Mit Bild
SaaS-/Cloud-Dienste: Besondere Lage in Deutschland und in der EU
Man kann schon neidisch werden. Cloud-Dienste und „Software as a service“-Angebote (SaaS) aller Art sind in den USA weit verbreitet und bieten gut funktionierende, komfortable Software- und IT-Funktionalitäten, die über das Internet einfach genutzt werden können. Insbesondere kleine Unternehmen und Selbstständige profitieren davon: Sie können ihr Geschäftsvorhaben inklusive dazugehöriger Infrastruktur schnell und relativ schmerzlos auf den Markt bringen.
Mit Bild
Leider sind viele der populärsten Business-Cloud-Dienste in Europa und speziell in Deutschland nicht nutzbar. Besonders Buchhaltungs- oder kaufmännische Services sind auf das US-Rechts- und Steuersystem zugeschnitten und so unbrauchbar. Auch das deutsche Datenschutzrecht verhindert bei vielen US-Diensten, dass man sie nutzen darf.
Mit Bild
Aber hierzulande tut sich was: Die Anzahl seriöser Cloud-Services, die sich ausdrücklich an den europäischen, insbesondere den deutschen Markt richten, nimmt zu. Selbstständige und Unternehmen sollten jedoch genau hinschauen, bevor sie sich für ein Angebot entscheiden. Mit diesem Beitrag möchten wir Ihnen aus unserem eigenen Erfahrungsfundus heraus einige Tipps geben, worauf Sie bei der Auswahl besonders achten sollen. Um Ihnen einen Eindruck von der Bandbreite der SaaS-Dienste zu geben, die auch für deutsche/europäische Geschäftsinhaber nutzbar sind, finden Sie am Ende des Beitrags eine Aufstellung populärer Cloud-Dienste für geschäftliche Anwendungen.
Mit Bild
Was sind Cloud- und „Software as a Service“-Dienste (SaaS) eigentlich?
Cloud-Dienste und Software as a Service (SaaS): Der Kunde kauft Speicherplatz, Anwendungsprogramme und andere IT-Funktionen fix und fertig ein (es gibt zum Beispiel Database as a Service, Platform as a Service, Mobile Backend as a Service, Payment-Dienste, Buchhaltungssoftware und viele andere „as a Service“-Varianten). Der Kunde muss nur die nötigen Anpassungen für den eigenen Bedarf treffen und kann dann sofort loslegen. Der Zugriff erfolgt webbasiert, ist also von überall aus möglich, auch von unterwegs. Oft reicht dafür der Webbrowser, manchmal gibt es ein eigenes Client-Programm sowie Apps, sodass die Cloud-Dienste Smartphone-tauglich sind. Häufig existieren außerdem auch Erweiterungsmodule und Plugins, mit denen sich notwendige Zusatzfunktionen dazubuchen oder Verbindungen zu anderen Cloud-Services herstellen lassen. Für Aktualität und Sicherheit, für den Betrieb und Support ist der Cloud-Anbieter zuständig. Sie als Kunde können sich auf die Nutzung beschränken.
Mit Bild
Erster Schritt: eigenen Bedarf klären und Anwendungsszenarien entwickeln
Bevor Sie einen Cloud-Anbieter auswählen, sollten Sie schon wissen, was er können muss. Und dazu müssen Sie wissen, was Ihr Unternehmen braucht.
Mit Bild
Mit anderen Worten: Sie müssen die unterschiedlichen Szenarien ausarbeiten, in denen die neue Lösung zum Einsatz kommen soll – und zwar im Detail. Dafür sollten unter anderem folgende Punkte einigermaßen präzise geklärt werden:
Mit Bild
Welche Aufgabe muss gelöst werden?
Welche Art von Daten, Dateien, Datensätzen und/oder Dokumenten sollen in Ihrer Cloud gespeichert oder bearbeitet werden?
Welche der Daten, um die es dabei geht, sind sensibel, und warum? Müssen sie verschlüsselt werden?
Welche Bearbeitungsschritte sind dazu nötig?
Wer muss welche Zugriffe und Bearbeitungen ausführen? Wie viele Leute müssen Zugriff auf die Daten oder Dienste haben? Dürfen manche Leute die Daten gar nicht sehen oder bearbeiten? Welche Export-Schnittstellen sind vorhanden? Ist zum Beispiel ein DATEV-Export für Ihren Steuerberater möglich?
