Cloud - Trusted or Not
AGENDA CLOUD was ist das und was ist das nicht Cloud-Arten im Überblick Cloud Service Models Die 10 Irrtümer des Cloud Computing Mitarbeiter geben eigenständig Millionenbeträge für Cloud-Services aus Daten in die Cloud aber mit Bedacht Cloud begünstigt Schatten-IT in Unternehmen Ist PRISM das Ende für die Cloud Cloud Computing als essentieller Bestandteil der Unternehmensstrategie 2
CLOUD was ist das und was ist das nicht Cloud Computing verändert unser Verständnis von Technologie. Cloud Computing ist ein IT-Modell, bei dem Software, Middleware und IT-Ressourcen bedarfsgerecht bereitgestellt werden. Durch die Bereitstellung von Technologie als Service erhalten die Benutzer Zugang zu den Ressourcen, die sie tatsächlich für eine bestimmte Aufgabe benötigen. Damit wird verhindert, dass für ungenutzte IT-Ressourcen bezahlt wird. Cloud Computing bringt Ihnen jedoch neben Kosteneinsparungen weitere Vorteile. So stehen Cloud-Nutzern jeweils ohne zusätzliche Aufwände, für sonst erforderliche Updates, die neuesten Software- und Infrastrukturlösungen zur Verfügung. 3
Cloud-Arten im Überblick 4
Public Cloud Public Clouds werden von Providern betrieben und dienen dazu, Unternehmen oder Einzelpersonen schnellen und kostengünstigen Zugang zu IT-Ressourcen zu ermöglichen. Bei der Nutzung von Public-Cloud-Services müssen die Benutzer die erforderliche Hardware, Software und Infrastruktur nicht erwerben, da diese vom jeweiligen Provider vorgehalten und betrieben werden. Viele Unternehmen nutzen Software as a Service (SaaS) über die Public Cloud für Anwendungen, die von Customer-Resource-Management (CRM) wie Salesforce.com bis zu Transaktionsmanagement und Datenanalyse reichen. Neben SaaS-Anwendungen nutzen die Unternehmen weitere Public-Cloud-Services, wie z. B. Infrastructure as a Service (IaaS), um kurzfristig zusätzliche Speicherkapazität oder Rechenleistung zur Verfügung zu haben, und Platform as a Service (PaaS) als Umgebung für die Cloud-basierte Entwicklung und Implementierung von Anwendungen. 5
Private Cloud Eine Private Cloud wird von einem einzelnen Unternehmen betrieben, das selbst die Anpassung der virtuellen Ressourcen und automatisierten Prozesse steuert, die von den verschiedenen Geschäftsbereichen und Benutzergruppen verwendet werden. Mit einer Private Cloud können viele der Vorteile des Cloud Computing genutzt werden, während die Kontrolle über die Ressourcen voll und ganz im eigenen Unternehmen verbleibt. Eine gemeinsame Nutzung der Ressourcen mit anderen Unternehmen findet nicht statt. Zu den wichtigsten Merkmalen der Private Cloud gehören folgende: Eine Self-Service-Schnittstelle, über die Services gesteuert werden, sodass die IT-Abteilung schnell und bedarfsgerecht IT-Ressourcen bereitstellen und zuordnen kann. Hochautomatisiertes Management von Ressourcenpools für Rechenleistung, Speicher, Analysefunktionen, Middleware und weitere Ressourcen. Ausgereifte Mechanismen für Sicherheit und Governance, die auf die Anforderungen des jeweiligen Unternehmens abgestimmt sind. 6
Hybrid Cloud Eine Hybrid Cloud ist eine Kombination aus einer Private Cloud und der strategischen Nutzung von Services, die über eine Public Cloud verfügbar sind. Die Realität sieht so aus, dass eine Private Cloud nicht isoliert von den übrigen IT-Ressourcen eines Unternehmen und der Public Cloud existieren kann. Die meisten Unternehmen mit Private Clouds verteilen mit der Zeit Ihre Workloads auf Rechenzentren, Private Clouds und Public Clouds. Auf diese Weise entsteht eine Hybrid Cloud. Das Konzept der Hybrid Cloud ermöglicht es Unternehmen, kritische Geschäftsbereichsanwendungen und sensible Daten in einem traditionellen Rechenzentrum oder einer Private Cloud vorzuhalten und gleichzeitig Ressourcen der Public Cloud zu nutzen. Damit stehen ihnen z. B. mit SaaS die neuesten Anwendungen und mit IaaS kostengünstige virtuelle Ressourcen in beliebigem Umfang zur Verfügung. Der wichtigste Faktor für den Erfolg der Hybrid Cloud Die Möglichkeit, eine effiziente und sichere IT-Umgebung zu nutzen, in der Services aus der Public Cloud und der Private Cloud kombiniert werden, ist ein wesentlicher Vorteil des Cloud Computing. 7
Cloud-Arten im Überblick 8
Cloud Service Models 9
Infrastructure as a Service (IaaS) Das Modell Infrastructure as a Service stellt Unternehmen IT-Ressourcen, wie z. B. Server, Netzwerkkomponenten, Speicher und Rechenzentrumsinfrastruktur zur Verfügung, die auf Basis der tatsächlichen Nutzung abgerechnet werden. Indem Sie diese virtuellen IT-Ressourcen mieten, statt selbst vorzuhalten und zu betreiben, profitieren sie u. a. von folgenden Vorteilen: Bedarfsgerechte und flexible Nutzung von Services schnelles Hinzufügen oder Entfernen von Services. Self-Service-Funktionen, automatisiertes Provisioning und De-Provisioning. Reduzierte Kosten durch Größenvorteile und die Nutzung von Ressourcenpools. Nutzungsabhängige Abrechnung auf Basis der gemessenen Servicenutzung. Diese überzeugenden Vorteile zählen zu den Faktoren die Cloud Computing zu einer revolutionären Technologie machen. Unternehmen können die IT-Investitionsausgaben senken und gleichzeitig größtmögliche Flexibilität erreichen. Sie können neue Funktionalität schnell einführen und die IT optimal zur Unterstützung geschäftlicher Innovation nutzen. 10
Platform as a Service (PaaS) Platform as a Service ist ein Modell, bei dem eine vollständige Cloud-basierte Umgebung für den gesamten Prozess der Erstellung und Bereitstellung von webbasierten Anwendungen in der Cloud zur Verfügung gestellt wird. Für Unternehmen, die dieses Modell nutzen, entfallen die Kosten und der Aufwand für den Erwerb und das Management der erforderlichen Hardware und Software sowie für deren Betrieb und Bereitstellung. Mit PaaS können Sie: Anwendungen schneller entwickeln und einführen, neue Webanwendungen in der Cloud in wenigen Minuten implementieren, mithilfe von Middleware as a Service die Komplexität verringern. 11
Software as a Service (SaaS) Cloud-basierte Anwendungen laufen als Software as a Service (SaaS) auf der Infrastuktur eines externen Providers in der Cloud. Der Zugriff durch die Benutzer erfolgt über das Internet, meist über einen Web-Browser. gmail von Google ist beispielsweise eine Cloud-basierte SaaS-Anwendung und unterscheidet sich damit von traditionellen E-Mail-Programmen, die auf dem Computer des Benutzers ausgeführt werden, wie z. B. Outlook oder Eudora. Welche Vorteile bieten SaaS-Cloud-Anwendungen? Der Hauptvorteil liegt darin, dass der Benutzer keine Software erwerben, installieren, aktualisieren und pflegen muss, da dies durch den jeweiligen Service-Provider erfolgt. Sie melden sich einfach an und können innerhalb von Minuten Cloud-Anwendungen nutzen. Der Zugriff auf Anwendungen und Daten ist über jeden Computer mit Internetzugang möglich. Es gehen keine Daten verloren, wenn Ihr Computer defekt ist, denn die Daten befinden sich in der Cloud. 12
Die 10 Irrtümer des Cloud Computing - 1 Cloud Computing macht Probleme beim Datenschutz! Datenschutz ist niemals ein Selbstläufer das gilt auch für Cloud Computing. Beispielsweise kommt es darauf an, in welcher Form die Cloud genutzt wird: Das Modell macht den Unterschied. Bei Private Clouds gelten die gleichen Sicherheitsstandards wie bisher, wenn IT-Infrastruktur selbst betrieben oder von einem Service-Provider gemanagt wird. Anders bei der Public Cloud: Die extremen Kostenvorteile von Cloud resultieren aus der gemeinsamen Nutzung von Infrastruktur durch viele Teilnehmer. Die großen Anbieter betreiben riesige Infrastrukturen, oft über mehrere Standorte verteilt. Hier muss genau hingesehen werden, ob der Provider den individuellen Datenschutzanforderungen gerecht wird. 13 von 13
Die 10 Irrtümer des Cloud Computing - 2 Cloud Computing bedeutet weniger Datensicherheit! Jedes Unternehmen braucht seine eigene Cloud-Sicherheitsstrategie. Die muss berücksichtigen, welche Nutzlasten in die Cloud gehen, wie diese zusammenarbeiten und welche Zugriffsmodelle dafür sinnvoll und notwendig sind. Zudem muss gewährleistet sein, dass Sicherheitslücken geschlossen und die eigenen Systeme auf dem jeweils aktuellen Patchlevel sind. Eine Public Cloud eines großen Anbieters kann beispielsweise besser geschützt sein gegen Angreifer, Datendiebstahl, Viren oder fehlerhafte Anwendungen als eine private IT-Infrastruktur oder eine selbst betriebene Private Cloud in einem Unternehmen, dessen Kernkompetenz nicht die IT ist. Es empfiehlt sich, hier auf die Expertise von Unternehmen zu setzen, die langjährige Erfahrung im Aufbau und Betrieb hochsicherer Systeme haben. 14
Die 10 Irrtümer des Cloud Computing - 3 Cloud Computing erschwert die Einhaltung von Compliance-Vorgaben Zu Compliance-Anforderungen in Unternehmen gehört die fortlaufende Anpassung der IT- Ressourcen und -Prozesse an die Compliance-Vorgaben sowie die Bewertung der entsprechenden Risiko- oder Gefahrenpotenziale. Im Hinblick auf Cloud gibt es keine eigenen Regeln, sondern es gelten die allgemeinen und spezifischen Compliance- Anforderungen. Bei der Einführung einer Cloud-Infrastruktur, basierend auf einer Businessund IT-Architektur und den dazugehörigen Maßnahmen des umzusetzenden Prozesswesens, sind diese Richtlinien zu berücksichtigen. Dabei gilt: Je höher die Ebene der Cloud-Dienste des Anbieters (IaaS, PaaS, SaaS), desto komplexer können die Anforderungen an diese werden und umso sorgfältiger muss auf die Umsetzung, Einhaltung und Kommunikation der Compliance-Vorgaben geachtet werden. Große Anbieter kennen die Anforderungen und richten sich danach. 15
Die 10 Irrtümer des Cloud Computing - 4 Verfügbarkeit und Performance sind nur eine Frage der SLA's Informationstechnologie ist in einer automatisierten Cloud-Umgebung meist schneller verfügbar als in traditionellen Umgebungen. Dabei wird die Verfügbarkeit im Sinne der Performance von Cloud Services häufig analog zur Herangehensweise bei traditionellen IT- Umgebungen auf die Kennzahl Service Level Agreement (SLA) reduziert. Fakt ist jedoch: Es gibt keinen Industriestandard SLA beim Thema Cloud. SLAs beziehen sich meist auf die Infrastruktur, manchmal auf Zonen oder die Erreichbarkeit von Portalen. In diesem Kontext werden sie von Anbietern unterschiedlich definiert, ein individueller Gestaltungsrahmen für den Kunden existiert in der Regel nicht. Dennoch können Nutzer von Cloud-Diensten (Hoch-)Verfügbarkeit erreichen: Entweder durch Inanspruchnahme von zusätzlichen Dienstleistungen eines Anbieters oder Vorkehrungen zur Redundanz in höheren Schichten, z. B. durch geeignete Softwaremechanismen. 16
Die 10 Irrtümer des Cloud Computing - 5 Kostensenkung ist das alleinige Hauptmotiv für Cloud Computing Kosteneinsparungen sind nur ein Grund für die Inanspruchnahme von Leistungen aus der Cloud. Sie werden vor allem dann realisiert, wenn es bei schwankenden Lastspitzen um die automatische, standardisierte Bereitstellung von IT für einzelne Fachbereiche geht. Ein guter Anbieter sorgt dabei für Transparenz und effizientes Management der Kosten. Keinen Vorteil bedeutet die Nutzung der Cloud hingegen bei statischen Nutzlasten mit gleichbleibend hoher Auslastung. Die Kosten sind zudem abhängig von den gewählten Instanzen, Speichereinheiten oder Managementfunktionen. Deshalb ist es wichtig, die Preise im Vorfeld kalkulieren zu können und dadurch die notwendige Transparenz zu schaffen. Ein weiteres gewichtiges Argument für die Cloud stellt darüber hinaus die Möglichkeit zur Entwicklung neuer Nutzungsmodelle dar, die Unternehmen und Geschäftsprozesse nicht nur flexibler und beweglicher machen, sondern auch mehr Raum für Innovationen und die Entwicklung zusätzlicher Geschäftsfelder bieten Erfolg und steigender Unternehmenswert inklusive. 17
