Seite 212 - CLOUD Migration - Alles was Sie über die CLOUD wissen müssen

212 
Prüfbarkeit der Compliance‐Anforderungen nur durch eine ausreichende 
Transparenz der externen Serviceerbringung: die konkrete Bestimmung der 
Datenorte, der Leistungserbringer und ihrer Funktionen sowie die 
vertragliche Prüfung aller notwendigen Leistungsgarantien. Hinzu kommt 
die Anzeigepflicht eventueller Änderungen in der Leistungserbringung, die 
dann auch zu einem außerordentlichen Kündigungsrecht führen muss und 
bei der im Vorfeld auch eine ordnungsgemäße Rückführung der Daten an 
den Anwender vorgesehen wird. 
Auditierung von Compliance‐Anforderungen 
Die Anforderung der Kontrolle eines externen IT‐Anbieters wird im Bereich 
Cloud‐Computing zunehmend zu Problemen führen. Gerade in manchen 
Datenschutzbestimmungen wird die Vor‐Ort‐Prüfung des Anbieters 
eingefordert. Es stellt sich aber die Frage, wo denn „vor Ort“ eigentlich ist. 
Beim Vertragsgeber, beim Rechenzentrumdienstleister oder beim Betreiber 
des Softwareangebotes? Und wenn man einmal vom Standort der Daten 
ausgeht, muss man sich auch die Frage stellen, welche Informationen man 
aus einem persönlichen Besuch eines Rechenzentrums erhalten kann.  
<P5>Ohne eine intensive Überprüfung durch geschulte Personen aus dem 
Bereich Datenschutz, Datensicherheit, Betriebsführung und gegebenenfalls 
Softwareentwicklung erhält man im besten Fall einen subjektiven Eindruck, 
ob das Gesehene einen ordentlichen Eindruck macht, allerdings ohne 
qualitative Aussage zur Umsetzung der technischen und organisatorischen 
Maßnahmen. Ergänzend ist zu erwähnen, dass eine Begehung eines 
Rechenzentrums an sich schon ein Sicherheitsrisiko darstellt und somit nur 
entsprechend geschulte Personen unter Berücksichtigung der notwendigen 
Sicherheits‐ und Zutrittskontrollen der Zugang zu erlauben ist.