Wenn der Software-Serviceanbieter pleite geht, kommen Kunden oft nicht mehr an ihre Daten. Auf diese Punkte sollten Sie bei Ihrem Software Cloud Vertrag acht geben. [...]
IT-Ziviltechnikern werden häufig Verträge mit Cloud-Service-Providern zur Prüfung vorgelegt. Während die juristischen Spitzfindigkeiten ausschließlich von Juristen überprüft werden, müssen die technischen Alltags-Probleme anhand praktischer Erfahrungen hinterfragt werden. Im folgenden Beitrag werden Besonderheiten am Beispiel „Ärztesoftware“ und „Software-Hinterlegung“ dargestellt.
Beispiel 1: Ärztesoftware
Die folgende Skizze stellt die Vertragssituation für eine kürzlich geprüfte Ärztesoftware dar:
Die Situation ist durch folgende Eckpfeiler charakterisiert:
- Der Arzt hat einen Software-Nutzungsvertrag mit dem Anbieter der Arzt–Software
- Die Software läuft in der Cloud eines Cloud-Service-Providers
- Fallweise hostet der Cloud-Service-Provider seine Infrastruktur in einem Rechenzentrum
- Der Arzt hat als einzigen Vertragspartner den Softwareanbieter der Arztsoftware. Falls dieser in Konkurs geht oder es zum Streitfall kommt ist die Herausgabe der Daten nicht gewährleistet.
Wo liegen die Daten?
Wie bei SaaS-Services (SaaS: Software as a Service) üblich, ist beim Kunden (Arzt) keine Client-Software installiert, sondern nur auf den in der Cloud befindlichen Servern, die Software wird über Browser aufgerufen. Die verarbeiteten Daten werden nicht beim Kunden, sondern im Cloud-Storage gespeichert.
Wer ist für das Backup zuständig?
Wer für das Backup zuständig ist, ist häufig nicht geregelt. Allerdings kann davon ausgegangen werden, dass der Cloud-Service-Provider (bzw. ein allenfalls dahinter liegendes Rechenzentrum) für das regelmäßige Backup sorgt (das entspricht zumindest dem geltenden Industriestandard).
Das hat den Vorteil, dass sich der Arzt nicht um das Backup kümmern muss. Im Fall eines Datenverlusts oder einer Korrumpierung der Daten sorgt der Cloud-Service-Provider bzw. das Rechenzentrum dafür, dass ein konsistentes Backup wieder aufgesetzt wird. Weder der Arzt, noch der SaaS-Provider muss sich darum kümmern.
Wem gehören die Daten?
Die gespeicherten Daten gehören dem Endkunden (Arzt). Deshalb wird dem Arzt z.B. folgendes angeboten (Auszug aus einem konkreten Vertrag):
Der Kunde kann jederzeit gegen Entgelt einen verschlüsselten Datensatz der „Daten des Kunden“ vom Service-Anbieter verlangen. Dieser Datensatz wird dem Kunden auf einem Datenträger (etwa USB-Stick) auf dem Postweg übermittelt. Das dafür zu entrichtende Entgelt ergibt sich aus der Preisliste.
Dazu ist folgendes festzuhalten:
Die Daten befinden in einem Cloud-Speicher bei einem Drittanbeter. Es muss sichergestellt sein, dass diese Daten vom Arzt jederzeit und ohne Zutun des Software-Anbieters in einem maschinell weiter verarbeitbaren Format exportiert werden können.
Abhängigkeit bei Vertrags-Streitigkeiten
Im Fall einer Insolvenz oder Nichterreichbarkeit des Software-Anbieters wird der Cloud-Service-Provider seine Services einstellen, der Arzt kommt nicht mehr an seine Daten. Da zwischen dem Arzt und dem Cloud-Service-Provider kein Vertragsverhältnis besteht, kann der Arzt die Herausgabe der Daten direkt vom -Service-Provider zwar verlangen, wird sie aber nicht bekommen. Vermutlich wird eine Herausgabe nur in Kulanz möglich sein, und zwar dann, wenn die Kunden allfällig offene Rechnungen des SW-Anbieters begleichen.
Die Herausgabe der Daten muss im Übrigen immer unverzüglich und unabhängig von allfälligen Ansprüchen gegenüber dem Kunden erfolgen. Deshalb ist es wichtig eine Möglichkeit zu haben, die es dem Endkunden erlaubt, die Daten selbst und jederzeit zu exportieren.
Beispiel 2: Software-Treuhandschaft (Escrow)
Eine ähnliche Situation besteht im Falle der Software-Treuhandschaft, wenn es sich bei der Software um ein Cloud-Service handelt. Der Endkunde, der die Software-Hinterlegung fordert, hat einen Vertrag mit dem Softwareanbieter und nicht mit dem Cloud-Service-Provider. Falls der Softwareanbieter in Konkurs geht, ist der Treuhänder verpflichtet, die Software dem Endkunden auszuhändigen, damit dieser die Wartung und Weiterentwicklung an Dritte vergeben kann.
Die hinterlegte Software allein genügt allerdings nicht. Der Endkunde benötigt in jedem Fall seine Daten, die liegen jedoch beim Cloud-Service-Provider bzw im Rechenzentrum und mit denen gibt es keinen Vertrag. Die Herausgabe der Daten ist daher nicht gewährleistet. Die meisten Verträge nehmen darauf keine Rücksicht.
Conclusio
Generell ist bei Verträgen über Cloud-Services vorzusehen, dass die Software über eine Export-Funktionalität der Daten verfügen muss. Diese ermöglicht dem Endkunden, unabhängig von Vertrags-Konstruktionen, regelmäßig, selbständig und jederzeit seine Daten zu exportieren.
Dabei ist natürlich sicherzustellen, dass die Daten in einem „brauchbaren“ Format vorliegen und eine aktuelle Dokumentation existiert.
*) DI Wolfgang Fiala ist seit 23 Jahren Ziviltechniker für Informatik. Von der Planung bis zur Überprüfung von IT-Systemen und IT-Projekten bis zur Vertragsprüfung in Zusammenarbeit mit Juristen ist er seit vielen Jahren Sachverständiger für kleine und große IT-Projekte. Zu seinen Spezialgebieten gehören DSGVO und Datenschutz.
Die bisherigen Folgen:
(11) Cookies: Rechtslage in Österreich
(10) Cloud-Services: Achtung auf faule Verträge
(9) DSGVO-Zertifikat: Was es ist und was es bringt
(8) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (2)
(7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)
(6) Webseiten DSGVO sicher machen
(5) Wie man bei Auskunftsbegehren Identität richtig feststellt
(4) So müssen Lösch-Begehren befolgt werden
(3) DSGVO in der Schule
(2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?
(2) Videoüberwachung – wer darf das und wie?
(1) DSGVO: Wie Datenpannen zu melden sind
(0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?
Be the first to comment