Die 10 Irrtümer des Cloud Computing - 6 Cloud Computing ist nichts für den Mittelstand Mittelständischen Unternehmen fehlt häufig das Vertrauen in die Cloud. Sie befürchten Sicherheits-, Compliance- und Verfügbarkeitsprobleme, haben Bedenken, sich von einem Cloud-Dienstleister abhängig zu machen oder mit einer Cloud-Lösung nicht mehr Herr ihrer Daten zu sein. Die Vorbehalte sind im Einzelfall und vor allem für das Modell der Public Cloud nicht unberechtigt, doch in den meisten Fällen unbegründet. Insbesondere für Private Clouds trifft eher das Gegenteil zu: Sie erfüllen die höchsten Ansprüche im Hinblick auf Datenschutz, Datensicherheit, Compliance sowie Performance und Verfügbarkeit häufig sogar besser als die existierenden Alt-Systeme. Zudem lassen sie sich meist sehr gut in bestehende IT-Umgebungen integrieren. 18
Die 10 Irrtümer des Cloud Computing - 7 Fehlende Standards erschweren die Integration und Migration von Daten Richtig ist, dass offene Standards und hohe Integrationsfähigkeit (noch) kein Selbstläufer beim Cloud Computing sind. Bevor sich ein Unternehmen auf einen Anbieter festlegt, sollten ein paar Fragen geklärt werden: Basiert die Lösung auf offenen Standards? Können Module verschiedener Hersteller und verschiedene Prozessorarchitekturen verwendet werden? Ist man auf eine Plattform oder noch schlimmer auf die Plattform eines Herstellers festgelegt? Kann problemlos gewechselt werden? Existieren Netzwerkoptionen und unterstützt die Cloud-Management-Software Module anderer Anbieter ebenfalls? Verfügt der Hersteller über eine Referenzarchitektur, die sowohl für Private Clouds als auch für Public Clouds verwendet werden kann? Erst wenn alle diese Fragen mit Ja beantwortet werden können, bietet die Cloud alle Optionen für die Integration und Migration von Daten. 19
Die 10 Irrtümer des Cloud Computing - 8 Cloud Computing führt zum Kontrollverlust über die eigenen Daten Bei der Datenauslagerung an einen externen Provider ergeben sich unterschiedliche Fragen im Hinblick auf die Qualität der Dienstleistung und das Datenmanagement. Unter anderem geht es um Erreichbarkeit und Antwortzeiten des Dienstleisters, um Kontrollmöglichkeiten und Transparenz, aber auch darum, was nach Vertragsende mit den Daten geschieht. Grundsätzlich gilt: Die Antworten sind abhängig vom gebuchten Cloud-Service und den vereinbarten SLAs. Entscheiden Sie sich für den Service und den Anbieter, der Ihre Anforderungen erfüllt. Kunden haben bei bei verschiedenen Anbietern über APIs und webbasierte Portale Zugang zu ihren Daten und können diese in Abhängigkeit der gebuchten Services auf unterschiedliche Weise herunterladen. Ein weiteres Anliegen der Kunden ist das Thema offene Standards. Verschiedene Anbieter setzen auf eine Referenzarchitektur nach offenen Standards und verzichten auf proprietäre Systeme. Damit wird Interoperabilität gewährleistet und unterschiedliche Lösungen lassen sich problemlos miteinander verknüpfen. 20
Die 10 Irrtümer des Cloud Computing - 9 Mit Cloud Computing gibt es zu wenig individuelle Optionen Prinzipiell ist beim Cloud Computing fast alles möglich je nach individueller IT-Strategie und Nutzlastanalysen, die Auskunft geben über den konkreten Bedarf. Auf dieser Grundlage kann entschieden werden, welche Cloud-Varianten Private, Hybrid oder Public Cloud am besten passen oder ob andere IT-Service-Modelle die bessere Alternative sind. Public-Cloud-Angebote sind extrem standardisiert und damit kaum individuell anpassbar, Private Clouds bieten den größten Spielraum für maßgeschneiderte Lösungen. In vielen Fällen sind deshalb Hybrid Clouds, also eine Kombination aus beiden, die optimale Lösung, um die Bedürfnisse eines Unternehmens umzusetzen. 21
