Cloud-Computing-Vertrag Deutschland
BGB §§611–631 | DSGVO Art. 28 AVV | BSI C5:2020 | TTDSG §25
Cloud-Computing-Vertrag
CLOUD-COMPUTING-VERTRAG nach BGB §§611–631; DSGVO Art. 28; BSI C5:2020; TTDSG §25 zwischen [AnbieterName] [AnbieterAdresse] USt-IdNr.: [AnbieterUStId] Datenschutzbeauftragter: [DSB] — nachfolgend »Anbieter« oder »Auftragsverarbeiter« genannt — und [KundeName] [KundeAdresse] — nachfolgend »Auftraggeber« oder »Verantwortlicher« genannt — wird folgender Cloud-Computing-Vertrag geschlossen:
§1 Leistungsgegenstand und Dienstbeschreibung
§1 LEISTUNGSGEGENSTAND UND DIENSTBESCHREIBUNG 1.1 Diensttyp: [DienstTyp] 1.2 Der Anbieter stellt dem Auftraggeber folgende Cloud-Dienste zur Verfügung: [DienstBeschreibung] 1.3 Rechenzentrumsstandort: [Rechenzentrumsstandort] 1.4 Sicherheitszertifizierungen des Anbieters: [Zertifizierungen] Aktuelle Zertifizierungsnachweise werden dem Auftraggeber auf Anfrage vorgelegt. Der Anbieter informiert den Auftraggeber unverzüglich über den Verlust oder die Einschränkung einer Zertifizierung.
§2 Service Level Agreement (SLA)
§2 SERVICE LEVEL AGREEMENT (SLA) 2.1 Verfügbarkeitsgarantie: Der Anbieter garantiert eine monatliche Verfügbarkeit von [SLAVerfuegbarkeit]. Die Verfügbarkeit wird gemessen als [1 - (Ausfallzeit in Minuten / 43.200 Minuten pro Monat)] × 100. 2.2 Wartungsfenster (Planned Maintenance): [Wartungsfenster] Geplante Wartungen werden auf die garantierte Verfügbarkeit nicht angerechnet, sofern die Ankündigungsfristen eingehalten wurden. 2.3 Service Credits bei SLA-Unterschreitung: [SLAKompensation] Service Credits stellen eine pauschalierte Schadensersatzvereinbarung nach §§280, 251 BGB dar und schließen weitergehende Schadensersatzansprüche nicht aus, sofern der Auftraggeber einen höheren Schaden nachweist. 2.4 Incident-Management: - P1 (Kritisch — Dienst nicht verfügbar): Erstreaktion binnen 1 Stunde, Fortschrittsbericht alle 2 Stunden - P2 (Hoch — wesentliche Beeinträchtigung): Erstreaktion binnen 4 Stunden - P3 (Mittel — eingeschränkte Funktionalität): Erstreaktion binnen 1 Arbeitstag - P4 (Niedrig — geringe Beeinträchtigung, Workaround verfügbar): Erstreaktion binnen 3 Arbeitstagen
§3 Datenschutz und Auftragsverarbeitung
§3 DATENSCHUTZ UND AUFTRAGSVERARBEITUNG 3.1 Auftragsverarbeitungsvertrag (AVV): [AVVRegelung] 3.2 Kategorien verarbeiteter personenbezogener Daten: [Datenkategorien] 3.3 Unterauftragsverarbeiter: [SubProzessoren] 3.4 Technische und organisatorische Maßnahmen (TOM nach Art. 32 DSGVO): - Datenverschlüsselung at rest: AES-256; in transit: TLS 1.2 oder höher - Identitäts- und Zugangsverwaltung: Multi-Faktor-Authentifizierung (MFA), rollenbasierte Zugriffskontrolle (RBAC) - Protokollierung und Überwachung aller Zugriffe auf personenbezogene Daten - Regelmäßige Penetrationstests und Schwachstellenanalysen - Business Continuity: Recovery Time Objective (RTO) ≤ 4 Stunden; Recovery Point Objective (RPO) ≤ 1 Stunde 3.5 Meldepflicht bei Datenpannen: Der Anbieter informiert den Auftraggeber unverzüglich, spätestens binnen 24 Stunden nach Entdeckung einer Datenschutzverletzung, damit der Auftraggeber die 72-Stunden-Meldepflicht nach Art. 33 Abs. 1 DSGVO gegenüber der zuständigen Datenschutzaufsichtsbehörde einhalten kann. 3.6 Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG §25) wird eingehalten: Jede Speicherung von Informationen auf Endeinrichtungen der Nutzer erfolgt nur mit deren informierter Einwilligung oder soweit technisch notwendig.
§4 Vergütung, Laufzeit und Vertragsende
§4 VERGÜTUNG, LAUFZEIT UND VERTRAGSENDE 4.1 Preismodell: [Preismodell] Monatliche Grundgebühr: EUR [MonatlicheGebuehr] netto zzgl. 19 % Umsatzsteuer nach §12 Abs. 1 UStG 4.2 Vertragslaufzeit: [Vertragslaufzeit] Ordentliche Kündigungsfrist: [Kündigungsfrist] Das Recht zur außerordentlichen Kündigung aus wichtigem Grund nach §314 BGB bleibt unberührt. 4.3 Datenrückgabe und -löschung nach Vertragsende: [Datenrueckgabefrist] Der Auftraggeber hat das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO. Der Anbieter stellt alle Daten in einem offenen, maschinenlesbaren Format (CSV, JSON oder XML) zur Verfügung. Nach Ablauf der Exportfrist löscht der Anbieter alle Daten des Auftraggebers zertifiziert (BSI TR-03125) und übermittelt dem Auftraggeber einen Löschnachweis. §5 SCHLUSSBESTIMMUNGEN 5.1 Anwendbares Recht: Dieser Vertrag unterliegt ausschließlich deutschem Recht. Die CISG findet keine Anwendung. Gerichtsstand für Kaufleute: Sitz des Anbieters. 5.2 Haftung: Der Anbieter haftet für Vorsatz und grobe Fahrlässigkeit unbegrenzt. Für leichte Fahrlässigkeit haftet der Anbieter nur bei Verletzung vertragswesentlicher Pflichten (Kardinalspflichten), begrenzt auf den vorhersehbaren, vertragstypischen Schaden. Haftungsausschlüsse für Personenschäden und Ansprüche nach ProdHaftG sind unwirksam (§309 Nr. 7 BGB). 5.3 Änderungen bedürfen der Schriftform (§126 BGB). Salvatorische Klausel (§139 BGB analog). ___________________________ [AnbieterName] — Datum: [Vertragsdatum] (Cloud-Anbieter) ___________________________ [KundeName] — Datum: [Vertragsdatum] (Auftraggeber)
Cloud-Anbieter / Auftragsverarbeiter
________________
Signature
Auftraggeber / Verantwortlicher
________________
Signature
Was ist Cloud-Computing-Vertrag Deutschland?
