Service Level Agreements (SLA) bei Cloud Services

Die Verfügbarkeit der Dienste ist das zentrale Thema eines jeden Vertrages über Cloud Computing Services.  Diese Leistung des Anbieters sollte in dieser Hinsicht, aber auch in Bezug auf Dienstgüte, und Datensicherheit klar definiert und vertraglich festgehalten werden. Geben die AGB des Anbieters dies nicht hinreichend her, sollte insbesondere im Interesse des Kunden insoweit vertraglich nachgebessert werden. Üblicherweise werden Verfügbarkeit und Performance im Rahmen des SLA geregelt, zumeist gestaffelt je nach gewünschtem Leistungs- und Sicherheitsniveau zu unterschiedlichen Preisen nach „Gold“, „Silber“ oder „Bronze“. Während beim „Gold-Service“ i. d. R. eine Hochverfügbarkeit von über 99,90 % gewährleistet wird, kann beim Bronze-Status schon einmal ein größeres Wartungsfenster die Arbeit über einen längeren Zeitraum verhindern.  Die Auswahl der Servicequalität hängt daher insbesondere davon ab, wie kritisch der Geschäftsbereich ist, der auf den Anbieter der Cloud Services ausgelagert werden soll. Fällt ein Onlineshop etwa während des Weihnachtsgeschäfts ganze Tage lang aus, ohne dass dem Kunden vertragliche Hebel zur Verfügung stehen, um auch in dieser Zeit die Verfügbarkeit zu erzwingen, so drohen erhebliche Einnahmeausfälle. Fällt hingegen „lediglich“ ein Teil des unternehmenseigenen Intranets für einen bestimmten Zeitraum aus, so müssen insoweit u. U. keine größeren Schäden befürchtet werden.

 

Das Service Level Agreement (SLA) als Kernstück des Vertrages

Grund genug sich mit den rechtlichen Anforderungen des Kernstücks eines jeden Cloud Computing Vertrages, dem Service Level Agreement (SLA) einmal näher zu beschäftigen. Das SLA kann eine getrennte Zusatzvereinbarung zum Cloud Computing Vertrag sein, die geschuldeten Service Parameter können aber auch im Grundvertrag über das Cloud Computing enthalten sein.

Im SLA werden Verfügbarkeits- und Performance-Vorgaben geregelt, die vom Anbieter der Cloud Services einzuhalten sind. Ergänzend werden häufig auch Reaktions- und Wiederherstellungszeiten bei Fehlern und Ausfällen sowie die Rechtsfolgen bei Verletzung der vereinbarten Service-Parameter geregelt. Als Sanktion für derartige Vertragsverletzungen werden üblicherweise je nach Schwere des Verstoßes, d. h. insbesondere nach Dauer der Ausfallzeit, gestaffelte Vertragsstrafen vereinbart.

Soweit der Vertrag über die Cloud Services im Wesentlichen nach Mietvertragsrecht ausgestaltet ist, was insbesondere dann der Fall ist, wenn der Schwerpunkt des Vertrages auf der Überlassung einer Software oder Infrastruktur auf Zeit liegt, so läge die geschuldete Verfügbarkeit ohne explizite Regelung bei 100 %. Die Reduzierung der 100%igen Verfügbarkeit, etwa für erforderliche Wartungsfenster, liegt daher insbesondere im Interesse des Anbieters. Die Auswirkungen der Reduzierung der 100%igen Verfügbarkeit werden deutlich, wenn man sich die Dauer der erlaubten Nichtverfügbarkeit vergegenwärtigt. Wird z. B. eine Verfügbarkeit von 99,00 % pro Jahr geschuldet, so klingt dies auf den ersten Blick vielleicht relativ hoch, kann jedoch zu einer vertraglich erlaubten Ausfallzeit („scheduled downtime“) von über 3 Tagen und 15 ½ Stunden führen. Demgegenüber entspricht eine Verfügbarkeit von 99,99 %, die Google erst kürzlich für seine neuen SLAs für kostenpflichtige Dienste angekündigt hat, einer Stillstandzeit von lediglich 52:63 Minuten im Jahr. Im Bereich hochverfügbarer Anwendungen wird die Verfügbarkeit üblicherweise in Verfügbarkeitsklassen eingeteilt:

 

Verfügbarkeitsklasse 1:                               weniger als 99,00 % – mehr als 438 Minuten/Monat bzw. 7:18:18 Stunden/Monat = 87,7 Stunden/Jahr, d. h. 3 Tage und 15:39:36 h.

Verfügbarkeitsklasse 2:                               99,00 % – 438 Minuten/Monat bzw. 7:18:18 Stunden/Monat = 87,7 Stunden/Jahr, d. h. 3 Tage und 15:39:36 h.

Verfügbarkeitsklasse 3:                               99,9 % – 43:48 min/Monat oder 8:45:58 Stunden/Jahr.

