STACKIT
Servicebeschreibung STACKIT Cloud
1. Allgemeines
1.1 Einführung
Unter der Marke STACKIT erbringt die STACKIT GmbH & Co. KG, Stiftsbergstraße 1, 74172 Neckarsulm, Registergericht Stuttgart, HRA 741347 („STACKIT“) als nationaler Anbieter professionelle Infrastructure- & Platform-as-a-Service Leistungen („STACKIT Cloud Services“) auf Basis von OpenStack, die als Public Cloud Variante ausschließlich gegenüber Unternehmern („Kunden“) bereitgestellt werden. Die STACKIT ist der Cloud-Service Provider der Schwarz Gruppe.
Die STACKIT Cloud Services orientieren sich an der internationalen Norm ISO/IEC 27001:2013 und einem ITIL gestützten Betriebsmodell und werden durch spezialisierte Experten erbracht.
1.2 Standort der Rechenzentren
Die STACKIT Cloud Services werden in Rechenzentren von STACKIT in Deutschland sowie künftig auch in anderen Mitgliedsstaaten der europäischen Union bereitgestellt und betrieben. Alle Rechenzentren werden ISO27001, ISO20000 und TÜV-Level 3 konform betrieben. Als europäischer Cloud Service Provider unterliegt STACKIT der europäischen Datenschutzgrundverordnung (EU-DSGVO).
1.3 Geltungsbereich
Die vorliegende allgemeingültige Servicebeschreibung („Servicebeschreibung“) bildet neben den separat geregelten Nutzungsbedingungen sowie den vom Kunden ausgewählten Leistungsschein(en) einen wesentlichen Vertragsbestandteil des Vertrags über den Bezug eines STACKIT Cloud Services.
Im Falle von Widersprüchen zwischen den Nutzungsbedingungen, der Servicebeschreibung und dem geltenden Leistungsschein hat der Leistungsschein insofern und insoweit Vorrang vor der Servicebeschreibung und den Nutzungsbedingungen; die Servicebeschreibung hat insofern und insoweit Vorrang vor den Nutzungsbedingungen.
1.4 Änderung der Servicebeschreibung
STACKIT ist berechtigt die Servicebeschreibung auch für ein laufendes Vertragsverhältnis über den Bezug eines STACKIT Cloud Services mit Wirkung für die Zukunft anzupassen; auf Ziffer 6 der Nutzungsbedingungen, welche hier entsprechend gilt, wird hingewiesen.
2. Service Level Agreement
2.1 Leistungsübergabepunkt
Die Leistungsverantwortung für zu erbringende STACKIT Cloud Services seitens STACKIT endet am Internet-Übergabepunkt zwischen dem jeweiligen durch STACKIT betriebenen Rechenzentrum und dem Internet Service Provider der jeweiligen Region.
2.2 Betriebszeiten
Die Betriebszeiten der STACKIT Cloud Services sind Montag bis Sonntag, „7x24h“, an 365 Tagen im Jahr (ausgenommen geplante Wartungsarbeiten).
2.3 Verfügbarkeit
Die generelle Verfügbarkeit eines STACKIT Cloud Service beträgt – nach Abzug der Ausgeschlossenen Ereignisse gemäß Ziffer 2.4 – 99,9% (99,5% für nicht redundant ausgelegte STACKIT Cloud Services) im Kalendermonatsmittel, sofern nicht in dem jeweiligen, dem STACKIT Cloud Service zugrundeliegenden Leistungsschein etwas Abweichendes geregelt ist („Verfügbarkeit“). Verfügbarkeitsangaben gelten ausschließlich für vertraglich vereinbarte STACKIT Cloud Services und deren Bestandteile; für die Verfügbarkeit kundeneigener Komponenten oder Komponenten Dritter (Soft- wie auch Hardware) wird keine Verfügbarkeitszusage getroffen.
Die kalendermonatlich erzielte Verfügbarkeit wird wie folgt berechnet:
- Die Verfügbarkeit bezieht sich immer auf einen Kalendermonat, wird kalendermonatlich erhoben und als Prozentsatz ausgewiesen.
