Der Einfluss von Cloud-Computing auf die IT-Governance

Eine Analyse zum Umgang mit juristischen Anforderungen in Deutschland 2014


Studienarbeit, 2014

35 Seiten, Note: 1.7


Leseprobe

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1.) Thematische Einführung
1.1) Der Einfluss von Cloud- Computing auf die IT- Governance – eine juristische Analyse in Deutschland
1.2) Problemstellung & Zielsetzung
1.3) Aufbau der Arbeit

2.) Begriffsklärung und Abgrenzung
2.1) Cloud- Computing
2.1.1) Definition von Cloud- Computing
2.1.2) Service- Formen des Cloud- Computing
2.1.3) Typen des Cloud- Computing
2.2) IT- Governance
2.2.1) Definition von IT- Governance
2.2.2) Aufgaben der IT- Governance

3.) Analyse der juristischen Anforderungen von Cloud- Computing an die IT- Governance
3.1) Aktuelle Verbreitung von Cloud- Technologien innerhalb der IT- Governance in Deutschland
3.2) Juristische Anforderungen beim Einsatz von Cloud- Computing -
3.2.1) Auftragsdatenverarbeitung
3.2.2) Personenbezogene Daten
3.2.3) Einwilligung
3.2.4) Datenschutz als Grundrecht
3.3) Strafen bei einem Verstoß gegen das BDSG

4.) Das Experteninterview mit einem IT- Manager zur Beurteilung der juristischen Anforderungen an die IT- Governance
4.1) Auswahl des Gesprächspartners für das Experteninterview
4.2) Vorbereitung des Experteninterviews
4.3) Durchführung des Experteninterviews
4.4) Auswertung des Experteninterviews

5.) Fazit

Anhang

Tabellen

Die MVI Solve- IT GmbH

Der EWR

Das Experteninterview – eine Kurzanleitung

Das Experteninterview

Hypothesen

Fragenkatalog

Durchführung

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1 - Struktur Cloud- Computing nach NIST

Abbildung 2 - Abbildung von IT- Governance in der Informatik

Abbildung 3 - Aufgaben der IT- Governance

Abbildung 4 - Der Einsatz von Cloud- Technologien in Deutschen Unternehmen

Abbildung 5 - Klassifikation IT- relevanter Regelwerke

Abbildung 6 - MVI- Group

Abbildung 7 - Aufbauorganisation der MVI Solve- IT GmbH

Abbildung 8 - Der EWR

Tabellenverzeichnis

Tabelle 1 - Service- Formen des Cloud- Computing

Tabelle 2 - Typen des Cloud- Computing

Tabelle 3 - Matrix zu Cloud- Diensten

Tabelle 4 - Beispiele für Vor- und Nachteile des Cloud- Computing

Tabelle 5 - Bußgelder für Verstöße gegen das BDSG

1.) Thematische Einführung

1.1) Der Einfluss von Cloud- Computing auf die IT- Governance – eine juristische Analyse in Deutschland 2014

Informationstechnologie (IT) ist sowohl aus dem gesellschaftlichen als auch dem unternehmerischen Alltag nicht mehr weg zu denken. Seit die IT ihren festen Platz in der Wirtschaft gefunden hat, stehen Unternehmen stetig vor der Herausforderung, ihre IT (neu) zu organisieren. Dies wird im Allgemeinen als IT- Governance bezeichnet [siehe auch Kapitel 2.2)].

Der globale Siegeszug des Internets hat für die IT viele neue Technologien und Anwendungsszenarien wie Cloud- Computing [siehe auch Kapitel 2.1)] ermöglicht. Durch diese Entwicklung werden Unternehmen heute immer schneller mit Chancen und Risiken konfrontiert, welche es für die IT- Governance der Unternehmen zu berücksichtigen gilt. Damit einher geht auch die Frage einer juristischen Bewertung dieser Technologie und der damit verbundenen Rahmenbedingungen und Risiken.

1.2) Problemstellung & Zielsetzung

Die Problemstellung basiert darauf, sich sowohl mit der aktuellen Situation und Entwicklung von Cloud- Computing als auch deren Einfluss auf die IT- Governance der Unternehmen in Deutschland 2014 zu befassen und zu ermitteln, welche juristischen Rahmenbedingungen sich daraus ergeben. Hier gilt es zu analysieren, wie die Nutzung von Cloud- Computing die IT- Governance eines Unternehmens beeinflusst.

Die Zielsetzung dieser Arbeit soll es sein, den aktuellen rechtlichen Stand bei der Nutzung von Cloud- Computing in der IT- Governance innerhalb des Unternehmensalltags in Deutschland 2014 zu beschreiben. Darauf aufbauend wird eine Analyse zur Beeinflussung der IT innerhalb von Unternehmen gegeben sowie deren juristische Anforderungen einer Bewertung unterzogen.

Abschließend werden die Ergebnisse aufbereitet und für ein Experteninterview mit dem IT- Manager eines mittelständischen IT- Dienstleisters genutzt. Die Ergebnisse des Experteninterviews werden ausgewertet und reflektiert.

1.3) Aufbau der Arbeit

Diese Arbeit ist in fünf Kapitel gegliedert.

In Kapitel 1.) erfolgt eine Herleitung zum Thema, die Formulierung der Problemstellung und Zielsetzung sowie eine Übersicht zum Aufbau dieser Arbeit.

Das Kapitel 2.) dient der Begriffsklärung und Abgrenzung zu naheliegenden Themenbereichen.

In Kapitel 3.) wird die Verbreitung von Cloud- Computing in deutschen Unternehmen dargestellt. Weiterhin werden die juristischen Anforderungen und Risiken bei der Nutzung von Cloud- Computing an die IT- Governance von Unternehmen beschrieben.

Das Kapitel 4.) dient dazu, die Ergebnisse aus den vorherigen Kapiteln mittels eines Experteninterviews zu diskutieren. Den Abschluss bildet das Kapitel 5.) mit einem Fazit zu den Ergebnissen dieser Arbeit und einer persönlichen Beurteilung durch den Autor.