Die Rechtsgrundlage des Cloud-Computing-Vertrags in Deutschland ist nicht einheitlich kodifiziert — je nach Leistungsinhalt greifen verschiedene Vertragstypen des BGB. Ein IaaS-Vertrag (Bereitstellung von Rechenkapazität, Speicher, Netzwerk) entspricht in der Regel einem Mietvertrag nach BGB §§535–580a (Überlassung von Sachen auf Zeit). Ein PaaS-Vertrag (Entwicklungsplattform, Datenbankdienste) kann Elemente des Dienstvertrags (§§611 ff. BGB) und des Werkvertrags (§§631 ff. BGB) kombinieren. Ein SaaS-Vertrag (vollständige Software-Applikation über Browser oder API) wird überwiegend als Dienstverschaffungsvertrag (§§611 ff. BGB: Verfügbarmachung der Software, nicht Übertragung des Eigentums) oder als Mietvertrag über Software qualifiziert — mit erheblichen Auswirkungen auf Gewährleistungsansprüche (Mängelrechte nach §§535 ff. vs. §§634 ff. BGB).
Datenschutzrechtlich ist der Cloud-Computing-Vertrag in Deutschland durch die Datenschutz-Grundverordnung (DSGVO — EU-Verordnung 2016/679) und das Bundesdatenschutzgesetz (BDSG) eng reguliert. Soweit der Cloud-Anbieter personenbezogene Daten der Kunden des Auftraggebers verarbeitet — was bei fast jedem Cloud-Dienst der Fall ist —, liegt nach Art. 4 Nr. 8 DSGVO Auftragsverarbeitung vor. Art. 28 DSGVO schreibt zwingend den Abschluss eines schriftlichen Auftragsverarbeitungsvertrags (AVV) vor; ohne AVV ist die Datenverarbeitung datenschutzwidrig und kann von den Landesdatenschutzbehörden (LfDI, LDA) nach Art. 83 Abs. 4 DSGVO mit Bußgeldern bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden.
Für besonders schutzwürdige Bereiche — Cloud-Dienste für kritische Infrastrukturen (KRITIS) wie Energie, Wasser, Gesundheit, Finanzen, Transport — gelten zusätzlich die Anforderungen des BSI-Gesetzes (BSIG §§8a–8d) und der KRITIS-Verordnung (KritisV). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn zertifiziert nach §9 BSIG Cloud-Dienste als »C5-konform« (Cloud Computing Compliance Criteria Catalogue — BSI C5:2020); die C5-Zertifizierung ist für öffentliche Auftraggeber und für Unternehmen im regulierten Sektor faktisch obligatorisch. Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG §25) regelt ergänzend den Einsatz von Cookies, Tracking und ähnlichen Technologien im Rahmen von SaaS-Anwendungen.
Der Cloud-Computing-Vertrag unterscheidet sich vom einfachen Software-Lizenzvertrag dadurch, dass keine dauerhafte Übertragung der Nutzungsrechte an Software erfolgt (wie bei einem Softwarekauf nach §433 BGB i.V.m. §69c UrhG), sondern ein zeitlich befristeter Zugang zu einer laufend weiterentwickelten und durch den Anbieter betriebenen Plattform geschaffen wird. Endet der Cloud-Computing-Vertrag, enden auch die Zugriffsrechte — Regelungen zur Datenrückgabe und -löschung nach Vertragsende sind daher kritisch und müssen im Vertrag explizit geregelt werden.
Wann brauchen Sie Cloud-Computing-Vertrag Deutschland?
Der Cloud-Computing-Vertrag in Deutschland wird in folgenden Situationen benötigt:
Einführung von SaaS-Anwendungen im Unternehmen: Wenn ein deutsches Unternehmen Softwarelösungen wie CRM-Systeme (Salesforce, HubSpot), ERP-Systeme (SAP S/4HANA Cloud, Oracle Cloud ERP), HR-Systeme (Personio, SAP SuccessFactors) oder Kollaborationstools (Microsoft 365, Google Workspace) nutzt, ist ein Cloud-Computing-Vertrag erforderlich, der die SLA, Datenschutz-Bedingungen (AVV nach DSGVO Art. 28), Datensicherheitsanforderungen und Vertragsbeendigungsklauseln rechtsverbindlich regelt. Ohne validen AVV riskieren Unternehmen Bußgelder bis 10 Millionen Euro nach Art. 83 Abs. 4 DSGVO.
Migration in die Cloud (Cloud-Migration): Wenn ein Unternehmen seine IT-Infrastruktur von On-Premises-Servern in eine Public Cloud (AWS, Azure, GCP), Private Cloud oder Hybrid Cloud migriert, bedarf es eines umfassenden Cloud-Computing-Vertrags, der die Migrationspflichten des Anbieters, die Sicherheitsstandards während der Migration, die Verantwortlichkeiten nach der Migration und die Testphase (Abnahme nach §640 BGB analog) regelt. Die Migration personenbezogener Daten in Drittländer außerhalb des EWR erfordert nach DSGVO Art. 44–49 zusätzliche Schutzmaßnahmen (Standardvertragsklauseln, Angemessenheitsbeschluss).
