Hier zitiert Spiegel online eine EU-Studie zum Cloud Computing, die vor der Überwachung durch die USA warnt. Der einleitende Text greift allerdings zu kurz, wenn er vor dem Datentransfer in die USA warnt. Im vergangenen Jahr haben US-Unternehmen wie Amazon und Microsoft bereits öffentlich zugegeben, dass selbst ihre europäischen Hosting-Angebote dem US-Patriot-Act unterliegen und dass sie als US-Unternehmen demnach verpflichtet sind ggf. US-Behörden auch Zugriff auf europäische Rechenzentren zu gewähren.

Dieser Wahnsinn lässt von der Cloud nicht viel mehr übrig als Virtualisierungskonzepte und Cloud-Lösungen für Privatanwender, denen der Zugriff von US-Behörden auf ihre Daten reichlich egal ist.

Ich habe nichts dagegen, wenn US-Agenten meine Playlist mithören – seitdem höre ich viel mehr Volksmusik. Auch Experimental-Stücke sollen sehr beliebt sein.

😉

In amerikanischen Universitäten scheint das Thema Technologieexport angekommen zu sein, zumindest für den Eigenbedarf der Unis finden sich zahlreiche Webseiten:

• http://www.research.umn.edu/regulations/export_controls.html
• http://osp.uconn.edu/eccp.php
• http://export.stanford.edu/
• http://www.cogr.edu/viewDoc.cfm?DocID=151612
• http://www.cmu.edu/iso/compliance/export-control/InfoSecExportControl_DRAFTv0.2.pdf
• http://www.ssec.wisc.edu/library/ssec_export_control.9.pdf
• …

Auch die ersten Berater und Juristen haben die Witterung aufgenommen, insbesondere für das Cloud Computing:

• http://www.kpmginstitutes.com/taxwatch/insights/2011/pdf/wnit-030211-export-issues-cloud-computing.pdf
• http://www.mondaq.com/unitedstates/article.asp?articleid=116488

Hier war ja schon desöfteren von Compliance-Themen in Cloud Computing, IT-Offshoring und -Outsouring die Rede. In der Diskussion mit einem Beraterkollegen verwies dieser darauf, dass es in den letzten 25 jahren immer wieder ähnliche juristische Diskussionen gegeben hat, z.B. beim Thema digitale Archivierung. Nie sind die von den Juristen aufgezeigten Katastrophenszenarien eingetreten. Letztlich ist die Rechtsprechung immer der technischen Wirklichkeit gefolgt.

Ex post würde ich ihm Recht geben, aber Rechtssicherheit sieht anders aus! Wer sich an den technischen Möglichkeiten orientiert und bewusst Compliance-Anforderungen übergeht oder eigenmächtig anpasst, macht dies auf eigenes Risiko.

Das BSI hat ein Eckpapier mit Mindestanforderungen für das Cloud-Computing veröffentlicht. Hier der direkte Link zum Eckpapier und hier zu einem Bericht des CIO-Magazins dazu.

Zugegebenermaßen: Ein weites Feld!

Dass nicht jeder das Gleiche unter Cloud Computing versteht berichtet die Computerwoche und berichtet über den Ansatz von Oracle. Bei Oracle sieht man Chancen vor allem im Bereich der Private Cloud. In einer Private Cloud bleiben vielleicht auch noch die hier schon angesprochenen juristischen Fallstricke halbwegs beherrschbar.

 Cloud-Computing wird obendrein auch das IT-Service Management verändern (wieder Computerwoche). Und wenn wir schon beim Juristischen sind, auch hier berichtet die Computerwoche über ein neues Portal zum Thema Global Sourcing.

Und noch einmal die Computerwoche: Offshoring in Deutschland: Die Inder sind da!

Und auf XING diskutieren Computerwoche-Leser, woran Offshoring-Projekte kranken.

• Nachdem hier schon öfter von Google Wave die Rede war, wollen wir auch über das Ende berichten – hier der Link zu heise online: Google Wave wird eingestellt
• Eine Accenture-Studie kommt zu dem Schluß, dass Cloud-Computing ein Vorreiter in Sachen IT-Sicherheit ist, denn die großen Anbieter hätten vergleichsweise hohe Sicherheitsstandards. Auf besondere juristische Fallstricke, die den Themen Cloud Computing/Offshoring /Outsourcing inne wohnen, geht der Artikel allerdings nicht ein.
• Das CIO-Magazin zitiert eine Rechenzentrums-Studie: Hochverfügbarkeitskonzepte und Disaster-Recovery-Pläne sind unzureichend vorhanden.
• Und noch einmal das CIO-Magazin: Mittelständler versuchen ihre Business Intelligence Projekte ohne Hilfe von außen umzusetzen.

Das CIO-Magazin beschäftigt sich mit versteckten Kosten im Cloud-Computing. Ähnliches lässt sich über versteckte Kosten beim Outsouring oder Offshoring sagen.

IT-Kosten sind nicht alles. Sie haben einen Server offgeshort? Wissen Sie noch, welche Daten Sie noch auf diesem Server ablegen dürfen? Könnte es sein, dass Sie plötzlich Dritten einen vertraglich oder gesetzlich verbotenen Datenzugriff ermöglichen? Ist dieser Datenzugriff möglicherweise Datenschutz relevant? Oder Außenhandels(ECC)-relevant? Der Admin in Indien soll mit den Daten an und für sich ja gar nicht arbeiten, aber seine Zugriffsmöglichkeiten stellen möglicherweise bereits einen Exportvorgang dar… 

Berücksichtigen sie bei ihrer Datenhaltung nicht nur nationales Recht, sondern auch das Recht der Zielländer und der Urspungsländer? In unserer globalisierten Welt werden diese Anfoderungen schnell undurchschaubar!