2.) Begriffsklärung und Abgrenzung

2.1) Cloud- Computing

2.1.1) Definition von Cloud- Computing

Innerhalb der IT haben sich die Definitionen der US- Amerikanischen Standarisierungsstelle NIST (National Institute of Standards and Technology, deutsch: Nationales Institut für Standards und Technologie) etabliert [vgl. zu diesem und dem nachfolgenden Satz (Bundesamt für Sicherheit in der Informationstechnik)]. Diese Definition zu Cloud- Computing wird ebenfalls von der ENISA (European Network and Information Security Agency) verwendet und beschreibt „[…] ein Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z.B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider- Interaktion zur Verfügung gestellt werden können.“

Basierend auf der Definition des NIST lässt sich die Struktur von Cloud- Computing unterscheiden in die Form des Service und in den Typ der Cloud wie in Abbildung 1 dargestellt.

Abbildung 1 - Struktur Cloud- Computing nach NIST

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Erstellung in Anlehnung an (NIST, 2009)

Weitere Grundlagen, wie beispielsweise Service Orientierte Architekturen (SOA) oder weitere bzw. neue Service- Arten wie Business Process as a Service (BPaaS), werden an dieser Stelle nicht weiter thematisiert, da dies keinen Mehrwert in Bezug auf die Fragestellung und Zielsetzung dieser Arbeit bringen würde.

Nachfolgend werden die grundlegenden Service- Formen als auch die Typen des Cloud- Computing aus Abbildung 1 tabellarisch erläutert.

2.1.2) Service- Formen des Cloud- Computing

Die Tabelle 1 gibt einen Überblick über die drei Service- Formen SaaS, PaaS und IaaS.

Tabelle 1 - Service- Formen des Cloud- Computing

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Erstellung in Anlehnung an

(Bundesamt für Sicherheit in der Informationstechnik) & (NIST, 2009)

2.1.3) Typen des Cloud- Computing

Die Tabelle 2 beschreibt die Unterschiede der vier unterschiedlichen Arten einer Cloud. Jeder Cloud- Service lässt sich dabei theoretisch in Form von allen vier Typen einer Cloud realisieren.

Tabelle 2 - Typen des Cloud- Computing

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Erstellung in Anlehnung an

(Bundesamt für Sicherheit in der Informationstechnik) & (NIST, 2009)

Im Anhang unter Tabelle 3 findet sich eine exemplarische Liste von Produkten bzw. Anbietern basierend auf der Tabelle 1und Tabelle 2.

Sämtliche Cloud- Computing Technologien beruhen demnach auf einem Austausch von Daten über ein Netzwerk, welches fast ausschließlich über das Internet realisiert wird.

Grundsätzlich ergibt sich bei Cloud- Technologien die Frage, welche juristischen Anforderungen (siehe Kapitel 3.2)) bei der Nutzung solcher Dienste gelten, wenn Daten mittels des Internets global verbreitet werden können und wie diese die IT- Governance eines Unternehmens beeinflussen.

2.2) IT- Governance

2.2.1) Definition von IT- Governance

Die Bereitstellung von Informationen zur richtigen Zeit ist die elementare Grundlage für Entscheidungen im Unternehmen und neben Arbeit der wichtigste Produktionsfaktor im betrieblichen Leistungserstellungsprozess [vgl. zu diesem und dem nachfolgenden Satz (Zimmermann, 2007, S. I- 1 & I- 2)]. Aufgrund der technologischen Entwicklung hat sich die IT in beinahe jedem Unternehmen zu einem zentralen Teilbereich der Unternehmensführung entwickelt und dadurch strategische Bedeutung erlangt. Aus dem Oberbegriff Governance (englisch Steuern und Führen) hat sich der für die IT eigenständige Begriff der IT- Governance abgeleitet, welcher sich aus den Teilbereichen Führung, Organisationsstrukturen und Prozessen zusammen setzt [vgl. zu diesem und dem folgenden Satz (Schmidt & Hofmann, 2010, S. 355)]. Daraus ergibt sich, dass IT- Governance das Ziel verfolgt, eine IT im Unternehmen zu gestalten, welche sich

- an den Geschäftszielen ausrichtet,
- den zugesicherten Nutzen generiert,
- verantwortungsvoll mit ihren Ressourcen umgeht sowie
- die mit der IT verbundenen Risiken angemessen berücksichtigt und verwaltet.

Die IT- Governance ist folglich für die Organisation der IT eines Unternehmens verantwortlich und lässt sich wie in Abbildung 2 darstellen:

Abbildung 2 - Abbildung von IT- Governance in der Informatik

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Ergänzte Version nach (Schultz, 2010, S. 9)

Der in Abbildung 2 rot umrandete Bereich veranschaulicht, dass Cloud- Computing Technologien in der Basis für die IT eines Unternehmens eingesetzt werden können.

2.2.2) Aufgaben der IT- Governance

Die Aufgaben der IT- Governance bestehen im Wesentlichen aus den in Abbildung 3 in dunkelblau dargestellten Teilaufgaben 1 bis 4 sowie der übergreifenden in hellblau markierten Aufgabe Nummer 5.

Abbildung 3 - Aufgaben der IT- Governance

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Erstellung in Anlehnung an (Schmidt & Hofmann, 2010, S. 356 & 357)

Weiterhin ist es grundsätzlich die Aufgabe der IT- Governance, die rechtlichen Vorgaben der (Corporate) Governance bzw. Compliance (englisch Regelkonformität)[1] zu berücksichtigen und deren Einhaltung sicherzustellen.

Diese Aufgabe lässt sich dabei vor allem dem Risikomanagement aus Abbildung 4 - Der Einsatz von Cloud- Technologien in deutschen Unternehmen zuordnen, da das Risikomanagement alle Bereiche der IT, wie beispielsweise Prozesse, Systeme als auch Projekte betrifft [vgl. dazu (Schmidt & Hofmann, 2010, S. 160 & 211)

Bei der Betrachtung der juristischen Anforderungen welche nur an die IT gestellt sind, spricht man auch von IT- Compliance, allerdings beinhaltet dies ebenso die Erfüllung sämtlicher weiterer unternehmensexterner Regularien wodurch die reine Betrachtung von IT- Compliance hier nicht im Einzelnen beschrieben wird[vgl. (Schmidt & Hofmann, 2010, S. 360)].

3.) Analyse der juristischen Anforderungen von Cloud- Computing an die IT- Governance

3.1) Aktuelle Verbreitung von Cloud- Technologien innerhalb der IT- Governance in Deutschland 2014

Um die Relevanz von Cloud- Computing für die IT- Governance zu ermitteln, ist es sinnvoll, sich einen Status zu der aktuellen Nutzung dieser Technologie in den Unternehmen anzuschauen - siehe dazu Abbildung 4.