Wie viel Geld ist Ihnen die Lösung wert?
Nicht nur Privatmenschen, auch kleine und mittelständische Unternehmen lassen sich mitunter von angebotenen Features blenden, wenn der eigene Bedarf und das Budget nicht vorher festgelegt wurden. Dann ist das Risiko groß, dass man für viel Geld Funktionen einkauft, auf die man verzichten kann. Oder man übersieht Dinge, die benötigt werden. Diese Kostenfalle lässt sich vermeiden, wenn man vorab ein klares Bedarfs- und Nutzungskonzept entwickelt und auf dieser Basis den Markt sondiert. In aller Regel können Sie bei Cloud-Diensten problemlos upgraden. Daher besteht kein Zwang, sofort die höchste Ausbaustufe zu wählen.
Mit Bild
Beim Überschlagen der finanziellen Seite muss nicht nur auf die direkten Kosten der möglichen Cloud-Anbieter geachtet werden. Als Vergleichsmaßstab sollten auch die Total Cost of Ownership einer hausinternen Lösung kalkuliert werden: Was wären die Gesamtkosten (inklusive Folgekosten), wenn eine entsprechende Software vom Unternehmen selbst angeschafft und betrieben wird?
Mit Bild
Cloud-Dienste ausgiebig testen!
Unzufriedenheit mit einer Cloud-Lösung rührt in vielen Fällen daher, dass das Unternehmen sich für eine Lösung entschieden hat, ohne sie wirklich umfassend und unter möglichst realistischen Bedingungen zu testen.
Eine Testperiode von vierzehn Tagen ist mindestens üblich. Normalerweise sind Anbieter auch gern bereit, diesen Zeitraum zu verlängern, wenn sie merken, dass man wirklich interessiert ist. (Es wäre kein gutes Zeichen, wenn ein Cloud-Anbieter dabei auf stur schaltet.)
Ein ausgiebiger und genauer Test des Dienstes unter den Bedingungen, die für das Unternehmen selbst gelten, ist entscheidend. Zum einen wird auch in einem sorgfältigen Bedarfskonzept oder Anwendungsszenario immer das eine oder andere Detail fehlen. Vor allem aber sind viele Cloud-Anbieter auch und gerade im geschäftskritischen Bereich – Kundenverwaltung, Auftragsverwaltung, kaufmännische oder Buchhaltungsanwendungen – noch nicht sehr lange am Markt. Sobald ein Einsatz-Szenario vom Üblichen abweicht, kann es zu Fehlern kommen, die für großen Ärger sorgen.
Mit Bild
Beispiel: Rundungsfehler
Aus unserem Erfahrungsfundus: Eine Cloud-basierte Payment-Abwicklung überzeugt durch aufgeräumtes Design und komfortable Bedienung. Verschiedene Referenz-Shops haben die Lösung im Einsatz und sind angeblich zufrieden. Beim Test stellt sich jedoch heraus, dass bei den zur Verfügung gestellten hosted pages, also vom Cloud-Dienst bereitgestellten Formularen, Fehler entstehen, wenn es darum geht, die Umsatzsteueraufschläge bei nicht deutschen Käufern korrekt anzuzeigen: Es entstehen unter anderem Rundungsfehler. Bei jeder Einzeltransaktion handelt es sich zwar nur um einen Cent und nur in der Anzeige. Jedoch insgesamt gefährdet es die Compliance gegenüber steuer-, handels- und verbraucherrechtlichen Vorschriften. Ganz abgesehen davon, dass das eigene Vertrauen in die Software auf die Probe gestellt wird.
Zum Glück wurde die Cloud-Lösung ausgiebig getestet. Und so fiel der Fehler auf – zwar erst nach einigen Tagen, aber vor Vertragsabschluss. Und wenn man dann genauer schaute, fielen weitere Unstimmigkeiten in der Software-Anzeige auf. Die Antwort des Betreibers auf unsere Fehlermeldung: „Es sind nur Rundungsfehler in der Anzeige.“ Sollen wir das dann unseren Kunden erzählen? Also, weitersuchen.
