ACOnet | Services | IaaS Cloud Servi... | Rechtliches
Letzte Änderung: 23. Mai 2018

IaaS Cloud Services: Rechtliches

Auf Basis des GÉANT "IaaS Cloud Services" Framework Portfolio stehen für ACOnet-Teilnehmerorganisationen diverse IaaS Cloud Services zum ausschreibungsfreien Abruf zur Verfügung. Einige der rechtlichen Rahmenbedingungen im Zusammenhang damit haben wir bereits juristisch prüfen und bestätigen lassen:

Beschaffungsrecht

  • Nutzungsverträge, Abrufe und Verrechnung werden direkt zwischen den berechtigten Anbietern (bzw. Resellern) und den ACOnet-Teilnehmerorganisationen geregelt.

  • Die uneingeschränkte Nutzung der "GÉANT IaaS Cloud"-Rahmenverträge – also ein Abruf auch oberhalb der Grenzwerte für die freie Vergabe – durch alle ACOnet-Teilnehmerorganisationen ist grundsätzlich unbedenklich. Nicht eindeutig ist die Rechtslage nur für Or­ga­nisa­tionen, die erst nach dem Ausschrei­bungs­stich­tag 23. 04. 2016 ACOnet-Teilnehmer wurden und zusätzlich nicht dem Forschungs- und Bildungs­be­reich zu­zuordnen sind. Diese sollten eine uneingeschränkte Nutzung vorab prüfen lassen.

  • Für alle Abrufe gilt britisches Vergaberecht, jedoch mit Zuständigkeit der österreichischen Ver­­wal­tungsgerichte (im Falle von Nachprü­fungs­­anträgen).

  • Die konkreten Nutzungsverträge und Abruf-Vereinbarungen werden vollständig nach österreichischem Recht abgeschlossen und geregelt.

Datenschutz

  • Die Regelungen in den Rahmenvereinbarungen sowie den Abruf-Vereinbarungen (Call-Off-Agreements) entsprechen dem Stand der österreichischen Gesetzgebung und können daher von den einzelnen Auftraggebern bedenkenlos übernommen werden. In Hinblick auf das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 könnten aber noch weitere Aspekte aufgenommen werden – beispielsweise die Klarstellung, dass Subunternehmer nur nach Genehmigung des Auftraggebers beigezogen werden dürfen, dass die Ver­pflichtung zur datenschutzrechtlichen Warn­pflicht gegenüber dem Auftragsplan übernommen wird oder dass Art und Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien der betroffenen Personen im Detail noch festgelegt werden. Diese Aspekte müssen in einer Vereinbarung mit dem Auftragsverarbeiter ab Mai 2018 zusätzlich enthalten sein.

  • Soferne ein Anbieter seinen Sitz außerhalb des Europäischen Geschäftsraums hat, sollen ihm personenbezogene Daten nur geoffenbart werden, wenn hierfür explizite Regelungen getroffen werden bzw. wurden.

  • Gemäß Call-Off-Agreement sind Verarbeiter nicht berechtigt, die übermittelten Daten für andere Zwecke als für die unmittelbare Erfüllung der vertraglichen Verpflichtung zu verwenden. Inwiefern aus Gründen des Schutzes ökonomischer und wissenschaftlicher Erkenntnisse eine Risikoabschätzung vorgenommen werden muss bzw. ob eine Datenspeicherung in der Cloud dennoch nicht vorgenommen werden sollte, wäre bei jedem einzelnen Projekt und bei jedem einzelnen Datensatz, der in der Cloud gespeichert wird, individuell abzuschätzen.

Die im Con­tracts Repository von GÉANT hinterlegten Rahmenverträge sollen noch vor dem Inkrafttreten der EU-Datenschutz-Grundverordnung (General Data Protection Regulation) im Mai 2018 entsprechend aktualisiert werden.

Die von ACOnet eingeholten juristischen Stellungnahmen senden wir unseren Teilnehmerorganisationen auf Anfrage (per Mail an cloud@aco.net) gerne zu.