- „Gesamte Serviceminuten“ ist zu verstehen als Gesamtanzahl an Kalendermonatsminuten (Berechnung: 60 Minuten x 24 Stunden x Anzahl Kalendertage im Monat)
- „Gesamte Ausfallminuten“ ist zu verstehen als die Anzahl an Minuten pro Monat, in der der vertraglich geschuldete STACKIT Cloud Service nicht erbracht wurde. Von dem Wert der gesamten Ausfallminuten sind die Anzahl an Minuten pro Monat abzuziehen, die als Ausgeschlossenen Ereignisse im Sinne der Ziff. 2.4 nicht in die Berechnung der Verfügbarkeit mit einfließen.
Die generelle Verfügbarkeit des STACKIT Portals und des STACKIT Application Programming Interface (API) unterliegt keiner Verfügbarkeitszusage durch STACKIT. STACKIT strebt jedoch eine Verfügbarkeit für das STACKIT Portal und das STACKIT Application Programming Interface (API) von jeweils 99,5% im Monatsdurchschnitt an. Ausfälle, Störungen oder sonstige Nichterreichbarkeiten des STACKIT Portals oder des STACKIT Application Programming Interface (API), beeinflussen die Berechnung der Verfügbarkeit eines STACKIT Cloud Service nicht.
2.4 Ausgeschlossene Ereignisse
Ausgeschlossene Ereignisse bezeichnen insbesondere solche Zeiträume, in denen aufgrund nachfolgend aufgeführter Ausfälle und Störungen ein vertragsgemäßes Zurverfügungstellen der STACKIT Cloud Services nicht gewährleistet werden kann („Ausgeschlossene Ereignisse“). Ausgeschlossene Ereignisse gelten nicht als Ausfallzeit. Zu ausgeschlossenen Ereignissen zählen insbesondere:
- Ausfälle und Störungen die nicht von STACKIT zu vertreten sind, insbesondere DNS-, Routingprobleme oder nicht autorisierte Einwirkungen von Dritten, wie bspw. virtuelle Angriffe auf die Netz- bzw. Mailinfrastruktur (,z.B. DoS, Viren oder Spam).
- Ausfälle und Störungen die sich aufgrund der Durchführung von Gegenmaßnahmen gegen nicht autorisierte Einwirkungen oder aufgrund von Security Incidents ergeben.
- Ausfälle und Störungen von Dienstleistungen Dritter außerhalb der Kontrolle von STACKIT bzw. die nicht auf die von STACKIT bereitgestellte Leistung zurückzuführen sind oder der Netzwerkstruktur außerhalb des Einflussbereichs von STACKIT liegen.
- Ausfälle und Störungen, die auf einer unsachgemäßen Benutzung von Programmen oder Geräten durch den Kunden beruhen. Hierzu zählen beispielsweise:
- Fehlerhafte Eingaben oder Nichteinhaltung von Anweisungen.
- Handlungen oder Unterlassungen des Kunden welche die vorgeschriebenen und/oder gebuchten Kontingente überschreiten.
- Handlungen oder Unterlassungen des Kunden, erforderliche Konfigurationen vorzunehmen und/oder einzuhalten.
- Ausfälle und Störungen, die seitens des Kunden verschuldet wurden.
- Ausfälle und Störungen, die auf höherer Gewalt beruhen. Höhere Gewalt ist dabei ein Ereignis, das für keine der Parteien unter Anwendung äußerster, billigerweise zu erwartender Sorgfalt vorhersehbar war; höhere Gewalt kann in diesem Sinne insbesondere folgende Ereignisse umfassen: Brände, Explosionen, Stromausfälle, Erdbeben, Überschwemmungen, schwere Stürme, Streiks, Embargos, Arbeitskämpfe, Handlungen von Zivil- oder Militärbehörden, Krieg, Terrorismus (einschließlich Cyber-Terrorismus), Epidemien und Pandemien, Handlungen oder Unterlassungen von Internetprovidern, Handlungen oder Unterlassungen von Aufsichtsbehörden oder Verwaltungseinrichtungen (einschließlich der Verabschiedung von Gesetzen oder Regelungen oder anderer Regierungshandlungen, die die Bereitstellung von STACKIT Cloud Services beeinträchtigen).
- Ausfälle und Störungen, welche aufgrund von Wartungsarbeiten gem. Ziff. 2.8 erfolgen.
STACKIT Cloud Services die dem Kunden kostenlos zur Verfügung gestellt bzw. explizit als Testversion, Beta oder in ähnlicher Weise bezeichnet und vertrieben werden, unterliegen keiner Verfügbarkeitszusage. Ausfälle oder Störungen, welche durch die Nutzung derartiger Services durch den Kunden auftreten, werden als ausgeschlossene Ereignisse gewertet.
2.5 Unterstützte Softwareversionen
STACKIT Cloud Services können zum Zeitpunkt des Abschlusses eines Vertragsverhältnisses spezifische Softwareversionen aufweisen („Hauptversionen“). Um die STACKIT Cloud Services sowie die Leistungserbringung gegenüber dem Kunden sicher und aktuell zu halten, behält sich STACKIT vor, die Hauptversionen der eingesetzten Software durch Nachfolgeversionen („Nachfolgeversionen“) – auch für bereits abgeschlossene Vertragsverhältnisse – zu ersetzen.
In einem solchen Fall gilt insbesondere das Folgende:
- STACKIT informiert die betroffenen Kunden über die anstehende Änderung und das Ende des Unterstützungszeitraumes von Hauptversionen im Rahmen der Release-Notes unter https://docs.stackit.cloud/display/STACKIT/Release+Notes („Release-Notes“).
- Die von der Änderung betroffene Hauptversion wird für weitere mindestens 180 Kalendertage, gerechnet ab der Ankündigung der Änderung von STACKIT im Rahmen der Release-Notes unterstützt und im Anschluss zeitnah sukzessive auf die Nachfolgeversion migriert(„Übergangszeitraum“).
- Einer bevorstehenden Änderung kann der Kunde bis zum Ende des Übergangszeitraums widersprechen. Sofern der Kunde der Ersetzung einer Hauptversion durch die Nachfolgeversion bis zum Ende des Übergangszeitraums widerspricht, kann STACKIT das von der Änderung betroffene Abonnement eines STACKIT Cloud Service zum Ende des Übergangszeitraums ordentlich kündigen.
- Innerhalb dieses Übergangszeitraums sind auch weiterhin Vertragsabschlüsse basierend auf der Hauptversion möglich, welche zum Ende des Übergangszeitraums aber ebenfalls auf die Nachfolgeversion umgestellt werden müssen. Kunden sind daher angehalten, sich im Rahmen der Release-Notes über etwaige angekündigte Änderungen der Hauptversionen bereits vor Abschluss eines Abonnements über einen STACKIT Cloud Service zu informieren; gegenüber Kunden, welche den von einer Änderung betroffenen STACKIT Cloud Service innerhalb des Übergangszeitraums abonnieren oder verlängern, steht der betroffene STACKIT Cloud Service in der abonnierten Hauptversion nur bis zum Ende des Übergangszeitraums zur Verfügung, was je nach dem Zeitpunkt des Abschlusses eines Abonnements deutlich weniger als 180 Kalendertage entsprechen kann.
- Sofern angeboten, technisch möglich und vom Kunden gewünscht, hat der Kunde auch bereits vor Ende des Übergangszeitraums die Möglichkeit, von einer Änderung betroffene Hauptversionen auf die Nachfolgeversionen zu migrieren bzw. – je nach STACKIT Cloud Service – durch STACKIT migrieren zu lassen. Ein Anspruch des Kunden auf vorzeitige Migration besteht jedoch nicht.
- Nach Ablauf des Übergangszeitraums stellt STACKIT noch nicht vom Kunden migrierte Hauptversionen sukzessive zeitnah auf die Nachfolgeversionen um.
- In einigen Fällen der Migration der Hauptversion auf die Nachfolgeversion kann es vorkommen, dass STACKIT eine automatische ordnungsgemäße Migration (insbesondere der Kundendaten) ohne die Mitwirkungshandlungen des Kunden nicht möglich ist. In diesen Fällen wird STACKIT die betroffenen Kunden über etwaige erforderliche Mitwirkungshandlungen im Rahmen der Release-Notes informieren. Der Kunde hat bis zum Ende des Übergangszeitraums – gerechnet ab Veröffentlichung der erforderlichen Mitwirkungshandlungen innerhalb der Release-Notes – Zeit, die erforderlichen Mitwirkungshandlungen vorzunehmen.
