Integriertes Cloud-Outsourcing

Philipp Rosenauer
Partner Legal, PwC Schweiz

Claudia Jung
Senior Manager | Data Privacy | ICT | Implementationᐩ, PwC Schweiz

Die Nutzung von Cloud-Diensten kann für viele Organisationen in der Schweiz – von grossen, global ausgerichteten Unternehmen bis hin zu KMU – zu grösserer IT-Effizienz und -Flexibilität führen. Für ein erfolgreiches Outsourcing in die Cloud müssen rechtliche und regulatorische, geschäftliche und IT-bezogene Sicherheitsaspekte berücksichtigt werden. Der vorliegende Artikel liefert einen Überblick über die wichtigsten Punkte.

Rechtliche und regulatorische Aspekte

Rechtliche Fragen der Zulässigkeit kommen im Zusammenhang mit dem Cloud-Outsourcing auf. Die Dichte der Vorschriften ist vor allem in regulierten Bereichen besonders hoch oder dann, wenn Personen- oder Kundendaten betroffen sind. Schweizer Organisationen sollten daher die rechtliche und regulatorische Zulässigkeit des geplanten Cloud-Outsourcings sorgfältig prüfen.

In diesem Zusammenhang ist es wichtig, den Cloud-Anbieter und den anvisierten Cloud-Aufbau genau zu kennen. Das kann mithilfe einer Checkliste für das Cloud-Assessment geschehen. Die Checkliste umfasst eine Reihe von Fragen zur Auswertung, wie zum Beispiel (Liste nicht abschliessend):

Checkliste für das Cloud-Assessment

  1. Welche Vorschriften und (Branchen-)Vorgaben sind für Ihre Organisation massgeblich?
  2. Welche Aktivitäten und Vorgänge werden an den Cloud-Anbieter ausgelagert?
  3. Wie wird der Aspekt des Kontrahentenrisikos bei der Wahl Ihres Cloud-Anbieters berücksichtigt?
  4. Welche Daten werden vom Dienstanbieter im Auftrag Ihrer Organisation bearbeitet?
  5. Wie werden die Daten Ihrer Organisation von anderen Daten, die der Cloud-Anbieter verwahrt, isoliert?
  6. Gibt es zwingende Bestimmungen, die im Vertrag mit dem Cloud-Anbieter enthalten sein müssen?
  7. Wird das geplante Outsourcing Offshoring erfordern? Wenn ja: Von welchem Land bzw. welchen Ländern aus werden die ausgelagerten Cloud-Dienste erbracht?
  8. Hat Ihre Organisation eine Risikobewertung dieser Outsourcing-Vereinbarung, einschliesslich sicherheitsbezogener Risikobewertung der jüngsten Sicherheitsbedrohungen, durchgeführt?
  9. Verfügt Ihre Organisation über eine vom Vorstand genehmigte Richtlinie für das Outsourcing?
  10. Gibt es einen Lieferantenmanagementprozess zur Überwachung der Leistung des Cloud-Anbieters?
  11. Pflegt Ihre Organisation ein aktuelles Verzeichnis der ausgelagerten Funktionen? Bestehen Vereinbarungen, die gewährleisten, dass der Cloud-Anbieter die entsprechenden Informationen liefert, um das Verzeichnis aktuell zu halten?
  12. Beinhaltet der Outsourcing-Vertrag mit dem Cloud-Anbieter eine Klausel, die es den Regulierungsbehörden gestattet, auf die Dokumentation und die Informationen im Zusammenhang mit der Outsourcing-Vereinbarung zuzugreifen?
  13. Sieht die Outsourcing-Vereinbarung eine Garantie für den Zugang zu den IT-Ressourcen vor, die für den Betrieb in einem Notfallszenario mindestens erforderlich sind?
  14. Beinhaltet die Outsourcing-Vereinbarung ausserdem Berichterstattungsmechanismen, die sicherstellen, dass der Cloud-Anbieter das IT-Sicherheitsrisikomanagement angemessen überwacht?
  15. Ist die Outsourcing-Vereinbarung flexibel genug, um sich an Änderungen der bestehenden Prozesse sowie an zukünftige neue Prozesse anpassen zu können und somit den sich ändernden Umständen gerecht zu werden?
  16. Gibt es im Fall einer Kündigung Übergangsregelungen, die den Zugriff auf sowie das Eigentum von Dokumenten, Datensätzen, Software und Hardware und die Rolle des Dienstanbieters beim Übertragen des Dienstes festlegen?
  17. Gibt es in Ihrer Organisation einen Prozess für die Überprüfung des Dienstanbieters, um dessen Einhaltung Ihrer Richtlinien, Verfahren, Sicherheitskontrollen und der Anforderungen auf dieser Checkliste zu beurteilen?
  18. Welche Sicherheitskontrollen sind gegeben, um die Übertragung und Speicherung vertraulicher Informationen, wie beispielsweise Kundendaten, innerhalb der Infrastruktur des Cloud-Anbieters zu schützen?
  19. Welche Richtlinien gelten beim Cloud-Anbieter für die Überwachung von Mitarbeitenden mit Zugriff auf vertrauliche Informationen?
  20. Wie geht der Cloud-Anbieter mit Anfragen von Strafverfolgungsbehörden nach Zugang zu Kundendaten um?

Jedes Unternehmen und jedes Cloud-Projekt ist anders. Die Checkliste für das Cloud-Assessment sollte daher auf das jeweilige Unternehmen, dessen Branche und dessen voraussichtliche Nutzung von Cloud-Diensten angepasst werden. 

