Die Folgen von iPhone, iPad & Co. fürs Firmennetz

Compliance 2.0 für die Cloud

Insgesamt rückt mit den neuen IT-Perspektiven die Verantwortung der Mitarbeiter zunehmend in den Mittelpunkt des Arbeitsgeschehens, sei es durch den mobilen Zugriff auf Unternehmens- und Kundendaten, sei es in Sachen Einhaltung entsprechender Sicherheitsrichtlinien. 70 Prozent der Verantwortlichen sind sich dieser Entwicklung bereits bewusst. Ihrer Ansicht nach gewinnt der Compliance-Aspekt in ihrem Haus auf allen Ebenen immer mehr an Bedeutung. Als entscheidend in diesem Zusammenhang gelten dabei Merkmale, die für klassische IT-Anwendungen bislang nicht existierten. Dazu gehören der Applikationsbezug über das Internet, der hohe Virtualisierungsgrad und auch die Multi-Mandantenfähigkeit der Infrastruktur.

Insbesondere bei Cloud-Diensten, die Data Storage umfassen, ergibt sich für die Unternehmen akuter Handlungsbedarf. Der Grund: In den für Deutschland gültigen Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) ist festgelegt, dass für relevante Business-Daten wie Steuerunterlagen jederzeit unmittelbarer Lesezugriff bestehen muss. Zudem sind die Unternehmen verpflichtet, eine eventuelle Datenträgerüberlassung in verschiedenen Formaten zu gewährleisten.

Konkret bedeutet dies, dass bestimmte Informationen nur nach behördlicher Freigabe auf Servern außerhalb der Europäischen Union gelagert werden dürfen. Nach der Abgabenordnung (§ 146 II b AO) drohen empfindliche Verzögerungsgelder von bis zu 250.000 Euro, falls die elektronische Buchführung ohne diese Erlaubnis verlagert wird. Selbst vermeintlich harmlose Vorgänge, wie die E-Mail-Archivierung oder die elektronische Rechnungsstellung, können sich dabei als Stolperstein erweisen.

Unternehmen, die entsprechende Dienste in Anspruch nehmen wollen, sollten sich daher unbedingt durch die Vereinbarung entsprechender Service Level Agreements (SLA) absichern. Dies gilt auch für die Zuschaltung von Rechenkapazitäten aus dem Ausland, die viele Anbieter derzeit noch nicht Compliance-konform ausschließen können.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche. (cvi)