Datenschutzgesetz und Co

Die CIO-Agenda 2010 aus juristischer Sicht

20.01.2010
Von  und
Dr. Jan Geert Meents ist Managing Partner bei der Wirtschaftskanzlei DLA Piper.
Dr. Thomas Jansen ist IT-Anwalt und Partner bei der Wirtschafskanzlei DLA Piper in München.

Cloud Computing: Vertragsrisiken beherrschen

Ganz allgemein bergen Anwendungen aus der Cloud rechtliche Risiken, weil es hierfür noch keine allgemeinen Leistungsstandards gibt. Entscheidend ist deshalb, dass der Vertrag eine sorgfältige Beschreibung einer geschuldeten Leistung enthält.

Die Unternehmen sollten besonderes Augenmerk auf kritische Geschäftsprozesse legen, die in die Cloud verlagert werden sollen. Denn je kritischer diese Prozesse sind, desto höher ist die Abhängigkeit vom Anbieter. Einige wichtige Punkte, die bei der Vertragsgestaltung beachtet werden sollten, sind:

  • Maßnahmen zum Business-Continuity-Management,

  • Eskalations-Management,

  • Vergütungskriterien oder auch

  • Regelungen über Teilleistungen und deren Kündigung.

IT-Compliance in der Cloud installieren

Wer im kommenden Jahr seine IT-Dienste in die Wolke verlagern möchte, muss eines wissen: Diese Verlagerung gibt die tatsächliche Verantwortung an den Cloud-Betreiber weiter; die gesetzliche Verantwortung (Organisationspflicht), bleibt jedoch bei der Unternehmensführung (Paragraf 91 II, 93 AktG, Paragraf 43 GmbHG). Konventionelle Vereinbarungen, etwa Auditrechte zur Prüfung der Zutritts-, Zugangs- und Zugriffskontrolle, laufen bei einer Cloud-Struktur ins Leere.

Deshalb müssen Maßnahmen der IT-Compliance vertraglich auf den Cloud-Anbieter übertragen werden. Dazu zählen:

  • die Pflicht zur Geheimhaltung,

  • die Implementierung verbindlicher Sicherheitskonzepte,

  • die Einhalten von IT-Notfallkonzepten und

  • Pflichten im Reporting.

Aktuelle Kommentare zum Thema IT-Recht finden Sie auch im IT-Blog "Technology & Sourcing".