Cloud Computing für KMUs Chancen und Risiken

Transkript

1 Cloud Computing für KMUs Chancen und Risiken Rechtsfragen und Lösung Dr. Hajo Rauschhofer Rechtsanwalt und Fachanwalt für Informationstechnologierecht Opel Forum

2

3 Vorbemerkung 1. Wer hat seine IT-Infrastruktur Inhouse? 2. Wer nutzt IT-Outsourcing? 3. Wer ist schon in der Cloud oder hat dies vor? 4. Wer sieht Risiken im Cloud Computing? 5. Wer glaubt, dass Risiken durch Verträge beherrschbar sind?

4 Rechtsfragen zum Cloud Computing und deren Lösungen I. Ausgangslage und Anforderungen des Marktes II. Rechtliche Anforderungen und Lösungen III. Vertragliche Tipps zum Cloud Computing IV. Zusammenfassung und Ausblick

5 I. Ausgangslage und Anforderungen des Marktes 1. Begriffsdefinitionen keine neuen Technologien Kombination bekannter Services zu einer Leistung Infrastruktur/IT-Ressourcen: Rechenleistung, Datenspeicher, Netze Plattformen / Datenbanken Software: SaaS / ASP Definition der US-amerikanischen Standardisierungsstelle NIST (National Institute of Standards and Technology)

6 I. Ausgangslage und Anforderungen des Marktes 2. Private und Public Cloud Modelle / Abgrenzung Private Cloud Public Cloud eigene Infrastruktur für nur eine Institution (und deren Geschäftspartner bzw. Konzernunternehmen [IT- Tochter]) selbst oder von einem Dritten Infrastruktur, Rechenkapazität, IT-Betriebsumgebung unter Speicher, Archiv, Kontrolle des Kunden Applikationen/ im Prinzip Virtualisierung Software / klassisches IT-Outsourcing Services für Allgemeinheit bzw. mehrere Nutzer / Institutionen Mehrmandantenfähigkeit Skalierbarkeit keine physische Abgrenzung bis hin zum Verkauf Infrastruktur, von Rechenzeiten (follow-the-moon) Rechenkapazität, Hybrid-Cloud Speicher, Archiv, Applikationen/ Software

7 I. Ausgangslage und Anforderungen des Marktes 3. Leistungsmodelle - IT-Outsourcing Anforderungen Pricing: Einsparung Cloud vs. TCO inhouse Compliance Sicherheit (auch als Teil der Compliance) PSN, Facebook, u.v.a. mehr IT-Security muss aber auch Inhouse gemanaged werden ( gefühlter Kontrollverlust) Umsetzung im Projekt Anlass meist Hard- und/oder Software-Update/Refresh

8 I. Ausgangslage und Anforderungen des Marktes 3. Leistungsmodelle - IT-Outsourcing 2.0 -vertragliche Abgrenzung klassisches IT-Outsourcing Outsourcing Häufig Infrastruktur nur für einen Kunden / Konzern Längere Laufzeiten (Amortisation der Transition) Starker Zuschnitt auf Kundenanforderungen Cloud Computing Services für Allgemeinheit bzw. mehrere Nutzer / Institutionen keine physische Abgrenzung bis hin zum Verkauf von Rechenzeiten (follow-the-moon) gemeinsame Infrastruktur leichtere Skalierbarkeit meist Webschnittstelle Infrastrukturverteilung über mehrere Standorte (EU/Int.)

9 II. Rechtliche Anforderungen und Lösungen 1. Sicherheit und Risikomanagement 2. Datenschutz - Auftrags-DV, etc. 3. Lizenz-/Asset-Management - ASP vs. SOE 4. Praktische Umsetzung - Compliance beim Kunden a) Kontrolle und Beherrschung 11 BDSG b) Cloud Computing als GU-Modell d) Multivendor vs. GU e) Schlussfolgerungen und rechtliche Lösungen f) Anforderungen an Anbieter ( Hausaufgaben )

