IT Recht: Cloud Services – Der Leistungsschein Teil 2

Teil II Inhalt des Leistungsscheins

Unterscheidung „Herstellung der Betriebsfähigkeit / Betrieb“

Im Normalfall sollte man den Inhalt des Leistungsscheins in zwei Teile unterteilen, nämlich Einführung und Betrieb. Ich habe viele Leistungsscheine zur Prüfung, bei denen diese Themen miteinander vermengt werden. Das führt meistens zu einem Durcheinander bei der Beschreibung der Leistungen und Mitwirkungspflichten des Kunden. Es hat sich bewährt die Phasen „Herstellung der Betriebsfähigkeit“ und „Betrieb“ voneinander zu unterscheiden.

In der ersten Phase werden meistens die Voraussetzungen geschaffen, damit die eigentliche Leistung später auch realisiert werden kann. In der zweiten Phase wird beschrieben, welche Leistungen während der Betriebsphase erbracht werden. Falls Software oder Hardware installiert / konfiguriert werden müssen, damit die Leistung erbracht werden kann, sollte man beschreiben, daß dieser Prozeß durchgeführt werden muß und welche Voraussetzungen der Kunde auf der anderen Seite schaffen muß, damit das IT Unternehmen arbeiten kann.

Mitwirkungs – / Beistellungspflichten des Kunden

Die Mitwirkungs- und Beistellungspflichten des Kunden müssen so genau beschrieben werden, daß er verstehen kann, was er wann mit welchen Mitteln bewirken muß.

Beispiel: Das IT Unternehmen erbringt Leistungen unter dem Titel Security / Antivir. Unter diesem Namen vermietet das Unternehmen die Software eines Herstellers für Malwareerkennung und Beseitigung. Für den Betrieb dieser Software muß die Software installiert und konfiguriert werden und damit das geschehen kann, muß der Kunde bestimmte Voraussetzungen schaffen. Welche das sind, muß dem Kunden genau vorgegeben werden.

Die Mitwirkungspflichten des Kunden während der Einführungsphase unterscheiden sich in vielen Fällen aber von den Mitwirkungspflichten des Kunden während der Betriebsphase (z.B. er soll überwachen, ob die Datenbanken aktualisiert werden). Das 1×1 lautet auch hier dem Kunden genau zu sagen, was er wann mit welchen Mitteln bewirken soll und muß.

Leistungen des IT Unternehmens nach juristischen Kategorien

Die Beschreibung der Leistung hat sich an juristischen Kategorien zu orientieren. Das setzt juristische Kenntnisse voraus (nicht notwendig die eines Anwalts). Aber wenn der Leistungsschein zur Dokumentation der Leistung dient, müssen natürlich auch die juristisch relevanten Parameter erfasst werden. Und die unterscheiden sich je nachdem, wie die erbrachten Leistungen juristisch kategorisiert werden.

Beispiel: Back as a Service. Hier sind ganz unterschiedliche juristische Szenarien denkbar, je nachdem welche Leistungen das IT Unternehmen anbietet. Variante 1: Das IT Unternehmen überlässt dem Kunden nur die Infrastruktur und die Software zur Datensicherung. Hier handelt es sich ausschließlich um eine Miete. Entsprechend hat der Leistungsschein zu dokumentieren, welche Software eingesetzt wird, ob diese Software in der Lage ist, sämtliche Daten / Programme zu speichern, wieviel Storage vermietet wird. Wie oft der Kunde die vermietete Hardware /Software einsetzt und ob er überprüft, ob die Sicherung wirklich funktioniert hat, muß nicht dokumentiert werden. Es handelt sich um einen Mietvertrag.

Anders die Variante 2: Das IT Unternehmen bietet das BaaS an und nutzt die Hardware und die Software nur als Tools. Hier handelt es sich juristisch betrachtet um einen typengemischten Vertrag (Werkvertrag / Mietvertrag Hardware) mit einem Schwerpunkt auf dem Werkvertragsrecht. Den Kunden interessiert nicht, mit welcher Software gesichert wird, sondern nur in welchen Abständen welche Daten gesichert werden und wieviel Storage zur Verfügung gestellt wird. Also müssen diese Punkte  dokumentiert werden. Und ganz wichtig: Weil das BaaS ein Werkvertrag ist, haftet das IT Unternehmen für den Erfolg. Also muß auch dokumentiert werden, wie überprüft wird, ob die Datensicherung erfolgreich war. Zum BaaS gehört notwendig der Restore dazu, wie eben zum Bremsscheibenwechsel der Test der Bremsanlage gehört. Die Aussage: Der Kunde möchte nicht für den Restore bezahlen ist für Juristen ebenso relevant wie die Aussage, daß der Kunde nicht für den Test der Bremsanlage zahlen möchte. Es ist mit dem Kunden klar zu vereinbaren, ob und wie bei sich wiederholenden Leistungen auf einen Restore verzichtet wird und das muß auch dokumentiert werden. Den Normalfall gibt das Gesetz vor und das besagt: Beim Werkvertrag bedarf es der Abnahme. Verzichtet der Kunde auf die Abnahme muß das zwingend als Ausnahme der gesetzlichen Regel dokumentiert werden.

Teil III Sicherheitshinweise und juristische Inhalte

Anhand von Leistungen wie dem BaaS oder dem Patch Management zeige ich auf, daß und an welchen Stellen Sicherheitshinweise zu geben sind.

Weitere Beiträge

DSA – Der Digital Service Act reguliert Online-Plattformen

Der Digital Service Act (DAS ersetzt in weiten Teilen die alte E-Commerce-Richtlinie, wie z.B. auch die Haftungsregelungen, erweitert diese und führt neue Pflichten insbesondere für die großen Online-Plattformen ein. Der DSA zielt darauf ab, die digitale Landschaft der Europäischen Union

Mehr lesen »

CRA – Cyber Resilienz Act Verordnung Nr. 2022/0272

Cybersicherheit für Digitale Produkte in der EU Die zunehmende Bedeutung der IT-Sicherheit und der Cyberrisiken im Finanzsektor verzahnt in diesem Kontext insbesondere auch das Thema Business Continuity Management, bzw. Notfallmanagement. Und nicht nur bedingt durch die zunehmende Digitalisierung des Bankgeschäfts und

Mehr lesen »

Online-Plattformen und ihre Haftung

Bei der Frage der Haftung lässt sich keine pauschale Aussage treffen. Und doch versuche ich nachfolgend, eine kurze Übersicht zu geben, worauf Plattformbetreiber achten müssen. Hosting-Provider Wenn Sie nur für andere Nutzer die Plattform zur Verfügung stellen, ansonsten aber keinen

Mehr lesen »
Nach oben scrollen