An Cloud Computing führt heutzutage kein Weg mehr vorbei. Aitava ist DIE Kanzlei für alle Themen rund um die Cloud. Wir verfügen über Spezialisten, die seit mehr als 12 Jahren Kunden und Anbieter bei ihrem Weg in die Cloud unterstützen und eine langjährige Tätigkeit in der Rechtsabteilung des weltweit führenden Cloud-Anbieters vorweisen können.
Profitieren Sie von unserer herausragenden Expertise auf diesem Gebiet, sei es als Kunde oder Anbieter von Cloud-Diensten. Aitava ist nicht nur vertraut mit sämtlichen rechtlichen Fragen zu Cloud-Verträgen und Compliance in der Cloud. Wir haben auch ein tiefgreifendes Verständnis für die technischen Gegebenheiten, operativen Prozesse und kommerziellen Rahmenbedingungen in der Cloud. Wir bieten interdisziplinäre Beratung auf höchstem Niveau aus einer Hand.
Cloud Compliance
Datenschutz
Bei den meisten Cloud-Diensten werden personenbezogene Daten verarbeitet. Dementsprechend sind die DSGVO sowie nationale und ggf. sektorspezifische Datenschutzgesetze einzuhalten. Dies beginnt beim Abschluss eines adäquaten Auftragsverarbeitungsvertrags (AVV) samt angemessener technisch-organisatorischer Maßnahmen, Art. 28 und 32 DSGVO.
Die meiste Aufmerksamkeit gilt häufig einer möglichen Übermittlung von personenbezogenen Daten in Nicht-EWR-Länder bzw. einem etwaigen Datenzugriff durch Behörden in solchen Ländern (z.B. USA). Beides muss sich an den speziellen Hürden der Art. 44 ff. DSGVO messen lassen, unter Berücksichtigung des Schrems-II-Urteils des EuGH aus 2020 und der diesbezüglichen Position zuständiger Aufsichtsbehörden.
Es ist leider zu beobachten, dass einige Aufsichtsbehörden und Autoren diverse datenschutzrechtliche Anforderungen unangemessen streng interpretieren und über das gesetzlich gebotene Maß ausdehnen. Zudem existieren im Markt immer noch Fehlvorstellungen über technisch-operative Gegebenheiten bei Cloud-Anbietern. Das führt bei Kunden zu Verunsicherung darüber, ob Cloud-Dienste, insbesondre solche von US-Anbietern, datenschutzkonform genutzt werden können. Unsere Antwort auf diese Frage lautet „JA“ – und wir unterstützen Sie gerne dabei.
Geheimnisschutz
Cloud-Kunden aus bestimmten Branchen müssen einschlägige Bestimmungen zum Geheimnisschutz beachten. Dazu zählen insbesondere die sog. Berufsgeheimnisträger nach § 203 StGB, z.B. Ärzte, Anwälte, Steuerberater, Amtsträger sowie Versicherungen der Sparten Kranken, Leben und Unfall. Ein weiteres Beispiel sind Telekommunikationsanbieter, die dem Fernmeldegeheimnis nach § 206 StGB und § 3 TDDDG unterliegen.
Solche Geheimnisschutzvorschriften sind dann nicht nur von den Berufsgeheimnisträgern zu beachten, sondern auch von Cloud-Anbietern, z.B. wenn ein Anbieter in seiner SaaS-Lösung Geheimnisse von Berufsgeheimnisträgern verarbeitet und diese Lösung bei einem IaaS-Anbieter betreibt.
Es hat sich etabliert, eine spezielle Zusatzvereinbarung abzuschließen, die explizit die einschlägigen Geheimnisschutzpflichten in den Cloud-Vertrag einbezieht.
Ein anderer Aspekt ist der Schutz von Geschäftsgeheimnissen. Das GeschGehG verlangt angemessene Maßnahmen zum Schutz der betroffenen Informationen. Werden diese nicht erfüllt, gelten die Informationen nicht mehr als geschütztes Geschäftsgeheimnis. Deshalb hat der Kunde ein hohes Interesse daran, die Cloud-Nutzung durch technische (z.B. Verschlüsselung) und vertragliche Maßnahmen (insb. Geheimhaltungsverpflichtung des Anbieters) abzusichern.
Informationssicherheit
Informationssicherheit spielt eine überragende Rolle bei der Cloud-Nutzung, insbesondere bei geschäftskritischen Systemen oder Daten. Gesetzliche Anforderungen an die Informationssicherheit betreffen inzwischen fast jedes Unternehmen. Beispiele sind u.a.:
- anstehende BSIG-Novelle wegen der NIS2-Richtlinie, die zukünftig weit mehr Unternehmen betrifft als nur die bislang erfassten Betreiber Kritischer Infrastrukturen und inhaltlich über den bisherigen § 8a BSIG hinausgeht;
- Pflicht zu angemessenen technisch-organisatorischen Maßnahmen für Telekommunikationsanbieter (§ 165 TKG), Anbieter digitaler Dienste (§ 19 TDDDG) und jeden, der personenbezogene Daten verarbeitet (§ 32 DSGVO).
