Tag: Cloud

Interaktive Web-Anwendungen bergen erhebliche Compliance-Risiken. Die Frage nach einer „Compliance 2.0“, bei der Internetapplikationen aktiv in die Compliance-Strategie des Unternehmens integriert werden, ist dabei nicht neu. Gegenwärtig hat die Frage vor allem aufgrund des zunehmenden Cloud Computings aber wieder neue Brisanz bekommen.
Der kollaborative Charakter des Internets ermöglicht es jedem Netzteilnehmer, Dienste und Inhalte zusammenzustellen und zu veröffentlichen. Unternehmen erkennen den „User Generated Content“ zunehmend als Bereicherung und Aufwertung ihrer Internet-Strategie. Doch über den Vorteilen – beispielsweise einer höheren Nutzerbindung und kostenlosem Inhalt – dürfen die Risiken nicht vernachlässigt werden. Unter dem Rechtsaspekt betrachtet, stellt das Web 2.0 alle Beteiligten vor neue Herausforderungen. Sie betreffen keineswegs nur die Unternehmen, die in ihrem Kerngeschäft mit interaktiven Web-Anwendungen zu tun haben. Der Umgang mit den Nutzern richtet sich hier sowohl an nationalen als auch nach internationalen Rechtsgrundlagen aus. Deshalb müssen alle Unternehmen im Zug von Web-2.0-Anwendungen Lösungen für eine ganzheitliche und nachhaltige Compliance-Strategie entwickeln.
Interaktive Anwendungen wie Diskussionsforen oder Feedback-Plattformen stellen auf der einen Seite eine kostenneutrale Bereicherung für Unternehmen dar, auf der anderen Seite aber auch ein unmittelbares Risiko. Im schlimmsten Fall gelangen auf diese Weise unerwünschte, zum Teil rechtswidrige Inhalte in den Internet-Auftritt des Unternehmens.

Risikofaktor „User Generated Content“

Darüber hinaus können Spannungen zwischen dem Datenschutz und dem Wunsch nach Anonymität einerseits sowie der Notwendigkeit zur Erfassung von Daten des Content-Erstellers andererseits auftreten. In diesem Sinn spielt die der Historisierung der Inhalte eine bedeutende Rolle: Veröffentlichungszeitpunkt sowie nachträgliche Veränderungen User Generated Content (UGC) müssen sich eindeutig erkennen und chronologisch zuordnen lassen.
Um Konflikten in diesem Bereich vorzubeugen, hat es sich in der Praxis bewährt, klare Regeln für den UGC zu kommunizieren. Mit Hilfe einer „Content Policy“ lassen sich unerwünschte Verhaltensweisen oder Themen im Vorfeld benennen und Verstöße nach Möglichkeit verhindern. Die wichtigsten zu berücksichtigenden Compliance-Aspekte bei UGC ist daher die automatisierte Filterung bei zusätzlichen manuellen Stichproben, das Aufstellen einer Content-Policy sowie der Abgleich des Datenschutzes und Identitäts-Managements auf Web-2.0-Anforderungen.Implementierung von Eskalationsszenarien (Verantwortlichkeiten, Monitoring, Dokumentation). Hinsichtlich der Umsetzung ist es ratsam, klare Verantwortlichkeiten festzulegen, Eskalationsszenarien zu erarbeiten und kontinuierliche Monitoring-Prozesse zu etablieren. Dazu gehört auch eine nachvollziehbare Dokumentation der bereits erfolgten Präventivmaßnahmen.

Cloud Computing als Chance?