- Nach Ablauf des Übergangszeitraums wird die Hauptversion nicht mehr von STACKIT unterstützt und kann gegebenenfalls auch nicht mehr vom Kunden verwendet werden; STACKIT ist berechtigt, sofern und soweit technisch für STACKIT möglich, eine automatische Migration der Hauptversion auf die Nachfolgeversion durchzuführen, auch wenn der Kunde zuvor nicht die erforderlichen Mitwirkungshandlungen vorgenommen hat; dadurch kann es insbesondere zu Datenverlusten und Funktionsverlusten oder -einschränkungen des betroffenen STACKIT Cloud Service sowie in Zusammenhang mit diesem verwendeter kundeneigener Hard- und Software bzw. Hard- und Software von Dritten kommen. STACKIT übernimmt, ausgenommen in den Fällen der Ziff. 15.1 der Nutzungsbedingungen, keine Haftung für Schäden, welche dem Kunden durch eine nicht durchgeführte Migration oder eine automatische Migration entstehen.
- Nach Umstellung einer Software von deren Hauptversion auf die Nachfolgeversion ist sodann die Nachfolgeversion als (neue) Hauptversion im Sinne dieser Ziffer zu verstehen.
2.6 Backup
Eine Datensicherung durch STACKIT findet standardmäßig nicht statt, sofern nichts Abweichendes in den individuellen Leitungsscheinen geregelt ist.
Findet bei einzelnen STACKIT Cloud Services ausweislich des vertraglich zugrundeliegenden Leistungsscheins eine Datensicherung statt, richtet sich die Datensicherung des entsprechenden STACKIT Cloud Services nach den nachfolgenden Standards, sofern im individuellen Leistungsschein nichts Abweichendes geregelt bzw. durch Kunden nichts Abweichendes konfiguriert worden ist:
| Backup Parameter | Ausprägung |
|---|---|
| Recovery Point Objective (RPO) | 4 h |
| Recovery Time Objective (RTO) | 4 h |
| Retention Period (RP) | 14 Tage, tagesgenaue Aufbewahrung nach den ersten 4 h |
- „Recovery Point Objective“ (RPO): Das RPO bzw. der maximale zulässige Datenverlust, umfasst die Vorgabe, wie alt der Stand der letzten aktuellen, konsistenten Datensicherung sein darf. Im Falle eines Datenverlustes und bei einer notwendigen Datenrücksicherung kann auf diesen Sicherungsstand zurückgegriffen werden.
- „Recovery Time Objective“ (RTO): Das RTO bzw. die maximale Wiederherstellungszeit, beschreibt den Zeitraum, in dem eine Datenrücksicherung auf ein funktional bereitstehendes System, inkl. Betriebssystemdaten und benötigten (Applikations-)Daten, konsistent anhand der Rücksicherung wiederhergestellt werden kann.
- „Retention Period“ (RP): Die RP beschreibt die maximale Dauer der Aufbewahrung von Sicherungen.
2.7 Support
STACKIT stellt ihren Kunden qualifiziertes Personal sowie unterstützende Ressourcen zur Störungsbeseitigung gemäß den untenstehenden Parametern zur Verfügung.
Eingehende Supportfälle werden dabei von STACKIT nach ihrer Kritikalität bewertet, was in unterschiedlichen Reaktionszeiten resultiert.
- Störungen („Incidents“): STACKIT Cloud Services sind nicht verfügbar oder ihre Nutzung eingeschränkt.
- Service- oder Supportanfragen („Service Requests“): Alle übrigen Supportfälle, z.B. Probleme bei der Userregistrierung oder System-Support.
STACKIT behält sich eine Herabstufung in der Kritikalität vor, wenn der STACKIT Cloud Service verfügbar ist und der Grund der Störung im Verantwortungsbereich des Kunden liegt.
STACKIT weist darauf hin, dass im Rahmen der Bearbeitung eines Supportfalls es – je nach Kundenanliegen – erforderlich sein kann, dass STACKIT auf die STACKIT Cloud Services des Kunden zugreift, um den Supportfall adäquat bearbeiten zu können.
| Supportlevel | Standard |
|---|---|
| Kanäle | Status Webseite (status.stackit.cloud) Knowledge Database (docs.stackit.cloud) Help Center (support.stackit.cloud) |
| Verfügbarkeit der Störungsanzeige | 24/7 |
| Reaktionszeiten* | Incidents: < 4 h Service Requests: Best Effort |
| Lösungszeit** | Best Effort |
| Preis | Kostenlos |
- *“Reaktionszeit“: Ist die Zeitspanne innerhalb der Servicezeit ab Eingang der Meldung des Kunden bei STACKIT, bis zum Start der Bearbeitung der Meldung durch qualifiziertes Personal (Sichtprüfung).
