Die Bedeutung von Cloud Computing für Unternehmen nimmt kontinuierlich zu, da es Potentiale wie Kostenreduzierung, erhöhte Flexibilität sowie verbesserte Qualität der IT-Ressourcen bietet. Demgegenüber stehen zahlreiche Bedenken der Unternehmen, allen voraus Sicherheitsrisiken und Angst vor Kontrollverlust. Diese könnten allerdings durch geeignete Maßnahmen seitens des Anbieters eliminiert beziehungsweise reduziert werden. Im Rahmen dieser Studie werden die Anforderungen der Unternehmen zur Auswahl eines Cloud Computing Providers analysiert. Darauf aufbauend wird ein Anforderungsmodell entwickelt und mittels Onlineumfrage validiert. Das Modell enthält 50 konkrete Anforderungen an einen Cloud Computing Provider, die in die Kategorien Informationssicherheit, Technologie, Recht, Kosten und Transparenz des Anbieters aufgeteilt sind. Es dient zur Orientierung für Unternehmen, die den Einsatz von Cloud Services planen und Angebote von verschiedenen Anbietern bewerten wollen. Zusätzlich hat es eine Relevanz für die Cloud Computing Anbieter, da diese auf Basis des Anforderungsmodells ihre Services zielgerichtet weiter entwickeln können.

