Das BDSG bestimmt den Standort
Von Sabine Philipp im Auftrag der Comarch AG
Ein Wechsel auf Cloud-Services ist immer ein Schritt, der reiflich erwogen sein will. Es schadet nicht, wenn die Geschäftsführung selbst eine relativ genaue Vorstellung davon hat, wie Cloud Computing funktioniert und was zu beachten ist. Vier Punkte sind besonders wichtig, damit der Cloud-Betrieb rund läuft: die Sicherheit, die Gesetzeslage, die technischen Voraussetzungen und das Vertragswerk.
Uneinnehmbar und verlustsicher
IT-Sicherheit ist ein hochkomplexes Unterfangen mit zahllosen Einzelaspekten: Gebäudeschutz, redundante Energieversorgung im Falle eines Stromausfalls, Virenschutz etc. Um hier den Überblick zu behalten, erstellen gute Cloud-Dienstleister ausgeklügelte Sicherheitskonzepte, in denen sie konkrete Sicherheitsziele definieren sowie Tools und Prozesse entwickeln, um diese Ziele konsequent zu erreichen. Experten überprüfen diese Konzepte in regelmäßigen Audits und passen sie gegebenenfalls an. Ein solches Sicherheitskonzept legt z.B. fest, welcher Mitarbeiter nach welchen Methoden die Backups fährt, wie er den Erfolg der Sicherung prüft und was er im Ernstfall zu tun hat.
Unternehmen, die einen Wechsel in die Cloud erwägen, sollten bei einem Cloud-Anbieter, den sie in die engere Wahl ziehen, unbedingt nachhaken, nach welchen Kriterien er vorgeht und welche Aspekte er im Einzelnen berücksichtigt. Hier kommt es nämlich schnell zu Missverständnissen. So umfasst ein Konzept für Datensicherheit nicht automatisch auch den Datenschutz. Bei der Datensicherheit geht es darum, dass die Daten sicher in den Systemen laufen und nicht verlorengehen. Beim Datenschutz geht es in erster Linie darum, „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ (§ 3 (1) BDSG) vor unbefugter Neugier zu schützen.
Teil 1 erklärt, wann kleine und mittlere Unternehmen von Cloud-Services profitieren. Teil 2 geht durch, was bei der Anbieterwahl zu beachten ist. Sicherheit, rechtliche Vorgaben, technische Voraussetzungen und das Service Level Agreement sind die wichtigsten Punkte.
Verantwortung für Auftragsdatenverarbeitung
Ganz wichtig ist: Für die Einhaltung der Datenschutzvorgaben haftet stets das beauftragende Unternehmen! In §11 BDSG heißt es: „Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt“ – genau das ist bei Cloud Computing der Fall – „ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.“ Das BDSG schreibt daher eine sorgfältige Anbieterauswahl vor, bei der namentlich zu berücksichtigen ist, ob die technischen und organisatorischen Maßnahmen dazu ausreichen. „Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.“
Vorsicht ist besonders dann geboten, wenn sich herausstellt, dass sich die Cloud-Rechenzentren in Nicht-EU-Ländern befinden, die ein unangemessenes Schutzniveau bieten (was im Übrigen gegen die EU-Richtlinie 95/46/EG verstößt). In einem solchen Fall müsste man als Cloud-Kunde selbst Maßnahmen ergreifen, um das unzureichende Schutzniveau im Drittland auszugleichen. Aus diesem Grund gibt es z.B. das – heftig umstrittene – Safe-Harbor-Abkommen zwischen den USA und Europa. Mit diesem versichern US-amerikanische Unternehmen öffentlich, dass sie die Bedingungen des U.S.-EU Safe Harbor Frameworks einhalten. Ob das Abkommen hält, was es verspricht, darf man allerdings bezweifeln. Selbst Andrus Ansip, designierter EU-Kommissar für den digitalen Binnenmarkt, will es auf den Prüfstand stellen.
Anders gesagt: Clouds mit Standort in Deutschland bzw. im EU-Ausland sind genau deshalb besonders sicher. Und warum sollte der Mittelstand nicht auch einmal vom Regulierungseifer des Gesetzgebers profitieren?
Einbindung und Anbindung
Die wichtigste technische Voraussetzung sind funktionierende Schnittstellen zwischen Firmen- und Cloud-IT. Im Idealfall bildet die Cloud die Prozesse im Unternehmen genau so nach, wie sie sich bewährt haben. Wichtig ist hier, dass der Anbieter bei Bedarf flexibel reagiert, und dass er versteht, wie mittelständische Unternehmen ticken und was sie brauchen.
Zudem benötigen Anwenderunternehmen je nach Cloud-Modell und Service eine mehr oder weniger starke Internet-Anbindung. Ebenso wichtig ist die Anbindung des Rechenzentrums ans Internet. Sonst kann es zu Stoßzeiten wie im Weihnachtsgeschäft schnell zu Engpässen kommen, wenn auch die anderen Kunden in der Cloud hohe Zugriffszahlen verzeichnen. Das kommt tatsächlich öfter vor, als man vermuten möchte. Solche Punkte sind Gegenstand der sogenannten SLAs (Service Level Agreements).
Fazit: Wortlaut des Kleingedruckten
Ein Service Level Agreement hält u.a. fest, welche Leistungen der Anbieter erbringen und mit welchen Einschränkungen der Nutzer gegebenenfalls leben muss. Der Teufel steckt wie immer auch hier im Detail. Hier sollte z.B. genau definiert sein, welche Vertragslaufzeiten gelten, was sich tatsächlich hinter den versprochenen Services verbirgt und was im Streitfall sowie bei Vertragsende passiert.
Die Comarch Cloud Akademie hält kostenfrei nützliche Informationen und Lehrmaterial zu den einzelnen Cloud Services parat: Videos ebenso wie Text-Tutorials und eine Reihe von Online-Kursen. (Bild: Comarch)
Wie gesagt: Je genauer Entscheider wissen, worauf es bei Cloud-Diensten ankommt, desto einfacher fällt die SLA-Vereinbarung. Der BITKOM-Leitfaden „Cloud Computing – Evolution in der Technik, Revolution im Business“ gibt Unternehmen eine Checkliste an die Hand, mit der sie den Anbieter prüfen können. Das BSI-Eckpunktepapier „Sicherheitsempfehlungen für Cloud Computing Anbieter“ richtet sich zwar primär an Betreiber, kann aber auch Nutzern wertvolle Hinweise liefern. Eine Fülle praktischer Beiträge zum Thema Cloud Computing gibt es bei der Comarch Cloud Akademie.