IT-Expertenrunde des Bundesverbands Mittelständische Wirtschaft

Cloud Computing, DSGVO und die Qual der Wahl für den Mittelstand

| Autor: Elke Witmer-Goßner

KMU sollten nicht gleich den günstigsten Cloud-Anbieter wählen, sondern den sichersten.
KMU sollten nicht gleich den günstigsten Cloud-Anbieter wählen, sondern den sichersten. (Bild: gemeinfrei © Gerd Altmann / Pixabay)

Wie halten Sie es eigentlich mit der Cloud? Das ist nach wie vor die Gretchenfrage, die je nach Situation zustimmend oder verhalten beantwortet wird. Bei der Befragung von Statista und KPMG unter mehr als 500 Unternehmen in Deutschland zu den wichtigsten Kriterien bei der Auswahl eines Cloud-Providers gab es aber eine klare und einvernehmliche Position: 45 Prozent der Unternehmen gaben an, dass der Provider seinen Hauptsitz in Deutschland haben muss!

Schwer tut sich beim Thema Cloud Computing vor allem der Mittelstand. Der Thementag Cloud Computing des Bundesverbandes Mittelständische Wirtschaft e.V. (BVMW) bot Gelegenheit, einen Blick auf die Cloud-Praxis kleinerer und mittelständischer Unternehmen zu werfen. Die Fragen beantworteten Oliver Guderjahn, Externer Datenschutzbeauftragter/Wirtschaftsjurist (LL. M.), Kedua GmbH, Daniel Menzel, Geschäftsführer Menzel IT, und Michael Rühling, Geschäftsführer F&M Computer Systemhaus, allesamt Mitglieder der BVMW IT-Expertengruppe Berlin Nordost.

CloudComputing-Insider: Sind wir inzwischen desillusionierter, was das Thema Cloud betrifft, trotz vieler positiver Entwicklungen?

Michael Rühling: Als Systemhaus haben wir verstanden, dass derzeit kein Weg an der Cloud vorbeiführt. Deshalb haben wir passende Angebote für die Firmen geschaffen und diese werden auch gut angenommen. Hier kommt uns der langjährige Kontakt zu unseren Kunden und der Standortbezug zu Berlin zugute. Deutsche Kunden sind sehr sensibilisiert, was das Thema Sicherheit ihrer Geschäftsdaten angeht. Da haben wir als lokaler Anbieter sicherlich einen Vertrauensvorschuss gegenüber den großen internationalen Anbietern. Trotzdem befindet sich der Cloud-Markt noch in der Entwicklung und es wird noch viele Marktbereinigungen geben. Auch politische Entwicklungen, wie zum Beispiel der Brexit, werden eine Rolle bei der Standortwahl von Rechenzentren spielen.

Daniel Menzel, Geschäftsführer Menzel IT.
Daniel Menzel, Geschäftsführer Menzel IT. (Bild: Swen Gottschall)

Daniel Menzel: Ich denke, das Thema Cloud hat, wie alles, zwei Seiten. Insofern muss man wohl beides beanspruchen: Begeisterung ebenso wie Desillusionierung. Begeisterung gilt ganz klar dem Potential, das den technischen Aspekten der Cloud inhäriert. Es ermöglicht zahlreiche tolle neue technologische Entwicklungen, die moderne Antworten auf die Bedürfnisse unserer Zeit sind. Desillusioniert bin ich, wenn ich auf den Umgang mit Cloud-Services selbst blicke. Allzu oft stehen, wie ich finde, Komfort und einfacher Einstieg fast schon dogmatisch an erster Stelle. Darunter leidet die IT-Sicherheit dieser Systeme massiv. Durch den Preiskampf unter Cloud-Anbietern spitzt sich diese Problematik außerdem immer weiter zu. Wer nicht selbst Experte ist oder sich fundiert mit Fragen wie beispielsweise Serverstandorten auseinandersetzt, kann die Dimensionen mancher Aspekte kaum abschätzen. Ein bloßer Blick auf den günstigsten Anbieter kann mitunter gefährliche Folgen haben.

Was wird möglicherweise die größte Herausforderung für den Standort Deutschland in den kommenden fünf Jahren sein?

Rühling: Derzeit sind alle großen Hersteller von Hard- und Software sehr daran interessiert, die Kunden von ihren Cloudangeboten zu überzeugen. Das merkt man deutlich an der Preisgestaltung der Angebote. Inwieweit sich das noch nach oben korrigieren wird, wenn eine genügend große Anzahl an Usern erreicht ist, bleibt noch abzuwarten. Als Systemhausbetreiber muss man sicher auch beobachten, inwieweit man seine Kunden an Clouddienste großer Anbieter heranführt und dann am Ende vielleicht an diese verliert.

