Handbuch IT-Outsourcing. Joachim Schrey
Wie bereits in Abbildung 27 dargestellt, geht ein Kunde eine vertragliche Bindung mit (a) einem oder (b) mehreren Cloud-IT-Anbietern ein. Hierbei werden je nach Vertragsgestaltung unterschiedliche Leistungen wie ASP (c), die Bereitstellung von File- oder Webspace (d) oder Datenbankkapazitäten (e) zur Verfügung gestellt. Dies ist entsprechend rechtlich auch zu würdigen, insbesondere ob die Verträge individuell erstellt worden sind oder ob es sich um AGB nach §§ 305 ff. BGB handelt.[387] Wurden die Verträge individuell erstellt, so gibt es wenige Vorschriften, die nicht abbedungen werden können (z.B. die Haftung nach § 276 Abs. 3 BGB). Dagegen verhält sich die Sachlage bei AGB völlig anders, diese dürfen gem. § 307 Abs. 2 Nr. 1 BGB nicht vom wesentlichen Grundgedanken der gesetzlichen Regelungen abweichen. Diese Problematik liegt im Zuständigkeitsbereich des VIII. Senat des BGH und wurde vielfach in der Rspr. und Literatur diskutiert.[388] Die Notwendigkeit, bei der Gestaltung von AGB für IT-Services nicht wesentlich vom rechtlichen Charakter abzuweichen, stellt die Vertragsparteien häufig vor größere Herausforderungen. Dies gestaltet sich in einigen Fällen äußerst schwierig, da die kodifizierten Vertragswerke des Schuldrechts BT zuweilen über 100 Jahre alt sind und bei der Erschaffung des BGBs in der Zeit von 1874 bis 1900 (das BGB ist am 1.1.1900 in Kraft getreten) noch niemand an Outsourcing oder Cloud Computing dachte.
(1) Ein Cloud-Anbieter vs. Cloud-Kunde
417
Bezieht ein Kunde seine Leistungen nur von einem Cloud-Anbieter, so ergibt sich zunächst auch ein einfaches bilaterales Vertragsverhältnis.[389] Hierbei können die üblichen Regelungen je nach Leistungsteil wie bei einem normalen Outsourcing-/Hostingvertrag zugrunde gelegt werden. Auch wenn die Idee besteht, IT-Services wie Strom an einer Börse zu behandeln, ist dennoch nicht davon auszugehen, dass ein ständiger oder schneller Wechsel von Cloud-IT-Anbietern die Regel sein wird und entsprechend in den Verträgen zu berücksichtigen wäre.[390] Dies würde wahrscheinlich auch die Forderung des Cloud-IT-Anbieters für den Ersatz von Remanenzkosten in die Höhe treiben. Wichtig erscheint es dabei zu regeln, ob sich der Cloud-IT-Anbieter auch anderer Cloud-IT-Anbieter als Subunternehmer bedienen darf und wie dieser Sachverhalt zu behandeln ist (siehe b).
(2) Mehrere Cloud-Anbieter
418
Bezieht ein Kunde seine Leistungen von mehreren Cloud-IT-Anbietern, so stellt sich die Frage, in welcher Konstellation dies erfolgt.[391] Bedient sich der Kunde eines Generalunternehmers (GU), der sich verschiedener anderer Cloud-IT-Anbieter als Subunternehmer bedient, oder bedient er sich unterschiedlicher Cloud-IT-Anbieter und organisiert diese im Rahmen eines Vendor-Managements.[392]
419
Das Modell eines GU erscheint auf den ersten Blick sinnvoller, da ein Anbieter direkter Ansprechpartner für alle Fragen ist, sog. Single Point of Contact (SPOC), und natürlich über § 278 BGB auch für seine Erfüllungsgehilfen haftet. Insbesondere muss der GU auch darauf achten, dass entsprechende Sicherheits- und Qualitätsstandards (insbesondere bei der Datensicherheit und beim Datenschutz) bei den Subunternehmern beachtet werden müssen. Ggf. muss der GU dies auch durch entsprechende Audits überprüfen und nachweisen. In der Regel wird sich ein GU auch eine solche Stellung besonders vergüten lassen. In vielen Bereichen kann sich der Kunde nicht gänzlich von seinen Audit- und Überwachungspflichten entledigen, so z.B. durch den Datenschutz oder einige sektorspezifische Regelungen wie z.B. der § 25a KWG bei Finanzinstituten oder § 80 SGB X. In der Regel muss sich der Kunde hierbei über den GU auf den jeweiligen Subunternehmer ein Durchgriffsrecht einräumen lassen.
420
Das Modell des wahrscheinlich günstigeren Einzelbezugs von unterschiedlichen Cloud-IT-Anbietern (sog. Multi-Vendor-Strategie), weist dagegen einige technische und rechtliche Nachteile auf. Der Kunde muss vor allem darauf achten, dass die entsprechend einzeln eingekauften IT-Services auch miteinander harmonieren. Insbesondere könnte es bei Schlechtleistungen dazu führen, dass die unterschiedlichen Anbieter jeweils den Fehler nicht bei sich sehen, sondern beim jeweiligen anderen Anbieter.
