Im Zweifel rechtlich abgesichert - im Interview mit Dr. Moritz Hüsch von Heymann & Partner

Heymann & Partner ist eine Rechtsanwaltskanzlei mit Sitz in Frankfurt. In Ihren Kerngebieten Technologien, Gesellschaftsrecht, Private Equity, Restrukturierungen, Outsourcing und Intellectual Property bietet die Kanzlei ihren Klienten einen umfassenden Service. Zahlreiche Auszeichnungen zeigen, dass Heymann & Partner in mehreren Rechtsgebieten eine führende Kanzlei in Deutschland ist. Im Gespräch mit Dr. Moritz Hüsch wollen wir uns insbesondere dem Einkaufsthema Beschaffung von Cloud-Services widmen.

Dr. HüschIT&MEDIA: Nicht nur bei Unternehmen und Konzernen ist mittlerweile das Potenzial bekannt IT Infrastruktur in die Cloud zu verlagern. Auch im Mittelstand drängen viele Unternehmen nun vermehrt in entsprechende Cloud Lösungen hinein. Gerade hier gibt es jedoch viele rechtliche Hürden und Stolpersteine zu beachten. Was sind Ihrer Meinung nach die 3 größten Fehler, die ein Unternehmen bei der Einführung bzw. der Nutzung von einem Cloud Service begehen kann?

Dr. Moritz Hüsch: Es gibt eine Reihe von Fehlern, die im Laufe der Zeit zu erheblichen Problemen und Risiken führen können. Ein nennenswerter Fehler ist sicherlich mangelnde Vorbereitung. Als erster Schritt sollten strategische Überlegungen stehen, die vom Business und der IT begleitet werden; im zweiten Schritt sollte dann eine Analyse erfolgen, ob und inwieweit das Unternehmen bereit ist, die gewünschten Cloud Services zu beziehen („cloud readiness“). Ein zweiter nennenswerter Fehler ist die unzureichende Prüfung und Verhandlung des Cloud Service Vertrages – hier gibt es diverse kritische Punkte, die zu adressieren sind (Leistungsbeschreibung, Commercials, etc.). Ein dritter Fehler ist, den Exit bei den Vertragsverhandlungen nicht ausreichend zu berücksichtigen; das kann am Ende der Vertragslaufzeit zu erheblichem Konfliktpotential und hohen Kosten führen

IT&MEDIA: Kann man aus ihrer Sicht vielleicht eine Art Reihenfolge der entsprechenden Maßnahmen vorgeben, die man bei der Beschaffung von Cloud Services beachten sollte? Welche wären das?

Dr. Moritz Hüsch: Ja, es gibt eine Reihenfolge, die bei der Beschaffung von Cloud Services hilft – wobei das als Basis zu verstehen ist, der Beschaffungsprozess ist natürlich insbesondere in Bezug auf Details von Unternehmen zu Unternehmen unterschiedlich. Zunächst einmal sollte der Beschaffung eine Vorbereitungsphase vorangestellt werden. In dieser Phase sollte unter anderem untersucht werden, welche Cloud Services aus Business-/IT-Perspektive eingekauft werden sollen. Darüber hinaus muss in rechtlicher Hinsicht die Datenlandschaft im Unternehmen analysiert und strukturiert werden. Das Unternehmen sollte vor der Beschaffung von Cloud Services wissen, welche Arten von Daten auf welchen Systemen gespeichert sind und verarbeitet werden. In einem zweiten Schritt sind die gesetzlichen und unternehmensspezifischen Restriktionen zusammenzustellen, die bei der Verarbeitung der Daten zu beachten sind (bspw. Datenschutzgesetze, Export-Kontroll-Gesetze, unternehmensspezifischer Schutz von Know-how und sonstigem geheimen geistigen Eigentum). Je nach Komplexität hat es Sinn, Datenkategorien zu bilden und pro Kategorie die Restriktionen festzulegen. Der nächste Schritt ist dann die Prüfung, ob die Daten bereits so gespeichert sind, dass Cloud Services ohne weitere Maßnahmen (bspw. Datentrennung, Systemtrennung) umgesetzt werden können. Diese Vorbereitungen haben z.T. große Auswirkungen auf das Design der Cloud Services und sollten daher mit entsprechender Sorgfalt durchgeführt werden.

IT&MEDIA: Leistungsbeschreibungen und Service Level Agreements (SLAs) können recht umfangreich und vor allen Dingen dynamisch sein. Prozesse ändern sich im Unternehmen. Wie gut muss der Dienstleister auf diese Anforderungen eingehen und was bedeutet das rechtlich?

Dr. Moritz Hüsch: Die Leistungsbeschreibungen und SLAs bilden den Kern des Servicevertrages. Die Unternehmen sollten ihrerseits auf detaillierte und umfassende Leistungsbeschreibungen und die passenden SLAs achten. Fehlen Leistungsbeschreibungen besteht grundsätzlich keine Pflicht des Dienstleisters, die nicht-beschriebene Leistung zu erbringen. Das Unternehmen muss sie dann über eine in der Regel kostenpflichtige Order oder Change zusätzlich beauftragen. Die Beschreibung der SLAs sollte alle wesentlichen Aspekte beinhalten, also auch die Messpunkte, an denen die Performance gemessen wird und Prüfrechte des Kunden, wenn es Unstimmigkeiten gibt. Auf der anderen Seite sollten Dienstleiter die Unternehmen bei der Festlegung von SLAs mit ihrer Erfahrung unterstützen – es passiert regelmäßig, dass Kunden zu hohe (und damit auch zu teure) SLAs verlangen, schlicht, weil Ihnen eigene Vergleichswerte zum Marktstandard fehlen. Bei den Leistungsbeschreibungen sollten die Dienstleister darauf achten, dass sie in einem zumutbaren Umfang berechtigt sind, Weiterentwicklungen der Leistungsbeschreibungen zu veröffentlichen – bei den SLAs sollte dies in jedem Fall nur mit Zustimmung des Kunden gehen, bei den Beschreibungen kann das in Grenzen ohne Zustimmung geschehen. Allerdings hängt hier Vieles vom Einzelfall ab; wenn es sich z.B. um einen Standardservice handelt, ist in der Regel auch AGB-Recht auf den Servicevertrag anwendbar, was deutliche Einschränkungen auch beim einseitigen Leistungsänderungsrecht nach sich zieht.

