SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud Computing - Am Beispiel der Amazon Web Services"
Upcoming SlideShare
Loading in...5
×
 

SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud Computing - Am Beispiel der Amazon Web Services"

on

  • 808 views

 

Statistics

Views

Total Views
808
Views on SlideShare
808
Embed Views
0

Actions

Likes
0
Downloads
6
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud Computing - Am Beispiel der Amazon Web Services" SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud Computing - Am Beispiel der Amazon Web Services" Presentation Transcript

    • Vertragliche Fallstricke beim Cloud Computing Am Beispiel der Amazon Web Services Ein Überblick von RA Dr. Hans M. Wulf Fachanwalt für IT-Recht 11.08.2011 1
    • Inhaltsübersicht Einleitung Einordnung der Anbieterpflichten Verfügbarkeit Kontrolle des Anbieters Nutzungsrechte Change Requests Datensicherheit, Datenschutz Sperrungsrecht des Anbieters Kündigung, Datenherausgabe Haftung, Anwendbares Recht 2 RA Dr. Wulf, www.praetoria-legal.com
    • Warum ist der Cloud-Computing-Vertrag wichtig? Pflicht zur Installation von Risikomanagement Wenig Haftungsrisiko Rechtsprechung § 91 AktG Nachteilige Vertragsklauseln bedeuten Risiko Unklare Gewährleistung Nutzungsbedingungen Umfangreiches und risikominimiertes Vertragswerk erforderlich Service Level Agreement 3 RA Dr. Wulf, www.praetoria-legal.com
    • Wie sind die Pflichten des Anbieters jur. einzuordnen? Zugriff auf Hardware-Umgebung und Mietvertrag Speicherplatz (IaaS) Zugriff auf Laufzeit- und Mietvertrag Entwicklungsumgebung (PaaS) Nutzung von Software auf Server (SaaS) Mietvertrag Bereitstellung bestimmter Bandbreite Dienstvertrag Pflege, Weiterentwicklung, Aktualisierung Dienstvertrag von Software Bereitstellung von Rechenleistung Dienstvertrag Überwachungs- und Betriebsleistungen Dienstvertrag Installation, Implementierung, Anpassung Werkvertrag von Software 4 RA Dr. Wulf, www.praetoria-legal.com
    • Was ist zur Verfügbarkeit zu beachten? Verfügbarkeit ist Hauptleistungspflicht des Anbieters Vertragliche Einschränkung der Verfügbarkeit ist bei Standardverträgen grundsätzlich unzulässige Haftungsbeschränkung Jedoch anerkannt, dass Pflege- und Wartungsmaßnahmen die Verfügbarkeit einschränken müssen Daher regelmäßige Verfügbarkeit von 98,5 bis 99,99% im Jahresdurchschnitt 5 RA Dr. Wulf, www.praetoria-legal.com
    • Welche Rechtsfolgen der Unterschreitung kennt das Gesetz? Mietvertrag (z.B. Zugriff auf Software) Minderung Zugriff? Rechtsfolgen Selbstvornahme mit Aufwendungsersatz Schadensersatz Bezifferung, Nachweis? Dienstvertrag (z.B. Konfiguration von Software) Rechtsfolgen Schadensersatz bei Pflichtverletzung Bezifferung, Nachweis? Kündigung Werkvertrag (z.B. Installation von Software auf Server): Nacherfüllung, Nachbesserung Zugriff? Rechtsfolgen Selbstvornahme mit Aufwendungsersatz Minderung Rücktritt Bezifferung, Schadensersatz Nachweis? 6 RA Dr. Wulf, www.praetoria-legal.com
    • Wie kann man die Probleme umgehen? Empfehlung: Service Level Agreement kann Schwächen der gesetzlichen Gewährleistung ausgleichen Gängigste Inhalte eines SLA: • Verfügbarkeit der Dienste • Reaktionszeiten im Störfall • Explizites Sanktionsregime Sanktionsregime (Beispiel): 1. Stufe: Minderungsansprüche 2. Stufe: Vertragsstrafe, abhängig vom Ausmaß der Unterschreitung 3. Stufe: Kündigungsrecht 7 RA Dr. Wulf, www.praetoria-legal.com
