Cloud: Verantwortlichkeit für die Systemumgebung des Kunden

Im Bereich der Services wird der Begriff „Cloud“ von den Kunden häufig mit einem rundum Sorglospaket assoziiert, Ich erhalte eine Anwendung (Service) aus der Cloud oder ich gebe meine Daten in die Cloud, dann muss ich mich um nichts mehr kümmern.“

Vor nicht allzu langer Zeit wurde als maßgeblicher Faktor unter Cloud- Services noch die räumliche Trennung zwischen dem Sitz des Kunden (Sitz, Filiale, Ort des Abrufs) und dem Ort, an dem die Services betrieben werden (Rechenzentrum) gesehen. Das passte eigentlich noch nie, denn der Kunde kann ja selbst das Rechenzentrum beistellen oder kann selbst ein Rechenzentrum betreiben.

Sofern man den Begriff Cloud unter dem Aspekt des Begriffs Verantwortlichkeit analysiert, bedeutet die Cloud, dass das IT- Unternehmen nicht nur die Anwendung selbst, sondern auch noch die für den Betrieb erforderliche Systemumgebung stellt und für die Laufzeit des Vertrags aufrecht erhält. Sofern ich Hersteller einer Software bin, die on premises betrieben wird, bin ich „nur“ dafür verantwortlich, dass die Software richtig funktioniert. Überlasse ich demselben Kunden die Software per SaaS bin ich auch dafür verantwortlich, dass die erforderliche Systemumgebung richtig funktioniert. Und zwar für die gesamte Laufzeit des Vertrags.

Bedeutet das, dass das IT Unternehmen keine Verantwortung hat, wenn der Kunde die Systemumgebung beistellt? Ein Auseinanderfallen der Verantwortlichkeit von Systemumgebung (Kunde) und Anwendung (IT- Unternehmen) bedeutet nicht zwangsläufig, dass sich alle Probleme des IT- Unternehmens um das Thema Verantwortlichkeit für die Systemumgebung lösen würden. Dort wo Schnittstellen bestehen, sind die Verantwortlichkeiten wieder sauber aus der Sicht der Beweislast zu beschreiben oder man muss ins Dienstvertragsrecht.

Das IT- Unternehmen kann weder faktisch noch rechtlich für die richtige Funktionsweise der Services von Microsoft oder AWS einstehen, sondern ist auf deren Funktionsweise angewiesen.

Beispiel:

Bsp: Das IT- Unternehmen X ist Hersteller der Anwendung, der Kunde stellt ein Rechenzentrum bei und hat sich bei MC Azure eingemietet. Der Kunde ist auf die Verfügbarkeit und das Last-/ und Reaktionsverhalten der Anwendung angewiesen. Er möchte sofort informiert werden, wenn es zu Schwankungen der Leistungen kommt.

Der Anwalt des Kunden schreibt einen Vertrag in dem steht, dass der X für die Leistungen im Bereich Monitoring verantwortlich ist. Wenn der Kunde hier klare Parameter definiert, die der X einzuhalten hat, sind die Leistungen des X als Werkleistungen zu qualifizieren. Der X wendet sich an mich 😊 und ich erkläre ihm die Rechtslage.

X wendet sich nun entrüstet gegen diese Beschreibung der Verantwortlichkeit. X könne erst dann überhaupt etwas tun, wenn die Services von Microsoft richtig funktionieren würden.

Aus der juristischen Sicht ist das richtig. Die Leistungen von Microsoft sind dem Kunden zuzurechnen und wenn der Kunde die ihm obliegenden Leistungen nicht erbringt, kann das IT- Unternehmen seine Leistungspflichten auch nicht erfüllen. So gesehen besteht auf den ersten Blick kein Haftungsrisiko für den X.

So einfach dieser Grundsatz und seine Lösung, so schwierig die damit verbundenen Aufgaben des IT- Unternehmens. Im Grunde genommen geht es auch hier um die alten Probleme, die immer dann entstehen, wenn der Kunde andere Dienstleister für die Funktion des Gesamtsystems einschaltet.

Zum Einen geht unsere Rechtsprechung davon aus, dass das IT- Unternehmen kraft beruflichen Sachwissens Aufklärungspflichten treffen. Hat der Kunde keine eigene IT- Abteilung, muss ihn das IT- Unternehmen auf diesen Punkt hinweisen. X kann erst dann seinen Überwachungspflichten nachkommen, wenn Microsoft richtig funktioniert.

Zum Anderen bestehen in diesen Fällen Fragen der Beweislast. Das Gewährleistungsrecht besagt, dass der Kunde nur auf das Nichtfunktionieren der Sache hinweisen muss und der Lieferant dann nachweisen muss, dass er den Mangel nicht verschuldet hat. Übersetzt ins Deutsche: Funktioniert etwas nicht, muss X nachweisen, dass Microsoft die Störung verursacht hat.

Sofern der Kunde darauf pocht, dass die Leistungen von X dem Werkvertragsrecht unterfallen sollen, ist  also im Step 1 sauber zu definieren, wie die Leistungsabgrenzung vorgenommen wird und im Step 2 wie der Nachweis darüber zu führen ist, ob der Kunde (genauer das Rechenzentrum des Kunden) seinen Leistungspflichten nachgekommen ist oder nicht.

X schüttelt noch stärker mit dem Kopf. Wer solle diese Arbeit bezahlen, wer machen?

X kann in den Vertragsverhandlungen in diesen Fällen darauf pochen, dass ausschließlich Dienstvertrag zur Anwendung kommt. Dann entfallen die Probleme der Beweislast und der Verantwortlichkeiten, weil der X jetzt nur die Leistung aber nicht den Erfolg schuldet.

Es gibt andere Lösungsansätze, aber die sind Gegenstand anderer Beiträge und Beratungsleistungen.

Weitere Beiträge

Nach oben scrollen