Home
Intern
Die Digitalisierung von Geschäftsprozessen ist für Unternehmen überlebenswichtig. Die Auslagerung von IT-Systemen zu externen Dienstanbietern (Cloud-Technologien) ist ein wichtiger Baustein. Übereilte Auslagerungen können aber erheblichen und oft irreversiblen Schaden anrichten. Nicht immer sind Cloud-Technologien empfehlenswert. Neben kaufmännischen Fragestellungen sollten rechtliche Erwägungen bei Auslagerungsentscheidungen eine zentrale Rolle spielen. Risiken lauern bei der Auswahl, der Einführung und beim Betrieb. In den Wolken ist Orientierung Trumpf.
Sätze, die jeder Unternehmenslenker schon einmal gehört hat. Im Vordergrund der Digitalisierungsüberlegungen steht i.d.R. die Auslagerung (Outsourcing) von Infrastrukturen im Dienste der Flexibilisierung. Auslagerungsfähig ist vielerlei – aber v. a. die IT. Flexibilisieren lassen sich insbesondere die Finanzierung und die Skalierung. Outsourcing befreit finanzielle Mittel aus ihrer dinglichen Bindung – im Falle des Cloud Computing betrifft das Hard- und Software. Cloud Computing ist damit eine Sonderform des Outsourcing – mit dessen typischen Chancen und Risiken.
Fasst man Cloud Computing als Teil der Digitalisierungsstrategie ins Auge, verliert man leicht den Überblick über die damit verbundenen Konsequenzen. Zu oft werden finanzielle Aspekte zum Haupttreiber des Einstiegs. Bei der Erstellung eines adäquaten Fahrplans zum Wechsel ins Cloud Computing müssen bei der Kalkulation der Kostenseite neben den reinen Betriebskosten weitere Positionen berücksichtigt werden. Erst dadurch kann eine langfristige und verlässliche Prognose zur Wirtschaftlichkeit abgegeben werden. Um zu ermitteln, ob sich Cloud Computing lohnt, muss besonders die kurze Lebensdauer technischer Infrastruktur berücksichtigt werden. Nur wenn sich die Implementierungskosten innerhalb kurzer Zeit amortisieren und die Cloud-typischen Risiken einkalkuliert werden, ergibt Cloud Computing wirtschaftlich Sinn. Zudem muss die Kontinuität der Prozesse gewährleistet sein – gerade wenn ausgelagerte Prozesse betriebskritisch sind. Unternehmer sollten im Blick behalten, dass sie eines Tages womöglich zurückgeholt werden müssen oder der Dienstleister gewechselt werden soll.
Wie bei vielen anderen Dienstleistungen haben Sicherheit und Verlässlichkeit ebenso wie Flexibilität ihren Preis. Deshalb müssen die zur Auslagerung vorgesehenen Systeme anhand der Kritikalität der damit bewältigten Unternehmensprozesse ausgewählt und bewertet werden. Weniger kritische Prozesse und zugehörige Systeme können kostensparend z.B. auf geteilter Infrastruktur (sog. „Public Cloud“) betrieben werden – v.a. wenn wenige oder keine personenbezogenen Daten im Spiel sind. Kritischere Prozesse sollten indes über exklusiv und physisch getrennt betriebene Infrastruktur (sog. „Private Cloud“) laufen. Ein weiterer Kostenfaktor sind die sorgfältig zu verhandelnden Parameter des sog. „Service Level Agreement“ (SLA). Darin sind entscheidende Leistungsparameter geregelt, z.B. der Grad der Verfügbarkeit des Systems, die Ausfallsicherheit im Allgemeinen sowie Reaktions- und Wiederherstellungszeiten im Störungsfall. Einen weiteren Kosten- und Risikofaktor stellt die Wahl des Server-Standorts dar. Während im Inland betriebene Server den „Gold-Standard“ darstellen, können bei Standorten im europäischen oder gar außereuropäischen Ausland weitere Kosten gespart werden. Ein vermeintlich aus Kostensicht attraktives Angebot kann jedoch erhebliche Risiken mit sich bringen.
Denn rechtlich gesehen hat neben der vorteilhaften Gestaltung der Betriebsverträge und SLA v.a. das Datenschutzrecht Bedeutung. Selbst dann, wenn ein ausgelagertes System nicht vordergründig der Verarbeitung personenbezogener Daten dient, sind solche mindestens bei der Benutzerauthentifizierung notwendig. Im Ergebnis muss nahezu jedes System auch unter einem datenschutzrechtlichen Blickwinkel betrachtet werden. Dabei ist zu bedenken, dass die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) nicht nur in rechtlicher, sondern auch in technischer Hinsicht strenge Vorgaben machen. Die Überprüfung der Einhaltung angemessener Sicherheitsstandards bedarf sowohl einer rechtlichen wie auch einer technischen Überprüfung (IT-Sicherheit bzw. Cyber-Security). Die Strenge der Vorgaben trägt dabei stets dem individuellen Verarbeitungsrisiko Rechnung. Wer sich im Vorfeld kein klares Bild über die Risiken der technisch ausgelagerten Prozesse verschafft hat, kann bei der Prüfung der Einhaltung angemessener Standards zumeist nur scheitern. Spätestens dann, wenn der Betriebsrat an der Auslagerung zu beteiligen ist, wird eine weitere Partei einen Blick auf die Einhaltung dieser Kriterien werfen.
Nachdem der Europäische Gerichtshof (EuGH) im vergangenen Jahr das EU-USPrivacy Shield für unwirksam erklärt hat (Schrems II; Rechtssache C-311 / 18; Urteil vom 16. Juli 2020), ist derzeit unklar, inwieweit überhaupt noch rechtskonforme Auslagerungen in sog. „Drittländer” außerhalb des EWR vorgenommen werden können. Konkret stellt sich die Frage, ob und auf welcher Basis Übermittlungen personenbezogener Daten in Drittstaaten vorgenommen werden können. Soweit man als Unternehmen auf den Rückgriff von Infrastrukturen in Drittstaaten gänzlich verzichten kann, ist das aus anwaltlicher Sicht derzeit als einzig rechtlich sichere Lösung vorzuziehen. Die Aufsichtsbehörden teilen z.B. mit Blick auf Übermittlungen in die Vereinigten Staaten von Amerika (USA) mit dem EuGH den Standpunkt, dass der Datenexporteur sicherstellen und nachweisen (!) muss, dass US-Geheimdienstzugriffe bei Verarbeitungsstandorten im Ausland mit „hinreichender Wahrscheinlichkeit“ ausgeschlossen sind. Wie das im Einzelnen genau zu bewerkstelligen sein soll, dazu üben sich sowohl das Gericht, als auch die Behörden in nobler Zurückhaltung. Im Ergebnis führt das zu erheblichen Wettbewerbsnachteilen für deutsche und europäische Unternehmen bzw. zu drohenden Bußgeldern im Falle der Zuwiderhandlung – was einen zunächst gewonnenen wirtschaftlichen Vorteil des Cloud Computing schnell wieder zunichtemachen kann.
Der Weg in die Cloud birgt die Gefahr, sich von anfänglichen Erfolgen blenden zu lassen. Fehler bei der Auslagerungsentscheidung zeigen sich in den meisten Fällen erst dann, wenn es schon keinen Weg zurück mehr gibt. Ist die Auslagerung abgeschlossen, werden interne Kapazitäten und Know-how i. d. R. abgebaut. Unternehmen begeben sich allzu oft in eine faktische Abhängigkeit zu ihrem Dienstleister (sog. „Provider Lock-In“). Im schlimmsten Fall betrifft das mit einem ERP-System die Schlagader des Unternehmens. Dann zeigt sich, ob die Betriebsverträge vorausschauend verhandelt wurden und der Weg aus der Wolke zurück auf den Boden mit einem Aufprall verbunden ist. Besser ist, man peilt eine sanfte Landung an.
Stress-Test Corona – Digitalisierung ist greifbar und betrifft alle Bereiche
Start-ups gründen und aufbauen im Blockchain-Bereich
Klare Sicht in den Wolken – Der (rechtlich) erfolgreiche Weg in die Cloud
Digitalisierung der Steuerabteilung – Vom Hype auf den Pfad der Produktivität
PAID – Payroll Accounting Information Dashboard
Der Weg zur Produktivität mittels Tax Data Hub – Digitale Transformation von Steuerabteilungen
Process Mining – Digitale Prozessanalysen zur Konzernsteuerung nutzen
Johannes Marco Holz, LL.M.
Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter (GDDcert.EU), Master of Laws Rechtsinformatik (Universität Passau)
Partner
Anfrage senden
Profil
Digitalisierung gestalten: IT- und Datenschutzrecht