SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud Computing - Am Beispiel der Amazon Web Services"
1. Vertragliche Fallstricke beim Cloud Computing
Am Beispiel der Amazon Web Services
Ein Überblick von
RA Dr. Hans M. Wulf
Fachanwalt für IT-Recht
11.08.2011
1
2. Inhaltsübersicht
Einleitung
Einordnung der Anbieterpflichten
Verfügbarkeit
Kontrolle des Anbieters
Nutzungsrechte
Change Requests
Datensicherheit, Datenschutz
Sperrungsrecht des Anbieters
Kündigung, Datenherausgabe
Haftung, Anwendbares Recht
2
RA Dr. Wulf, www.praetoria-legal.com
3. Warum ist der Cloud-Computing-Vertrag wichtig?
Pflicht zur Installation
von Risikomanagement
Wenig Haftungsrisiko
Rechtsprechung § 91 AktG Nachteilige
Vertragsklauseln
bedeuten Risiko
Unklare
Gewährleistung
Nutzungsbedingungen
Umfangreiches und
risikominimiertes Vertragswerk
erforderlich
Service Level
Agreement
3
RA Dr. Wulf, www.praetoria-legal.com
4. Wie sind die Pflichten des Anbieters jur. einzuordnen?
Zugriff auf Hardware-Umgebung und
Mietvertrag
Speicherplatz (IaaS)
Zugriff auf Laufzeit- und
Mietvertrag
Entwicklungsumgebung (PaaS)
Nutzung von Software auf Server (SaaS) Mietvertrag
Bereitstellung bestimmter Bandbreite Dienstvertrag
Pflege, Weiterentwicklung, Aktualisierung
Dienstvertrag
von Software
Bereitstellung von Rechenleistung Dienstvertrag
Überwachungs- und Betriebsleistungen Dienstvertrag
Installation, Implementierung, Anpassung
Werkvertrag
von Software
4
RA Dr. Wulf, www.praetoria-legal.com
5. Was ist zur Verfügbarkeit zu beachten?
Verfügbarkeit ist Hauptleistungspflicht des
Anbieters
Vertragliche Einschränkung der Verfügbarkeit ist
bei Standardverträgen grundsätzlich
unzulässige Haftungsbeschränkung
Jedoch anerkannt, dass Pflege- und
Wartungsmaßnahmen die Verfügbarkeit
einschränken müssen
Daher regelmäßige Verfügbarkeit von 98,5 bis
99,99% im Jahresdurchschnitt
5
RA Dr. Wulf, www.praetoria-legal.com
6. Welche Rechtsfolgen der Unterschreitung kennt das Gesetz?
Mietvertrag (z.B. Zugriff auf Software)
Minderung Zugriff?
Rechtsfolgen Selbstvornahme mit Aufwendungsersatz
Schadensersatz
Bezifferung,
Nachweis?
Dienstvertrag (z.B. Konfiguration von Software)
Rechtsfolgen Schadensersatz bei Pflichtverletzung
Bezifferung,
Nachweis?
Kündigung
Werkvertrag (z.B. Installation von Software auf Server):
Nacherfüllung, Nachbesserung Zugriff?
Rechtsfolgen Selbstvornahme mit Aufwendungsersatz
Minderung
Rücktritt
Bezifferung,
Schadensersatz Nachweis?
6
RA Dr. Wulf, www.praetoria-legal.com
7. Wie kann man die Probleme umgehen?
Empfehlung: Service Level Agreement kann Schwächen der
gesetzlichen Gewährleistung ausgleichen
Gängigste Inhalte eines SLA:
• Verfügbarkeit der Dienste
• Reaktionszeiten im Störfall
• Explizites Sanktionsregime
Sanktionsregime (Beispiel):
1. Stufe: Minderungsansprüche
2. Stufe: Vertragsstrafe, abhängig vom Ausmaß der
Unterschreitung
3. Stufe: Kündigungsrecht
7
RA Dr. Wulf, www.praetoria-legal.com
8. Beispiel aus der Praxis
Amazon EC2 Service Level Agreement: “Service Commitment - AWS
will use commercially reasonable efforts to make Amazon EC2 available
with an Annual Uptime Percentage (defined below) of at least 99.95%
during the Service Year. In the event Amazon EC2 does not meet the
Annual Uptime Percentage commitment, you will be eligible to receive a
Service Credit as described below.”