    • Beispiel aus der Praxis Amazon EC2 Service Level Agreement: “Service Commitment - AWS will use commercially reasonable efforts to make Amazon EC2 available with an Annual Uptime Percentage (defined below) of at least 99.95% during the Service Year. In the event Amazon EC2 does not meet the Annual Uptime Percentage commitment, you will be eligible to receive a Service Credit as described below.” Amazon Amazon EC2 Service Level Agreement: “Service Commitments and Service Credits - If the Annual Uptime Percentage for a customer drops below 99.95% for the Service Year, that customer is eligible - Angestrebte Verfügbarkeit von to receive a Service Credit equal to 10% of their bill (excluding one- 99,95% im Jahresdurchschnitt time payments made for Reserved Instances) for the Eligible Credit Period … We will apply any Service Credits only against future Amazon EC2 payments otherwise due from you; provided that, we - Bei Unterschreitung erfolgt may issue the Service Credit to the credit card that you used to pay for Amazon EC2 for the billing cycle in which the error occurred. Gutschrift Service Credits shall not entitle you to any refund or other payment from AWS." Amazon EC2 Service Level Agreement: “Amazon EC2 SLA Exclusions - Gutschrift beträgt 10% der - The Service Commitment does not apply to any unavailability, Rechnungssumme suspension or termination of Amazon EC2, or any other Amazon EC2 performance issues: (i) that result from a suspension described in Section 6.1 of the AWS Agreement; (ii) caused by factors outside of - Gutschrift muss verrechnet our reasonable control, including any force majeure event or Internet werden (keine Auszahlung) access or related problems beyond the demarcation point of Amazon EC2; (iii) that result from any actions or inactions of you or any third party; (iv) that result from your equipment, software or other technology and/or third party equipment, software or other technology - Keine Gutschrift bei verschuldeter (other than third party equipment within our direct control); (v) that Sperre oder externer Ursache für result from failures of individual instances not attributable to Region Störung Unavailability; or (vi) arising from our suspension and termination of your right to use Amazon EC2 in accordance with the AWS Agreement." 8 RA Dr. Wulf, www.praetoria-legal.com
    • Weiteres Beispiel aus der Praxis Salesforce Master Subscription Agreement: “4.1. Our Responsibilities. We shall: (i) provide Our basic support for the Purchased Services to You at no additional charge, and/or upgraded support if purchased separately, (ii) use commercially reasonable efforts to make the Purchased Services available 24 hours a day, 7 days a week, except for: (a) planned downtime (of which We shall give at least 8 Salesforce hours notice via the Purchased Services and which We shall schedule to the extent practicable during the weekend hours from 6:00 p.m. Friday to 3:00 a.m. Monday Pacific Time), or (b) any unavailability caused by circumstances beyond Our reasonable control, including - Angestrebte Verfügbarkeit von without limitation, acts of God, acts of government, floods, fires, 100% earthquakes, civil unrest, acts of terror, strikes or other labor problems (other than those involving Our employees), Internet service provider failures or delays, or denial of service attacks, and (iii) provide the - Ausnahmen: Eingeplante Purchased Services only in accordance with applicable laws and Wartungsfenster, höhere Gewalt, government regulations." externe Ursachen Salesforce Master Subscription Agreement: “11.1. Limitation of Liability. NEITHER PARTYS LIABILITY WITH RESPECT TO ANY - Haftungsbeschränkung auf 12- SINGLE INCIDENT ARISING OUT OF OR RELATED TO THIS Monats-Vergütung AGREEMENT (WHETHER IN CONTRACT OR TORT OR UNDER ANY OTHER THEORY OF LIABILITY) SHALL EXCEED THE LESSER OF $500,000 OR THE AMOUNT PAID BY YOU HEREUNDER IN THE 12 MONTHS PRECEDING THE INCIDENT, PROVIDED THAT IN NO EVENT SHALL EITHER PARTY’S AGGREGATE LIABILITY ARISING OUT OF OR RELATED TO THIS AGREEMENT (WHETHER IN CONTRACT OR TORT OR UNDER ANY OTHER THEORY OF LIABILITY) EXCEED THE TOTAL AMOUNT PAID BY YOU HEREUNDER. THE FOREGOING SHALL NOT LIMIT YOUR PAYMENT OBLIGATIONS UNDER SECTION 6 (FEES AND PAYMENT FOR PURCHASED SERVICES)." 9 RA Dr. Wulf, www.praetoria-legal.com
