Cloud Computing und Verträge
Klarheit für nebulöse Cloud-Leistungen
Wie lassen sich Cloud-Verträge so gestalten, dass später keine Unstimmigkeiten auftreten? Dazu müssen im Wesentlichen fünf Fragenkomplexe erörtert und geklärt werden:
1. Customizing von Standardverträgen für eigene Bedürfnisse
Einerseits sieht Cloud Computing "Out of the Box" grundsätzlich keine Anpassung von Services an individuelle Unternehmensbedürfnisse vor. Andererseits ergibt die Nutzung eines vollständig standardisierten Service in der Praxis nicht immer Sinn. Die Folge: Häufig werden Cloud-Dienstleistungen an die Anforderungen der Auftraggeber angepasst. Beispielsweise lassen sich Services mit großem Funktionsumfang durch Setzen von Parametern auf das gewünschte Maß reduzieren, oder es werden nicht benötigte Module separiert.
Allerdings ist der Umfang einer Anpassung in der Praxis typischerweise gering. Vorab sollte geprüft werden, ob eine Anpassung im erforderlichen Maß überhaupt möglich ist und welche zusätzlichen Kosten hierdurch entstehen. Denn von den Kostenvorteilen des Cloud Computings profitiert eigentlich nur, wer keine gravierenden Änderungen vornimmt.
Neben der Kostenregelung für die Anpassung von Services ist bei der Vertragsgestaltung vor allem auf eine sorgfältige Leistungsbeschreibung zu achten. Nur damit lässt sich feststellen, ob der Vertrag erfüllt wurde beziehungsweise eine Nicht- oder Schlechtleistung vorliegt und welches Gewährleistungsrecht greift.
Schließlich muss der Vertrag folgende Punkte regeln: die Beschaffenheit der Hard- und Software, die Schnittstellen zwischen Cloud-Anbieter und -Nutzer sowie die Übergabe der Leistungen. So lässt sich sicherstellen, dass die Services auch in das Unternehmenssystem integriert werden können.
Die wichtigsten Fragen zum Customizing:
-
Können die Services angepasst und technisch in das System des Unternehmens integriert werden?
-
Wer trägt welche Kosten?
-
Sind die individualisierten Services im Vertrag detailliert beschrieben?
-
Ist vertraglich geregelt, welche Beschaffenheit die Software und Hardware des Nutzers aufweisen muss?
-
Wurden Schnittstellen und Übergabe der Services genau festgelegt?
- Checkliste Cloud-SLAs
Um zu beurteilen, ob ein Cloud-Provider kundenfreundliche SLAs anbietet, lassen sich folgende Kriterien anlegen und überprüfen: - Punkt 1:
Kurze und klare Gestaltung von Inhalt, Struktur und Formulierung. - Punkt 2:
Version in der Landessprache des Kunden. - Punkt 3:
Klare Definitionen von Fach- und Produktbegriffen zu Beginn. - Punkt 4:
Detaillierte Ankündigung und Planung der Wartungsfenster (Beispiel: "Viermal im Jahr an vorangemeldeten Wochenenden"). - Punkt 5:
Leistungsbeschreibung in Tabellenform (Übersicht!). - Punkt 6:
Klar definierte Bereitstellungszeiträume für neue Ressourcen (Beispiele: Bereitstellung virtueller Server bei Managed Cloud in maximal vier Stunden; Bereitstellung kompletter Umgebungen oder dedizierter Server in fünf bis zehn Tagen). - Punkt 7:
Bereitstellung von klar abgegrenzten Konfigurationsoptionen für Ressourcen (Beispiel: Konfiguration von Servern nach Gigahertz, Gigabyte). - Punkt 8:
Einfach unterscheidbare Service-Levels (Beispiel: Silber, Gold, Platin); Abgrenzungskriterien können sein: Verfügbarkeit, Bereitstellungszeiten, fest reservierte Kapazitäten ja/nein, Support-Level (Telefon, E-Mail). - Punkt 9:
Bei IaaS-Angeboten unbedingt auf Netzwerk-Konfigurationsmöglichkeiten und Bandbreite achten (Volumen? Im Preis inkludiert ja/nein?). - Punkt 10:
Kundenfreundlicher Reporting- beziehungsweise Gutschriftenprozess (am besten aktive Gutschriften auf Kundenkonto; kein bürokratischer, schriftlicher Prozess; möglichst einfache Beweis- und Nachweispflicht für Kunden). - Punkt 11:
Reaktionszeiten und Serviceverfügbarkeit klar beschreiben (zentrale Hotline; Reaktionszeiten auf Incidents in Stunden). - Punkt 12:
Nennung der Rechenzentrumsstandorte mit Adresse und sonstigen Informationen wie Zertifizierungen und Tier. - Punkt 13:
Definition der Verfügbarkeiten: Unterschiede hinsichtlich Verfügbarkeit Server/VM und Verfügbarkeit Admin-Konsole definieren. - Punkt 14:
Erläuterung zu Möglichkeiten der SLA-Überwachung beziehungsweise des Incident-Reportings für den Anwender (Beispiel: Link auf Monitoring-Dashboard).