Klarheit für nebulöse Cloud-Leistungen

4. Vereinbarungen über die Geheimhaltung

Sensible Daten, die in der Cloud verarbeitet und gespeichert werden, müssen vor Kenntnisnahme durch Unbefugte geschützt werden. Geheimhaltungsabreden sind daher sinnvoll.

Bereits bei der Projektplanung im Vorfeld des Vertragsabschlusses können Daten an Unbefugte gelangen. Hier ist der gesetzliche Schutz oft unzureichend. Deshalb sollten die Parteien bereits für diese Phase eine Geheimhaltungsvereinbarung ("Non-Disclosure Agreement") schließen. Wird im Anschluss ein Vertrag über Cloud-Services geschlossen, sind die Abreden anzupassen und zu erweitern. Wer sich auf frühere Vereinbarungen aus der Projektplanungsphase bezieht, muss aufpassen: Häufig betreffen sie nur die Anbahnungsphase und nicht die Laufzeit. Zudem ist bei Vertragsschluss festzulegen, dass Absprachen über das Vertragsende hinaus gelten.

Ebenfalls sinnvoll ist es, diese Absprachen zusätzlich mit Vertragsstrafen abzusichern. Denn im Fall einer Preisgabe von Informationen kann der Geschädigte den verursachten Schaden kaum nachweisen. Bedient sich der Anbieter Dritter zur Erfüllung seiner Pflichten, sollte er verpflichtet werden, auch den Subunternehmern die Geheimhaltungspflichten aufzuerlegen.

Die wichtigsten Fragen zur Geheimhaltung:

• Wurden für die Projektplanung Geheimhaltungsabreden getroffen?

• Sind die Vereinbarungen bei Vertragsschluss erneuert und erweitert worden?

• Gelten die Vereinbarungen über das Vertragsende hinaus?

• Sind die Abreden mit Vertragsstrafen abgesichert?

• Wurde dem Unternehmen ein Auditrecht eingeräumt?

• Ist die Geheimhaltung bei Verpflichtung von Subunternehmern gewährleistet?