Auch wenn das eine oder andere Thema auf schlossBlog aufgrund der Scrum-Konferenz etwas untergegangen ist, hier eine Nachlese aus dem Feedreader:

• Auf den 9. Hamburger IT-Strategietagen darf Deutsche Bank CIO Wolfgang Gartner über die IT Transformation in seinem Haus referieren. Das CIO-Magazin berichtet.
• Symantec stellt fest, dass viele Mittelständler blank sind in Sachen IT-Notfall-Planung. Nach ihrer Berechnung kostet ein IT-Ausfall pro Tag 2.300,-€. Das scheint mir fast schon ein Schnäppchen, da könnte man doch glatt… Wieder das CIO-Magazin.
• In der Computerwoche stellen die Kollegen von Campana & Schott fest, dass oftmals vorhandene Sharepoint-Installationen nur rudimentär genutzt werden und das ihr Potential oft nicht erkannt wird.
• Heise online berichtet über die „Kill Switch“-Debatte zur Abschaltung des Internets durch Staaten.
• Aus der Computerwoche ein Fragenkatalog zu Datenschutz und Datensicherheit in der Cloud.
• Und noch einmal die Computerwoche über Intransparenz und Qualitätsmängel im IT-Outsourcing.

Lesenswertes zum Thema Datenschutz:

• Die Computerwoche beschäftigt sich mit Datenschutz am Arbeitsplatz: BDSG und andere Normen
• Und insbesondere in der Cloud wird es dann schnell knifflig mit dem Thema Datenschutz – wieder die Computerwoche
• Wo bleibt denn da der Datenschutz möchte man bei dem Beitrag von Blick Log über FACTA fragen. US-Compliance-Vorschriften zwingen weltweit zur Überprüfung aller Bankkunden und umfassenden Datenlieferungen in die USA (incl. Dokumentation)
• Die Computerwoche über Geolokalisierung und Datenschutz
• Zunächst hat sich der Hamburger Datenschutzbeauftragte mit Google in Sachen Google Analytics angelegt und musste dabei lernen, dass seine eigenen Seiten nicht rechtskonform gestaltet waren. Konsequenterweise nahm er sie darauf hin vom Netz. Jetzt erklärt uns sein Berliner Kollege, warum Google Analytics in Deutschland illegal ist. Nachzulesen auf Golem

Ganz im Sinne des vorstehenden Beitrags werden auch auf Blick Log die Konsequenzen aus dem Umgang mit den jüngsten Veröffentlichungen von Wikileaks gesehen.

Nicht alles ist rosarot in Sachen Cloud. Die Gesellschaft für Informatik hat vor allem Bedenken hinsichtlich „Identity Management, Access Control und Integrity Control, Logging sowie Auditing, Risk Management und … Compliance“.
Auch das aktuelle Beispiel Wikileaks ist nicht ganz unpikant. Soviel Interesse des Providers an gehosteten Daten kennt man normalerweise nicht. Offenbar hat Amazon die Daten „analysiert“, denn wie sonst könnten sie eine Kündigung ihres Cloud-Services mit Urheberrechts-Verletzungen begründen.
Auch Paypal hat jetzt Wikileaks Konten gesperrt.
Natürlich kann Wikileaks keinen Freibrief für all seine Aktivitäten bekommen, aber solche Reaktionen haben ein gewisses „Geschmäckle“.
Und auch wenn Wikileaks sich bislang halbwegs erfolgreich gegen solche Eingriffe zur Wehr setzt, wie würde es bei anderen Cloud-Usern aussehen? Sind die Abhängigkeiten wirklich kalkuliert und kontrollierbar?

Zugegebenermaßen: Ein weites Feld!

Dass nicht jeder das Gleiche unter Cloud Computing versteht berichtet die Computerwoche und berichtet über den Ansatz von Oracle. Bei Oracle sieht man Chancen vor allem im Bereich der Private Cloud. In einer Private Cloud bleiben vielleicht auch noch die hier schon angesprochenen juristischen Fallstricke halbwegs beherrschbar.

