mietvertraglichen Leistungselementen
2.8 Governance, Audit-Rechte
Den Kunden treffen Sorgfaltspflichten aus den verschie-densten Bereichen, die eine uneingeschränkte Einhal-tung aller gültigen Gesetze und Regeln (Compliance) im Unternehmen gewährleisten sollen. Die Verpflichtung zu dieser Einhaltung kann meist nicht vollständig delegiert werden, sondern muss zumindest durch organisatorische Vorkehrungen des Unternehmens gewährleistet werden.
Die Sorgfaltspflichten müssen zunächst, sofern nicht bereits erfolgt, identifiziert werden. Dann muss genau geprüft werden, ob und in welchem Umfang der Kunde bestimmte Steuerungs- und Einflussmöglichkeiten benö-tigt, um seinen eigenen gesetzlichen Pflichten nachkom-men zu können.
Gesetzliche Sorgfaltspflichten ergeben sich oft auch aus branchenspezifischen Sondergesetzen. Dazu zählen beispielsweise § 11 Bundesdatenschutzgesetz für per-sonenbezogene Daten (vgl. Kapitel 3), § 238 Abs. 1 Satz 2 Handelsgesetzbuch für die Grundsätze ordnungsgemäßer Buchführung sowie die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) durch die Finanzverwaltung, § 64a Versicherungsaufsichtsgesetz für die Geschäftsorganisation von Versicherungsunter-nehmen, die umfangreichen Sozialdatenschutzregelun-gen bei Sozialleistungsträgern, § 147 Abgabenordnung für die Aufbewahrungspflichten für Geschäftsunterlagen; § 25a KWG, SOX; KontraG etc. Für bestimmte personenbezo-gene oder buchhalterische Daten können die gesetzlichen Sorgfaltspflichten dazu führen, dass ein Datentransfer in eine Public Cloud jedenfalls nicht möglich wäre, wenn dazu nicht besondere Maßnahmen ergriffen werden.
Dazu gehört bei der Verarbeitung personenbezogenen Daten im Auftrag des Kunden stets auch eine schriftliche Vereinbarung mit den gesetzlich geforderten Mindestin-halten (§ 11 Abs. 2 Bundesdatenschutzgesetz).
Zu gewährleisten ist insbesondere, dass der Kunde seine Pflichten etwa zur Auditierung gemäß den deutschen Datenschutzvorgaben einhalten kann. Der Kunde ist verpflichtet, selbst dafür Sorge zu tragen, dass er Kenntnis davon hat beziehungsweise sich verschaffen kann, wo seine Daten gespeichert sind. Beispielsweise mit einem allgemeinen Versprechen, dass der SaaS-Anbieter im Rah-men von Cloud-Computing-Leistungen alle gesetzlichen Regeln des Datenschutzes etc. einhalten werde, kann der Kunde seine Sorgfalts- und Überwachungsverantwortung nicht einhalten, falls dem SaaS-Anbieter eine Weitergabe dieser Zusage an den IaaS-Anbieter nicht gelingt. Oder auch eine vertragliche Verpflichtung des SaaS-Anbieters, er werde dem Kunden auf Anfrage einen Audit-Zugang beim IaaS-Anbieter verschaffen, ist ohne Zustimmung des IaaS-Anbieters wegen des Verbots eines Vertrags zu Lasten Dritter nicht wirksam. Im Zweifel empfiehlt es sich, neben dem Vertrag mit dem SaaS-Anbieter, einen Vertrag zur Auditgewährung direkt mit dem IaaS-Anbieter abzu-schließen (vgl. Abbildung 18).
An dieser Stelle soll auch darauf hingewiesen werden, dass gesetzliche Vorschriften der Exportkontrolle auch dann eingreifen können, wenn eine Software gar nicht physisch exportiert wird, sondern durch Cloud Computing deren Nutzung im Ausland ermöglicht wird. Software, die Exportrestriktionen unterliegt (z.B. Dual Use Software) darf daher grundsätzlich nicht – zumindest nicht ohne Zustimmung des Bundesamts für Ausfuhrkontrolle – in einer Public Cloud zur Verfügung gestellt werden. Denn die Exportrestriktionen, die zum einen die Ausfuhrbe-schränkung für bestimmte Länder und darüber hinaus auch eine Nutzungsuntersagung für bestimmte Länder (Verbot des Know-how-Transfers) enthalten, können in einer Public Cloud in der Regel nicht gewährleistet werden.