Abbildung 4 - Der Einsatz von Cloud- Technologien in Deutschen Unternehmen - Entwicklung 2011 bis 2013

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Erstellung in Anlehnung an , 2014

Aus Abbildung 4 ergibt sich, dass die Nutzung von Cloud- Computing sich in den vergangenen Jahren in den IT- Landschaften der deutschen Unternehmen etabliert hat und auch voraussichtlich in 2014 ein Wachstum vorweisen wird. Der derzeitig meist genutzte Cloud- Service ist SaaS und dabei stehen Email- Dienste in der Nutzung an oberster Stelle [vgl. dazu (VMware, 2011) & (KPMG Cloud- Monitor 2014, S. 23)]. Die Nutzung von Email- Diensten bedeutet demnach, dass die (vertraulichen) Daten sowohl über das Internet verschickt als auch an unterschiedlichsten geografischen Standorten gespeichert werden.

Die zweitgrößte Hürde bei der potentiellen Einführung und Nutzung von Cloud- Computing ist nach der Angst vor einem unberechtigten Datenzugriff die Problematik der rechtlichen Unklarheiten und der damit verbundenen Risiken [vgl. (KPMG Cloud- Monitor 2014, S. 28)]. Weiterhin gilt, dass die Verarbeitung sämtlicher (nicht nur personenbezogener) Daten sowohl aus interner (z.B. Betriebsgeheimnisse) als auch externer (z.B. rechtliche Auflagen) Sicht bei falscher Handhabung durch Cloud- Computing ein kaum absehbares Risiko beinhaltet.

Um dieses Risiko bestmöglich zu minimieren, gilt es sich mit den juristischen Anforderungen, welche die Verarbeitung von Daten mittels Cloud- Computing betreffen, auseinander zu setzen, um (rechtliche) Sicherheit und Vertrauen in die Technologie zu schaffen [vgl. (Weichert, 2010, S. 2)].

3.2) Juristische Anforderungen beim Einsatz von Cloud- Computing -

Grundsätzlich lassen sich die Anforderungen durch Regelwerke in vier Formen einordnen – siehe dazu Abbildung 5.

Abbildung 5 - Klassifikation IT- relevanter Regelwerke

Abbildung in dieser Leseprobe nicht enthalten

Quelle: eigene Erstellung in Anlehnung an (Klotz, 2009, S. 20 & 21)

Da das Ausmaß des Schadens bei Verletzung von Rechtsnormen am höchsten ausfällt [vgl. Abbildung 5], liegt hier die höchste Priorität für die IT- Governance. Es müssen bei der Nutzung von Cloud- Diensten präzise formulierte und klar definierte Verträge aufgesetzt sowie eine Kontrollstruktur definiert, angewandt, kontrolliert und dokumentiert werden, welche den Anforderungen der Rechtsnormen entspricht um die Aufgabe der IT- Governance zu erfüllen. Die Komplexität die damit einhergeht basiert im Falle von Cloud- Computing auf der Vielzahl an anwendbaren Gesetzen und Rechtsverordnungen. Je nach Szenario des genutzten Cloud- Dienstes variieren die dabei zu berücksichtigenden gesetzlichen Anforderungen.

Rechtlich betrachtet erfolgt die Bereitstellung und Nutzung von Cloud- Diensten im Rahmen eines Schuldvertrags, was wiederum mit einer Vielzahl weiterer juristischer Fragestellungen, wie z.B. die nach der Haftung oder den Gewährleistungs- ansprüchen einhergeht [vgl. zu diesem und dem nachfolgenden Satz (Winkelmann, 2010, S. 17 & 18)]. Prinzipiell ist zu sagen, dass Cloud- Verträge sich nicht eindeutig zu einem Vertragstyp zuordnen lassen sondern Mischformen aus Mietvertrag, Dienst- und bzw. oder eines Werkvertrag darstellen.

Nachfolgend werden nun die juristisch essentiellen Anforderungen an die Nutzung von Cloud- Computing zusammengefasst beschrieben:

3.2.1) Auftragsdatenverarbeitung

Es gibt diverse juristische Klassifizierungsansätze, die sich mit Cloud- Computing befassen. In der Praxis stellt Cloud- Computing eine Variante des Outsourcings dar [vgl. zu diesem und den zwei folgenden Sätzen (RA Petzold, 2011, S. 3 & 6)]. Dies bedeutet, dass es sich um die Auslagerung von unterschiedlichsten Datenverarbeitungsdienstleistungen handelt, welche ein Nutzer von einem Anbieter bezieht. Daraus ergibt sich, dass es sich um eine sog. Auftragsdatenverarbeitung nach § 11 BDSG (Bundesdatenschutzgesetz) handelt.

Ergänzend dazu muss berücksichtigt werden, dass nach § 146 Abs. 2 S.1 Abgabenordnung (AO) alle steuerlich relevanten Informationen grundsätzlich nur im Inland zu führen und aufzubewahren sind. Auf einen Antrag hin kann die zuständige Finanzbehörde nach dem am 01.01.2009 (siehe auch JStG 2009) eingefügten AO § 146 Abs. 2a AO bewilligen, dass die Dokumente in einem Mitgliedsstaat der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR, für eine Übersicht siehe auch Abbildung 8)) mit Amtshilfeübereinkommen archiviert werden. Im Gegensatz dazu müssen nach § 257 Abs. 4 Handelsgesetzbuch (HGB) Buchungsbelege und Handelsbriefe im Inland mit einer Frist von sechs bzw. zehn Jahren aufbewahrt werden [vgl. (Weichert, 2010, S. 3)].

3.2.1.1) Auftragsdatenverarbeitung im Inland, in der EU und dem EWR

Erfolgt die Auftragsdatenverarbeitung des Cloud- Anbieters im Inland, in einem anderen Mitgliedstaat der EU oder in einem Vertragsstaat des Abkommens über den EWR so ist diese aufgrund der geltenden juristischen Regularien privilegiert [vgl. zu diesem und dem folgenden Absatz (RA Petzold, 2011, S. 6 & 7)].

Bei Verträgen mit Cloud- Anbietern, welche diesen Anforderungen entsprechen, gilt es weiterhin, die folgenden Punkte vertraglich zu fixieren:

- nach § 11 Abs. 2 Nr. 2 BDSG die Art, den Zweck und den Umfang der geplanten Erhebung, Verarbeitung und bzw. oder Nutzung von (personenbezogenen) Daten sowie den Kreis der Betroffenen,

- nach § 9 BDSG und der Anlage zu § 9 S. 1 BDSG die zu treffenden technischen und organisatorischen Maßnahmen für § 11 Abs. 2 Nr. 3 BDSG,
- die etwaigen Berechtigungen zur Begründung von Unterbeauftragungen laut dem § 11 Abs. 2 Nr. 6 BDSG sowie
- die Kontrollrechte des Cloud- Nutzers und dem entgegengesetzt die Pflichten zur Unterstützung wie sie § 11 Abs. 2 Nr. 7 BDSG vorschreiben.