Geschäftliche Aspekte

Unabhängig davon, ob es um reine Speicherkapazität oder einen vollwertigen SaaS-Dienst (CRM, Buchhaltung usw.) geht: Die Cloud kann gegenüber einer Vor-Ort-Lösung erhebliche Vorteile bieten. Dazu gehören zum Beispiel die Folgenden:

  • Schnelle Verfügbarkeit und Flexibilität (Skalierbarkeit) von Cloud-Diensten: Beim Cloud Computing in Form von «On-Demand-Computing» bezieht ein Unternehmen nur die Cloud-Ressourcen, die es über einen bestimmten Zeitraum benötigt. Für kurzfristige Bedarfsspitzen können zusätzliche Rechenleistung oder Speicherkapazität flexibel und schnell über die Cloud abgerufen werden.
  • Weniger IT-Investitionen, Planungssicherheit: Cloud-Dienste werden prinzipiell mit einer regelmässigen Pauschalgebühr entsprechend den jeweiligen Bedürfnissen des Unternehmens abgerechnet. Unternehmen können so Kostenvorteile erzielen und gleichzeitig IT-Ausgaben zuverlässig und vorhersehbar planen.
  • Erhöhte Produktivität: Durch die parallele Ausführung von IT-Prozessen in der Cloud mit mehreren leistungsstarken virtuellen Servern wird die Rechengeschwindigkeit um ein Vielfaches beschleunigt. Dadurch wird die Rechen- und Wartezeit im Unternehmen erheblich verkürzt.
  • Globale Verfügbarkeit der Dienste und Daten: In der Cloud stehen Unternehmensdaten und IT-Infrastruktur weltweit zur Verfügung.

Bei der Auswahl der passenden Cloud-Infrastruktur sind sowohl eine angemessene Anbieterbeurteilung als auch die gezielte Auswahl der erforderlichen Cloud-Dienste von wesentlicher Bedeutung. Weitere Aspekte wie die Erweiterbarkeit der Cloud-Dienste und die Datenübertragbarkeit im Fall eines möglichen Anbieterwechsels spielen ebenfalls eine Rolle.

IT-bezogene Sicherheitsaspekte

Auch wenn viele Cloud-Anbieter viele Ressourcen in den Aufbau und die laufende Aktualisierung ihrer IT-Sicherheit investieren, können sich Unternehmen nicht einfach auf die Angemessenheit der IT-Sicherheit des Cloud-Anbieters verlassen, da deren Geschäftsmodell und Ruf wesentlich davon abhängen, dass sie über eine sichere IT-Infrastruktur verfügen.

Die Unternehmen sind vielmehr in der Pflicht, die (technische) Angemessenheit der Massnahmen des Cloud-Anbieters zu prüfen und sie gegebenenfalls durch eigene Massnahmen zu ergänzen. 

Wie PwC Sie unterstützen kann

Mit unserem integrierten Cloud-Dienste-Modell können wir Sie bei allen Cloud-Anforderungen umfassend und aus einer Hand beraten. Unsere Rechts- und IT-Spezialisten arbeiten Hand in Hand und haben bereits mehrere Unternehmen erfolgreich bei der Migration in die Cloud unterstützt.

Dank unserer Erfahrung verfügen wir über die entsprechenden Tools, Checklisten und Methoden, um Ihr geplantes Cloud-Outsourcing-Projekt aus rechtlicher, geschäftlicher und IT-Perspektive zu einem Erfolg werden zu lassen.

Wir können Sie insbesondere bei den folgenden Aspekten unterstützen:

  • Prüfung aller rechtlichen und Compliance-relevanten Aspekte in Bezug auf Ihr konkretes Cloud-Outsourcing-Vorhaben
  • Bereitstellung einer individualisierten Checkliste für das Cloud-Assessment zur Selbsteinschätzung (mit oder ohne weitere Unterstützung durch PwC)
  • Anbieterbeurteilung (aus rechtlicher und technischer Perspektive)
  • Entwurf und Prüfung von Cloud-Verträgen
  • Bereitstellung einer Checkliste für Cloud-Computing-Verträge
  • Entwurf und Prüfung von Anbietermanagementprozessen
  • Entwurf und Prüfung sämtlicher Richtlinien und Verfahren (z.B. akzeptable Nutzung der IT, Cloud-Computing-Richtlinie der IT)

Haben Sie Fragen zu unseren Dienstleistungen oder wünschen Sie weitere Informationen?

Wir freuen uns darauf, von Ihnen zu hören.

https://pages.pwc.ch/core-contact-page?form_id=7014L000000kkHMQAY&embed=true&lang=de

#social#

Contact us

Philipp Rosenauer

Philipp Rosenauer

Partner Legal, PwC Switzerland

Tel: +41 58 792 18 56

Adrien Tharin

Adrien Tharin

Director | Head of FinTech, Blockchain and Digital Assets, PwC Switzerland

Tel: +41 58 792 92 24

Leonardo Rudolph

Leonardo Rudolph

Trainee | Data Privacy | ICT | Implementationᐩ, PwC Switzerland

Tel: +41 58 792 17 14

Rejhan Fazlic

Rejhan Fazlic

Partner and Technology Strategy & Transformation Leader, PwC Switzerland

Tel: +41 58 792 1148

Prafull Sharma

Prafull Sharma

Partner, Cloud & Digital Leader, PwC Switzerland

Tel: +41 58 792 18 72