Marktmacht

Gerade Großunternehmen mit Compliance-Richtlinien können sich der rechtlichen Verantwortung nicht entziehen, wenn sie Services in die Wolke verlagern. Sie bleiben als Auftraggeber beispielsweise für die Einhaltung des Bundesdatenschutzgesetzes (BDSG, [3]) verantwortlich und sehen sich daher auch entsprechenden Bußgeldern oder kostenpflichtigen Abmahnungen durch Mitbewerber ausgesetzt.

Allerdings verfügen sie bereits über vielfältige Erfahrungen, wenn es um das Einbinden von Drittanbietern geht, und können beim Aushandeln von Verträgen und entsprechenden Service Level Agreements (SLA) mit einem anderen Gewicht auftreten, als dies für einen kleinen Auftraggeber möglich ist.

Zu den besonderen Herausforderungen zählen Integrationsfragen in bestehende Managementkonzepte und Werkzeuge. Den meisten Nutzen verspricht es, Infrastruktur auszulagern, die nur selten, dann aber in großer Stückzahl nötig ist und sich durch geringen Individualisierungsgrad auszeichnet.

Ein Beispiel dafür ist eine Erweiterung der Webserverkapazitäten im Zuge der Markteinführung eines neuen Produkts, für das sich der Hersteller einen großen Erfolg seiner Marketingkampagne erhofft. Für branchenspezifische Dienste existieren in den meisten Fällen langfristige Partnerschaften mit externen Partnern und Vendor-Lock-in. Deren Umstellung würde meist hohe Migrationskosten nach sich ziehen.

Als Beispiel für solche Dienste aus der Wolke kann das umfangreiche SaaS-Angebot der Datev ASP [5] gelten, die über Terminalservices SaaS rund um Steuer- und Wirtschaftssoftware anbietet.

Rechtliche Aspekte

Die derzeit größten Hemmnisse für den umfassenden Einsatz von Cloudservices speziell bei mittelständischen Unternehmen bereiten Datenschutzbedenken, das generelle Misstrauen gegen den schwammigen Cloud-Begriff, vor allem aber die regulierenden Vorschriften seitens des Gesetzgebers. So muss ein Unternehmen hohe Hürden nehmen, wenn es personenbezogene Daten, zum Beispiel aus einem CRM-System, durch Dritte verarbeiten lässt.

Der Gesetzgeber in Deutschland ist hier recht explizit: Im Allgemeinen kommt der Begriff der "Auftragsdatenverarbeitung" (§11 BDSG) zum Tragen – so bedarf es einer Einverständniserklärung von jeder betroffenen Person zur Verarbeitung der Daten durch Dritte. Selbst bei einer entsprechenden Freigabe bleibt aber nach wie vor der Auftraggeber der Verarbeitung uneingeschränkt für den Datenschutz verantwortlich.

Der Gesetzgeber formuliert dies im §11 BDSG eindeutig: "Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und des Datenschutzes verantwortlich." [3]

Für Dienste innerhalb der EU gehen die meisten Juristen davon aus, dass dort an die Verarbeiter ähnlich hohe Maßstäbe anzusetzen sind wie in Deutschland. Die gefürchtete Transparenz der Datenhaltung, also dass zu keinem Zeitpunkt konkret angegeben werden kann, wo sich die Daten physisch befinden, tritt in diesem Fall in den Hintergrund. Wandern die Daten aber in Drittstaaten, auch die USA, besteht die latente Gefahr von Zugriffen durch staatliche Behörden.

Vor diesem Hintergrund muss sich der IT-Leiter klarmachen, ob er mit einem US-Unternehmen Verträge eingeht. Er muss genau prüfen, mit wem er den Vertrag schließt und welches Recht gilt.