Mit Bild
Qualität und Angebot
Auch bei Cloud-Diensten wichtig: Kann der Anbieter (glaubhafte) Referenzen zufriedener Kunden aufweisen? Lassen sich im Netz Erfahrungen mit dem Anbieter recherchieren?
Wie freundlich und professionell reagiert das Unternehmen? Erhalten Sie klare Informationen oder erwartet man von Ihnen, dass Sie IT-Fachchinesisch verstehen?
Wie gut ist der Support? Welche Kanäle und welche Uhrzeiten werden abgedeckt? Bekommen Sie – bei umfangreicheren Nutzungsformen – einen festen, eigenen Ansprechpartner?
Ganz wichtig: Ermöglicht der Anbieter ausgiebige Testmöglichkeiten, bevor Sie sich auf eine Vertragsbindung einlassen?
Sind die Service Levels, die in den meisten Fällen den Preis bestimmen, klar und verständlich? Sind diese Dienstleistungspakete nachvollziehbar? Und, ganz wichtig: Passen sie zu Ihrem Bedarf?
Wie gut sind die Möglichkeiten, Ihre Daten in das System des Anbieters zu importieren und von dort zu exportieren? Passen die vom Anbieter verwendeten Dateiformate, Programme etc. zu dem, was Sie (bisher) nutzen?
Mit Bild
Vertrag und Kosten
-
Rechtfertigt die angebotene Dienstleistung den Preis? Wie liegt der Anbieter im Vergleich zum Preis der Konkurrenz? Wie viel würde es Sie kosten, wenn Sie die Lösung bei sich im Unternehmen installieren (mit allen Folgekosten)?
Wie wird abgerechnet – nach Nutzungsvolumen, nach Nutzerzahl oder mit einem festen Nutzungskontingent zu einem festen Preis? Gibt es verschiedene Preismodelle, zwischen denen Sie rasch wechseln können? Der tatsächliche Nutzungsumfang lässt sich häufig vorab nicht exakt prognostizieren.
Gibt die Vereinbarung Ihnen als Kunden die Möglichkeit, relativ zeitnah und ohne Zusatzkosten in geringere oder umfangreichere Pakete oder Service-Level-Agreements zu wechseln?
Wie lange ist die Vertragsbindung, wie sind die Kündigungsfristen?
Mit Bild
Datenschutzrecht
Liegen die Rechenzentren des Cloud-Anbieters in der EU? Kann der Anbieter den Transfer und die Speicherung Ihrer Daten in Gebieten außerhalb der EU ausschließen? Zwar ist im Prinzip die Übermittlung und Speicherung von Daten in die USA unter der „Privacy Shield“-Vereinbarung zwischen der EU und den Vereinigten Staaten derzeit grundsätzlich noch möglich. Aber erstens läuft dagegen bereits eine Musterklage, zweitens hat auch die Regierung Trump bereits Schritte unternommen, um den Datenschutz von Ausländern in den USA einzuschränken, und drittens lässt die Gesetzeslage in den USA dort den Datenschutz ohnehin unsicher erscheinen. Das bedeutet im Fazit: Verlässliche Übereinstimmung mit deutschen Datenschutzanforderungen gibt es nur, wenn die Rechenzentren des Cloud-Anbieters auf EU-Gebiet liegen.
Aus Datenschutz-Sicht ist übrigens auch der Brexit heikel: Ein Cloud-Anbieter, der Daten in Großbritannien speichert, ist zwar derzeit rechtlich noch kein Problem. Aber ab 2019 wird dort voraussichtlich kein EU-Datenschutzrecht mehr gelten. Rechenzentren im Vereinigten Königreich wären ein Grund, einen anderen Anbieter zu suchen, es sei denn, das EU-Datenschutzniveau wird vertraglich garantiert.Sichert der Cloud-Betreiber zu, Datensätze zu löschen, wenn ein Betroffener bei Ihnen sein Recht auf Vergessenwerden geltend macht, das spätestens ab Mai 2018 durch Art. 17 DSGVO wirksam wird?
-
Existiert der vorgeschriebene Vertrag zur Auftragsdatenverarbeitung?
Auftragsdatenverarbeitung bedeutet, dass ein Unternehmen personenbezogene Daten (zum Beispiel von Kunden, Mitarbeitern oder Website-Besuchern) von einem anderen Unternehmen weiterverarbeiten lässt.