Der Cloud- Nutzer bleibt für die Einhaltung der juristischen Anforderungen wie den Datenschutzbestimmungen bei der Erbringung der Leistung durch den Cloud- Anbieter verantwortlich. Durch die Nutzung verpflichtet sich der Cloud- Nutzer über die gesamte Laufzeit des Vertragsverhältnisses den Pflichten nach § 11 Abs. 2 S.1 BDSG nachzukommen.

Es gilt grundsätzlich, dass die Übermittlung personenbezogener Daten oder die Nutzung selbiger zum Zwecke der Erfüllung eigener Geschäftszwecke zulässig ist, wenn es der Durchführung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Sachverhaltes mit einem Betroffenen dient nach § 28 Abs. 1 Nr. 1 BDSG [vgl. zu diesem und den nachfolgenden drei Absätzen (RA Petzold, 2011, S. 5 & 6)].

Dieser Tatbestand ist in der Praxis bei einem Outsourcing von IT- Diensten in eine Cloud nicht erfüllt, da der Zweck eines Vertrages, den beispielsweise ein Mitarbeiter mit dem Cloud- Nutzer geschlossen hat, oder ein Vertrag, welchen ein Kunde oder ein Lieferant mit dem Cloud- Nutzer geschlossen hat, grundsätzlich nicht umfasst, dass personenbezogene Daten der Betroffenen in eine Cloud übermittelt werden.

Dem steht entgegen, dass eine Übermittlung von personenbezogenen Daten oder die Nutzung selbiger zur Wahrung berechtigter Interessen der verantwortlichen Stelle – also des Cloud- Nutzers – gerechtfertigt ist, wenn kein Grund zur Annahme besteht, dass das schutzwürdige Interesse der Betroffenen an dem Ausschluss der Verarbeitung bzw. Nutzung überwiegt laut § 28 Abs. 1 Nr.2 BDSG. In der Praxis gilt allerdings, dass die Interessenabwägung zwischen dem Cloud- Nutzer und dem Betroffenen mit einem strengen Maßstab bewertet wird und der Tatbestand im Einzelfall restriktiv auszulegen ist.

3.2.1.2) Auftragsdatenverarbeitung in einem Dritt(aus)land, außerhalb der EU und des EWR

Wird ein Cloud- Anbieter genutzt der nicht im Inland oder innerhalb der EU bzw. dem EWR die Leistungen erbringt, so gilt es, den weiteren Anforderungen aus § 46 BDSG gerecht zu werden [vgl. zu diesem und dem folgenden Absatz (RA Petzold, 2011, S. 7 & 8)].

In der Praxis kommt es zur Legitimierung der Datenübermittlung durch die vier folgenden Regelungen:

- es liegt eine Feststellung der EU- Kommission vor, welche bestätigt, dass im Dritt(aus)land eine angemessene Datenschutzregelung besteht,
- es gibt eine Vereinbarung (Standardvertragsklauseln) für die Übermittlung von Daten in Drittländer der EU- Kommission,
- wenn der Cloud- Anbieter sich dem „Safe Harbor“- Abkommen verpflichtet hat und seinen Sitz in den USA hat oder
- wenn verbindliche Unternehmensregelungen im Sinne des § 4 c Abs. 2 S. 1 BDSG zwischen dem Cloud- Nutzer und dem Cloud- Anbieter getroffen wurden (sog. „Corporate Binding Rules“) und diese von der zuständigen Datenschutzbehörde genehmigt wurden.

Besonders kritisch wird derzeitig das genannte „Safe Harbor“- Abkommen (deutsch Sicherer Hafen, ein Handelsabkommen zwischen der EU und den USA) diskutiert. So geht aus einem Bericht im Rahmen einer Anhörung im Innenausschuss des EU- Parlaments hervor, dass mindestens 427 irreführende Angaben über Teilhaberschaften durch US- Unternehmen alleine im Jahr 2013 gemacht wurden. Die massive Kritik scheint berechtigt, wenn man berücksichtigt, dass US- Unternehmen sich selbst Zertifizieren und in die Liste des US- Handelsministeriums eintragen lassen können, um den Anforderungen des „Safe Harbor“- Abkommen gerecht zu werden. Diese Eintragungen werden kaum bis nicht kontrolliert [vgl. zu diesem Absatz (Pachali, 2013), (Schallenböck, 2013), (Rutzke, 2013) & (EU- Parlament, 2013, S. 4 ff.)].

So räumte beispielsweise Microsoft 2011 in einer Stellungnahme zum Microsoft (MS) Office 365 (SaaS) ein, dass man Daten ohne die vorherige Zustimmung weitergeben könnte und würden. So äußerte sich Microsoft, dass der Nutzer von MS- Diensten seine Einwilligung dazu erteile, dass MS auf Informationen, welche mit der Verwendung der MS- Dienste in Verbindung stehen, zugreifen und diese offenlegen dürfte – einschließlich personenbezogener Daten [vgl. zu diesem Absatz (Rutzke, 2013) & (Kirsch, 2011)].

Dies bedeutet, wenn ein Dienst wie MS- Office 365 in den USA gehostet wird, ist es nahezu unmöglich für den Cloud- Nutzer, seinen gesetzlichen Pflichten wie denen des § 11 Abs. 2 S.1 BDSG nachzukommen.

3.2.2) Personenbezogene Daten

Handelt es sich bei den verarbeiteten Daten um sog. „personenbezogene Daten“, so finden die Regelungen des BDSG nach § 1 BDSG und § 3 BDSG erst Anwendung. Dies wiederum führt dazu, dass nach § 11 Abs. 1 BDSG der Cloud- Nutzer verantwortlich für die Verarbeitung der übermittelten Daten ist [vgl. zu diesem und den nachfolgenden zwei Sätzen (RA Petzold, 2011, S. 4 & 6)].

Als personenbezogene Daten gelten bereits jene Informationen, die persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (des Betroffenen) darstellen. Als Betroffene gelten dabei sowohl Mitarbeiter, Kunden als auch Lieferanten.