- **“Lösungszeit“: Ist die Zeitspanne innerhalb der Servicezeit ab Eingang der Meldung des Kunden bei STACKIT, bis zu deren Ablauf STACKIT die vertraglich geschuldete Verfügbarkeit des STACKIT Cloud Service wiederhergestellt haben muss.
2.8 Wartungsarbeiten
STACKIT führt regelmäßig Wartungsarbeiten (beispielsweise in Form von Updates, Patches, Bug Fixes oder Hardwaretausch und Hardwareerweiterungen) zur Gewährleistung der Funktion, Qualität und Sicherheit der STACKIT Cloud Services durch.
Wartungsarbeiten, welche voraussichtlich eine Beeinträchtigung der Nutzbarkeit der STACKIT Cloud Services für den Kunden zur Folge haben, kündigt STACKIT in der Regel zwei Wochen vor deren Durchführung über die STACKIT Cloud Status-Website an. Für dringende Wartungsarbeiten kann die Ankündigung auch deutlich kurzfristiger erfolgen oder je nach Einzelfall komplett entfallen. STACKIT empfiehlt den Kunden sich regelmäßig über Wartungsarbeiten auf der STACKIT Cloud Status-Website zu informieren.
Während der Durchführung von Wartungsarbeiten kann der Zugang zu STACKIT Cloud Services vorübergehend eingestellt oder beschränkt sein, insbesondere wenn dies nach der Art der durchzuführenden Wartungsarbeiten zwingend erforderlich ist.
Ausfallzeiten, die aufgrund von durchgeführten Wartungsarbeiten entstehen, sind als Ausgeschlossene Ereignisse im Sinne der Ziff. 2.4 zu behandeln.
2.9 Service Payback
Sollte die vereinbarte Verfügbarkeit für STACKIT Cloud Services nicht wie beschrieben eingehalten werden, erhält der Kunde im Rahmen der nachfolgenden Abwicklung eine Gutschrift in Form eines Guthabens auf sein Kundenkonto („Service Payback“):
- Der Kunde muss zur Geltendmachung eines Service Payback innerhalb von zwei (2) Wochen nach Zugang der Rechnung des betroffenen STACKIT Cloud Services in Textform unter der Angabe von Kundennummer, Rechnungsnummer und des betroffenen STACKIT Cloud Service geltend machen, dass die vereinbarte Verfügbarkeit des gebuchten STACKIT Cloud Service nicht eingehalten worden ist. Eine nicht innerhalb von zwei (2) Wochen eingegangene Geltendmachung kann nicht berücksichtigt werden.
- Erfolgt die Geltendmachung berechtigterweise, erhält der Kunde für die nachfolgende Abrechnungsperiode eine Gutschrift des Service Payback auf sein Kundenkonto.
- Die Höhe des Service Payback bezieht sich stets auf den anteiligen Rechnungsbetrag des STACKIT Cloud Service dessen zugesagte Verfügbarkeit nicht eingehalten wurde.
- Im Falle der Ablehnung eines vom Kunden geltend gemachten Service Payback obliegt es dem Kunden, den Verstoß gegen die vereinbarte Verfügbarkeit eines STACKIT Cloud Services darzulegen.
- Gutgeschriebenes Service Payback wird mit Vergütungsansprüchen für die Erbringung von STACKIT Cloud Services im nachfolgenden Abrechnungszeitraum verrechnet, sodass sich das zu zahlende Entgelt des Kunden entsprechend mindert.
- Eine Auszahlung oder anderweitige Erstattung des gutgeschriebenen Service Paybacks ist ausgeschlossen.