Die 10 Irrtümer des Cloud Computing - 10 Cloud Computing schwächt die Rolle der IT-Abteilung Viele IT-Verantwortliche befürchten, dass mit Cloud Computing IT-Wissen verloren geht, dass eine IT-Schattenwirtschaft entsteht, ja sogar, dass Arbeitsplatzabbau droht. Diese Sorgen sind unbegründet. Tatsache ist: Cloud Computing verändert die Rolle der internen IT und des CIOs. Sie wird jedoch prinzipiell nicht geschwächt, sondern im Gegenteil aufgewertet. Das hat vor allem mit dem enormen Potenzial der Cloud und der wachsenden Bedeutung der IT für den wirtschaftlichen Erfolg eines Unternehmens zu tun. Cloud Computing bietet Chancen für neue Geschäftsmodelle und der Einsatz einer Cloud erfordert spezialisiertes Wissen sowie einen intensiven Dialog mit den Fachabteilungen im Unternehmen. Die IT kann sich dabei als Vermittler und Innovator etablieren und den eigenen Wandel vom rein technischen Ratgeber zum Berater für moderne Geschäftsmodelle forcieren. Zudem wird IT-Wissen auch zukünftig im Unternehmen gebraucht: Etwa, um die passende IT-Architektur für das Unternehmen und die notwendigen Sicherheitsanforderungen zu definieren. Aber auch, um Entwicklung, Planung und Umsetzung der richtigen Cloud- Strategie voranzutreiben. Laut einer aktuellen Studie von IDG Enterprise aus dem Jahr 2012 bestätigen 65 Prozent der befragten Unternehmen, dass mit der Einführung von Cloud Computing die IT-Abteilung für ihre Organisation wichtiger geworden ist. Zudem sehen 69 Prozent erhöhten Wissensbedarf im Bereich IT. 22
Mitarbeiter geben eigenständig Millionenbeträge für Cloud- Services aus (1 von 3) Der einfache Zugang zu Cloud-Lösungen begünstigt eine Schatten-IT. Laut einer von VMware in Auftrag gegebenen europaweiten Studie unter 1.500 IT-Professionals und 3.000 Angestellten werden in jedem Unternehmen durchschnittlich 1,6 Millionen Euro im Jahr an der IT-Abteilung vorbei für nicht genehmigte Cloud-Dienste ausgegeben. 37 Prozent der befragten IT-Entscheider vermuten, dass andere Abteilungen kostenpflichtige Cloud-Dienste ohne offizielle Genehmigung nutzen. Trotz möglicher Sicherheitsrisiken sehen Unternehmen diese Schatten-Clouds aber nicht gänzlich negativ. Dadurch würden Innovationen im Unternehmen gefördert, schnelleres und effizienteres Arbeiten ermöglicht und Wettbewerbsvorteile erzielt. In Deutschland sind sogar 80 Prozent der IT-Entscheider davon überzeugt, die ungenehmigt erworbenen Cloud-Services seien von Vorteil. Im europaweiten Durchschnitt glauben 72 Prozent der Befragten, die Nutzung von Cloud-Angeboten ermögliche eine schnellere Reaktion auf Kundenanforderungen (49 Prozent) und fördere Wachstum und Innovation im Unternehmen (34 Prozent). 23
Mitarbeiter geben eigenständig Millionenbeträge für Cloud- Services aus (2 von 3) Sicherheitsrisiken Dennoch bleiben Bedenken: Zwei Drittel der deutschen IT-Verantwortlichen sorgen sich über mögliche Kontrollverluste und Sicherheitsrisiken. Bei ihren europäischen Kollegen ist es jeder zweite, der sich darüber Gedanken macht. In der VMware-Umfrage geben 45 Prozent der europaweit Befragten an, sie würden sich nicht scheuen, auch ungenehmigt Cloud-Angebote zu nutzen, und 36 Prozent haben das schon einmal getan. Deutsche Arbeitnehmer sind mit 29 Prozent etwas zurückhaltender; am wenigsten Skrupel haben italienische Angestellte (49 Prozent). Fast ein Viertel der Mitarbeiter hat für solche Cloud-Dienste Unternehmensgeld verwendet. Von diesen Angestellten haben 47 Prozent im vergangenen Jahr bis zu 2.000 Euro, zwölf Prozent bis zu 5.000 Euro und ebenso viele mehr als 5.000 Euro ausgegeben. Abgerechnet wird dabei meist über die Budgets der Abteilungen, Spesenkonten oder die Kreditkarte der Unternehmen. 24
Mitarbeiter geben eigenständig Millionenbeträge für Cloud- Services aus (3 von 3) IT-Abteilungen zu langsam In der VMware-Studie nannten die Befragten zwei Gründe dafür, warum sie ohne Abstimmung mit der IT in die Cloud gehen: Zum einen erleichterten ihnen die Services ihre tägliche Arbeit, ermöglichten schnellere und effizientere Prozesse und unterstützten sie bei der Einführung neuer Produkte. Zum anderen würden IT-Organisationen häufig zu spät oder zu langsam reagieren, so dass sich Fachabteilungen eigenständig am IT-Markt bedienen. Am eifrigsten bei der Beschaffung von Cloud-Angeboten sind in Deutschland die Bereiche Marketing & Kommunikation (37 Prozent), Einkauf (36 Prozent), Vertrieb (31 Prozent), Forschung & Entwicklung (27 Prozent) und Finanzen (22 Prozent). Die Top-Fünf der beliebtesten Cloud- Services sind Daten und File-Sharing-Dienste (54 Prozent), E-Mails (49 Prozent), Instant Messaging (46 Prozent), Video-Conferencing (41 Prozent), Applikations- oder Daten-Hosting- Services (30 Prozent). IT-Abteilungen sind an einem Wendepunkt angelangt, an dem sie die entstehenden Schatten- Clouds in ihren Unternehmen nicht länger ignorieren können, kommentiert Jörg Hesske, Country Manager VMware Deutschland, die Studie. IT-Leute sollten ihren Kollegen die für deren Arbeit benötigte Flexibilität bieten, ohne die Kontrolle zu verlieren oder Sicherheitslücken zu riskieren. Was jetzt wichtig ist, ist ein intensiver Dialog zwischen den Abteilungen, rät Hesske. Wenn Mitarbeiter die Initiative für Innovation und Wachstum ergreifen, müsse dies abgestimmt mit der IT geschehen. 25
Daten in die Cloud aber mit Bedacht 1 von 8 Sogar in der Fernsehwerbung sind Cloud-Angebote mittlerweile angekommen. Neben zahlreichen kleineren Anbietern buhlen die ganz Großen wie Google, Apple, Microsoft, Amazon und die Telekom um die Gunst der Kunden. Versprochen werden insbesondere der Datenzugriff von überall, Backup-Funktionen, automatische Synchronhaltung aller Geräte und Einsparmöglichkeiten. So verlockend das klingt, rechtlich betrachtet sollten Unternehmer ihre Daten nie bedenkenlos in der Wolke speichern - sonst droht datenschutz- und mitunter steuerrechtlicher Ärger. Umfassender Schutz personenbezogener Daten Das Bundesdatenschutzgesetz (BDSG) verpflichtet jeden - abgesehen von der ausschließlichen Speicherung für persönliche oder familiäre Zwecke - zum verantwortungsvollen Umgang mit personenbezogenen Daten. Es dient damit vor allem dem Grundrecht auf informationelle Selbstbestimmung. Über Preisgabe und Verwendung personenbezogener Daten bestimmt demnach jeder Einzelne. Dritten drohen bei Verstößen dagegen hohe Bußgelder, Schadensersatzklagen und Geld- und Haftstrafen - von Imageschäden ganz zu schweigen. 26
Daten in die Cloud aber mit Bedacht 2 von 8 Identifizierbarkeit der Daten ist entscheidende Frage Entscheidende Frage für die Personenbezogenheit der Daten ist: Lässt sich mittels ihnen eine Einzelperson identifizieren? Name, Alter, Herkunft, Geschlecht, Ausbildung, Familienstand, Telefonnummer, Post-, E-Mail- und IP-Adressen stellen typische Beispiele dar. Aber auch Informationen zu Konsumverhalten und Kreditwürdigkeit können personenbezogen sein. Belanglose Daten gibt es laut Bundesverfassungsgericht dabei nicht. Letztlich kommt es immer darauf an, ob die Informationen den Rückschluss auf eine bestimmte natürliche Person zulassen. Politische Meinungen, religiöse Überzeugungen, ethnische Herkunft und Gewerkschaftszugehörigkeit stehen als Beispiele besonderer Daten unter noch stärkerem Schutz. Indirekt betrifft das auch Daten zum Gehalt und zu beruflichen Fehlzeiten. Umgekehrt bedeutet das aber auch, dass Unternehmensdaten ohne Personenbezug keine datenschutzrechtlichen Bedenken aufwerfen. Bloße Warenlisten, Analysen, Darstellungen oder Ähnliches ohne Personenbezug unterliegen nicht dem BDSG. 27
Daten in die Cloud aber mit Bedacht 3 von 8 Cloud-Nutzung als Auftragsdatenverarbeitung Daten zu bearbeiten, ist nur mit gesetzlicher Erlaubnis oder persönlicher Einwilligung des Betroffenen erlaubt. Vor allem ihre sorglose Weitergabe verschärfte die Regeln des Datenumgangs im Laufe der Zeit. Denn ohne Sicherheit, wer wann mit welchen personenbezogenen Daten umgehen darf, ist die informationelle Selbstbestimmung nichts mehr wert. Im Mittelpunkt der Cloud-Nutzung steht daher die Frage: Wie lassen sich Datenschutz und Datenwolke vereinbaren? Cloud-Lösungen unterfallen nach dem BDSG der sogenannten Auftragsdatenverarbeitung. Diese liegt nur bei Weisungsgebundenheit des Auftragnehmers vor. Das Gesetz behandelt diesen dabei wie eine ausgelagerte Abteilung des Auftraggebers, der den Anbieter dementsprechend regelmäßig zu überwachen hat. 28
Daten in die Cloud aber mit Bedacht 4 von 8 Datensicherheit ist zu gewährleisten Immens wichtig ist die Datensicherheit. Die Anlage zu 9 BDSG nennt dazu die acht goldenen Regeln des Datenschutzes. Unbefugter Zutritt zur Datenverarbeitungsanlage, unerlaubte Datennutzung sowie unkontrollierter Zugriff auf die Daten sind zu verhindern. Des Weiteren ist die Datenweitergabe so zu organisieren, dass keine Daten nach außen dringen und nachvollziehbar bleibt, an wen die Daten gelangten. Ebenso zu kontrollieren ist, wer die Daten bearbeitet hat und ob dies gemäß der Weisungen des Auftraggebers geschah. Nicht zuletzt sind auch Maßnahmen gegen Datenverlust und zur getrennten Datenverarbeitung zu treffen. Ein Vertrag mit dem Cloud-Anbieter muss insbesondere diese Punkte enthalten. 29
Daten in die Cloud aber mit Bedacht 5 von 8 Ausführlicher Vertrag und spätere Kontrolle erforderlich Mit dem Vertrag allein ist es nicht getan: Der Cloud-Nutzer hat sich gemäß 11 BDSG vor Beginn der Datenverarbeitung sowie danach von der Einhaltung der technischen und organisatorischen Vorkehrungen zu überzeugen, das schriftlich zu dokumentieren und den Aufsichtsbehörden auf Anforderung Auskunft zu erteilen. Derartige Verträge mit großen Cloud-Anbietern auszuhandeln und sie zu kontrollieren, dürfte für viele unmöglich sein. Viele Verträge ausländischer Anbieter unterwerfen sich höchstselten deutschem Datenschutzrecht. So dürfte auch die stets zu beantwortbare Frage, wo die Daten physisch liegen, schwerfallen. Google behält sich etwa vor, Daten irgendwo auf der Welt zu speichern. 30
Daten in die Cloud aber mit Bedacht 6 von 8 Vorsicht bei der Datenspeicherung im Ausland Das führt direkt zum Problem der Datenspeicherung im Ausland. Abgesehen von den Ländern Kanada, Schweiz, Argentinien, Guernsey sowie der Isle of Man existiert nach Ansicht der EU-Kommission außerhalb der EU und des EWR kein dem europäischen Niveau genügender Datenschutz. Brisant wird das bei der Datenspeicherung in den USA - Heimatland insbesondere von Google, Apple, Amazon und Microsoft und vieler ihrer Rechenzentren. Grund ist der USA PATRIOT Act zur Terrorbekämpfung, der insbesondere die Dateneinsicht ohne Richterbeschluss zulässt. Mit hiesigem Datenschutzrecht ist das unvereinbar. Zwar verpflichten sich mittlerweile viele US-Unternehmen zur Einhaltung europäischer Datenschutzstandards aufgrund des zwischen der EU und den USA geschlossenen Safe-Harbor-Abkommens. Aus EU-Sicht ist eine Übermittlung personenbezogener Daten an diese US-Unternehmen legal. Viele Fachleute zweifeln dies jedoch an. Denn das Safe-Harbor-Abkommen ist nur eine freiwillige Selbstverpflichtung ohne Nachkontrolle. Und der weitergehende Cybersecurity Act erlaubt sogar die effektive Aufhebung des Datenschutzes. Microsoft gibt deshalb etwa offen zu, Daten ohne Weiteres an US-Behörden preiszugeben - selbst wenn sie auf europäischen Servern liegen. Mittels eines möglichen staatlichen Maulkorb-Erlasses erfahren Betroffene eventuell nicht einmal etwas davon. 31
Daten in die Cloud aber mit Bedacht 7 von 8 Rechtliche Absicherung ist wichtig Dringend anzuraten ist daher die Wahl eines Anbieters, der dem europäischen - besser noch dem deutschen - Datenschutzniveau unterliegt. Außerdem ist die intensive Suche nach einem sicheren Anbieter angesichts der drohenden Konsequenzen Pflicht. Denn auch danach verbleibt die Verantwortung für personenbezogene Daten überwiegend beim Auftraggeber. Diese vor der Speicherung zu verschlüsseln, erscheint wenig praktikabel. Und letztendlich kann der Schutz auch geknackt werden. 32
Daten in die Cloud aber mit Bedacht 8 von 8 Steuerlich relevante Daten nur nach Genehmigung Cloud-Computing kann auch steuerrechtliche Folgen haben. Seit 2010 dürfen Steuerpflichtige gemäß 146 Abs. 2a Abgabenordnung steuerlich relevante Daten auch im Ausland speichern. Allerdings nur nach vorheriger Genehmigung der Finanzbehörden und innerhalb des EU- und EWR-Gebiets. Eine Erlaubnis darüber hinaus gibt es nur in Härtefällen. Auf eine Personenbezogenheit der Daten kommt es, anders als im Datenschutzrecht, dabei nicht an. 33
Cloud begünstigt Schatten-IT in Unternehmen 1 von 3 Der leichte Zugang zu Cloud-Lösungen begünstigt das Wachstum einer Schatten-IT in Unternehmen. Das zeigt jedenfalls eine von Vanson Bourne im Auftrag von VMware durchgeführte europaweite Befragung unter 1.500 IT-Professionals und 3.000 Angestellten. Dieser Studie zufolge werden in jedem großen Unternehmen pro Jahr durchschnittlich 1,6 Millionen Euro für nicht genehmigte Cloud-Dienste ausgegeben. Mehr als ein Drittel der IT- Entscheider vermutet, dass in ihrer Firma auch kostenpflichtige Cloud-Dienste ohne offizielle Genehmigung genutzt werden. Kleiner Trost für die Unternehmensspitze: Die Schatten-IT birgt zwar Sicherheitsrisiken, fördert aber auch die Innovationen im Unternehmen, weil sie tatsächlich schnelleres und effizienteres Arbeiten ermöglicht und dadurch Wettbewerbsvorteile mit sich bringt. Jedenfalls sind die befragten IT-Entscheider der Meinung. In Deutschland ist die positive Haltung mit 80 Prozent der Befragten sogar besonders stark ausgeprägt, der europäische Durchschnitt liegt bei 72 Prozent. Besonders große Vorteile erwarten die IT-Verantwortlichen durch die Schatten-Dienste in Bezug auf eine schnellere Reaktion auf Kundenanforderungen (49 Prozent) und die Förderung von Wachstum und Innovation im Unternehmen (34 Prozent). Zugleich sorgt sich in Europa jeder Zweite der IT-Verantwortlichen über mögliche Kontrollverluste und Sicherheitsrisiken, in Deutschland machen sich zwei Drittel der Befragten entsprechende Gedanken. 34
Cloud begünstigt Schatten-IT in Unternehmen 2 von 3 Zugleich sind die Angestellten in Deutschland allerdings besonders zurückhaltend, wenn es um den Einsatz solcher ungenehmigten Dienste geht. So greifen hierzulande nur 29 Prozent zu solchen Lösungen, europaweit tun das 36 Prozent der Befragten, 45 Prozent schließen es nicht aus. Die wenigsten Skrupel haben die Italiener (49 Prozent). Dabei geht es bei solchen Cloud-Diensten nicht nur um Fragen der Sicherheit, sondern auch um Geld, wie die Umfrage weiter zeigt. So hat bereits ein knappes Viertel der Befragten Dienste in Anspruch genommen, für die das Unternehmen zahlen musste. In 47 Prozent der Fälle ging es um Beträge von bis zu 2.000 Euro, bei weiteren 12 Prozent um bis zu 5.000 Euro und in ebenfalls 12 Prozent der Fälle ging es um Summen über 5.000 Euro. Die Kosten gehen in Deutschland in 61 Prozent der Fälle dann zu Lasten der Abteilungsbudgets (europaweit: 43 Prozent). In 19 Prozent der Fälle werden sie in Spesen versteckt (europaweit: 38 Prozent) oder über die Firmen- Kreditkarte eingekauft (Deutschland: 24 Prozent, europaweit: 33 Prozent). Die Arbeitnehmer kaufen die Cloud-Lösungen allerdings nicht ein, um sich persönliche Vorteile zu verschaffen. Vielmehr handelt es sich in der Regel um eine Art "Notwehr", weil dringend eine Lösung gebraucht wird und die IT-Abteilungen zu spät oder zu langsam reagieren. Dies wird auch dadurch bestätigt, dass 27 Prozent der Entscheider sagen, sie würden die eingesetzten Cloud- Applikationen auch gerne offiziell einführen. Die Schatten-IT entsteht, weil sie den Mitarbeitern die tägliche Arbeit erleichtert und somit sind die Investitionen auch keine Verschwendung. Allerdings laufen die IT-Abteilungen immer mehr Gefahr, den Überblick und vor allem die Kontrolle über die eingesetzten Lösungen zu verlieren. 35