Kanzlei Mitarbeiter Kontakt Impressum  Suchen

Service Levels, SLAs und Verfügbarkeit bei Cloud Computing und SaaS

17.12.2010 | Cloud Computing und SaaS | von Carsten Gerlach

Eine hohe Verfügbarkeit und zugesicherte Performance sind bei Cloud-Computing-Services und Software-as-a-Service (SaaS) von zentraler Bedeutung. Insbesondere bei Auslagerung kritischer Verfahren "in die Cloud" kann ein Ausfall oder eine Unterbrechung des Systems schwerwiegende Folgen haben. Verfügbarkeit und Performance werden daher in Service Level Agreements (SLA) vereinbart.

Was ist ein Service Level Agreement (SLA)?


Im Service Level Agreement werden Verfügbarkeits- und Performance-Vorgaben geregelt, die vom Cloud-Computing-System bzw. SaaS-System einzuhalten sind. Ergänzend werden oft auch Reaktions- und Wiederherstellungszeiten bei Fehlern und Ausfällen sowie Rechtsfolgen bei Verletzung der vereinbarten Parameter (z.B. in Form von Vertragsstrafen) geregelt.

Das SLA kann eine formal getrennte Zusatzvereinbarung zum SaaS- bzw. Cloud-Computing-Vertrag sein. Regelungen über Service Levels können aber auch im Grundvertrag über das Cloud-Computing- bzw. SaaS-System enthalten sein.

Welche Service-Level-Parameter sind bei Cloud Computing und SaaS wichtig?


Das SLA sollte möglichst die folgenden Service-Level-Parameter enthalten:
  • Verfügbarkeit
    (d.h. allgemeine Zugänglichkeit / Verfügbarkeit des Systems über das Internet an einer definierten Schnittstelle)
  • Performance
    (d.h. Geschwindigkeit der Datenverarbeitung, Reaktionszeiten der Schnittstellen und des User Interface)
  • Reaktionszeiten
    (d.h. Reaktionszeiten bei Problem- und Fehlermeldungen)
  • Wiederherstellungszeiten
    (d.h. die Zeiträume, in denen Fehler korrigiert werden)
  • Wartungsfenster und geplante downtimes
    (d.h. wann und wie lange kann das SaaS-System für Wartungsarbeiten abgeschaltet werden; wie oft und mit welchem Vorlauf müssen downtimes angekündigt werden)
Die Parameter werden oft abgestuft nach Fehlerklassen bzw. Fehlerprioritäten (z.B. Totalausfall, schwerer Fehler, leichter Fehler) vereinbart.

Sorgfältige Prüfung und Formulierung notwendig


Die Definition und Formulierung der SLA-Parameter ist wichtig und sollte Gegenstand einer sorgfältigen Prüfung sein.

Zum Beispiel bedeutet eine Verfügbarkeit von 98% pro Jahr (auf 24/7-Basis) schlimmstenfalls eine Ausfallzeit von ca. sieben aufeinander folgenden Tagen pro Jahr - ein solcher Ausfall würde sich noch im Rahmen der vereinbarten Verfügbarkeit bewegen! Eine Verfügbarkeit von 98% pro Monat bedeutet dagegen eine maximale Ausfallzeit von nur etwa sechs Stunden in Folge pro Monat.

Wartungsfenster sollten beispielsweise nur außerhalb der Geschäftszeiten liegen oder auf andere Weise in ihrem Umfang begrenzt sein. Zudem sollten Wartungsarbeiten möglichst vorher angekündigt werden.

Durchsetzung von Service Levels: Vertragsstrafen


Die Vereinbarung von Service Levels im SLA nützt wenig, wenn die vereinbarten Parameter nicht effektiv durchgesetzt werden können. Dazu werden oft Vertragsstrafen vereinbart. Eine Alternative sind "umgekehrte Strafklauseln" (reverse penalties) -  d.h. die Zahlung einer reduzierten Grundgebühr für das SaaS- bzw. Cloud-Computing-System und die Vereinbarung zusätzlicher Bonus-Zahlungen bei Erreichung bestimmter Performance-Indikatoren.

Monitoring des Service Level Agreements (SLA) und Reporting


Um ggf. Vertragsstrafen geltend zu machen, ist es ratsam, das SaaS-System bzw. die Cloud-Dienste regelmäßig zu überwachen. Ein solches Monitoring ist die Voraussetzung dafür, ggf. Verletzungen des Service-Level-Agreements zu beweisen und Schadenersatz und Vertragsstrafen durchzusetzen.


Monitoring durch den SaaS-/Cloud-Computing-Anbieter


Dazu sollte zunächst der Anbieter selbst in die Pflicht genommen werden:


  • Der SaaS-/Cloud-Computing-Anbieter sollte verpflichtet werden, die relevanten SLA-Indikatoren des SaaS-Systems und der Cloud-Dienste kontinuierlich zu überwachen.
  • Der Anbieter sollten regelmäßig (z. B. monatlich) entsprechende Statusberichte abliefern.
  • Es sollte vereinbart, wie das Monitoring erfolgt (z.B. Nutzung bestimmter Standard-Monitoring-Software, welche Parameter gemessen werden, unter welchen Bedingungen). Monitoring-Software, Benchmarks und Verfahren sollten dem Stand der Technik entsprechen.


Monitoring durch den Kunden


Die Überwachung von Service-Level-Parametern durch den Kunden kann schwierige technische Probleme aufwerfen. Z. B. wird eine Überwachung der Verarbeitungs-Geschwindigkeit oder der Reaktionszeiten "von außen" wahrscheinlich zu ungenauen Ergebnissen führen.


Um dieses Problem zu lösen, könnte sich der Kunde ein Recht auf Prüfung und Messung der SLA-Performance-Indikatoren direkt beim SaaS-/Cloud-Computing-Anbieter vorbehalten. Allerdings wird dies schwer durchsetzbar sein, da der gegen eine solche Vorgehensweise Sicherheitsbedenken einwenden wird.


Haben Sie zu diesem Thema Fragen? Nehmen Sie mit uns Kontakt auf!

Carsten Gerlach

Fachanwalt für IT-Recht
cgerlach@tcilaw.de
Tel.: (030) 200 54 20
Name:
E-Mail-Adresse:
Meine Frage:

18.10.2017

Ausgezeichnet


JUVE-Handbuch 2016/2017 empfiehlt erneut TCI Rechtsanwälte

mehr

 

Datenschutzgrundverordnung (DSGVO)

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Wir beraten Sie zu den neuen Anforderungen, den drohenden Risiken und zur der Umsetzung erforderlicher Maßnahmen zur Gewährleistung der Datenschutz- Compliance.

mehr

 

IT-Beschaffung und Ausschreibung

Sie finden bei uns Informationen zur Ausschreibung und Beschaffung von Software durch die öffentliche Hand - z.B. Beschaffung von Gebrauchtsoftware, Open-Source-Software oder über Rahmenverträge.

mehr

 

Aktuelle Veröffentlichungen

Carsten Gerlach, Sicherheitsanforderungen für Telemediendienste - der neue § 13 Abs. 7 TMG, in: CR 2015, 581


Carsten Gerlach, Personenbezug von IP-Adressen, in: CR 2013, S. 478


Carsten Gerlach, Vergaberechts- probleme bei der Verwendung von Open-Source-Fremdkomponenten, in: CR 2012, S. 691


Michael Karger,
BGH: "Handlungsanweisung" für Hostprovider bei möglicherweise persönlichkeitsrechtsverletzendem Blogbeitrag, in: GRUR-Prax 2012, S. 35

 

IT-Recht im beck-blog

blog zum IT-Recht von Dr. Michael Karger im Experten-blog des Verlags C.H. Beck