Pro:
Beim Cloud Computing unterscheiden wir heute zwischen Konsumenten und Geschäftskunden. Cloud im Konsumentengeschäft bedeutet, dass ein Kunde im Internet mit seinen Daten eine Aktion auslöst, die irgendwo in der Cloud verarbeitet wird. Beispielsweise lädt er in einem Portal Fotos hoch und bekommt sie einige Tage später als Abzüge per Post. Diese Cloud Services zeichnen sich dadurch aus, dass der Kunde nicht weiß, was zwischen dem Hochladen und dem Empfang der Bilder passiert. Hier geht es also um Datenstrukturen, die relativ flach sind.
Anders ist es im Geschäftskundenbereich. Dort sind die Datenstrukturen extrem komplex. Selbst eine relativ einfache Information wie eine Adresse ist schon sehr stark relational: Sie wird genutzt vom Marketing und Vertrieb, der Logistik, von der Faktura und schließlich vom Inkasso. Es muss hier genau geregelt werden, wer diese einfache Adresse ändern darf, wer sie eingibt und wer der „Besitzer“ dieser Adresse ist. Für solche Fälle sind die Sicherheitsmechanismen einer einzelnen Firma in der Regel äußerst komplex. Sie gehen von der einzelnen Applikation über Administrationsrechte bis hin zur Firewall oder Systemeinstellungen. Diese Komplexität in die heute bestehenden Clouds zu übertragen, ist sehr schwierig.
T-Systems geht einen eigenen Weg. Wir denken, dass es Parallelen gibt zwischen den öffentlichen Clouds mit den Privatdaten und den Private Clouds mit den Daten der Geschäftskunden. Wir betreiben zunehmend die Plattformen für unsere Geschäftskunden nach den gleichen Mechanismen, Methoden und Verfahren wie die öffentlichen Clouds. Gleichzeitig bilden wir aber die Komplexität der Geschäftskunden dort ab.
In Pilotprojekten liegt die einfache Mailbox bei Microsoft oder Google in der Public Cloud und die sicherheitsrelevanten Businessstrukturen in einem komplexen Sharepoint bei uns in der geschützten und abgeschotteten Private Cloud. Wir gehen davon aus, dass die öffentlichen Clouds immer schneller werden und dass die Businessanwender diese Technologien vermehrt nutzen und heutige Bedenken sukzessive abbauen werden.
Contra:
Cloud Computing verspricht zwar die nahezu unbeschränkte, hocheffiziente Verfügbarkeit von IT-Ressourcen. Durch die Komplexität der IT-Strukturen steigen jedoch die Anforderungen in vertragsrechtlicher und regulatorischer Hinsicht. Über die TK-, lizenz- und haftungsrechtliche Gestaltung des „Innenlebens der Cloud“ hinaus rücken dabei Datenschutz und Datensicherheit in den Vordergrund. Wenn ein Cloud-Kunde personenbezogene Daten von Mitarbeitern, Kunden oder Lieferanten in die Clouds geben möchte, muss er sich seit dem 1. September 2009 mit den erhöhten – in der Praxis nur schwer oder gar nicht umsetzbaren – gesetzlichen Anforderungen an die Dokumentation und laufende Kontrolle einer Auftragsdatenverarbeitung auseinandersetzen (§§ 9, 11 BDSG). Geschäftskunden können ihre Complianceanforderungen durch Vertragsgestaltung in die Private Cloud einbringen, wobei diese im Widerstreit mit der Standardisierung auf Anbieterseite stehen. In der Public Cloud schwindet der Kundeneinfluss dagegen vollständig. Hier kann der Kunde nach derzeitigem Stand seine Aufsichts- und Kontrollrechte nicht effektiv durchsetzen.
In der international vernetzten Cloud sind im Zweifel eine Vielzahl regulatorischer Anforderungen gleichzeitig zu berücksichtigen. Dabei ist in der Praxis nicht mehr nachzuvollziehen, wer wann wo und für wie lange bestimmte Datensätze verarbeitet. Das ist jedoch mit den engen Grenzen für internationale Datentransfers außerhalb der EU und des EWR nur schwer oder gar nicht zu vereinbaren. Auch gehen die behördlichen Anforderungen an die technischen und organisatorischen Maßnahmen der Datenverarbeiter innerhalb der EU weit auseinander.
Schließlich erfordern die regulatorischen Vorgaben der Finanz- und Versicherungsbranche besonders kritische Aufmerksamkeit. So wird man – bis zu einer dringend wünschenswerten Klarstellung des Gesetzgebers – mit Blick auf § 203 StGB zu äußerster Vorsicht raten müssen, selbst wenn die getroffenen technischen Sicherungsmaßnahmen höchsten Anforderungen genügen.