Cloud Computing

Cloud Computing bezeichnet das sich dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite, der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software. So die Definition des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Ein Cloud-Service wird durch fünf charakteristische Eigenschaften identifiziert. Erstens den On-Demand-Self-Service. Dies bedeutet die Provisionierung der Ressourcen (z. B. Rechenleistung, Storage) läuft automatisch ohne Interaktion mit dem Service Provider ab. Zweitens den Broad Network Access. Dies bedeutet die Services sind mit Standard-Mechanismen über das Netz verfügbar und nicht an einen bestimmten Client gebunden. Drittens das Ressource Pooling. Dies bedeutet die Ressourcen des Anbieters liegen in einem Pool vor, aus dem sich viele Anwender bedienen können (Multi-Tenant Modell). Dabei wissen die Anwender nicht, wo die Ressourcen sich befinden, sie können aber vertraglich den Speicherort, also z. B. Region, Land oder Rechenzentrum, festlegen. Viertens die Rapid Elasticity. Dies bedeutet die Services können schnell und elastisch zur Verfügung gestellt werden, in manchen Fällen auch automatisch. Aus Anwendersicht scheinen die Ressourcen daher unendlich zu sein. Fünftens die Measured Services. Dies bedeutet die Ressourcennutzung kann gemessen und überwacht werden und entsprechend bemessen auch den Cloud-Anwendern zur Verfügung gestellt werden.

Außerdem wird ein Cloud-Service nach der Cloud Security Alliance (CSA) neben der oben erwähnten Elastizität und dem Self Service noch durch folgende Eigenschaften bestimmt. Die Service orientierte Architektur (SOA) ist eine der Grundvoraussetzungen für Cloud Computing. Die Cloud-Dienste werden in der Regel über ein sogenanntes REST-API angeboten. In einer Cloud-Umgebung teilen sich viele Anwender gemeinsame Ressourcen, die deshalb mandantenfähig sein muss. Es werden nur die Ressourcen bezahlt, die auch tatsächlich in Anspruch genommen wurden (Pay per Use Model), wobei es auch Flatrate-Modelle geben kann.

Grundsätzlich können drei verschiedene Kategorien von Servicemodellen unterschieden werden. Bei Infrastructure as a Service (IaaS) werden IT-Ressourcen wie z. B. Rechenleistung, Datenspeicher oder Netze als Dienst angeboten. Ein Cloud-Kunde kauft diese virtualisierten und in hohem Maß standardisierten Services und baut darauf eigene Services zum internen oder externen Gebrauch auf. So kann ein Cloud-Kunde z. B. Rechenleistung, Arbeitsspeicher und Datenspeicher anmieten und darauf ein Betriebssystem mit Anwendungen seiner Wahl laufen lassen. Bei Platform as a Service (PaaS) stellt ein PaaS-Provider stellt eine komplette Infrastruktur bereit und bietet dem Kunden auf der Plattform standardisierte Schnittstellen an, die von Diensten des Kunden genutzt werden. So kann die Plattform z. B. Mandantenfähigkeit, Skalierbarkeit, Zugriffskontrolle, Datenbankzugriffe, etc. als Service zur Verfügung stellen. Der Kunde hat keinen Zugriff auf die darunterliegenden Schichten (Betriebssystem, Hardware), er kann aber auf der Plattform eigene Anwendungen laufen lassen, für deren Entwicklung der CSP in der Regel eigene Werkzeuge anbietet. Bei Software as a Service (SaaS) fallen sämtliche Angebote von Anwendungen, die den Kriterien des Cloud Computing entsprechen, in diese Kategorie. Dem Angebotsspektrum sind keine Grenzen gesetzt. Als Beispiele seien Kontaktdatenmanagement, Finanzbuchhaltung, Textverarbeitung oder Kollaborationsanwendungen genannt.

Zur Vermeidung einer Vielzahl möglicher Probleme ist es erforderlich, bereits bei der Ausgestaltung der Verträge, das Verhältnis der Vertragspartner zueinander interessengerecht zu gestalten und rechtlich abzusichern. Da viele Dienstleistungsanbieter von Cloud Computing ihren Sitz im nicht-europäischen Ausland haben, werden zur Einhaltung datenschutzrechtlicher Bestimmungen auch notwendige Zusatzvereinbarungen von der Kanzlei geprüft und erstellt.

Bestehende Risiken und Gefahren bei der Nutzung von Dienstleistungen im Bereich des Cloud Computing werden zudem mit den Vertragspartnern erörtert, abgewogen und nach Möglichkeit minimiert.

Von der an die Bedürfnisse des Unternehmens, der Organisation oder der Einrichtung angelehnten Planung und Umsetzung, bis hin zur Unterzeichnung der erforderlichen Verträge, begleitet und betreut Sie unsere Kanzlei in allen rechtlichen Angelegenheiten für eine erfolgreiche und sichere Nutzung von Cloud Computing Dienstleistungen.

 

Unsere Kanzlei berät bei der Nutzung von Cloud-Services zu folgenden Themengebieten:

  • Rechtliche Anforderungen an den Cloud Service
  • Abschätzung und Eingrenzung der rechtlichen und technischen Risiken bei der Nutzung von Cloud-Diensten
  • Auswahl der Applikationen und Art der personenbezogenen Daten für den Cloud-Service
  • Erfassung und Dokumentation des Datenflusses (Data Mapping, Data Workflow)
  • Auswahl der geeigneten Cloud-Anbieter zusammen mit dem Cloud-Nutzer
  • Einhaltung der technisch-organisatorischen Maßnahmen beim Cloud-Service
  • Verschlüsselung und Entschlüsselung von Daten in der Cloud
  • Migration der bestehenden Daten in die Daten-Cloud
  • Wechsel des Cloudanbieters, Unterstützungsleistungen
  • Erstellung, Prüfung und Verhandlung von Cloud-Verträgen (IT-Recht)
  • Rechtliche Absicherung des Cloud Services durch Erstellung und Unterzeichnung der erforderlichen datenschutzrechtlichen Verträge, z. B. Vereinbarungen zur Auftragsverarbeitung, EU-Standarddatenschutzklauseln
  • Apps zur Nutzung von Daten-Clouds für mobile Endgeräte (Smartphone, iPad) und deren rechtliche Einordnung