Seite 230 - CLOUD Migration - Alles was Sie über die CLOUD wissen müssen

230 
Auswirkungen auf den Betrieb bei technischen Problemen und 
Sicherheitsverletzungen eingeordnet werden. 
3.9.2
Spezifikation von Compliance‐Anforderungen 
Ergänzend zur technischen Betrachtung ist die Spezifikation von 
Compliance‐Anforderungen wichtig, um eine Auswahlentscheidung zu 
treffen. Die Nichteinhaltung kann direkte Auswirkungen haben, selbst wenn 
der genutzte Cloud‐Service einwandfrei funktioniert. Hierbei handelt es sich 
um Strafen und Bußgelder, die Erfüllung von Schadenersatzansprüchen bis 
hin zur Einschränkung des Zugangs zum Kapitalmarkt beinhalten. In der 
Außenwirkung sind zudem Imageschäden oder der Ausschluss von 
Ausschreibungsverfahren möglich. 
Neben den schon bekannten Datenschutzbestimmungen gibt es weitere 
regulatorische Anforderungen, die zu berücksichtigen sind. So besteht zum 
Beispiel in manchen Ländern ein Erlaubnisvorbehalt, steuerrelevante Daten 
im Ausland zu verarbeiten.  
Für die Erstellung von Geschäftsberichten und Jahresabschlüssen muss 
testiert werden, dass die für die Berichtserstellung verwendeten Daten aus 
den IT‐Systemen korrekt und unverfälscht sind.  
Neben solchen externen Anforderungen haben viele Firmen ab einer 
gewissen Größe auch interne Compliance‐Richtlinien formuliert, die jeweils 
individuell ausgestaltet sein können. Hier ist genau zu prüfen, welche 
Vorgaben Auswirkungen auf die Anforderungen bei Nutzung eines Cloud‐
Services haben. 
3.9.3
Erstellung einer Bewertungsmatrix 
Anhand der vorgenannten Überlegung ist zu empfehlen, für die 
Entscheidungsfindung eine Score Card zu erstellen, die den jeweiligen 
Anforderungen entsprechend eine Qualifizierung des Services und des 
Anbieters im Auswahlprozess ermöglicht. 
Hierbei sind zwei Auswahlbereiche zu identifizieren: 
1.
Identifikation von IT‐Services, die generell als Cloud‐Service verwendet 
werden können, und  
2.
Identifikation von Anbietern, die einen möglichen Cloud‐Service 
bereitstellen.