Klare Sicht in den Wolken – Der (rechtlich) erfolgreiche Weg in die Cloud

PrintMailRate-it
veröffentlicht am 6. April 2021 / Lesedauer ca. 4 Minuten
 

Die Digitalisierung von Geschäftsprozessen ist für Unternehmen überlebenswichtig. Die Auslagerung von IT-Systemen zu externen Dienstanbietern (Cloud-Technologien) ist ein wichtiger Baustein. Übereilte Auslagerungen können aber erheblichen und oft irreversiblen Schaden anrichten. Nicht immer sind Cloud-Technologien empfehlens­wert. Neben kaufmännischen Fragestellungen sollten rechtliche Erwägungen bei Auslagerungsentscheidungen eine zentrale Rolle spielen. Risiken lauern bei der Aus­wahl, der Einführung und beim Betrieb. In den Wolken ist Orientierung Trumpf.

  

„Die Digitalisierung ist längst in der Führungsriege von Unternehmen angekommen. Wer wettbewerbsfähig bleiben will, muss alle dazu geeigneten Prozesse im Unternehmen neu denken und so weit wie möglich ins digitale Zeitalter überführen.”

 

 

Sätze, die jeder Unternehmenslenker schon einmal gehört hat. Im Vordergrund der Digitalisierungsüber­legungen steht i.d.R. die Auslagerung (Outsourcing) von Infrastrukturen im Dienste der Flexibilisierung. Auslagerungsfähig ist vielerlei – aber v. a. die IT. Flexibilisieren lassen sich insbesondere die Finanzierung und die Skalierung. Outsourcing befreit finanzielle Mittel aus ihrer dinglichen Bindung – im Falle des Cloud Computing betrifft das Hard- und Software. Cloud Computing ist damit eine Sonderform des Outsourcing – mit dessen typischen Chancen und Risiken.
 

„Quick Wins“ vernebeln den Blick auf die Gesamtheit der Auswirkungen

Fasst man Cloud Computing als Teil der Digitalisierungsstrategie ins Auge, verliert man leicht den Überblick über die damit verbundenen Konsequenzen. Zu oft werden finanzielle Aspekte zum Haupttreiber des Einstiegs. Bei der Erstellung eines adäquaten Fahrplans zum Wechsel ins Cloud Computing müssen bei der Kalkulation der Kostenseite neben den reinen Betriebskosten weitere Positionen berücksichtigt werden. Erst dadurch kann eine langfristige und verlässliche Prognose zur Wirtschaftlichkeit abgegeben werden. Um zu ermitteln, ob sich Cloud Computing lohnt, muss besonders die kurze Lebensdauer technischer Infrastruktur berücksichtigt werden. Nur wenn sich die Implementierungskosten innerhalb kurzer Zeit amortisieren und die Cloud-typischen Risiken einkalkuliert werden, ergibt Cloud Computing wirtschaftlich Sinn. Zudem muss die Konti­nuität der Prozesse gewährleistet sein – gerade wenn ausgelagerte Prozesse betriebskritisch sind. Unternehmer sollten im Blick behalten, dass sie eines Tages womöglich zurückgeholt werden müssen oder der Dienstleister gewechselt werden soll.
 

Gutes Risikomanagement: Sicherer Weg in die Cloud

Wie bei vielen anderen Dienstleistungen haben Sicherheit und Verlässlichkeit ebenso wie Flexibilität ihren Preis. Deshalb müssen die zur Auslagerung vorgesehenen Systeme anhand der Kritikalität der damit be­wältigten Unternehmensprozesse ausgewählt und bewertet werden. Weniger kritische Prozesse und zugehörige Systeme können kostensparend z.B. auf geteilter Infrastruktur (sog. „Public Cloud“) betrieben werden – v.a. wenn wenige oder keine personenbezogenen Daten im Spiel sind. Kritischere Prozesse sollten indes über exklusiv und physisch getrennt betriebene Infrastruktur (sog. „Private Cloud“) laufen. Ein weiterer Kostenfaktor sind die sorgfältig zu verhandelnden Parameter des sog. „Service Level Agreement“ (SLA). Darin sind ent­scheidende Leistungsparameter geregelt, z.B. der Grad der Verfügbarkeit des Systems, die Ausfallsicherheit im Allgemeinen sowie Reaktions- und Wiederherstellungs­zeiten im Störungsfall. Einen weiteren Kosten- und Risikofaktor stellt die Wahl des Server-Standorts dar. Während im Inland betriebene Server den „Gold-Standard“ darstellen, können bei Standorten im europäischen oder gar außereuropäischen Ausland weitere Kosten gespart werden. Ein vermeintlich aus Kostensicht attraktives Angebot kann jedoch erhebliche Risiken mit sich bringen.
 

Rechtliche Risiken

Denn rechtlich gesehen hat neben der vorteilhaften Gestaltung der Betriebsverträge und SLA v.a. das Daten­schutzrecht Bedeutung. Selbst dann, wenn ein ausgelagertes System nicht vordergründig der Ver­arbeitung personenbezogener Daten dient, sind solche mindestens bei der Benutzerauthentifizierung notwendig. Im Ergebnis muss nahezu jedes System auch unter einem datenschutzrechtlichen Blickwinkel betrachtet werden. Dabei ist zu bedenken, dass die Datenschutz-Grundverordnung (DSGVO) und das Bundesdaten­schutzgesetz (BDSG) nicht nur in rechtlicher, sondern auch in technischer Hinsicht strenge Vorgaben machen. Die Überprüfung der Einhaltung angemessener Sicherheitsstandards bedarf sowohl einer rechtlichen wie auch einer technischen Überprüfung (IT-Sicherheit bzw. Cyber-Security). Die Strenge der Vorgaben trägt dabei stets dem individuellen Verarbeitungsrisiko Rechnung. Wer sich im Vorfeld kein klares Bild über die Risiken der technisch ausgelagerten Prozesse verschafft hat, kann bei der Prüfung der Einhaltung angemessener Standards zumeist nur scheitern. Spätestens dann, wenn der Betriebsrat an der Auslagerung zu beteiligen ist, wird eine weitere Partei einen Blick auf die Einhaltung dieser Kriterien werfen.

 

Internationale Auslagerungen an Orte außerhalb des EWR kaum noch rechtssicher möglich

Nachdem der Europäische Gerichtshof (EuGH) im vergangenen Jahr das EU-USPrivacy Shield für unwirksam erklärt hat (Schrems II; Rechtssache C-311 / 18; Urteil vom 16. Juli 2020), ist derzeit unklar, inwieweit überhaupt noch rechtskonforme Auslagerungen in sog. „Drittländer” außerhalb des EWR vorgenommen werden können. Konkret stellt sich die Frage, ob und auf welcher Basis Übermittlungen personenbezogener Daten in Dritt­staaten vorgenommen werden können. Soweit man als Unternehmen auf den Rückgriff von Infrastrukturen in Drittstaaten gänzlich verzichten kann, ist das aus anwaltlicher Sicht derzeit als einzig rechtlich sichere Lösung vorzuziehen. Die Aufsichtsbehörden teilen z.B. mit Blick auf Übermittlungen in die Vereinigten Staaten von Amerika (USA) mit dem EuGH den Standpunkt, dass der Datenexporteur sicherstellen und nachweisen (!) muss, dass US-Geheimdienstzugriffe bei Verarbeitungsstandorten im Ausland mit „hinreichender Wahrschein­lich­keit“ ausgeschlossen sind. Wie das im Einzelnen genau zu bewerkstelligen sein soll, dazu üben sich sowohl das Gericht, als auch die Behörden in nobler Zurückhaltung. Im Ergebnis führt das zu erheblichen Wett­bewerbs­nachteilen für deutsche und europäische Unternehmen bzw. zu drohenden Bußgeldern im Falle der Zuwiderhandlung – was einen zunächst gewonnenen wirtschaftlichen Vorteil des Cloud Computing schnell wieder zunichtemachen kann.
 

Mangelnde Sorgfalt macht Cloud Computing zur Einbahnstraße

Der Weg in die Cloud birgt die Gefahr, sich von anfänglichen Erfolgen blenden zu lassen. Fehler bei der Aus­lagerungsentscheidung zeigen sich in den meisten Fällen erst dann, wenn es schon keinen Weg zurück mehr gibt. Ist die Auslagerung abgeschlossen, werden interne Kapazitäten und Know-how i. d. R. abgebaut. Unter­nehmen begeben sich allzu oft in eine faktische Abhängigkeit zu ihrem Dienstleister (sog. „Provider Lock-In“). Im schlimmsten Fall betrifft das mit einem ERP-System die Schlagader des Unternehmens. Dann zeigt sich, ob die Betriebsverträge vorausschauend verhandelt wurden und der Weg aus der Wolke zurück auf den Boden mit einem Aufprall verbunden ist. Besser ist, man peilt eine sanfte Landung an.

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu