Handbuch IT-Outsourcing

bb) Vertragsverhältnis 2: Application Service Provider und ASP-Kunde

382

Mit der grundlegenden Entscheidung zum ASP hat der BGH[353] das Vertragsverhältnis #2 grundsätzlich dem Mietrecht nach §§ 535 ff. BGB zugeordnet. Die Miete zeichnet sich dadurch aus, dass der Vermieter dem Mieter eine Sache, d.h. einen körperlichen Gegenstand, gegen Entgelt überlässt (§ 535 BGB i.V.m. § 90 BGB) und für die Dauer der Nutzung die Sache im vertragsgemäßen Zustand erhält. Beim ASP-Vertrag (Vertragsverhältnis #2) ist das die Bereitstellung/Gestattung von Nutzungsmöglichkeiten an Software. Bei der juristischen Einordnung eines ASP-Vertrages zwischen Application Service Provider und ASP-Kunde steht die Verschaffung einer Möglichkeit zur Nutzung der Applikation durch den ASP-Kunden im Vordergrund. Die Nutzungsmöglichkeit der Applikation ist dabei nicht auf Dauer, sondern auf temporäre Einheiten i.d.R. begrenzt, daher liegt es nahe, dass das Application Service Providing auch in der Literatur mehrheitlich dem Mietvertrag zugeordnet wird.[354]

383

Grundsätzlich stellt sich noch die Frage, inwieweit die zusätzlichen Leistungen wie Pflege der Applikationen und User Help Desk aus dem Bereich der Application-Management-Services (AMS) oder die WAN-Leistungen beim ASP zu berücksichtigen sind. Betrachtet man diese AMS- und WAN-Leistungen gesondert, so müssen diese nicht unbedingt wie das ASP dem Mietrecht zugeordnet werden. Betrachtet man diese zusätzlichen Leistungen als notwendige Leistungen, um ein ASP überhaupt zu ermöglichen, wird man den ASP inkl. AMS- und WAN-Leistungen als einen zusammengesetzten oder auch typenkumulierten Vertrag betrachten können. Hierbei kann jeder Teil nach dem für sich zutreffenden Vorschriften beurteilt werden.[355]

Abb. 24:

Application Service Providing (rechtliche Zuordnung)

[Bild vergrößern]

cc) Mietrechtliche Hauptleistungspflichten

384

Der Mieter ist gem. § 535/§ 581 BGB verpflichtet, das vereinbarte Entgelt zu bezahlen, während der Vermieter dem Mieter den Gebrauch der Mietsache während der Mietzeit (vgl. § 535/§ 581 BGB) schuldet. Für den ASP-Vertrag zwischen dem Application Service Provider und dem ASP-Kunden bedeutet dies, dass der Application Service Provider die vertragsgegenständliche Nutzung der Applikationen ermöglichen muss. Ferner muss der Application Service Provider gem. § 536 BGB die Mietsache im vertragsgemäßen Zustand erhalten. Der Application Service Provider muss daher jegliche Nutzungsbeeinträchtigung beseitigen, die Applikationen/Software funktionsfähig und den Serverrechner instandhalten. Er muss die tatsächliche Nutzung sicherstellen. Sofern hierzu sog. Updates notwendig sind, muss der Application Service Provider diese einspielen, sofern sie notwendig sind, um die Funktionsfähigkeit der Applikationen/Software aufrechtzuerhalten. Dies bedeutet im Umkehrschluss aber nicht, dass er die Applikation/Software weiterentwickeln und mit neuen Funktionen austauschen muss (i.S. e. Upgrades). Ferner gehört die Dokumentation der Software, d.h. das Zurverfügungstellen eines Handbuchs, das der Nutzer zumindest ausdrucken können muss, zu der Hauptleistungspflicht[356] des Application Service Providers.

385

Gemäß § 536 BGB ist der Mieter (ASP-Kunde) berechtigt, den zu zahlenden Mietzins zu mindern, wenn die vertragsgegenständliche Nutzung nicht nur unerheblich beeinträchtigt ist. Eine Schadensersatzpflicht des Application Service Providers besteht gem. § 538 BGB für unverschuldete Mängel, die bereits beim Vertragsschluss vorhanden waren, und für verschuldete Mängel, die erst im Laufe der Vertragszeit entstehen. Der Application Service Provider muss den gesamten, durch die Pflichtverletzung entstandenen Schaden ersetzen. Des Weiteren besteht ein Schadensersatzanspruch des Nutzers, wenn der Vermieter mit der Mängelbeseitigung in Verzug ist.

386

Zeigt sich im Laufe der Mietzeit gem. § 536c Abs. 1 BGB ein Mangel der Mietsache oder wird eine Maßnahme zum Schutz der Mietsache gegen eine nicht vorhergesehene Gefahr erforderlich, so hat der Mieter dies dem Vermieter unverzüglich anzuzeigen. Das Gleiche gilt, wenn ein Dritter sich ein Recht an der Sache anmaßt.

387

Kennt der Mieter gem. § 536b Satz 1 BGB bei Vertragsschluss den Mangel der Mietsache, so stehen ihm die Rechte aus den §§ 536 und 536a BGB nicht zu. Ist ihm der Mangel infolge grober Fahrlässigkeit unbekannt geblieben, so stehen ihm diese Rechte nur zu, wenn der Vermieter den Mangel arglistig verschwiegen hat, vgl. § 536b Satz 2 BGB. Nimmt der Mieter eine mangelhafte Sache an, obwohl er den Mangel kennt, so kann er die Rechte aus den §§ 536 und 536a nur geltend machen, wenn er sich seine Rechte bei der Annahme vorbehält, vgl. § 536b Satz 3 BGB. Die Kenntnis bzw. grobfahrlässige Unkenntnis wird vermutet.[357] Diese strengen Haftungsvoraussetzungen für den Application Service Provider können aber teilweise abbedungen werden.

dd) Lizenzverhältnis zwischen ASP und ASP-Kunde

388

Durch das Aufrufen der benötigten Applikation/Software durch den ASP-Kunden könnte eine Vervielfältigung im Sinne des UrhG vorliegt. Beim Speichern von Softwareprogrammen nimmt der ASP-Kunden gem. § 69c Nr. 1 UrhG beim Speichern von Computerprogrammen im Arbeitsspeicher und auf Speichermedien Vervielfältigungshandlungen vor.[358] Auf dem Rechner des Kunden finden beim ASP Vervielfältigungsvorgänge grundsätzlich nur bei der Thin-Client- oder Browser-Software statt, die sowohl auf die Speichermedien als auch in den Arbeitsspeicher des Rechners des Kunden kopiert wird.[359] Der ASP-Kunde muss also zur Nutzung der Client- bzw. der Browser-Software, die auf seinem Rechner läuft, berechtigt sein. Im Einzelfall könnte es durchaus notwendig sein, dem ASP-Kunden auch für die im Rahmen von ASP genutzte Software ein Vervielfältigungsrecht einzuräumen. Hierbei sollte die Nutzungsrechtsklausel im Vertragsverhältnis nicht allzu eng gefasst werden. Insbesondere hilft dabei die sog. Zweckübertragungslehre gem. § 31 Abs. 5 UrhG, danach werden Rechte auch ohne explizite Benennung so weit eingeräumt, wie dies nach dem Zweck des jeweiligen Vertrages erforderlich ist. Fraglich ist, ob eine Klausel wie bspw. „der Application Service Provider räumt dem ASP-Kunden die zur Nutzung der ASP-Leistungen notwendigen einfachen Nutzungsrechte ein“[360], genügt. An dieser Stelle sollte die Form der Nutzung doch ein wenig deutlicher beschrieben werden, ggf. in der Form des ASP-Modells.

ee) SLA

389

Daneben stellen gerade Service-Level-Agreements im Vertragsverhältnis zum ASP-Kunden eine bedeutene Rolle dar. Der ASP-Kunde möchte natürlich über eine max. Verfügbarkeit der Applikationen verfügen, welche sich kaum von einer lokalen Installation der Applikationen unterscheidet. Hier trägt der Application Service Provider auch das Risiko der WAN-Leitung, da es dem Kunden nur wenig hilft, wenn die Applikationen im Rechenzentrum des Application Service Provider verfügbar sind (letzter Router im Netz des Anbieters).

390

Die vertragliche Definition muss hierbei schon auf eine Verfügbarkeit ab dem ersten Router im Netz des Kunden lauten. Denkbar wäre auch eine Arbeitsplatzverfügbarkeit, dann müsste der Application Service Provider entweder die Verantwortung für das LAN übernehmen oder als Prämisse bzw. Mitwirkungspflicht im ASP-Vertrag darauf hinweisen, dass seine KPIs für die Verfügbarkeit ein funktionierendes LAN mit aktiven und passiven Komponenten voraussetzt.

391

Zu den weiteren Anforderungen von SLA siehe 3. Kap.

2 › I › 9. Cloud Computing

9. Cloud Computing

392

Durch die weltweite Vernetzung über das Internet ist es möglich, Rechenzentren oder auch einzelne Server effektiv miteinander zu verbinden. Dabei werden verschiedene IT-Systeme zu einem (virtuellen) IT-System zusammengefasst. Das virtuelle IT-System (z.B. Rechenkapazität, Datenspeicher, Netzwerkkapazitäten oder auch fertige Software) stellt dann die gemeinsame Leistung dem Kunden zur Verfügung. Dabei ist es möglich, IT-Systeme dynamisch an den Bedarf angepasst über ein Netzwerk zur Verfügung zu stellen. Aus Nutzersicht scheint das zur Verfügung gestellte virtuelle IT-System wie in einer „Wolke“ verhüllt. Daher kommt auch die inoffizielle Begründung für den Begriff Cloud Computing.[361] Mit der Komplexität des Cloud Computings sind auch eine Reihe von juristischen Herausforderungen verbunden, die entsprechend beantwortet werden müssen.

Abb. 25:

Cloud Computing

[Bild vergrößern]

a) Definition

393

In der Regel betreibt beim „Cloud Computing“ ein Betreiber die Applikationen, Filespace & Datenbanken für Dritte. Die Basis stellt ein sehr leistungsfähiges Netzwerk (auch als Grid Computing bezeichnet) dar, welches die Verbindung zwischen den Instanzen des Konzeptes verschiedener Dienstanbieter (Clouds) ermöglicht.[362] Demzufolge geht Cloud Computing über ältere Businessmodelle wie ASP/Software as a Service – SaaS, Organic Computing, Island Computing und Konzepte (Virtualisierung) hinaus. Die Bezahlung für den Dienst richtet sich in der Regel nach Art und Dauer der Nutzung“.[363]

394

Die Computerwoche[364] versteht unter dem Begriff Cloud Computing Techniken und Geschäftsmodelle, mit denen ein Provider seinen Kunden IT-Leistungen in Form von Services zur Verfügung stellt und diese nach Verbrauch abrechnet. Dazu zählen Server-Kapazität, Speicherplatz und Applikationen. Zu den Techniken für dieses Konzept gehören Grid-Computing und Virtualisierung. Die Anwender betreiben ihre IT-Infrastruktur inklusive Hard- und Software nicht mehr selbst, sondern beziehen diese Ressourcen über einen Anbieter, der beides für ihn und andere Nutzer betreibt. Beim Cloud Computing werden in einem entfernten Rechenzentrum parallelisierte Rechner mit zusammen hoher Leistung bereitgestellt. In dieser „Wolke“ können viele Anwendungen („traditionell“ sogenannte Rich Internet Applications mit AJAX-Technik) gleichzeitig laufen und von vielen Nutzern gleichzeitig verwendet werden. Das Konzept verspricht Unternehmen aber auch Universitäten die Möglichkeit, Ressourcen gemeinsam zu nutzen, statt ihre teuren eigenen Rechenzentren immer weiter auszubauen. Auf der Gegenseite stellen sich natürlich Fragen nach Sicherheit, Verfügbarkeit und Benutzerfreundlichkeit.“

395

Grundsätzlich wird zwischen einer Public Cloud und einer Privat Cloud unterschieden, wobei auch eine Mischform beider Modelle als sog. Hybrid Cloud möglich ist. Die NIST unterscheidet vier Bereitstellungsmodelle (Deployment Models):[365]

396

Die oben genannten Definitionen decken aber nicht alle Varianten von Cloud-Angeboten ab, was zu weiteren Definitionen wie „Virtual Private Cloud“, etc. führt. Tatsächlich bekannte Modelle sind die Hybrid Cloud und die Community Cloud:[366]

397

Das BSI grenzt Cloud Computing vom klassischen IT-Outsourcing wie folgt ab:[367] Beim Outsourcing werden Arbeits-, Produktions- oder Geschäftsprozesse einer Institution ganz oder teilweise zu externen Dienstleistern ausgelagert. Dies ist ein etablierter Bestandteil heutiger Organisationsstrategien. Das klassische IT-Outsourcing ist meist so gestaltet, dass die komplette gemietete Infrastruktur exklusiv von einem Kunden genutzt wird (Single Tenant Architektur), auch wenn Outsourcing-Anbieter normalerweise mehrere Kunden haben. Zudem werden Outsourcing-Verträge meistens über längere Laufzeiten abgeschlossen.

398

Die Nutzung von Cloud-Services gleicht in vielem dem klassischen Outsourcing, aber es kommen noch einige Unterschiede hinzu, die zu berücksichtigen sind:[368]

399

Der Unterschied zum klassischen Outsourcing liegt insbesondere in der fehlenden festen Zuordnung von physikalischen Ressourcen.[369] Für IT-Outsourcing ist kennzeichnend, einen dezidierten Host zu mieten,[370] was aber beim Cloud Computing nicht der Fall ist, sondern die Daten können verteilt auf der Welt auf verschiedenen Systemen liegen (in der Cloud).

400

Eine wichtige technische Notwendigkeit innerhalb der Cloud ist die Virtualisierung von IT-Systemen. Bei der Virtualisierung werden unterschiedliche Server oder IT-Komponenten zu einer (virtuellen) nicht physikalischen Einheit verbunden. Dank der Nutzung von Hochverfügbarkeitsnetzen können die entsprechenden Server oder IT-Komponenten (fast) überall auf der Welt miteinander verbunden werden. So ist es möglich, Ressourcen von Computern (insbesondere im Server-Bereich) transparent zusammenzufassen oder aufzuteilen oder ein Betriebssystem innerhalb eines anderen auszuführen.

401

Die häufigste Form der Virtualisierung ist die Zusammenfassung von einzelnen Servern oder Serverfarmen zu einem IT-System/IT-Ressource (Servervirtualisierung). Bei der Servervirtualisierung werden mittels Software- oder Hardwaretechniken mehrere Instanzen eines Betriebssystems betrieben. Alternativ oder zusätzlich lassen sich sogar unterschiedliche Betriebssysteme auf einem Rechner betreiben. Die einzelne Instanz fungiert dabei letztlich wie ein eigenständiger Rechner, also so, als ob direkt auf der Hardware oder dem Betriebssystem aufgesetzt würde. Tatsächlich wird aber eine Zwischenschicht geschaffen. Dabei kommen verschiedene Techniken zum Einsatz:[371]

402

Cloud Computing Systeme sind vor allem für Big Data[372] Lösungen interessant, da durch die Virtualisierung scheinbar unbegrenzte IT-Systeme (Server und Platten) genutzt werden können. Bei Big Data handelt es sich um Datenmengen, die mit herkömmlichen Mitteln nicht mehr effizient zu verwalten sind. Dazu gehören nicht aggregierte, in Echtzeit ermittelte Daten, die beispielsweise aus Transaktionssystemen, wissenschaftlichen Versuchen, Simulationen oder Sensoren stammen.[373]

403

Die (auch rechtliche) Sichtweise auf Cloud Computing kann grundsätzlich in zwei Bereiche aufteilt werden. Der erste Bereich beschäftigt sich mit dem Verhältnis zwischen dem Anbieter von Cloud-Leistungen und der zweite Bereich beschäftigt sich mit dem Bereich innerhalb der Cloud (Virtualisierung), also der Vernetzung einzelner Cloud-Anbieter.[374]