Totaler Stromausfall: Blitzeinschlag legt Rechenzentren von Amazon und Microsoft lahm
Das weltweit effizienteste Rechenzentrum, die günstigsten klimatischen Bedingungen und die leistungsfähigsten Internetanbindungen in Dublin – sie alle konnten nicht verhindern, dass Anfang 2011 August europaweit Cloud Computing Services der Giganten Microsoft und Amazon durch Naturgewalten lahmgelegt wurden. Welche Haftungsfallen dadurch entstehen können und wie man sich dagegen schützen kann, erfahren Sie in diesem Artikel.
Vermögensschäden durch Serverausfälle bleiben ein Risiko
Urteil: Webhoster muss Schadenersatz wegen Leistungsausfall zahlen
IT-Betriebshaftpflicht versichert auch Cloud Computing
Checkliste: Kriterien für eine zeitgemäße IT-Betriebshaftpflicht
Cloud Services bleiben in der Wolke: Server stundenlang offline
Am Abend hatte bei einem Gewitter der Blitz in die Rechenzentrun von Amazon und Microsoft eingeschlagen – und die Server in der irischen Hauptstadt gingen für mehrere Stunden offline. Der Blitzeinschlag zerstörte die Leitungen sogar so stark, dass selbst die Notstromaggregate beschädigt wurden, die in solch einem Fall eigentlich einspringen sollten.
Die Folge war ein totaler Strom- und damit Serverausfall – von dem vor allem europäische Cloud Computing-Geschäftskunden betroffen waren.
Etwa zwei Stunden lang war die von Amazon gehostete europäische Availability Zone seiner EC2-Services in Europa nicht erreichbar. Und die Geschäftskunden brauchten sogar noch ein wenig mehr Geduld: Erst nach zwölf Stunden waren die Cloud Services des weltweit größten Anbieters wieder verfügbar – und das auch nur zu 60 Prozent.
Auch die Business Productivity Online Suite (BPOS) von Microsoft ging durch den Stromausfall vom Netz – und damit auch wichtige Funktionen für Firmenkunden, wie Exchange Online, SharePoint Online und Office Live Meeting.
Vermögensschäden durch Serverausfälle bleiben ein Risiko
Dass es trotz aller technischen Vorkehrungen und Fachkenntnisse immer wieder zu Serverausfällen in Rechenzentren kommt, ist keine Seltenheit – der Vorfall in Dublin nur eines von vielen Beispielen.
Die Frage, ob und in welchem Umfang Schadenersatz verlangt werden kann, wenn Leistungen ausfallen, wird deshalb für Anbieter von Internet Services und Betreiber von Rechenzentren immer wichtiger – vor allem vor dem Hintergrund, dass immer mehr Unternehmen ihre IT-Kapazitäten in die Cloud auslagern.
Die meisten Anbieter haben in ihren AGB / Verträgen bestimmte Regelungen zur Verfügbarkeit und zu Reaktionszeiten in so genannten Service Level Agreements zugesagt. Können diese Dienste nicht gewährleistet werden und Geschäftskunden z.B. nicht auf Daten und Services zurückgreifen, die in die Cloud ausgelagert sind, können die Betreiber in gewissen Fällen für deren Gewinnausfälle (Vermögensschäden) haftbar gemacht werden.
Die Rechtsprechung zeigt: Auch wenn vom Anbieter keine 100 %-ige Ausfallsicherheit garantiert werden muss, können Internet Service Provider generell haftbar gemacht werden – inklusive Schadenersatzforderungen.
Dabei ist die Haftung abhängig vom vereinbarten Gerichtsstand und landespezifischen Recht des Cloud Service Anbieters. Dabei ist zu berücksichtigen, dass in „Common Law“ Ländern wie den USA, die Haftung des Providers weiter eingeschränkt werden kann, als dies z.B. in Deutschland möglich ist.
Dr. Carsten Schulz kommt in einem Artikel Aspekte der Risikoverteilung und –begrenzung in der Cloud zu dem Schluss: „In Deutschland stellen sich für standardisierte Cloud Services hinsichtlich der vertraglichen Regelungen der Risiken spezielle Problematiken, da hier die Formulierungsfreiheit der AGB der Vertragsparteien von Gesetzesseite bereits erheblich eingeschränkt ist.“
Das kann gerade für Reseller von Cloud Services zu Haftungsfallen führen. Der Geschäftskunde nimmt den deutschen Anbieter von Cloud Services (=Reseller) nach deutschem Recht in die Haftung. Dem Reseller selbst stehen aber durch den ausländischen Gerichtstand seines Providers nur eingeschränkte Regressmöglichkeiten zur Verfügung.
Urteil: Webhoster muss Schadenersatz wegen Leistungsausfall zahlen
Vielfach wird die Meinung vertreten, dass ein Vermögensschaden – wie z.B. ein Umsatzausfall eines Webshops – schwer nachzuweisen und daher ein Schadenersatz trotz Haftung sehr unwahrscheinlich ist.
