Cloud kann der internen IT die Komplexität nehmen
Die interne IT hat durch SaaS die Chance, die technische Komplexität und die daraus resultierenden hohen Betriebskosten an den Verursacher, also an die IT-Industrie zurück zu geben. Die verbleibende interne IT-Organisation konzentriert sich in diesem Umfeld auf ihr Alleinstellungsmerkmal in der Service-Supply-Chain. Sie sollte die Nähe zum Geschäft des eigenen Unternehmens suchen. Die Aufgabe des CIO kann daher im eigenen Interesse nur lauten, den Einsatz von SaaS zu ermöglichen. Dafür gilt es frühzeitig organisatorische und personelle Veränderungen einzuleiten und die Zuarbeit durch die IT-Anbieter konsequent einzufordern.
Wesentliche Stolpersteine für den breiteren SaaS Einsatz sind allerdings auch die derzeit noch offenen Fragen zu Compliance, Security und Datenschutz. Realistisch betrachtet sind flexible Datennutzung und dynamische Services trotz rechtlicher Grauzonen allerdings keine wirkliche Neuerungen in der IT. Im Kern handelt es sich - zumindest aus rein rechtlicher Sicht - auch beim Cloud Computing nur um eine innovative Weiterentwicklung des Outsourcings. Denn wie beim herkömmlichen Fremdbetrieb stellt sich auch in der neuen Form des IT-Bezugs die Herausforderung, sowohl die Integrität und Vertraulichkeit als auch die IT-Sicherheit des Cloud-Nutzers in technischer und rechtlicher Hinsicht zu gewährleisten (siehe Textkasten "Ausweg Auftragsdatenverarbeitung?")
So kommen auch im Outsourcing bereits heute Virtualisierungstechniken zum Einsatz, so dass Anwender den physikalischen Ort, an dem ihre Daten verarbeitet oder gespeichert werden, schon heute nicht zweifelsfrei bestimmen können. Dass die Wolke hier nicht wirklich anders ist, wird in den Diskussionen um die Risiken des Cloud Computing häufig vernachlässigt. Die Herausforderungen für Unternehmen besteht demnach darin, das bei einer Cloud überaus komplexe Datenhaltungskonzept hinsichtlich Datenschutz, Verlässlichkeit und IT-Security-Strategie für die eigene Situation zu bewerten.
Ausweg Auftragsdatenverarbeitung?
Sobald personenbezogene Daten in die Cloud verlagert werden, greift das Datenschutzrecht. Die externe Datenverarbeitung ist nur dann legitim, wenn alle Betroffenen eingewilligt haben, oder wenn angesichts der Kosteneinsparungen ein erhebliches Interesse des Unternehmens, das die Cloud nutzen möchte, nachgewiesen werden kann. Alternativ dazu bleibt möglicherweise der Rückgriff auf die Konstruktion der Auftragsdatenverarbeitung.
In Deutschland gelten für Auftragsdatenverarbeitung seit September 2009 explizit gesetzlich vorgeschriebene Mindestinhalte wie etwa die sorgfältige Auswahl des Auftragnehmers, schriftliche Auftragserteilung, Kontrollen durch Auftragnehmer sowie Kontrollrechte und Weisungsbefugnis des Auftraggebers. Arbeitet der Cloud-Service-Provider gemäß dieser Vorgaben im Auftrag des auslagernden Kunden, gilt er aus rechtlicher Sicht nicht als Dritter. In dieser Form der privilegierten Datenverarbeitung bedarf es keiner Zustimmung der von der Datenverarbeitung Betroffenen.
Allerdings sollten Unternehmen im Einzelfall klären, ob der SaaS-Service wirklich vollständig als Auftragsdatenverarbeitung ausgestaltet werden kann. Besonders heikel ist die Frage nach der Verantwortung und der Kontrolle. Das Anwenderunternehmen muss vor Abschluss des Vertrags und während der Zusammenarbeit dafür Sorge tragen, dass Vertraulichkeit und Integrität der Daten gewährleistet sind. Dieser datenschutzrechtlichen Verantwortung samt der damit verbundenen Aufsichts- und Kontrollpflichten kann das auslagernde Unternehmen bei den heute üblichen Cloud-Strukturen kaum gerecht werden. Die Grenzen der Auftragsdatenverarbeitung sind ohnehin erreicht, wenn die Daten das Gebiet der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR) verlassen, denn es gibt keine datenschutzrechtliche Grundlage für eine Verlagerung in unsichere Drittländer.