 Cloud-Computing wird obendrein auch das IT-Service Management verändern (wieder Computerwoche). Und wenn wir schon beim Juristischen sind, auch hier berichtet die Computerwoche über ein neues Portal zum Thema Global Sourcing.

Und noch einmal die Computerwoche: Offshoring in Deutschland: Die Inder sind da!

Und auf XING diskutieren Computerwoche-Leser, woran Offshoring-Projekte kranken.

In den letzten Postings haben sich wiederholt die Themen IT-Sicherheit und juristische Fallstricke in der Cloud, beim IT-Outsourcing und -Offshoring eingeschlichen. Passend hierzu eine Studie „Compliance im IT-Outsourcing. Theoretische und empirische Ermittlung von Eunfluss nehmenden Faktoren“ der Friedrich-Alexander-Universität Erlangen-Nürnberg, gemeinsam mit dem Beratungsunternehmen Accenture aus dem Jahr 2009. (In komprimierter Form auch als Artikel: „Compliance im IT-Outsourcing“  aus 2010).

In den Beiträgen werden detailliert Rechtsgrundlagen für mögliche Anforderungen angeführt, angefangen von Handelsrecht, Steuerrecht, den Grundlagen eines internen Kontrollsystems (AktG, SOX,…), Basel II bis hin zum Bundesdatenschutzgesetz. Ein wichtiger Rechtskomplex fehlt allerdings noch in der Auflistung: Das Thema Außenhandel.

Rechtsgrundlagen wären hier einmal auf EU-Ebene die Embargo-Verordnung und die Dual-Use-Verordnung, im deutschen Recht das Außenwirtschaftsgesetz (AWG), die Außenwirtschaftsverordnung (AWV) und das Kriegswaffenkontrollgesetz (KrWaffKontrG). Beim Bundesamt für Wirtschaft und Außenhandel (BAFA) genehmigungspflichtig ist die Ausfuhr von Produkten und Technoloigen, die entsprechend in der Ausfuhrkontrolliste erfasst sind. Und hier liegt der Hase im Pfeffer: Wenn also eine Stückliste, eine technische Zeichnung oder ähnliches in der Cloud liegt, stellt dies rechtlich  möglicherweise bereits einen Technologieexport dar und dies unabhängig davon, ob ein Zugriff darauf tatsächlich erfolgt oder nur möglich ist, denn das zugrundeliegende Recht soll ja bereits die Zugriffsmöglichkeit auf entsprechende Technologien in als kritisch angesehenen Ländern unterbinden. Mit der Dual-Use-Problematik (also der militärischen Einsatzbarkeit von Gütern und Technologien, die eigentlich für nicht militärische Zwecke gedacht waren) ergibt sich eine Relevanz dieser Anforderungen nicht nur für Waffenexporteure oder -hersteller, sondern für alle exportiernenden Unternehmen und exportierend bezieht sich hierbei nicht nur auf den eigentlichen Geschäftsvorgang, sondern möglicherweise auch schon auf die Datenhaltung, wenn also z.B. die Server für eine Inlandsfertigung aus dem Ausland administriert werden.

Bei der Vielzahl der Anforderungen ist das Thema aber noch nicht komplex genug: Zu berücksichtigen ist ja nicht nur die Rechtsgrundlage in Ursprungs- und Zielland, sondern aller beteiligter Länder (also z.B. wenn Teile oder Technologien aus einem Drittland stammen, wenn das Hosting der Daten in einem Drittland (oder der Cloud??) erfolgen, usw.. Eine Besonderheit stellt diesbezüglich US-Recht dar, das für sich einen gewissen extraterritorealen Rechtsanspruch erhebt.

Wer jetzt gedacht hat, wir würden in einer globalisierten Welt leben, der fragt sich, ob nicht die Realität in den Unternehmen und die Rechtslage weit auseinander klaffen. In den Diskussionen zur Cloud und zu IT-Outsourcing und -Offshoring lässt sich die Awareness für diese Themen noch weitgehend vermissen.