Textprobe: Kapitel 2.6.4.1, Verletzung von Datenschutzgesetzen: Bei der Nutzung von Cloud Services kommt es regelmäßig zur Speicherung von personenbezogenen Daten des Nutzers auf den Systemen des Anbieters, die über die ganze Welt verteilt sein können. Cloud Services berühren daher in besonderem Maße datenschutzrechtliche Bestimmungen (Pohle & Ammann, 2009, S. 276). In Deutschland erhält der Cloud Nutzer durch die Bestimmungen des Bundesdatenschutzgesetzes (BDSG) zahlreiche Pflichten, die es einzuhalten gilt. Ein Verstoß kann für den Nutzer gravierende Folgen haben, zum Beispiel drohen ihm Bußgelder und Schadensersatzzahlungen (Christmann et al., 2010, S. 68). Gemäß § 3 des BDSG sind personenbezogene Daten ‘Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)’. Ziel des BDSG ist es, den ‘Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird’ (§ 1 Abs. 1 BDSG). Das deutsche und das europäische Datenschutzrecht (Datenschutzrichtlinie 95/46/EG) basieren grundsätzlich auf der Annahme, dass der Speicherort von Daten stets bekannt ist (Weichert, 2010, S. 682). Dies ist beim Einsatz von Cloud Computing nicht automatisch gegeben. Die flexible Verschiebung von Daten führt zu einem undurchsichtigen Datenfluss, welcher eine weltweite Verarbeitung von personenbezogenen Daten nach § 3 BDSG problematisch macht (Reindl, 2009, S. 441). Beim Cloud Computing ist es bereits eine Herausforderung, das relevante Datenschutzrecht zu bestimmen. Gemäß dem Territorialitätsprinzip des deutschen und europäischen Datenschutzrechts gilt grundsätzlich die Rechtslage des Landes, in dem die Daten erhoben oder verarbeitet werden. Der Speicherort der Daten hat also eine wichtige Bedeutung bei der Bestimmung des anzuwendenden Rechts (Niemann & Paul, 2009, S. 448). Werden die Daten nur in der Europäischen Union (EU) von EU-Anbietern erhoben, so gibt es eine Ausnahmeregelung, bei welcher der Sitz des Unternehmens ausschlaggebend ist (§ 1 Abs. 5 BDSG). Gemäß § 4 Abs. 1 BDSG ist die Übermittlung von personenbezogen Daten durch ein Unternehmen an Dritte immer erlaubnispflichtig. Die Einwilligung aller betroffenen Personen liegt in den meisten Fällen nicht vor, daher ist die Weitergabe nur dann zulässig, wenn es sich um eine Auftragsdatenverarbeitung nach § 11 BDSG handelt oder eine der Ausnahmen des § 28 BDSG vorliegt, zum Beispiel wissenschaftliche Verwendung oder Verwendung bereits veröffentlichter Daten. Nach Pohle und Ammann (2009, S. 276) kann die Nutzung von Cloud Computing im Allgemeinen als Auftragsdatenverarbeitung bewertet werden. Hierfür müssen jedoch bestimmte Kriterien erfüllt sein. § 11 BDSG erfordert, dass der Cloud Computing Anbieter sorgfältig ausgewählt werden muss und nur nach Anweisungen des Datenbesitzers handeln darf. Darüber hinaus ist eine schriftliche Vereinbarung zwischen Nutzer und Anbieter erforderlich, welche die in § 11 Abs. 2 BDSG genannten Anforderungen erfüllt. Der Nutzer bleibt bei der Auftragsdatenverarbeitung datenschutzrechtlich voll verantwortlich und muss dafür sorgen, dass sämtliche datenschutzrechtliche Anforderungen vom Anbieter eingehalten werden (Becker, 2010, S. 8). Problematisch wird diese Verantwortlichkeit, wenn der Anbieter Daten zwischen einzelnen Rechenzentren verschieben kann und der Nutzer den aktuellen Speicherort nicht nachvollziehen kann. Gemäß § 9 BDSG muss sich der Nutzer auch darum kümmern, dass die Informationssicherheit der personenbezogenen Daten beim Anbieter sichergestellt ist (Christmann et al., 2010, S. 67). § 3 Abs. 8 BDSG erlaubt die Anwendung der Auftragsdatenverarbeitung nur, wenn der Cloud Computing Anbieter seinen Sitz innerhalb der EU oder den Ländern des Europäischen Wirtschaftsraums (EWR) hat und die Daten auch dort verarbeitet werden (BSI, 2011, S. 64 Weichert, 2010, S. 686). Die Übermittlung von Daten in andere Länder wird in der Regel nicht gestattet (§ 4b Abs. 2, 3 BDSG und Art. 25, 26 Richtlinie 95/46/EG), außer wenn ein angemessenes Datenschutzniveau sichergestellt werden kann oder eine Ausnahme des § 4c BDSG gegeben ist. Ein angemessenes Datenschutzniveau wurde durch die EU-Kommission zum Beispiel für die Schweiz, Kanada und Argentinien bestätigt (Weichert, 2010, S. 686). Als ausreichende Garantie für ein angemessenes Datenschutzniveau zählt auch die Unterzeichnung von EU-Standardvertragsklauseln. Die Garantie für ein angemessenes Datenschutzniveau durch Verwendung der ‘Safe Harbor Principles’, einer Datenschutzvereinbarung zwischen der Europäischen Union und den United States of America (USA) für Verträge mit Anbietern aus den USA, ist in der Literatur stark umstritten (Christmann et al., 2010, S. 68 Niemann & Paul, 2009, S. 449 Terplan & Voigt, 2011, S. 198 Weichert, 2010, S. 686). Die Nutzung von Cloud Computing Anbietern, die Daten außerhalb der EU verarbeiten, ist folglich möglich, allerdings ist es fraglich, ob die Restriktionen des § 4b BDSG dauerhaft eingehalten werden können, vor allem vor dem Hintergrund, dass Cloud Computing Anbieter häufig Subunternehmer einsetzen (Christmann et al., 2010, S. 68). Bei der Betrachtung der rechtlichen Risiken von Cloud Computing sollte nicht nur die aktuelle Rechtslage betrachtet werden, sondern auch die zukünftige Entwicklung des Datenschutzes und der politischen Rahmenbedingungen. Derzeit kann ein grenzüberschreitender Datentransfer bei Berücksichtigung der genannten Voraussetzungen rechtlich sicher ausgestaltet werden, dies kann sich aber in der Zukunft ändern (Christmann et al., 2010, S. 68). 2.6.4.2, Verstoß gegen Compliance Vorgaben: Neben den datenschutzrechtlichen Bestimmungen müssen Cloud Nutzer weitere Anforderungen aus externen und internen Regularien und Vorschriften einhalten (Compliance). Durch den Einsatz von Cloud Services wird zwar ein Dritter zur Erbringung des Dienstes eingesetzt, in der Regel bleibt aber der Nutzer für die Erfüllung der individuellen Compliance Anforderungen verantwortlich und muss die Konsequenzen bei einer Nichterfüllung tragen (Weber, 2010, S. 93). Um die individuellen Compliance Anforderungen eines Unternehmens zu bestimmen, sind normalerweise Branche, Rechtsform, Ort der Unternehmung beziehungsweise der Leistungserbringung oder die angebotenen Produkte und Dienstleistungen zu betrachten (Weber, 2010, S. 93). Besondere Anforderungen ergeben sich zum Beispiel bei der Verarbeitung steuerrelevanter Daten (§§ 146, 147 AO, GDPdU, § 41 EstG), bei der Verarbeitung buchführungsrelevanter Daten (§ 257 HGB), wenn der Kunde dem Finanzdienstleistungssektor angehört (§ 25 a KWG, GoBS, § 20 ZAG) oder Träger von Berufsgeheimnissen (§ 203 StGB: Ärzte, Anwälte, Lebens-, Kranken- oder Unfallversicherer) ist (Becker, 2010, S. 18 BSI, 2011, S. 64 Weichert, 2010, S. 680). Weitere Compliance Vorschriften, die relevant sein könnten, sind das Telemediengesetz (TMG), der Gramm-Leach-Bliley Act (GLB) für den Finanzsektor, der sektorübergreifende Sarbanes-Oxley-Act (SOX 2002) und der Health Insurance Portability and Accountability Act (HIPAA) bei der Verwendung von Gesundheitsdaten (Accorsi et al., 2011, S. 141). Die Aufführung der Compliance Vorschriften sind lediglich Beispiele. Welche konkreten Anforderungen für ein Unternehmen gelten, muss individuell geprüft werden. Durch den Einsatz von Cloud Computing entstehen keine neuen Compliance Regelungen für die Unternehmen (Weber, 2010, S. 93), es besteht aber das Risiko, dass der Cloud Computing Anbieter die Anforderungen nicht einhält.

• Software as a Service

• Anforderungsanalyse

• Cloud Provider

• Cloud Computing