ERP in der Cloud - Wie können sich Cloud-Anwender rechtlich absichern?

Sandy Eggert

ERP-Systeme sind komplexe betriebliche Anwendungssysteme und bilden aufgrund ihrer Abdeckung betrieblicher Funktionen sowie ihres integrativen Ansatzes zunehmend das Rückgrat der gesamten Informationsverarbeitung in Unternehmen [1]. Infolge der langen Lebensdauer von ERP-Systemen (zwischen 10 und 25 Jahren) sowie der hohen Investitionskosten gewinnt das Thema der Bereitstellung von ERP-Systemen zunehmend an Bedeutung. Aktuelle Befragungen zeigen zudem, dass Anwender eine flexible Nutzung von ERP-Systemen immer stärker fordern [2].

Derzeit existieren mehrere hundert Anbieter am Markt, die den Anwenderunternehmen ihre Systeme zu unterschiedlichen Betreibungsmodellen zur Verfügung stellen. Zu den derzeit häufig eingesetzten Modellen gehören Hosting und Application Service Providing (ASP). Hierbei wird auf eine eigene IT-Abteilung verzichtet und der Systembetrieb auf einen externen Dienstleister verlagert.

Hosting
Im ERP-Bereich bedeutet das Hos-ting das Betreiben der ERP-Lösung über Fremdanbieter. Dafür entscheiden sich oft Anbieter, die keine IT-Ressourcen im Unternehmen haben, weil sie sich stärker auf ihr Kerngeschäft konzentrieren wollen. Laut einer aktuellen Studie bieten ca. 40 % der ERP-Anbieter für ihr System Hosting an [11]. Die Hälfte dieser Anbieter bietet das Hosting als unternehmenseigene Dienstleistung an. Die restlichen Anbieter stellen das Hosting über externe Drittanbieter bereit.

ASP
Das Application Service Providing ist ein Softwarenutzungskonzept, welches auf dem Grundprinzip des pay-for-use basiert. Der Application Service Provider (ASP) stellt dabei seinen Kunden Softwareprogramme zur Verfügung, die in einem Rechenzentrum abgelegt sind und bedarfsgerecht gemietet werden können [3]. ASP kann allgemein folgendermaßen definiert werden: „Service Provider liefern Software-Anwendungen und Computer Services auf Leih- und Nutzungsbasis. Über Server-Zentren können sie per Internet oder privaten Netzwerken einen großen Nutzerkreis anschließen.” (The ASP Industry Consortium) [4]. Dadurch wird es den Anwendern ermöglicht, spezielle Softwaredienste zu nutzen, ohne diese erwerben zu müssen. Je nach vertraglicher Ausgestaltung umfasst das Serviceangebot die Softwarekonfiguration, -implementierung und -wartung (Updates), die Zugangskontrolle für verschiedene User, das Sicherstellen von Speicherplatz, die Datensicherung sowie den Online-Support [5]. Zudem werden Vereinbarungen hinsichtlich der Nutzungszeiten sowie der Bereitstellungsgüte und -kos-ten zwischen dem Serviceprovider und dem Kunden über Service Level Agreements getroffen [6].

SaaS und Cloud Computing
Ein weiteres aktuelles Nutzungskonzept ist Software as a Service (SaaS). Das Grundprinzip von SaaS ist die gemietete, ortsunabhängige, webbasierte Bereitstellung einer IT-Lösung [7]. Damit stellt SaaS ein verbrauchsabhängiges Mietmodell dar, bei dem der tatsächliche Ressourcenverbrauch je User flexibel gestaltet und abgerechnet werden kann [8]. Letztlich ist Saas eine Form des aktuell viel diskutierten Cloud Computings, bei der onlinefähige Standardanwendungen, wie z.B. ERP-Systeme, dem User skalierbar angeboten werden. Cloud Computing stellt allgemein eine Ansammlung von Diensten, Anwendungen und Ressourcen dar, die dem Nutzer flexibel und skalierbar über das Internet angeboten werden. Es handelt sich um eine Form des IT-Sourcings, bei der der komplette Betrieb und Wartungsaufwand beim Anbieter verbleibt [7]. Beim Cloud Computing werden generell drei Konzepte zur Ausgestaltung der Services und Anwendungen unterschieden [9].