Menzel: Die größte Herausforderung für die Unternehmen in der Cloud wird sein, mit den immer häufiger auftretenden Sicherheitsproblemen der Anbieter umzugehen und sich von den Angeboten der Großen wieder zu lösen, um unabhängiger zu werden. Außerdem wird in Zukunft die sorgfältige Analyse des eigenen Bedarfs wichtiger werden als bisher. Welche Form der Cloud-Nutzung bei welcher Art von Anbieter am Sinnvollsten ist, kann nämlich nicht über einen Kamm geschoren werden. Auch eigene Server oder sogar Cloud-Server zu betreiben lohnt sich häufiger, als man gemeinhin annimmt. Hier wird passgenaues Consulting von Experten an Relevanz zunehmen.

Oliver Guderjahn: Bevor im letzten Jahr die DSGVO eingeführt wurde, gab es Rechtsunsicherheit, welche Vertragspartei für die Rechte und Pflichten datenschutzrechtlich verantwortlich ist. Dies hat sich seit der DSGVO geändert, da diese ausdrücklich die jeweiligen Rechte und Pflichten der Parteien festschreibt. Da die DSGVO seit ihrer Einführung sehr großen Anklang in der Weltgemeinschaft erlangt hat, adaptieren inzwischen Drittstaaten unsere Standards bzw. Praktiken, so dass eine Hand-in-Hand Zusammenarbeit in naher Zukunft möglich sein sollte. Für den Standort Deutschland gibt es in den nächsten fünf Jahren meiner Meinung nach keine größeren Herausforderungen. Die DSGVO wurde so vorausschauend verfasst, dass sie neue technische Hürden bzw. Entwicklungen auf dem Gebiet des Cloud Computings miterfasst und regelt.

Was war rückblickend das „Cloud-Jahr“ schlechthin?

Rühling: Wir benützen die Wolke schon viele Jahre und die Zahl der Nutzer unserer Dienstleistungen ist stetig gestiegen. Da die bisher an Kunden verkauften Server nun aber in die Jahre gekommen sind und die Preispolitik der Softwarehersteller einen Neuerwerb stark verteuert, haben wir seit dem letzten Jahr verstärkten Zulauf in unser Rechenzentrum, also 2018 wäre für mich das Cloud-Jahr mit den größten Bewegungen.

Guderjahn: Ich sehe den Zeitrahmen 2018 mit Wechsel zu 2019, also die Spanne vor und die Einführung der DSGVO, seitdem sind die Rechte und Pflichten klar definiert.

Menzel: Seitdem die Cloud und ihre Nutzung im öffentlichen Bewusstsein präsent sind, ist enorm viel Bewegung in diesem Bereich zu verzeichnen. Ein Cloud-Jahr schlechthin zu benennen, fällt daher schwer.

Inwiefern treibt im positiven Sinne, wo behindern die Datenschutzproblematik und die DSGVO die Businessmodelle rund um Cloud-Services?

Guderjahn: Der Gesetzgeber hat mit Einführung der DSGVO die vertraglichen Bedingungen bzw. Inhalte klar geregelt, so dass die Vertragsparteien nun klarere Regelungen an der Hand haben, um die Verträge rechtssicher zu gestalten. Durch die Einführung der DSGVO werden Cloud-Anbieter in ihren Businessmodellen zusätzlich unterstützt, da durch den gesetzlichen Rahmen Rechtssicherheit geschaffen wurde. Allerdings werden dem Verantwortlichen auch mehr Transparenzpflichten auferlegt. Diese kann er jedoch nur umsetzen, wenn der Cloud-Dienstleister selbst die entsprechende Transparenz schafft. Diese Offenheit und damit einhergehende Pflicht zur Zusammenarbeit, die die DSGVO ja auch von den einzelnen Parteien einfordert, stellen in der Praxis eine Hürde dar.

Menzel: Datenschutz hemmt lediglich neo-liberale Cloud-Modelle, deren oberste Prämisse der kurzfristige Gewinn ist. Alle Unternehmen, die ihren Kunden einen langfristigen Nutzen bieten, haben schon inhärent ein Interesse an höchstem Datenschutz, möchten sie doch auch morgen noch ihren Kunden ihre Leistungen anbieten können. Insofern stoßen Datenschutzproblematik und die DSGVO hier längst überfällige Fragen an und sind somit positiv zu bewerten.

Michael Rühling, Geschäftsführer F&M Computer Systemhaus.
Michael Rühling, Geschäftsführer F&M Computer Systemhaus. (Bild: F&M Computer Systemhaus)

Rühling: Jeder Kunde, der sich nicht grundsätzlich dem Thema DSGVO verweigert hat, musste sich mit seiner IT-Struktur auseinandersetzen und hat da bestimmt auch Defizite entdeckt. Dadurch gab es natürlich auch Firmen die zum Beispiel dankbar waren, eine professionell gemanagte Firewall mieten zu können, anstatt kurzfristig eigene Gehversuche machen zu müssen. Aber die DSGVO führt gerade bei kleineren Kunden auch zu Verunsicherung, weil sie als Überregulierung wahrgenommen wird. Das führte in der Konsequenz auch leider dazu, dass Anbieter bestimmte Angebote einfach wegfallen lassen wie beispielsweise die Webseiten von Vereinen.

Was empfehlen Sie dem Mittelstand hinsichtlich der Vorabanalyse in Qualitäts- und Kostenfragen?

Rühling: Eine genaue Bedarfsanalyse. Derzeit besteht ja noch die Möglichkeit, zwischen Cloud und eigener Infrastruktur zu wählen oder auch beide Welten zu mischen. Und diese Vor- und Nachteile müssen individuell gegeneinander abgewogen werden. Ein lokaler Berater kann hier sicherlich besser unterstützen als die Hotline eines großen Hosters.

Menzel: Daten sind das Öl des 21. Jahrhunderts. Daher empfehlen wir ganz klar: Stellen Sie eine TCO-Betrachtung an. Schauen Sie nicht nur darauf, was Sie der Cloudspeicher XY pro Stunde kostet, sondern beziehen Sie auch Datenschutz und Datensicherheit, den Internetzugang und die Geheimhaltung der Daten, das Firmenwachstum und den Lock-In-Effekt mit ein. Nicht selten sind dann einige kleine Server on-premises, deren Hardware man übrigens auch leasen kann, langfristig durchaus günstiger. Zusammengefasst: Viele Firmen gehen wegen der Kosten in die Cloud und dann wegen der Kosten wieder aus der Cloud raus.

Guderjahn: Unternehmen, die auf der Suche nach dem passenden Cloud-Anbieter sind, sollten darauf achten, dass die Anbieter klar bei ihrem Produkt verdeutlichen, dass dieses datenschutzkonform ist. Des Weiteren sollte der Anbieter von Anfang an Hilfestellung bei der Durchführung der Transparenzpflichten leisten. Dies verdeutlicht, dass dem Auftragsverarbeiter bzw. Cloud-Anbieter der Datenschutz wichtig ist und es nicht nur um Marketingfloskeln geht. Darüber hinaus kann es nicht schaden, bei Fragen und Problemen gegebenenfalls einen kompetenten Datenschutzberater zu kontaktieren um letzte Unklarheiten auszuräumen.

Wie pragmatisch darf dann Datenschutz heutzutage sein?

Guderjahn: Datenschutz stellt sicher, dass das Recht auf informationelle Selbstbestimmung gewahrt bleibt. Die DSGVO verlangt aber zentral, dass die jeweiligen Gegebenheiten im Mittelstand sowie der jeweils aktuelle Stand der Technik zu berücksichtigen sind, d.h. die DSGVO selbst ist sehr pragmatisch. Selbstverständlich gibt es aber Auslegungsbedarf bei der DSGVO, weshalb die Aufsichtsbehörden gefordert sind, Leitlinien herauszugeben. Dies ist den Aufsichtsbehörden sehr bewusst, weshalb es eine der Hauptaufgaben ist, die sie gerade verfolgen.

Was erwartet Unternehmen also in kommender Zeit bezüglich der DSGVO, neuer Vertragsmodelle und hinsichtlich der EU Privacy Shield?

Guderjahn: Neue Vertragsmodelle sind definitiv die Vertreterbestellung innerhalb der EU für Verantwortliche, die weder ihren Hauptsitz noch einen Standort innerhalb der Europäischen Union, haben, die jedoch innerhalb der EU Dienstleistungen bzw. Cloud Computing anbieten. Alte Auftragsverarbeitungsverträge sollten selbstverständlich durch neuere DSGVO-konforme Auftragsverträge ausgetauscht werden bzw. es sollte eine Vertragsänderung erfolgen. Die Drittstaatenübermittlung regelt die DSGVO klar. Es gibt Angemessenheitsbeschlüsse von der EU-Kommission, die es erlauben, Datenübermittlungen in Drittstaaten vorzunehmen, wie z. B. das Privacy Shield-Abkommen mit der USA. Eine Änderung ist aktuell nicht in Sicht. US-Cloud-Dienstleister unterliegen jedoch dem US-Recht und demnach dem Patriot Act. US-Unternehmen sind deshalb gezwungen, Daten an amerikanische Behörden (CIA etc.) auszuliefern, die sich selbst auf den Besitz von fremdem Hoheitsgebiet wie EU-Unternehmen erstrecken. Dies ist datenschutzrechtlich ein großes Problem, weshalb Cloud-Dienstanbieter mit Serverspeicherung in der USA zu meiden sind.

Was ist der größte Fehler, den KMUs bezüglich der Rechtssicherheit in der Cloud also machen können?

Guderjahn: Der größte Fehler ist es, gar keinen Auftragsverarbeitungsvertrag zu besitzen oder unverschlüsselt die Daten in der Cloud abzulegen.

Ergänzendes zum Thema
 
Checkliste für KMU

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46165102 / Allgemein)