Über Ralph Günther

Als Gründer der exali GmbH verfüge ich über langjährige Erfahrung im Riskmanagement und der Versicherung von IT-Experten, Medienschaffenden und Consultants. Mehr

Zum Versicherungsportal

exali.de - Mein Business bestens versichert

RSS

RSS

Networking

Follow exali on Twitter  

Meta

Diese Seite wird überprüft von der Initiative-S

Meine Blogserie über die Haftungsrisiken von Cloud-Computing- und SaaS-Anbietern ist bei Euch, liebe Leser, auf reges Interesse gestoßen. Um das Thema von allen Seiten so breit wie möglich zu beleuchten, konnte ich den SaaS-Experten Werner Grohmann für einen zweitteiligen Gastkommentar in meinen Blog gewinnen. Er beschäftigt sich als Unternehmensberater seit mehr als zehn Jahren mit dem Thema alternative Formen der Softwarenutzung und ist Herausgeber der Online-Portale.SaaS-Forum und Cloud Computing Report.

Werner Grohmann, Herausgeber SaaS-Forum und Cloud Computing Report

Werner Grohmann, Herausgeber SaaS-Forum und Cloud Computing Report

In seinem Gastbeitrag auf meinem Blog schreibt der Experte über Regelungen von public clouds und private clouds sowie zentrale Rechsbereiche im Cloud Computing.

Gastkommentar von Werner Grohmann, Herausgeber SaaS-Forum und Cloud Computing Report

Auf die erhöhten Haftungsrisiken von Betreibern von Software-as-a-Service (SaaS) und Cloud-Computing-Diensten wurde im Rahmen dieses Blogs bereits eingegangen. Ich möchte mich heute mit den umfassenden rechtlichen Regelungen und Vorgaben beschäftigen, mit denen sich diese Betreiber auseinander setzen müssen. Denn häufig werden sie die für ihre Services notwendige Infrastruktur (Rechenzentrum) nicht selbst betreiben, sondern sich ihrerseits die entsprechenden Cloud Services suchen.

Dabei muss man sicher kein Jurist oder Rechtsexperte sein, um nachvollziehen zu können, dass man sich handfeste Probleme einhandelt, wenn man beispielsweise die in einer CRM-SaaS-Lösung gespeicherten, personenbezogenen Daten einfach mal in die „Cloud“ verlagert. Hat man bei einer „private cloud“ in der Regel die Hoheit über die Daten bzw. weiß, in welchem Rechenzentrum diese physikalisch gespeichert sind, so bewegt man sich in der „public cloud“ auf sehr dünnem Eis.

„public cloud“ vs. „private cloud“
Bei der „private cloud“ werden die IT-Ressourcen (Server, Speichersysteme, etc.) und Services in einem gesicherten Rechenzentrum zur Verfügung gestellt, während man sich bei der „public cloud“ auf IT-Ressourcen und Services verlässt, die on-demand über das Internet verfügbar sind. Für den Nutzer von „public cloud“-Services ist es in der Regel nicht nachvollziehbar, wo sich seine Daten physikalisch befinden, da diese aus den unterschiedlichsten Gründen (Auslastung, Kosten, etc.) zwischen unterschiedlichen Rechenzentren und Server-Pools hin- und hergeschoben werden können.

Der Provider von „public cloud services“ wird sich seine Ressourcen höchstwahrscheinlich dort besorgen, wo sie am günstigsten sind. Und diese Anbieter sitzen vorwiegend in Fernost oder in anderen, für das deutsche Rechtssystem in der Regel nicht greifbaren Regionen.

Das bedeutet als Konsequenz: Selbst wenn dieser Dienstleister sorgsam mit Ihren Daten umgeht, gilt das Rechtssystem des Landes, in dem die Daten physikalisch gespeichert sind. Und das kann deutlich vom deutschen Rechtssystem abweichen – mit drastischen Folgen und Auswirkungen im Ernstfall.

Doch auch in der „private cloud“ sind Sie vor bösen Überraschungen nicht gefeit, wenn der Dienstleister Ihre Daten aus Kapazitäts- und/oder Kostengründen zwischen unterschiedlichen Rechenzentren in unterschiedlichen Ländern hin- und herschiebt.

Zentrale Rechtsbereiche: Vertragsrecht, Datenschutz und IT-Sicherheit

In meinem zweiteiligen Gastkommentar im RGBlog möchte ich Ihnen eine kurze Zusammenfassung eines Vortrags geben, den Rechtsanwalt Jan Pohle von der Kanzlei Taylor Wessing in Düsseldorf 2009  im Rahmen des Executive Briefing Cloud Computing des Cluster IKT.NRW hielt.

Aus seiner juristischen Sicht ist das Thema „Cloud Computing“ nämlich für mehrere Rechtsbereiche relevant, doch gerade die Bereiche

  • Vertragsrecht,
  • IT-Sicherheit und
  • Datenschutz

spielen dabei eine zentrale Rolle.

Im Bereich des Vertragsrechts wies Rechtsanwalt Pohle insbesondere auf den Grundsatz der Garantieverpflichtung hin. Er erklärte, dass die Bereitstellung von Hard- und Software im Rahmen eines Cloud-Computing-Angebots im Allgemeinen mietrechtlichen Regeln unterliegt, was für den Serviceprovider das Risiko birgt, dass die Garantieverpflichtung nach § 535, Abs, 1 S.2 BGB anwendbar ist.

In der Rechtsprechung bedeutet dies, dass der Provider als verpflichtet angesehen wird, sein Leistungsangebot stets und unterbrechungsfrei verfügbar zu halten. Dies widerspricht natürlich der Praxis, in der Wartungsfenster und kurzzeitige Systemunterbrechungen gerade notwendig sind, um die Verfügbarkeit und Sicherheit des Dienstes zu gewährleisten.

Als Lösung empfiehlt der Jurist den Abschluss von Service Level Agreements (SLA).

Informationsplattform zum Thema Software-as-a-Service

Lesen Sie in Teil 4 „Cloud Computing und SaaS: Datenschutz und IT-Sicherheit“ mehr über die Haftungssituation bei den für Cloud Computing wichtigen Rechtsbereichen „IT-Sicherheit“ und „Datenschutz“.

Weiterführende Informationen

Schreiben Sie einen Kommentar

Wenn Sie einen Kommentar abgeben, speichern wir zu den eingegebenen Daten Ihre IP-Adresse. Weitere Informationen finden sie in unserer Datenschutzerklaerung.

Time limit is exhausted. Please reload CAPTCHA.