Dr. Rauschhofer Keynote-Speaker
Virtualisierung & Cloud Computing 2011
Virtualisierung-Cloud-Computing-2011
07.06. Hanau
09.06. München
15.06. Hamburg
21.06. Neuss

Teil 1 – Vertragliche Aspekte des Cloud Computing

Teil 2 – Datenschutzrechtliche Aspekte

Teil 3 – Vortrag und Video:

Rechtsfragen zum Cloud Computing und deren Lösung

Wenngleich für das sogenannte Cloud Computing keine allgemeingültige technische Definition existiert, so geht es doch im Kern darum, Daten, insbesondere für bestimmte Applikationen und deren Infrastruktur, in skalierbaren Recheneinheiten über das Internet auszulagern. Operativ werden beispielsweise sämtliche Server und Applikationen beim Dienstleistungsanbieter betrieben, so dass das auch „Software as a Service“ (SaaS) genannte Modell eine Abrechnung nach Leistung aufweist.

Der klar auf der Hand liegende Vorteil besteht in rechtlicher Hinsicht darin, dass sich ein Unternehmen im Rahmen des Asset-Managements nicht um die jeweils erforderliche Lizenzierung von Anwendungen, Betriebssystemen oder Datenbanken zu kümmern hat und in technischer Hinsicht daran anschließend keine internen Administratoren die jeweiligen Systembestandteile dauerhaft pflegen müssen. Spiegelbildlich dazu warten und pflegen Anbieter solcher Leistungen zentral und erreichen durch die Skalierungseffekte Effizienzsteigerungen, die zum Wohle aller Beteiligten (teilweise) weitergegeben werden.

Abrechnungsseitig schlägt sich dies dadurch nieder, dass ein Unternehmen – vergleichbar mit Strom aus der Steckdose –  nur für die tatsächlich in Anspruch genommene Leistung bezahlt. Werden – wie bei den meisten klassischen Lizenzmodellen – keine Floating Licenses eingesetzt, so hat dieses Cloud Computing-Modell lizenzrechtlich den Vorteil, dass einerseits keine Lizenzen brachliegen, andererseits im Falle der Unterlizenzierung für Lizenzspitzen – beispielsweise bei Projekten – keine Lizenzen nachgekauft werden müssen. Häufig wird beim Cloud Computing pro Transaktion, Geschäftsvorfall oder Nutzer je Zeitraum ein bestimmter Betrag abgerechnet, unabhängig von der dahinter stehenden Hardware und den Softwarelizenzen dafür.

Rechtliche Anforderungen

In rechtlicher Hinsicht gilt es hier aus Unternehmersicht zum Einen sicherzustellen, dass die Systeme im erforderlichen Umfang performant und verfügbar sind. Zum anderen hat ein Unternehmen aufgrund der unterschiedlichen Angebotsmodelle darüber hinaus in datenschutzrechtlicher Hinsicht sehr dezidiert zu prüfen und sicherzustellen, dass insbesondere sensible Kundendaten geschützt werden.

Sicherstellung des Geschäftsbetriebes

Um vertraglich eine Sicherstellung des Geschäftsbetriebes zu erreichen, lässt sich mit den bekannten vertraglichen Werkzeugen aus dem IT-Outsourcing gut arbeiten. Auf Fachbereichsseite sind dezidiert Service Level zu erarbeiten, die ein Dienstleister umzusetzen hat, wobei hier nicht nur die Verfügbarkeit in Prozent, beispielsweise auf die Woche oder den Monat – nicht das Jahr (!) – vorzusehen ist. Gleichzeitig bedarf es auch hier einer klaren Regelung, über welche Dauer eine ungeplante Ausfallzeit („unscheduled downtime“) noch akzeptabel ist. Es liegt auf der Hand, dass höhere Verfügbarkeiten und geringere Ausfallzeiten bei dem Dienstleister einen höheren Grad an redundanten Systemen erfordern, was sich wiederum in den Kosten niederschlägt. Unternehmen sei daher angeraten, die Geschäftskritikalität von Systemen zu identifizieren und in Clustern zu kategorisieren.

Beispielsweise führt der Ausfall eines Onlinebestell- oder Buchungssystems zu unmittelbaren und zählbaren Schäden, während der Ausfall der Lohnabrechnung über einen Tag einen überschaubaren Schaden verursachen dürfte. Unabhängig von der Verfügbarkeit ist beim Cloud Computing von besonderer Bedeutung, dass Performance-Parameter, sogenannte nichtfunktionale Anforderungen („non-functional requirements“) definiert werden. Auch wenn eine entfernt liegende Datenbank in einer Cloud technisch verfügbar ist, leidet doch die Produktivität, wenn das Antwortzeitverhalten beim Anlegen von Kundendaten für jedes Feld 15 Sekunden in Anspruch nimmt. Dies treibt Mitarbeiter in den Wahnsinn und die Arbeitsmotivation konvergiert gegen Null. Gleiches gilt für das Antwortzeitverhalten bei Bestellsystemen. Sind Bestellsysteme zu langsam, führt dies erfahrungsgemäß zu einer hohen Abbruchrate.

Schließlich ist auch übergreifend die Einhaltung rechtlicher und regulativer Anforderungen – kurz Compliance genannt – sicherzustellen. Der ordnungsgemäße Ablauf von Prozessen, die Datensicherheit und Datenintegrität muss genauso sichergestellt werden, wie die Weiterarbeit bei einem Gesamtausfall des Rechenzentrums durch eine Failover-Überleitung auf ein Ausfallrechenzentrum. Werden steuerrelevante Daten in die Cloud verlagert, müssen nach wie vor die Anforderungen der GDPdU erfüllt werden. Vertraglich ist somit neben der Festschreibung von Sicherheitsstandards nachprüfbar festzulegen, mit welchen Instrumentarien der Dienstleister plant, den Betrieb unter bestimmten Krisenszenarien fortführen zu können, was üblicherweise zur Erstellung eines K-Fall-Handbuches führt bzw. führen sollte.

Zu ergänzen ist hier auch, dass sich das Management in der Pflicht befindet, vertraglich straffe Regelungen vorzusehen, die der unternehmensspezifischen Risikolage angemessen Rechnung tragen. Hierfür sind ebenfalls Monitoring- und Reportingprozesse einzuziehen, die der regelmäßigen und engmaschigen Überwachung der vertraglichen Leistung unterliegen. Wie wichtig neben der Auslagerung auch eine Kontrolle ist, zeigen beispielsweise unbemerkt gebliebene fehlerhafte Prozesse, wie zuletzt bei dem Touristikunternehmen TUI, so dass nicht rückgebuchte Stornierungen oder gegebene Rabatte zu einer Wertberichtigung von 120 Millionen Euro führten.