Ein Urteil vom Amtsgericht Charlottenburg wiederlegt jedoch diese Aussage. Bereits im Jahre 2002 verurteilte das Gericht einen Webhoster zu rund 5.000 Euro Schadenersatz – zu zahlen an den Kläger, der zwei Jahre zuvor bei ihm einen Webhosting-Vertrag für seinen Webauftritt abgeschlossen hatte. Dabei ermittelte das Gericht den Schadenersatz aufgrund von Umsatzaufstellungen des Webshops.
Seine Entscheidung begründete das Gericht damit, dass ein Webhosting-Vertrag nach Mietrecht zu beurteilen sei. Und gemäß §536a Abs. 1 BGB könne der Mieter vom Vermieter Schadenersatz wegen Nichterfüllung verlangen, wenn ein Mangel der Mietsache im Sinne des §536 BGB bei Vertragsabschluss vorhanden sei oder ein solcher Mangel später wegen eines Umstands entstehe, den der Vermieter zu vertreten habe. Dabei stelle die Nichtabrufbarkeit gehosteter Inhalte einen Mangel dar.
Im Klartext heißt das: Wenn Internet Service Anbieter Leistungen zugesagt haben, können sie im Fall der Nichterfüllung dieser oder Mängel an diesen Leistungen auch dafür zur Verantwortung gezogen werden.
IT-Betriebshaftpflicht versichert auch Cloud Computing
Eine zeitgemäße und auf die Bedürfnisse von IT-Dienstleister und Provider spezialisierte IT-Betriebshaftpflicht (auch IT-Haftpflicht genannt) sichert solche Haftungsrisiken ab.
Das bedeutet: Sie übernimmt die Kosten für die Schadenersatzforderungen, klärt auf eigene Kosten und mit der Unterstützung von Schadenspezialisten und Experten, inwieweit der Service Provider haftet und ermittelt die die Höhe der berechtigten Schadenersatzansprüche.
exali Tipp:Wer sich bedarfsgerecht versichern will, sollte jedoch darauf achten, dass seine IT-Betriebshaftpflicht sowohl Versicherungsschutz für die gesetzliche Haftung als auch für bestimmte Bereiche der vertraglichen Haftung (= spezielle Leistungserweiterung) bietet. Viele Haftpflichtversicherer schließen die vertragliche Haftung allerdings aus.
Die Absicherung auch der vertraglichen Haftung ist jedoch essentiell. Zur Erklärung: Generell übernehmen Betriebshaftpflichtversicherer Schadenersatzansprüche auf Basis der gesetzlichen Haftungsregelungen – die so genannte „gesetzliche Haftung. Durch vertragliche Leistungszusagen z.B. im Rahmen von Service Level Agreements kann jedoch die Haftung abweichend und zum Teil verschärfend von den gesetzlichen Regelungen vereinbart werden.
Man spricht dann von „vertraglicher Haftung“. Versicherungsschutz für diese „vertragliche Haftung“ besteht jedoch nur, wenn dies ausdrücklich in den Versicherungsbedingungen der IT-Betriebshaftpflicht vereinbart wurde.
Checkliste: Kriterien für eine zeitgemäße IT-Betriebshaftpflicht
Welche Qualitätskriterien eine gute IT-Betriebshaftpflicht sonst noch erfüllen sollte, zeigt diese Checkliste:
- Hohe Versicherungssummen bzw. Deckungssummen für reine Vermögensschäden (je nach Umfang der angebotenen Leistungen mind. 1 bis 2,5 Mio. Euro).
- „All-Risk-Deckung“ für alle Haftungsrisiken eines IT-Dienstleisters und Providers (nicht nur benannte Gefahren).
- Mitversicherung von Vermögensfolgeschäden wie Gewinnausfall des Kunden, Betriebsunterbrechung oder Verzögerungsschaden.
- Mitversicherung von Mehrkosten des Kunden in Erwartung einer ordnungsgemäßen Leistung.
- Der Vertrag sollte keine Ausschlüsse oder Sublimite (reduzierte Versicherungssummen) für Rechtsverletzungen wie Datenschutzrechtsverletzungen, Urheberrechtsverletzungen oder Persönlichkeitsrechtsverletzungen aufweisen.
- Die fahrlässige Übermittlung von Viren aller Art, sowie Hackerangriffe Dritter (die z.B. auf Sicherheitslücken der Software zurückzuführen) sollten mitversichert sein.
- Versicherungsschutz für das Abweichen von der vereinbarten Beschaffenheit (z.B. im Rahmen von Service Level Agreements) von Sachen, Lieferungen oder Leistungen, auch wenn verschuldensunabhängig gehaftet werden muss.
- Die Vergabe von Leistungen an Subunternehmer sollte ausdrücklich versichert sein.
- Und, wie bereits geschildert: Da bei SaaS- und Cloud-Lösungen den vertraglichen Regelungen mit Kunden und Subunternehmern (wie z.B. Hostprovidern) eine sehr wichtige Bedeutung zukommt, müssen neben der gesetzlichen Haftung auch bestimmte Bereiche der vertraglichen Haftung mitversichert sein.
Weiterführende Informationen
© Flora Anna Grass – exali AG