10 II. Rechtliche Anforderungen und Lösungen 1. Sicherheit und Risikomanagement a) klassische Risiken Inhouse / Cloud (temporärer) Ausfall Geschäftsbetrieb steht (FK1) gravierende Fehler und/oder Performanceverluste Geschäftsbetrieb läuft langsam (FK2) (dauerhafter) Datenverlust Datendiebstahl unauthorisierte Datenveränderung/-löschung

11 IT-Security - Einführung generell Begriff der IT-Security Minimierung der Verwundbarkeit von Werten und Ressourcen ISO Norm 17799: Die Implementierung zu begründender Schutzmaßnahmen zwecks Sicherstellung fortgesetzter IT-Services innerhalb sicherer Parameter, als da sind: Vertraulichkeit, Integrität und Verfügbarkeit. z.b. auch ISO sowie 27000ff.

12 IT-Security - Einführung generell IT-Grundschutz-Kataloge 1 Übergreifende Aspekte B 1.0 B IT-Sicherheitsmanagement 1.1 Organisation B 1.2 Personal Notfallvorsorge-Konzept B 1.3 Notfallvorsorge-Konzept B 1.4 Datensicherungskonzept, (OLG Hamm 13 U 133/03) B 1.5 Datenschutz B Computer-Viren-Schutzkonzept 1.6 B 1.7 B Kryptokonzept 1.8 Behandlung von Sicherheitsvorfällen B 1.9 Hard- und Software-Management B 1.10 Standardsoftware B 1.11 Outsourcing Archivierungskonzept B 1.12 Archivierung B 1.13 IT-Sicherheitssensibilisierung und -schulung

13 II. Rechtliche Anforderungen und Lösungen KonTraG kein eigenständiges Gesetz, sondern Ergänzung (HGB, AktG) 91 Abs. 2 AktG Der Vorstand einer Aktiengesellschaft hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit für den Fortbestand der Gesellschaft gefährliche Entwicklungen früh erkannt werden.

14 Rechtliche Anforderungen Überwachung Verstöße gegen 91 Abs. 2 AktG Grundsätze gelten nach h. M. analog auch für größere GmbHs (amtl. Begründung KonTraG) entsprechende Pflichten werden aus 43 Abs. 1 GmbHG hergeleitet (Haftung gem. 43 Abs. 2) Sicherstellung der IT-Security & Wahrung der gesetzlichen Anforderungen

15 II. Rechtliche Anforderungen und Lösungen 2. Datenschutz - Auftrags-DV, etc. 11 BDSG Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag Auftraggeber für die Einhaltung ( ) Datenschutz verantwortlich Vereinbarung mit Auftragsdatenverarbeiter/Cloud Provider schriftlich Anforderungen 11 Abs. 2 BDSG ( 10 Gebote )

16 II. Rechtliche Anforderungen und Lösungen 2. Datenschutz - Auftrags-DV, etc. Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: ( ) 3.. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, ( ) 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungsund Mitwirkungspflichten des Auftragnehmers, ( ) 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, ( )

17 II. Rechtliche Anforderungen und Lösungen 2. Datenschutz - Auftrags-DV, etc.

18 II. Rechtliche Anforderungen und Lösungen 2. Datenschutz - Auftrags-DV, etc. Anlage (zu 9 Satz 1) Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Getrennte Verarbeitung bei unterschiedlichen Zwecken

19 II. Rechtliche Anforderungen und Lösungen 3. Lizenz-/Asset-Management - ASP vs. SOE Klassische Lizenzmodelle named user, concurrent user, CPUs Problem: Über-/Unterlizenzierung oder Projektspitzen Cloud Variabel und Skalierbar, verbrauchsabhängige Messung Nutzer / Monat Rechenzeit Transaktions-/ Verarbeitungsprozessen

20 II. Rechtliche Anforderungen und Lösungen 4. Praktische Umsetzung - Compliance beim Kunden a) Kontrolle und Beherrschung 11 BDSG Kontrolle vorab und dann regelmäßig ( 11 Abs. 2 S.4 BDSG) Beherrschbarkeit in der Public Cloud? theoretisch weltweit, ggf. über mehrere Länder verteilt (Praktikabilität) b) Reporting- und Monitoring mit Online-Zugriff Berichts- und Dokumentationspflichten (Reports und Reportzyklen) Kontrollrechte (Online-Zugriff) Transparenz, Zertifikate

21 II. Rechtliche Anforderungen und Lösungen 4. Praktische Umsetzung - Compliance beim Kunden c) Public-Cloud als GU-Modell GU-Modell: Kunde hat einen Vertragspartner, der verschiedene Services anbietet (ggf. mittels Subunternehmern) d) Multivendor vs. GU Multivendor-Modell: Kunde hat mehrere Vertragspartner, wählt und kombiniert verschiedene Services individuell Zu bedenken/problemfelder: GU: - Auswahl Subunternehmer (!) Multivendor: - Kombination der Services - Abhängigkeit von Anbieter - Vertragsaufwand, verschie- - E2E-SLA / SPOC dene Service-Level - Fingerpointing

22 II. Rechtliche Anforderungen und Lösungen 4. Praktische Umsetzung - Compliance beim Kunden e) Schlussfolgerungen und rechtliche Lösungen Anforderungen, Unternehmenskritikalität und Praktikabilität prüfen Private Cloud vs. Public Cloud? GU vs. Multivendor? Standardisierung erfordert ggf. Anpassung der Geschäftsprozesse oder vertragl. Regelung der Sonderwünsche Wichtig: in vertraglichen Vereinbarungen, geschuldete Leistungen so genau wie möglich beschreiben

23 II. Rechtliche Anforderungen und Lösungen 4. Praktische Umsetzung - Compliance beim Kunden f) Anforderungen an Anbieter ( Hausaufgaben ) klassische Outsourcing-Themen Skalierbarkeit (Auslastungsspitzen) ggf. verschiedene Kundenanforderungen Fehlerbeseitigung Support/Hotline Datensicherheit und Datenschutz Auswahl der Subunternehmer

24 III. Vertragliche Tipps zum Cloud Computing 1. Systematik: Rahmenvertrag, SoW, SLA Rahmenvertrag A. Allgemeine Regelungen B. Hardware C. Software D.Maintenance E. Services SoW SoW SoW SoW SLA SLA SLA

25 III. Vertragliche Tipps zum Cloud Computing 2. Die wichtigsten Regelungen Leistungsbeschreibung, FS/NFR (!) Service Level, Verfügbarkeit, Kapazitätszusagen Anreize für Servicequalität (Penalty/Earn-Back) Nutzungsrechte, Laufzeit Beendigung und Beendigungsunterstützung Vergütung Verantwortlichkeit, Haftung und Versicherung Regelung zu Subunternehmern Datenschutzniveau und Datensicherheit Reporting und Monitoring geltendes Recht und Gerichtsstand

26 III. Vertragliche Tipps zum Cloud Computing 3. Storage, Archivierung, Back-up Wo sind meine Daten überhaupt? Absicherung Datenverlust CoB-Konzept Haftungsbeschränkung auch Auftraggeber GOBS/GDPdU konforme Speicherung und Zugriff sichere Verschlüsselung (E2E) für geheime und personenbezogen Daten

27 IV. Zusammenfassung und Ausblick SaaS und Standardisierung Lizenzen aus der Steckdose Cloud Broker, etc.

28 Compliance vor Web 2.0

29 Compliance im Web 2.0 Sorry, I m in the Cloud!

30 Diskussion Vielen Dank für Ihre Aufmerksamkeit! weitere Informationen unter

31 Rechtliche Hinweise Diese Präsentation und Teile daraus sind urheberrechtlich geschützt. Jegliche Nutzung, insbesondere Vervielfältigung, öffentliche Zugänglichmachung, Weitergabe, Bearbeitung, etc., bedürfen unabhängig vom Medium der ausdrücklichen Einwilligung von Dr. Hajo Rauschhofer. Die Inhalte dienen ausschließlich der generellen Information. Konkrete Rechtsfragen bedürfen stets der individuellen Prüfung, so dass weder durch Vortrag noch durch Lesen oder sonstige Nutzungsweisen ein Mandatsverhältnis zustande kommt, infolgedessen hierfür eine Haftung, soweit es sich nicht um vorsätzlich oder grob fahrlässige Falschinformationen handelt, aus Rat oder Auskunft ausgeschlossen ist.