Von Matthias Ebneter
Mit der zunehmenden Nutzung von Internet Services steigt auch die Abhängigkeit der Unternehmen von ihrem Internet Service Provider (ISP). Umso mehr müssen Risiken im Verhältnis zwischen Unternehmen und ISP vorausschauend beurteilt und – soweit möglich – vertraglich und versicherungstechnisch abgesichert werden.
Risiken aus Sicht des Kunden
Aus technischer Sicht steht für den ISP-Kunden die Verfügbarkeit und Performance der Internet Services wohl im Vordergrund. Dies gilt in besonderem Mass für den Zugang zum Internet und die Übermittlung von Daten über das Internet. Geschäftskunden nutzen das Internet regelmässig für die Übermittlung geschäftskritischer Daten. Daher spielen auch die Continuity (Aufrechterhaltung der Geschäftstätigkeit im Katastrophen- oder Krisenfall) und die Sicherheit der Übermittlung eine entscheidende Rolle. In dynamischen Branchen oder Unternehmen kann auch eine flexible Skalierbarkeit der vom Kunden abgefragten Leistungskapazitäten beim ISP wichtig werden. Eine solche flexible Skalierbarkeit setzt allerdings auf Seiten des ISP voraus, dass er Ressourcen entsprechend flexibel zuweisen kann.
Sobald Störungen und Fehler auftreten, ist der ISP aktiv gefordert. Gerade im Bereich der geschäftskritischen Funktionalitäten ist es von Bedeutung, wie schnell der ISP sich der Fehlerbehebung annimmt, ob er Ersatzlösungen wie zum Beispiel redundante Leitungen zur Verfügung stellen kann und in welcher Zeit eine Behebung des Fehlers gewährleistet werden kann.
Service Level Agreement (SLA)
Um die Qualität der Dienstleistungen des ISP sicherzustellen, ist die Vereinbarung eines Service Levels erforderlich, welches einerseits die Anforderungen des Kunden erfüllt, andererseits aber vom ISP auch gewährleistet werden kann. Relevante technische Standards für die Erbringung der Dienstleistungen sollten im Vertrag explizit erwähnt werden (z.B. IT-Service-Management nach ISO/IEC 20000 oder Informationssicherheit nach ISO/IEC 27001).
Wer eine Massendienstleistung eines ISP in Anspruch nimmt, muss sich oftmals mit einem minimalen Service Level («Best Effort») begnügen; das heisst, der ISP verpflichtet sich lediglich, seine Kunden im Rahmen der ihm zur Verfügung stehenden Ressourcen nach besten Möglichkeiten zu bedienen. Dies kann bei paketvermittelnden Netzen beispielsweise bedeuten, dass Pakete nur weitergeleitet werden, solange im Netz noch freie Übertragungskapazität vorhanden ist. Eine fehlerfreie und vollständige Übermittlung ist dabei nicht garantiert. Nachfolgend einige Beispielklauseln, welche nur einen minimalen Service Level garantieren:
- «Bei von uns angegebenen Internet-Geschwindigkeiten handelt es sich um
Maximalwerte, deren Erreichbarkeit wir nicht garantieren können. (...) Zur Durchsetzung dieser Fairness-Regelung behalten wir uns vor, bei Vorliegen einer Gefährdung des störungsfreien Internetbetriebs punktuell eine vorübergehende Reduktion der maximalen Geschwindigkeiten vorzunehmen oder den Internetzugang ganz zu sperren.»
- «XY bietet eine hohe Verfügbarkeit des Netzes, kann jedoch keine Gewährleistung für ein unterbruchs- und störungsfreies Funktionieren des Netzes übernehmen. XY behält sich vor, jederzeit Unterhaltsarbeiten am Netz auszuführen, die zu Betriebsunterbrüchen führen können. Zusätzlich behält sich XY vor, zur Bekämpfung von Spam und schadhaften Codes (z.B. Viren, Würmer, Trojaner usw.) bestimmte Internet Services vorübergehend zu sperren.»
Je höher der Service Level, umso höher ist in der Regel der Aufwand beim ISP und folglich die Vergütung. Gleichzeitig muss sich der Kunde aber auch bewusst sein, dass kein ISP eine 100-prozentige Verfügbarkeit garantieren kann. Insbesondere eingeschränkte Verfügbarkeiten für Service- und Wartungszwecke sind üblich und sollten auch entsprechend vorgesehen werden. Soweit eine bestimmte Verfügbarkeit oder auch Performance zugesichert werden soll, ist der Definition der Verfügbarkeit beziehungsweise Performance und deren Messbarkeit besonderes Augenmerk zu schenken. Eine mangelhafte Verfügbarkeit muss einfach und objektiv beurteilt werden können, um eine sinnvolle Durchsetzung zu ermöglichen. Im Interesse des ISPs können dabei auch bewusst gewisse Toleranzen vereinbart werden.
