Worauf bei Cloud-Verträgen zu achten ist

Schweizer Unternehmen aller Grössenordnungen bevorzugen Cloud-Anbieter mit einer starken lokalen Präsenz und sicheren Infrastruktur-Lösungen. Dies zeigt der neue grosse jährlich durchgeführte Anbietervergleich «ISG Provider Lens Switzerland 2019 – Cloud Transformation /Operation Ser­vices & XaaS» der Marktforschungs- und Beratungsfirma ISG Information Services Group.

Swisscom ist demnach klarer Markt­führer, gefolgt von IBM, T-Systems und Atos. Der Markt wird von wenigen An­bietern beherrscht, die auch die höchsten Infrastrukturinvestitionen vornehmen. Über den IaaS-Markt hinaus be-
wertete ISG in der Studie insgesamt 71 An­bieter in  drei Teilmärkten. Die chinesische Firma Alibaba nimmt Europa und die europä­ischen Anbieter ins Visier. Bekanntlich  gehören die Chinesen zu den führenden Nationen, was Industriespionage und Überwachung angeht, also nimmt man von chinesischen Anbietern besser Abstand. 

Als weiteren Haupttrend verzeichnet die ISG-Studie einen Übergang zu Mul­ti-Cloud-Strategien, die auf mehrere Cloud-Provider gleichzeitig setzen. Gründe dafür sei­en die immer spezialisierteren Angebote. Dadurch können Unternehmen genau den Service auswählen, der zu einer bestimmten Applikation be­ziehungsweise einer Geschäftsanforderung passt. Seitens der Anbieter setzen vor allem mittelständische Cloud-Provider auf spezialisierte Angebote, während die grossen Service-Anbieter vor allem mit der Optimierung der IT-Infrastruk­turen und -Systeme punkten.

Verantwortung Kundendaten

Für Daten in der Cloud ist das Datenschutzgesetz zu beachten. Werden bei der Nutzung von Cloud Computing personenbezogene Daten bearbeitet, so liegt aus datenschutzrechtlicher Sicht norma­lerweise eine Datenbearbeitung durch Dritte im Sinne von DSG Artikel 10a vor. Der Auftraggeber muss sicherstellen, dass die betreffende Firma die Datensicherheit gemäss DSG Artikel 7 ge­­währleistet. Sämtliche Cloud-Service-Anbieter müs­sen vertraglich verpflichtet werden, sich an die in der Schweiz, allenfalls auch in der EU geltenden Datenschutzbestimmungen zu halten, und dafür sorgen, dass auch die Angestellten und die Subunternehmer diese befolgen. Am besten wählt man Cloud-Anbieter in solchen Ländern, die vergleichbare Datenschutzgesetze wie die Schweiz haben und die die Verpflichtung eingehen, Daten nicht an Subunternehmer weiter­zuleiten. Schliesslich ist der Cloud-Nutzer auch dafür verantwortlich, dass das Auskunftsrecht nach Artikel 8 DSG und das Recht auf Löschung und Be­richti­gung nach DSG Artikel 5 jederzeit gewährleistet sind. 

Wichtig: Ein Unternehmen, das datenschutzrechtlich und in der Geheimhaltung Verpflichtungen hat, wird durch die  Auslagerung von Daten und Prozessen nicht von der Eigenverantwortung freigesprochen, selbst wenn man den Cloud-Anbieter einer sorgfältigen Überprüfung unterzieht und solide vertrag­liche Vereinbarungen trifft. Die primäre Pflicht zur Einhaltung der Datenschutzregeln liegt bei den Cloud-Nutzern und nicht beim Anbieter. 

Im eigenen Unternehmen ist klar zu regeln, wer über welche Daten in der Cloud verfügen kann, und Protokolle über Veränderungen sind notwendig. Geheime Daten des eigenen Unternehmens, zum Beispiel über Produktentwicklungen, sowie sensible Daten über andere Personen oder Unternehmen gehören nicht in eine Cloud. Wichtig sind Vereinbarungen für die Auflösung des Cloud-Vertrages. Es muss möglich sein, die Daten in die Systeme des Unternehmens zurückzuführen und in der Cloud möglichst vollständig zu löschen. Dies ist aber in der Praxis nicht immer kontrollierbar.

Pflichten der Kunden

In AGB und Nutzungsbedingungen für Clouds sind oft auch Verpflichtungen für die Kunden festgehalten, zum Beispiel verlangt Swisscom, dass die Kunden ihren Wohnsitz in der Schweiz haben. Der Kunde ist für die rechts- und vertragskonforme Benutzung der Dienstleistung verantwortlich. Als rechts- und vertragswidrig gilt auch das Teilen von rechtswidrigen oder unsittlichen Inhalten jeglicher Artikel. Bei Swisscom können die Kunden natürlich auch Dienstleistungen im App Store, auf Google Play oder bei einem anderen Onlineanbieter als Ap­plikation beziehen. Damit bestä­tigen sie, dass sie zusätzlich sämtliche rechtlichen Bestimmungen des betreffenden Anbieters akzeptieren. 

Datenschutz-Grundverordnung

Auch in der Schweiz spielt die EU-Datenschutz-Grundverordnung DSGVO eine Rolle, wenn Daten von Personen betroffen sind, die sich in der EU befinden. Dabei zu beachten sind besonders die Vorschriften über Artikel 28 Absatz 3 DSGVO. Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften über den Datenschutz zu sorgen (DSGVO Artikel 28). Dazu muss man mit dem Dienstleister einen schriftlichen Vertrag abschliessen. Darin sind zu regeln: Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, die Ka­tegorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen. Wird das unterlassen, droht nach Artikel 83 Absatz 4 DSGVO eine Busse. Der Cloud-Anbieter darf die Daten nur nach den Weisungen des Kunden ver­arbeiten und muss natürlich auch die
Sicherheitsvorschriften (DSGVO Artikel 32) beachten. 

Agilität fördern

Glenfis-Gründer und Präsident der Eurocloud-Swiss Martin Andenmatten äus­serte sich in einem Interview zu Cloud Computing, dieses könne die Agilität im Unternehmen fördern. «Agilität bedeutet im Kern ein anderes Zusammen­arbeitsmodell mit der Delegation der Verantwortung ins Team. Diese Teams sollen so freier auf die Fragestellungen und Herausforderungen reagieren können. Zu so einem Modell muss sich das Unternehmen grundsätzlich durchringen wollen und dies seitens des Managements aktiv vorleben.» Voraussetzung sei, dass man genau verstehen muss, «wo die Hebeleffekte der neuen und kostengünstigeren Technologie die Business­agilität und schnellere Skalierbarkeit des Unternehmens unterstützen. Die Cloud-Strategie muss auf die Unternehmensstrategie ausgerichtet sein. Ohne dieses Alignment bringt die Cloud für sich nicht einmal finanzielle Vorteile für das Unternehmen.» Die notwendigen Fähigkeiten in den Bereichen Brokering, Integration und Orchestrierung müssen intern aufgebaut werden und lassen sich nicht beliebig einkaufen, meint Martin Andermatten. Um nicht die Kontrolle zu verlieren, müsse man selbst einen aktiven und steuernden Part bei der Planung, der Be­reitstellung und der Überwachung von Cloud-Ressourcen wahrnehmen.

Risiken der Clouds

• Viele Fachleute warnen vor den Risiken der Clouds, die beim Vertragsabschluss zu berücksichtigen sind. Auch auf der Webseite des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) wird darauf hingewiesen. Dazu gehören:
• Kontrollverlust über die Daten: Wegen der weltweiten Vernetzung und der Virtualität kommt das oft vor, besonders bei billigen oder kostenlosen Public Clouds. Diese sollte man als Unternehmer überhaupt nicht benützen. Der Cloud-Nutzer weiss nicht, wo genau seine Daten in der Cloud gespeichert und verarbeitet werden, und kann auch nicht kontrollieren, ob Subunternehmer involviert sind und ob diese für einen angemessenen Datenschutz sorgen.
• Fehlende oder mangelnde Abgrenzung/Isolierung der verschiedenen Cloud-Nutzer: Es ist möglich, dass Cloud-Nutzer durch Hacker-Attacken auf einen anderen Kunden des Anbieters betroffen werden. Es ist deshalb wichtig, dass die Datenbearbeitungen der verschiedenen Cloud-Nutzer strikt voneinander getrennt werden und es nicht zu einer Vermischung der Daten kommt.
• Compliance-Risiken: In der Cloud kann es vorkommen, dass Teile eines Datensatzes in verschiedenen weltweit verstreuten Rechenzentren liegen, was die Datensicherheit gefährden kann.
• Zugriff von ausländischen Behörden auf die Daten: Cloud-Service-Anbieter müssen allenfalls gegenüber ausländischen Behörden und Gerichten Zugriff auf Daten in der Cloud gewähren. Diese Behörden verfügen nicht immer über Datenschutz oder Datensicherungen, die dem Schweizer Standard und dem EU-Recht entsprechen.
• Datenverlust: Daten können durch Diebstahl, Löschung, fehlerhafte Überschreibung oder sonstige Veränderung verloren gehen. Das stellt ein enormes rechtliches Risiko dar und kann für ein Unternehmen möglicherweise existenzbedrohlich werden. Dies zum Beispiel, wenn technisches Know-how, Kundendaten oder die Finanzbuchhaltung betroffen sind. 
• Gefährdete Rückführung der Daten ins eigene System: Das kann passieren, wenn in der Cloud keine standardisierten Technologien und Schnittstellen vorhanden sind oder diese nicht fun­k­tionieren. Dann können die Nutzer ihre Daten nicht oder nur mit gros­sem  fi­nanziellem und/oder technischem Aufwand ins eigene IT-System zurück­führen oder zu einem anderen Cloud-­Anbieter migrieren. Deswegen ist zu empfehlen, von wichtigen Daten immer eine Kopie zu speichern.
• System- und Netzwerkausfälle sowie Nichtverfügbarkeit angemieteter Ressourcen und Services können dazu führen, dass Daten verloren gehen oder unberechtigten Personen der Zugang ermöglicht wird.
• Missbrauch der Daten durch böswillig agierende Insider oder Mitarbeitende: Der Service-Anbieter sollte offenlegen, wie die Zugriffsberechtigungen seiner Mitarbeitenden geregelt sind und wie sie überwacht werden. Allenfalls sollte er den Cloud-Nutzern die Vertraulichkeitserklärungen zugänglich machen. Diese Forderung durchzusetzen, ist aber in der Praxis kaum möglich.