<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=664062317274151&amp;ev=PageView&amp;noscript=1">
T-Systems Logo

Let's power
higher performance

Security, Cloud

Compliance in der Cloud

In Ihrem Netzwerk teilen:
   

Erstellt: 21.09.2017

Handy_Datenschutz_Cloud.jpg

Mit der einfachen Verfügbarkeit von Businesssoftware im Internet wächst die Gefahr, dass die Fachabteilungen am Einkauf vorbei Anwendungen ins Unternehmen «schmuggeln», die möglicherweise nicht den Compliance-Richtlinien entsprechen. Worauf ist aus rechtlicher Sicht zu achten?


Wird der Einkauf aufgrund des wachsenden Self-Service-Angebots im Netz nicht mehr zwingend in eine Ausschreibung einbezogen, müssen die entsprechenden Abteilungen dafür sorgen, dass im Unternehmen ein Bewusstsein dafür entsteht, was in Bezug auf Handels- und Steuerrecht, Datenschutz und IT-Sicherheit mit den neuen Bezugsmodellen verbunden ist. Und das Procurement muss sich auch selbst damit auseinandersetzen, um der wachsenden Komplexität des Vertrags- und Vendor- Managements Herr zu werden.

Compliance mit neuer Bedeutung

Compliance geht mittlerweile weit über die Ursprünge von Korruptionsbekämpfung & Co. hinaus. Im IT-Umfeld gehören Themen rund um Datenschutz, Datensicherheit und spezielle rechtliche Regularien dazu. Dabei sind nicht alle Anforderungen für jedes Unternehmen gleichermassen relevant. Prinzipiell können sich Vorgaben für die IT-Compliance aus drei Aspekten ableiten:

  • Gesetzliche und behördliche Richtlinien
  • Industrie- resp. branchenspezifische Besonderheiten sowie
  • Unternehmensinterne Bedürfnisse.

Erst wenn ein Unternehmen ein vollständiges Bild von der geschäftlichen Bedeutung eines einzusetzenden Cloud-Dienstes hat, entsteht Klarheit darüber, welche Vorgaben zu beachten sind. Die hohe Relevanz von Compliance im Hinblick auf die Cloud belegt auch eine KPMG-Studie, wonach 62 Prozent der Unternehmen, die bereits Cloud-Lösungen einsetzen oder deren Einsatz planen, besorgt sind, dass diese die Einhaltung von gesetzlichen Anforderungen gefährden. Denn eines ist ganz sicher zu beachten: Auch wenn bei der Auslagerung von Diensten in die Cloud keine personellen und IT-Ressourcen im Unternehmen mehr vorgehalten werden müssen, bleibt der Cloud-Nutzer dennoch in der Pflicht, alle gesetzlichen und regulatorischen Anforderungen zu erfüllen. Das auslagernde Unternehmen ist nach wie vor verantwortlich für die Datenverarbeitung und -speicherung durch den Cloud-Anbieter.

Herausforderungen im Detail

Neben dem Schutz personenbezogener Daten existieren weitere typische Compliance- Pflichten in der Dokumentation nach Obligationenrecht, im Zugang und Zugriff von (externen) Servicemit-arbeitenden zu/auf schützenswerte/n Daten, bei unverschlüsseltem Transfer vertraulicher Daten oder beim Aufbau einer Schatten-IT durch die Fachbereiche. Der Cloud-Nutzer muss kontrollieren, ob sein Anbieter seine Compliance- Anforderungen einhält – und der Cloud-Anbieter muss diese Einhaltung nachweisen, sei es durch die Vorlage von Zertifizierungen oder die Erfüllung spezifischer vertraglicher Vereinbarungen. In jedem Fall ist es ratsam, vor einem Cloud-Projekt folgende Fragen zu klären:

  • Welche Daten und Geschäftsanwendungen sind beim Cloud-Vorhaben konkret betroffen?
  • Welche industriespezifischen Vorgaben sind gegebenenfalls für diese Daten- und Geschäftsanwendungen bindend?
  • Welche internen Richtlinien sind mit der Transformation in die Cloud anzupassen?

Werden rechnungslegungsrelevante Daten oder Prozesse bei der Nutzung von Cloud-Diensten berührt, sind die Anforderungen aus dem Handelsund Steuerrecht zu beachten. Neben den Richtlinien, die bei IT-Auslagerung ohnehin zum Tragen kommen, sind Cloud-spezifische Anforderungen zu evaluieren: Welchen Einfluss haben Virtualisierung, Übertragungswege, Speicherort oder unabgestimmte Programmänderungen? Es gibt bereits eine Reihe von Zertifizierungen für Cloud-Dienste, an denen sich Kundenunternehmen orientieren können. Als Nachweis kann in einem ersten Schritt eine ISO-27001-Zertifizierung für die relevanten Rechenzentren des Cloud- Anbieters ausreichen. Konkreter in Bezug auf Cloud-Dienste wird es mit ISO/IEC 27017 und 27018. Ergänzend dazu haben sich die CSA-STAR-Zertifikate der Cloud Security Alliance auf dem Markt etabliert.

Je nach Branche unterschiedlich

Neben den von der Art der Geschäftstätigkeit unabhängigen Bestimmungen gelten für einzelne Industrien branchenspezifische Anforderungen. Im Finanzdienstleistungssektor dürfen beispielsweise durch die Nutzung von Cloud-Diensten die Prüfungsund Kontrollrechte der Aufsichtsbehörden nicht beeinträchtigt werden. Im Gesundheitswesen wiederum kommt es neben besonders datenschutzrechtlichen Fragen vor allem darauf an, dass der Cloud-Anbieter die technischen und prozessoralen Schnittstellen bereitstellt, die für den Datenaustausch und die Zusammenarbeit zwischen Instituten und Einrichtungen des Gesundheitswesens erforderlich sind. Die Beschaffungsprozesse in der Informatik verlagern sich zunehmend von der IT- in die Fachabteilungen, die sich Servicepakete auf unterschiedlichen Anbieterportalen selbst zusammenstellen. Somit verändern sich die Lieferantenbezehungen, und anstelle der üblichen Single- oder Dual-Provider- Strategie sehen sich die Unternehmen plötzlich mit einer Multi-Provider- Servicelandschaft konfrontiert, die durch die interne IT gemanagt, im Procurement verrechenbar abgebildet und vor allem auch rechtlich, insbesondere lizenzrechtlich, abgesichert werden muss.

Regeln schaffen Verbindlichkeit

Bewährt haben sich für die interne Kontrolle verbindliche Cloud-Guidelines für die Business Units. Es gilt, klare Verantwortlichkeiten und Prozesse festzulegen, wie der Bezug von Cloud-Services zu handhaben ist. Es empfiehlt sich, hierbei allen involvierten Parteien jeweils eine Rolle zuzuschreiben, die deren Interessen im Beschaffungsprozess im Einzelnen realitätsnah abbildet. Dabei kann es durchaus Sinn machen, den Fachabteilungen gewisse Freiheiten zuzugestehen; am wichtigsten ist, dass sie ihre Businessanforderungen kommunizieren und nicht selbst Lösungen suchen, die das Unternehmen in rechtliche Grauzonen navigieren könnten. Auch wenn die Fachabteilungen als Kostenstelle die Budgetverantwortung tragen, muss eine Inanspruchnahme von Cloud-Dienstleistungen zwingend bewilligungspflichtig sein.

 

ERFAHREN SIE MEHR

 

Kontakt
Markus Deja
Head of Procurement T-Systems Schweiz
ERFAHREN SIE MEHR
Markus Deja

Kontakt: Markus Deja

Head of Procurement T-Systems Schweiz