Wesentliche Aspekte des Service Levels sind auch die Reaktionszeiten im Rahmen der Fehlerbehebung, wobei oft zwischen der Reaktionszeit bis zur Anhandnahme der Fehlerbehebung und der Reaktionszeit bis zur eigentlichen Fehlerbehebung (oder jedenfalls Bereitstellung einer Ersatzlösung) differenziert wird. Soweit sinnvoll und zweckmässig, können bestimmte Störungen und Fehler unterschiedlich qualifiziert werden, insbesondere für Störungen, die eine umgehende Reaktion des ISP nicht rechtfertigen.
Verantwortung für die Einhaltung des Service Levels
Klar geregelt werden sollten die Konsequenzen für das Unterschreiten und unter Umständen aber auch für das Überschreiten des Service Levels. Der ISP sollte schon bei Vertragsabschluss wissen, mit welchen Konsequenzen er bei mangelhaftem Service auf jeden Fall rechnen muss. Aus Sicht des Kunden ist es in Fällen grober oder wiederholter Verstösse vorteilhaft, wenn im Vertrag ein Ausstiegsszenario vorgesehen ist. Anreize zugunsten des ISP bei Überschreiten des Service Levels können auch aus Sicht des Kunden einen Vorteil darstellen, wenn der ISP dadurch zu Höchstleistungen motiviert werden kann.
Ein Service Level Agreement macht selbstredend nur dann Sinn, wenn der ISP auch bereit ist, die Verantwortung und Haftung dafür zu übernehmen. Daher sollte auch allfälligen Haftungs- und Gewährleistungsklauseln genügend Augenmerk geschenkt werden. Folgende Beispielklauseln sehen – gekoppelt mit einem minimalen Service Level – einen weitgehenden Ausschluss der Haftung vor:
- «XY übernimmt keine Kosten für die Leistungen der Kunden oder von durch die Kunden beauftragten Dritten im Zusammenhang mit dem Eingrenzen und/oder Beheben von allfälligen Störungen eines Internet Service. Kosten für Leistungen von XY im Zusammenhang mit dem Eingrenzen und/oder Beheben von allfälligen Störungen eines Internet Service haben ebenfalls die Kunden zu tragen, sofern die Ursache der Störung auf Mängel oder auf die fehlerhafte Handhabung der von den Kunden benützten Endgeräte zurückzuführen ist.»
- «XY gewährt für Dienstleistungen weder den ununterbrochenen störungsfreien Betrieb noch den störungsfreien Betrieb zu einem bestimmten Zeitpunkt. Die Haftung für Betriebsunterbrüche, die insbesondere der Störungsbehebung, der Wartung oder der Einführung neuer Technologien dienen, ist hiermit wegbedungen. (...) XY haftet weder für direkte oder indirekte noch mittelbare oder unmittelbare Schäden, die sich aus dem Gebrauch oder durch Fehlleistungen der von XY gelieferten/erbrachten Dienste ergeben.»
Für ausdrückliche Zusicherungen wird der ISP die Gewährleistung und Haftung übernehmen müssen, auch wenn in den Haftungsklauseln die Haftung im Allgemeinen allenfalls reduziert wird. Es wäre ein Widerspruch, wenn der ISP gleichzeitig Zusicherungen abgeben und die Gewährleistung und Haftung dafür ausschliessen würde. Damit der Kunde sich haftungsrechtlich nur mit seinem ISP auseinandersetzen muss, muss der ISP auch die Haftung für allfällige Hilfspersonen bei der Vertragserfüllung (z.B. eigene Vertragspartner) übernehmen. Soweit der ISP keine Gewährleistung oder Haftung übernimmt, muss der Kunde mögliche Betriebsausfälle und entsprechende Folgeschäden selber tragen. Verschiedene Versicherungen bieten entsprechende Betriebsunterbruch-Versicherungslösungen an.
Zahlungsmodalitäten
Die Gegenleistung des Kunden gegenüber dem ISP ist in der Regel rein finanzieller Natur. Umso mehr hat der ISP ein Interesse daran, die Zahlungsmodalitäten genau festzulegen und für eine rechtzeitige finanzielle Deckung durch den Kunden zu sorgen. Dazu drängen sich entsprechende Vorschusspflichten des Kunden gegenüber dem ISP auf. Aus praktischer Erfahrung sollten solche Vorschusspflichten aber grundsätzlich eine nicht zu lange Zeitperiode umfassen und sinnvollerweise nicht länger als die vertragliche Kündigungsfrist sein. Somit kann der ISP sicherstellen, dass seine Forderungen bis zum Vertragsende gedeckt sind. Der Kunde auf der anderen Seite wird davor bewahrt, im Fall einer Kündigung gegenüber dem ISP Rückforderungsansprüche aus Vorauszahlungen durchzusetzen.
