Cloud-Services: Achtung auf faule Verträge

Wenn der Software-Serviceanbieter pleite geht, kommen Kunden oft nicht mehr an ihre Daten. Auf diese Punkte sollten Sie bei Ihrem Software Cloud Vertrag acht geben. [...]

Datenschutz-Experte Fiala: „Die Cloud ist nur so sicher wie Ihr Vertrag“ (c) Pixabay
Datenschutz-Experte Fiala: „Die Cloud ist nur so sicher wie Ihr Vertrag“ (c) Pixabay

IT-Ziviltechnikern werden häufig Verträge mit Cloud-Service-Providern zur Prüfung vorgelegt. Während die juristischen Spitzfindigkeiten ausschließlich von Juristen überprüft werden, müssen die technischen Alltags-Probleme anhand praktischer Erfahrungen hinterfragt werden. Im folgenden Beitrag werden Besonderheiten am Beispiel „Ärztesoftware“ und „Software-Hinterlegung“ dargestellt.

Beispiel 1: Ärztesoftware

Die folgende Skizze stellt die Vertragssituation für eine kürzlich geprüfte Ärztesoftware dar:

Die Situation ist durch folgende Eckpfeiler charakterisiert:

  • Der Arzt hat einen Software-Nutzungsvertrag mit dem Anbieter der ArztSoftware
  • Die Software läuft in der Cloud eines Cloud-Service-Providers
  • Fallweise hostet der Cloud-Service-Provider seine Infrastruktur in einem Rechenzentrum
  • Der Arzt hat als einzigen Vertragspartner den Softwareanbieter der Arztsoftware. Falls dieser in Konkurs geht oder es zum Streitfall kommt ist die Herausgabe der Daten nicht gewährleistet.

Wo liegen die Daten?

Wie bei SaaS-Services (SaaS: Software as a Service) üblich, ist beim Kunden (Arzt) keine Client-Software installiert, sondern nur auf den in der Cloud befindlichen Servern, die Software wird über Browser aufgerufen. Die verarbeiteten Daten werden nicht beim Kunden, sondern im Cloud-Storage gespeichert.

Wer ist für das Backup zuständig?

Wer für das Backup zuständig ist, ist häufig nicht geregelt. Allerdings kann davon ausgegangen werden, dass der Cloud-Service-Provider (bzw. ein allenfalls dahinter liegendes Rechenzentrum) für das regelmäßige Backup sorgt (das entspricht zumindest dem geltenden Industriestandard).
Das hat den Vorteil, dass sich der Arzt nicht um das Backup kümmern muss. Im Fall eines Datenverlusts oder einer Korrumpierung der Daten sorgt der Cloud-Service-Provider bzw. das Rechenzentrum dafür, dass ein konsistentes Backup wieder aufgesetzt wird. Weder der Arzt, noch der SaaS-Provider muss sich darum kümmern.

Wem gehören die Daten?

Die gespeicherten Daten gehören dem Endkunden (Arzt). Deshalb wird dem Arzt z.B. folgendes angeboten (Auszug aus einem konkreten Vertrag):
Der Kunde kann jederzeit gegen Entgelt einen verschlüsselten Datensatz der „Daten des Kunden“ vom Service-Anbieter verlangen. Dieser Datensatz wird dem Kunden auf einem Datenträger (etwa USB-Stick) auf dem Postweg übermittelt. Das dafür zu entrichtende Entgelt ergibt sich aus der Preisliste.

Dazu ist folgendes festzuhalten:

Die Daten befinden in einem Cloud-Speicher bei einem Drittanbeter. Es muss sichergestellt sein, dass diese Daten vom Arzt jederzeit und ohne Zutun des Software-Anbieters in einem maschinell weiter verarbeitbaren Format exportiert werden können.

Abhängigkeit bei Vertrags-Streitigkeiten

Im Fall einer Insolvenz oder Nichterreichbarkeit des Software-Anbieters wird der Cloud-Service-Provider seine Services einstellen, der Arzt kommt nicht mehr an seine Daten. Da zwischen dem Arzt und dem Cloud-Service-Provider kein Vertragsverhältnis besteht, kann der Arzt die Herausgabe der Daten direkt vom Cloud-Service-Provider zwar verlangen, wird sie aber nicht bekommen. Vermutlich wird eine Herausgabe nur in Kulanz möglich sein, und zwar dann, wenn die Kunden allfällig offene Rechnungen des SW-Anbieters begleichen.
Die Herausgabe der Daten muss im Übrigen immer unverzüglich und unabhängig von allfälligen Ansprüchen gegenüber dem Kunden erfolgen. Deshalb ist es wichtig eine Möglichkeit zu haben, die es dem Endkunden erlaubt, die Daten selbst und jederzeit zu exportieren.

Beispiel 2: Software-Treuhandschaft (Escrow)

Eine ähnliche Situation besteht im Falle der Software-Treuhandschaft, wenn es sich bei der Software um ein Cloud-Service handelt. Der Endkunde, der die Software-Hinterlegung fordert, hat einen Vertrag mit dem Softwareanbieter und nicht mit dem Cloud-Service-Provider. Falls der Softwareanbieter in Konkurs geht, ist der Treuhänder verpflichtet, die Software dem Endkunden auszuhändigen, damit dieser die Wartung und Weiterentwicklung an Dritte vergeben kann.

Die hinterlegte Software allein genügt allerdings nicht. Der Endkunde benötigt in jedem Fall seine Daten, die liegen jedoch beim Cloud-Service-Provider bzw im Rechenzentrum und mit denen gibt es keinen Vertrag. Die Herausgabe der Daten ist daher nicht gewährleistet. Die meisten Verträge nehmen darauf keine Rücksicht.

Conclusio

Generell ist bei Verträgen über Cloud-Services vorzusehen, dass die Software über eine Export-Funktionalität der Daten verfügen muss. Diese ermöglicht dem Endkunden, unabhängig von Vertrags-Konstruktionen, regelmäßig, selbständig und jederzeit seine Daten zu exportieren.
Dabei ist natürlich sicherzustellen, dass die Daten in einem „brauchbaren“ Format vorliegen und eine aktuelle Dokumentation existiert.

*) DI Wolfgang Fiala ist seit 23 Jahren Ziviltechniker für Informatik. Von der Planung bis zur Überprüfung von IT-Systemen und IT-Projekten bis zur Vertragsprüfung in Zusammenarbeit mit Juristen ist er seit vielen Jahren Sachverständiger für kleine und große IT-Projekte. Zu seinen Spezialgebieten gehören DSGVO und Datenschutz.

Die bisherigen Folgen:

(11) Cookies: Rechtslage in Österreich
(10) Cloud-Services: Achtung auf faule Verträge
(9) DSGVO-Zertifikat: Was es ist und was es bringt
(8) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (2)
(7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)
(6) Webseiten DSGVO sicher machen
(5) Wie man bei Auskunftsbegehren Identität richtig feststellt
(4) So müssen Lösch-Begehren befolgt werden
(3) DSGVO in der Schule
(2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?
(2) Videoüberwachung – wer darf das und wie?
(1) DSGVO: Wie Datenpannen zu melden sind
(0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

News

Von Views zu Likes: Tipps, um die Zuschauer-Interaktion auf YouTube zu steigern

Bei YouTube ist die Zuschauerinteraktion ein entscheidendes Element für den Erfolg eines Kanals. Besonders im Jahr 2024 wird deutlich, dass Likes, Kommentare und Shares nicht nur für die Sichtbarkeit wichtig sind, sondern auch eine Schlüsselrolle im Algorithmus von YouTube spielen. Eine hohe Zuschauerbindung ist für Kanäle essenziell, um deren Inhalte optimal zu promoten. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*