Wann genau eine Auftragsdatenverarbeitung stattfindet, ist nicht immer leicht abzugrenzen. Wenn der Cloud-Dienst nur Speicherplatz bereitstellt, kann man sich auch fragen, ob die Voraussetzungen für eine Auftragsdatenverarbeitung vorliegen. Spätestens dann aber, wenn Mitarbeiter des Cloud-Dienstes regelmäßig auf personenbezogene Daten zugreifen können, die vom Kunden übertragen werden, gelten die Vorschriften zur Auftragsdatenverarbeitung. Ein solcher Zugriff kann im Alltag schon entstehen, wenn die Firma Backups erstellt, Störungen beseitigt oder Fragen an einen außenstehenden Support weitergeleitet werden. Auch IP-Adressen oder Zugriffslogs von Besuchern erfüllen dieses Kriterium.
Die genaue Liste, was in der Vereinbarung zur Auftragsdatenvereinbarung geregelt sein muss, steht in § 11 BDSG. Unter anderem muss darin stehen,
welche genauen Dienstleistungen wie lange erbracht werden,
welche personenbezogenen Daten dabei wie und zu welchem Zweck verarbeitet werden,
welche technischen und organisatorischen Datenschutz-Maßnahmen getroffen werden,
dass die Vorschriften zur Löschung und Berichtigung personenbezogener Daten eingehalten werden,
dass der Cloud-Dienst einen Datenschutzbeauftragten hat,
ob und in welcher Form der Cloud-Dienst selbst wieder Auftragnehmer beauftragen darf (zum Beispiel eigene IT-Dienstleister),
welche genauen Regelungen zur Kontrolle des Cloud-Dienstes durch den Kunden gelten,
dass der Cloud-Anbieter eine Informationspflicht gegenüber dem Kunden im Fall von Datenschutzverstößen hat,
wann und wie der Kunde dem Cloud-Dienst Anweisungen geben darf (zum Beispiel zur Löschung von Daten),
-
dass der Cloud-Anbieter sich zur Löschung der Daten bei Auftragsende verpflichtet.
Mit Bild
Haftungsfragen
Hat der Cloud-Anbieter Datenschutzverpflichtungen und Vertraulichkeitsvereinbarungen mit seinen eigenen Dienstleistern und seinen Mitarbeitern abgeschlossen, und informiert er Sie darüber?
Hat der Cloud-Anbieter eine ausreichende Haftpflicht- und Cyber-Versicherung?
Wie sind die Haftungsbedingungen im Vertrag mit Ihnen geregelt? Wird Ihnen eine Haftungsfreistellung in allen Fällen von Cyber-Kriminalität, internen Pflichtverletzungen durch Mitarbeiter sowie im Fall von technischen Pannen zugestanden, wenn Ihr Unternehmen diese nicht zu vertreten hat?
Ist der Gerichtsstand in Deutschland? Das ist wichtig, wenn Sie irgendwann einmal in die Situation geraten, Forderungen gegen den Cloud-Betreiber erheben zu müssen.
Mit Bild
Die Haftung lässt sich nicht outsourcen
Vereinbarungen zur Haftung sind wichtig, weil sie den Weg zum Schadensersatz im Falle eines Falles deutlich abkürzen können.
Bei Datenschutzverstößen liegt die Haftung jedoch erst einmal bei Ihnen. Das gilt auch dann, wenn der Datenschutzverstoß bei dem von Ihnen beauftragten Unternehmen vorgekommen ist, denn Sie sind die verantwortliche Stelle für die von Ihnen erhobenen Daten.
Wenn Daten von Kunden, Geschäftspartnern und Dritten, die Sie erhoben haben, missbraucht werden, können diese sich mit Schadensersatzforderungen also zunächst an Sie halten. Sie wiederum erleiden durch solche Ansprüche (falls berechtigt) einen Schaden, für den der Cloud-Betreiber Ihnen gegenüber geradestehen muss, wenn er die Verantwortung für den Datenschutzverstoß trägt.
Mit Bild
Sicherheitskonzept
Wie klar werden Sicherheitskonzepte und Maßnahmen kommuniziert? Sie sollten als Kunde kein IT-Experte sein müssen, um zu verstehen, wie der Cloud-Anbieter Ihre Inhalte (und sein Geschäft) vor kriminellen Datendieben, aber auch vor unbeabsichtigten Schäden schützt.
