Cloud bleibt rechtliche Grauzone: Anwaltsstudie identifiziert große Lücken in den Verträgen von Microsoft, IBM und Co.

VonWolfgang Miedl Office 365

SkydriveBereits kurz nach der Einführung von Office 365 flammte eine Debatte über die rechtlichen Risiken beim geschäftlichen Einsatz internationaler Cloud-Dienste auf. Dabei warf Microsofts Markteintritt ein plötzliches Licht auf bereits länger existierende Problematiken. Obwohl sich in der Zwischenzeit vor allem die Redmonder intensiv um Konformität mit deutschem und EU-Recht bemühten, liegt nach wie vor einiges im Argen mit der Cloud, wie eine neue Studie der internationalen Anwaltskanzlei Bird & Bird herausfand. Ein Vergleich der Verträge von Amazon, HP, IBM, Microsoft, SAP und Salesforce deckt enorme Lücken bei der Erfüllung deutscher Rechtsnormen und damit Risiken für Kunden auf.

Als der Deutsche Anwaltverein vor eineinhalb Jahren feststellte, dass “Cloud Computing mit nicht-EU-Anbietern nicht möglich” sei, war die Branche verständlicherweise in heller Aufruhr. Setzten doch inzwischen ausnahmslos alle IT-Anbieter auf Services aus der Wolke. Dass entgegen der regelmäßigen Beteuerungen der Anbieter nach wie vor viele rechtlichen Unklarheiten bestehen, zeigt die nun vorliegende juristische Erörterung.

Die Bird & Bird-Studie “Cloud computing for the German market – A rough line legal comparison” stellt zunächst einmal fest, dass die meisten Anbieter ausländische Rechtsbegriffe verwenden und damit die stringente Rechtsprechung deutscher Gerichte zum Thema Geschäftsbedingungen ignorieren. Damit nehmen sie bewusst eine geringe Akzeptanz im B-to-B-Kundenumfeld in Kauf. Und selbst die Anbieter, die die Besonderheiten des deutschen Rechts berücksichtigen, führen in ihren Geschäftsbedingungen vielfältige undurchführbare Bestimmungen auf.

Bird & Bird hat dabei folgende Cloud Standard Agreements verglichen:

  • Amazon Web Services: „AWS Customer Agreement“ vom 15.03.2012, geregelt durch Gesetze des US-Staates Washington, sowie die „AWS Service Terms“, Stand vom 26.09.2012
  • HP: „Customer Agreement for HP Cloud Services”, Stand vom 03.07.2012, geregelt durch Gesetze des US-Staates New York
  • IBM: „Smart Cloud Vereinbarung“ vom 31.08.2012, geregelt durch deutsches Recht
  • Microsoft: Online-Abonnement-Vertrag und Nutzungsrechte für Onlinedienste vom Oktober 2012, geregelt durch irisches Recht
  • Oracle: „RightNow Master Cloud Services Agreement“ vom 13.04.2012, geregelt durch deutsches Recht
  • Salesforce: „Rahmen-Abonnementvertrag“ vom 15.09.2009, geregelt durch deutsche Recht
  • SAP: „General Terms and Conditions for SAP Cloud Services“ vom August 2012, aktualisiert im Januar 2013, geregelt durch deutsches Recht´

Software-Lizenzbestimmungen trotz Cloud-Serivces

Als erstes Thema nehmen sich die Autoren die Rechtskonformität der vorliegenden Lizenzbestimmungen vor. Interessant ist zunächst einmal der Umstand, dass alle Vereinbarungen gewisse Formen von Lizenzbestimmungen wie bei herkömmlicher Software enthalten. Und das, obwohl ein Nutzer von IaaS, PaaS und SaaS eigentlich keine Software in klassischer Form kopiert. In manchen Fällen enthält die Lizenzbestimmung weitere Einschränkungen in Richtung CPU-Klasse oder User-Anzahl. Oft ist auch explizit oder implizit von Software-Mietmodellen anstelle von Services die Rede.Bird & Bird-Studie Cloud-Verträge - Thema Lizensierung

Probleme beim Datenschutz

Überraschenderweise schreiben nicht alle Verträge “Vereinbarungen zur Auftragsdatenverarbeitung” vor, obwohl das bei der Verarbeitung von personenbezogenen Daten nach deutschem Recht unverzichtbar ist.

Weitere Datenschutzprobleme entstehen, wenn die Daten in Rechenzentren außerhalb der EU bereitgestellt werden, wie das manche Anbieter praktizieren. Hierbei wären saubere Vertragsvereinbarungen erforderlich, um die Konformität mit den EU Model Clauses oder der Safe Harbor-Regelung zu gewährleisten.

Als problematisch betrachten die Autoren auch das mögliche Transferieren von sensiblen Daten etwa im Gesundheitssektor. Die Vereinbarungen der Anbieter sind diesbezüglich sehr allgemein gehalten. Des Weiteren bemängeln die Anwälte in diesem Zusammenhang, dass die Nutzer kaum erfahren, wo ihre Daten gespeichert werden. Bird & Bird-Studie Cloud-Verträge - Thema Datenschutz

Fazit: Großer Nachholbedarf

Das Fazit der Studie lautet, dass:

  • Lizenzbedingungen teilweise nicht sehr ausführlich sind
  • Haftungs- und Gewährleistungsbestimmungen überwiegend inkompatibel mit AGB-Rechtsnormen sind
  • Konformität mit deutschen AGB-Normen eine Herausforderung für die Geschäftsmodelle darstellt
  • Datenschutz-Dokumentationen dürftig sind
  • Bedingungen zur Vertragsbeendigung dürftig bis problematisch für die Anwender sind

Bird & Bird-Studie Cloud-Verträge - Thema Vertragsbeendigung

Bird & Bird-Studie Cloud-Verträge - Thema Haftung

Bird & Bird-Studie Cloud-Verträge - Thema RechtssicherheitBird & Bird-Studie Cloud-Verträge - Thema SupportDownload:

Die insgesamt zwölfseitige Studie “Cloud computing for the German market – A rough line legal comparison” in englisch ist als kostenloses PDF auf der Bird & Bird-Website erhältlich.

wm@sharepoin
Latest posts by Wolfgang Miedl (see all)

Verwandte Beiträge:

  1. Deutscher Anwaltverein stellt klar: "Cloud-Computing mit Nicht-EU-Anbietern rechtlich derzeit NICHT möglich."
  2. Microsoft ganz offen: "Wir können Ihre Office-365-Daten weitergeben - auch ohne Ihre Zustimmung"
  3. Microsoft bringt Datenschutz in die Cloud: Office 365 erhält neue EU-konforme Verträge
  4. Kommentar: Microsofts Deutschland Cloud–kostspielig, beschränkt und nicht notwendig?