• Autor dieses Beitrags ist Alexander Hofmann, Partner bei LAUX LAWYERS. Er berät IT-Anbieter in allen Branchen sowie Kunden namentlich im Finanzmarkt, im Energiebereich und im digitalen Marketing.
  • Sein Beitrag ist Teil der Blog-Serie zur «digitalen Fitness der Schweiz».

Digitale Transformation ist kein statischer oder irgendwann abgeschlossener Übergangsprozess. Digitalisierung bedeutet für Unternehmen vielmehr, dass sich ihr Marktumfeld laufend verändert und auch in Zukunft weiter und schneller als bisher verändern wird. In vielen Bereichen wird bereits morgen schon überholt sein, was heute noch als bahnbrechend neu gilt. Neue Technologien, die sich hinter Schlagworten wie Blockchain, “Machine Learning”, “Artificial Intelligence”, “Robotics” oder Internet of Things verbergen, werden kontinuierlich neue Standards und Anwendungsfälle hervorbringen, welche bis in weite Teile der gesamten volkswirtschaftlichen Wertschöpfungskette ausstrahlen werden.

Und ja, echte digitale Transformation greift unternehmensweit. Und doch ist es nicht verkehrt, die IT als Basis für sämtliche Digitalisierungsprojekte an den Anfang – und in diesem Beitrag gar ins Zentrum – der Überlegungen zu stellen.

Aus Sicht der IT bringen die heutigen Digitalisierungsmöglichkeiten insbesondere einen rasanten Anstieg an Transaktionsvolumen und Datenmengen mit sich. Viele der neuen digitalen Geschäftsmodelle basieren auf Datenanalysen, welche geschäftsfeld- und applikationsübergreifend funktionieren. Dies bedingt, dass die Daten verschiedener Quellen miteinander in Relation gesetzt werden und “miteinander sprechen”. Problematisch dabei ist, dass bei vielen Unternehmen Kern-Applikationen wie Kundendatenbanken, Schlüsselmanagement oder Transaktionssysteme häufig ebenso alt sind wie die IT-Infrastruktur, auf denen sie betrieben werden.

Zudem wurden die Programme über Jahre selber bearbeitet und verändert, und zwar durch verschiedenste Mitarbeiter in den verschiedensten Programmiersprachen. Ein “miteinander sprechen” (also beispielsweise Big Data Analysen über verschiedene Datenstämme aus mehreren Applikationen hinweg), stellt sich in derart heterogenen IT-Umgebungen als ziemlich anspruchsvoll dar. Digitalisierungsinitiativen, die diesem Umstand zu wenig Rechnung tragen, laufen Gefahr, im Hintergrund manuelle Prozesse auszulösen und so nicht das volle Potenzial auszuschöpfen.

Veränderungswillige Unternehmen sollten sich deshalb zunächst um flexible IT-Infrastrukturen kümmern, um auf kürzere Innovationszyklen und grössere Mengen an Daten vorbereitet zu sein. Zum Beispiel mit hochstandardisierten Cloud-Infrastrukturen und -Dienstleistungen können die Weichen gestellt werden um flexibel, rasch und intelligent auf veränderte Bedürfnisse der Kundenöffentlichkeit zu reagieren und innovative neue Dienstleistungen und Produkte kosteneffizient zu entwickeln und zu vermarkten. Viele Unternehmen haben dies erkannt, und die “Cloud” in all ihren Ausprägungen ist mittlerweile in aller Munde. Doch eine Cloud-Migration als erster und wichtiger Schritt in die Digitalisierung will gut geplant sein.

Cloud-Migrationen strategisch planen

In der Praxis hat es sich nach unserer Beobachtung bewährt, Cloud-Migrationen systematisch zu planen und ähnlich wie einen “Wohnungsumzug” zu denken. Zunächst sollten dabei die bestehenden Prozesse und Infrastrukturen dokumentiert, inventarisiert und beurteilt werden. Dieser IST-Zustand lässt für sich alleine schon viele Rückschlüsse auf die individuelle Situation des Unternehmens zu. Einfache Fragen wie “Was soll in die Cloud?” oder “Was darf in die Cloud?” lassen sich nur aufgrund verlässlicher Daten-, Prozess- und Applikationsinventare beantworten.

Es folgt die Definition des gewünschten SOLL-Zustands über sämtliche Schichten der IT-Infrastruktur hinweg. Neben der Flexibilisierung der Infrastruktur-Ebene lassen sich Cloud-Services bspw. auch für die eigene Software-Entwicklung einsetzen. Platform-as-a-Service Angebote bieten hierzu umfassende Werkzeuge und Entwicklungsplattformen und unterstützen moderne Methoden der Software-Entwicklung wie Agile Development und DevOps ideal. Ebenfalls sollte überprüft werden, ob sich bestimmte Applikationen überhaupt für die Cloud-Anwendung eignen und ob ältere Anwendungen nicht besser durch moderne Lösungen abgelöst werden sollten. Einzelne Aufgaben können allenfalls gut auch mit standardisierten Software-as-a-Service Angeboten anstatt mit eigener Software bewältigt werden.

SOLL-Zustand und IST-Zustand werden sodann in einer Gap-Analyse abgeglichen, um die eigentliche Migration zu planen. Entlang dieser Auslegeordnung lassen sich sodann auch die verschiedenen rechtlichen und regulatorischen Themen einer Cloud-Migration gezielt abarbeiten. Ebenso kann in dieser Delta-Betrachtung punktgenau aufgezeigt werden, wo sich mit Blick auf den rechtlichen und tatsächlichen Schutz der Daten und die IT-Systeme tatsächlich und konkret Änderungen ergeben.