  • Infrastructure as a Service (IaaS): Innerhalb dieses Konzeptes wird dem Anwender ein Teil der Infrastruktur zur Verfügung gestellt.
  • Platform as a Service (PaaS): Hierbei wird dem Anwender darüber hinaus noch eine Entwicklungsumgebung zur Verfügung gestellt. Dies ist bspw. in Softwareentwicklungsprojekten mit vielen verteilt arbeitenden Entwicklern sinnvoll.
  • Weiterhin können dem Anwender auch Applikationen zur Verarbeitung seiner Daten zur Verfügung gestellt werden (SaaS).
  • Derzeit befindet sich schon eine Vielzahl von ERP-Anbieter auf dem Markt, die Cloud Computing anbieten [2]. Einzelne Anbieter erwarten sogar eine Steigerung des Anteils dieses Geschäftsfeldes in den nächsten 4 Jahren um 15% des Gesamtumsatzes [10].

    Unsicherheiten potenzieller Cloud-Anwender
    Die potenziellen Anwender sind jedoch noch nicht ausreichend auf das Thema Cloud Computing vorbereitet. Häufig fehlen den Anwendern Informationen, um eine Umstellungsentscheidung treffen zu können, z.B. inwieweit eigene Konfigurationen der Applikation möglich sind. Daneben spielen Sicherheitsbedenken vor allem in Bezug auf sensible Unternehmensdaten eine große Rolle. Beispielsweise weiß der Anwender abhängig vom gewählten Cloud Computing-Modell nicht mehr, wo seine Daten physisch verarbeitet werden [9]. Eine wichtige Frage, die sich Unternehmen stellen ist, ob der Datenschutz und Prüffähigkeit von Daten bei einer Umstellung gewährleistet bleibt. Leider ist dies nicht immer der Fall. Hinsichtlich des Datenschutzes müssen Anwender sicherstellen, dass Ihre personenbezogenen Daten nur von Unternehmen verarbeitet werden, die den EU-Richtlinien genügen. Dazu gehören Anbieter in der EU, ebenso auch Anbieter in einigen wenigen als sicher erachteten Drittländern wie der Schweiz und US Firmen, die dem Safe Harbour-Abkommen beigetreten sind [10].

    Sicherheitsstandards
    Laut einer aktuellen Studie des Fraunhofer Instituts zum Thema Cloud-Computing-Sicherheit sind Sicherheit und Verfügbarkeit von Cloud-Computing-Systemen eine der wichtigsten Themen, die in jedem Cloud-Projekt betrachtet werden müssen [12]. Obwohl die Vorteile von ausgelagerten IT-Services wie Kostenersparnis, geringerer Support- und Administrationsaufwand unbestritten sind, ist immer auch zu prüfen, ob der Dienst rechtskonform erbracht bzw. genutzt werden kann [13]. Eine wichtige Anforderung hinsichtlich des Datenschutzes ist die Einhaltung der EU-Richtlinien zur Verarbeitung personenbezogener Daten [10].

    Bild 1: Sicherheitstandards in der Cloud.

    Unter personenbezogenen Daten werden entsprechend des Datenschutzgesetzes der Länder und des Bundes alle Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person verstanden, d.h. alle Informationen, die einer Person zugeordnet sind oder mit nicht unverhältnismäßig hohem Aufwand an Zeit, Kosten und Arbeitskraft theoretisch zugeordnet werden können [13]. Zudem ist die Weitergabe personenbezogener Daten durch ein Unternehmen an Dritte nach § 4 Abs. 1 BDSG grundsätzlich erlaubnispflichtig. Da diese Einwilligung in der Regel nicht vorliegt, lässt sich die Weitergabe u.a. nach § 11 BDSG dann rechtfertigen, wenn es sich um eine Auftragsdatenverarbeitung handelt [14]. Generell wird davon ausgegangen, dass zwischen Cloud-Anbietern und Cloud-Nutzern eine Auftragsdatenverarbeitung besteht [15]. In diesem Fall gilt der Cloud-Anbieter als Teil des Daten auslagernden Unternehmens, weshalb aus rechtlichen Aspekten keine Übermittlung der Daten durchgeführt wird [16]. Um diese vorteilhafte Bewertung zu nutzen, müssen entsprechend §11 Abs. 3 BDSG einige Voraussetzungen, wie z.B. die strenge Weisungsbindung des Cloud-Nutzers erfüllt werden. Somit bleibt auch der Cloud-Nutzer in vollem Maße verantwortlich für den Umgang mit den Daten. [14] Problematisch erscheint hierbei jedoch, dass der Cloud-Nutzer oft gar keine Kenntnis darüber hat, wo seine Daten gespeichert werden, obwohl er die volle Verantwortung trägt. Hier entstehen auch die Ängste potenzieller Cloud-Interessenten. Jedoch lässt sich die Unkenntnis über den Ort der Datenspeicherung durch technische Mittel wie Reporting- oder Monitoring-Tools vermeiden [16]. Letztlich sollte die Verantwortung der Daten entsprechend vertraglich sichergestellt werden sowie die vom BDSG zwingend notwendigen Inhalte eines Vertrages eingehalten werden. Zu beachten ist weiterhin, dass die Cloud-Anbieter innerhalb des Europäischen Wirtschaftsraums agieren und keine grenzüberschreitenden Datenverschiebungen entstehen. Hier gilt die EU-Datenschutzrichtlinie (95/94/EG). Bei einer Datenübermittlung außerhalb der EU bzw. des Europäischen Wirtschaftsraums muss auch hier ein angemessenes Datenschutzniveau sichergestellt werden, was Anbieter durch den Beitritt zum Safe Harbour-Abkommen gewährleisten [10]. Somit wird auch die Übermittlung von Daten ins Ausland möglich.

    Service Level Agreements
    Zur weiteren Absicherung des Anwenders bzw. Cloud-Nutzers sollten Service Level Agreements (SLAs) mit dem Anbieter vereinbart werden. Diese können als eigener Absatz innerhalb des Nutzungsvertrags oder als Anlage zum Vertrag eingebunden werden [17]. SLAs sollten generell folgende Aspekte beinhalten:

  • Vertragslaufzeit: Vertragsdauer und Kündigungsfristen [18],
  • Art und Umfang der zu erbringenden Leistungen [19],
  • Definition der Leistungsausprägungen (Service Levels): z.B. Reaktionszeiten, Termineinhaltungen und Betriebsstunden für Service Levels [18], Verfügbarkeit [17],
  • Messkriterien, -intervalle und -verfahren für Service Levels [17, 18],
  • Konsequenzen von SLA-Verletzungen: Sanktionen, bei Verletzung von SLAs [19].

  • Fazit
    Neben den datenschutzrechtlichen Vorgaben, kann sich der Cloud-Nutzer demnach auch durch individuell vereinbarte SLAs absichern. Dennoch reagiert gerade der Mittelstand eher zurückhaltet auf die Möglichkeit der Cloud-Nutzung. Neben Schwierigkeiten bei der Umsetzung dieser Verträge bleibt den Unternehmen dennoch die Sorge um die Sicherheit ihrer Daten und Anwendungen. Obwohl sich bei Vergleichen der Sicherheit von traditionell betriebenen IT-Systemen im Unternehmen und Public-Cloud-Computing-Systemen sogar oft ein Sicherheitsgewinn vor allem für KMU zeigt. Großunternehmen betreiben meist ein Rechenzentrum, welches gegen Ausfälle und Sicherheitsbedrohungen aus dem Netz gut gerüstet ist. Dagegen besitzen kleinere Unternehmen oft aufgrund knapper finanzieller Mittel weder die benötigten personellen Ressourcen sowie das damit einhergehende Know How, um ihre IT-Infrastruktur auf den jeweils neuesten Sicherheitsstand aufzurüsten [20].

