Outsourcing und Cloud: rechtliche Aspekte

Ein Unternehmen lagert seinen E-Mail-Server an Google aus, nutzt AWS für seine Produktionsdatenbanken und beauftragt ein externes Unternehmen mit dem IT-Support. All das ist Outsourcing oder Cloud-Nutzung – und all das erzeugt rechtliche Verpflichtungen, die über den rein technischen Vertrag hinausgehen. DSGVO, Haftung, Kündigung, Datensouveränität und Exit-Strategie: diese Fragen müssen vor dem Vertragsschluss geklärt sein.

1) Outsourcing vs. Cloud – der Unterschied

	IT-Outsourcing	Cloud-Dienste
Definition	Übertragung von IT-Aufgaben an externe Dienstleister	Nutzung von IT-Ressourcen über das Internet (IaaS, PaaS, SaaS)
Vertragstyp	Dienstvertrag oder Werkvertrag, meist mit SLA	Nutzungsvertrag (oft Standardvertrag), Subscription
Individualisierung	Hoch – maßgeschneidert	Gering – Standardbedingungen
Datenschutz	AVV nötig wenn personenbezogene Daten	AVV meist als Standardvertrag vom Anbieter
Beispiele	Managed IT-Support, Rechenzentrum-Betrieb	AWS, Azure, Google Cloud, Microsoft 365

2) Rechtliche Checkliste: Was vor dem Vertragsschluss zu klären ist

Rechtliche Prüfliste – Cloud / Outsourcing-Vertrag

🔒Datenschutz / AVV: Werden personenbezogene Daten verarbeitet? Dann ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO Pflicht. Datenspeicherort: EU oder Drittland?

🌍Drittlandübermittlung: Wird in die USA oder andere Drittländer übertragen? Dann braucht es eine geeignete Garantie nach Art. 46 DSGVO (z.B. Standardvertragsklauseln, EU-US Data Privacy Framework).

📋SLA-Qualität: Welche Verfügbarkeit, Reaktionszeiten und Wiederherstellungszeiten werden garantiert? Was passiert bei Verletzung? Mehr in SLA – Service Level Agreement.

🔓Vendor Lock-in / Exit-Strategie: Wie kommen wir aus dem Vertrag heraus? Können wir unsere Daten exportieren? In welchem Format? Innerhalb welcher Frist? Ohne klare Exit-Klausel droht Abhängigkeit.

⚖️Haftung: Wer haftet bei Datenverlust, Ausfall oder Sicherheitsvorfall? Ist Haftung auf Vertragswert begrenzt? Ist das angemessen für das Risiko? Schadensersatz über Gutschriften hinaus?

🔍Audit-Rechte: Hat das Unternehmen das Recht, die Sicherheits- und Datenschutzmaßnahmen des Dienstleisters zu prüfen (oder Prüfberichte wie ISO-27001-Zertifikat zu verlangen)?

📅Laufzeit und Kündigung: Welche Kündigungsfristen gelten? Gibt es Mindestlaufzeiten? Welche Konsequenzen hat eine außerordentliche Kündigung bei SLA-Verletzung?

🏛️Anwendbares Recht und Gerichtsstand: Gilt deutsches Recht? Oder irisches / US-amerikanisches? Im Streitfall: Welches Gericht ist zuständig? Für EU-Unternehmen: deutsches oder EU-Recht anstreben.

Viele Cloud-Anbieter (AWS, Azure, Google) haben standardisierte AVV und Datenschutz-Dokumentationen – diese sind online verfügbar und meist ausreichend für die DSGVO-Compliance. Prüfe dennoch: Datenspeicherort (EU-Region wählbar?), Unterauftragsverarbeiter und deren Standorte.

3) Besonderheiten bei Branchen mit erhöhten Anforderungen

Bestimmte Branchen unterliegen zusätzlichen gesetzlichen Anforderungen beim Outsourcing und Cloud-Einsatz:

Kreditinstitute und Finanzdienstleister: Bankaufsichtliche Anforderungen an die IT (BAIT) und EBA-Guidelines verlangen besondere Vertragsgestaltung, Prüfrechte und Notfallpläne.
Krankenhäuser und Gesundheitseinrichtungen: Gesundheitsdaten sind besonders schutzbedürftig (Art. 9 DSGVO) – Cloud-Nutzung nur mit expliziter Rechtsgrundlage und verschärften TOMs.
KRITIS-Betreiber: Betreiber kritischer Infrastruktur (Energie, Wasser, Telekommunikation) unterliegen dem IT-Sicherheitsgesetz und müssen besondere Sicherheitsmaßnahmen nachweisen.

Zusammenfassung

Outsourcing und Cloud-Nutzung erzeugen rechtliche Pflichten: AVV bei Verarbeitung personenbezogener Daten, Regelung für Drittlandtransfers, SLA-Qualität, Exit-Strategie, Haftungsregelungen, Audit-Rechte und anwendbares Recht. Die Exit-Strategie ist besonders wichtig, um Vendor Lock-in zu vermeiden: Datenexport-Formate und -fristen müssen vertraglich festgelegt sein. Branchen mit erhöhten Anforderungen (Banken, Gesundheit, KRITIS) haben zusätzliche gesetzliche Vorgaben. Details zu Vertragstypen in Werkvertrag vs. Dienstvertrag vs. Kaufvertrag.

Outsourcing und Cloud: rechtliche Aspekte

1) Outsourcing vs. Cloud – der Unterschied

2) Rechtliche Checkliste: Was vor dem Vertragsschluss zu klären ist

3) Besonderheiten bei Branchen mit erhöhten Anforderungen

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title