Vielfach stellen Unternehmen hierbei fest, dass die Cloud-Dienstleistungen der führenden Anbieter in vielerlei Hinsicht einen sehr hohen Compliance- und Sicherheits-Standard aufweisen, oftmals gar einen weit höheren als im gelebten und über Jahre gewachsenen IST-Zustand. Cloud-Anbieter haben nämlich anders als ein isoliert operierendes einzelnes Unternehmen die Möglichkeit, Investitionen in IT-Sicherheit über eine Vielzahl von Kunden, welche die standardisierten Angebote nutzen, zu amortisieren. Dies ermöglicht zusammen mit dem spezialisierten technischen Know-How dieser Anbieter den Aufbau und Unterhalt von Sicherheitsstrukturen, wie sie vor allem mittelständische und kleine Unternehmen kaum je alleine implementieren und auf dem neusten Stand der Technik halten könnten.

Beispielsweise werden manuelle Zugriffe auf Applikationen in Cloud-Umgebungen, respektive auf die darin gespeicherten und bearbeiteten Daten, durch weitgehende Automatisierung des Betriebs und des Unterhalts der Infrastrukturen, Plattformen und Applikationen minimiert. Cloud-basierte IT-Services zeichnen sich zudem oft auch dadurch aus, dass Monitoring in einer Breite und Tiefe angeboten und konsumiert werden kann, welche sonst kaum ökonomisch sinnvoll realisiert werden könnte.

Wer kontrollieren will, muss verstehen

Aus rechtlicher Sicht steht im Zuge einer solchen Gap-Analyse sicherlich das Thema der Kontrolle über Daten und Inhalte im Zentrum.

Beim Einsatz von Cloud-Services werden Daten anstatt auf eigenen lokalen Computern oder Servern auf IT-Infrastrukturen von spezialisierten Dritt-Providern gespeichert und/oder bearbeitet. In den meisten Fällen ist eine solche Datenbearbeitung durch Dritte unter Beachtung der gesetzlichen und regulatorischen Anforderungen durchaus zulässig. Es muss allerdings sichergestellt sein und bleiben, dass der für die Daten Verantwortliche die “Kontrolle” behält.

“Kontrolle” meint in diesem rechtlichen Zusammenhang zunächst, dass mittels technischer, organisatorischer und vertraglicher Massnahmen gewährleistet ist, dass nur befugte Personen auf die Daten Zugriff haben und die datenschutzrechtlichen Pflichten (insb. Einhaltung der Bearbeitungsgrundsätze, Meldepflichten, Sicherheitsmassnahmen etc.) eingehalten werden. Des Weiteren ist sicherzustellen, dass die zugriffsberechtigten Dritten (also der Cloud-Provider und seine Mitarbeiter, Subunternehmer und Hilfspersonen) die Daten nicht unbefugt verwerten und sie die Daten auf Aufforderung hin endgültig löschen. Zu guter Letzt beinhaltet das Kontrollerfordernis auch, dass ohne übermässige zeitliche, finanzielle und sachliche Abhängigkeit die ausgelagerte Bearbeitungstätigkeit bei Bedarf wieder auf eigene oder auf andere IT-Infrastrukturen von Dritten migriert werden kann.

Welche Anforderungen konkret zu erfüllen sind, hängt stark von der Situation im Einzelfall und insbesondere auch von der Art der involvierten Daten und den branchenspezifischen Besonderheiten ab. Das hier vorgestellte, prinzipielle Erfordernis der “Kontrolle” ist zwar nicht ausdrücklich in einem Gesetz oder einer einzelnen Regulierung festgeschrieben. Implizit zielen jedoch alle informationsrechtlich relevanten Erlasse des Bundesrechts und der kantonalen Gesetzgebungen sowie auch die einschlägigen branchenspezifischen Regulierungen (wie insb. die Rundschreiben der FINMA für Banken und Versicherungen) darauf ab, die Kontrollansprüche auf Information zu organisieren und zu regeln. Kontrolle als prinzipielle Pflicht ist also gewissermassen das abstrakte “Destillat”, das den Kern der relevanten gesetzlichen und regulatorischen Einzelnormen ausmacht.

In der Praxis kann jedoch die Komplexität der konkreten rechtlichen Anforderungen und Risiken rasch zu einem beachtlichen Blocker für Cloud-Projekte werden und so letztlich die Digitalisierung generell hemmen. Das gilt insbesondere für Unternehmen mit kleineren IT-Abteilungen und ohne qualifizierte rechtliche In-house-Expertise. Denn: Wer kontrollieren will, muss verstehen. Und zwar einerseits seine eigene Situation bezüglich Datenhaltung und -bearbeitung, andererseits die rechtlichen und regulatorischen Voraussetzungen und Pflichten, die sich aus dem betriebenen oder anvisierten Setup ergeben.

Die systematische Erfassung des IST-Zustandes, des SOLL-Zustandes sowie die Analyse der sich ergebenden Gaps ist für das Verstehen wichtig. Sie hilft allfällig beigezogenen Experten für Datenschutz oder IT-Sicherheit rasch, punktgenau und individuell Gaps und Risiken zu identifizieren und letztlich paketierte und pragmatische Lösungsvorschläge aufzuzeigen.

Verwandte Beiträge: