- Anzeige -


Gestaltung von Cloud Computing-Verträgen


Erfahrungen aus Outsourcing-Verträgen und ASP-Verträgen auf Cloud Computing übertragen: Sieben Tipps und Tricks
Von Outsourcing- und ASP-Projekten abschauen, wie sich Cloud-Computing-Verträge vorteilhaft gestalten lassen

(09.07.12) - Viele Unternehmen fürchten, mit Cloud Computing juristische Risiken einzugehen – etwa beim Datenschutz. Deshalb hat die auf Outsourcing und Prozessoptimierung spezialisierte Unternehmensberatung microfin jetzt ihre Beratungserfahrungen in Form einer Checkliste zusammengefasst. "Cloud Computing hat in der IT-Welt eine leidenschaftliche Debatte ausgelöst – auch bei den Juristen. Viele warnen vor den Risiken bei Vertragsabschluss. Doch wer unsere 'Tipps und Tricks' beachtet, ist auf der sicheren Seite", erklärt Stefan Wendt, Senior Expert und Jurist bei microfin Unternehmensberatung.

Wendt empfiehlt, aus den Erfahrungen bei der Gestaltung von IT-Outsourcing- und ASP-Verträgen zu lernen: "Die vertragsrechtlichen Fallstricke beim Cloud Computing sind keineswegs neu; die juristischen Fragestellungen sind im Grunde dieselben wie bei den etablierten Angeboten zum Auslagern von IT-Services", so der microfin-Experte.

Wendt ist davon überzeugt, dass auch bei Cloud-Computing-Verträgen die Allgemeinen Geschäftsbedingungen angewandt werden, sobald das Rechnen in der Wolke zum Massengeschäft geworden ist. Doch bis es soweit ist, sollten sich die Auftraggeber von Outsourcing- und ASP-Projekten abschauen, wie sich Cloud-Computing-Verträge vorteilhaft gestalten lassen.

Im Einzelnen empfiehlt der microfin-Berater:

  • 1. Leistungsbeschreibung: Achten Sie auf eine differenzierte und vollständige Leistungsbeschreibung, die einen bedarfsgerechten Bezug der Leistungen aus der Cloud sicher stellt. Das heißt: Treffen Sie klare Vereinbarungen über Zugangszeiten und Datenvolumina und zahlen Sie nur für tatsächlich genutzte Kapazitäten. Nur so lassen sich künftige Diskussionen um Regelungslücken vermeiden.
  • 2. Service Level: Vereinbaren Sie für die Verfügbarkeit eindeutige Service Level und regeln Sie, in welchen Fällen Unterbrechungen, etwa bei Wartungen, zulässig sind.
  • 3. Datenschutz: Die Kunden bleiben in letzter Konsequenz für die Authentizität, Integrität, Verfügbarkeit und Vertraulichkeit der Daten verantwortlich. Lassen Sie sich deshalb einen ausreichenden Datenschutz vom Provider zusichern. Wir empfehlen, im Zweifelsfall nach Sicherheitszertifikaten zu fragen und diese als vertragliche Bestandteile aufzunehmen.
  • 4. Transparenz: Mitunter wird den Kunden verschleiert, wo und von wem ihre Daten tatsächlich verarbeitet werden. Deshalb sollten Sie im Detail festlegen, ob und unter welchen Bedingungen Drittprovider zum Zuge kommen. In jedem Fall sollte der Kunde eine Weisungsbefugnis in den Vertrag aufnehmen.
  • 5. Gesetzliche Standards: Vorsicht bei vorgesehenen Datentransfers über die EU-Landesgrenzen hinweg. Der Vertrag muss dann deutlich regeln, ob und welche mit dem EU-Datenschutzniveau vergleichbare gesetzliche Standards gelten, und sollte alle Phasen der Datenverarbeitung beschreiben.
  • 6. Gerichtsstand: Werden Services im Ausland erbracht, achten Sie bei Vertragsschluss, welche Rechtsordnung gelten und welcher Gerichtsstand vereinbart werden soll. Wer den Dienstleister verklagen will, sollte dies schon aus Kostengründen in Deutschland tun können.
  • 7. Eskalationsstufen: Stützen die Cloud-Services kritische Unternehmensbereiche, gehört in den Vertrag zwingend eine Vereinbarung für Eskalationen und Notfälle.

"Aus juristischer Sicht gibt es keinen Grund, vor Cloud Computing zurückzuschrecken – sofern die Auftraggeber unsere Empfehlungen etwa zum Datenschutz und zur Leistungsbeschreibung berücksichtigen. Sie profitieren damit von unserer langjährigen Beratungserfahrung aus Outsourcing-, ASP- und Cloud-Computing-Projekten", sagt microfin-Consultant Stefan Wendt.