Abbildung 18: Direkter Vertrag für Auditierung
Netzbetreiber
Kunde
SW-Nutzung Entwicklung RZ-Nutzung
Software-Anbieter SaaS-Anbieter
PaaS-Anbieter
(Betrieb) PaaS-Anbieter
(Entwicklung)
IaaS-Anbieter
Zu den gesetzlichen Sorgfaltspflichten kommen noch die kundeninternen Vorgaben, wie Konzernregeln, Ethik- und Compliance-Regelungen hinzu, für deren Einhaltung Sorge getragen werden muss – speziell in international agierenden Konzernen und deren unterschiedlichen Abhängigkeiten.
Auch aus wirtschaftlichen Interessen kann für den Kun-den ein Bedarf an Steuerungsrechten entstehen. Solche Interessen betreffen beispielsweise den besonders sorg-fältigen Umgang mit sensiblen Daten und Geschäftsge-heimnissen, die nicht von einem Auftragsdatenverarbei-tungs-Audit für personenbezogene Daten erfasst werden.
Als Steuerungs- und Einflussmaßnahmen kommen beispielsweise die Vereinbarung von Weisungsrechten, Kontroll-/Auditrechten, Mitbestimmungsrechten oder Reportingpflichten des Anbieters in Betracht. Eine ziel-führende Auswahl der Steuerungs- und Einflussmöglich-keiten setzt zudem voraus, dass der Kunde das konkrete
IT-Risiko bewerten kann. Hierfür bedarf es einer großen Transparenz der Leistungen, die vom Anbieter für den Kunden vereinbarungsgemäß erbracht werden sollen. Die Einräumung von Steuerungs- und Einflussmöglichkeiten sollte nicht pauschal umfassend, sondern eher sparsam und konkret erfolgen. Sie sollte auch berücksichtigen, wel-che Steuerungs- und Einflussmöglichkeiten später auch tatsächlich genutzt werden oder zwingend sind, etwa weil gesetzlich vorgeschrieben.
2.9 Vergütung
Idealisierend wird in theoretischen Darstellungen von Cloud Computing die Vergütung als rein nutzungsabhän-gig beschrieben. Dieses Vergütungsmodell wird allerdings in vielen Fällen den Bedürfnissen und Interessen der beiden Vertragspartner in der Praxis nicht entsprechen.
Nachfolgend werden daher verschiedene Vergütungs-
und Abrechnungsmodelle für die praktische Umsetzung angesprochen.
2.9.1 Vergütungsmodelle
Für die Abrechnung der durch den Anbieter erbrachten Cloud-Computing-Leistungen bieten sich eine ganze Reihe unterschiedlicher Vergütungsmodelle an, die auch bedarfsgerecht und individuell mit einander kombiniert werden können.
Fixpreis / Flatfees
Die einfachste Art der Abrechnung ist das Fixpreis- bzw. Flatfee-Modell. Hierbei wird gegen eine feste Zahlung pro Abrechungseinheit – typischerweise eine Zeiteinheit wie Monat, Quartal oder Jahr – eine von genutzten Volumina unabhängige Vergütung zwischen Anbieter und Kunde vereinbart. Den Vortei-len der einfachen Abrechnung und Sicherheit in der Cashflow-Berechnung steht das kalkulatorische Risiko gegenüber, dass Nutzer mehr Leistungen abrufen, als der Anbieter kalkuliert hatte. Um diesem Risiko vorzubeugen müsste der Anbieter von vornherein einen Aufschlag auf die Vergütung für das tatsächlich erwartete Nutzungsvolumen vornehmen. Dadurch erhöhte Preise würden aber auch dem Interesse des Kunden zuwider laufen.
Pay per Use
Anders als beim Fixpreis- bzw. Flatfee-Modell zahlt der Kunde bei Pay per Use nur die tatsächlich abgerufenen Leistungen. Damit entfällt das oben benannte kalkula-torische Risiko, gleichzeitig aber auch der Vorteil einer sicheren Cashflow-Berechnung.
