Wer eine Cloud-Lösung nutzen will, sollte sich gut vorbereiten. Welcher Anbieter eignet sich? Wo stehen die Rechenzentren? Wie hält er es mit dem Datenschutz?
Das Wörtchen „cloud“ stammt aus dem Englischen, heißt auf Deutsch Wolke und bezeichnet an sich eine Ansammlung feiner Wassertröpfchen, die den Himmel verschleiern. Schon vor einer Weile hat sich die IT des Begriffs bedient: Unter Cloud Computing versteht man das Speichern von Daten in entfernten Rechenzentren oder auch die Ausführung von Programmen, die nicht lokal installiert sind und auf die die Anwender per Internet zugreifen. Soweit die Definition. Doch was bedeutet das für Nutzer? Es ist ein bisschen so wie mit dem Strom, der aus der Steckdose kommt. Jeder weiß zwar, dass er irgendwie dahin gelangt und irgendwo produziert wird, wo, spielt aber für die meisten keine Rolle. Ähnlich ist es mit der Cloud. Doch deren Nutzung birgt nicht nur Vorteile, sondern auch Risiken, die Vielen möglicherweise nicht bewusst sind.
Sieben von zehn IT-Verantwortlichen in Deutschland wissen nicht genau, wo ihre sensiblen oder vertraulichen Daten gespeichert sind. Und Unternehmen können das Sicherheitsrisiko für mehr als die Hälfte (59 %) ihrer Cloud-Daten nicht einschätzen. Das gilt auch für 28 % der unternehmenskritischen Daten, die On-Premise verarbeitet werden. Das ist das Ergebnis einer Studie des Marktforschers Ponemon Institute.
Wer eine Cloud-Lösung nutzen will, sollte vorab einiges beachten: Zunächst gilt es, sich mit dem Anbieter auseinanderzusetzen. Wie ist er aufgestellt? Wo stehen seine Rechenzentren? Was tut er in Sachen Sicherheit und Datenschutz? Das wären nur einige der Fragen, die IT-Leiter stellen sollten. Verarbeitet das Unternehmen in der Cloud personenbezogene Daten wie Vorname, Nachname, E-Mail-Adresse oder Abteilung – die die Schlussfolgerung zulassen, dass derjenige beispielsweise als Exportmitarbeiter eines bestimmten Unternehmens tätig ist – oder auch personenbezogene Daten von Geschäftspartnern, gilt dafür das Bundesdatenschutzgesetz (BDSG). Wichtig dabei: Nicht nur der Cloud-Anbieter ist nach Auslagerung der Daten verantwortlich für den Datenschutz, der Auftraggeber selbst auch. Datenschutzrechtlich ist und bleibt der Auftraggeber die verantwortliche Stelle.
„Die beste Möglichkeit, Cloud-Dienste datenschutzkonform entsprechend dem BDSG zu nutzen, ist es, eine Auftragsdatenverarbeitung innerhalb einer EU-Cloud zu vereinbaren“, sagt Arnd Böken, Rechtsanwalt und Notar der Kanzlei Graf von Westphalen in Berlin. Diese Vereinbarung beschreibt im Detail, welche Rechte, Pflichten und Maßnahmen zwischen Auftraggeber und Dienstleister zu treffen sind. Und das heißt, dass Unternehmen und Cloud-Anbieter einen Vertrag abschließen müssen, der die Bestimmungen zu Datenschutz und -sicherheit regelt. „Wichtig dabei ist, dass die Daten nur innerhalb der EU sowie Island, Liechtenstein und Norwegen verarbeitet werden“, fügt Böken hinzu. Nur dann erhält der Cloud-Anbieter eine Rechtsstellung, die mit einem internen Rechenzentrum des Unternehmens vergleichbar ist.
„Wir arbeiten seit rund zehn Jahren mit AEB zusammen und nutzen deren Lösung ASSIST4 mit den verschiedenen Zollabwicklungsapplikationen“, sagt Bernd Finkenzeller, der beim Zigarrenhersteller Villiger Group für die IT zuständig ist. Er hält es bei derlei Projekten für sehr wichtig, den Partner gut zu kennen. Die entsprechenden Kontaktpersonen seien die Jahre über immer die gleichen geblieben. „Für mich ist auch wichtig, dass wir es mit einem mittelständisch geprägten Unternehmen zu tun haben, wie wir es auch sind“, fügt er hinzu. Villiger nutzt die Cloud-Lösung für seine Versandabwicklung und die Behördenkommunikation etwa mit dem Zoll.
Ganz wichtig ist es, für die Cloud-Anwendung den Datenschutz zu thematisieren. „Ich habe bei der Verhandlung unseren Datenschutzbeauftragten einbezogen“, sagt Finkenzeller. Außerdem habe er sich die Zertifikate des Dienstleisters zeigen lassen, die belegen, dass er die Daten vertraulich behandelt. Allerdings stehe das Thema Datenschutz nicht an erster Stelle. Für den IT-Leiter sei viel wichtiger, dass die Systeme stabil laufen und der Support rund um die Uhr gewährleistet ist. „Das kann ich mit meiner Mannschaft nicht leisten und will ich ihr auch nicht aufbürden.“ Er habe trotz Auslagerung immer das Gefühl, die Kontrolle über die Daten zu haben, zumal diese in Deutschland verarbeitet werden.
Cloud-Lösungen sind eines der wichtigsten Wachstumsfelder der IT-Branche – vor allem in Deutschland steckt Potenzial. Denn bislang setzen einer Studie des Marktforschungsinstituts Pb7 zufolge deutsche kleine und mittelständische Unternehmen (KMU) seltener auf Geschäftsanwendungen aus der Cloud als der internationale Durchschnitt – und das, obwohl das deutsche Datenschutzgesetz als das härteste der Welt gilt. Vorteil von Online-Lösungen: Sie sind sofort einsatzbereit, Funktionalitäten können schnell angepasst werden, und es muss nur das bezahlt werden, was auch genutzt wird. Und möglicherweise liegen wichtige Geschäftsdaten auf den Servern des Cloud-Anbieters sogar sicherer, denn der wartet die Anwendungen mit Sicherheits-Tools und sorgt für ständige Updates.