Unternehmen, die Dienste in einer Cloud nutzen oder in diese verlagern möchten, müssen zuvor genau prüfen, ob Compliance und Sicherheit der Cloud-Infrastruktur auf jeder relevanten Service-Schicht den eigenen Anforderungen genügen.
Die technologischen Security-Ansätze im Cloud Computing ähneln denen herkömmlicher Infrastrukturen. Die eigentliche Schwierigkeit besteht daher vor allem darin, das Cloud-Konzept mit den diversen Compliance-Anforderungen in Einklang zu bringen.
Hiermit befassen sich auch Jan-Frank Müller und Dror-John Röcher in ihrem Beitrag „Mit sicheren Schritten in die Cloud“ in der Computerwoche. Sie empfehlen Kunden vom Provider ein etabliertes Sicherheits-Management, eine angepasste Sicherheitsarchitektur, ein funktionierendes Notfall-Management und Angaben zu seiner Mitarbeitersicherheit zu verlangen. Auf der anderen Seite seien Provider gut beraten, diese Informationen offensiv zu publizieren, um sich gegenüber dem Wettbewerb positiv zu differenzieren. Die Realität sieht jedoch häufig anders aus.Aussagen zur Verfügbarkeit oder der Security der Cloud-Dienste und ihrer zugrundeliegenden Infrastruktur finden sich nur in Produkt-Datenblättern und Whitepapers, die aber nicht Vertragsbestandteil sind. In diesem Punkt unterscheidet sich Cloud-Computing signifikant vom klassischen Outsourcing, bei dem Auftraggeber und Auftragnehmer im Due-Diligence-Prozess Parameter mit bindendem Charakter für SLAs und Security aushandeln können.
Kritische Stimmen zum Cloud Computing argumentieren oft mit einem zwangsläufigen Kontrollverlust bei der Verlagerung von Informationen oder Diensten in eine fremdbetriebene Cloud. Aber sieht die Gegenwart so viel besser aus? Tatsächlich zeigt die Erfahrung, dass kaum ein Unternehmern weiß, welche Applikationen es denn tatsächlich nutzt, und wenn doch, wie kritisch die jeweiligen Anwendungen in Bezug auf Datenschutz und die eigenen Compliancerichtlinien sind. Die Dispersion der Daten in den Unternehmen, die Webifizierung auch herkönmmlicher Software und die Verfügbarkeit großer und günstiger Speicher haben zu einem schleichenden Kontrollverlust über die Informationen und Applikationslandschaft geführt. Allein das legendäre Verschwinden von unternehmenseigenen oder mitgebrachten USB-Sticks dürfte so manchem Datenschutzbeauftragten und Complianceexperten die Tränen in die Augen treiben.
Wenn man sich diesen Zustand als Realität vergegenwärtigt, könnte man ein sauber geregeltes Cloud Computing auch als echte Chance sehen. Cloud-interessierte Unternehmen sollten sich dabei zunächst einen Überblick über die eigenen Daten und Anwendungen, sowie den anwendbaren Compliance- und Datenschutzanforderungen verschaffen. Aus den gewonnenen Erkenntnissen lässt sich dann ableiten, welche Daten oder Applikationen unter welchen Voraussetzungen Public-Cloud-tauglich sind, und welche innerhalb der eigenen Umgebung bleiben sollten.
Besonderes Augenmerk ist auf die nachweisliche Einhaltung spezifischer Compliance-Anforderungen in Public-Cloud-Diensten zu legen. Werden Compliance-relevante Informationen in die Infrastruktur eines externen Anbieters verlagert, übernimmt dieser bislang nur die Betriebsverantwortung für die Dienste. Der Kunde trägt die Kontrollverantwortung, die üblicherweise eine Auditpflicht mit sich bringt. Der Kunde muss den Provider entsprechend den Vorgaben der jeweiligen Compliance-Regel auditieren. Aktuell gelten für Cloud-Dienste die gleichen Compliance-Anforderungen wie für konventionelle Infrastrukturen. Das Bundesdatenschutzgesetz, das Aktiengesetz oder KonTraG differenzieren nicht zwischen Cloud- und „konventionellem“ Betrieb. Die Herausforderung liegt darin, die geltenden Compliance-Vorgaben nicht nur umzusetzen, sondern auch entsprechend zu dokumentieren. Solange der Provider den Nachweis nicht erbringt, ist der Kunde in der Pflicht. Am Beispiel von internationaler Public-Cloud-Anbietern wird die Problematik besonders deutlich: Sie bedienen Kunden in der ganzen Welt und jedes Land hat eigene Compliance-Richtlinien, die natürlich auch noch von Branche zu Branche stark variieren. Wie soll ein Cloud-Provider diese Fülle an Audits umsetzen, ohne die Kosten für die Dienste massiv anzupassen? Die Arbeitsgruppe CloudAudit/A6 in der sich viele namhafte Anbieter engagieren, entwickelt derzeit eine automatische Audit-Schnittstelle. Neben den Cloud-Anbietern sind jedoch auch die Gesetzgeber gefordert, die aktuelle Rechtslage der technologischen Entwicklung anzupassen.

Fazit

Der Nutzen von Web 2.0 Anwendungen wie Foren, Blogs, Wikis und Clouds ist vielgestaltig. Letztlich bietet Web 2.0 der gesamten Wirtschaft viele Chancen durch die integralen und direkten Kommunikationsmöglichkeiten. Doch eng damit verbunden sind eben auch Herausforderungen wie Compliance, Datenschutz und Risikomanagement. Deshalb muss das Thema Web 2.0 und die entsprechenden Anwendungen des Unternehmens und seiner Mitarbeiter und Kunden in entsprechende strategische Überlegungen und schließlich auch die entsprechenden Regularien und die unternehmensweite Compliance-Strategie eingebunden werden. Die User, also sowohl Mitarbeiter als auch Kunden sollten im Umgang mit den jeweiligen digitalen Daten sensibilisiert werden. Das ebnet den Weg, um aus dem Web 2.0 wertvolle Erkenntnisse zu filtern und entsprechende Anwendungen gewinnbringend im Unternehmen einzusetzen.

Auf XING empfehlenBeitrag auf XING empfehlen

Kontakt

Wir freuen uns über Ihre Nachricht. Ein Mandatsverhältnis kommt hierdurch noch nicht zustande.

Name
Email
Message

Ja! Ihre Nachricht wurde versandt.
Eingabefehler! Etwas scheint mit Ihren Einträgen nicht zu stimmen.
Impressum

©Rechtsanwaltskanzlei Niko Härig