Dabei weichen die Bedingungen für Public- und Private-Cloud-Verträge stark voneinander ab. Faustregel: Private-Cloud-Verträge sind in der Regel reifer, ähneln mehr traditionellen IT-Service-Verträgen und sind deshalb für die Kunden weniger problematisch. Weil sie üblicherweise eine Anpassung an die interne IT-Infrastruktur vorsehen, sind sie meist offener gestaltet und auf zusätzliche Vereinbarungen hin ausgelegt.

Anders die Verträge für Services aus der Public Cloud: Weil es sich hier in der Regel um Shared Services handelt, die der Dienstleister für mehrere Kunden auf derselben IT-Infrastruktur erbringt, entstehen Risiken, die in dieser Form weder bei traditionellen IT-Service-Vereinbarungen noch in Private-Cloud-Infrastrukturen auftreten. Dass der Kunde dabei weniger Einfluss auf den Provider hat und deswegen auch weniger Druck auf ihn ausüben kann als bei klassischen Outsourcing- oder Hosting-Vereinbarungen, gehört dabei noch zu weniger problematischen Aspekten.

Unterschätzte Gefahr aus der Public Cloud

"Die Gefahren, denen man sich mit Services aus der Public Cloud aussetzt, werden oft unterschätzt", sagt Ridder. "Es ist unverzichtbar, diese Risiken genau zu analysieren und daraus Richtlinien zu entwickeln und umzusetzen." Und diese Richtlinien wirken sich eben nicht nur auf technische und organisatorische Fragen aus, sondern müssen auch in die Verträge mit den Providern einfließen.

Die gegenwärtig üblichen Standardverträge der Anbieter weisen nach Ridders Analyse eine riesige Spanne auf. Dabei markieren die klassischen Anbieter IT- und TK-Dienstleister aus dem B2B-Umfeld den einen Pol der Vertragslandschaft: Ihre Verträge – besonders für die Private Cloud – sind am wenigsten problematisch, das Ändern von einzelnen Vertragsklauseln oder ein Nachverhandeln meist einfach möglich. Am anderen Ende der Skala liegen Anbieter, die oft aus dem Consumer-Umfeld kommen. Hier fehlt es häufig selbst an grundlegenden Regelungen zur Dienstqualität, Datensicherheit und ComplianceCompliance. Verträge dieser Anbieter ohne Änderungen sind für die meisten Unternehmen nicht akzeptabel. Alles zu Compliance auf CIO.de

Generell gilt die Regel: Je größer der Vertragsumfang – im Hinblick auf Volumen und Laufzeit – desto eher ist der Provider bereit, sich auf Vertragsanpassungen einzulassen. Dabei sollte sich der Kunde bewusst sein, dass die von ihm geforderten Vertragsänderungen sowohl den Preis als auch sein eigenes Risiko erhöhen können. Deswegen sollte der Anwender schon weit vor Vertragsabschluss eine gründliche Risiko-Analyse durchführen und diese während der laufenden Vertragsverhandlung im Auge behalten. Will sich der Provider nicht auf die in der Risiko-Analyse ermittelten und als unverzichtbar eingeschätzten Regelungen einlassen, muss der gesamte Deal auf den Prüfstand: "Wenn sich der Provider weigert, die als notwendig erkannten Bedingungen im Vertrag festzuschreiben, sollte man ernsthaft darüber nachdenken, ganz auf den Vertragsabschluss mit dem Provider zu verzichten", sagt Ridder.