Mischmodelle
Es liegt auf der Hand, dass beide zuvor dargestellten Modelle, also Fixpreis- bzw. Flatfee sowie Pay per Use auch bedarfsgerecht miteinander kombiniert werden können. Dies führt in der Regel zu einer fixen Basiszahlung pro Abrechnungszeitraum, ergänzt durch eine von der tatsächlichen Nutzung abhängige flexible Vergütung. Diese kann auch derart definiert werden, dass erst ab dem Überschreiten einer zuvor bestimmten Nutzungsmenge eine ergänzende
variable Vergütung fällig wird. Damit kann ein guter Ausgleich zwischen den Risiken und Vorteilen der zuvor dargestellten Vergütungsmodelle erreicht werden.
Rechnungsbegleitende Dokumentation Im Zusammenhang mit der Frage nach dem pas-senden Vergütungsmodell ist auch der Aspekt der rechnungsbegleitenden Dokumentation zu beach-ten. Bei den Fixpreis- bzw. Flatfee-Modellen ist die Rechnungslegung erkennbar einfach, da nur der für den jeweiligen Abrechungszeitraum fällige fixe Betrag auszuweisen ist. Komplexer wird die Abrechnung bei Pay per Use und Mischmodellen, da hier detailliert ausgewiesen werden muss, welche abrechnungsfähi-gen Leistunabrechnungsfähi-gen innerhalb der jeweiliabrechnungsfähi-gen Abrechungs-periode in Anspruch genommen wurden. Dies muss also gemessen und nachvollziehbar dokumentiert werden, was mit zusätzlichen Aufwendungen beim Anbieter verbunden sein wird.
2.9.2 Preisanpassung
Im Rahmen der Vergütung ist unabhängig von dem gewählten Vergütungsmodell das Thema der Anpassung der Vergütung zu berücksichtigen.
Notwendigkeit der Anpassung wegen Vertragslauf-zeiten
Bei länger währenden Vertragsverhältnissen emp-fiehlt es sich, eine Preisanpassung vertraglich zu vereinbaren, um den sich verändernden Marktsitua-tionen Rechnung zu tragen. Eine Möglichkeit besteht in der Vereinbarung, die Preise jährlich um einen zuvor festgelegten Prozentsatz anzupassen. Um den Bedürfnissen des Nutzers angemessen Rechnung zu tragen, kann eine solche Preisanpassung auch mit einem Kündigungsrecht verbunden werden. Dieses Kündigungsrecht ‚diszipliniert’ dann den Anbieter, mit Preisanpassungen vorsichtig umzugehen. Eine derartige Klausel ist zwar komfortabel für den Anbie-ter, berücksichtigt jedoch eventuell sinkende Preise nicht. Da der Kunde wiederum von zukünftig fallen-den Marktpreisen profitieren möchte, können diese
unterschiedlichen Interessen z. B. durch eine Bench-mark-Vereinbarung in Einklang gebracht werden.
Im Rahmen eines sog. Preis-Benchmarkings werden vergleichbare Leistungen und Preise verschiedener zuvor festgelegter Anbieter in festgelegten Regionen (sog. Peer Group) einem Preisvergleich unterzogen.
Die Ergebnisse dieses Preisvergleiches können dann für die Preisanpassung herangezogen werden, entwe-der durch eine gesonentwe-derte Umsetzungsvereinbarung oder unmittelbar.
Preisgleitklauseln
Vertragsregelungen, die eine automatische Preisan-passung abhängig von Preisindices vorsehen, sind nur unter bestimmten Voraussetzungen zulässig.
Dies gilt es bei der Gestaltung solcher Regelungen zu beachten.
2.9.3 Abrechnungsmodelle
Vorauszahlung
Um eine Belastung mit dem Bonitätsrisiko der Kunden zu reduzieren, empfiehlt es sich für den Anbieter bei einer Fixed Fee eine Vorkasse zu vereinbaren. Bei einer Fixed Fee und einer variablen Vergütung sowie in den Fällen einer Vergütung „Pay Per Use“ sollte eine ange-messene Abschlagzahlung vereinbart werden.
Nachträgliche Abrechnung
Durch eine nachträgliche Abrechnung wird das Bonitätsrisiko des Kunden auf den Anbieter verlagert.
Die vertraglich geschuldeten Cloud-Computing-Leistungen sind dann bereits erbracht und können bei ausbleibender Vergütungszahlung auch nicht mehr zurückgeholt werden.