(3) Bereitstellung von Web- oder Filespace
421
Die Bereitstellung von Webspeicher oder Filespeicher ist rechtlich gesehen ein wenig komplexer anzusehen. Im Wesentlichen sind dabei zwei Fragen zu beantworten: die vertragstypologischen Zuordnung und das Leistungsstörungsrecht.
(a) Vertragstypologische Zuordnung
422
Die Bereitstellung von Webspeicher und Filespace kann sicherlich nicht mit den gesetzlichen Regelungen ausreichend geregelt werden. Somit bedarf es eindeutiger vertraglicher Absprachen, wie z.B. ein Service-Level-Agreement und weiterer Regelungen.
423
Zur rechtlichen Einordnung von Cloud-Verträgen, in denen Webspeicher und Filespace zur Verfügung gestellt werden, werden in der Rechtsprechung nahezu alle Auffassungen bis auf die, dass es sich um einen Vertrag eigener Art handle, vertreten.[393] Es kann noch nicht von einer herrschenden Meinung gesprochen werden. Jedoch ist erkennbar, dass zumindest ein nicht unerheblicher Teil der Gerichte der Auffassung ist, dass der RZ-Vertrag als Werkvertrag zu qualifizieren ist.[394] Rechtlich gesehen dürften die meisten Cloud-Verträge zunächst einmal Dauerschuldverhältnisse sein.[395]
424
Die Einordnung von Cloud-Verträgen in die vertragstypologische Einordnung der im BGB gesetzlich normierten Verträge richtet sich nach der tatsächlich geschuldeten Leistung. Das Abspeichern der Daten und deren Sicherung auf dem Host des Cloud-Anbieters kann aber auch eine Verwahrung gemäß § 688 BGB darstellen.[396] Auch bei der Verwahrung werden nur bewegliche Gegenstände erfasst, so dass sich hier das gleiche Problem wie bei der Miete stellt. Vorteil dieses Vertragstyps ist, dass der Application Service Provider weder die Daten selbst nutzen[397] noch bei Dritten gemäß § 691 BGB hinterlegen, also etwa bei anderen Providern, speichern darf. Stellt der Auftragnehmer vor allem Rechenkapazität zur Verfügung, so liegt zeitweise bzw. teilweise Überlassung und somit Miete vor.[398] Dabei ist unerheblich, dass der Cloud-Kunde über Terminals oder PC (via Internet Explorer oder GUI = Graphical User Interface) Zugriff auf den Host des Cloud-Anbieters erhält. Dem Cloud-Vertrag, bei dem nicht auch die Erfüllung einer bestimmten betrieblichen Funktion geschuldet ist, entspricht insbesondere im Hinblick auf die Langzeitbindung am ehesten die Miete. Wichtig ist dies, weil dann die mietrechtlichen, evtl. dienstvertragsrechtlichen Kündigungsregeln und nicht § 649 BGB zur Anwendung kommen.[399] Somit handelt es sich bei Cloud-Verträgen grundsätzlich erst einmal um Miete von IT-Infrastrukturen.[400]
425
Kein Mietvertrag dürfte dann vorliegen, wenn der Cloud-Anbieter nicht nur Kapazitäten zur Verfügung stellt, sondern der Cloud-Anbieter mit eigenen Programme bzw. Applikationen Daten des Cloud-Kunden bearbeitet. Hierbei liegt die Einordnung ins Werkvertragsrecht sehr nah.[401]
426
Das reine Operating (Hosting), sprich das Betreiben des Rechenzentrums des Kunden, lässt sich eher dem Dienstvertragsrecht nach §§ 611 ff. BGB zuordnen, sofern kein Erfolgsmoment vorliegt.[402] Solche Modelle sind aber meist nicht Bestandteil von Cloud-Verträgen.
427
Beim Web-Hosting (ggf. auch für das Storage-Management), der auch auf dem Host des Cloud-Anbieters gespeichert wird, wird vertreten, dass es sich hierbei nicht um einen Mietvertrag nach §§ 535 ff. BGB handelt, sondern um einen Werkvertrag nach §§ 631 ff. BGB; Der Cloud-Anbieter schuldet als Leistung lediglich, dass die Website des Kunden bei ihm irgendwo gespeichert wird und dass sie im Internet aufgerufen werden kann. Eigentliche Leistung ist daher die Aufbewahrung der Information und ihr Zurverfügunghalten für den Abruf im Internet. Dies lässt am Vorliegen eines Mietvertrages ernsthaft zweifeln. Für den Kunden ist vor allem wichtig, dass die Inhalte dauernd abrufbar sind. Wie der Cloud-Anbieter diese