IT&MEDIA: Das deutsche Datenschutzgesetz wird von vielen Unternehmen heute noch als lästig empfunden. Welche Erfahrungen machen Sie in Ihrer täglichen Arbeit mit Unternehmen, die hiermit zu sorglos umgehen?

Dr. Moritz Hüsch: Unsere Mandanten räumen dem Datenschutz eine kontinuierlich wachsende Bedeutung ein und werden von uns auch in diesem Bereich z.T. sehr intensiv beraten (sowohl beim nationalen als auch beim internationalen Datenschutz). Wir gehen davon aus, dass dies nach den jüngsten Entwicklungen auch so weiter geht. Gerade durch die Safe Harbor-Entscheidung und die in Kürze in Kraft tretende Datenschutzgrundverordnung, die u.a. sehr schmerzhafte Strafzahlungen für Unternehmen vorsieht, werden die Risiken für Unternehmen stetig höher. Verstöße in diesem Bereich können schon heute empfindliche Strafzahlungen nach sich ziehen; darüber hinaus leidet oft auch die Reputation eines Unternehmens erheblich, wenn Datenschutzverstöße publik werden.

IT&MEDIA: Die jüngste EuGH-Rechtsprechung hat sich geändert. Welchen Einfluss hat das auf das Thema zusammengefasst auf die Bereiche Datensicherung und Datenschutz?

Dr. Moritz Hüsch: Unternehmen mit Geschäftsbeziehungen in die USA sollten auf jeden Fall prüfen, ob sie einen juristisch relevanten Datentransfer in die USA haben. Der Transfer im juristischen Sinn ist sehr weit zu verstehen und auch dann erfüllt, wenn bspw. Support für IT-Systeme aus den USA erbracht wird. Wenn das der Fall ist (häufig gibt es zahlreiche Berührungspunkte), sollte weiter geprüft werden, welche vertraglichen Maßnahmen zum Schutz der Daten getroffen wurden. Da die Safe Harbor-Zertifizierung nach der EuGH-Entscheidung kein probates Mittel mehr ist, müssen die Unternehmen andere Maßnahmen umsetzen. Es wird erwartet, dass sich die Europäische Kommission in Kürze zu diesem Punkt äußern und Maßnahmen vorschlagen wird. Zurzeit gibt es Stimmen in den Behörden, die einen Datentransfer in die USA in jedem Fall für unzulässig halten. Das Risiko für Unternehmen ist so oder so höher denn je; die deutschen Behörden haben angekündigt, ab Februar verstärkt Unternehmen in diesen Punkten zu überprüfen.

IT&MEDIA: Welchen Tipp können Sie Unternehmen geben, wenn es um das Thema Exit-Szenario geht?

Dr. Moritz Hüsch: Beim Exit kommt es vor allem darauf an, dass Unternehmen juristisch und faktisch die Möglichkeit haben, zu kommerziell akzeptablen Bedingungen auf einen anderen Anbieter zu wechseln. Hierzu sind verschiedene Themen im Vertrag mit dem aktuellen Dienstleister zu adressieren, z.B. das Format, in dem die Daten beim Dienstleister gespeichert werden – ist es sein Standardformat oder ein spezielles, das die Übertragung der Daten auf einen neuen Anbieter erschwert oder ggf. verhindert und, jedenfalls abstrakt, den Inhalt und Umfang der Unterstützungsleistungen (Exit-Services), die der aktuelle Dienstleister erbringen wird. Schließlich sollten auch die kommerziellen Bedingungen klar geregelt werden (bspw. Exit-Services gegen Festpreis oder nach Aufwand zu definierten Rates).

IT&MEDIA: In Ihrem Vortrag am 11. Februar wollen Sie verstärkt über das Thema Cloud Services und IT-Compliance sprechen. Ich bin sicher, das wird ein spannender Vortrag. An dieser Stelle herzlichen Dank für das Interview.

Sie finden Heymann & Partner am 11. Februar 2016 auf Ebene 1, Stand 1S9. 

Weitere Informationen und Kontakt: 

Heymann & Partner Rechtsanwälte mbB
Taunusanlage 1
60329 Frankfurt am Main

www.heylaw.de

 

Kontakt aufnehmen

AMC Media Network GmbH & Co. KG 
Robert-Bosch-Str. 7
64293 Darmstadt

telefon

Tel:  +49 (0) 6151 – 957 577 -0
Fax:  +49 (0) 6151 – 957 577 -9

email post

Mail:office@amc-media-network.de

Web:www.amc-media-network.de

Sie erreichen uns...

während unserer Bürozeiten 

  • Mo-Fr: 9:00 Uhr - 17:00 Uhr 
  • Samstag und Sonntag ist das Büro geschlossen