1
Ein Überblick von
RA Dr. Hans M. WulfFachanwalt für IT-Recht
11.08.2011
Vertragliche Fallstricke beim Cloud ComputingAm Beispiel der Amazon Web Services
2
Inhaltsübersicht
RA Dr. Wulf, www.praetoria-legal.com
Einleitung
Einordnung der Anbieterpflichten
Kündigung, Datenherausgabe
Nutzungsrechte
Sperrungsrecht des Anbieters
Kontrolle des Anbieters
Verfügbarkeit
Change Requests
Datensicherheit, Datenschutz
Haftung, Anwendbares Recht
Haftungsrisiko § 91 AktG
3
Warum ist der Cloud-Computing-Vertrag wichtig?
RA Dr. Wulf, www.praetoria-legal.com
Wenig Rechtsprechung
Umfangreiches und risikominimiertes Vertragswerk
erforderlich
Nutzungsbedingungen
Service Level Agreement
Pflicht zur Installation von Risikomanagement
Nachteilige Vertragsklauseln bedeuten Risiko
Unklare Gewährleistung
4
Wie sind die Pflichten des Anbieters jur. einzuordnen?
RA Dr. Wulf, www.praetoria-legal.com
Zugriff auf Hardware-Umgebung und Speicherplatz (IaaS) Mietvertrag
Zugriff auf Laufzeit- und Entwicklungsumgebung (PaaS) Mietvertrag
Nutzung von Software auf Server (SaaS)
Bereitstellung bestimmter Bandbreite
Mietvertrag
Dienstvertrag
Pflege, Weiterentwicklung, Aktualisierung von Software Dienstvertrag
Bereitstellung von Rechenleistung Dienstvertrag
Überwachungs- und Betriebsleistungen Dienstvertrag
Installation, Implementierung, Anpassung von Software Werkvertrag
5
Was ist zur Verfügbarkeit zu beachten?
RA Dr. Wulf, www.praetoria-legal.com
Verfügbarkeit ist Hauptleistungspflicht des Anbieters
Vertragliche Einschränkung der Verfügbarkeit ist bei Standardverträgen grundsätzlich unzulässige Haftungsbeschränkung
Jedoch anerkannt, dass Pflege- und Wartungsmaßnahmen die Verfügbarkeit einschränken müssen
Daher regelmäßige Verfügbarkeit von 98,5 bis 99,99% im Jahresdurchschnitt
6
Welche Rechtsfolgen der Unterschreitung kennt das Gesetz?
RA Dr. Wulf, www.praetoria-legal.com
Mietvertrag (z.B. Zugriff auf Software)
Minderung
Rechtsfolgen Selbstvornahme mit Aufwendungsersatz
Schadensersatz
Dienstvertrag (z.B. Konfiguration von Software)
Rechtsfolgen Schadensersatz bei Pflichtverletzung
Kündigung
Werkvertrag (z.B. Installation von Software auf Server): Nacherfüllung, Nachbesserung
Rechtsfolgen Selbstvornahme mit Aufwendungsersatz
Minderung
Rücktritt
Schadensersatz
Zugriff?
Zugriff?
Bezifferung, Nachweis?
Bezifferung, Nachweis?
Bezifferung, Nachweis?
7
Wie kann man die Probleme umgehen?
RA Dr. Wulf, www.praetoria-legal.com
Empfehlung: Service Level Agreement kann Schwächen der gesetzlichen Gewährleistung ausgleichen
Gängigste Inhalte eines SLA:
• Verfügbarkeit der Dienste• Reaktionszeiten im Störfall• Explizites Sanktionsregime
Sanktionsregime (Beispiel):
1. Stufe: Minderungsansprüche2. Stufe: Vertragsstrafe, abhängig vom Ausmaß der
Unterschreitung3. Stufe: Kündigungsrecht
8
Beispiel aus der Praxis
RA Dr. Wulf, www.praetoria-legal.com
Amazon EC2 Service Level Agreement: “Service Commitment - AWS will use commercially reasonable efforts to make Amazon EC2 availablewith an Annual Uptime Percentage (defined below) of at least 99.95% during the Service Year. In the event Amazon EC2 does not meet the Annual Uptime Percentage commitment, you will be eligible to receive a Service Credit as described below.”