Kann der Anbieter eine (aktuelle) Zertifizierung vorweisen – nach ISO-27001 oder BSI-Grundschutzkatalogen, oder bei Buchführungsprozessen eine IDW PS 951-Testierung durch einen Wirtschaftsprüfer? Gibt es ein Gütesiegel wie den Star Audit des Cloud-Anbieterverbands EuroCloud oder TCDP (Trusted Cloud Datenschutz-Profil für Cloud-Dienste)? Werden regelmäßig Sicherheits-Audits durch Dritte durchgeführt?
Werden Daten sicher übermittelt?: Eigentlich sollte es selbstverständlich sein, dass Daten beim Übertragen vom Nutzer-Rechner zum Cloud-Dienst und umgekehrt unterwegs nicht einfach mitgelesen werden können wie Ansichtskarten auf dem Postweg. Interessant ist aber auch die Frage, ob eine Ende-zu-Ende-Verschlüsselung ebenfalls vorhanden ist. Das ist längst nicht immer der Fall, weil eine durchgängige Verschlüsselung die Funktionsbreite und den Bedienkomfort von Cloud-Diensten tendenziell einschränkt. Globale Such- und Filterfunktionen sind ein typisches Beispiel für Funktionen, die mit Verschlüsselung schwierig werden. Außerdem steigt damit die Serverlast. Deshalb verzichtet zum Beispiel das Team-Tool Slack auf Verschlüsselung, weshalb es – je nach Bedarfsfall – sinnvoll sein kann, Slack-Alternativen zu nutzen.
Gibt es verlässliche Zugriffs-Logfiles? Wenn es zu einem Missbrauch kommt, müssen Sie nachvollziehen können, wer welchen Dienst wann genutzt hat, wann welche Daten hochgeladen wurden, wann sie von wem gelesen oder verändert und wann gelöscht wurden. Auch das Anlegen oder Löschen von Nutzern und Änderungen bei der Rechtevergabe sowie das Verändern von Sicherheitseinstellungen müssen im Nachhinein nachvollziehbar bleiben.
Gibt es verlässliche Backup-Strategien? Datensicherung sollte für einen Cloud-Anbieter zum kleinen Einmaleins gehören – und sie muss den Spagat zwischen dem Schutz Ihrer Daten und zuverlässigem Rückgriff im Bedarfsfall schaffen. Ganz wichtig ist die Frage: Wie lange werden Ihre Daten vorgehalten, für wie lange zurück lassen sie sich wiederherstellen?
Garantiert der Cloud-Dienst eine hochverfügbare Up-Time? Ist auch im Fall eines Stromausfalls oder anderer Katastrophen garantiert, dass Ihre Daten oder Dienste schnell wieder verfügbar sind?
Lassen sich Rollen und Rechte verschiedener Nutzertypen auf den wirklich nötigen Zugriff einschränken? Können Sie unterschiedliche Nutzerrollen anlegen, mit jeweils unterschiedlichen Berechtigungen? (Für solche Aspekte brauchen Sie natürlich Ihr oben beschriebenes Bedarfskonzept.)
Daran schließt sich die Frage an: Lassen sich Daten und Datensätze mit unterschiedlichen Sicherheitsniveaus oder Authentifizierungsanforderungen versehen? Wie immer gilt, dass jeder, der auf die Daten zugreift, nur so viel machen können sollte, wie für seine Aufgabe nötig ist. Der Vertrieb sollte die Produktangaben sehen können, aber muss er sie auch verändern können? Und braucht das Marketing Zugriff auf die Zahlungsangaben der Kunden? Wohl kaum.Lässt sich vorgeben, dass Nutzer Passworte bestimmter Komplexität wählen müssen?
Werden Sessions beendet bei Nichtnutzung, muss man sich nach einer gewissen Zeit ohne Zugriff neu authentifizieren?
Wird die Anmeldung mit Zwei-Faktor-Authentifizierung (zum Beispiel Passwort und Bestätigung am Handy oder Passwort und eigener Schlüssel) angeboten? Das ist zumindest dann sehr sinnvoll, wenn geschäftskritische oder personenbezogene Daten in die Cloud ausgelagert werden.