    Schlüsselwörter:

    Cloud Computing, ERP-Systeme, Sicherheit , Service Level Agreements

    Literatur:

    [1] Gronau, N., Eggert, S.: Nutzenbasierte Auswahl von Business Software. In: Wölfle, Ralf; Schubert, Petra (Hrsg.): Dauerhafter Erfolg mit Business Software, München: Hanser Verlag, 2009, S. 25-32.
    [2] Eggert, S.; Meier, J.: ERP-Marktüberblick – 107 Systeme im Vergleich. In ERP Management (3/2010), S. 48-55.
    [3] Friedewald, M.; Georgieff, P.; Joepgen, M.: Application Service Providing – Software mieten statt kaufen, in: FB/IE, 50(2001)6, S. 265-267.
    [4] Neuhaus, K.: Application Service Providing (ASP) - Revolution oder Flop? Diebold Management Report 10/2000, S. 9-12
    [5] Nolting, R.-D.; Nolte, B.: Application Service Providing, in: WiSt, (2004)7, S. 431-435.
    [6] Schweighart, D.: Application Service Providing im ERP-Umfeld, in: Industrie Management, 17(2001)2, S. 86-88.
    [7] Braß, D.; Zimermann, R.: Software as a Service – am Beispiel einer Business Intelligence-Lösung in der Logistik. In: Fröschle, H.-P.; Reinheimer, S. (Hrsg.): Cloud Computing & SaaS. HMD Heft 275. dpunkt Verlag. 2010.
    [8] Repschläger, J., Pannicke, D.; Zernekow, R.: Cloud Computing: Definitionen, Geschäftsmodelle und Entwicklungspotenziale. In: Fröschle, H.-P.; Reinheimer, S. (Hrsg.): Cloud Computing & SaaS. HMD Heft 275. dpunkt Verlag. 2010.
    [9] Birk, D.; Wegener, C.: Über den Wolken: Cloud Computing im Überblick. In: DuD • Datenschutz und Datensicherheit (9/ 2010), S. 641-645
    [10] Wagner, R.; Staab, S.: Ist Cloud Computing sinnvoll? In ERP Management (4/2010), S. 45-47.
    [11] Eggert, S.; Meier, J.: Überblick über Lizenz- und Mietmodelle im ERP-Bereich. In ERP Management (4/2010), S. 57-63.
    [12] Fraunhofer Studie zum Thema Cloud-Computing: Sicherheit in der Wolke: http://www.fraunhofer.de/presse/presseinformationen/2009/09/cloud-comput..., Abruf am 12.01.2011
    [13] Stemmer, B.: Die drei großen Ds: Dienste, Drittanbieter – Datenschutz? Datenschutzrechtliche Probleme bei der Auslagerung von IT-Diensten durch Hochschulen, in: PIK, Vol. 12, S. 215-219, 2010.
    [14] Christmann, S.; Hilpert, H.; Töhne, M.; Hagenhoff, S.: Datensicherheit und Datenschutz im Cloud Computing – Risiken und Kriterien zur Anbieterauswahl. In: Fröschle, H.-P.; Reinheimer, S. (Hrsg.): Cloud Computing & SaaS. HMD Heft 275. dpunkt Verlag. 2010. S. 62-70
    [15] Pohle, J.; Ammann, T.: Über den Wolken – Chancen und Risiken des Cloud Computing. In: Computer und Recht 25/2009, S. 273 -278
    [16] Reindl, M.: Cloud Computing & Datenschutz. In: Inside the Cloud. Neue Herausforderungen für das Informationsrecht. Tagungsband Herbstakademie 2009, München, S. 441-451
    [17] Bayrak Meydanoğlu, E.: Steuerung der IT-Outsourcing Risiken durch SLAs. In: ERP Management 4/2008. S. 32-35
    [18] Kütz, M.: IT-Controlling für die Praxis – Konzeption und Methoden, dpunkt. Verlag GmbH, Heidelberg 2005.
    [19] Gadatsch, A.; Mayer, E.: Masterkurs IT-Controlling, 3. Aufl., Vieweg & Sohn Verlag, Wiesbaden 2006.
    [20] Eriksdotter, H.: Falsche Schlussfolgerung, http://www.cio.de/2246452, Abruf am 12.01.2010