Amazon EC2 Service Level Agreement: “Service Commitments and Service Credits - If the Annual Uptime Percentage for a customer drops below 99.95% for the Service Year, that customer is eligible to receive a Service Credit equal to 10% of their bill (excluding one-time payments made for Reserved Instances) for the Eligible Credit Period … We will apply any Service Credits only against future Amazon EC2 payments otherwise due from you; provided that, we may issue the Service Credit to the credit card that you used to pay for Amazon EC2 for the billing cycle in which the error occurred. Service Credits shall not entitle you to any refund or other payment from AWS."Amazon EC2 Service Level Agreement: “Amazon EC2 SLA Exclusions - The Service Commitment does not apply to any unavailability, suspension or termination of Amazon EC2, or any other Amazon EC2 performance issues: (i) that result from a suspension described in Section 6.1 of the AWS Agreement; (ii) caused by factors outside of our reasonable control, including any force majeure event or Internet access or related problems beyond the demarcation point of Amazon EC2; (iii) that result from any actions or inactions of you or any third party; (iv) that result from your equipment, software or other technology and/or third party equipment, software or other technology (other than third party equipment within our direct control); (v) that result from failures of individual instances not attributable to Region Unavailability; or (vi) arising from our suspension and termination of your right to use Amazon EC2 in accordance with the AWS Agreement."
Amazon
- Angestrebte Verfügbarkeit von 99,95% im Jahresdurchschnitt
- Bei Unterschreitung erfolgt Gutschrift
- Gutschrift beträgt 10% der Rechnungssumme
- Gutschrift muss verrechnet werden (keine Auszahlung)
- Keine Gutschrift bei verschuldeter Sperre oder externer Ursache für Störung
9
Weiteres Beispiel aus der Praxis
RA Dr. Wulf, www.praetoria-legal.com
Salesforce Master Subscription Agreement: “4.1. Our Responsibilities. We shall: (i) provide Our basic support for the Purchased Services to You at no additional charge, and/or upgraded support if purchased separately, (ii) use commercially reasonable efforts to make the Purchased Services available 24 hours a day, 7 days a week, except for: (a) planned downtime (of which We shall give at least 8 hours notice via the Purchased Services and which We shall schedule to the extent practicable during the weekend hours from 6:00 p.m. Friday to 3:00 a.m. Monday Pacific Time), or (b) any unavailability caused by circumstances beyond Our reasonable control, including without limitation, acts of God, acts of government, floods, fires, earthquakes, civil unrest, acts of terror, strikes or other labor problems (other than those involving Our employees), Internet service provider failures or delays, or denial of service attacks, and (iii) provide the Purchased Services only in accordance with applicable laws and government regulations."
Salesforce Master Subscription Agreement: “11.1. Limitation of Liability. NEITHER PARTY'S LIABILITY WITH RESPECT TO ANY SINGLE INCIDENT ARISING OUT OF OR RELATED TO THIS AGREEMENT (WHETHER IN CONTRACT OR TORT OR UNDER ANY OTHER THEORY OF LIABILITY) SHALL EXCEED THE LESSER OF $500,000 OR THE AMOUNT PAID BY YOU HEREUNDER IN THE 12 MONTHS PRECEDING THE INCIDENT, PROVIDED THAT IN NO EVENT SHALL EITHER PARTY’S AGGREGATE LIABILITY ARISING OUT OF OR RELATED TO THIS AGREEMENT (WHETHER IN CONTRACT OR TORT OR UNDER ANY OTHER THEORY OF LIABILITY) EXCEED THE TOTAL AMOUNT PAID BY YOU HEREUNDER. THE FOREGOING SHALL NOT LIMIT YOUR PAYMENT OBLIGATIONS UNDER SECTION 6 (FEES AND PAYMENT FOR PURCHASED SERVICES)."