Auch die physische Sicherheit der Rechenzentren des Betreibers ist ein wichtiger Punkt. Gibt es ein durchdachtes Konzept von (physischen) Zugangskontrollen über Notstromversorgung bis hin zu Ausweichkapazitäten für den Notfall?
Mit Bild
Beispiele für Cloud-Dienste für die geschäftliche Nutzung
Der Klassiker sind Cloud-Speicher, mit denen sich Daten, Dokumente und Dateien bereitstellen lassen, ohne Netzlaufwerke oder File-Server installieren zu müssen. Das bieten bekannte, zum Teil kostenlose Angebote wie Dropbox, Amazon Drive, Google Drive oder Microsoft OneDrive, aber auch spezielle Business-File-Server wie Strato HiDrive, TelekomCloud, Fabasoft Cloud oder auch die Leitz Cloud, mit der ein Bürobedarfshersteller sich auf neuen Geschäftsfeldern ausprobiert. Sie sorgen dafür, dass die Kunden auf das Einrichten von NAS oder Netzlaufwerken und dergleichen verzichten können.
Populär sind auch webbasierte Buchhaltungs- und Rechnungsprogramme, die vom ersten Angebot bis zur letzten Mahnung alle Kundenvorgänge im Webbrowser verwaltbar machen und nebenbei für ein finanzamtstaugliches Archiv sorgen. Nur als Beispiele unter vielen seien sevDesk, Invoiz, Bilendo, lexoffice und Fastbill genannt.
Personalverwaltungsprogramme, mit denen Personalmanagement durchgeführt und Personalakten online geführt werden können, sind etwa HR4YOU oder HRworks.
Lohnabrechnungsdienste in der Cloud haben den Vorteil, dass man als Arbeitgeber nicht mehr bei jeder Änderung im Steuer- oder Sozialversicherungsrecht selbst updaten muss, weil sie auf dem Server des Anbieters laufen, von diesem gewartet und aktuell gehalten und auch vor Hackern geschützt werden, so etwa DATEV Arbeitnehmer online oder Sage One Lohn und Gehalt.
Ein Shop-System, das Sie fertig installiert übernehmen können – Sie müssen nur noch das gewünschte Aussehen anpassen, Ihre Inhalte oder Produkte eingeben und können online gehen – bieten beispielsweise ePages, ShopCloud oder VersaCommerce.
Projektmanagement-Tools: Asana, Trello, Basecamp, Projectplace, OnePoint Projects oder Planio. Von ITlern besonders häufig genutzt ist JIRA.
CRM (Customer Relations Management): Capsule, Highrise, Julitec, Zoho, Insightly, Centralstation CRM, vTiger, Sugar CRM.
Help Desk/Kundensupport: Zendesk, Groove, Freshdesk.
Es handelt sich hier bei den namentlich genannten Anbietern nur um Beispiele und nicht um Empfehlungen. Das sind natürlich nur einige wenige nützliche Cloud-Anwendungen - man hätte die Liste noch lange fortsetzen können.
Mit Bild
Ressourcen und Links
Bitkom-Leitfaden: Eckpunkte für sicheres Cloud-Computing
Deutschland sicher im Netz: TCO/ROI-Vergleichsrechner Cloud-Computing
Deutschland sicher im Netz: Cloud-Scout (interessanter als die Antworten sind die Fragen dieses Tools)
CloudingSMES: Werkzeuge (neben dem oben verlinkten TCO/ROI-Rechner findet man hier auch ein Tool zum Sicherheitsvergleich von Cloud-Anbietern und viele weitere Tools für Cloud-Interessenten, von unterschiedlichem Nutzwert)
EuroCloud: Cloud Privacy Check (ein einfaches Prüfschema, mit dem Sie ermitteln können, ob in einem konkreten Fall die Zusammenarbeit mit einem Cloud-Anbieter datenschutzrechtlich relevant ist oder nicht)
Bundesamt für Sicherheit in der Informationstechnik: Mindeststandards zur Nutzung externer Cloud-Dienste. Die vom BSI festgelegten und in einer kleinen Broschüre dokumentierten Mindeststandards sind zwar nur für Bundesbehörden verpflichtend, können aber auch als Orientierung für Privatunternehmen dienen.