54
Eine Entscheidung, welche der beiden Gruppen Recht hat, wird sich wohl
nur anhand von Kennzahlen ermitteln lassen, die aber derzeit mangels
Meldepflichten nicht verfügbar sind.
Eines zeigt diese Diskussion aber auf jeden Fall: die Notwendigkeit, einen
systematischen Ansatz zur Sicherung der eigenen Daten und Prozesse zu
etablieren.
<P1><P2><P3><P4>Im Rahmen einer rechtlichen Compliance‐
Beurteilung wird der Systematik große Bedeutung
beigemessen. Inwiefern sind die branchenüblichen Prozesse
etabliert, und inwiefern werden sie standardmäßig und
systematisch gelebt?
Insofern ist es unumgänglich, ein Verständnis dafür zu entwickeln, wie
unsere technische und gesellschaftliche Situation mit Cloud‐Computing
umgeht. Das sogenannte „Big Picture“ (siehe Kapitel 3.4.1) soll Cloud‐
Computing in den Kontext anderer Hype‐Themen stellen.
Insbesondere ist festzustellen, dass „Sicherheit“ als Pauschaleinwand
verwendet wird, warum ein Cloud‐Service nicht genutzt werden „kann“.
Hier prallen die Sicherheitsanforderungen, die nicht selten an Feature‐Listen
von technischen Produkten festgemacht werden, auf die tatsächlich
vorhandenen Sicherheitsmerkmale eines Cloud‐Services. Der Wunsch, dann
am bestehenden Cloud‐Service Modifikationen vornehmen zu wollen, führt
unweigerlich in die Technologiesackgasse, da der Anbieter eine speziell
konfigurierte Umgebung neben der standardisierten Umgebung betreiben
muss und diese aufgrund vertraglicher Verpflichtungen für die Dauer der
Vertragslaufzeit i. d. R. nicht verändern darf. Der Kunde ist dann wieder im
simplen Outsourcing angekommen. Auf Seiten der Cloud‐Industrie muss
diesem Phänomen begegnet werden, indem dieser Sachverhalt dem
potenziellen Kunden erklärt und nicht stillschweigend akzeptiert wird.
<P1><P2><P3><P4>Um den vorstehend beschriebenen
Gegensatz zu überbrücken, wollen Unternehmer nicht selten
auf die juristische Betrachtung abstellen. Oft stehen für diese
Fragen die rechtlichen Überlegungen aber gar nicht im
Zentrum. Ein Auslagerungsentscheid ist oft ein reiner
Businessentscheid, in dem es letztlich vor allem darum geht,
ob der Unternehmer dem Cloud‐Dienstleister vertraut oder
nicht.