Ist ihr Unternehmen schon cloud-compliant?

Generell gilt: alle IT-Compliance-Anforderungen gelten gleichermaßen in der Cloud. Wie schon beim klassischen Outsourcing müssen auch hier Vorkehrungen getroffen werden, um “compliant” zu sein. Gesetze mit zum Teil empfindlichen Sanktionen für Unternehmen wie Führungskräften machen auch vor der Datenwolke nicht Halt.

Werden personenbezogene Daten verarbeitet, gelten die Vorschriften des Bundesdatenschutzgesetzes, des Telekommunikationsgesetzes und des Telemediengesetzes genauso im Cloud-Betrieb. Für die IT-gestützte Finanzberichterstattung sind das Handelsgesetzbuch und die Abgabenordnung zu beachten, die neben dem Schutz vor Verfälschung und einer Fehlerkontrolle auch die Sicherheit und Verfügbarkeit der eingesetzten IT-Systeme fordern. Darüber hinaus gibt es besondere Anforderungen für den Finanz- und den Gesundheitssektor sowie die Vorschriften der Exportkontrolle.

Das Phänomen Cloud Computing hat diese Anforderungen nicht grundlegend verändert, manche Compliance-Aspekte gewinnen jedoch in der Cloud an Bedeutung. Beispiel: Organisationspflichten der Unternehmensführung. Diese beinhalten, dass geschäftskritische Anwendungen ausfallsicher betrieben werden. Zum Ausfallrisiko gehört in der Cloud die Verbindung zum Anbieter. Das Unternehmen macht sich von der Verfügbarkeit und der Übertragungsgeschwindigkeit von Datenleitungen abhängig. Aber allein die Verfügbarkeit eines Dienstes beim Anbieter reicht nicht aus. Der Nutzer muss auch in der Lage sein, auf den Dienst zuzugreifen.

Häufig ist Kontrolle die Voraussetzung dafür, Compliance-Anforderungen erfüllen zu können. Werden beispielsweise personenbezogene Daten von einem externen Dienstleister bearbeitet oder gespeichert, ist dies im Zuge der Auftragsdatenverarbeitung nur zulässig, wenn der Auftraggeber jederzeit Kontrolle über die Daten hat. Das erfordert technische und organisatorische Maßnahmen, deren Einhaltung der Auftraggeber regelmäßig überprüfen muss. Soll beispielsweise die Finanzbuchführung im Ausland stattfinden, muss nicht nur der Zugriff auf die Finanzdaten sichergestellt sein, sondern auch der Standort des Datenverarbeitungssystems sowie der Name des Dienstleisters der Finanzbehörde gemeldet werden.

Da diese Kontrollanforderungen aber dem Modell der grenzenlosen Datenverarbeitung zu widersprechen scheinen, sollte man sich überlegen, ob diese Art der Datenverarbeitung überhaupt zielführend ist. Denn nicht jeder IT-Service mit der Bezeichnung “Cloud Computing” ist grenzenlos. Cloud ist nicht gleich Cloud. Das machen sich viele Unternehmen bisher noch nicht bewusst und assoziieren den Begriff noch überwiegend mit einem klassischen Outsourcing-Modell. Wirklich wichtig ist, die eigene Cloud-Infrastruktur zu verstehen, entsprechenden Bedarf daraus ableiten zu können und auf dieser Basis ein Angebot zu wählen, welches den Compliance-Anforderungen auch entsprechen kann.

Dabei können verschiedene Cloud-Modelle zu einer Hybrid-Cloud kombiniert werden. Die rechtlichen Rahmenbedingungen des Datenschutzes legen zum Beispiel nahe, dass Applikationen, mit denen personenbezogene Daten verarbeitet werden, nur innerhalb der EU beziehungsweise des Europäischen Wirtschaftsraums betrieben werden. Test- und Entwicklungssysteme können hingegen durchaus auch außerhalb Europas stehen. Umgekehrt kann mit dem Cloud-Provider vereinbart werden, dass geschäftskritische Anwendungen, insbesondere die Finanzbuchhaltung, ausschließlich in Deutschland betrieben werden. Für ein hohes Sicherheitsniveau kann auch der Betrieb auf dedizierter Hardware verlangt werden. Richtig ausgewählt und strukturiert können Cloud-Dienste daher durchaus mit Compliance-Anforderungen in Einklang gebracht werden.