Salesforce
- Angestrebte Verfügbarkeit von 100%
- Ausnahmen: Eingeplante Wartungsfenster, höhere Gewalt, externe Ursachen
- Haftungsbeschränkung auf 12-Monats-Vergütung
10
Kontrolle des Anbieters - Gesetzespflichten
RA Dr. Wulf, www.praetoria-legal.com
§ 11 BDSG Auftragsdatenverarbeitung:
“(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: […]
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, […]
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält […]
[…] Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.“
11
Kontrolle des Anbieters - Empfohlene Inhalte
RA Dr. Wulf, www.praetoria-legal.com
Kontrollpflichten
Vorlagepflicht von Zertifikaten & Prüfberichten (§ 9 BDSG)
Auditrechte
Vorbehalt von Weisungsrechten
Pflicht zur Protokollierung der Verfügbarkeit
Reportingpflichten(z.B. zu
Verfügbarkeit oder Systemänderungen)
12
Beispiele aus der Praxis
RA Dr. Wulf, www.praetoria-legal.com
Amazon EC2: keine Kontrollrechte
Google Apps: keine Kontrollrechte
Microsoft Azure: keine Kontrollrechte
Salesforce: keine Kontrollrechte in AGB, aber
Stellungnahme Hogan Lovells zu Salesforce (Seite 6): „[…] Von der Einhaltung dieser technischen und organisatorischen Maßnahmen können sich die Kunden durch Audits vor Ort bei salesforce.com Inc. in den USA überzeugen. Derartige Audits können von den Kunden in regelmäßigen Abständen (zumeist einmal jährlich) und wann immer dies rechtlich erforderlich ist, durchgeführt werden. Den Kunden wird zudem auf Wunsch der jeweils aktuelle SAS 70 (Type II) Report zur Verfügung gestellt. Dadurch, dass unabhängige Dritte im Rahmen der zuvor genannten Zertifikate und Audits die Einhaltung der technischen und organisatorischen Maßnahmen bei salesforce.com prüfen, ist es für den einzelnen Kunden im Regelfall nicht erforderlich, ein Audit vor Ort in den USA bei salesforce.com Inc. durchzuführen. Nur im Einzelfall kann die besondere Sensitivität der Daten zu einem anderen Ergebnis führen […]“
13
Nutzungsrechte - Erforderlich oder nicht?
RA Dr. Wulf, www.praetoria-legal.com
Ansicht Nr. 1: Nutzung von Software in der Cloud (SaaS) ist Vervielfältigung nach § 69c Nr. 1 UrhG, da zumindest eine Speicherung im Arbeitsspeicher des Nutzers erfolgt
Ansicht Nr. 2: Vervielfältigung technisch begleitend nach § 44a UrhG bzw. zur bestimmungsgemäßen Nutzung erforderlich nach § 69d Abs. 1 UrhG
Ansicht Nr. 3: technische Vervielfältigung findet in der Cloud statt, daher keine urheberrechtlich relevante Handlung
(Soweit ersichtlich) Keine Rechtsprechung vorhanden
Daher: Vorerst auf Einräumung von Nutzungsrechten in Cloud-Verträgen achten → Von wieviel Arbeitsplätzen darf gleichzeitig Zugriff erfolgen? Dürfen Nutzungsrechte auf andere Anwender übertragen werden?
14
Beispiel aus der Praxis
RA Dr. Wulf, www.praetoria-legal.com
Amazon Customer Agreement: “8.4 Service Offerings License. As between you and us, we orour affiliates or licensors own and reserve all right,title, and interest in and to the Service Offerings. We grant you a limited, revocable, non-exclusive, non-sublicensable, non-transferrable license to do the following during the Term: (i) access and use the Services solely in accordance with this Agreement; and (ii) copy and use the AWS Content solely in connection with your permitted use of the Services. Except as provided in this Section 8.4, you obtain no rights under this Agreement from us or our licensors to the Service Offerings, including any related intellectual property rights. Some AWS Content may be provided to you under a separate license, such as the Apache Software License, in which case that license will govern your use of those AWS Content.”
Amazon
- Einräumung von einfachen Nutzungsrechten an den integrierten Softwareanwendungen
- kein Recht zur Weitergabe oder Nutzung nach Beendigung des Vertrages
15
Change Request - Änderungsverfahren vorher klären
RA Dr. Wulf, www.praetoria-legal.com
Beispiel: Kunde wünscht neue Funktionen der Cloud-Anwendung oder neues Betriebssystem
Beispiel: Anbieter ändert Leistungsinhalt (neue Funktionen) oder Leistungsumfang (weitere Nutzer, zusätzliche Speicherkapazitäten)
Empfehlung: Change-Request-Verfahren vereinbaren
• Änderungswunsch des Kunden mit Beschreibung und Begründung
• Prüfung durch Anbieter und Mitteilung, ob vom Vertrag umfasst oder vergütungspflichtiger Sonderaufwand
• ggf. Durchführung von Vertragsergänzung
16
Beispiel aus der Praxis
RA Dr. Wulf, www.praetoria-legal.com
Amazon Customer Agreement: „2.1 To the Service Offerings. We may change, discontinue, or deprecate any of the Service Offerings (including the Service Offerings as a whole) or change or remove features or functionality of the Service Offerings from time to time. We will notify you of any material change to or discontinuation of the Service Offerings.“
Amazon
- Jederzeitiges Recht zur Änderung der Leistung als solche oder einzelner Funktionen
17
Datenschutz - § 11 BDSG beachten
RA Dr. Wulf, www.praetoria-legal.com
Cloud-Nutzer bleibt datenschutzrechtlich verantwortlich
Zulässigkeit von Cloud-Diensten umstritten, in jedem Fall erforderlich (direkt oder analog): Einhaltung von § 11 BDSG
• Dauer des Auftrages• Umfang, Art und Zweck der Datenverarbeitung• Art der Daten• Kreis der Betroffenen• den nach § 9 BDSG zu treffenden Maßnahmen• Berichtigung, Lösung und Sperrung von Daten• besonderen Pflichten des Anbieter (insb. Bestellung BetrDB)• Berechtigungen hinsichtlich Subunternehmern• Kontrollrechten des Kunden• Mitwirkungspflichten des Anbieters• mitzuteilenden Verstößen• Umfang der vorbehaltenen Weisungsbefugnisse• Rückgabe überlassener Datenträger und Datenlöschung.
Cloud-Vertrag muss daher Regelungen enthalten zu:
18
Beispiele aus der Praxis
RA Dr. Wulf, www.praetoria-legal.com
Amazon Customer Agreement: “3.2 Data Privacy. We participate in the safe harbor programs described in the PrivacyPolicy. You may specify the AWS regions in which Your Content will be stored and accessible by End Users. We will not move Your Content from your selected AWS regions without notifying you, unless required to comply with the law or requests of governmental entities. You consent to our collection, use and disclosure of information associated with the Service Offerings in accordance with our Privacy Policy, and to the processing of Your Content in, and the transfer of Your Content into, the AWS regions you select.”
Microsoft Azure Nutzungsbedingungen: „Personenbezogene Daten, die durch den Onlinedienst erfasst werden, können inden USA oder anderen Ländern, in denen Microsoft oder ihre Serviceprovider Einrichtungen unterhalten, übertragen, gespeichert und verarbeitet werden. Dies schließt personenbezogene Daten ein, die Sie durch die Nutzung des Dienstes erfassen. Indem Sie diesen Onlinedienst verwenden, erklären Sie sich mit der Übertragung von personenbezogenen Daten außerhalb Ihres Landes einverstanden. Sie erklären sich ebenfalls damit einverstanden, von den Personen, die Ihnen personenbezogene Daten bereitstellen, die entsprechenden Genehmigungen einzuholen, um die Daten an Microsoft und ihre Vertreter zu übertragen und die Übertragung, Speicherung und Verarbeitung derselben zu ermöglichen.“
Amazon
- Auswahl des Serverstandortes
- Einwilligung in Übertragung von personenbezogenen Daten
- keine weiteren Regelungen nach § 11 BDSG
Microsoft
- Daten werden in die USA transferiert, keine Auswahl des Serverstandortes
- Einwilligung in Übertragung von personenbezogenen Daten
- keine weiteren Regelungen nach § 11 BDSG
19
Weiteres Beispiel aus der Praxis
RA Dr. Wulf, www.praetoria-legal.com
Stellungnahme Hogan Lovells für Salesforce (Seite 3):
„Salesforce.com Inc. ist Safe Harbor-zertifiziert. Die salesforce.com Sàrl (als Auftragnehmerin) vereinbart mit deutschen Kunden (als Auftraggeber) regelmäßig eine Auftragsdatenverarbeitung gemäß § 11 BDSG als Anlage zum Rahmen-Abonnementvertrag. Zudem hat die salesforce.com Sàrl mit der salesforce.com Inc. eine Unter-Auftragsdatenverarbeitung gemäß § 11 BDSG vereinbart. Hierin hat die salesforce.com Sàrl die Verpflichtungen, die sie aus den mit ihren deutschen Kunden vereinbarten Auftragsdatenverarbeitungen treffen, an ihre Unter-Auftragsdatenverarbeiterin salesforce.com Inc. weitergegeben.“
20
Sperrungsrecht des Anbieters - Bestenfalls ausschließen
RA Dr. Wulf, www.praetoria-legal.com
Sperre als Zurückbehaltungsrecht grundsätzlich zulässig, jedoch infolge einer Verweigerung der Hauptleistungs-pflicht nur als letztes Mittel erlaubt
Problem: Kunde macht sich erpressbar, wenn es um streitige Zahlungs-forderungen geht
Lösung: Recht auf Sperre nur bei unstrittigen oder rechtskräftig festgestellten Ansprüchen durchsetzen
21
Beispiel aus der Praxis
RA Dr. Wulf, www.praetoria-legal.com
Amazon Customer Agreement: “6.1 Generally. We may suspend your or any End User’s right to access or use any portion or all of the Service Offerings immediately upon notice to you if we determine: (a) your or an End User’s use of the Service Offerings (i) poses a security risk to the Service Offerings or any third party, (ii) may adversely impact the Service Offerings or the systems or Content of any other AWS customer, or (iii) may subject us, our affiliates, or any third party to liability; (b) you are, or any End User is, in breach of this Agreement, including if you are delinquent on your payment obligations for more than 15 days; or (c) you have ceased to operate in the ordinary course, made an assignment for the benefit of creditors or similar disposition of your assets, or become the subject of any bankruptcy, reorganization, liquidation, dissolution or similar proceeding.”
Amazon
Sperre zulässig, wenn
• a.) Sicherheitsrisiko oder Systemzugriff verursacht
• b.) Haftungsansprüche Dritter gegen Amazon erhobenen werden
• c.) Vertragsverletzung, wie z.B. Zahlungsverzug mit mehr als 15 Tagen
• d.) Geschäftseinstellung, Insolvenz oder Sicherungsabtretung
22
Weiteres Beispiel aus der Praxis
RA Dr. Wulf, www.praetoria-legal.com
Microsoft Licensing-Nutzungsrechte für Onlinedienste: „Ziffer III lit. c: Aussetzung des Onlinedienstes. Wir sind unter folgenden Bedingungen berechtigt, den Onlinedienst auszusetzen: (a) falls wir der Ansicht sind, dass Ihre Verwendung des Onlinedienstes eine direkte oder indirekte Gefahr für die Funktion oder Integrität unseres Netzwerks oder die Verwendung des Onlinedienstes durch andere darstellt, (b) falls wir der Ansicht sind, dass Sie Ihren Lizenzvertrag, einschließlich dieser Nutzungsrechte für Onlinedienste, verletzt haben, (c) falls Ihre Verwendung die in der Dokumentation des jeweiligen Onlinedienstes angegebenen Quoten übersteigt oder (d) falls wir anderweitig gesetzlich dazu verpflichtet sind.“
Salesforce-Agreement: „10. Zahlungsversäumnis und Aussetzung des Service - Zusätzlich zu den anderen ihr aus diesem Vertrag zustehenden Rechten behält sich salesforce.com das Recht vor, diesen Vertrag und Ihren Zugang zu dem Service vorübergehend auszusetzen oder zu beenden, wenn Sie in Zahlungsverzug geraten.“
Microsoft
Sperre zulässig, wenn Microsoft der Ansicht ist, dass
• Gefahr für Netzwerk besteht
• der Lizenzvertrag verletzt wird
Salesforce
Sperre zulässig, wenn Zahlungsverzug
23
Kündigung - Bestenfalls lange Laufzeiten
RA Dr. Wulf, www.praetoria-legal.com
Lange Laufzeit oder Kündigungsfrist ratsam, da Umstellung einen erheblichen Aufwand erfordert
Kündigung mit kurzer Frist nur aus wichtigem Grund
Keine willkürliche Kündigung zulassen
24
Beispiel aus der Praxis
RA Dr. Wulf, www.praetoria-legal.com
Amazon Customer Agreement: “7.2 Termination: (a) Termination for Convenience. You may terminate this Agreement for any reason by (1) providing us notice and (2)closing your account for all Services for which we provide anaccount closing mechanism. We may terminate this Agreement for any reason by providing you 30 days advance notice. (b) Termination for Cause. (1) By Either Party. Either party may terminate this Agreement for cause upon 30 days advance notice to the other party if there is any material default or breach of this Agreement by the other party, unless the defaulting party has cured the material default or breach within the 30 day notice period. (2) By Us. We may also terminate this Agreement immediately upon notice to you (A) for cause, if any act or omission by you or any End User results in a suspension described in Section 6.1, (B) if our relationship with a third party partner who provides software or other technology we use to provide the Service Offerings expires, terminates or requires us to change the way we provide the software or other technology as part of the Services, (C) if we believe providing the Services could create a substantial economic or technical burden or material security risk for us, (D) in order to comply with the law or requests of governmental entities, or (E) if we determine use of the Service Offerings by you or any End Users or our provision of any of the Services to you or any End Users has become impractical or unfeasible for any legal or regulatory reason.”
Amazon
Kündigung zulässig, wenn
• Vertragsverletzung
• Grund für Sperre nach Ziffer 6.1 (Sicherheitsrisiko, Erhebung von Ansprüchen Dritter, Zahlungsverzug, Sicherungsabtretung)
• Austritt eines Softwarepartners
• Ansicht von Amazon, dass Sicherheitsrisiko existent
• Unmöglichkeit der Leistungserbringung aus
25
Datenherausgabe nach Kündigung
RA Dr. Wulf, www.praetoria-legal.com
Datenherausgabe
Unterstützungs-pflicht des Anbieters
Pflicht zur Übergabe
sämtlicher Daten in festgelegtem
Format
Pflicht zur Verwendung technischer Standards
Sonst Löschung der Daten
Hinterlegungs-pflicht zm
Quellcode bei SaaS
Zwingende Regelung nach § 11 BDSG
26
Beispiel aus der Praxis
RA Dr. Wulf, www.praetoria-legal.com
Amazon Customer Agreement: “7.3. Effect of Termination: (b) Post-Termination Assistance.Unless we terminate your use of the Service Offerings pursuant to Section 7.2(b), during the 30 days following termination: (i) we will not erase any of Your Content as a result of the termination; (ii) you may retrieve Your Content from the Services only if you have paid any charges for any post-termination use of the Service Offerings and all other amounts due; and (iii) we will provide you with the same post-termination data retrieval assistance that we generally make available to all customers.”
Amazon
Mitwirkung zur Datenherausgabe und keine Datenlöschung, falls
• Rechnungen bezahlt und
• keine Kündigung wegen Pflichtverletzung (Sicherheitsrisiko, Erhebung von Ansprüchen Dritter, Zahlungsverzug, Sicherungsabtretung)
27
Haftung - Bleiben Sie hartnäckig
RA Dr. Wulf, www.praetoria-legal.com
Haftungsreduzierung auf Höchstbetrag bei grober Fahrlässigkeit und Vorsatz nach deutschem Recht unzulässig
US-Cloud-Anbieter beschränken jedoch regelmäßig ihre Haftung in allen Fällen auf das Serviceentgelt für 12 Monate
28
Beispiel aus der Praxis
RA Dr. Wulf, www.praetoria-legal.com
Amazon Customer Agreement: “11. Limitations of Liability: WE AND OUR AFFILIATES OR LICENSORS WILL NOT BE LIABLE TO YOU FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, CONSEQUENTIAL OR EXEMPLARY DAMAGES (INCLUDING DAMAGES FOR LOSS OF PROFITS, GOODWILL, USE, OR DATA), EVEN IF A PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. FURTHER, NEITHER WE NOR ANY OF OUR AFFILIATES OR LICENSORS WILL BE RESPONSIBLE FOR ANY COMPENSATION, REIMBURSEMENT, OR DAMAGES ARISING IN CONNECTION WITH: (A) YOUR INABILITY TO USE THE SERVICES, INCLUDING AS A RESULT OF ANY (I) TERMINATION OR SUSPENSION OF THIS AGREEMENT OR YOUR USE OF OR ACCESS TO THE SERVICE OFFERINGS, (II) OUR DISCONTINUATION OF ANY OR ALL OF THE SERVICE OFFERINGS, OR, (III) WITHOUT LIMITING ANY OBLIGATIONS UNDER THE SLAS, ANY UNANTICIPATED OR UNSCHEDULED DOWNTIME OF ALL OR A PORTION OF THE SERVICES FOR ANY REASON, INCLUDING AS A RESULT OF POWER OUTAGES, SYSTEM FAILURES OR OTHER INTERRUPTIONS; (B) THE COST OF PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; (C) ANY INVESTMENTS, EXPENDITURES, OR COMMITMENTS BY YOU IN CONNECTION WITH THIS AGREEMENT OR YOUR USE OF OR ACCESS TO THE SERVICE OFFERINGS; OR (D) ANY UNAUTHORIZED ACCESS TO, ALTERATION OF, OR THE DELETION, DESTRUCTION, DAMAGE, LOSS OR FAILURE TO STORE ANY OF YOUR CONTENT OR OTHER DATA. IN ANY CASE, OUR AND OUR AFFILIATES’ AND LICENSORS’ AGGREGATE LIABILITY UNDER THIS AGREEMENT WILL BE LIMITED TO THE AMOUNT YOU ACTUALLY PAY US UNDER THIS AGREEMENT FOR THE SERVICE THAT GAVE RISE TO THE CLAIM DURING THE 12 MONTHS PRECEDING THE CLAIM.”
Amazon
- Keine Haftung für
• Schäden irgendwelcher Art
• (vorübergehende) Einstellung von Leistungen
• Datenverlust
- Ansonsten Haftungsbesch-ränkung auf 12-Monatsvergütung
29
Anwendbares Recht
RA Dr. Wulf, www.praetoria-legal.com
Artikel 3 ROM-I-VO Nr. 593/2008 vom 17.6.2008: Vertrag unterliegt demjenigen Recht, welches von den Parteien vereinbart wurde.
Sofern die Parteien keine Rechtswahl getroffen haben, gilt gemäß Artikel 4 ROM-I-VO das Recht des Staates, in welchem der Dienstleister seinen gewöhnlichen Aufenthalt hat
Ort der Leistungserbringung ist unerheblich
30
Beispiel aus der Praxis
RA Dr. Wulf, www.praetoria-legal.com
Amazon Customer Agreement: “13.11 Governing Law; Venue. The laws of the State of Washington, without reference to conflict of law rules, govern this Agreement and any dispute of any sort that might arise between you and us. Any dispute relating in any way to the Service Offerings or this Agreement where a party seeks aggregate relief of $7,500 or more will be adjudicated in any state or federal court in King County, Washington.”
Amazon
- US-amerikanisches Recht ist allein anwendbar
- damit keine Anwendung von deutschem AGB-Recht
31
Fazit - Worauf muss ich besonders achten?
RA Dr. Wulf, www.praetoria-legal.com
Checkliste• Klare Leistungsbeschreibung• Service Level Agreement mit abgestufter Sanktionsregelung• Kontrollrechte vereinbaren (Vorlage von Prüfberichten, Auditrechte,
Weisungsvorbehalt, Verfügbarkeitsprotokollierung)• Nutzungsrechte einräumen lassen• Change-Request-Verfahren regeln• Datensicherheit garantieren lassen (tägliches Backup, technische/
organisatorische Datenschutzmaßnahmen, Zertifikat zur SSL-Verschlüsselung, Protokollierung von Sicherheitsverletzungen, bestenfalls ISO 27001)
• Anlage zum Vertrag nach § 11 BDSG (Auftragsdatenverarbeitung)• Kein Recht auf Sperrung des Zugangs• Lange Laufzeiten, keine kurzfristige Kündigung durch Anbieter• Umfangreiche Pflicht zur Datenherausgabe nach Laufzeitende• Haftungsbeschränkung nach deutschem Standard• Deutsches Recht für anwendbar erklären
32
Dankeschön.
RA Dr. Wulf, www.praetoria-legal.com
Vielen Dank für IhreAufmerksamkeit.
[email protected] 040 / 73 444 217-0