Verfügbarkeitsklasse 4:                               99,99 % – 4:23 Minuten/Monat oder 52:36 Minuten/Jahr

Verfügbarkeitsklasse 5:                               99,999 % – 26,3 Sekunden/Monat oder 5:16 Minuten/Jahr

Verfügbarkeitsklasse 6:                               99,9999 % – 2,63 Sekunden/Monat oder 31,6 Sekunden/Jahr

 

Für den Fall der Nichterreichung der vereinbarten Serviceparameter, insbesondere der festgelegten Verfügbarkeit, sollten entsprechende Sanktionen vereinbart werden, wozu sich der Anbieter natürlich ungerne von sich aus selbst verpflichtet. Wenn der Vertrag aber keine Sanktionen, z. B. in Form von Vertragsstrafen enthält, sollten diese ggf. nachverhandelt werden, um hiermit die Ernsthaftigkeit der vertraglichen Leistungspflichten des Anbieters  zu untermauern und um zu vermeiden, dass eine Verletzung der Serviceparameter sich für den Anbieter im Extremfall sogar „rechnen“ kann. Üblich ist insoweit eine Staffelung je nach Schwere des Verstoßes, z. B. 3.000 € für eine Ausfallzeit von 0,01 % bis 0,03 % über der vereinbarten Verfügbarkeit von 99,95 % und 10.000 € für Nichtverfügbarkeit über 0,04 % – je nachdem wie kritisch der ausgelagerte Geschäftsprozess ist. Sanktionen sollten außerdem an den Fall der Nichteinhaltung der weiteren Serviceparameter geknüpft werden, z. B. an eine Überschreitung der versprochenen Reaktions-, Wiederherstellungs-  und/oder Fehlerbeseitigungszeiten. Dabei kann die Höhe der Vertragsstrafe ebenfalls nach Schwere der Verletzung, bei der Überlassung von Software (SaaS) etwa nach Fehlerklassen (z. B. Fehlerklasse 1 bis 4) vom geringfügigen Fehler bis zum Totalausfall, gestaffelt vereinbart werden.

Alternativ zu Vertragsstrafen kann auch ein Bonus-Malus-System vereinbart werden, bei dem sich die Grundgebühr für die Cloud Services bei Verletzungen der Serviceparameter reduziert, gleichzeitig sich aber im Falle der Übererfüllung über einen anschließenden Zeitraum diese Reduzierung wieder egalisieren kann (sog. „reverse penalties“).

 

Monitoring und Reporting

Nicht nur im Rahmen des eigentlichen Cloud Computing Vertrages im Besonderen, sondern insbesondere auch im Rahmen des SLAs im Speziellen, ist die Überwachung der Dienste und der Servicequalität von wesentlicher Bedeutung. Hier zeigt es sich, wie transparent der Anbieter seine Leistungen erbringen möchte. Eine größere Transparenz schafft zum einen Vertrauen, zum anderen ermöglicht ein straffes Monitoring dem Kunden, eventuelle Vertragsverletzungen des Dienstleisters überhaupt zu erkennen und zu dokumentieren. Fehlen im Vertrag Regelungen zum Monitoring und regelmäßigem Reporting sollte der Kunde entsprechend wachsam sein und diesen Punkt ggf. in den Verhandlungen ansprechen.

Der Anbieter sollte verpflichtet werden, die relevanten Serviceparameter und die vereinbarte Qualität der geschuldeten Cloud-Dienste selbst kontinuierlich zu überwachen. Außerdem sollte der Anbieter verpflichtet werden, regelmäßige Statusberichte über die Qualität der zurückliegenden Leistungen abliefern. Häufig werden für das Monitoring spezielle Tools eingesetzt, für die dem Kunden auch ein Zugang über ein Web-Interface eingerichtet werden kann, vergleichbar etwa mit der Übersichtsseite im Login-Bereich von Google AdWords.

 

Fazit

Gerade in Zeiten, in denen für die Auslagerung wichtiger Geschäftsprozesse zunehmend entsprechende Standardlösungen auf dem Gebiet des Cloud Computings bereitgehalten werden, sollte sich der Kunde mit den Vertragsbedingungen der Anbieter, die zumeist als allgemeine Geschäftsbedingungen (AGB) einseitig gestellt werden, sehr sorgfältig befassen, bevor der Zuschlag erteilt wird. Insbesondere im Bereich des SLA sollte genau untersucht werden, ob die angepriesene Servicequalität den Anforderungen des Kunden entspricht und welche Risiken auftreten können, wenn die festgelegten Serviceparameter nicht eingehalten werden. Abhängig von der wirtschaftlichen Position und Größe des Anbieters sind die Regelungen der AGB nicht immer „in Stein gemeißelt“, so dass individuelle Abweichungen durchaus angesprochen und verhandelt werden können.

Auch sollte die Verlagerung der Prozesse in die „Cloud“ nicht dazu führen, dass die Erbringung der Leistungen für den Kunden intransparent wird. Der Kunde muss auch in diesem Fall die Möglichkeit haben, Vertragsverletzungen aufzudecken und entsprechend Ansprüche geltend zu machen. Der Anbieter kann sich dadurch entsprechend auszeichnen, dass dieser dem Kunden einen hohen Grad an Transparenz verspricht. Durch ein aussagekräftiges Monitoring und Reporting kann beim Kunden Vertrauen erzeugt werden. Auf diese Weise lassen sich aufwändige Auseinandersetzungen von Vornherein vermeiden.

 

Christian Welkenbach
Rechtsanwalt
Fachanwalt für Informationstechnologierecht (IT-Recht)

www.res-media.net