Die rechtlichen Aspekte des Cloud Computing oder worauf man dringend achten sollte

456

Bei der Beauftragung eines Cloud-Providers sind zahlreiche rechtliche Aspekte zu berücksichtigen – dies gilt umso mehr für öffentliche Auftraggeber. Was man dabei genau beachten sollte, dazu zwei Spezialisten in Sachen IP/IT und Procurement.

Cloud Computing zählt zweifellos zu den gegenwärtigen „Mega-Trends“ der Informationstechnologie. Nach einer weltweiten Umfrage des renommierten Marktforschungsunternehmens Gartner soll sich der weltweite Cloud Computing-Markt bis zum Jahr 2020 auf über 250 Milliarden Dollar verfünffachen. Während sich Cloud Computing bei privatwirtschaftlichen Unternehmen immer breiterer Akzeptanz erfreut, könnte die „IT aus der Wolke“ in Zeiten knapper Budgets und der stetigen Suche nach Einsparungsmöglichkeiten auch einen wesentlichen Beitrag zur Minimierung von IT-Kosten der öffentlichen Hand leisten.

BASIS
Unter „Cloud Computing“ versteht man dabei die Nutzung von IT-Infrastruktur, Plattformumgebungen und Software-Applikationen, die auf einer skalierbaren, virtuellen Infrastruktur betrieben und über das Internet zur Verfügung gestellt werden. In Anlehnung an den Grundgedanken des Cloud Computing „everything as a service“ wird dabei regelmäßig zwischen Infrastructure as a service (IaaS), Platform as a service (PaaS) und Software as a service (SaaS) unterschieden.

Wie beim Bezug elektrischer Energie, zu deren Erzeugung auch nicht jeder einzelne Abnehmer einen eigenen Generator betreibt, sondern diese „aus der Steckdose“ bezieht, sollen auch Cloud-Services wie Bedarfsgüter (commodities) jederzeit und bedarfsgerecht zur Verfügung stehen und nutzungsbasiert abgerechnet werden („pay as you go“).

Beim „Prototyp“ des Cloud Computing, der „öffentlichen Cloud“ gehören dabei der Cloud-Provider und seine Cloud-Nutzer nicht derselben Organisationseinheit an. Public Clouds stehen somit einer beliebigen Zahl von Personen zur Nutzung zur Verfügung, wobei für den Zugriff ein Web-Browser ausreicht (wie z.B. bei kostenlosen E-Mail-Diensten im Web). Im Gegensatz dazu ermöglichen „private Clouds“ eine organisationsinterne Nutzung eigener Rechenzentren auf Basis einer Cloud-Architektur und bieten so eine relative Abgeschlossenheit des Cloud-Systems zugunsten erhöhter IT-Sicherheit. Schließlich existieren auch Mischformen, deren Dienste sowohl in einer öffentlichen als auch in einer privaten Cloud angesiedelt sind („hybride Clouds“).

NUTZEN
Die Vorteile des Cloud Computing für ihre Nutzer liegen auf der Hand: Cloud-Services werden bedarfsgerecht „gemietet“. Hierdurch werden nicht nur eigene IT-Infrastrukturen verschlankt, sondern auch Über- oder Unterlizenzierungen vermieden. Auch lässt sich die Qualität der IT-Services mit verlässlichen Cloud-Providern steigern, da Services und Applikationen schnell und unkompliziert an veränderte Anforderungen angepasst und stets aktualisiert werden können. Letztlich profitieren dadurch auch die Bürger von schnelleren und besseren E-Government-Services.

Bei der Entscheidung für die Implementierung einer Cloud-Lösung und der Auswahl eines geeigneten Cloud-Providers stellt sich eine Fülle rechtlicher Fragestellungen, die u.a. vertrags-, datenschutz- und urheberrechtliche Aspekte umfassen. Für die öffentliche Hand ergeben sich darüber hinaus aber noch weitere Herausforderungen:
Zum einen hat die öffentliche Hand bei der Beauftragung von Cloud-Diensten das Vergaberecht einzuhalten: Ministerien, Gemeinden, Sozialversicherungsanstalten, aber auch staatlich beherrschte Unternehmen wie die BIG oder ASFINAG sind daher grundsätzlich verpflichtet, die Beschaffung von Cloud-Diensten in einem öffentlichen Vergabeverfahren auszuschreiben.

EINORDNUNG
Die Vertragsbeziehung zwischen Cloud-Nutzer und Cloud-Provider lässt sich dabei nur schwer einem bestimmten Vertragstypus eindeutig zuordnen, zumal bei Cloud-Services zumeist miet-, dienst- und werkvertragliche Elemente gleichzeitig vorliegen. Aus vergaberechtlicher Sicht sind derartige „gemischte“ Verträge entweder als Dienstleistungs- oder Lieferauftrag zu qualifizieren. Überwiegt der Wert der Dienstleistungen, so liegt insgesamt ein Dienstleistungsauftrag vor und umgekehrt (sog. „main value test“).