3.2.3) Einwilligung

Das nächste Problem welches sich im Zuge dessen ergibt ist, dass personenbezogene Daten von Betroffenen an einen Cloud- Anbieter („Dritten“) nur übertragen werden dürfen, wenn der Betroffene eine freiwillige und grundsätzlich schriftliche Einwilligung erteilt hat. Voraussetzung für solch eine Einwilligung ist, dass der Betroffene sowohl auf den Zweck der Erhebung der (personenbezogenen) Daten, deren Verarbeitung und/oder deren Nutzung durch einen Cloud- Service hingewiesen wurde nach § 4 Abs. 1 BDSG (teilweise auch „ 28 Abs. 1 S. 1 Nrn. 1 und 2 BDSG).

Eine Option zur Lösung dieses Problems ist die Anonymisierung von personenbezogenen Daten - Technisch ist es jedoch durch Abgleichungen und Vernetzung möglich, die vermeintlich anonymisierten Daten einer Person zuzuordnen [vgl. (RA Petzold, 2011, S. 5)].

So zeigt die Praxis durch jüngste Skandale wie beispielsweise die globale Ausspähaffäre der NSA, dass hier schnell die Grenzen des Machbaren bei der Anonymisierung und Verschlüsselung erreicht werden.

3.2.4) Datenschutz als Grundrecht

Grundsätzlich muss jeder Cloud- Nutzer beachten, wie wichtig der Datenschutz ist. Das Bundesverfassungsgericht (BVerfG) hat in zwei besonders herausragenden Urteilen entschieden, dass sich die Datenschutzgrundrechte aus dem allgemeinen Persönlichkeitsrechten nach § Art 2. und Art. 1 Abs. 1 Grundgesetz (GG) ableiten. Gleiches gilt für das Recht auf die Gewährleistung von Vertraulichkeit und Integrität informationstechnischer Systeme [vgl. zu diesem Absatz (RA Dr. Sebastian Kraska)].

Diese Urteile zeigen deutlich, wie wichtig es ist diese entsprechenden Grundrechte eines Betroffenen jederzeit entsprechend seiner Einwilligung zu beachten und sicherzustellen, dass diese eingehalten werden.

3.3) Strafen bei einem Verstoß gegen das BDSG

Auch schreibt das Gesetz vor, dass Verstöße gegen das BDSG mit den Bußgeldvorschriften des § 43 BDSG geahndet werden. Die in der Praxis relevantesten Normen bzw. Verstöße sind dabei wie in Tabelle 5 zu finden [vgl. (RA Thomas Steinle, 2012)].

Da die Haftung aufgrund der Verpflichtungen (wie beispielsweise die der Kontrollpflicht zur Einhaltung der gesetzlichen Auflagen beim Cloud- Anbieter) letztlich primär auf den Cloud- Nutzer entfällt, ist es ratsam sich mit den potentiellen monetären Schäden bei Verstößen gegen diese Auflagen zu befassen. Weitere Schäden, wie beispielsweise Image- Schäden lassen sich erst nachgelagert bzw. kaum bis unmöglich in Zahlen erfassen. Es besteht allerdings immer die Option, eine erste Risikoanalyse auf Basis der gesetzlichen Strafen zu erstellen, um das Risiko (=Schadenshöhe mal Eintrittswahrscheinlichkeit)[2] und den daraus resultierenden Schaden bei der Nutzung (potentieller) Cloud- Services zu ermitteln.

4.) Das Experteninterview mit einem IT- Manager zur Beurteilung der juristischen Anforderungen an die IT- Governance

Im Zuge des folgenden Experteninterview werden die in Kapitel 3.) ermittelten juristischen Anforderungen an die Nutzung von Cloud- Computing mit einem IT- Manager diskutieren. Die Auswahl des Gesprächspartners, die Vorbereitung, Durchführung und Auswertung orientiert sich dabei an dem Kapitel Das Experteninterview – eine Kurzanleitung.

4.1) Auswahl des Gesprächspartners für das Experteninterview

Als Gesprächspartner für das Experteninterview wurde der IT- Manager eines mittelständischen IT- Dienstleisters gewählt. Für weitere Informationen zum Unternehmen des befragten IT- Managers siehe auch das Kapitel Die MVI Solve- IT GmbH.

4.2) Vorbereitung des Experteninterviews

Im Zuge der Vorbereitung des Experteninterview wurde die folgende leitende Forschungsfrage formuliert: Wie weit sind die juristischen Anforderungen beim Einsatz von Cloud- Computing im Unternehmen bekannt wie werden diese in der IT- Governance berücksichtigt?

Aus Basis der Ergebnisse aus Kapitel 3.) sowie der leitenden Forschungsfrage für das Experteninterview werden Hypothesen durch den Interviewer abgeleitet. Diese finden sich in dem Kapitel Hypothesen.

Als Basis für das Experteninterview wurde ein Fragenkatalog erstellt welcher sich an den Ergebnissen aus Kapitel 3.), der leitenden Forschungsfrage sowie den durch den Interviewer gebildeten Hypothesen orientiert. Dieser Fragenkatalog findet sich unter dem Kapitel Fragenkatalog.

4.3) Durchführung des Experteninterviews

Das Experteninterview wird in den Räumlichkeiten der MVI Solve- IT GmbH durchgeführt. Bei dem Interview sind der Experte und der Interviewer anwesend. Für das Interview wurde ein Zeitfenster von 30 Minuten angesetzt. Ein Protokoll zu den Antworten findet sich unter dem Kapitel Durchführung. Auf Wunsch des Experten wurden die Ergebnisse der Diskussionen in Abstimmung in Sätzen mittels Mitschrieb dokumentiert – siehe dazu das Kapitel Durchführung.

4.4) Auswertung des Experteninterviews

Ausgehend von den Antworten aus dem Kapitel Durchführung lassen sich die Aussagen nun in Gegenüberstellung zu den vorher gebildeten Hypothesen auswerten. Daraus ergibt sich zu Hypothese Nummer (1), dass die juristischen Anforderungen bei der Nutzung von Cloud- Computing im Unternehmen selbst kaum real vorhanden sind. Hier ist die Unterstützung durch fachkundige Dritte (beispielsweise Rechtsanwalt bzw. der benannte Datenschutzbeauftragte) notwendig. Dies geht aber nur dann, wenn die Verträge mit diesen Dritten selbigen in eine verbindliche (haftbare) Verantwortung nehmen.

Zu Hypothese Nummer (2) hat sich die Vermutung bestätigt, dass die Unternehmenseigene IT- Governance aktuell keine eigenen Kontrollstrukturen bzw. –prozesse hat, welche gelebt werden. Hier stützt man sich wie zuvor auf die Haftung und daraus resultierende Pflicht des Dritten zur Einhaltung dieser Anforderungen. Interessant ist allerdings, dass das Unternehmen grundsätzlich keine Anbieter berücksichtigt, welcher Ihren Dienst außerhalb der EU bzw. des EWR erbringt, in Betrachtung zieht. Hier scheint das Bewusstsein über die Schwierigkeiten bezüglich der vertraglichen Haftung usw. bereits im Unternehmen bekannt zu sein und man versucht dies zu umgehen, indem nur Anbieter in die Auswahl kommen, die sich auf die deutsche bzw. EU Gesetzgebung berufen.

Abschließend ergibt sich zu Hypothese Nummer (3), dass zwar der aus einem Verstoß gegen das BDSG resultierende Schaden bekannt ist, aber nicht, wie genau dieser bei welcher Form des Verstoßes aussieht. Auch hier beruft man sich auf die Haftung und Pflicht des Dritten. In wie weit dies in der Praxis mittel- bis langfristig anwendbar ist, bleibt abzuwarten. Die bereits in den Antworten des Experten erwähnten (notwendigen) Änderungen etc. an den bestehenden juristischen Anforderungen werden sicher auch hier Auswirkungen haben. Vielleicht wird die derzeitige Lösung, einen externen als Haftbaren Dritten mit einzubeziehen, eine gängige Möglichkeit sich hier rechtlich abzusichern. Oder es könnte eine gegenteilige Situation entstehen, die trotz Dritten den Cloud- Nutzer noch stärker in die Pflicht nimmt.

Wie sich im Rahmen der ansehenden Veränderungen bei der Verbreitung von Cloud- Computing der Einfluss auf die unternehmenseigene IT- Governance verändert ist derzeitig nicht absehbar. Es ist aber zu vermuten, dass es sich in Abhängigkeit von den beiden zuvor genannten Szenarien entweder zu einem stark in den Vordergrund tretendem Thema entwickeln wird oder gänzlich über Dritte abgewickelt werden kann.

5.) Fazit

Betrachtet man die Erkenntnisse aus Kapitel 3.), so lässt sich daraus Ableiten, dass es derzeitig keine eindeutige rechtliche Praxis gibt. Diese Vermutung wird dadurch bekräftigt, dass die Auswertung des Experteninterviews (vgl. dazu Kapitel Durchführung) die Hypothesen als Grundlage der Fragen zu dem Interview (vgl. dazu Hypothesen) überwiegend bestätigt.

Natürlich ist dieses Ergebnis nur ein kleiner Ausschnitt, welcher nicht als Maßstab für alle Unternehmen in Deutschland gelten kann, allerdings bestätigt er die Sorgen der deutschen Unternehmen bei der Einführung und Nutzung von Cloud- Computing die auch die jährliche Studie von KPMG zuletzt ermittelt hat [vgl. (KPMG Cloud- Monitor 2014)].

Wie sich die Entwicklung von Cloud- Computing in der Unternehmensrealität wiederspiegeln wird bleibt aktuell eine eher wage Aussage bzw. Prognose. Grundsätzlich wird sich auch in diesem Jahr (2014) an dem Wachstum der Cloud- Branche in Deutschland nichts ändern, allerdings stehen dem die Ängste vor Datenverlust bzw. unbefugten Zugriff Dritter und der ungeklärten juristischen Rahmenbedingungen die bei der Nutzung von Cloud- Computing aufkommen entgegen und werden nicht zuletzt durch Skandale wie beispielsweise die NSA- Abhöraffäre geschürt.

Daraus schließe ich das Fazit, dass trotz des damit verbundenen Aufwands, die einzig realistische Möglichkeit darin besteht, die Kontrolle usw. über die Unternehmenseigene IT- Governance abzubilden. Vielleicht werden sich in naher Zukunft aus diesem offensichtlich bestehenden Bedarf Best- Practices ableiten oder viel mehr Frameworks zur Bewältigung dieser Arbeit wie es beispielsweise ITIL ist. Einen abschließenden Schwerpunkt in naher Zukunft sehe ich auch in der Nutzung von Diensten, welche von Anbietern aus den USA erbracht werden. Die Kritik an den Schwächen und vor allem dem Missbrauch an dem derzeitigen „Safe- Harbor“- Abkommens wird hier voraussichtlich eine Barriere bilden und viele (potentielle) Cloud- Nutzer abschrecken. Auch ergibt sich die Frage, wie dies die Wirtschaftsspionage beeinflusst, wenn US- Konzerne wie MS einräumen, hier eigenmächtig Daten abzuschöpfen. Die Verbindung von IT- Security und Cloud- Computing wird für mich zu einem sich bedingenden Trend werden in den kommenden Jahren.

Anhang

Tabellen

Tabelle 3 - Matrix zu Cloud- Diensten

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Erstellung in Anlehnung an (Winkelmann, 2010, S. 7), 2014

Es gilt, dass jeder Service sich auch theoretisch in Form eines jeden Cloud- Typen abbilden lässt. Wie dies in der Praxis aussieht, wird an dieser Stelle nicht weiter vertieft.

Tabelle 4 - Beispiele für Vor- und Nachteile des Cloud- Computing

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Erstellung in Anlehnung an (Winkelmann, 2010, S. 8 & 9) & (KPMG AG Wirtschaftsprüfungsgesellschaft, 2014, S. 28)

Tabelle 5 - Bußgelder für Verstöße gegen das BDSG

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Erstellung in Anlehnung an (Rutzke, 2013) & (RA Thomas Steinle, 2012)

Die MVI Solve- IT GmbH

Die MVI SOLVE- IT GmbH ist ein (IT- )Beratungs- und Dienstleistungsunternehmen im Bereich (IT- ) Engineering und Produkt- Entwicklungsprozesse mit Schwerpunkt Automobilindustrie. Mit aktuell mehr als 200 Mitarbeitern werden dabei komplexeste (IT- )Projekte wie beispielsweise die (fachliche) Entwicklung von BMW ConnectedDrive[3] realisiert. Die MVI Solve- IT GmbH integriert sich in die MVI Group (vergleiche dazu Abbildung 6 - MVI- Group), welche mit aktuell etwa 1.200 Mitarbeitern die internationalen Kunden der Automobilindustrie betreut.[4]

Abbildung 6 - MVI- Group

Abbildung in dieser Leseprobe nicht enthalten

Quelle: http://www.mvi- group.com/sites/default/files/mvi- group.png,

abgerufen am 14.06.2014

Nachfolgend noch die vereinfachte Aufbauorganisation der MVI Solve- IT GmbH und deren Einordnung der Unternehmens- IT unter Shared Services – siehe Abbildung 7.

