Entwicklung & Design

Ratgeber: Haftung bei Cloud Computing und SaaS

Seite 2 / 2

Rechtsprobleme, wenn Daten auf Servern im Ausland liegen

(Foto: karindalziel / flickr.com, Lizenz: CC-BY)

Ein weiteres Problem: Viele Provider besorgen sich ihre Ressourcen dort, wo sie am günstigsten sind – im Ausland. Für den Softwareanbieter kann das schnell zum rechtlichen Fallstrick werden. Handelt es sich bei den in der Cloud gespeicherten Daten um steuerrechtlich relevante Daten, muss der Softwareanbieter sich auch an deutsches Recht halten – er darf sie nicht so einfach ausgliedern.

Dazu kommt: Prinzipiell gilt das Rechtssystems jenes Landes, in dem die Daten physikalisch gespeichert sind. Auch, wenn der Server also in Regionen steht, die deutlich vom deutschen Rechtssystem abweichen, haftet der Softwareanbieter für die eingestellten Inhalte.

Risiko Datenschutz und Datensicherheit

In der Regel ist der Softwareanbieter auch für die Sicherheit der Daten gegenüber Dritten verantwortlich. Daraus ergibt sich ein weiteres haftungsrechtliches Risiko.

Denn: Der Schutz der Daten in der Wolke ist ein sensibles Thema, da es bei der Nutzung Cloud-basierter Dienste meist auch zur Speicherung von personenbezogenen Daten auf den Systemen des Dienstleisters kommt (z.B. Arbeitnehmer- und Kundendaten) – die weltweit verteilt abgespeichert sein können.

Um die sensiblen Daten in Cloud-Umgebungen zu schützen und damit IT-Sicherheit zu gewährleisten muss der Softwareanbieter deshalb die

  • Verfügbarkeit,
  • Integrität,
  • Vertraulichkeit,
  • Authentizität und
  • Zurechenbarkeit technischer Informationen

sicherstellen.

Der Softwareanbieter ist folglich klar in der Verantwortung, wenn seine SaaS-Lösung eine Sicherheitslücke aufweist, durch die Dritte in das System eindringen und an die Datensätze des SaaS-Kunden gelangen.

Übrigens: Auch bei „Hackerangriffen“ von Dritten handelt es sich um sogenannte Vermögensschäden. Um sich dagegen abzusichern, benötigt der Softwareanbieter eine spezielle Vermögensschadenhaftpflicht – in der herkömmlichen Betriebshaftpflichtversicherung ist die Absicherung dieser Risiken standardgemäß nicht enthalten.

Security Service Level Agreements (SSLA) sind vor diesem Hintergrund ein wichtiges Stichwort: Denn wenn bekannt wird, dass Adressdatensätze von SaaS-Kunden an Unbefugte gelangt sind, werden deren Partner oder Kunden wiederum unter Umständen reagieren und die Geschäftsbeziehung auflösen.

Auch in diesem Fall hat der SaaS-Kunde gegenüber dem Softwareanbieter einen Haftungsanspruch. Zudem kann er Schadenersatz für Maßnahmen fordern, mit denen er versucht hat, das Kundenvertrauen wiederherzustellen – z.B. kostspieligem Marketing. Versicherungstechnisch spricht man in einem solchen Fall von einem Folgeschaden.

Checkliste zur IT-Haftpflicht

Durch Cloud Computing verschieben sich Risiken und neue kommen dazu. Softwareanbieter, die solche Haftungsrisiken umfassend versichern wollen, brauchen eine zeitgemäße Vermögensschadenhaftpflicht (kurz IT-Haftpflicht).

Auf welche Leistungsmerkmale dieser IT-Haftpflicht der SaaS- und Cloud Computing-Anbieter dabei besonders achten sollte, zeigt die nachfolgende Checkliste:

  • Hohe Versicherungssummen bzw. Deckungssummen für reine Vermögensschäden (je nach Umfang der angebotenen Leistungen mindestens 1 bis 2,5 Mio. Euro).
  • „All-Risk-Deckung“ für alle Risiken eines IT-Unternehmens (nicht nur benannte Gefahren).
  • Mitversicherung von Vermögensfolgeschäden wie Gewinnausfall des Kunden, Betriebsunterbrechung oder Verzögerungsschaden.
  • Mitversicherung von Mehrkosten des Kunden in Erwartung einer ordnungsgemäßen Leistung.
  • Der Vertrag sollte keine Ausschlüsse oder Sublimite (reduzierte Versicherungssummen) für Rechtsverletzungen z.B. von Datenschutzgesetzen, Urheberrechten oder Persönlichkeitsrechten aufweisen.
  • Die fahrlässige Übermittlung von Viren aller Art, sowie Hackerangriffe Dritter (die z.B. auf Sicherheitslücken der Software zurückzuführen sind) sollten mitversichert sein.
  • Versicherungsschutz für das Abweichen von der vereinbarten Beschaffenheit (z.B. im Rahmen von Service Level Agreements) von Sachen, Lieferungen oder Leistungen, auch wenn verschuldensunabhängig gehaftet werden muss.
  • Die Vergabe von Leistungen an Subunternehmer sollte ausdrücklich versichert sein.
  • Da bei SaaS- und Cloud-Lösungen den vertraglichen Regelungen mit Kunden und Subunternehmern (wie z.B. Hostprovidern) eine sehr wichtige Bedeutung zukommt, müssen auch bestimmte Bereiche der vertraglichen Haftung mitversichert sein.

Zum Thema vertragliche Haftung noch ergänzend: Normalerweise sind durch eine IT-Haftpflicht Ansprüche auf Basis der gesetzlichen Haftungsregelungen (z.B. Schuldrecht im BGB) versichert. Man spricht hier allgemein von „gesetzlicher Haftung“.

Wenn jedoch Softwareanbieter umfangreiche vertragliche Leistungszusagen (z.B. im Rahmen von SLAs) eingehen, kann dadurch die Haftung über die gesetzlichen Regelungen hinaus erweitert werden (Stichwort „Haftungsverschärfung“). Diese erweiterte Haftung ist jedoch nur dann vom Versicherungsschutz umfasst, wenn eine spezielle Leistungserweiterung für Ansprüche aus der „vertraglichen Haftung“ besteht.

Über den Gastautor

Ralph Günther ist Geschäftsführer von exali.de, einem Versicherungsportal für Dienstleister und freie Berufe.

Bildnachweis für die Newsübersicht: Collage verwendet Bilder von karindalziel / flickr.com, Lizenz: CC-BY und © Moonrun, fotolia.com

Startseite
  • Seite:
  • 1
  • 2

Bitte beachte unsere Community-Richtlinien

2 Reaktionen
Thomas Weber

ich freue mich darüber, dass es auch einmal einen Artikel zum Thema Haftung und Absicherung gibt. Inhaltlich will ich nur hinzufügen, dass es - per se - keine ALL-Risk Deckung in Haftpflichtversicherung (casualty) gibt, um hier keine Begriffsverwirrungen zu stiften.

Ich/wir empfehlen den "IT-Leuten" um den Einkaufspreis (= Versicherungsprämie) bei den Vermögensschäden erträglich zu machen, einen hohen SB von zumindest 50% des EGT zu wählen. Im Gegenzug sollte dann der Einkauf von hohen Versicherungssummen (wir empfehlen EUR 10 Mio. aufwärts) - über einen bis 2 Layer (sogenannte Exzedenten) machbar sein.

Antworten
Alex

Schon extrem, mit wie viel Know-How man an die Sache gehen muss. Man unterschätzt den Aufwand auf seiten Sistrix, Dropbox & Co. schon extrem…

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung