__________________________________________________________________
Cloud Computing aus
Unternehmenssicht
- Wie Sie Gewitterwolken vermeiden -
__________________________________________________________________
__________________________________________________________________
Teil 1 - Vertragliche Aspekte des Cloud Computing
Teil 2 -
Datenschutzrechtliche Aspekte
Teil 3 - Vortrag und Video:
Rechtsfragen
zum Cloud Computing und deren Lösung
____________________________________________________________________
Wenngleich für das sogenannte
Cloud
Computing keine allgemeingültige
technische Definition existiert, so geht es doch im Kern darum, Daten,
insbesondere für bestimmte Applikationen und deren Infrastruktur, in
skalierbaren Recheneinheiten über das Internet auszulagern. Operativ
werden beispielsweise sämtliche Server und Applikationen beim
Dienstleistungsanbieter betrieben, so dass das auch „Software
as a Service“ (SaaS) genannte Modell eine
Abrechnung nach Leistung aufweist. Der klar auf der Hand liegende Vorteil
besteht in rechtlicher Hinsicht darin, dass sich ein Unternehmen im Rahmen
des Asset-Managements nicht um die jeweils erforderliche Lizenzierung von
Anwendungen, Betriebssystemen oder Datenbanken zu kümmern hat und in
technischer Hinsicht daran anschließend keine internen Administratoren die
jeweiligen Systembestandteile dauerhaft pflegen müssen.
Spiegelbildlich dazu warten und
pflegen Anbieter solcher Leistungen zentral und erreichen durch die
Skalierungseffekte Effizienzsteigerungen, die zum Wohle aller Beteiligten
(teilweise) weitergegeben werden. Abrechnungsseitig schlägt sich dies
dadurch nieder, dass ein Unternehmen - vergleichbar mit Strom aus der
Steckdose - nur
für die tatsächlich in Anspruch genommene Leistung bezahlt. Werden - wie
bei den meisten klassischen Lizenzmodellen - keine
Floating Licenses eingesetzt, so hat
dieses
Cloud Computing-Modell lizenzrechtlich den Vorteil, dass einerseits keine Lizenzen
brachliegen, andererseits im Falle der Unterlizenzierung für Lizenzspitzen
- beispielsweise bei Projekten - keine Lizenzen nachgekauft werden müssen.
Häufig wird beim
Cloud Computing pro
Transaktion, Geschäftsvorfall oder Nutzer je Zeitraum ein bestimmter Betrag abgerechnet,
unabhängig von der dahinter stehenden Hardware und den Softwarelizenzen
dafür.
Rechtliche Anforderungen
In rechtlicher Hinsicht gilt es hier
aus Unternehmersicht zum Einen sicherzustellen, dass die Systeme im
erforderlichen Umfang performant und verfügbar sind. Zum anderen hat ein
Unternehmen aufgrund der unterschiedlichen Angebotsmodelle darüber hinaus
in datenschutzrechtlicher Hinsicht sehr dezidiert zu prüfen und
sicherzustellen, dass insbesondere sensible Kundendaten geschützt werden.
Sicherstellung des Geschäftsbetriebes
Um vertraglich eine Sicherstellung des
Geschäftsbetriebes zu erreichen, lässt sich mit den bekannten
vertraglichen Werkzeugen aus dem IT-Outsourcing gut arbeiten.
Auf Fachbereichsseite sind
dezidiert Service Level zu erarbeiten, die ein
Dienstleister umzusetzen hat, wobei hier nicht nur die Verfügbarkeit in
Prozent, beispielsweise auf die Woche oder den Monat - nicht das Jahr (!)
- vorzusehen ist. Gleichzeitig bedarf es auch hier einer klaren Regelung,
über welche Dauer eine ungeplante Ausfallzeit („unscheduled
downtime“) noch akzeptabel ist.
Es liegt auf der Hand, dass höhere
Verfügbarkeiten und geringere Ausfallzeiten bei dem Dienstleister einen
höheren Grad an redundanten Systemen erfordern, was sich wiederum in den
Kosten niederschlägt. Unternehmen sei daher angeraten, die
Geschäftskritikalität von Systemen zu
identifizieren und in Clustern zu
kategorisieren. Beispielsweise führt der Ausfall eines Onlinebestell- oder
Buchungssystems zu unmittelbaren und zählbaren Schäden, während der
Ausfall der Lohnabrechnung über einen Tag einen überschaubaren Schaden
verursachen dürfte.
Unabhängig von der Verfügbarkeit
ist beim
Cloud Computing von
besonderer Bedeutung, dass
Performance-Parameter,
sogenannte nichtfunktionale Anforderungen („non-functional
requirements“) definiert werden. Auch
wenn eine entfernt liegende Datenbank in einer
Cloud
technisch verfügbar ist, leidet doch die Produktivität, wenn das
Antwortzeitverhalten beim Anlegen von
Kundendaten für jedes Feld 15 Sekunden in Anspruch nimmt. Dies treibt
Mitarbeiter in den Wahnsinn und die Arbeitsmotivation konvergiert gegen
Null. Gleiches gilt für das Antwortzeitverhalten bei Bestellsystemen. Sind
Bestellsysteme zu langsam, führt dies
erfahrungsgemäß zu
einer hohen Abbruchrate.
Schließlich ist auch übergreifend
die Einhaltung rechtlicher und regulativer Anforderungen - kurz
Compliance
genannt - sicherzustellen. Der ordnungsgemäße Ablauf von Prozessen, die
Datensicherheit und Datenintegrität muss genauso sichergestellt werden,
wie die Weiterarbeit bei einem Gesamtausfall des Rechenzentrums durch eine
Failover-Überleitung auf ein Ausfallrechenzentrum. Werden steuerrelevante
Daten in die Cloud verlagert,
müssen nach wie vor die Anforderungen der GDPdU erfüllt werden.
Vertraglich ist somit neben der Festschreibung von
Sicherheitsstandards nachprüfbar festzulegen, mit welchen Instrumentarien
der Dienstleister plant, den Betrieb unter bestimmten Krisenszenarien
fortführen zu können, was üblicherweise zur Erstellung eines
K-Fall-Handbuches führt bzw. führen sollte.
Zu ergänzen ist hier auch, dass sich das Management in
der Pflicht befindet, vertraglich straffe Regelungen vorzusehen, die der
unternehmensspezifischen Risikolage angemessen Rechnung tragen. Hierfür
sind ebenfalls Monitoring- und Reportingprozesse einzuziehen, die der
regelmäßigen und engmaschigen Überwachung der vertraglichen Leistung
unterliegen. Wie wichtig neben der Auslagerung auch eine Kontrolle ist,
zeigen beispielsweise unbemerkt gebliebene fehlerhafte Prozesse, wie
zuletzt bei dem Touristikunternehmen TUI, so dass nicht rückgebuchte
Stornierungen oder gegebene Rabatte zu einer
Wertberichtigung von 120
Millionen Euro führten.
 |
Ansprechpartner:
RA Dr. Hajo Rauschhofer
Fachanwalt für
IT-Recht
Rauschhofer Rechtsanwälte
Kanzlei für
IT-Recht
Richard-Wagner-Str. 1
65193 Wiesbaden
T: 0700 IT KANZLEI
T: 0611 - 53 25 395
F: 0611 - 53 25 396
Internet:
www.rechtsanwalt.de
|