Abbildung 7 - Aufbauorganisation der MVI Solve- IT GmbH

Abbildung in dieser Leseprobe nicht enthalten

Quelle: MVI Solve- IT GmbH, 2013

Der EWR

Abbildung 8 - Der EWR

Abbildung in dieser Leseprobe nicht enthalten

Quelle: http://www.europarl.europa.eu/brussels/website/media/modul_05/Abbildungen/Images/me_EWR.jpg, abgerufen am 17.06.2014

Das Experteninterview – eine Kurzanleitung

[vgl. zu diesem Kapitel (Mieg, 2005, S. 11)]

1) Von der leitenden Forschungsfrage zu den Hypothesen

Vorfrage: Habe ich genug Vorwissen zum Thema, um auf dem Wissensniveau von Experten Fragen stellen zu können?

- Thema / Sache vorstrukturieren: das eigene Interessenfeld abstecken
- Fragestellung entwerfen: Was ist die leitende Forschungsfrage?
- Hypothesen formulieren (persönliche Erwartungen? wahrscheinliche Antworten der Experten?)

2) Der Experte / die Expertin

Vorfrage: Welche Person verfügt über ausreichend erfahrungsgestütztes Wissen, das die Fragen zu meinen Hypothesen beantworten kann?

- Die Person anschreiben & anrufen: Ziel und Inhalt meiner Forschung darlegen; Transparenz
- Akzeptiert die angefragte Person die Rolle als Experte? Falls nein ⇒kein Interview
- Ist die angefragte Person auch wirklich Experte für meine Fragestellung? Falls nein ⇒ kein Interview
- Den Betriebskontext des gewählten Experten berücksichtigen: Funktion, Status, Art der Institution...?

3) Leitfaden

Leitfadenkonstruieren

- Einteilung: Einstiegsfragen; Frageblöcke gemäß der Themen und Unterthemen; Dank
- Abfolge der Frageblöcke gemäß der Sachlogik festlegen; die voraussichtliche

Gesprächsdynamik bedenken ("heikle" Fragen zuletzt)

- Funktionskontext der Befragung berücksichtigen: Wie reagiert die Person auf mich als Interviewer?

Was erwartet sie von mir?

- Sachlichkeit anstreben: direkt und klar fragen, keine (tiefen- )psychologischen Fragen stellen!

- Mögliche Antworten überlegen; falls Antwort auf eine Frage eindeutig ⇒Frage neu überlegen

Vortest

4) Planung und Durchführung der Datenerhebung

Planung
- Vorinformation an Experten: z.B. Anschreiben, E- Mail oder Fax mit Fragenauswahl; sich von
Experten Einverständnis zum Rahmen der Fragen geben lassen
- Termin vereinbaren und Gesprächsdauer festlegen (i.d.R. 1 Stunde). Sollte aufgrund widriger
Umstände Zeitdruck zu erwarten sein: neuen Termin ausmachen (wenn möglich)

Durchführung
- Protokollieren: Tonband- und Handprotokoll, inkl. Angaben zu Zeit, Ort, Teilnehmern;
- wichtige Beobachtungen notieren: Störungen, neue Fragen
- Schluss: Gelegenheit zum Rollentausch geben: Was möchten Sie von mir wissen?

5) Auswertung

- Gibt es "leere" Aussagen? (andere Antwort nicht möglich)
- Antworten auf Hypothesen
- Antworten auf die Leitende Forschungsfrage
- Antworten, die das Thema in neuer Struktur erscheinen lassen (Theoriebildung)

6) Veröffentlichung

- Wünschen Befragte anonym zu bleiben?
- Autorisierung von Zitaten: Falls von Befragten oder zur eigenen Absicherung gewünscht

Das Experteninterview

Hypothesen

1.) Die juristischen Anforderungen sind kaum bis unzureichend bekannt. Man verlässt sich bei der Nutzung von Cloud- Computing „Standardservices“ wie beispielsweise MS Office 365 (SaaS) primär auf die Standardverträge, welche der Cloud- Anbieter stellt.
2.) Die Unternehmenseigene IT- Governance wird dabei kaum einen detaillierten Überblick über die Bestandteile des Cloud- Anbieter Vertrags habe. Dies wäre aber zwingend notwendig, um die auf den gesetzlichen Vorgaben basierenden Kontrollstrukturen zu definieren.
3.) Sowohl die Definition als auch der vorgeschriebene Umgang mit personenbezogenen Daten (von Kunden, Mitarbeitern und Lieferanten) ist unzureichend bekannt. Das daraus resultierende potentielle Schadensausmaß, beispielsweise nach Tabelle 5, ist kaum bis nicht bekannt.

Fragenkatalog

1.) Würden Sie sich als Experten in der Thematik „Cloud- Computing“ bezeichnen?

2.) Nutzen Sie Cloud- Computing im Unternehmen? Wenn ja, welche Dienste nutzen Sie genau?

a. Wenn ja, ist Ihnen der Inhalt des Vertrags mit dem Cloud- Anbieter bekannt? Wissen Sie beispielsweise, von wo aus der Dienst gehostet wird oder wo sich die Server befinden, welche die damit einhergehenden Daten speichern?

3.) Ist der Einsatz von (weiteren) Cloud- Diensten für das Unternehmen geplant?

a. Wenn ja, welche Dienste genau und nach welchen Kriterien wählen Sie den Cloud- Anbieter aus?
b. Wenn nein, warum nicht? Was ist der Grund dafür, keine Cloud- Dienste im Unternehmen einzusetzen?

4.) Was sind Ihre größten Bedenken beim Einsatz von Cloud- Computing im Unternehmen?

5.) Sind Ihnen die juristischen Anforderungen bei der Nutzung von Cloud- Computing bekannt?

a. Wenn ja, wie kommen Sie den gesetzlichen Auflagen wie beispielsweise der Prüfungspflicht des Cloud- Anbieters auf Einhaltung der juristischen Anforderungen nach? Was für Prozesse etc. haben Sie dazu im Unternehmen bzw. der IT- Governance des Unternehmens implementiert?
b. Wenn nein, wie sichern Sie sich bei der Nutzung von Cloud- Computing im Unternehmen ab?