Die Legal-Experten von microfin unterstützen Unternehmen, ihre IT-Vertragsrisiken zu steuern. Zugleich helfen sie, vereinbarte Qualitäten zu sichern, Kostensenkungs- und Laufzeitpotenziale zu erkennen und Abhängigkeiten so gering wie möglich zu halten. Als wirksame Ergänzung zum bestehenden Risikomanagement werden prominente Risikotreiber und -indikatoren im Vertragswesen identifiziert und Risikokategorien definiert.

Dies sichern ein Fachkonzept und Prozesse zur Risikoerkennung und -steuerung, die sich in das bestehende Risikomanagement integrieren lassen. Die Auswahl einer entsprechenden Tool-Unterstützung sowie das Customizing vorhandener Risikosysteme vervollständigt das von microfin empfohlene Maßnahmenpaket. (microfin Unternehmensberatung: ra)

microfin Unternehmensberatung: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Hintergrund

  • Wie sicher ist die (Public) Cloud?

    Laut einer Bitkom-Studie zum Thema Cloud Computing nutzten im Jahr 2018 73 Prozent der deutschen Unternehmen Rechenleistungen aus der Cloud; im Jahr 2017 waren es 66 Prozent. Zudem scheint die Public Cloud aufgrund hoher Skalierbarkeit immer beliebter zu werden -allerdings nicht ohne Sicherheitsbedenken. Generell sind für die deutschen Unternehmen IT-Sicherheit und Datenschutz die Hauptkriterien bei der Anbieterwahl. Eine Kaspersky-Studie zum Thema Clouds und Sicherheit aus dem Mai 2019 bestätigt Sicherheitsbedenken beim Einsatz von Clouds. So haben mindestens ein Drittel der von Kaspersky weltweit Befragten (35 Prozent bei KMU und 39 Prozent im Enterprise-Bereich) Angst vor möglichen Störfällen innerhalb einer - von einem Drittanbieter gehosteten - Infrastruktur. Unter den befürchteten Risiken: Umsatzeinbußen und Reputationsverlust.

  • Angriffe auf MSPs nehmen zu

    Die Forscher und das Emergency Response Team (ERT) von Radware berichten von einem wachsenden Trend zu Cyberangriffen auf Managed Service Provider (MSPs). Während diese Branche typischerweise mit Hilfe von Advanced Persistent Threats (APTs) attackiert wird, deuten mehrere Ereignisse in den letzten Monaten darauf hin, dass auch technisch weniger versierte Gruppen versuchen, MSPs anzugreifen, um die Beziehung zwischen MSPs und ihren Kunden zu nutzen. MSPs bieten Fernverwaltungsdienste für die Infrastruktur ihrer Kunden, einschließlich der Möglichkeit, Updates oder Anwendungen zu installieren. Auf diese Fähigkeiten globaler MSPs haben es die Hacker laut Radware abgesehen mit dem Ziel, ihre Wirkung durch eine Trickle-Down-Strategie zu maximieren.

  • Das IoT wird immer komplexer

    Klassische RDBMS werden den wachsenden Anforderungen am Markt nicht mehr gerecht. Couchbase nennt die fünf Trends, die den Einsatz von Datenbanktechnologien wie NoSQL erforderlich machen. Unternehmen benötigen eine neue Art von Datenbank, um damit geschäftskritischen Anwendungen zu entwickeln und Services für die digitale Wirtschaft zu betreiben. Im Mittelpunkt stehen dabei Anforderungen wie kurze Antwortzeiten bei einer großen Zahl gleichzeitiger Benutzer, hohe Skalierbarkeit, Flexibilität, Verfügbarkeit sowie der Zugriff auf strukturierte, aber auch unstrukturierte Daten. Klassische RDBMS können diese Anforderungen nicht mehr erfüllen, daher setzen Unternehmen zunehmend auf NoSQL-Datenbanktechnologien, denen ein nicht-relationaler Ansatz zugrunde liegt. Datenbankpionier Couchbase zählt die fünf Trends auf, die zu den neuen Anforderungen geführt haben.

  • "aaS"-Akronyme ab sofort mit mehr Buchstaben

    Cloud-basierte Dienstleistungen haben Konjunktur. Gewöhnlich mit "aaS", also "as a Service" bezeichnet, reicht das normale lateinische Alphabet mit seinen 26 Buchstaben nicht mehr aus, um die vielen verschiedenen IT-Services sinnvoll zu benennen. Zudem wird die aaS-Begriffswelt branchenübergreifend populär. Die internationale Regulierungsbehörde für Cloud-Dienstleistungen, hat nun auf diesen Zustand reagiert und erlaubt ab sofort, "aaS"-Begriffe mit mehr als einem vorangestellte Buchstaben zu nutzen. Als erster Anbieter hat sich Avi Networks die Vermarktungsrechte für das Akronym BADaaS gesichert. BADaaS steht für Beyond Application Delivery as a Service.

  • Cloud Computing ist sicherer, als man denkt

    Cloud Computing ist weiter auf dem Vormarsch. Anfängliche Bedenken von hauptsächlich mittelständischen Unternehmen ihre Daten außer Haus zu geben, schwinden. Das Internet der Dinge wird noch einmal für Beschleunigung sorgen. Selbst Regierungen und Militärs setzen inzwischen auf Services und die Datenspeicherung in der Wolke. Damit bekommt das Thema Sicherheit noch einmal eine ganz neue Facette. Cloud Computing ist nicht gleich Cloud Computing. Während auf Unternehmensebene zumeist über die Unterscheidung zwischen Public und Private Cloud diskutiert wird, geht es auf der Ebene von Regierungen und Militärs um den Unterschied zwischen Single- und Multi-Cloud-Strategien. Eine Diskussion, die sich im privaten Umfeld längst erledigt hat. Hier dominiert die Multi-Cloud. Gerade seitens der Militärs wird allerdings sehr stark der Single-Cloud-Ansatz verfolgt, bei dem alle Services von einem einzigen Anbieter bezogen werden. Auf diese Weise versucht man die Zahl der Angriffsflächen für mögliche Cyber-Bedroher einzuschränken.

  • Auswirkungen auf das Datenmanagement

    Für Firmen wird es immer schwieriger, effizient und verantwortungsbewusst mit ihren Daten umzugehen: Viele haben schier den Überblick verloren. Das muss allerdings nicht sein: Mit DataOps hilft ein neuer Ansatz im Datenmanagement wieder Ordnung in die Datenbanken zu bringen. Laut einer aktuellen Studie des Forschungs- und Beratungsunternehmens 451 Research unter 150 Führungskräften, wachsen die Daten eines Großteils der befragten Firmen täglich beträchtlich: Bei 29 Prozent um 100 bis 500 Gigabyte (GB) pro Tag und bei 19 Prozent um 500 GB bis 1 Terabyte (TB). Immerhin noch 13 Prozent verzeichnen sogar eine Zunahme von 2 TB.

  • Lösung: ein Remote-Cloud-System

    Kaspersky Lab hat eine experimentelle Cloud-Infrastruktur für bionische Prothesen des russischen Hightech-Start-Ups Motorica aus Perspektive der IT-Security genauestens unter die Lupe genommen und mehrere bisher unbekannte Sicherheitsprobleme identifiziert. Unbefugte könnten so auf höchstsensible Patientendaten zugreifen und diese manipulieren, stehlen oder löschen. Die Ergebnisse der Untersuchung wurden dem Hersteller umgehend mitgeteilt.

  • Service Design & Transition - Aufbau von Services

    Mehr Klarheit im unübersichtlichen Feld von Service Management: Das versprechen die neuen Quadranten des ISG Provider Lens Reports. Die Marktbetrachtung bietet sauber aufgeteilte Unterkategorien und Herstellerbewertungen. Für Experten perfekt, aber für Laien ist es trotzdem nicht einfach, sich hier zurechtzufinden. Ein Kunde, der heute einfach nur seine IT in den Griff bekommen will, hat es nicht leicht. Er wird konfrontiert mit Kürzeln wie SIAM, ITSM und BPM. In jedem dieser Bereiche tummelt sich eine Reihe von Anbietern, die wiederum versuchen, einzelne Begriffe zu prägen. Für mehr Transparenz sind jetzt die Analysten gefragt - so wie die ISG Group mit ihrem Provider Lens Quadrant Report.

  • IT-Ressourcen aus der Cloud

    Das Thema Künstliche Intelligenz wird von immer mehr Menschen als eine wichtige Schlüsseltechnologie angesehen. Dies bestätigt eine Umfrage des ITK-Verbands Bitkom im Dezember 2018: Zwei Drittel der Befragten sehen den Wohlstand gefährdet, wenn Deutschland bei der Künstlichen Intelligenz nicht zu den führenden Nationen gehört. Eine Mehrheit von 62 Prozent sehen die KI zudem eher als eine Chance als eine Bedrohung. Für die Bundeskanzlerin Angela Merkel ist das Thema ebenfalls ganz oben auf der Agenda: Nach ihrer Meinung müsse Deutschland ein führender Standort für Künstliche Intelligenz werden.

  • Vorteile einer Hybrid-Multi-Cloud ausschöpfen

    2019 werden viele Unternehmen eine Cloud-First-Strategie verfolgen, um von mehr Flexibilität, Agilität und Kostenersparnis zu profitieren. Laut einer aktuellen Studie von Forrester Consulting haben bereits 86 Prozent der Unternehmen eine Multi-Cloud-Strategie. Aber ob sie nun die Services von verschiedenen Providern beziehen oder "nur" Private- und Public Cloud in einer Hybrid Cloud kombinieren mit einem - wie wir ihn nennen - Hybrid-Multi-Cloud-Ansatz, können sich Kunden für jeden Anwendungsfall die jeweils beste Lösung herauspicken. Wer mehrere Clouds gleichzeitig nutzt, steht aber auch vor neuen Herausforderungen in Bezug auf das Datenmanagement.