Reitz/Villar, a.a.o., S. 97 ff.
- 21 BKS, OR I, Weber Roger, Art. 266g OR, N 1ff.
- 22 BSK, OR I, Weber Roger, Art. 266 l OR, N 5ff.
- 23 Zur Definition des Begriffs der beweglichen Sache vgl. BKS, ZGB I, Wiegand Wolfgang, Vor Art. 641ff. N 5.
- 24 Da in den meisten Fällen kein schriftlicher Vertrag vorliegt oder aber immer wieder Änderungen der Preislisten und Bestellmengen vorgenommen werden, muss wohl davon ausgegangen werden, dass es sich im Normalfall nicht um eine Forderung mit inkludierter Schuldanerkennung i.S. von Art. 82 SchKG handelt, die einfacher vollstreckbar ist.
- 25 Vgl. Microsoft Online-Abonnement-Vertrag, Ziff. 8ff. abrufbar unter: <http://www.microsoft.com/online/mosa/MOSA2013Agr%28EMEA%29ExUKR%28GER%29% 28Mar2013%29%28HTML%29.htm> (eingesehen am 01. Mai 2013).
- 26 Abrufbar unter: <http://www.bj.admin.ch/content/dam/data/sicherheit/gesetzgebung/fernmeldeueberwachung/entw-d.pdf> (eingesehen am 06. Mai 2013).
- 27 Abrufbar unter: <http://www.admin.ch/ch/d/gg/pc/documents/2072/NDG_Entwurf_de.pdf> (eingesehen am 06. Mai 2013).
- 28 Abrufbar unter: <http://www.edoeb.admin.ch/datenschutz/00626/00753/index.html> (eingesehen am 06. Mai 2013).
- 29 S. dazu die verschiedenen Empfehlungen und Listen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten abrufbar unter: <http://www.edoeb.admin.ch/datenschutz/00626/00753/index.html> (eingesehen am 06. Mai 2013) sowie zur Fragen des grenzüberschreitenden Datenverkehrs auch Belser Eva Maria/ Epiney Astrid/Waldmann Bernhard, Datenschutzrecht, Bern 2011.
- 30 Vgl. dazu FN 22 und die dortigen Verweise.