Schweizer Unternehmen aller Grössenordnungen bevorzugen Cloud-Anbieter mit einer starken lokalen Präsenz und sicheren Infrastruktur-Lösungen. Dies zeigt der neue grosse jährlich durchgeführte Anbietervergleich «ISG Provider Lens Switzerland 2019 – Cloud Transformation /Operation Services & XaaS» der Marktforschungs- und Beratungsfirma ISG Information Services Group.
Swisscom ist demnach klarer Marktführer, gefolgt von IBM, T-Systems und Atos. Der Markt wird von wenigen Anbietern beherrscht, die auch die höchsten Infrastrukturinvestitionen vornehmen. Über den IaaS-Markt hinaus be-
wertete ISG in der Studie insgesamt 71 Anbieter in drei Teilmärkten. Die chinesische Firma Alibaba nimmt Europa und die europäischen Anbieter ins Visier. Bekanntlich gehören die Chinesen zu den führenden Nationen, was Industriespionage und Überwachung angeht, also nimmt man von chinesischen Anbietern besser Abstand.
Als weiteren Haupttrend verzeichnet die ISG-Studie einen Übergang zu Multi-Cloud-Strategien, die auf mehrere Cloud-Provider gleichzeitig setzen. Gründe dafür seien die immer spezialisierteren Angebote. Dadurch können Unternehmen genau den Service auswählen, der zu einer bestimmten Applikation beziehungsweise einer Geschäftsanforderung passt. Seitens der Anbieter setzen vor allem mittelständische Cloud-Provider auf spezialisierte Angebote, während die grossen Service-Anbieter vor allem mit der Optimierung der IT-Infrastrukturen und -Systeme punkten.
Verantwortung Kundendaten
Für Daten in der Cloud ist das Datenschutzgesetz zu beachten. Werden bei der Nutzung von Cloud Computing personenbezogene Daten bearbeitet, so liegt aus datenschutzrechtlicher Sicht normalerweise eine Datenbearbeitung durch Dritte im Sinne von DSG Artikel 10a vor. Der Auftraggeber muss sicherstellen, dass die betreffende Firma die Datensicherheit gemäss DSG Artikel 7 gewährleistet. Sämtliche Cloud-Service-Anbieter müssen vertraglich verpflichtet werden, sich an die in der Schweiz, allenfalls auch in der EU geltenden Datenschutzbestimmungen zu halten, und dafür sorgen, dass auch die Angestellten und die Subunternehmer diese befolgen. Am besten wählt man Cloud-Anbieter in solchen Ländern, die vergleichbare Datenschutzgesetze wie die Schweiz haben und die die Verpflichtung eingehen, Daten nicht an Subunternehmer weiterzuleiten. Schliesslich ist der Cloud-Nutzer auch dafür verantwortlich, dass das Auskunftsrecht nach Artikel 8 DSG und das Recht auf Löschung und Berichtigung nach DSG Artikel 5 jederzeit gewährleistet sind.
Wichtig: Ein Unternehmen, das datenschutzrechtlich und in der Geheimhaltung Verpflichtungen hat, wird durch die Auslagerung von Daten und Prozessen nicht von der Eigenverantwortung freigesprochen, selbst wenn man den Cloud-Anbieter einer sorgfältigen Überprüfung unterzieht und solide vertragliche Vereinbarungen trifft. Die primäre Pflicht zur Einhaltung der Datenschutzregeln liegt bei den Cloud-Nutzern und nicht beim Anbieter.
Im eigenen Unternehmen ist klar zu regeln, wer über welche Daten in der Cloud verfügen kann, und Protokolle über Veränderungen sind notwendig. Geheime Daten des eigenen Unternehmens, zum Beispiel über Produktentwicklungen, sowie sensible Daten über andere Personen oder Unternehmen gehören nicht in eine Cloud. Wichtig sind Vereinbarungen für die Auflösung des Cloud-Vertrages. Es muss möglich sein, die Daten in die Systeme des Unternehmens zurückzuführen und in der Cloud möglichst vollständig zu löschen. Dies ist aber in der Praxis nicht immer kontrollierbar.
Pflichten der Kunden
In AGB und Nutzungsbedingungen für Clouds sind oft auch Verpflichtungen für die Kunden festgehalten, zum Beispiel verlangt Swisscom, dass die Kunden ihren Wohnsitz in der Schweiz haben. Der Kunde ist für die rechts- und vertragskonforme Benutzung der Dienstleistung verantwortlich. Als rechts- und vertragswidrig gilt auch das Teilen von rechtswidrigen oder unsittlichen Inhalten jeglicher Artikel. Bei Swisscom können die Kunden natürlich auch Dienstleistungen im App Store, auf Google Play oder bei einem anderen Onlineanbieter als Applikation beziehen. Damit bestätigen sie, dass sie zusätzlich sämtliche rechtlichen Bestimmungen des betreffenden Anbieters akzeptieren.