Untrennbar mit dem Beschaffungsgegenstand ist auch die Leistungsbeschreibung verbunden. Dabei erfolgt die Leistungsbeschreibung im Rahmen einer Ausschreibung anhand technischer, kaufmännischer und rechtlicher Spezifikationen. Bei den technischen Spezifikationen (d.h. den vom Auftraggeber beschriebenen technischen Anforderungen an die Cloud) hat der Auftraggeber das Wahlrecht zwischen „konstruktiver“ oder „funktionaler“ Leistungsbeschreibung. Erwartet der Auftraggeber Optimierungen und innovative Lösungsvorschläge durch Bieter, so bietet sich die funktionale Leistungsbeschreibung an, also die Beschreibung der gewünschten Leistung als Aufgabenstellung mit bestimmten Leistungs- oder Funktionsanforderungen.

Bei einer konstruktiven Leistungsbeschreibung trifft den Auftraggeber hingegen die Pflicht, in einem Leistungsverzeichnis die einzelnen Teilleistungen genau zu beschreiben. Die Leistungsbeschreibung ist sodann auch für die Wahl des Vergabeverfahrens (etwa das offene Verfahren für „standardisierte“ Clouds oder das Verhandlungsverfahren bei komplexen, nicht-standardisierbaren Clouds) mitentscheidend.
Datenschutz. Weiters sind auch datenschutzrechtliche Anforderungen zu beachten: So kann etwa bereits die Überlassung sensibler Daten durch öffentliche Auftraggeber an private Dienstleister im Inland einer Anzeigepflicht bei der Datenschutzkommission (DSK) unterliegen und gegebenenfalls untersagt werden. Noch weitreichendere Beschränkungen würden für Datenüberlassungen ins Ausland gelten; für die öffentliche Hand kommen daher vorerst insbesondere Cloud-Anbieter in Frage, deren Cloud-Leistungen sich auf das Inland beschränken („Österreich-Cloud“).

QUALITÄT
Bei Cloud-Diensten wird die Auswahl des Cloud-Providers i.d.R. im Qualitätswettbewerb nach dem Bestbieterprinzip erfolgen; entsprechend ist nicht nur der niedrigste Preis, sondern das technisch und wirtschaftlich günstigste Angebot entscheidend. Neben bestimmten „Key Performance Indicators“ (KPI) kommt noch eine Vielzahl weiterer Zuschlagskriterien in Betracht. „Subjektive“ Zuschlagskriterien sind dabei durch Fachjurys zu bewerten (etwa ein Maßnahmenkonzept zur Sicherstellung von Authentizität und Integrität; Netzsicherheit; Verschlüsselungsmanagement; Umgang mit sensiblen Daten; Trennung von Daten unterschiedlicher Kunden; Datensicherung; etc). Bietet ein Unternehmen etwa kürzere Reaktionszeiten oder eine höhere Verfügbarkeit an, so führt dies zu einer Besserbewertung. Das genaue Bewertungsschema ist freilich in den Ausschreibungsunterlagen vorab abschließend festzulegen; die Nichteinhaltung angebotener Zusagen im Leistungsvertrag entsprechend zu pönalisieren (etwa mittels einer Vertragsstrafe oder eines sog. „Service Level Credit“).

STANDARDS
Vorerst werden die anwendbaren Cloud-Standards weitestgehend von privaten Cloud-Anbietern vorgegeben, sodass es für die öffentliche Hand noch schwierig sein wird, hier eigene Grundstandards einzufordern.

Abhilfe könnten dabei organisationsübergreifende Cloud-Kooperationen schaffen, die Cloud-Providern auch eine entsprechende Nachfragemacht gegenüberstellen und so spezifische „Verwaltungs-Clouds“ für beide Vertragsseiten attraktiv machen. „Verwaltungs-Clouds“ bieten sich dabei insbesondere für Gemeinden an. Für derartige sog. „interkommunale Kooperationen“ hat der Europäische Gerichtshof jüngst wichtige Klarstellungen getroffen. Die Aufgabenübertragung an kommunale Verbände oder an gemischt-öffentliche Kooperationsgesellschaften unterliegt unter gewissen Umständen nämlich nicht der Anwendung des Vergaberechts.

Dr. Johannes Schnitzer
Mag. Roland Marko

www.wolftheiss.com

Foto: Dr. Johannes Schnitzer(links), Mag. Roland Marko © Walter J. Sieberer

Flower