LICEN A 2016 Agenda LICEN A 2016 das Tagesprogramm 08:30-09:00 Eintreffen 09:00-09:15 Begrüßung durch den Gastgeber 09:15-10:00 Der Weg in die Cloud: Rechtsfragen der Lizenzierung und Vertragsgestaltung // Bird & Bird, IT-Rechtsanwalt Dr. Alexander Duisberg 10:00-10:45 Lizenzierung 2018: Eine Reise in die Zukunft Hauptsache compliant! Neue Rahmenbedingungen für regelkonforme Lizenzierung // David Lenart 10:45-11:00 Kaffeepause Zeit für Gespräche 11:00-12:00 Workshops: Session 1 12:00-13:00 Mittagspause Zeit für Gespräche 13:00-14:00 Workshops: Session 2 14:00-14:15 Kaffeepause Zeit für Gespräche 14:15-15:15 Workshops: Session 3 15:15-15:30 Kaffeepause Zeit für Gespräche 15:30-16:30 Impulsvortrag: Sind deutsche Unternehmen reif für die digitale Zukunft? Eine Bestandsaufnahme und ein Weckruf! // Tim Cole Internet-Publizist und Autor 16:30-17:00 Get together und Ende der Veranstaltung
Der Weg in die Cloud Rechtsfragen der Lizenzierung und Vertragsgestaltung Dr. Alexander Duisberg Partner Bird & Bird LLP
Der Weg in die Cloud Rechtsfragen der Lizenzierung und Vertragsgestaltung LICEN A Stuttgart 16. Juni 2016 Dr. Alexander Duisberg
Übersicht Wo stehen wir auf dem Weg in die Cloud? Auswahl von Dienst, Anbieter & Vertragsentwurf Vertragliche Kernfragen aus Kundensicht (Auswahl) Regelungen zum Nutzungsumfang Service Level Agreements Bedenke das Ende - Wem gehören die Daten? - Kündigung & Exit Management Datenschutz & Cloud Was gibt es Neues? Fazit und Ausblick Seite 4
Wo stehen wir auf dem Weg in die Cloud?
Wo stehen wir auf dem Weg in die Cloud? Nutzung von Clouds in deutschen Unternehmen (2014) 44% aller Unternehmen (2011: 28%) - 68% der Groß-, 55% der mittelständischen und 41% der kleinen Unternehmen - nach Branchen: z.b. ITK 71%, Automobilbau 66%, Handel sowie Maschinenund Anlagenbau je 45% 39% Private Clouds, 16% Public Clouds - Private Cloud-Nutzung: SaaS 46%, IaaS 34%, PaaS 29% - Public Cloud-Nutzung: SaaS 52%, IaaS 53%, PaaS 28% nach NSA: 83% der Kunden bevorzugen Cloud-Anbieter mit Rechenzentrum in BRD (2012: ~35%) Seite 6 (Quelle: KPMG, Cloud-Monitor 2012 u. 2015)
Auswahl von Dienst, Anbieter und Vertragsentwurf
Auswahl von Dienst und Anbieter Welche Bereiche eignen sich überhaupt zur Nutzung eines Cloud-Angebots? Dilemma der Standardisierung bei technischem Set-up bei Vertragsgestaltung Public Cloud hat ihre Grenzen Branchenspezifische/regulatorische Anforderungen, inkl. Datenschutz! Business Continuity beim Cloud Anbieter? Eigener Notfallplan Seite 8
Vertragsentwurf Durchsetzung eines eigenen Entwurfs oft unrealistisch Umfassende Standardvertragskonvolute der Anbieter Vielfalt von Vertragsunterlagen Verweisungen und Rückbezüge Geltungsreihenfolge oft unklar Anwendbares Recht? Überhaupt verhandelbar? Lösung über Zusatzvereinbarung Es geht ggf. mehr als man denkt! Seite 9
Vertragliche Kernfragen aus Kundensicht (Auswahl)
Cloud statt On-Premise und was bedeutet das rechtlich? Cloud-/SaaS-Vertrag als "typengemischter" Vertrag - Für Software"-überlassung": Mietrecht d.h.: befristetes Nutzungsrecht nach Vertragsende bleibt nichts übrig - Regelmäßig auch dienstvertragliche und werkvertragliche Komponenten Mietvertrag impliziert dauerhafte Wartungs- und Gewährleistungspflichten Service steht im Vordergrund (Service Levels?) Vorbeugung gegen Datenverlust und Abhängigkeiten Seite 11
Vertragliche Kernfragen aus Kundensicht Nutzungsumfang Interessant zu wissen: rein urheberrechtlich evtl. gar kein Bedarf für Lizenz (abhängig v. techn. Set-up) Umfang der Zugriffsrechte aber im Vertrag zu definieren Kontrollfragen: Wer soll alles zugreifen dürfen? - Auch verbundene Unternehmen, Kunden oder Dienstleister? Wie viele Nutzer, welche Zählart, etc.? Wie oft/bei wem dürfen etwaige Clients installiert werden? Vergütungsparameter eindeutig definiert? Seite 12
Vertragliche Kernfragen aus Kundensicht Service Levels Typische Service Level-Regelungen aus Kundensicht hinterfragt SLA überhaupt fix vereinbart? ("es gilt das jeweils aktuelle SLA für das jeweilige Produkt ") Verfügbarkeit des Service ("99,1 Prozent im Quartalsdurchschnitt") Zeitlicher Bezugspunkt akzeptabel (Jahr/ Quartal/ Monat )? Tolerierte Ausfallzeiten konkret berechnen - Weihnachtsgeschäft? - Sonstige Nutzungsspitzen (Wochenende?) Seite 13
Vertragliche Kernfragen aus Kundensicht Service Levels Typische Service Level-Regelungen aus Kundensicht hinterfragt Geplante Wartungsfenster Auswirkung auf Gesamtverfügbarkeit Wann wird gewartet? Vereinbarkeit mit eigener Nutzung? Aushöhlung durch weitere Ausnahmen? Extensive Definitionen "höherer Gewalt" Aussetzungsrechte Seite 14 AGB-rechtlich meist höchst zweifelhaft (unbestimmt, oft ermessensabhängig) Aber hilft das im Ernstfall?
Vertragliche Kernfragen aus Kundensicht Service Levels Rechtsfolgen bei Verletzung der SLAs Sind überhaupt welche geregelt? Vertragsstrafen / Service Credits Zahnloser Tiger bei Verschuldensabhängigkeit Verhältnis zu weitergehendem Schadenersatz? Verhältnis zur Minderung? Kündigungsrecht bei Service-Level-Unterschreitung, etwa: Seite 15 "Verfügbarkeit x-mal um mindestens y % unterschritten in Zeitraum z"
Vertragliche Kernfragen aus Kundensicht Service Levels Measuring und Reporting Wer misst die Einhaltung der Service Levels? Mit welchem System? In welchen Intervallen? Sonstige mögliche Service Levels (neben Verfügbarkeit) Leistungsparameter der eigentlichen Software (z.b. Rechenzeiten für bestimmte Vorgänge) Support: Response Times / Repair Times Datensicherung / Back-up Zyklen Security Levels Korrelation zu 9 BDSG (Anlage TOMs) Seite 16
Vertragliche Kernfragen und wem gehören die Daten? Nach geltender Rechtslage ist dies oft unklar! Eigentum: keine Sacheigenschaft von Daten Datenschutzrecht: schützt Datensubjekte, nicht verantwortliche Stelle Leistungsschutzrecht des Datenbankherstellers ( 87a ff. UrhG) Nicht für unsortierte Rohdaten Schützt Investition u.u. fraglich, bei wem diese lag Vertragliche Regelungen treffen! Seite 17
Vertragliche Kernfragen Exitmanagement Ziel: Vermeidung eines "Vendor Lock-in" Rückkehr zu Installation auf eigener (physischer/virtueller) Infrastruktur Migration zu anderem Cloud-Anbieter Portabilität & (ausreichend bemessene) Transitionsphase: Datenherausgabe in brauchbarem technischem Format entscheidend! Zurückbehaltungsrecht an Daten ausschließen Endgültige Datenlöschung Regelungen in Anbieter-Standardverträgen (noch immer) eher rudimentär Seite 18
Datenschutz & Cloud Was gibt es Neues?
Datenschutz & Cloud Was gibt es Neues? Cloud Anbieter zunehmend offensiv bzgl. Datenschutz-Compliance "Orientierungshilfe Cloud Computing" (Oktober 2014) Folgen der Safe Harbor Entscheidung des EuGH (Oktober 2015) "EU US Privacy Shield" (Februar 2016) Details abzuwarten Standardvertragsklauseln C2P und Binding Corporate Rules bis auf Weiteres möglich Weitere Stellungnahme der Datenschutzbehörden steht aus! Seite 20
Datenschutz & Cloud Was gibt es Neues? EU Datenschutz-Grundverordnung nunmehr beschlossen (kommt voraussichtlich 2018) Zertifizierung von Cloud-Diensten (in Vorbereitung) Evtl. schon in 2016 am Markt (www.trusted-cloud.de) Vorbereitung auf Inkrafttreten der DS-GVO (Art. 39f. DS-GVO) Seite 21
Fazit und Ausblick
Fazit & Ausblick Vertragsmuster der Anbieter zunehmend auf deutschen Markt ausgerichtet Verträge nach deutschem Recht Offensiver Umgang mit Datenschutz Aus Kundensicht dennoch meist wesentlicher Änderungsbedarf, insb. bzgl. Kontinuität der Dienste & Absicherung Haftungsrisiken Portabilität/Exit Datenschutz Trend zu nationalen / EU-Clouds Auswirkungen der Safe Harbor Entscheidung abzuwarten Seite 23
"Die 'top' IT-Praxis von Bird & Bird rund um Alexander Duisberg agiert auf 'sehr hohem Niveau'." Legal 500 2015 the world-class Alexander Duisberg who deals with both contentious and non-contentious matters pertaining to the field. Who s Who Legal 2016 Vielen Dank Dr. Alexander Duisberg Partner Bird & Bird LLP E-Mail: alexander.duisberg@twobirds.com Telefon: +49 89 3581 6239