Im Rahmen der Regelung der finanziellen Konsequenzen für das Unterschreiten des vereinbarten Service Levels werden oft vertraglich vereinbarte Abzüge zulasten des ISP, oft aber auch Vertragsstrafen vorgesehen. Aus Sicht des Kunden werden eher Abzüge, aus Sicht des ISP hingegen eher Vertragsstrafen vorteilhaft sein.
Daran schliesst auch die Problematik einer allfälligen Verrechnung gegenseitiger Forderungen an. Der ISP wird in seinem Interesse der finanziellen Deckung seiner Leistungen eine Verrechnung eher ausschliessen wollen, der Kunde seinerseits wird ein Interesse daran haben, verrechnen zu können. Ein Kompromiss kann darin bestehen, dass nur für bestimmte, insbesondere für betragsmässig festgelegte beziehungsweise unstrittige Forderungen gegen dem ISP eine Verrechnung zugelassen wird.
Haftung des Access Providers für Handlungen der Kunden
In der Schweiz existieren bekanntlich noch keine speziellen Haftungsprivilegien zugunsten von ISP wie etwa in der EU oder in den USA, um die Haftung der ISP für unerlaubte Handlungen der Kunden gegenüber Dritten zu beschränken. Grob gesagt darf ein ISP immerhin auch in der Schweiz davon ausgehen, dass die Haftungsregeln jedenfalls nicht strenger gehandhabt werden als in der EU. Der reine Access-Provider dürfte daher auch in der Schweiz praktisch nie haftbar werden. Eine allfällige automatische, kurzzeitige Zwischenspeicherung der übermittelten Informationen (Proxy-Server) gehört ebenfalls noch zum Access-Providing, soweit dies nur zur Übermittlung im Kommunikationsnetz geschieht und die Informationen nicht länger gespeichert werden, als dies für die Übermittlung erforderlich ist. Gleichwohl sehen die meisten ISPs für Fälle, in denen Dritte wegen unerlaubten Handlungen eines Kunden Ansprüche gegen sie geltend machen, vor, dass der Kunde den ISP schadlos hält, also sämtliche Kosten der Verteidigung und allfällige Schäden decken muss.
Zu guter Letzt: Change Management
Am Anfang des vertraglichen Change Management stehen die Szenarien der Vertragsbeendigung. Anlass zu einer Vertragsbeendigung können einerseits eine einvernehmliche Vertragsauflösung oder ordentliche Kündigungsmöglichkeiten darstellen, andererseits aber auch eine ausserordentliche, oftmals fristlose oder kurzfristige, Vertragsbeendigung wegen erheblicher oder wiederholter Vertragsverletzungen oder aus anderen wichtigen Gründen. Als wichtiger Grund kann neben Zahlungsunfähigkeit, Nachlassstundung oder Konkurs unter anderem auch ein Wechsel in der rechtlichen und/oder wirtschaftlichen Kontrolle über den ISP berücksichtigt werden. Die unterschiedlichen Szenarien der Vertragsbeendigung sollten schon beim Vertragsabschluss bedacht und wenigstens in groben Zügen geregelt werden. Sofern das Vertragsende, gerade in Fällen der ordentlichen Kündigung, absehbar wird, sollte der Kunde seinerseits den Wechsel frühzeitig planen. Bei einer kurzfristigen Vertragsbeendigung ist eine rasche und umsichtige Planung erforderlich.
Die wichtigsten Punkte beim ISP-Vertrag
Auf folgende Punkte sollten Unternehmen bei der Vertragsverhandlung mit ihrem ISP besonders achten:
- Service Level (Verfügbarkeit, Capacity/Performance, Continuity, Sicherheit)
- Fehlerbehebung (Reaktionszeiten, Ersatzlösungen, Redundanz)
- Folgen bei mangelhaftem Service Level
- Datenschutz (Datensicherheit, Datenzugriff)
- Zahlungsmodalitäten
- Haftung des ISP, auch für Dritte, die bei der Vertragserfüllung involviert sind (Vertragspartner und andere Hilfspersonen)
- Change Management (Vertragsbeendigung, Provider-Wechsel)
Matthias Ebneter
Matthias Ebneter ist Rechtsanwalt bei
Rentsch Partner AG in Zürich und Spezialist für IT-Recht.