Public-Sector-Cloud: Behörden und öffentliche Einrichtungen (Bundesbehörden, Landesbehörden, Kommunen) unterliegen beim Einsatz von Cloud-Diensten besonderen Anforderungen: DSGVO-Konformität, BSI C5-Zertifizierung des Anbieters, NIS2-Richtlinie (EU-Richtlinie 2022/2555 über Netz- und Informationssicherheit, umgesetzt durch NIS2UmsuCG vom Oktober 2024), Anforderungen der Verwaltungsvorschrift »IT-Sicherheit« des Bundesinnenministeriums (BMI). Öffentliche Ausschreibungen (GWB §§97 ff., VgV) für Cloud-Dienste ab dem Schwellenwert von 221.000 Euro erfordern eine europaweite Ausschreibung über TED (Tenders Electronic Daily der EU-Kommission). Das Bundesministerium des Innern und für Heimat (BMI) fördert mit der »Deutschen Verwaltungscloud-Strategie« (DVS) eine einheitliche souveräne Cloud-Infrastruktur für Behörden auf Basis europäischer Anbieter.
Multi-Cloud- und Hybrid-Cloud-Strategien: Wenn Unternehmen Dienste mehrerer Cloud-Anbieter kombinieren (Multi-Cloud) oder eigene Rechenzentren mit Public-Cloud-Diensten verbinden (Hybrid Cloud), entstehen komplexe vertragliche Konstellationen mit Fragen der Datensouveränität (Hosting ausschließlich in deutschen oder EU-Rechenzentren nach Art. 46 DSGVO bei Drittlandtransfers), der Interoperabilität zwischen Anbietern und der Datenportabilität nach Vertragsende (DSGVO Art. 20 Recht auf Datenübertragbarkeit). Der European Chips Act (EU-Verordnung 2023/1781) und GAIA-X (europäisches Cloud-Infrastrukturprojekt) setzen strategische Rahmenbedingungen für die digitale Souveränität europäischer Unternehmen.
Fintech, Healthtech und regulierte Industrien: Cloud-Dienste für Kreditinstitute und Finanzdienstleister unterliegen den BaFin-Anforderungen (Rundschreiben 10/2017 »BAIT« — Bankaufsichtliche Anforderungen an die IT; MaRisk-Novelle 2021) sowie den Anforderungen des Digital Operational Resilience Act (DORA — EU-Verordnung 2022/2554, ab Januar 2025 in Kraft) und des DORA-Umsetzungsgesetzes in Deutschland. Für Medizinprodukte und Gesundheits-Cloud-Dienste gelten die Anforderungen des Digitale-Versorgung-Gesetzes (DVG) und der DiGAV (Digitale-Gesundheitsanwendungen-Verordnung). Versicherungsunternehmen müssen Cloud-Auslagerungen nach §§32, 47 VAG und DORA-Anforderungen mit der BaFin abstimmen.
Was gehört in Ihr Cloud-Computing-Vertrag Deutschland?
Ein rechtssicherer Cloud-Computing-Vertrag in Deutschland nach BGB §§611–631 und DSGVO Art. 28 enthält folgende wesentliche Bestandteile:
Leistungsbeschreibung und Service-Typen (IaaS, PaaS, SaaS): Genaue Beschreibung der Cloud-Dienste nach Art (IaaS, PaaS, SaaS), Umfang (Compute-Kapazitäten in vCPU/RAM, Speichervolumen in GB/TB, Netzwerkbandbreite in Gbit/s), Bereitstellungsmodell (Public Cloud, Private Cloud, Community Cloud, Hybrid Cloud) und Rechenzentrumsstandorte (Deutschland, EU, außereuropäisches Ausland mit Angabe des Drittlands und der Transfermechanismen nach DSGVO Art. 46).
Service Level Agreement (SLA) und Verfügbarkeitsgarantien: Das SLA definiert die Mindest-Verfügbarkeit des Dienstes (üblich: 99,5 % bis 99,99 % pro Monat), Reaktionszeiten bei Störungen (Incident-Management: P1 kritisch — 1 Stunde, P2 hoch — 4 Stunden, P3 mittel — 8 Arbeitsstunden), Wartungsfenster (Planned Maintenance), Ausnahmen (Force Majeure) und Service Credits (Gutschriften bei Unterschreitung des SLA — typisch: 10–30 % des monatlichen Nutzungsentgelts pro 0,5 % Unterschreitung).
Datenschutz und Auftragsverarbeitungsvertrag (AVV, DSGVO Art. 28): Der AVV regelt: Gegenstand und Dauer der Verarbeitung; Art und Zweck der Verarbeitung; Art der personenbezogenen Daten; Kategorien der betroffenen Personen; Pflichten und Rechte des Verantwortlichen; Liste der genehmigten Unterauftragsverarbeiter (Sub-Prozessoren) nach Art. 28 Abs. 2 DSGVO; technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO (Verschlüsselung, Pseudonymisierung, Zugriffskontrolle, Protokollierung); Datenrückgabe und -löschung nach Vertragsende nach Art. 17 DSGVO (Recht auf Löschung); und Meldepflichten bei Datenschutzverletzungen nach Art. 33 DSGVO (72-Stunden-Frist gegenüber der Datenschutzbehörde).
Datensicherheit und Zertifizierungen: Anforderungen an die Informationssicherheit des Anbieters — BSI C5:2020 (Cloud Computing Compliance Criteria Catalogue des Bundesamts für Sicherheit in der Informationstechnik), ISO/IEC 27001 (Internationaler Standard für Informationssicherheits-Managementsysteme), SOC 2 Type II (American Institute of CPAs), PCI DSS (Payment Card Industry Data Security Standard bei Zahlungsdaten). Der Anbieter verpflichtet sich, aktuelle Zertifizierungsnachweise auf Anfrage vorzulegen und den Auftraggeber bei Verlust einer Zertifizierung unverzüglich zu informieren.
Drittlandtransfers und Datensouveränität: Verarbeitung personenbezogener Daten außerhalb des EWR (Europäischer Wirtschaftsraum) ist nach DSGVO Art. 44–49 nur unter bestimmten Voraussetzungen zulässig: Angemessenheitsbeschluss der EU-Kommission (z.B. EU-US-Datenschutzrahmen — Data Privacy Framework, Stand Oktober 2023 nach Schrems-II-Urteil EuGH C-311/18), Standardvertragsklauseln (SCC — Standard Contractual Clauses nach Art. 46 Abs. 2 lit. c DSGVO, aktualisierte Version 2021), Binding Corporate Rules (BCR) für Konzerntransfers.
Vertragsbeendigung und Datenmigration: Regelungen zur Datenrückgabe (alle Kundendaten in einem offenen Format binnen 30 Tagen nach Vertragsende), zur anschließenden Datenlöschung durch den Anbieter (zertifizierte Löschung nach BSI TR-03125, Nachweis an den Auftraggeber), und zur Datenportabilität nach Art. 20 DSGVO.
Haftung und Schadensersatz: Cloud-Computing-Verträge enthalten typischerweise Haftungsbeschränkungen des Anbieters. Nach BGB §§280–281 haftet der Anbieter bei schuldhafter Pflichtverletzung auf Schadensersatz; AGB-Klauseln nach §§305 ff. BGB, die die Haftung für vorsätzliche oder grob fahrlässige Verstöße ausschließen, sind nach §309 Nr. 7 BGB unwirksam. Praxisrelevant: Haftungsobergrenzen auf den 12-Monats-Vertragswert, Ausschluss von Folgeschäden (indirekter Schaden, entgangener Gewinn) und Ausschluss bei höherer Gewalt (Force Majeure — Naturkatastrophen, Pandemien nach §275 BGB, Cyberangriffe Dritter). Pflicht des Anbieters zur Betriebshaftpflichtversicherung und Cyber-Versicherung (Mindestdeckungssumme für Datenpannen nach DSGVO Art. 82: 1 Million Euro pro Schadensfall — branchenüblich für Mittelstand).
Preismodell, Rechnungsstellung und Vertragslaufzeit: Angabe des Abrechnungsmodells (Pay-as-you-go, Reserved Instance, Enterprise Agreement), Abrechnungszyklus (monatlich oder jährlich), Transparenzpflichten (monatliche Kostenübersicht nach Dienst und Region), Preisanpassungsklauseln (schriftliche Ankündigung mindestens 30 Tage im Voraus nach §315 BGB: einseitige Leistungsbestimmung des Anbieters), Kündigungsfristen (ordentlich: 3 Monate zum Monatsende; außerordentlich: bei wesentlichen Datenschutzverstößen nach Art. 83 DSGVO, anhaltenden SLA-Unterschreitungen über 3 Monate, Insolvenz des Anbieters nach §103 InsO). Auf forms-legal.com ist dieser Cloud-Computing-Vertrag als strukturierte Vorlage für Unternehmen in Deutschland verfügbar, die Cloud-Dienste rechtskonform beschaffen möchten. Ergänzend sollte ein separater Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden.
So füllen Sie Ihr Cloud-Computing-Vertrag Deutschland aus
Das korrekte Ausfüllen des Cloud-Computing-Vertrags in Deutschland erfordert detaillierte Kenntnisse der geplanten Dienste und der datenschutzrechtlichen Anforderungen.
Erster Schritt: Cloud-Dienst-Typ und Leistungsumfang bestimmen. Klären Sie zunächst, welchen Service-Typ (IaaS, PaaS oder SaaS) der Vertrag abdeckt — da dies die anwendbaren BGB-Normen (Mietrecht für IaaS, Dienstvertragsrecht für SaaS) und die Gewährleistungsregeln bestimmt. Beschreiben Sie den Leistungsumfang so präzise wie möglich: Compute-Kapazitäten (vCPU, RAM-Größe), Speichervolumen (Festplatte SSD/HDD in GB oder TB, Objektspeicher), Netzwerkbandbreite (in Gbit/s), Rechenzentrumsstandort (Pflicht: Angabe des Landes und der Region bei DSGVO-Relevanz).
Zweiter Schritt: SLA-Parameter festlegen. Definieren Sie die für Ihr Unternehmen erforderliche Verfügbarkeit (in Prozent pro Monat). Kritische Systeme (24/7-Betrieb: Onlineshops, Zahlungssysteme, Krankenhaussoftware) benötigen 99,9 % oder höher; weniger kritische Systeme (interne Tools) können mit 99,5 % SLA ausreichend versorgt sein. Legen Sie Reaktionszeitklassen für Störungen (P1-P4), Wartungsfenster (Planned Maintenance — in der Regel 00:00–06:00 Uhr lokale Zeit) und Service Credits (prozentuale Gutschriften bei SLA-Unterschreitung) fest.
Dritter Schritt: Datenschutzrechtliche Prüfung und AVV. Klären Sie mit dem Datenschutzbeauftragten (DSB — Pflicht nach Art. 37 DSGVO für bestimmte Verarbeitungen), ob der Cloud-Dienst Auftragsverarbeitung im Sinne des DSGVO Art. 28 darstellt — das ist fast immer der Fall, wenn personenbezogene Daten in der Cloud gespeichert oder verarbeitet werden. Schließen Sie einen separaten AVV ab (eigene Vorlage auf forms-legal.com) oder nutzen Sie den AVV des Anbieters — prüfen Sie diesen kritisch auf DSGVO-Konformität, insbesondere Sub-Prozessoren, Drittlandtransfers und technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO.
Vierter Schritt: Zertifizierungsanforderungen und Sicherheitsstandards. Fordern Sie vom Anbieter aktuelle Zertifizierungsnachweise (BSI C5:2020, ISO 27001) und prüfen Sie, welche Zusicherungen der Anbieter hinsichtlich Verschlüsselung (AES-256 für Daten at rest; TLS 1.2/1.3 für Daten in transit), Zugriffskontrolle (Multi-Faktor-Authentifizierung, RBAC — Role-Based Access Control), Protokollierung und Incident Response macht.
Fünfter Schritt: Vertragsbeendigung und Exit-Strategie planen. Klären Sie im Voraus, wie Ihre Daten nach Vertragsende zurückgegeben werden (Datenexport in offenen Formaten: CSV, JSON, XML — nicht nur in proprietären Formaten), welche Fristen für die Datenlöschung beim Anbieter gelten (nach BSI C5:2020 und DSGVO Art. 17: sichere Löschung binnen 30 Tagen mit Zertifikat), und ob eine Portierbarkeit zu einem anderen Cloud-Anbieter technisch sichergestellt ist (Vermeidung von Vendor Lock-in).
Sechster Schritt: Preismodell und Vertragslaufzeit. Cloud-Computing-Verträge werden als Pay-as-you-go (monatliche Abrechnung nach tatsächlicher Nutzung), Reserved Instances (12 oder 36 Monate Laufzeit mit Preisnachlass) oder Enterprise Agreements (individuelle Jahresvereinbarungen für Großkunden) abgeschlossen. Legen Sie das Preismodell, die Abrechnungszyklen, die Transparenzpflichten des Anbieters (monatliche Rechnungsaufschlüsselung nach Diensten), Preisanpassungsklauseln und Kündigungsfristen fest.
Rechtliche Anforderungen für Cloud-Computing-Vertrag Deutschland
Die rechtlichen Anforderungen an Cloud-Computing-Verträge in Deutschland ergeben sich aus dem BGB, der DSGVO, dem TTDSG, dem BSI-Gesetz und branchenspezifischen Regelwerken.
DSGVO Art. 28 — Auftragsverarbeitungsvertrag (AVV): Der AVV ist bei Cloud-Diensten, die personenbezogene Daten verarbeiten, nach Art. 28 DSGVO zwingend. Er muss schriftlich oder elektronisch abgeschlossen werden (Art. 28 Abs. 9 DSGVO). Der Auftraggeber (Verantwortlicher nach Art. 4 Nr. 7 DSGVO) bleibt für die Rechtmäßigkeit der Datenverarbeitung verantwortlich; der Cloud-Anbieter (Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO) darf die Daten nur nach dokumentierten Weisungen verarbeiten. Verstöße gegen die AVV-Pflicht werden von Landesdatenschutzbehörden nach Art. 83 Abs. 4 DSGVO mit Bußgeldern bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet.
DSGVO Art. 32 — Technische und organisatorische Maßnahmen (TOM): Cloud-Anbieter sind nach Art. 32 DSGVO verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören: Verschlüsselung personenbezogener Daten (End-to-End oder zumindest Server-seitig); Maßnahmen zur Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme; Fähigkeit zur raschen Wiederherstellung nach Sicherheitsvorfällen; und regelmäßige Überprüfung der Wirksamkeit der TOM (ISMS nach ISO 27001 oder BSI IT-Grundschutz).
TTDSG §25 — Einwilligung bei Endeinrichtungen: Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) setzt die ePrivacy-Richtlinie 2002/58/EG um. §25 TTDSG regelt den Zugriff auf Endeinrichtungen der Nutzer (Browser, Smartphones): Jede Speicherung von Informationen oder der Zugang zu bereits gespeicherten Informationen auf Endeinrichtungen ist nur zulässig, wenn eine informierte Einwilligung der betroffenen Person vorliegt — außer bei technisch notwendigen Elementen. Dies betrifft SaaS-Anwendungen, die Cookies, Tracking-Pixel oder lokalen Browserspeicher (Local Storage, Session Storage) verwenden.
BSI-Gesetz §8a — IT-Sicherheit für kritische Infrastrukturen: Unternehmen und Behörden, die als Betreiber kritischer Infrastrukturen (KRITIS) nach §10 BSIG i.V.m. KritisV eingestuft sind, müssen die von ihnen eingesetzten Cloud-Dienste auf Einhaltung der IT-Sicherheitsanforderungen des BSI prüfen (BSI C5:2020) und dem BSI auf Verlangen Nachweise vorlegen. NIS2-Richtlinie (EU-Richtlinie 2022/2555, umgesetzt durch NIS2UmsuCG ab Oktober 2024): Wesentliche und wichtige Einrichtungen müssen Cloud-Anbieter als Teil ihrer Lieferkette (Supply Chain Security) nach Art. 21 NIS2 auf Sicherheitsmaßnahmen prüfen und angemessene vertragliche Anforderungen stellen.
BaFin-Anforderungen BAIT und MaRisk: Banken und Finanzdienstleister müssen Cloud-Auslagerungen nach §25b KWG und den BaFin-Anforderungen für die IT (BAIT, MaRisk AT 9) regeln. Auslagerungen von »wesentlichen Aktivitäten und Prozessen« an Cloud-Anbieter müssen der BaFin vorab angezeigt werden. Der Cloud-Computing-Vertrag muss Rückkehroptionen (Exit-Strategie), Revisionszugänge des Unternehmens und der BaFin, und Notfallkonzepte (Business Continuity nach MaRisk AT 7.3) gewährleisten.
Häufige Fehler bei Ihrem Cloud-Computing-Vertrag Deutschland
Häufige Fehler bei Cloud-Computing-Verträgen in Deutschland können zu erheblichen Datenschutz-, Haftungs- und Sicherheitsrisiken führen.
Fehlender oder unvollständiger Auftragsverarbeitungsvertrag (AVV): Der gravierendste Fehler ist der Betrieb von Cloud-Diensten ohne gültigen AVV nach DSGVO Art. 28, wenn personenbezogene Daten verarbeitet werden. Viele Unternehmen nutzen AGB-Klauseln von Cloud-Anbietern, die zwar einen AVV einschließen, aber wesentliche Elemente (Sub-Prozessoren-Liste, Drittlandtransfer-Mechanismus, spezifische TOM) nicht vollständig regeln. Datenschutzbehörden in Deutschland — Berliner Beauftragte für Datenschutz und Informationsfreiheit, LfDI Baden-Württemberg, Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) — haben in den vergangenen Jahren empfindliche Bußgelder für unzureichende AVVs verhängt.
Unzureichende SLA und fehlende Service Credits: Cloud-Computing-Verträge ohne messbare SLA und ohne Regelungen für Service Credits (Gutschriften bei Nichteinhaltung) bieten dem Auftraggeber bei Ausfällen keinen effektiven Rechtsbehelf. Ein 99-Prozent-SLA klingt hoch, erlaubt aber 87 Stunden Ausfallzeit pro Jahr — für kritische Systeme unakzeptabel. Ohne Service-Credit-Klauseln bleibt der Auftraggeber auf allgemeinen Schadensersatzansprüchen nach §§280 ff. BGB sitzen, die schwer durchzusetzen sind.
Vendor Lock-in durch proprietäre Formate: Cloud-Anbieter bieten oft proprietäre Datenformate, APIs und Dienste, die eine Migration zu einem anderen Anbieter praktisch unmöglich machen. Fehlen im Cloud-Computing-Vertrag Regelungen zur Datenportabilität (DSGVO Art. 20: Recht auf Datenübertragbarkeit) und zur Bereitstellung der Daten in offenen Formaten nach Vertragsende, ist der Auftraggeber de facto an den Anbieter gebunden — selbst wenn er kündigt.
Ignorieren von Drittlandtransfers nach Brexit und Schrems II: Viele Cloud-Anbieter verarbeiten Daten auch in Rechenzentren außerhalb der EU/des EWR — USA, Kanada, Japan, Indien. Nach dem Schrems-II-Urteil des EuGH (C-311/18 vom 16. Juli 2020) sind einfache Privacy-Shield-Zertifikate nicht mehr ausreichend; es sind Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO in der Version 2021 erforderlich plus Transfer Impact Assessment (TIA) für Drittländer mit unzureichendem Schutzniveau. Unternehmen, die UK-basierte Cloud-Dienste nach dem Brexit nutzen, müssen prüfen, ob der Angemessenheitsbeschluss der EU-Kommission für das Vereinigte Königreich weiterhin gilt.
Fehlende Exit-Strategie und unklare Datenlöschung: Viele Cloud-Computing-Verträge regeln die Vertragsbeendigung unzureichend: kein definierter Exportzeitraum, keine zertifizierte Datenlöschung nach BSI TR-03125, keine Übergangsphase für die Migration. Endet der Vertrag, löschen Anbieter Kundendaten nach eigenen Fristen — ohne Zertifikat und ohne Nachweis, was für den Verantwortlichen nach DSGVO Art. 5 Abs. 2 (Rechenschaftspflicht) problematisch ist.
Quellen und Zitate
Gesetzliche Zitate verlinken auf offizielle Regierungsquellen.
Diese Seite zitieren
Verweisen Sie auf diese kostenlose Vorlage in einem Artikel, Lehrplan oder Forschungsbericht:
Forms Legal. (2026). Cloud-Computing-Vertrag Deutschland (Deutschland) [Legal document template]. Forms Legal. https://forms-legal.com/de/deutschland/business/contracts/cloud-computing-vertrag-deutschland
"Cloud-Computing-Vertrag Deutschland (Deutschland)." Forms Legal, 2026, https://forms-legal.com/de/deutschland/business/contracts/cloud-computing-vertrag-deutschland.
@misc{formslegal-cloud-computing-vertrag-deutschland,
author = {{Forms Legal}},
title = {Cloud-Computing-Vertrag Deutschland (Deutschland)},
year = {2026},
howpublished = {\url{https://forms-legal.com/de/deutschland/business/contracts/cloud-computing-vertrag-deutschland}},
note = {Free legal document template}
}Häufig gestellte Fragen
Auftragsverarbeitung im Sinne des DSGVO Art. 28 liegt vor, wenn ein Cloud-Anbieter personenbezogene Daten im Auftrag und nach den Weisungen des Auftraggebers (Kunden) verarbeitet. Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen: Namen, E-Mail-Adressen, IP-Adressen, Kundendaten, Mitarbeiterdaten, Gesundheitsdaten. Fast jeder Cloud-Dienst verarbeitet personenbezogene Daten — sei es durch Speicherung in einer Cloud-Datenbank, durch E-Mail-Übertragung, durch Log-Dateien, die IP-Adressen enthalten, oder durch Cloud-basierte CRM-, ERP- oder HR-Systeme. Ausnahme: Verarbeitet der Cloud-Anbieter Daten für eigene Zwecke (z.B. zur Verbesserung seiner eigenen Dienste) und nicht ausschließlich nach Weisungen des Auftraggebers, liegt keine Auftragsverarbeitung sondern gemeinsame Verantwortlichkeit nach Art. 26 DSGVO oder sogar eigenverantwortliche Verarbeitung vor. In diesen Fällen ist kein AVV, sondern eine Vereinbarung nach Art. 26 DSGVO erforderlich. Die Abgrenzung ist im Einzelfall zu prüfen; bei Unsicherheit empfiehlt sich die Konsultation des betrieblichen Datenschutzbeauftragten (DSB) oder eines auf DSGVO spezialisierten Rechtsanwalts.
Der Cloud Computing Compliance Criteria Catalogue (BSI C5:2020) des Bundesamts für Sicherheit in der Informationstechnik (BSI) definiert Mindestanforderungen an die Informationssicherheit von Cloud-Diensten und dient als Grundlage für die Prüfung und Zertifizierung von Cloud-Anbietern in Deutschland. BSI C5 umfasst 17 Themengebiete mit insgesamt 124 Anforderungen (Basic Criteria) in den Bereichen: Organisationssicherheit (Richtlinien, Verantwortlichkeiten); Personalmanagement (Zuverlässigkeitsprüfungen, Schulungen); Asset-Management (Inventarisierung, Klassifizierung); Physische Sicherheit (Zugangskontrollen zu Rechenzentren — Tier-III-Standard nach TIA-942); Netzwerksicherheit (Firewalls, Intrusion Detection); Identitäts- und Zugangsverwaltung (MFA, Least Privilege); Kryptografie (AES-256, TLS 1.2/1.3); Betriebssicherheit (Patch-Management, Malware-Schutz); Incident-Management (Meldepflichten nach DSGVO Art. 33); Business Continuity (RTO, RPO-Ziele); Compliance (DSGVO, BSI IT-Grundschutz); Transparenz und Reporting (jährliche C5-Prüfung durch Wirtschaftsprüfer). Die C5-Prüfung wird von einem akkreditierten Wirtschaftsprüfer (§316 HGB) durchgeführt und umfasst einen Systemprüfungsbericht (Type 1: Eignung des Designs) und einen Betriebsprüfungsbericht (Type 2: Wirksamkeit der Kontrollen über 6–12 Monate). Für öffentliche Auftraggeber und Unternehmen in regulierten Industrien ist BSI C5 faktisch obligatorisch.
Nach dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH, C-311/18 vom 16. Juli 2020) ist der EU-US-Privacy-Shield als Rechtsgrundlage für Datentransfers in die USA ungültig. Die aktuell gültige Rechtsgrundlage für Datentransfers in die USA ist das EU-US-Data-Privacy-Framework (DPF), das am 10. Juli 2023 in Kraft getreten ist (Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO). Cloud-Anbieter, die im DPF-Register des US-Handelsministeriums eingetragen sind — Amazon (AWS), Microsoft (Azure, Microsoft 365), Google (GCP, Google Workspace), Salesforce, ServiceNow —, dürfen personenbezogene Daten aus der EU direkt in die USA transferieren, ohne zusätzliche Schutzmaßnahmen. Für US-Cloud-Anbieter, die nicht im DPF eingetragen sind, oder für alle anderen Drittländer ohne Angemessenheitsbeschluss (z.B. Indien, China, Russland, Brasilien) sind Standardvertragsklauseln (SCC) in der aktualisierten Version vom 4. Juni 2021 (Durchführungsbeschluss EU 2021/914) erforderlich, ergänzt durch ein Transfer Impact Assessment (TIA) des Unternehmens nach den Europäischen Datenschutzbehörden-Empfehlungen 01/2020. Eine weitere Option ist der Abschluss von Binding Corporate Rules (BCR) für konzerninterne Transfers.
Service Level Agreements (SLAs) im Cloud-Computing-Vertrag sind rechtlich bindende Leistungsversprechen des Anbieters bezüglich Verfügbarkeit, Performance und Support. Das SLA definiert: die Verfügbarkeit des Dienstes (z.B. 99,9 % pro Monat = max. 43,8 Minuten Ausfallzeit/Monat, 99,95 % = max. 21,9 Minuten); die Meßmethode der Verfügbarkeit (aus Sicht des Anbieters oder der Endnutzer); Ausnahmen von der SLA (Force Majeure, geplante Wartung, Misuse des Nutzers); und Service Credits als pauschalierten Schadensersatz bei Unterschreitung (z.B. 10 % Gutschrift bei Unterschreitung der 99,9 % auf unter 99,5 %, 25 % Gutschrift bei Unterschreitung auf unter 99 %). Rechtlich handelt es sich bei Service Credits um eine pauschalierte Schadensersatzvereinbarung (§280 BGB i.V.m. §251 BGB: Geldentschädigung). Der Auftraggeber kann neben Service Credits auch konkrete Schäden nach §§280, 252 BGB geltend machen, sofern der Anbieter nicht beweist, dass kein oder nur ein geringerer Schaden entstanden ist (§287 BGB). Der BGH hat in mehreren Urteilen klargestellt, dass Haftungsausschlüsse in Cloud-AGB für grobe Fahrlässigkeit und Vorsatz nach §309 Nr. 7 BGB unwirksam sind.
Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO — Gesundheitsdaten, genetische Daten, biometrische Daten, Daten über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Sexualleben oder sexuelle Orientierung — unterliegen einem erhöhten Schutzstandard. Die Verarbeitung dieser Daten in der Cloud setzt voraus: eine spezifische Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO (z.B. ausdrückliche Einwilligung der betroffenen Person nach Art. 9 Abs. 2 lit. a, Verarbeitung zu Zwecken der Gesundheitsversorgung nach Art. 9 Abs. 2 lit. h i.V.m. §22 BDSG); verstärkte TOM nach Art. 32 DSGVO (z.B. End-to-End-Verschlüsselung, Pseudonymisierung, strenge Zugriffskontrolle); eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO (Pflicht bei »voraussichtlich hohes Risiko«); und Hosting in EU/EWR-Rechenzentren (faktische Pflicht für Gesundheitsdaten nach BSI TR-03116 und für Sozialversicherungsdaten nach §80 SGB X). Im Cloud-Computing-Vertrag müssen diese erhöhten Anforderungen explizit als Leistungspflicht des Cloud-Anbieters vereinbart werden; nur vertragliche Zusicherungen — keine reinen AGB-Klauseln — sind für sensible Daten ausreichend.
Cloud-Anbieter versuchen häufig, sich über AGB-Klauseln das Recht zur einseitigen Änderung von Nutzungsbedingungen, Preisen und SLAs vorzubehalten. Im deutschen Recht ist dies nach §307 Abs. 1 BGB (AGB-Inhaltskontrolle) nur in engen Grenzen zulässig. Einseitige Preiserhöhungsklauseln ohne sachlichen Grund sind nach §307 Abs. 2 Nr. 1 BGB unwirksam. Klauseln, die das SLA ohne adäquate Kompensation verschlechtern, sind ebenfalls unwirksam, wenn sie den Auftraggeber unangemessen benachteiligen. Nach §309 Nr. 1 BGB sind Klauseln unwirksam, die einseitige Preiserhöhungen innerhalb von vier Monaten nach Vertragsschluss erlauben. Im B2B-Bereich (§310 Abs. 1 BGB) ist die AGB-Kontrolle etwas weniger streng; einseitige Änderungsklauseln sind zulässiger, wenn sie mit angemessener Frist und Sonderkündigungsrecht des Auftraggebers verbunden sind. Im Individualvertrag (wenn der Cloud-Computing-Vertrag individuell ausgehandelt wurde und nicht als AGB gilt) sind einseitige Änderungen ohne Zustimmung des anderen Vertragspartners grundsätzlich nicht möglich. Empfehlung: Bestehen Sie auf stabilen SLA-Klauseln und Preisgarantien für mindestens 12 Monate; vereinbaren Sie bei wesentlichen Leistungsänderungen ein Sonderkündigungsrecht.
Bei einer Datenpanne (Sicherheitsverletzung, die zur Offenlegung, Vernichtung, unbefugten Übermittlung oder unbefugtem Zugriff auf personenbezogene Daten führt) haben Cloud-Anbieter als Auftragsverarbeiter nach Art. 28 Abs. 3 lit. f und Art. 33 Abs. 2 DSGVO folgende Pflichten: Unverzügliche Benachrichtigung des Verantwortlichen (Auftraggebers) nach Art. 33 Abs. 2 DSGVO — ohne schuldhaftes Zögern, in der Praxis innerhalb von 24 Stunden nach Entdeckung, damit der Auftraggeber die eigene 72-Stunden-Frist zur Meldung an die Datenschutzbehörde nach Art. 33 Abs. 1 DSGVO einhalten kann. Detaillierte Information über: die Art der Verletzung (Vertraulichkeit, Integrität, Verfügbarkeit); die Kategorien und die ungefähre Anzahl der betroffenen Datensätze und Personen; die Kontaktdaten des Datenschutzbeauftragten des Anbieters; die wahrscheinlichen Folgen der Verletzung; und die getroffenen oder vorgeschlagenen Abhilfemaßnahmen. Mitwirkung bei der Meldung an die Aufsichtsbehörde (LfDI, BfDI) und — falls die Datenpanne voraussichtlich zu einem hohen Risiko führt — bei der Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO. Verstöße gegen die Meldepflicht werden nach Art. 83 Abs. 4 DSGVO mit Bußgeldern bis 10 Millionen Euro geahndet.
Cloud-Computing-Verträge können als Monatsverträge (monatliche Kündigung), als Jahresverträge (12 Monate Mindestlaufzeit mit automatischer Verlängerung) oder als Mehrjahresverträge (2–5 Jahre, typisch für Enterprise Agreements mit erheblichen Preisnachlässen) abgeschlossen werden. Das BGB unterscheidet: Befristete Verträge enden automatisch nach Ablauf der vereinbarten Laufzeit; unbefristete Verträge können mit der vereinbarten Frist (in der Regel 1–3 Monate zum Monats- oder Quartalsende) ordentlich gekündigt werden. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund (§314 BGB) bleibt stets unberührt. Wichtige Gründe beim Cloud-Computing-Vertrag: dauerhafte Unterschreitung des SLA trotz Abmahnung; schwerwiegender Datenschutzverstoß des Anbieters (Datenpanne ohne Meldung, Verlust der DSGVO-Konformität); Insolvenz des Anbieters (§103 InsO: Insolvenzverwalterwahlrecht; der Auftraggeber sollte ein Sonderkündigungsrecht bei Insolvenzantrag vereinbaren); und Verlust wesentlicher Zertifizierungen (ISO 27001, BSI C5) ohne Wiederherstellung binnen angemessener Frist. Nach Kündigung: Datenmigration innerhalb der vereinbarten Exportfrist, zertifizierte Datenlöschung beim Anbieter (DSGVO Art. 17, BSI TR-03125), und Abschlussrechnung.
Diese Vorlage dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Gesetze sind je nach Rechtsordnung unterschiedlich und ändern sich im Laufe der Zeit. Konsultieren Sie für Ihren konkreten Fall einen qualifizierten Rechtsanwalt.Vollständiger Haftungsausschluss
Fehler gefunden? Sagen Sie uns BescheidVerwandte Dokumente
Diese Dokumente könnten ebenfalls nützlich sein:
Auftragsverarbeitungsvertrag (AVV) Deutschland
Auftragsverarbeitungsvertrag (AVV) für Deutschland — zwingend erforderlich nach DSGVO Art. 28, wenn ein Verantwortlicher einen Auftragsverarbeiter einsetzt. Enthält Weisungsrecht, technisch-organisatorische Maßnahmen (TOMs), Subauftragnehmer-Genehmigung, Datenpannenmeldung und Prüfungsrechte.
Datenschutzerklärung Website Deutschland
Datenschutzerklärung für Websites in Deutschland gemäß DSGVO Art. 13/14, BDSG und TTDSG mit Angaben zu Datenverarbeitung, Cookies, Analytics und Betroffenenrechten.
Kooperationsvertrag Deutschland
Kooperationsvertrag für Unternehmen in Deutschland — geregelt nach BGB §311 (Vertragsfreiheit), §242 (Treu und Glauben) und GWB (Wettbewerbsrecht). Enthält gemeinsame Projekte, Ertragsverteilung, IP-Zuordnung, Vertraulichkeit und Laufzeit ohne Gründung einer formellen Gesellschaft.