Amazon
Amazon EC2 Service Level Agreement: “Service Commitments and
Service Credits - If the Annual Uptime Percentage for a customer
drops below 99.95% for the Service Year, that customer is eligible - Angestrebte Verfügbarkeit von
to receive a Service Credit equal to 10% of their bill (excluding one- 99,95% im Jahresdurchschnitt
time payments made for Reserved Instances) for the Eligible Credit
Period … We will apply any Service Credits only against future
Amazon EC2 payments otherwise due from you; provided that, we - Bei Unterschreitung erfolgt
may issue the Service Credit to the credit card that you used to
pay for Amazon EC2 for the billing cycle in which the error occurred. Gutschrift
Service Credits shall not entitle you to any refund or other payment from
AWS."
Amazon EC2 Service Level Agreement: “Amazon EC2 SLA Exclusions - Gutschrift beträgt 10% der
- The Service Commitment does not apply to any unavailability, Rechnungssumme
suspension or termination of Amazon EC2, or any other Amazon
EC2 performance issues: (i) that result from a suspension described
in Section 6.1 of the AWS Agreement; (ii) caused by factors outside of - Gutschrift muss verrechnet
our reasonable control, including any force majeure event or Internet werden (keine Auszahlung)
access or related problems beyond the demarcation point of Amazon
EC2; (iii) that result from any actions or inactions of you or any third
party; (iv) that result from your equipment, software or other
technology and/or third party equipment, software or other technology
- Keine Gutschrift bei verschuldeter
(other than third party equipment within our direct control); (v) that Sperre oder externer Ursache für
result from failures of individual instances not attributable to Region Störung
Unavailability; or (vi) arising from our suspension and termination
of your right to use Amazon EC2 in accordance with the AWS
Agreement."
8
RA Dr. Wulf, www.praetoria-legal.com
9. Weiteres Beispiel aus der Praxis
Salesforce Master Subscription Agreement: “4.1. Our Responsibilities.
We shall: (i) provide Our basic support for the Purchased Services to
You at no additional charge, and/or upgraded support if purchased
separately, (ii) use commercially reasonable efforts to make the
Purchased Services available 24 hours a day, 7 days a week,
except for: (a) planned downtime (of which We shall give at least 8 Salesforce
hours notice via the Purchased Services and which We shall schedule
to the extent practicable during the weekend hours from 6:00 p.m.
Friday to 3:00 a.m. Monday Pacific Time), or (b) any unavailability
caused by circumstances beyond Our reasonable control, including
- Angestrebte Verfügbarkeit von
without limitation, acts of God, acts of government, floods, fires, 100%
earthquakes, civil unrest, acts of terror, strikes or other labor problems
(other than those involving Our employees), Internet service provider
failures or delays, or denial of service attacks, and (iii) provide the - Ausnahmen: Eingeplante
Purchased Services only in accordance with applicable laws and Wartungsfenster, höhere Gewalt,
government regulations."
externe Ursachen
Salesforce Master Subscription Agreement: “11.1. Limitation of
Liability. NEITHER PARTY'S LIABILITY WITH RESPECT TO ANY - Haftungsbeschränkung auf 12-
SINGLE INCIDENT ARISING OUT OF OR RELATED TO THIS Monats-Vergütung
AGREEMENT (WHETHER IN CONTRACT OR TORT OR UNDER
ANY OTHER THEORY OF LIABILITY) SHALL EXCEED THE
LESSER OF $500,000 OR THE AMOUNT PAID BY YOU
HEREUNDER IN THE 12 MONTHS PRECEDING THE INCIDENT,
PROVIDED THAT IN NO EVENT SHALL EITHER PARTY’S
AGGREGATE LIABILITY ARISING OUT OF OR RELATED TO THIS
AGREEMENT (WHETHER IN CONTRACT OR TORT OR UNDER
ANY OTHER THEORY OF LIABILITY) EXCEED THE TOTAL
AMOUNT PAID BY YOU HEREUNDER. THE FOREGOING SHALL
NOT LIMIT YOUR PAYMENT OBLIGATIONS UNDER SECTION 6
(FEES AND PAYMENT FOR PURCHASED SERVICES)."
