Unternehmen sollten sich vor dem Abschluss von Cloud-Verträgen gründlich Gedanken darüber machen, wie sie den Auswahlprozess angehen und welche Vertragsbedingungen für sie unverzichtbar sind. Denn die von den Cloud-Providern vorgelegten Standardverträge sind für viele Unternehmen ohne Änderungen kaum akzeptabel, weil sie weder die üblichen Anforderungen im Hinblick auf Compliance und Datenschutz erfüllen, noch Regelungen bezüglich der zukünftigen Entwicklung der Preise und Qualität der Dienste enthalten.
"Viele Cloud-Anbieter behalten es sich vor, die Bedingungen des Vertrages nach Abschluss im Ganzen oder teilweise zu ändern. Solche Verträge stellen den Kunden deutlich schlechter als traditionelle IT-Service-Vereinbarungen", sagt Frank Ridder, Analyst bei Gartner. Eine Garantie, dass der Service in Zukunft verbessert werde oder zumindest auf dem gleichen Niveau bleibt, gäbe es in der Regel nicht; ebenso wenig wie Schutz vor steigenden Preisen. "Cloud-Verträge werden typischerweise mit Subskriptions- oder Pay-as-you-go-Preisen angeboten – ohne Preisgarantie oder Schutz vor zukünftigen Leistungsänderungen", hat Ridder nach Durchsicht einer Vielzahl von Standardverträgen der Cloud-Provider ermittelt.
Kein Schutz vor Änderungen und steigenden Preisen
Dabei spiegelten die Verträge den Charakter von Cloud-Services als industrialisierte IT-Dienstleistungen wider. Dennoch könne es sich lohnen, mit den Providern zusätzliche Vertragsklauseln auszuhandeln, die vor Zusatzkosten oder steigenden Preisen schützen - selbst wenn dafür bei Vertragsabschluss ein Aufschlag fällig wird. Für Kunden mit besonderen Sicherheitsanforderungen sei Nachverhandeln meist unabdingbar.
Vor Abschluss oder Verlängerung eines bestehenden Vertrages ist der Kunde gut beraten, sich einen aktuellen Überblick über den Anbietermarkt zu verschaffen, um die geforderten Preise und Konditionen vernünftig vergleichen und einschätzen zu können. Nachverhandeln lohne sich allemal – nicht nur für den konkreten Vertragsabschluss: Wenn viele Unternehmen auf Zusatzvereinbarungen beharren, werde das letztlich auch dazu führen, dass langfristig gerechtere Regelungen schon in die Standardverträge einfließen und die Kunden weniger benachteiligt werden, ist der Gartner-Analyst überzeugt.
Dabei weichen die Bedingungen für Public- und Private-Cloud-Verträge stark voneinander ab. Faustregel: Private-Cloud-Verträge sind in der Regel reifer, ähneln mehr traditionellen IT-Service-Verträgen und sind deshalb für die Kunden weniger problematisch. Weil sie üblicherweise eine Anpassung an die interne IT-Infrastruktur vorsehen, sind sie meist offener gestaltet und auf zusätzliche Vereinbarungen hin ausgelegt.
Anders die Verträge für Services aus der Public Cloud: Weil es sich hier in der Regel um Shared Services handelt, die der Dienstleister für mehrere Kunden auf derselben IT-Infrastruktur erbringt, entstehen Risiken, die in dieser Form weder bei traditionellen IT-Service-Vereinbarungen noch in Private-Cloud-Infrastrukturen auftreten. Dass der Kunde dabei weniger Einfluss auf den Provider hat und deswegen auch weniger Druck auf ihn ausüben kann als bei klassischen Outsourcing- oder Hosting-Vereinbarungen, gehört dabei noch zu weniger problematischen Aspekten.
Unterschätzte Gefahr aus der Public Cloud
"Die Gefahren, denen man sich mit Services aus der Public Cloud aussetzt, werden oft unterschätzt", sagt Ridder. "Es ist unverzichtbar, diese Risiken genau zu analysieren und daraus Richtlinien zu entwickeln und umzusetzen." Und diese Richtlinien wirken sich eben nicht nur auf technische und organisatorische Fragen aus, sondern müssen auch in die Verträge mit den Providern einfließen.
Die gegenwärtig üblichen Standardverträge der Anbieter weisen nach Ridders Analyse eine riesige Spanne auf. Dabei markieren die klassischen Anbieter IT- und TK-Dienstleister aus dem B2B-Umfeld den einen Pol der Vertragslandschaft: Ihre Verträge – besonders für die Private Cloud – sind am wenigsten problematisch, das Ändern von einzelnen Vertragsklauseln oder ein Nachverhandeln meist einfach möglich. Am anderen Ende der Skala liegen Anbieter, die oft aus dem Consumer-Umfeld kommen. Hier fehlt es häufig selbst an grundlegenden Regelungen zur Dienstqualität, Datensicherheit und Compliance. Verträge dieser Anbieter ohne Änderungen sind für die meisten Unternehmen nicht akzeptabel.
Generell gilt die Regel: Je größer der Vertragsumfang – im Hinblick auf Volumen und Laufzeit – desto eher ist der Provider bereit, sich auf Vertragsanpassungen einzulassen. Dabei sollte sich der Kunde bewusst sein, dass die von ihm geforderten Vertragsänderungen sowohl den Preis als auch sein eigenes Risiko erhöhen können. Deswegen sollte der Anwender schon weit vor Vertragsabschluss eine gründliche Risiko-Analyse durchführen und diese während der laufenden Vertragsverhandlung im Auge behalten. Will sich der Provider nicht auf die in der Risiko-Analyse ermittelten und als unverzichtbar eingeschätzten Regelungen einlassen, muss der gesamte Deal auf den Prüfstand: "Wenn sich der Provider weigert, die als notwendig erkannten Bedingungen im Vertrag festzuschreiben, sollte man ernsthaft darüber nachdenken, ganz auf den Vertragsabschluss mit dem Provider zu verzichten", sagt Ridder.