Cloud und Compliance unvereinbar?
Cloud Computing steht für computergestütztes Arbeiten im Internet. Die Cloud durchbricht Grenzen, schafft Flexibilität. Compliance dagegen ist für viele Unternehmen gleichbedeutend mit Kontrolle und rechtlichen Einschränkungen. Cloud und Compliance, zwei unvereinbare Disziplinen? Eine sorgfältige Vorbereitung von Projekten verhindert, dass Compliance-Anforderungen neue Cloud-Lösungen in Unternehmen ausbremsen.
Für die Marktforscher von IDC bleibt Cloud Computing in den kommenden Jahren das Top-Thema und damit Wachstumsgarant der IT-Industrie. Es sind vor allen Dingen strukturelle Probleme und neue Anforderungen an die IT, die Anwenderunternehmen mit Cloud-Lösungen liebäugeln lassen. Hohe Wartungskosten, eine Vielzahl unterschiedlicher Applikationen, unbefriedigende Auslastung vorhandener Hardware-Ressourcen, hoher Energieverbrauch und wenig Freiräume für Innovationen sind dabei nur einige Punkte.
Dennoch steuert derzeit kein Unternehmen mit voller Kraft in die Wolke. Bedenken um die Sicherheit der Daten, die Verfügbarkeit der Cloud-Infrastruktur, unzureichende Garantien für die Einhaltung von Service Level Agreements (SLAs) sowie Compliance- und Haftungsfragen erweisen sich für die Mehrheit der Anwender als Bremsklotz. “Wir wollen unsere zentralen Anwendungen, vor allem unsere Daten selbst unter Kontrolle behalten, schon allein weil wir sie auch mit Data-Mining Tools analysieren”, formulierte ein IT-Entscheider einer internationalen Versicherung kürzlich seine Bedenken zu Cloud Services. “Als Versicherer stehen wir mit Compliance und Data Protection vor zwei riesigen Herausforderungen.”
Diese Bedenken sind aus wirtschaftlicher Perspektive nachvollziehbar, allerdings muss man dazu wissen, Cloud Computing und Compliance widersprechen sich grundsätzlich nicht. Dennoch lassen sich Compliance-Anforderungen kaum in Form vollständiger Checklisten zusammenfassen, sondern normieren ein Rahmenwerk bestimmter Verhaltensweisen. Unternehmen, die Cloud-Technologie einsetzen wollen, müssen daher besonders darauf achten, welche Anwendungen und Daten sie in der Cloud speichern, welche Schutzmaßnahmen Cloud-Provider im Rahmen ihres Angebotes bieten und wie die Haftung geregelt wird, falls doch einmal Probleme auftauchen.
Problematisch ist unter datenschutzrechtlichen und Compliance-Gesichtspunkten die Speicherung personenbezogener Daten in der Public Cloud. Cloud Computing, bei dem die Datenspeicherung personenbezogener Daten außerhalb der EU stattfindet, erfordert weitere rechtliche Maßnahmen, um die gesetzlichen Anforderungen einhalten zu können.
Dreh- und Angelpunkt für ein rechtlich abgesichertes Cloud-Szenario sind dedizierte Anforderungen an den Cloud Provider sowie wasserdichte Verträge. Grundsätzlich gelten für das Cloud Computing die gleichen rechtlichen Anforderungen, wie beim klassischen IT-Outsourcing. Hinsichtlich der Haftung gibt es bei einigen Service Providern allerdings Bestrebungen, diese noch weiter als bisher zu begrenzen. Ferner kommt bei der Public Cloud eine Auftragsdatenverarbeitung nach § 11 BDSG nicht in Betracht, wenn eine Kontrolle der Subunternehmer faktisch ausgeschlossen ist.
Bei geplanten Cloud-Anwendungen spielt Compliance eine genauso wichtige Rolle wie bei klassischen Unternehmenslösungen. “‘Cloud Compliance’ bezeichnet die nachweisbare Einhaltung von Regeln, die für die Nutzung von Cloud Computing gelten, seien es gesetzliche oder auch unternehmensindividuelle”, erklärt Heiko Schmidt, Managing Consultant bei PA Consultingg. “Cloud Compliance hat zum Ziel, Transparenz und Sicherheit für alle Anspruchsgruppen zu schaffen.” Fragen zur Compliance und Haftung können Einfluss auf Art und Umfang eines Cloud-Projektes haben, es unter Umständen sogar verändern oder gar stoppen, wenn diese Fragen nicht für beide Seiten zufrieden stellend geklärt werden.
Schmidt rät daher, schon während der Planungs- und Organisationsphase Compliance-Vertreter und Spezialisten für die Sicherheit mit ins Boot zu holen. “Auch Anwälte sollten integriert werden, damit Compliance-Fragestellungen bereits im Anforderungsmanagement berücksichtigt werden.” Im Interesse beider Parteien sollten die Verträge für Cloud-Lösungen immer so effektiv wie möglich gestaltet werden, um die Zuverlässigkeit und Qualität eingekaufter Services beurteilen und potenzielle Risiken minimieren zu können. “Dadurch werden Zweifel und Unsicherheiten bereits im Vorfeld ausgeräumt, einer zielführenden Umsetzung von Cloud-Projekten stehen dann keine rechtliche Bedenken mehr im Weg.”