Häufig besteht bei Cloud-Diensten eine geteilte Verantwortung für Informationssicherheit zwischen Kunde und Anbieter. Bei IaaS und PaaS z.B. ist der Anbieter für die Sicherheit seiner Infrastruktur und Systemumgebung verantwortlich, während dem Kunden Maßnahmen zum Schutz seiner Daten und Anwendungen obliegen. Eine besondere Herausforderung ist das Spannungsverhältnis zwischen individuellen Sicherheitsanforderungen des Kunden und standardisierten Sicherheitsmaßnahmen des Cloud-Anbieters.
Aitava kennt nicht nur die rechtlichen Anforderungen, sondern auch die praktischen Herausforderungen. Vertrauen Sie in diesem sensiblen Bereich auf unsere Expertise.
Finanz- und Versicherungssektor
Finanzunternehmen, z.B. Versicherungen und Banken, unterliegen spezifischen regulatorischen Anforderungen an Informationssicherheit und betriebliche Resilienz. Die Aufsicht betont jedoch, dass eine rechtskonforme Cloud-Nutzung möglich ist – einschließlich Cloud-Diensten von US-Anbietern.
Egal ob Outsourcing Guidelines von EBA, EIOPA und ESMA, die Aufsichtsmitteilung der BaFin zur Cloud, o.ä. – wir unterstützen Sie bei der Umsetzung sektorspezifischer Anforderungen, wie z.B.:
- Versicherungen: §§ 23, 32 VAG, Art. 274 Delegierte Verordnung (EU) 2015/35, MaGo
- Banken und andere Finanzdienstleister: §§ 25a, 25b KWG, MaRisk
- Kapitalverwaltungsgesellschaften: §§ 28, 36 KAGB, Art. 75 ff. Delegierte Verordnung (EU) 231/2013, KaMaRisk
- Wertpapierdienstleister: § 80 WpHG, § 40 WPIG, Art. 30 ff. Delegierte Verordnung (EU) 2017/565
- Zahlungsdienstleister: §§ 26, 27 ZAG
Diese Anforderungen werden durch den Digital Operational Resilience Act (DORA) nochmals deutlich erhöht. DORA enthält u.a. überaus detaillierte Vorgaben für das IT-Risikomanagement, insb. das Management von Risiken bei der Nutzung von Cloud-Anbietern und anderen IT-Dienstleistern.
Gesundheitssektor
Auch im Gesundheitssektor ist die Cloud-Nutzung rechtskonform möglich – einschließlich Cloud-Diensten von Anbietern mit einer US-Muttergesellschaft. Aitava hilft Ihnen dabei, durch die speziellen Cloud-Anforderungen des Gesundheitssektors zu navigieren.
Neben dem Geheimnisschutz nach § 203 StGB steht häufig das Datenschutzrecht im Fokus. Im Gesundheitssektor sind oft besondere Bestimmungen relevant, die über die Anforderungen der DSGVO hinausgehen. Dies gilt insbesondere für die Datenverarbeitung außerhalb des EWR, für die zwingend ein Angemessenheitsbeschluss nach Art. 45 DSGVO vorliegen muss, während eine Rechtfertigung des Datentransfers über EU-Standardvertragsklauseln oder (Processor) Binding Corporate Rules nicht zulässig ist. Beispiele sind § 393 Abs. 2 SGX V und § 80 Abs. 2 SGB X, die u.a. die GKV betreffen, sowie § 4 Abs. 3 DiGAV für digitale Gesundheitsanwendungen.
§ 393 SGB V stellt einerseits ausdrücklich klar, dass Krankenkassen, Pflegekassen, Ärzte u.ä. die Cloud für die Verarbeitung von Sozial- und Gesundheitsdaten nutzen dürfen. Andererseits stellt er neben dem Ort der Datenverarbeitung (s.o.) zusätzliche Anforderungen auf, u.a., dass der Cloud-Anbieter über eine Niederlassung in Deutschland und ein aktuelles C5-Testat verfügt.
Öffentliche Hand
Auch die öffentliche Hand setzt zunehmend auf Cloud-Lösungen. Dabei sind nicht nur die Vorgaben des anwendbaren Vergaberechts zu beachten. Wir unterstützen Sie bei der Vertragsgestaltung sowie bei Rechtsfragen zu den relevanten Themen, wie z.B. Datenschutz, Informationssicherheit und Geheimnisschutz.
Dabei können u.a. Verwaltungsvorschriften, spezielle Landesgesetze sowie das BSIG zu beachten sein. Einrichtungen der Bundesverwaltung im Sinne des § 8 Abs. 1 BSIG müssen insbesondere die verbindlichen Mindeststandards des BSI zur Nutzung externer Cloud-Dienste umsetzen.
Seit 2022 liegen die EVB-IT Cloud vor. Nach unserer Wahrnehmung haben öffentliche Auftraggeber und ihre Anbieter bisher gemischte Erfahrungen damit gemacht. Egal ob Sie Auftraggeber oder Anbieter sind, wir helfen Ihnen dabei, die EVB-IT Cloud optimal einzusetzen und vorhandene Spielräume so zu nutzen, dass der Cloud-Vertrag auch praktikabel ist. Sofern zulässig, kann es aber auch sinnvoll sein, auf den Einsatz der EVB-IT Cloud zu verzichten und Vorlagen des Kunden oder Anbieters zu verwenden. Aitava ist in sämtlichen Konstellationen Ihr kompetenter Ansprechpartner für die Gestaltung und Verhandlung der Cloud-Verträge.
Wir leben Cloud-Projekte
Ein Partner auf Augenhöhe
Die Cloud ist unsere Welt. Aitava hat Spezialisten im Team, die dank ihrer langjährigen Tätigkeit beim weltweit führenden Cloud-Anbieter genau verstehen, was die Cloud ausmacht und wie sie funktioniert. Wir verstehen die Technologie und Prozesse, denn wir haben sie quasi „von innen“ begleitet. Wir betrachten ein Cloud-Projekt nicht nur durch die juristische Brille, sondern stets auch aus der Perspektive von Ops-Teams und anderer Stakeholder. Egal ob Vertragsbedingungen, Leistungsbeschreibung, SLAs oder Dokumente zur Informationssicherheit – wir stehen allen Ihren Teams als Sparringspartner zur Verfügung. Sie haben Fragen zur Abgrenzung der Verantwortlichkeiten zwischen Kunde und Anbieter? Sie brauchen einen Anwalt, mit dem Ihr Team über Details der Verfügbarkeitsregelung (Messpunkt, Messzeitraum, Messparameter, SLA-Reporting) sprechen kann? Aitava spricht die Sprache Ihrer Fachseite und unterstützt Sie ganzheitlich bei der Erstellung und Verhandlung von Cloud-Verträgen.
Kommerzielle Gestaltung
Die kommerziellen Modelle in der Cloud sind so vielfältig wie die Art der in der Cloud bereitgestellten Leistungen. So rechnen z.B. IaaS-Anbieter häufig nach Resourcenverbrauch ab (Rechenleistung, Speicherplatz, Datenvolumen, etc.), während bei SaaS oftmals die Anzahl der User relevant ist, es aber durchaus auch andere nutzungsabhängige Metriken gibt. Bei langfristigen Cloud-Verträgen kann zudem ein ausgewogener Preisanpassungsmechanismus relevant sein. Von besonderer kommerzieller Bedeutung sind zudem Vereinbarungen über fixe Abnahmemengen oder mindestens zu zahlende Gebühren im Gegenzug für Rabatte und Credits (Reserved Instances, Saving Plans, Private Pricing, Consumption Commitment, Commited Use Discount, u.ä.). Unser Team hat nicht nur in der Rolle als externe Anwälte die unterschiedlichsten Pricing-Modelle erlebt und verhandelt, sondern wir verfügen auch über First-Hand Inhouse-Erfahrung bei der Gestaltung solcher Modelle.
Pragmatisch, flexibel und praxisorientiert
Eine typische Situation bei Cloud-Projekten: Der Kunde hat individuelle Bedürfnisse und regulatorische Anforderungen, doch die Cloud ist ein one-to-many-Service mit standardisierten Features, Prozessen und Vertragsbedingungen des Anbieters. Egal ob Sie Kunde oder Anbieter sind, wir helfen Ihnen dabei, unnötigen Frust bei der Gestaltung und Verhandlung von Cloud-Verträgen zu vermeiden. Wir unterstützen Sie mit unserer Erfahrung bei der Entscheidung und Argumentation, ob und an welcher Stelle man besser mit eigenen Vertragsdokumenten arbeitet und wann die Dokumente des Vertragspartners der bessere Weg sind. Dank unserer umfassenden Expertise haben wir ein realistisches und praxistaugliches Verständnis dafür, bei welchen Punkten individuelle Gestaltungen und Verhandlungen sinnvoll sind und bei welchen man sich mit bestimmten operativen Gegebenheiten auseinandersetzen sollte.