    • Kontrolle des Anbieters - Gesetzespflichten§ 11 BDSG Auftragsdatenverarbeitung: 7. die Kontrollrechte des Auftraggebers und die“(2) Der Auftragnehmer ist unter besonderer entsprechenden Duldungs- undBerücksichtigung der Eignung der von ihm Mitwirkungspflichten desgetroffenen technischen und Auftragnehmers, […]organisatorischen Maßnahmen sorgfältigauszuwählen. Der Auftrag ist schriftlich zuerteilen, wobei insbesondere im Einzelnen 9. der Umfang derfestzulegen sind: […] Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält […] […] Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.“ 10 RA Dr. Wulf, www.praetoria-legal.com
    • Kontrolle des Anbieters - Empfohlene Inhalte Vorlagepflicht von Zertifikaten & Prüfberichten (§ 9 BDSG) Reportingpflichten (z.B. zu Auditrechte Verfügbarkeit oder Systemänderungen) Kontrollpflichten Pflicht zur Protokollierung Vorbehalt von der Verfügbarkeit Weisungsrechten 11 RA Dr. Wulf, www.praetoria-legal.com
    • Beispiele aus der Praxis Amazon EC2: keine Kontrollrechte Google Apps: keine Kontrollrechte Microsoft Azure: keine Kontrollrechte Salesforce: keine Kontrollrechte in AGB, aber Stellungnahme Hogan Lovells zu Salesforce (Seite 6): „[…] Von der Einhaltung dieser technischen und organisatorischen Maßnahmen können sich die Kunden durch Audits vor Ort bei salesforce.com Inc. in den USA überzeugen. Derartige Audits können von den Kunden in regelmäßigen Abständen (zumeist einmal jährlich) und wann immer dies rechtlich erforderlich ist, durchgeführt werden. Den Kunden wird zudem auf Wunsch der jeweils aktuelle SAS 70 (Type II) Report zur Verfügung gestellt. Dadurch, dass unabhängige Dritte im Rahmen der zuvor genannten Zertifikate und Audits die Einhaltung der technischen und organisatorischen Maßnahmen bei salesforce.com prüfen, ist es für den einzelnen Kunden im Regelfall nicht erforderlich, ein Audit vor Ort in den USA bei salesforce.com Inc. durchzuführen. Nur im Einzelfall kann die besondere Sensitivität der Daten zu einem anderen Ergebnis führen […]“ 12 RA Dr. Wulf, www.praetoria-legal.com
    • Nutzungsrechte - Erforderlich oder nicht? Ansicht Nr. 1: Nutzung von Software in der Cloud (SaaS) ist Vervielfältigung nach § 69c Nr. 1 UrhG, da zumindest eine Speicherung im Arbeitsspeicher des Nutzers erfolgt Ansicht Nr. 2: Vervielfältigung technisch begleitend nach § 44a UrhG bzw. zur bestimmungsgemäßen Nutzung erforderlich nach § 69d Abs. 1 UrhG Ansicht Nr. 3: technische Vervielfältigung findet in der Cloud statt, daher keine urheberrechtlich relevante Handlung (Soweit ersichtlich) Keine Rechtsprechung vorhanden Daher: Vorerst auf Einräumung von Nutzungsrechten in Cloud-Verträgen achten → Von wieviel Arbeitsplätzen darf gleichzeitig Zugriff erfolgen? Dürfen Nutzungsrechte auf andere Anwender übertragen werden? 13 RA Dr. Wulf, www.praetoria-legal.com
    • Beispiel aus der Praxis Amazon Customer Agreement: “8.4 Service Offerings License. As between you and us, we or our affiliates or licensors own and reserve all right, title, and interest in and to the Service Offerings. We grant you a limited, revocable, non-exclusive, non-sublicensable, non-transferrable license to Amazon do the following during the Term: (i) access and use the Services solely in accordance with this - Einräumung von einfachen Agreement; and (ii) copy and use the AWS Content Nutzungsrechten an den solely in connection with your permitted use of the integrierten Softwareanwendungen Services. Except as provided in this Section 8.4, you obtain no rights under this Agreement from us - kein Recht zur Weitergabe oder or our licensors to the Service Offerings, including Nutzung nach Beendigung des any related intellectual property rights. Some AWS Vertrages Content may be provided to you under a separate license, such as the Apache Software License, in which case that license will govern your use of those AWS Content.” 14 RA Dr. Wulf, www.praetoria-legal.com