6.) Wie beurteilen Sie die Entwicklung von Cloud- Computing in naher Zukunft und welche juristischen Anforderungen bei der Nutzung dieser Technologie müssten sich Ihrer Einschätzung nach Ändern und warum?

Durchführung

Zu 1.) „Jain, aus technischer Sicht besteht das notwendige Wissen und die Erfahrung, um vom Experten- Status zu sprechen. Defizite bestehen besonders bei den rechtlichen zusammenhängen wie beispielsweise den Gesetzen und Szenarien zum Umgang mit personenbezogenen Daten. Für alles was den juristischen Bereich tangiert, haben wir einen externen Datenschutzbeauftragten, welcher hier mit Haftung etc. eingebunden ist.“

Zu 2.) „Ja, aktuell werden MS- Dienste für wie Lync und Sharepoint für die Bereiche Mail und Kollaboration eingesetzt.“

Zu 2.a) „Jain, es sind (technische) Eckdaten bekannt wie beispielsweise die Standorte, von denen aus die MS- Dienste gehostet werden. In unserem Falle sind dies Dublin und Amsterdam.“

Zu 3.) „Ja, wir planen die Einführung weiterer Cloud- Dienste. Wir haben dazu eine eigene IT- Strategie welche bis Ende 2015 reicht.“

Zu 3.a) „Laut der zur unserer IT- Strategie zugehörigen Roadmap werden wir im kommenden Jahr (2015) für die gesamte MVI- Gruppe ein Bewerbersystem einführen. Dieses System wird von Rex- Systems kommen. Weitere Punkte dieser Roadmap sind beispielsweise die Einführung eines neuen DMS- bzw. ECMS- Systems auf Basis eines Cloud- Dienstes. Bei der Auswahl solcher Dienste basiert die Entscheidung primär auf dem angebotenen Leistungs- und Funktionsumfang des Anbieters. Alle weiteren Vereinbarungen etc. werden dann im eigentlichen Vertrag fixiert. Grundsätzlich gilt aber, dass wir nur Anbieter auswählen, welche sich in Deutschland befinden bzw. innerhalb der EU. Drittländer oder Anbieter aus den USA bzw. welche die Leistung aus den Staaten heraus erbringen sind für uns tabu. Natürlich ist das Potential Kosten zu sparen usw. immer ein Kriterium, allerdings nicht entscheidend für die finale Auswahl.“

Zu 4.) „Vorranging die Verfügbarkeit. Die Sorgen bezüglich des Datenschutzes sind eher gering – die Sorge des Missbrauchs durch die Mitarbeiter erscheint hier aufgrund diverser Statistiken leider größer zu sein.“

Zu 5.) „Ähnlich wie es bei Frage 1.) der Fall ist muss ich hier leider Jaein bzw. Nein sagen. Was mir beispielsweise bekannt ist, sind Steuerrechtliche Vorgaben. Teils auch das Wissen um die Nutzung personenbezogener Daten für geschäftliche Zwecke (Stichwort Geschäftsverhältnis), allerdings bin ich bzw. sind wir als Unternehmen an dieser Stelle ein wenig abhängig von der vertraglichen Zulieferung unseres Datenschutzbeauftragten. Und dieser ist da sehr akribisch – nicht zuletzt weil er durch besagtes Vertragsverhältnis auch in Haftung treten muss im Zweifel.“

Zu 5.a) „Aktuell haben wir dazu keinen eigenständigen Prozess innerhalb unserer IT- Governance. Wir haben hier alles vertraglich an unserem Datenschutzbeauftragen Juristen ausgelagert.“

Zu 6.) „Also meiner Einschätzung nach bleibt die jetzige positive Entwicklung im Trend, da sowohl das Angebot als auch die Nutzerzahlen steigen werden. Bedenkt man die Weiterentwicklung der Infrastruktur wie Internetanbindungen, die Verbreitung mobiler Endgeräte als auch die immer schnelleren mobilen Internetzugänge, so spricht dies für meine Annahme. Was damit einhergehen wird ist natürlich, dass aufgrund der Verbreitung bzw. Nutzung auch die gesetzlichen Rahmenbedingungen immer schneller angepasst werden müssen. Ich würde sagen, dass wir in Deutschland mit dem BDSG vielleicht viel zu penibel sind und im Gegensatz dazu, die Europäische Datenschutzrichtlinie noch zu viel Interpretationsspielraum usw. offen lässt. Hier sollten wir uns am besten auf ein gesundes Mittelmaß einigen, da ich sonst vermute, dass die mangelnden bzw. intransparenten juristischen Anforderungen die Entwicklung ausbremsen könnten.“

[...]


[1] steht für die Einhaltung von Gesetzen und Richtlinien in Unternehmen, für weitere Informationen siehe auch http://www.dcgk.de/de/; abgerufen am 11.06.2014

[2] Für weitere Informationen zum Risikobegriff siehe auch http://sicherheitskultur.at/pdfs/Risikobewertung.pdf; abgerufen am 18.06.2014

[3] Für weitere Informationen zu BMW ConnectedDrive ® siehe auch http://www.bmw.de/de/topics/faszination- bmw/connecteddrive- 2013/ubersicht.html, abgerufen am 13.06.2014

[4] Für weitere Informationen zu der MVI Group oder MVI Solve- It GmbH siehe auch http://www.mvi- group.com/de, abgerufen am 14.06.2014

Ende der Leseprobe aus 35 Seiten

Details

Titel
Der Einfluss von Cloud-Computing auf die IT-Governance
Untertitel
Eine Analyse zum Umgang mit juristischen Anforderungen in Deutschland 2014
Hochschule
Technische Hochschule Ingolstadt  (IAW)
Note
1.7
Autor
Jahr
2014
Seiten
35
Katalognummer
V280219
ISBN (eBook)
9783656745259
ISBN (Buch)
9783656745303
Dateigröße
1580 KB
Sprache
Deutsch
Schlagworte
einfluss, cloud-computing, it-governance, eine, analyse, umgang, anforderungen, deutschland
Arbeit zitieren
Christian Meffert (Autor), 2014, Der Einfluss von Cloud-Computing auf die IT-Governance, München, GRIN Verlag, https://www.grin.com/document/280219

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Der Einfluss von Cloud-Computing auf die IT-Governance



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden