Haftungsregelungen in Cloud-Verträgen
Autor
Dr. Thomas Helbing
Veröffentlicht am
Worauf es ankommt
Wer IT und Daten in die Cloud auslagert, gibt die Kontrolle aus der Hand und macht sich strukturell abhängig: Ein Ausfall, ein Datenverlust oder eine Datenpanne kann unmittelbar existenzbedrohend wirken. Die Haftungsverteilung ist deshalb eine der wichtigsten Stellschrauben des Vertrags, und genau die, die in der Praxis am häufigsten unterschätzt wird. Die wesentlichen Punkte vorab:
- AGB-Recht begrenzt die Gestaltungsfreiheit massiv. Anbieter arbeiten praktisch immer mit AGB. Ein pauschaler Haftungsausschluss ist nach § 309 Nr. 7 BGB unwirksam, auch im B2B-Verhältnis, und Kardinalpflichten lassen sich nie ausnehmen.
- Datensicherung ist Sache des Nutzers. Ohne ausdrückliche Regelung schuldet der Anbieter kein Backup. Wer das nicht vertraglich verankert, hat ein Schutzloch.
- Ohne SLA kein durchsetzbarer Anspruch. Das gesetzliche Gewährleistungsrecht passt schlecht auf Cloud-Dienste. Erst das SLA macht Pflichtverletzungen feststellbar und sanktionierbar.
- Drei Haftungsebenen im Blick behalten: Vertrag, Deliktsrecht (§ 823 BGB, § 303a StGB) und Compliance (DSGVO, BSIG, Berufsrecht), plus die Frage des anwendbaren Rechts bei grenzüberschreitenden Diensten.
1. Worum es im Schadensfall geht
Anders als beim Softwarekauf läuft beim Cloud-Nutzer kein eigenes System parallel mit. Fällt der Dienst aus oder gehen Daten verloren, gibt es keinen Rückfallplan, die Abhängigkeit ist dem Modell eingebaut. Es genügt deshalb nicht, die Anbieter-AGB zu akzeptieren; die Haftungsregelungen gehören verstanden, bewertet und nach Möglichkeit verhandelt.
Die relevanten Schadensszenarien lassen sich auf drei Gruppen reduzieren:
- Datenverlust oder -veränderung durch technische Fehler, Mitarbeiterfehler, Drittangriffe (Schadsoftware) oder ungeklärte Ursachen. Trifft es Kundendaten, entsteht der Schaden oft bei den Kunden des Nutzers, der Nutzer wird in Anspruch genommen und nimmt dann beim Anbieter Regress.
- Mittelbare Folgeschäden: Aufwand zur Behebung, Imageverlust, verlorene Kunden und Geschäftschancen. Diese übertreffen den reinen Datenwert wirtschaftlich oft deutlich.
- Verletzung von Rechten Dritter (Immaterialgüter-, Persönlichkeitsrechte) durch rechtswidrige Inhalte, Stichwort Störerhaftung des Anbieters.
Schadensszenario | Anspruchsgrundlagen | Anspruchsteller |
|---|---|---|
Datenverlust durch technischen Defekt | Vertrag (§§ 535, 280 BGB) | Cloud-Nutzer |
Datenverlust durch Drittangriff | Vertrag, § 823 BGB, § 303a StGB | Nutzer, Dritte |
Systemausfall, Umsatzeinbuße | Vertrag, SLA-Sanktionen | Cloud-Nutzer |
Datenpanne, Verlust von Kundendaten | DSGVO, vertraglicher Regress | Betroffene, Nutzer |
Rechtsverletzung durch Inhalte | § 97 UrhG, § 823 BGB | Rechteinhaber |
2. Vertragstyp bestimmt das Gewährleistungsrecht
Welche gesetzlichen Rechte dem Nutzer bei Schlechtleistung zustehen, hängt vom Vertragstyp ab. Cloud-Verträge sind typengemischt; entscheidend ist der jeweilige Leistungsgegenstand:
- Mietrecht: Überlassung einer IT-Ressource (Software, Rechenkapazität, Speicher) auf Zeit, der Regelfall bei SaaS, IaaS, PaaS. Der Anbieter muss die Leistung über die gesamte Laufzeit mangelfrei halten (§ 535 Abs. 1 S. 2 BGB); Rechte des Nutzers sind v. a. Minderung (§ 536 BGB) und Schadensersatz (§ 536a BGB).
- Dienstvertrag: nur Tätigwerden geschuldet, kein Erfolg, etwa Beratung und Support. Keine Nacherfüllung, kein Rücktritt.
- Werkvertrag: konkreter Erfolg geschuldet, etwa Erstellung einer Backup-Kopie oder Implementierung. Mängelrechte nach §§ 634 ff. BGB.
Das praktische Problem: Das gesetzliche Gewährleistungsrecht greift bei Cloud-Diensten kaum. Sie haben überwiegend Fixcharakter, die Verfügbarkeit zu einem bestimmten Zeitpunkt lässt sich nicht nachholen, Nacherfüllung läuft leer, der Rücktritt passt nicht zum Dauerschuldverhältnis. Und Schadensersatz setzt den konkreten Schadensnachweis voraus, der bei der schwer belegbaren Kausalität zwischen Störung und wirtschaftlichem Schaden oft scheitert. Genau deshalb verlagert sich die Risikoverteilung in SLA und Haftungsklauseln.
3. Das SLA ist der eigentliche Ort der Risikoverteilung
Ein Service Level Agreement ist keine bloße Leistungsbeschreibung, sondern das zentrale Steuerungsinstrument: Es konkretisiert die geschuldete Qualität, macht Pflichtverletzungen überhaupt feststellbar und ersetzt oder ergänzt das unpassende gesetzliche Gewährleistungsrecht durch ein eigenes Sanktionssystem. Wer das SLA als Anhang behandelt, der am Ende „noch schnell" dazukommt, merkt das erst im Streitfall.
Kerninhalte:
- Verfügbarkeit als Prozentwert pro Monat (z. B. 99,5 % oder 99,9 %). Entscheidend ist das Kleingedruckte: Was zählt als Ausfall, wie wird gemessen, welche Zeiten (geplante Wartung) sind ausgenommen? Hier entscheidet sich, ob eine Garantie trägt oder durch Ausnahmen ausgehöhlt wird.
- Reaktions- und Behebungszeiten, idealerweise nach Prioritätsklassen gestaffelt (Totalausfall = kürzere Fristen als Einzelstörung).
- Monitoring und Reporting: Pflicht des Anbieters zu regelmäßigen Berichten und Zugang zu Messdaten, sonst lässt sich Einhaltung nicht nachweisen.
Sanktionssystem, erst hierdurch wird das SLA wirksam:
- Pauschalierte Minderung bei Unterschreiten der Verfügbarkeitsquote, ohne konkreten Schadensnachweis. Quoten müssen kontrollfähig formuliert sein.
- Schadenspauschalierung statt echter Vertragsstrafe: In AGB ist ein Vertragsstrafenversprechen nach § 309 Nr. 6 BGB unzulässig; zulässig ist eine Pauschalierung nach § 309 Nr. 5 BGB, wenn der Gegenbeweis offen bleibt und die Pauschale nicht unverhältnismäßig hoch ist.
- Außerordentliches Kündigungsrecht bei wiederholtem oder dauerhaftem Unterschreiten, praktisch oft wertvoller als Geld.
- Bonus-Malus-Regelungen als Leistungsanreiz.
Praxishinweis: Viele SLAs erklären Minderung oder Vertragsstrafe zur einzigen Rechtsfolge und schließen damit weitergehenden Schadensersatz aus. Ob das der AGB-Inhaltskontrolle standhält, ist zweifelhaft, diese Formulierung im Anbieterentwurf genau lesen.
4. Haftungsbeschränkungen in AGB: Grenzen und Spielraum
Cloud Computing ist Massengeschäft mit standardisierten Bedingungen. Ohne Beschränkung haftet der Anbieter unbegrenzt auch für Folgeschäden, wirtschaftlich kaum tragbar. Beschränkungen sind also legitim, das AGB-Recht zieht aber klare Grenzen, auch im B2B (Inhaltskontrolle nach §§ 307, 310 Abs. 1 BGB, nur mit etwas weiterem Spielraum).
Unzulässig in AGB:
- Ausschluss der Haftung für Personenschäden, unabhängig vom Verschulden (§ 309 Nr. 7 lit. a BGB);
- Ausschluss für grobe Fahrlässigkeit (§ 309 Nr. 7 lit. b BGB);
- Ausschluss für die Verletzung von Kardinalpflichten, selbst bei einfacher Fahrlässigkeit;
- Ausschluss mittelbarer/Folgeschäden, soweit er typische, vorhersehbare Schäden erfasst (BGH, NJW 2005, 422);
- Begrenzung auf die Betriebshaftpflicht, ohne dass die Police zugänglich ist (Transparenzverstoß);
- Beschränkungen, die nicht zwischen einfacher und grober Fahrlässigkeit differenzieren.
Zulässiger Spielraum:
Haftungsfall | Zulässige Gestaltung in AGB |
|---|---|
Einfache Fahrlässigkeit, nicht wesentliche Pflichten | Vollständiger Ausschluss möglich (Kardinalpflichten ausdrücklich ausnehmen) |
Einfache Fahrlässigkeit, Kardinalpflichten | Begrenzung auf den vertragstypisch vorhersehbaren Schaden |
Grobe Fahrlässigkeit einfacher Erfüllungsgehilfen, keine wesentlichen Pflichten | Ausschluss tendenziell möglich (Rspr. nicht abschließend) |
Vorsatz, Arglist | Kein Ausschluss |
Personenschäden | Kein Ausschluss |
Anfängliche Mängel (verschuldensunabhängig) | Ausschluss grds. möglich, nicht bei Arglist/zugesicherten Eigenschaften |
Summenmäßige Beschränkungen sind zulässig, wenn die Höchstsumme den typischerweise vorhersehbaren Schaden sicher abdeckt; üblich ist das Ein- bis Zweifache des vertraglichen Jahresumsatzes. Ist die Summe so niedrig, dass ein Missverhältnis zum objektiv möglichen Schaden besteht, ist die Klausel unwirksam.
Aus der Praxis: Klauseln, die wie eine ausgehandelte Individualabrede aussehen, sind oft einseitig vom Anbieter vorgegeben, und unterliegen damit der AGB-Kontrolle. Gerichte schauen nicht auf die Form, sondern darauf, ob tatsächlich verhandelt wurde.
Datenverlust-Klauseln machen die Haftung davon abhängig, ob der Nutzer nach Stand der Technik selbst gesichert hat. Ihr rechtlicher Mehrwert ist begrenzt: Sie wirken nur deklaratorisch und gehen nicht über das ohnehin geltende Mitverschulden (§ 254 BGB) hinaus. Sinnvoll sind sie dennoch, ohne den Hinweis könnte dem Anbieter eine Nebenpflichtverletzung vorgehalten werden, weil er nicht auf die Eigensicherungspflicht hingewiesen hat.
5. Datensicherung: die unterschätzte Pflicht
Backup ist grundsätzlich Sache des Nutzers, eine ungeschriebene Nebenpflicht, nicht des Anbieters. Ohne ausdrückliche Vereinbarung besteht keine Sicherungspflicht des Anbieters. Bei kritischen Daten kann ein Verlust existenzbedrohend sein, mit wirtschaftlichen, reputativen und, bei personenbezogenen Daten, strafrechtlichen Folgen.
Soll der Anbieter sichern, muss das in den Vertrag. Die Datensicherung ist werkvertraglich (geschuldet ist ein Erfolg: die gesicherte Kopie). Konkret zu regeln sind:
- welche Daten gesichert werden;
- Intervalle (täglich/wöchentlich, Voll- und inkrementelles Backup);
- Art des Backups (kalt/warm/heiß);
- Speicherort und -land der Kopien;
- Wiederherstellungsverfahren und -zeiten im Schadensfall;
- Kostentragung der Wiederherstellung;
- Haftung für Schäden bis zur vollständigen Wiederherstellung.
Hybrid und Multi-Cloud: Bei besonders sensiblen Daten zusätzlich lokal sichern, das schützt vor Ausfall, Insolvenz oder verzögerter Datenherausgabe des Anbieters und macht unabhängig von dessen Mitwirkung. Multi-Cloud (Sicherung bei mehreren Anbietern) erhöht die Ausfallsicherheit, erfordert aber sorgfältige Steuerung.
Praxishinweis: Auch die Datenlöschung am Vertragsende regeln. Personenbezogene Daten unterliegen Löschpflichten; ohne klare Regelung droht, dass Daten beim Anbieter verbleiben und weiterverarbeitet werden.
6. Deliktsrecht: ergänzend, aber lückenhaft
Die Vertragshaftung gilt nur zwischen Anbieter und Nutzer. Deliktsrecht reicht weiter, auch gegenüber Dritten und, anders als die Vertragshaftung, gegen Erfüllungsgehilfen des Anbieters (relevant, wenn ein Subunternehmer den Schaden verursacht).
„Dateneigentum" ungeklärt: Ob Daten ein Schutzgut nach § 823 Abs. 1 BGB sind, ist offen. Die traditionelle Sicht stellt aufs Eigentum am Datenträger ab, in der Cloud nutzlos, weil der Nutzer weder Eigentümer noch Besitzer der Server ist. Neuere Ansätze diskutieren ein „Recht am eigenen Datenbestand" als sonstiges Recht; Konturen und Schutzumfang sind unklar, die Rechtsprechung hat sich nicht festgelegt. Praxisrelevanter ist der eingerichtete und ausgeübte Gewerbebetrieb: Werden produktions- oder managementkritische Daten gelöscht/verändert, kann ein betriebsbezogener Eingriff vorliegen, allerdings nur bei einer wesentlichen Störung der Abläufe, die sich gegen den Betrieb als solchen richtet. Bei bloß fahrlässigen Löschungen fehlt die Betriebsbezogenheit meist.
§ 303a StGB (rechtswidrige Löschung/Veränderung von Daten) ist Schutzgesetz nach § 823 Abs. 2 BGB und kann zivilrechtliche Ersatzansprüche auslösen, aber nur gegen den vorsätzlichen Täter und damit gegen den Anbieter regelmäßig nicht einschlägig.
Verkehrspflichten zur IT-Sicherheit bestehen dem Grundsatz nach, sind in Inhalt und Umfang aber unscharf. Fest steht: Anbieter müssen Datenverlust mit Maßnahmen nach dem Stand der Technik vorbeugen; der zumutbare Aufwand steigt mit dem Datenwert. Gesetzliche Pflichten (etwa DSGVO) bilden den Mindeststandard, die Verkehrspflichten können darüber hinausgehen. Diese Unschärfe ist der beste Grund, die geschuldeten Sicherheitsmaßnahmen vertraglich präzise zu beschreiben.
7. Anwendbares Recht und Compliance
Welches Recht gilt? Bei grenzüberschreitenden Diensten, also bei allen großen globalen Anbietern, richtet sich die vertragliche Haftung nach Rom I; praktisch enthalten fast alle Verträge eine Rechtswahlklausel. Die deliktische Haftung folgt Rom II: Ohne Rechtswahl knüpft Art. 4 Abs. 1 Rom II-VO an den Erfolgsort an. Der ist in der Cloud kaum bestimmbar (wechselnde Serverstandorte); eine Anknüpfung allein an den Server wäre sachwidrig. Überwiegend wird daher über die Ausweichklausel (Art. 4 Abs. 3 Rom II-VO) auf das Vertragsstatut abgestellt.
Empfehlung: Ausdrücklich regeln, dass die Rechtswahl auch deliktische Ansprüche erfasst, das vermeidet langwierige Diskussionen im Streitfall.
Compliance als eigene Haftungsquelle:
- IT-Sicherheit (BSIG): Betreiber kritischer Infrastrukturen und Telemediendienste müssen angemessene technische und organisatorische Maßnahmen treffen; erhebliche Vorfälle sind dem BSI zu melden.
- Datenschutz (DSGVO): Der Anbieter ist regelmäßig Auftragsverarbeiter mit umfangreichen Pflichten. Bei Verstößen drohen Bußgelder bis 4 % des weltweiten Jahresumsatzes und Schadensersatz Betroffener nach Art. 82 DSGVO.
- Berufsgeheimnisträger: Für Anwälte, Ärzte, Notare u. a. gelten strenge Anforderungen; § 203 StGB stellt die unbefugte Offenbarung unter Strafe. Die Zulässigkeit der Cloud-Nutzung hängt von Ausgestaltung und Datenart ab.
- Branchenrecht: Für Banken (§ 25b KWG), Versicherungen und andere beaufsichtigte Unternehmen gelten eigene aufsichtsrechtliche Auslagerungsanforderungen, die über das allgemeine Vertragsrecht hinausgehen.
8. Checkliste für die Vertragsgestaltung
- Leistung und SLA präzise fassen. Nur klar Definiertes ist einforderbar; Verfügbarkeitsquoten müssen gerichtlich kontrollierbar formuliert sein.
- Sanktionen mit automatischer Rechtsfolge. Pauschalierte Minderung und Schadenspauschalen wirken ohne konkreten Schadensnachweis.
- Datensicherung ausdrücklich regeln: Pflicht, Intervalle, Wiederherstellungszeiten, Kosten, bei kritischen Daten zusätzlich lokal sichern.
- Haftungsklauseln prüfen. Pauschalausschluss und der Ausschluss von Kardinalpflichten sind unwirksam; summenmäßige Grenzen am realistisch vorhersehbaren Schaden ausrichten.
- Rechtswahl auf Delikt erstrecken.
- Subunternehmer und Datenschutz absichern. Setzt der Anbieter Subunternehmer ein, vertraglich sicherstellen, dass dieselben Sicherheits-, Datenschutz- und Haftungsstandards weitergereicht werden, der Einsatz zustimmungs- bzw. anzeigepflichtig ist und der Anbieter für seine Subunternehmer wie für eigenes Verhalten einsteht.
- Datenlöschung und Datenherausgabe am Vertragsende regeln, inklusive Formaten und Fristen für die Migration.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.