9
RA Dr. Wulf, www.praetoria-legal.com
10. Kontrolle des Anbieters - Gesetzespflichten
§ 11 BDSG Auftragsdatenverarbeitung:
7. die Kontrollrechte des
Auftraggebers und die
“(2) Der Auftragnehmer ist unter besonderer
entsprechenden Duldungs- und
Berücksichtigung der Eignung der von ihm
Mitwirkungspflichten des
getroffenen technischen und
Auftragnehmers, […]
organisatorischen Maßnahmen sorgfältig
auszuwählen. Der Auftrag ist schriftlich zu
erteilen, wobei insbesondere im Einzelnen 9. der Umfang der
festzulegen sind: […] Weisungsbefugnisse, die sich
der Auftraggeber gegenüber
dem Auftragnehmer vorbehält
[…]
[…] Der Auftraggeber hat sich vor
Beginn der Datenverarbeitung und
sodann regelmäßig von der
Einhaltung der beim
Auftragnehmer getroffenen
technischen und
organisatorischen Maßnahmen
zu überzeugen. Das Ergebnis ist
zu dokumentieren.“
10
RA Dr. Wulf, www.praetoria-legal.com
11. Kontrolle des Anbieters - Empfohlene Inhalte
Vorlagepflicht von Zertifikaten
& Prüfberichten (§ 9 BDSG)