- Es gelten folgende Service Paybacks, sofern nicht im Leistungsschein des STACKIT Cloud Service eine abweichende Regelung getroffen wurde:
| Verfügbarkeit (Monat) | Service Payback |
|---|---|
| < 99,9% (99,5% für nicht redundant ausgelegte STACKIT Cloud Services) | 10% |
| < 99,0% | 20% |
| < 98,5% | 50% |
| < 95,0% | 100% |
Weitergehende Ansprüche des Kunden auf Minderung der Vergütung sind ausgeschlossen. Etwaige Schadenersatzansprüche des Kunden bleiben unberührt.
3. Incidents & Security Incidents
3.1 Informationen
STACKIT stellt Kunden regelmäßig Informationen über Störungen („Incidents“) über die STACKIT Cloud Status-Website (status.stackit.cloud) zur Verfügung.
Bei Sicherheitsvorfällen („Security Incidents“) werden die Kunden direkt informiert.
STACKIT empfiehlt den Kunden, sich kontinuierlich über den Status von Incidents & Security Incidents auf der STACKIT Cloud Status-Website zu informieren.
3.2 Analysemöglichkeit durch STACKIT
Für STACKIT Cloud Services, die durch STACKIT bereitgestellt und durch den Kunden, der die STACKIT Cloud Services bezieht, genutzt werden, können durch STACKIT Maßnahmen im eigenen Ermessen ergriffen werden, um Schwachstellen sowohl im Verantwortungsbereich von STACKIT, als auch im Verantwortungsbereich des Kunden frühzeitig aufzudecken. Im Verantwortungsbereich des Kunden liegen dabei insbesondere sämtliche Hardware, Applikationen und Software Dritter, die nicht durch STACKIT bereitgestellt werden („Verantwortungsbereich des Kunden“).
Werden Security Incidents im Verantwortungsbereich des Kunden durch STACKIT oder externe Dienstleister von STACKIT erkannt, wird der Kunde über diese informiert. Je nach Schweregrad des Security Incident ist der Kunde verpflichtet, für seinen Verantwortungsbereich zeitnah geeignete Maßnahmen zur Vermeidung des Security Incident zu ergreifen (z.B. durch das Patchen einer betroffenen Anwendung). Wird der Verantwortungsbereich des Kunden beispielsweise nicht mit den neuesten Patches oder Workarounds abgesichert, beherbergt der Verantwortungsbereich Sicherheitsrisiken für STACKIT oder den Kunden selbst, oder wird die Qualität der STACKIT Cloud Services durch ein Security Incident im Verantwortungsbereich des Kunden negativ beeinflusst oder gefährdet, behält sich STACKIT entsprechende Gegenmaßnahmen gem. Ziff. 3.4 vor.
3.3 Datenerhebung für Analysemöglichkeiten durch STACKIT
Zur Erkennung möglicher Security Incidents im Verantwortungsbereich des Kunden können Log-Daten der Kundensysteme oder Perimeter (bspw. Firewalls, Switches, Router und andere) regelbasiert nach Anomalien und potenziellen Security Incidents ausgewertet werden. Auch können entsprechende Schwachstellen-Scans (pro- und reaktiv) für im Internet verfügbare Systeme durchgeführt werden.
3.4 Mögliche Gegenmaßnahmen bei Security Incidents
Zum Schutz des Kunden sowie der STACKIT Cloud Services, behält sich STACKIT vor, bei Verdachtsfällen oder nachgewiesenen Security Incidents und entsprechendem Schweregrad entsprechende Maßnahmen ohne vorherige Ankündigung oder Rücksprache mit dem Kunden zu ergreifen („Gegenmaßnahmen“). Selbstverständlich erfolgt hierzu spätestens im Nachgang eine separate Information des Kunden. Zu den Gegenmaßnahmen gehören insbesondere:
- Betroffene Systeme und STACKIT Cloud Services vom Netz zu trennen, herunterzufahren oder zu pausieren, um Schaden an Systemen und STACKIT Cloud Services zu vermeiden.
- Forensische Analyse möglicher betroffener Systeme und STACKIT Cloud Services (insbesondere, um dadurch Erkenntnisse für die Strafverfolgung, die Kritikalitäts- oder Schadensbewertung zu gewinnen).
- Andere Aktivitäten zur Vermeidung oder Reduktion von Beeinträchtigungen anderer Kunden-Systeme der STACKIT Cloud Services oder externen Systemen.
Version: 1.3, gültig ab 28.10.2024