Softwarelizenzvertrag: Risiken in der Cloud I

In der Cloud bestehen grundsätzlich folgende Risiken:

– Die Verfügbarkeit ist nicht im vereinbarten Rahmen gegeben.

– Die Leistung entspricht nicht den Vereinbarungen.

– Die Leistung erzielt falsche Ergebnisse.

– Das Reaktionsverhalten entspricht nicht den Vereinbarungen.

– Datenschutz und Datensicherheit sind nicht beherrschbar.

– Kontrollverlust über die Lokalisierung und die „Rückführbarkeit“ der Daten.

Vorab: Der Begriff der Cloud ist diffus. Nachdem ich allein in diesem Jahr annährend 300  „IT-ler“ in den Seminaren gefragt habe, was die Cloud ist und keiner eine allgemein konsensfähige Formel darlegen konnte, halte ich es so wie ein berühmter deutscher Rechtsphilosoph (Radbruch) und beschreibe (Definition wäre falsch), was ich darunter verstehe: Die Cloud besteht in der Erbringung von Werk/oder Dienstleistungen und/oder das zur Verfügungstellen von Software und/oder anderen IT-Infrastrukturelementen über Datennetze.

Erster Punkt: Die Verantwortung für Fehlverhalten: Gelebte Cloud und das Recht

Ganz wichtig für mich (und andere) ist die Abgrenzung der Verantwortung. Unter dem Begriff der Cloud werden Leistungen angeboten, die man aus der Perspekte der Verantwortung in zwei Bereiche teilen kann: Man weiß, wer der Verantwortliche ist. Zweitens: Durch automatisierte Verfahren werden Kapazitäten und Kontigente zwischen den einzelnen IT-Anbietern in der Cloud automatisiert aufgeteilt. Insbesondere geschieht dies, indem  IT Elemente wie Infrastruktur wie Speicherkapazitäten, Rechnerleistungen und Software geteilt werden. Diese shared services sind es, die den Begriff der Cloud richtig beschreiben (man weiß nie, wer gerade meine Daten hat, wo sie gerade bearbeitet werden, wer sie berechnet und wo sie sind). Shared plattform services oder infrastructure as a service mögen für den Techniker eine großartige Möglichkeit zur Beseitigung von Kapazitätsengpässen sein: Den Juristen stellen sie vor unlösbare Aufgaben eben deshalb weil das Recht bei der Bestimmbarkeit der Verantwortung ansetzt (scherzhaft gesagt greifen Juristen dann, wenn sie keinen Verantwortlichen identifizieren können dazu, greifbaren  Rechtssubjekten im Wege von Zurechnungsmodellen wie Verkehrsicherungspflichten oder Sippenhaft die Verantwortung zuzuordnen).

Davon abzugrenzen aber eben auch als Cloudservices bezeichnet werden die reinen Anbieterdienste, also Leistungen, die einzelnen juristischen und natürlichen Personen eindeutig zuzurechnen sind.

Ich habe diese Ausführungen an den Beginn gestellt, denn in den Seminaren höre ich häufig den Einwand, daß man in der Cloud nie wisse, wer eigentlich die Verantwortung trage. Diese Einwände kann ich nicht entkräften, sie hinterlassen mich mit einem Rätzel, das das Vertragsrecht nicht lösen kann. Verträge setzten eine Bestimmbarkeit der Verantwortlichkeit voraus. Wer eine verbindliche Erklärung abgibt und dafür Geld erhalten will, kann zwar dem Vertragspartner ernsthaft entgegenhalten, daß er aus technischen Gründen keine Haftung übernehmen könne. Nur muss das dann auch als zentraler Punkt der Leistungsbeschreibugn erwähnt werden („Wir bieten Ihnen die Speicherung Ihrer persönlichen Daten in der Cloud zum Preis von X Euro pro Monat an. Leider können wir Ihnen nie sagen, wer mit Ihren Daten in Kontakt kommt, ob sie von Unbefugten genutzt werden. So ist das eben in der Cloud“). Falls Sie glauben, ich übertreibe: Nein, das sind Einwände, die mir so ernsthaft in den Seminaren entgegengehalten wurden (Herr Kramer, Sie haben doch keine Ahnung wie das ist in der Cloud).

Die Antwort des Anwalts: Man kann Verträge abschließen, in den man keine Haftung für die Sicherheit und Verfügbarkeit der Daten übernimmt. Nur muß man diesen Umstand klar als solchen in den Verträgen identifizieren und dem Kunden transparent sagen: Ich übernehme keine Verantwortung, möchte aber Geld. Dann ist es Sache des Kunden zu erwägen, ob er das Risiko eingehen möchte. Und ich kenne kaum Kunden, die solche Verträge eingehen.

Weitere Beiträge

DSA – Der Digital Service Act reguliert Online-Plattformen

Der Digital Service Act (DAS ersetzt in weiten Teilen die alte E-Commerce-Richtlinie, wie z.B. auch die Haftungsregelungen, erweitert diese und führt neue Pflichten insbesondere für die großen Online-Plattformen ein. Der DSA zielt darauf ab, die digitale Landschaft der Europäischen Union

Mehr lesen »

CRA – Cyber Resilienz Act Verordnung Nr. 2022/0272

Cybersicherheit für Digitale Produkte in der EU Die zunehmende Bedeutung der IT-Sicherheit und der Cyberrisiken im Finanzsektor verzahnt in diesem Kontext insbesondere auch das Thema Business Continuity Management, bzw. Notfallmanagement. Und nicht nur bedingt durch die zunehmende Digitalisierung des Bankgeschäfts und

Mehr lesen »

Online-Plattformen und ihre Haftung

Bei der Frage der Haftung lässt sich keine pauschale Aussage treffen. Und doch versuche ich nachfolgend, eine kurze Übersicht zu geben, worauf Plattformbetreiber achten müssen. Hosting-Provider Wenn Sie nur für andere Nutzer die Plattform zur Verfügung stellen, ansonsten aber keinen

Mehr lesen »
Nach oben scrollen