230
Auswirkungen auf den Betrieb bei technischen Problemen und
Sicherheitsverletzungen eingeordnet werden.
3.9.2
Spezifikation von Compliance‐Anforderungen
Ergänzend zur technischen Betrachtung ist die Spezifikation von
Compliance‐Anforderungen wichtig, um eine Auswahlentscheidung zu
treffen. Die Nichteinhaltung kann direkte Auswirkungen haben, selbst wenn
der genutzte Cloud‐Service einwandfrei funktioniert. Hierbei handelt es sich
um Strafen und Bußgelder, die Erfüllung von Schadenersatzansprüchen bis
hin zur Einschränkung des Zugangs zum Kapitalmarkt beinhalten. In der
Außenwirkung sind zudem Imageschäden oder der Ausschluss von
Ausschreibungsverfahren möglich.
Neben den schon bekannten Datenschutzbestimmungen gibt es weitere
regulatorische Anforderungen, die zu berücksichtigen sind. So besteht zum
Beispiel in manchen Ländern ein Erlaubnisvorbehalt, steuerrelevante Daten
im Ausland zu verarbeiten.
Für die Erstellung von Geschäftsberichten und Jahresabschlüssen muss
testiert werden, dass die für die Berichtserstellung verwendeten Daten aus
den IT‐Systemen korrekt und unverfälscht sind.
Neben solchen externen Anforderungen haben viele Firmen ab einer
gewissen Größe auch interne Compliance‐Richtlinien formuliert, die jeweils
individuell ausgestaltet sein können. Hier ist genau zu prüfen, welche
Vorgaben Auswirkungen auf die Anforderungen bei Nutzung eines Cloud‐
Services haben.
3.9.3
Erstellung einer Bewertungsmatrix
Anhand der vorgenannten Überlegung ist zu empfehlen, für die
Entscheidungsfindung eine Score Card zu erstellen, die den jeweiligen
Anforderungen entsprechend eine Qualifizierung des Services und des
Anbieters im Auswahlprozess ermöglicht.
Hierbei sind zwei Auswahlbereiche zu identifizieren:
1.
Identifikation von IT‐Services, die generell als Cloud‐Service verwendet
werden können, und
2.
Identifikation von Anbietern, die einen möglichen Cloud‐Service
bereitstellen.