Reportingpflichten
(z.B. zu
Auditrechte
Verfügbarkeit oder
Systemänderungen) Kontrollpflichten
Pflicht zur Protokollierung Vorbehalt von
der Verfügbarkeit Weisungsrechten
11
RA Dr. Wulf, www.praetoria-legal.com
12. Beispiele aus der Praxis
Amazon EC2: keine Kontrollrechte
Google Apps: keine Kontrollrechte
Microsoft Azure: keine Kontrollrechte
Salesforce: keine Kontrollrechte in AGB, aber
Stellungnahme Hogan Lovells zu Salesforce (Seite 6): „[…] Von der
Einhaltung dieser technischen und organisatorischen Maßnahmen
können sich die Kunden durch Audits vor Ort bei salesforce.com Inc. in
den USA überzeugen. Derartige Audits können von den Kunden in
regelmäßigen Abständen (zumeist einmal jährlich) und wann immer dies
rechtlich erforderlich ist, durchgeführt werden. Den Kunden wird zudem auf
Wunsch der jeweils aktuelle SAS 70 (Type II) Report zur Verfügung
gestellt. Dadurch, dass unabhängige Dritte im Rahmen der zuvor
genannten Zertifikate und Audits die Einhaltung der technischen und
organisatorischen Maßnahmen bei salesforce.com prüfen, ist es für den
einzelnen Kunden im Regelfall nicht erforderlich, ein Audit vor Ort in den
USA bei salesforce.com Inc. durchzuführen. Nur im Einzelfall kann die
besondere Sensitivität der Daten zu einem anderen Ergebnis führen […]“
12
RA Dr. Wulf, www.praetoria-legal.com
13. Nutzungsrechte - Erforderlich oder nicht?
Ansicht Nr. 1: Nutzung von Software in der Cloud (SaaS) ist
Vervielfältigung nach § 69c Nr. 1 UrhG, da zumindest eine
Speicherung im Arbeitsspeicher des Nutzers erfolgt
Ansicht Nr. 2: Vervielfältigung technisch begleitend nach § 44a
UrhG bzw. zur bestimmungsgemäßen Nutzung erforderlich nach
§ 69d Abs. 1 UrhG
Ansicht Nr. 3: technische Vervielfältigung findet in der Cloud
statt, daher keine urheberrechtlich relevante Handlung
(Soweit ersichtlich) Keine Rechtsprechung vorhanden
Daher: Vorerst auf Einräumung von
Nutzungsrechten in Cloud-Verträgen achten
→ Von wieviel Arbeitsplätzen darf gleichzeitig
Zugriff erfolgen? Dürfen Nutzungsrechte auf
andere Anwender übertragen werden?
13
RA Dr. Wulf, www.praetoria-legal.com
14. Beispiel aus der Praxis
Amazon Customer Agreement: “8.4 Service
Offerings License. As between you and us, we or
our affiliates or licensors own and reserve all right,
title, and interest in and to the Service Offerings. We
grant you a limited, revocable, non-exclusive,
non-sublicensable, non-transferrable license to Amazon
do the following during the Term: (i) access and use
the Services solely in accordance with this - Einräumung von einfachen
Agreement; and (ii) copy and use the AWS Content Nutzungsrechten an den
solely in connection with your permitted use of the integrierten Softwareanwendungen
Services. Except as provided in this Section 8.4,
you obtain no rights under this Agreement from us - kein Recht zur Weitergabe oder
or our licensors to the Service Offerings, including Nutzung nach Beendigung des
any related intellectual property rights. Some AWS Vertrages
Content may be provided to you under a separate
license, such as the Apache Software License, in
which case that license will govern your use of
those AWS Content.”
14
RA Dr. Wulf, www.praetoria-legal.com
15. Change Request - Änderungsverfahren vorher klären
Beispiel: Kunde wünscht neue Funktionen der Cloud-Anwendung
oder neues Betriebssystem
Beispiel: Anbieter ändert Leistungsinhalt (neue Funktionen) oder
Leistungsumfang (weitere Nutzer, zusätzliche
Speicherkapazitäten)
Empfehlung: Change-Request-Verfahren vereinbaren
• Änderungswunsch des Kunden mit Beschreibung und
Begründung
• Prüfung durch Anbieter und Mitteilung, ob vom Vertrag
umfasst oder vergütungspflichtiger Sonderaufwand
• ggf. Durchführung von Vertragsergänzung
15
RA Dr. Wulf, www.praetoria-legal.com
16. Beispiel aus der Praxis
Amazon Customer Agreement: „2.1 To the Service
Offerings. We may change, discontinue, or Amazon
deprecate any of the Service Offerings (including
the Service Offerings as a whole) or change or - Jederzeitiges Recht zur
remove features or functionality of the Service Änderung der Leistung als solche
Offerings from time to time. We will notify you of oder einzelner Funktionen
any material change to or discontinuation of the
Service Offerings.“
16
RA Dr. Wulf, www.praetoria-legal.com
17. Datenschutz - § 11 BDSG beachten
Cloud-Nutzer bleibt datenschutzrechtlich verantwortlich
Zulässigkeit von Cloud-Diensten umstritten, in jedem Fall
erforderlich (direkt oder analog): Einhaltung von § 11 BDSG
Cloud-Vertrag muss daher Regelungen enthalten zu:
• Dauer des Auftrages
• Umfang, Art und Zweck der Datenverarbeitung
• Art der Daten
• Kreis der Betroffenen
• den nach § 9 BDSG zu treffenden Maßnahmen
• Berichtigung, Lösung und Sperrung von Daten
• besonderen Pflichten des Anbieter (insb. Bestellung BetrDB)
• Berechtigungen hinsichtlich Subunternehmern
• Kontrollrechten des Kunden
• Mitwirkungspflichten des Anbieters
• mitzuteilenden Verstößen
• Umfang der vorbehaltenen Weisungsbefugnisse
• Rückgabe überlassener Datenträger und Datenlöschung.
17
RA Dr. Wulf, www.praetoria-legal.com
18. Beispiele aus der Praxis
Amazon Customer Agreement: “3.2 Data Privacy. We
Amazon
participate in the safe harbor programs described in the Privacy
Policy. You may specify the AWS regions in which Your
Content will be stored and accessible by End Users. We will - Auswahl des Serverstandortes
not move Your Content from your selected AWS regions without
notifying you, unless required to comply with the law or
requests of governmental entities. You consent to our collection, - Einwilligung in Übertragung von
use and disclosure of information associated with the Service personenbezogenen Daten
Offerings in accordance with our Privacy Policy, and to the
processing of Your Content in, and the transfer of Your Content
into, the AWS regions you select.” - keine weiteren Regelungen nach
§ 11 BDSG
Microsoft Azure Nutzungsbedingungen: „Personenbezogene Microsoft
Daten, die durch den Onlinedienst erfasst werden, können in
den USA oder anderen Ländern, in denen Microsoft oder ihre
Serviceprovider Einrichtungen unterhalten, übertragen, - Daten werden in die USA
gespeichert und verarbeitet werden. Dies schließt transferiert, keine Auswahl des
personenbezogene Daten ein, die Sie durch die Nutzung des Serverstandortes
Dienstes erfassen. Indem Sie diesen Onlinedienst
verwenden, erklären Sie sich mit der Übertragung von
personenbezogenen Daten außerhalb Ihres Landes - Einwilligung in Übertragung von
einverstanden. Sie erklären sich ebenfalls damit personenbezogenen Daten
einverstanden, von den Personen, die Ihnen
personenbezogene Daten bereitstellen, die entsprechenden
Genehmigungen einzuholen, um die Daten an Microsoft und - keine weiteren Regelungen nach
ihre Vertreter zu übertragen und die Übertragung, Speicherung § 11 BDSG
und Verarbeitung derselben zu ermöglichen.“
18
RA Dr. Wulf, www.praetoria-legal.com
19. Weiteres Beispiel aus der Praxis
Stellungnahme Hogan Lovells für Salesforce (Seite 3):
„Salesforce.com Inc. ist Safe Harbor-zertifiziert. Die
salesforce.com Sàrl (als Auftragnehmerin) vereinbart mit
deutschen Kunden (als Auftraggeber) regelmäßig eine
Auftragsdatenverarbeitung gemäß § 11 BDSG als Anlage
zum Rahmen-Abonnementvertrag. Zudem hat die
salesforce.com Sàrl mit der salesforce.com Inc. eine
Unter-Auftragsdatenverarbeitung gemäß § 11 BDSG
vereinbart. Hierin hat die salesforce.com Sàrl die
Verpflichtungen, die sie aus den mit ihren deutschen Kunden
vereinbarten Auftragsdatenverarbeitungen treffen, an ihre
Unter-Auftragsdatenverarbeiterin salesforce.com Inc.
weitergegeben.“
19
RA Dr. Wulf, www.praetoria-legal.com
20. Sperrungsrecht des Anbieters - Bestenfalls ausschließen
Sperre als Zurückbehaltungsrecht
grundsätzlich zulässig, jedoch infolge
einer Verweigerung der Hauptleistungs-
pflicht nur als letztes Mittel erlaubt
Problem: Kunde macht sich erpressbar,
wenn es um streitige Zahlungs-
forderungen geht
Lösung: Recht auf Sperre nur bei
unstrittigen oder rechtskräftig
festgestellten Ansprüchen durchsetzen
20
RA Dr. Wulf, www.praetoria-legal.com
21. Beispiel aus der Praxis
Amazon Customer Agreement: “6.1 Generally. We Amazon
may suspend your or any End User’s right to
access or use any portion or all of the Service Sperre zulässig, wenn
Offerings immediately upon notice to you if we
determine: (a) your or an End User’s use of the
• a.) Sicherheitsrisiko oder
Service Offerings (i) poses a security risk to the
Systemzugriff verursacht
Service Offerings or any third party, (ii) may
adversely impact the Service Offerings or the
• b.) Haftungsansprüche Dritter
systems or Content of any other AWS customer, or
gegen Amazon erhobenen
(iii) may subject us, our affiliates, or any third
werden
party to liability; (b) you are, or any End User is, in
breach of this Agreement, including if you are
• c.) Vertragsverletzung, wie
delinquent on your payment obligations for more
z.B. Zahlungsverzug mit mehr
than 15 days; or (c) you have ceased to operate in
als 15 Tagen
the ordinary course, made an assignment for the
benefit of creditors or similar disposition of your
• d.) Geschäftseinstellung,
assets, or become the subject of any bankruptcy,
Insolvenz oder
reorganization, liquidation, dissolution or similar
Sicherungsabtretung
proceeding.”
21
RA Dr. Wulf, www.praetoria-legal.com
22. Weiteres Beispiel aus der Praxis
Microsoft Licensing-Nutzungsrechte für Onlinedienste: Microsoft
„Ziffer III lit. c: Aussetzung des Onlinedienstes. Wir sind
unter folgenden Bedingungen berechtigt, den
Onlinedienst auszusetzen: (a) falls wir der Ansicht Sperre zulässig, wenn Microsoft
sind, dass Ihre Verwendung des Onlinedienstes eine der Ansicht ist, dass
direkte oder indirekte Gefahr für die Funktion oder
Integrität unseres Netzwerks oder die Verwendung des • Gefahr für Netzwerk besteht
Onlinedienstes durch andere darstellt, (b) falls wir der
Ansicht sind, dass Sie Ihren Lizenzvertrag, einschließlich
dieser Nutzungsrechte für Onlinedienste, verletzt haben, • der Lizenzvertrag verletzt wird
(c) falls Ihre Verwendung die in der Dokumentation des
jeweiligen Onlinedienstes angegebenen Quoten
übersteigt oder (d) falls wir anderweitig gesetzlich dazu
verpflichtet sind.“
Salesforce-Agreement: „10. Zahlungsversäumnis und
Salesforce
Aussetzung des Service - Zusätzlich zu den anderen ihr
aus diesem Vertrag zustehenden Rechten behält sich
salesforce.com das Recht vor, diesen Vertrag und Ihren Sperre zulässig, wenn
Zugang zu dem Service vorübergehend auszusetzen Zahlungsverzug
oder zu beenden, wenn Sie in Zahlungsverzug
geraten.“
22
RA Dr. Wulf, www.praetoria-legal.com
23. Kündigung - Bestenfalls lange Laufzeiten
Lange Laufzeit oder Kündigungsfrist
ratsam, da Umstellung einen
erheblichen Aufwand erfordert
Keine willkürliche Kündigung
zulassen
Kündigung mit kurzer Frist nur aus
wichtigem Grund
23
RA Dr. Wulf, www.praetoria-legal.com
24. Beispiel aus der Praxis
Amazon Customer Agreement: “7.2 Termination: (a)
Termination for Convenience. You may terminate this Amazon
Agreement for any reason by (1) providing us notice and (2)
closing your account for all Services for which we provide an
Kündigung zulässig, wenn
account closing mechanism. We may terminate this
Agreement for any reason by providing you 30 days
advance notice. (b) Termination for Cause. (1) By Either Party. • Vertragsverletzung
Either party may terminate this Agreement for cause upon 30
days advance notice to the other party if there is any material
default or breach of this Agreement by the other party, unless • Grund für Sperre nach Ziffer
the defaulting party has cured the material default or breach 6.1 (Sicherheitsrisiko,
within the 30 day notice period. (2) By Us. We may also Erhebung von Ansprüchen
terminate this Agreement immediately upon notice to you (A) Dritter, Zahlungsverzug,
for cause, if any act or omission by you or any End User Sicherungsabtretung)
results in a suspension described in Section 6.1, (B) if our
relationship with a third party partner who provides software or
other technology we use to provide the Service Offerings • Austritt eines
expires, terminates or requires us to change the way we Softwarepartners
provide the software or other technology as part of the
Services, (C) if we believe providing the Services could
create a substantial economic or technical burden or • Ansicht von Amazon, dass
material security risk for us, (D) in order to comply with the Sicherheitsrisiko existent
law or requests of governmental entities, or (E) if we determine
use of the Service Offerings by you or any End Users or our
provision of any of the Services to you or any End Users has • Unmöglichkeit der
become impractical or unfeasible for any legal or regulatory Leistungserbringung aus
reason.”
24
RA Dr. Wulf, www.praetoria-legal.com
25. Datenherausgabe nach Kündigung
Zwingende Regelung
nach § 11 BDSG
Pflicht zur
Unterstützungs-
Verwendung
pflicht des
technischer
Anbieters
Datenherausgabe Standards
Pflicht zur
Hinterlegungs-
Übergabe
pflicht zm
sämtlicher Daten
Quellcode bei
in festgelegtem
SaaS
Format
Sonst Löschung der
Daten 25
RA Dr. Wulf, www.praetoria-legal.com
26. Beispiel aus der Praxis
Amazon Customer Agreement: “7.3. Effect of Amazon
Termination: (b) Post-Termination Assistance.
Unless we terminate your use of the Service Mitwirkung zur Datenherausgabe
Offerings pursuant to Section 7.2(b), during und keine Datenlöschung, falls
the 30 days following termination: (i) we will not
erase any of Your Content as a result of the • Rechnungen bezahlt und
termination; (ii) you may retrieve Your Content
from the Services only if you have paid any • keine Kündigung wegen
charges for any post-termination use of the Pflichtverletzung
Service Offerings and all other amounts due; (Sicherheitsrisiko, Erhebung
von Ansprüchen Dritter,
and (iii) we will provide you with the same post-
Zahlungsverzug,
termination data retrieval assistance that we Sicherungsabtretung)
generally make available to all customers.”
26
RA Dr. Wulf, www.praetoria-legal.com
27. Haftung - Bleiben Sie hartnäckig
Haftungsreduzierung auf Höchstbetrag bei grober
Fahrlässigkeit und Vorsatz nach deutschem Recht
unzulässig
US-Cloud-Anbieter beschränken jedoch regelmäßig ihre
Haftung in allen Fällen auf das Serviceentgelt für 12
Monate
27
RA Dr. Wulf, www.praetoria-legal.com
28. Beispiel aus der Praxis
Amazon Customer Agreement: “11. Limitations of Liability: WE AND OUR
AFFILIATES OR LICENSORS WILL NOT BE LIABLE TO YOU FOR
ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, CONSEQUENTIAL
OR EXEMPLARY DAMAGES (INCLUDING DAMAGES FOR LOSS OF Amazon
PROFITS, GOODWILL, USE, OR DATA), EVEN IF A PARTY HAS BEEN
ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. FURTHER,
NEITHER WE NOR ANY OF OUR AFFILIATES OR LICENSORS WILL - Keine Haftung für
BE RESPONSIBLE FOR ANY COMPENSATION, REIMBURSEMENT,
OR DAMAGES ARISING IN CONNECTION WITH: (A) YOUR INABILITY
TO USE THE SERVICES, INCLUDING AS A RESULT OF ANY (I) • Schäden irgendwelcher Art
TERMINATION OR SUSPENSION OF THIS AGREEMENT OR YOUR
USE OF OR ACCESS TO THE SERVICE OFFERINGS, (II) OUR
DISCONTINUATION OF ANY OR ALL OF THE SERVICE OFFERINGS,
OR, (III) WITHOUT LIMITING ANY OBLIGATIONS UNDER THE SLAS,
• (vorübergehende) Einstellung
ANY UNANTICIPATED OR UNSCHEDULED DOWNTIME OF ALL OR A von Leistungen
PORTION OF THE SERVICES FOR ANY REASON, INCLUDING AS A
RESULT OF POWER OUTAGES, SYSTEM FAILURES OR OTHER
INTERRUPTIONS; (B) THE COST OF PROCUREMENT OF • Datenverlust
SUBSTITUTE GOODS OR SERVICES; (C) ANY INVESTMENTS,
EXPENDITURES, OR COMMITMENTS BY YOU IN CONNECTION
WITH THIS AGREEMENT OR YOUR USE OF OR ACCESS TO THE - Ansonsten Haftungsbesch-
SERVICE OFFERINGS; OR (D) ANY UNAUTHORIZED ACCESS TO, ränkung auf 12-Monatsvergütung
ALTERATION OF, OR THE DELETION, DESTRUCTION, DAMAGE,
LOSS OR FAILURE TO STORE ANY OF YOUR CONTENT OR OTHER
DATA. IN ANY CASE, OUR AND OUR AFFILIATES’ AND LICENSORS’
AGGREGATE LIABILITY UNDER THIS AGREEMENT WILL BE
LIMITED TO THE AMOUNT YOU ACTUALLY PAY US UNDER THIS
AGREEMENT FOR THE SERVICE THAT GAVE RISE TO THE CLAIM
DURING THE 12 MONTHS PRECEDING THE CLAIM.”
28
RA Dr. Wulf, www.praetoria-legal.com
29. Anwendbares Recht
Artikel 3 ROM-I-VO Nr. 593/2008 vom 17.6.2008: Vertrag
unterliegt demjenigen Recht, welches von den Parteien
vereinbart wurde.
Sofern die Parteien keine Rechtswahl getroffen haben, gilt
gemäß Artikel 4 ROM-I-VO das Recht des Staates, in welchem
der Dienstleister seinen gewöhnlichen Aufenthalt hat
Ort der Leistungserbringung ist
unerheblich
29
RA Dr. Wulf, www.praetoria-legal.com
30. Beispiel aus der Praxis
Amazon Customer Agreement: “13.11
Governing Law; Venue. The laws of the State Amazon
of Washington, without reference to conflict of
law rules, govern this Agreement and any - US-amerikanisches Recht ist
dispute of any sort that might arise between you allein anwendbar
and us. Any dispute relating in any way to the
Service Offerings or this Agreement where a - damit keine Anwendung von
party seeks aggregate relief of $7,500 or more deutschem AGB-Recht
will be adjudicated in any state or federal court
in King County, Washington.”
30
RA Dr. Wulf, www.praetoria-legal.com
31. Fazit - Worauf muss ich besonders achten?
Checkliste
• Klare Leistungsbeschreibung
• Service Level Agreement mit abgestufter Sanktionsregelung
• Kontrollrechte vereinbaren (Vorlage von Prüfberichten, Auditrechte,
Weisungsvorbehalt, Verfügbarkeitsprotokollierung)
• Nutzungsrechte einräumen lassen
• Change-Request-Verfahren regeln
• Datensicherheit garantieren lassen (tägliches Backup, technische/
organisatorische Datenschutzmaßnahmen, Zertifikat zur SSL-
Verschlüsselung, Protokollierung von Sicherheitsverletzungen,
bestenfalls ISO 27001)
• Anlage zum Vertrag nach § 11 BDSG (Auftragsdatenverarbeitung)
• Kein Recht auf Sperrung des Zugangs
• Lange Laufzeiten, keine kurzfristige Kündigung durch Anbieter
• Umfangreiche Pflicht zur Datenherausgabe nach Laufzeitende
• Haftungsbeschränkung nach deutschem Standard
• Deutsches Recht für anwendbar erklären
31
RA Dr. Wulf, www.praetoria-legal.com
32. Dankeschön.
Vielen Dank für Ihre
Aufmerksamkeit.
Fragen?
wulf@praetoria-legal.com
Telefon 040 / 73 444 217-0
32
RA Dr. Wulf, www.praetoria-legal.com