    • Change Request - Änderungsverfahren vorher klären Beispiel: Kunde wünscht neue Funktionen der Cloud-Anwendung oder neues Betriebssystem Beispiel: Anbieter ändert Leistungsinhalt (neue Funktionen) oder Leistungsumfang (weitere Nutzer, zusätzliche Speicherkapazitäten) Empfehlung: Change-Request-Verfahren vereinbaren • Änderungswunsch des Kunden mit Beschreibung und Begründung • Prüfung durch Anbieter und Mitteilung, ob vom Vertrag umfasst oder vergütungspflichtiger Sonderaufwand • ggf. Durchführung von Vertragsergänzung 15 RA Dr. Wulf, www.praetoria-legal.com
    • Beispiel aus der Praxis Amazon Customer Agreement: „2.1 To the Service Offerings. We may change, discontinue, or Amazon deprecate any of the Service Offerings (including the Service Offerings as a whole) or change or - Jederzeitiges Recht zur remove features or functionality of the Service Änderung der Leistung als solche Offerings from time to time. We will notify you of oder einzelner Funktionen any material change to or discontinuation of the Service Offerings.“ 16 RA Dr. Wulf, www.praetoria-legal.com
    • Datenschutz - § 11 BDSG beachten Cloud-Nutzer bleibt datenschutzrechtlich verantwortlich Zulässigkeit von Cloud-Diensten umstritten, in jedem Fall erforderlich (direkt oder analog): Einhaltung von § 11 BDSG Cloud-Vertrag muss daher Regelungen enthalten zu: • Dauer des Auftrages • Umfang, Art und Zweck der Datenverarbeitung • Art der Daten • Kreis der Betroffenen • den nach § 9 BDSG zu treffenden Maßnahmen • Berichtigung, Lösung und Sperrung von Daten • besonderen Pflichten des Anbieter (insb. Bestellung BetrDB) • Berechtigungen hinsichtlich Subunternehmern • Kontrollrechten des Kunden • Mitwirkungspflichten des Anbieters • mitzuteilenden Verstößen • Umfang der vorbehaltenen Weisungsbefugnisse • Rückgabe überlassener Datenträger und Datenlöschung. 17 RA Dr. Wulf, www.praetoria-legal.com
    • Beispiele aus der Praxis Amazon Customer Agreement: “3.2 Data Privacy. We Amazon participate in the safe harbor programs described in the Privacy Policy. You may specify the AWS regions in which Your Content will be stored and accessible by End Users. We will - Auswahl des Serverstandortes not move Your Content from your selected AWS regions without notifying you, unless required to comply with the law or requests of governmental entities. You consent to our collection, - Einwilligung in Übertragung von use and disclosure of information associated with the Service personenbezogenen Daten Offerings in accordance with our Privacy Policy, and to the processing of Your Content in, and the transfer of Your Content into, the AWS regions you select.” - keine weiteren Regelungen nach § 11 BDSG Microsoft Azure Nutzungsbedingungen: „Personenbezogene Microsoft Daten, die durch den Onlinedienst erfasst werden, können in den USA oder anderen Ländern, in denen Microsoft oder ihre Serviceprovider Einrichtungen unterhalten, übertragen, - Daten werden in die USA gespeichert und verarbeitet werden. Dies schließt transferiert, keine Auswahl des personenbezogene Daten ein, die Sie durch die Nutzung des Serverstandortes Dienstes erfassen. Indem Sie diesen Onlinedienst verwenden, erklären Sie sich mit der Übertragung von personenbezogenen Daten außerhalb Ihres Landes - Einwilligung in Übertragung von einverstanden. Sie erklären sich ebenfalls damit personenbezogenen Daten einverstanden, von den Personen, die Ihnen personenbezogene Daten bereitstellen, die entsprechenden Genehmigungen einzuholen, um die Daten an Microsoft und - keine weiteren Regelungen nach ihre Vertreter zu übertragen und die Übertragung, Speicherung § 11 BDSG und Verarbeitung derselben zu ermöglichen.“ 18 RA Dr. Wulf, www.praetoria-legal.com
    • Weiteres Beispiel aus der Praxis Stellungnahme Hogan Lovells für Salesforce (Seite 3): „Salesforce.com Inc. ist Safe Harbor-zertifiziert. Die salesforce.com Sàrl (als Auftragnehmerin) vereinbart mit deutschen Kunden (als Auftraggeber) regelmäßig eine Auftragsdatenverarbeitung gemäß § 11 BDSG als Anlage zum Rahmen-Abonnementvertrag. Zudem hat die salesforce.com Sàrl mit der salesforce.com Inc. eine Unter-Auftragsdatenverarbeitung gemäß § 11 BDSG vereinbart. Hierin hat die salesforce.com Sàrl die Verpflichtungen, die sie aus den mit ihren deutschen Kunden vereinbarten Auftragsdatenverarbeitungen treffen, an ihre Unter-Auftragsdatenverarbeiterin salesforce.com Inc. weitergegeben.“ 19 RA Dr. Wulf, www.praetoria-legal.com
    • Sperrungsrecht des Anbieters - Bestenfalls ausschließen Sperre als Zurückbehaltungsrecht grundsätzlich zulässig, jedoch infolge einer Verweigerung der Hauptleistungs- pflicht nur als letztes Mittel erlaubt Problem: Kunde macht sich erpressbar, wenn es um streitige Zahlungs- forderungen geht Lösung: Recht auf Sperre nur bei unstrittigen oder rechtskräftig festgestellten Ansprüchen durchsetzen 20 RA Dr. Wulf, www.praetoria-legal.com
    • Beispiel aus der Praxis Amazon Customer Agreement: “6.1 Generally. We Amazon may suspend your or any End User’s right to access or use any portion or all of the Service Sperre zulässig, wenn Offerings immediately upon notice to you if we determine: (a) your or an End User’s use of the • a.) Sicherheitsrisiko oder Service Offerings (i) poses a security risk to the Systemzugriff verursacht Service Offerings or any third party, (ii) may adversely impact the Service Offerings or the • b.) Haftungsansprüche Dritter systems or Content of any other AWS customer, or gegen Amazon erhobenen (iii) may subject us, our affiliates, or any third werden party to liability; (b) you are, or any End User is, in breach of this Agreement, including if you are • c.) Vertragsverletzung, wie delinquent on your payment obligations for more z.B. Zahlungsverzug mit mehr than 15 days; or (c) you have ceased to operate in als 15 Tagen the ordinary course, made an assignment for the benefit of creditors or similar disposition of your • d.) Geschäftseinstellung, assets, or become the subject of any bankruptcy, Insolvenz oder reorganization, liquidation, dissolution or similar Sicherungsabtretung proceeding.” 21 RA Dr. Wulf, www.praetoria-legal.com
    • Weiteres Beispiel aus der Praxis Microsoft Licensing-Nutzungsrechte für Onlinedienste: Microsoft „Ziffer III lit. c: Aussetzung des Onlinedienstes. Wir sind unter folgenden Bedingungen berechtigt, den Onlinedienst auszusetzen: (a) falls wir der Ansicht Sperre zulässig, wenn Microsoft sind, dass Ihre Verwendung des Onlinedienstes eine der Ansicht ist, dass direkte oder indirekte Gefahr für die Funktion oder Integrität unseres Netzwerks oder die Verwendung des • Gefahr für Netzwerk besteht Onlinedienstes durch andere darstellt, (b) falls wir der Ansicht sind, dass Sie Ihren Lizenzvertrag, einschließlich dieser Nutzungsrechte für Onlinedienste, verletzt haben, • der Lizenzvertrag verletzt wird (c) falls Ihre Verwendung die in der Dokumentation des jeweiligen Onlinedienstes angegebenen Quoten übersteigt oder (d) falls wir anderweitig gesetzlich dazu verpflichtet sind.“ Salesforce-Agreement: „10. Zahlungsversäumnis und Salesforce Aussetzung des Service - Zusätzlich zu den anderen ihr aus diesem Vertrag zustehenden Rechten behält sich salesforce.com das Recht vor, diesen Vertrag und Ihren Sperre zulässig, wenn Zugang zu dem Service vorübergehend auszusetzen Zahlungsverzug oder zu beenden, wenn Sie in Zahlungsverzug geraten.“ 22 RA Dr. Wulf, www.praetoria-legal.com
