Stellenwert der Compliance-Fragen

Ralf Schneider, CIO der Allianz Versicherung, gibt an, wo der Knackpunkt bei den Cloud-Services für sein Unternehmen liegt: "Wir wollen unsere zentralen Anwendungen, vor allem aber unsere Daten selbst unter Kontrolle behalten", formulierte er kürzlich in einem Interview mit der COMPUTERWOCHE, "ich habe überhaupt keine Lust, von einem Provider abhängig zu sein, wenn es um die Verbindung zu unseren Daten geht."

Diese Haltung kann Heiko Schmidt, Managing Consultant bei PA Consulting, verstehen: "Im Interesse beider Parteien sollten Verträge immer so effektiv wie möglich gestaltet werden, um die Zuverlässigkeit und Qualität der eingekauften Services beurteilen und potenzielle Risiken minimieren zu können", so der Berater. Er betreut umfangreiche Cloud-Projekte und weiß daher, was in der Praxis gefragt ist.

Nur zu gut kennt Schmidt den Stellenwert offener Compliance-Fragen im Zusammenhang mit Cloud-Projekten. "Neben den Anwälten sollten von Anfang an Compliance-Vertreter und Sicherheitsspezialisten in die Organisation eines Cloud-Projektes integriert werden", lautet sein Vorschlag, "viele Compliance-Fragen können dadurch bereits im Anforderungs-Management berücksichtigt werden."

Nicht nur für Konzern-CIOs, sondern auch für Entscheider in mittelständische Unternehmen ist die Aufnahme des Cloud-Betriebes mit rechtlichen Bedenken gekoppelt. Sie müssen die Schritte in die Wolke ebenfalls genau abwägen, denn auch haften die Geschäftsführer teils persönlich.

Kein Widerspruch per se

Aber schließen sich das Arbeiten über die Cloud und das gleichzeitige Einhalten von Compliance-Vorgaben nicht per definitionem aus? Dem widerspricht Jan Geert Meents, Partner der international tätigen Wirtschaftskanzlei DLA Piper, definitiv: "Ein Widerspruch besteht hier nicht." Allerdings würden manche Compliance-Aspekte in der Cloud an Bedeutung gewinnen.

Wie der IT-Rechtsexperte anmerkt, ergeben sich Compliance-Anforderungen zunächst aus den auf das jeweilige Unternehmen anwendbaren gesetzlichen Grundlagen sowie aus Best Practices. "Sollen Anwendungen und Daten in der Cloud gespeichert werden, muss en detail überprüft werden, ob diese Speicherung nach den zugrunde liegenden Lizenzverträgen respektive den anwendbaren Datenschutzregelungen zulässig ist", sagt Meents.

Keinen Sinn habe es unter Datenschutz- und Compliance-Gesichtspunkten, personenbezogene Daten in der Public Cloud zu speichern, so das Urteil des Juristen: "Das halte ich sogar für bedenklich". Cloud-Computing, bei dem die Datenspeicherung außerhalb der EU stattfinde, scheide im Zusammenhang mit sensitiven personenbezogenen Daten sogar völlig aus.