    • Kündigung - Bestenfalls lange Laufzeiten Lange Laufzeit oder Kündigungsfrist ratsam, da Umstellung einen erheblichen Aufwand erfordert Keine willkürliche Kündigung zulassen Kündigung mit kurzer Frist nur aus wichtigem Grund 23 RA Dr. Wulf, www.praetoria-legal.com
    • Beispiel aus der Praxis Amazon Customer Agreement: “7.2 Termination: (a) Termination for Convenience. You may terminate this Amazon Agreement for any reason by (1) providing us notice and (2) closing your account for all Services for which we provide an Kündigung zulässig, wenn account closing mechanism. We may terminate this Agreement for any reason by providing you 30 days advance notice. (b) Termination for Cause. (1) By Either Party. • Vertragsverletzung Either party may terminate this Agreement for cause upon 30 days advance notice to the other party if there is any material default or breach of this Agreement by the other party, unless • Grund für Sperre nach Ziffer the defaulting party has cured the material default or breach 6.1 (Sicherheitsrisiko, within the 30 day notice period. (2) By Us. We may also Erhebung von Ansprüchen terminate this Agreement immediately upon notice to you (A) Dritter, Zahlungsverzug, for cause, if any act or omission by you or any End User Sicherungsabtretung) results in a suspension described in Section 6.1, (B) if our relationship with a third party partner who provides software or other technology we use to provide the Service Offerings • Austritt eines expires, terminates or requires us to change the way we Softwarepartners provide the software or other technology as part of the Services, (C) if we believe providing the Services could create a substantial economic or technical burden or • Ansicht von Amazon, dass material security risk for us, (D) in order to comply with the Sicherheitsrisiko existent law or requests of governmental entities, or (E) if we determine use of the Service Offerings by you or any End Users or our provision of any of the Services to you or any End Users has • Unmöglichkeit der become impractical or unfeasible for any legal or regulatory Leistungserbringung aus reason.” 24 RA Dr. Wulf, www.praetoria-legal.com
    • Datenherausgabe nach Kündigung Zwingende Regelung nach § 11 BDSG Pflicht zur Unterstützungs- Verwendung pflicht des technischer Anbieters Datenherausgabe Standards Pflicht zur Hinterlegungs- Übergabe pflicht zm sämtlicher Daten Quellcode bei in festgelegtem SaaS Format Sonst Löschung der Daten 25 RA Dr. Wulf, www.praetoria-legal.com
    • Beispiel aus der Praxis Amazon Customer Agreement: “7.3. Effect of Amazon Termination: (b) Post-Termination Assistance. Unless we terminate your use of the Service Mitwirkung zur Datenherausgabe Offerings pursuant to Section 7.2(b), during und keine Datenlöschung, falls the 30 days following termination: (i) we will not erase any of Your Content as a result of the • Rechnungen bezahlt und termination; (ii) you may retrieve Your Content from the Services only if you have paid any • keine Kündigung wegen charges for any post-termination use of the Pflichtverletzung Service Offerings and all other amounts due; (Sicherheitsrisiko, Erhebung von Ansprüchen Dritter, and (iii) we will provide you with the same post- Zahlungsverzug, termination data retrieval assistance that we Sicherungsabtretung) generally make available to all customers.” 26 RA Dr. Wulf, www.praetoria-legal.com
    • Haftung - Bleiben Sie hartnäckig Haftungsreduzierung auf Höchstbetrag bei grober Fahrlässigkeit und Vorsatz nach deutschem Recht unzulässig US-Cloud-Anbieter beschränken jedoch regelmäßig ihre Haftung in allen Fällen auf das Serviceentgelt für 12 Monate 27 RA Dr. Wulf, www.praetoria-legal.com
    • Beispiel aus der Praxis Amazon Customer Agreement: “11. Limitations of Liability: WE AND OUR AFFILIATES OR LICENSORS WILL NOT BE LIABLE TO YOU FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, CONSEQUENTIAL OR EXEMPLARY DAMAGES (INCLUDING DAMAGES FOR LOSS OF Amazon PROFITS, GOODWILL, USE, OR DATA), EVEN IF A PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. FURTHER, NEITHER WE NOR ANY OF OUR AFFILIATES OR LICENSORS WILL - Keine Haftung für BE RESPONSIBLE FOR ANY COMPENSATION, REIMBURSEMENT, OR DAMAGES ARISING IN CONNECTION WITH: (A) YOUR INABILITY TO USE THE SERVICES, INCLUDING AS A RESULT OF ANY (I) • Schäden irgendwelcher Art TERMINATION OR SUSPENSION OF THIS AGREEMENT OR YOUR USE OF OR ACCESS TO THE SERVICE OFFERINGS, (II) OUR DISCONTINUATION OF ANY OR ALL OF THE SERVICE OFFERINGS, OR, (III) WITHOUT LIMITING ANY OBLIGATIONS UNDER THE SLAS, • (vorübergehende) Einstellung ANY UNANTICIPATED OR UNSCHEDULED DOWNTIME OF ALL OR A von Leistungen PORTION OF THE SERVICES FOR ANY REASON, INCLUDING AS A RESULT OF POWER OUTAGES, SYSTEM FAILURES OR OTHER INTERRUPTIONS; (B) THE COST OF PROCUREMENT OF • Datenverlust SUBSTITUTE GOODS OR SERVICES; (C) ANY INVESTMENTS, EXPENDITURES, OR COMMITMENTS BY YOU IN CONNECTION WITH THIS AGREEMENT OR YOUR USE OF OR ACCESS TO THE - Ansonsten Haftungsbesch- SERVICE OFFERINGS; OR (D) ANY UNAUTHORIZED ACCESS TO, ränkung auf 12-Monatsvergütung ALTERATION OF, OR THE DELETION, DESTRUCTION, DAMAGE, LOSS OR FAILURE TO STORE ANY OF YOUR CONTENT OR OTHER DATA. IN ANY CASE, OUR AND OUR AFFILIATES’ AND LICENSORS’ AGGREGATE LIABILITY UNDER THIS AGREEMENT WILL BE LIMITED TO THE AMOUNT YOU ACTUALLY PAY US UNDER THIS AGREEMENT FOR THE SERVICE THAT GAVE RISE TO THE CLAIM DURING THE 12 MONTHS PRECEDING THE CLAIM.” 28 RA Dr. Wulf, www.praetoria-legal.com
    • Anwendbares Recht Artikel 3 ROM-I-VO Nr. 593/2008 vom 17.6.2008: Vertrag unterliegt demjenigen Recht, welches von den Parteien vereinbart wurde. Sofern die Parteien keine Rechtswahl getroffen haben, gilt gemäß Artikel 4 ROM-I-VO das Recht des Staates, in welchem der Dienstleister seinen gewöhnlichen Aufenthalt hat Ort der Leistungserbringung ist unerheblich 29 RA Dr. Wulf, www.praetoria-legal.com
    • Beispiel aus der Praxis Amazon Customer Agreement: “13.11 Governing Law; Venue. The laws of the State Amazon of Washington, without reference to conflict of law rules, govern this Agreement and any - US-amerikanisches Recht ist dispute of any sort that might arise between you allein anwendbar and us. Any dispute relating in any way to the Service Offerings or this Agreement where a - damit keine Anwendung von party seeks aggregate relief of $7,500 or more deutschem AGB-Recht will be adjudicated in any state or federal court in King County, Washington.” 30 RA Dr. Wulf, www.praetoria-legal.com
    • Fazit - Worauf muss ich besonders achten? Checkliste • Klare Leistungsbeschreibung • Service Level Agreement mit abgestufter Sanktionsregelung • Kontrollrechte vereinbaren (Vorlage von Prüfberichten, Auditrechte, Weisungsvorbehalt, Verfügbarkeitsprotokollierung) • Nutzungsrechte einräumen lassen • Change-Request-Verfahren regeln • Datensicherheit garantieren lassen (tägliches Backup, technische/ organisatorische Datenschutzmaßnahmen, Zertifikat zur SSL- Verschlüsselung, Protokollierung von Sicherheitsverletzungen, bestenfalls ISO 27001) • Anlage zum Vertrag nach § 11 BDSG (Auftragsdatenverarbeitung) • Kein Recht auf Sperrung des Zugangs • Lange Laufzeiten, keine kurzfristige Kündigung durch Anbieter • Umfangreiche Pflicht zur Datenherausgabe nach Laufzeitende • Haftungsbeschränkung nach deutschem Standard • Deutsches Recht für anwendbar erklären 31 RA Dr. Wulf, www.praetoria-legal.com
    • Dankeschön. Vielen Dank für Ihre Aufmerksamkeit. Fragen? wulf@praetoria-legal.com Telefon 040 / 73 444 217-0 32 RA Dr. Wulf, www.praetoria-legal.com