Vorsprung durch Skalierbarkeit

Cloud Computing ist der neue Standard. Aitava versteht neben den rechtlichen Herausforderungen – insbesondere der Cloud Compliance – die kommerziellen und technologischen Fallstricke, die es bei Cloud-Tools zu beachten gibt. Wir bieten interdisziplinäre Beratung auf höchstem Niveau aus einer Hand.

Aitava ist Ihr starker Partner bei der Erstellung und Verhandlung von Cloud-Verträgen. Wir unterstützen umfassend zu allen Themen rund um Software as a Service, Platform as a Service, Infrastructure as a Service und XaaS.

Cloud Compliance

Geheimnisschutz

Häufig fließen vertrauliche Information von Kunde Richtung Cloud-Provider.

Das 2019 in Kraft getretene GeschGehG stellt Anforderungen an den Umgang mit Daten. Werden diese nicht erfüllt, gelten die Daten nicht mehr als geschütztes Geschäftsgeheimnis. Darüber hinaus unterliegen bestimmte Geheimnisträgerinnen und Geheimnisträger bei der Weitergabe von Geheimnissen einem besonderen Strafbarkeitsrisiko gemäß § 203 StGB.

Der Einsatz von Cloud-Diensten sollte daher durch technische Maßnahmen (z.B. Verschlüsselung) und vertragliche Maßnahmen (insb. den Abschluss einer Geheimhaltungsvereinbarung) abgesichert werden. Aitava unterstützt Sie hierbei umfassend.

Datenschutz

Viele Cloud-Tools lassen sich nur nutzen, wenn personenbezogene Daten an den Cloud-Anbieter übertragen werden. Die seit 2018 geltende DSGVO stellt hierbei hohe Anforderungen an alle Beteiligten.

Häufig handelt es sich bei Cloud-Anbietern um Auftragsverarbeiter. Diese müssen dann müssen dann hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung datenschutzkonform erfolgt. Zudem ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) notwendig. Werden bestimmte Risikoschwellen überschritten, muss der Kunde zudem eine Datenschutzfolgeabschätzung vornehmen. Eine Übermittlung von personenbezogenen Daten in Drittländer (z.B. USA) muss sich an den zusätzlichen Hürden der Art. 44 ff. DSGVO messen lassen.

IT-Sicherheit

Der Einsatz von Cloud-Tools muss sich zunehmend an IT-Sicherheitsanforderungen messen lassen. Zentrale Pflicht ist die Umsetzung technischer und organisatorischer Maßnahmen, die dem „Stand der Technik“ entsprechen (vgl. § 8a BSIG, Art. 32 DSGVO). Was bedeutet das im konkreten Einzelfall? Wichtige Orientierung bietet u.a. der Kriterienkatalog Cloud Computing (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Eine besondere Herausforderung ist oftmals das Spannungsverhältnis zwischen individuellen IT-Sicherheitsanforderungen der Kunden und standardisierten Prozessen und Vertragsbedingungen des IT-Dienstleisters. Der Königsweg besteht in einer smarten Vertragsgestaltung. Stichwort: Regulatory Annex.

Sektorale Spezialanforderungen bei Versicherungen

  • EIOPA-Leitlinien zum Outsourcing an Cloud-Anbieter
  • Digital Operational Resilience Act (DORA)
  • Art. 274 DVO (Delegierte Verordnung (EU) 2015/35)
  • § 32 VAG
  • Versicherungsaufsichtliche Anforderungen an die IT (VAIT)
  • Orientierungshilfe der BaFin zu Auslagerungen an Cloud-Anbieter

Sektorale Spezialanforderungen bei Banken

  • EBA-Leitlinien zu Auslagerungen
  • Digital Operational Resilience Act (DORA)
  • § 25b KWG
  • Mindestanforderungen an das Risikomanagement (MaRisk (BA))
  • Bankenaufsichtliche Anforderungen an die IT (BAIT)
  • Orientierungshilfe der BaFin zu Auslagerungen an Cloud-Anbieter

… und vieles mehr.

Aitava berät zu sämtlichen Fragen der Cloud Compliance. Wir unterstützen Sie dabei, regulatorische Risiken zu identifizieren und geeignete Kontrollmechanismen auf Basis von Best Practices einzuführen. Unser Beratungsansatz: Zuerst müssen wir ein technisches Verständnis Ihrer Zielinfrastruktur und Geschäftsprozesse gewinnen. Auf dieser Basis räumen wir rechtliche Stolpersteine aus dem Weg, damit Sie Ihr Unternehmen beruhigt steuern können.

Hochreck Vertragsgestaltung

Service Level Agreement (SLA)

Cloud-Computing führt zu Abhängigkeiten. Dies gilt insbesondere für SaaS-Leistungen, die für betriebskritische Prozesse eingesetzt werden. Zur Abgrenzung der Verantwortlichkeiten zwischen Kunde und Provider bietet sich die Vereinbarung von Verfügbarkeitsregelungen an. Die vertragliche Komplexität ergibt sich aus Fragen des Messpunkts, des Messzeitraums, des Messsubstrats und der Art und Weise der Verfügbarkeitsmessung. Aitava spricht die Sprache Ihrer Fachseite und unterstützt Sie bei der Erstellung und Verhandlung von SaaS-Verträgen.

Kommerzielle Gestaltung

In der kommerziellen Ausgestaltung kommt es bei Software as a Service entscheidend auf die konkret vereinbarte Lizenzmetrik an. Der Markt bewegt sich von benutzerabhängiger Vergütung (z.B. Beitrag je User) zu nutzungsabhängiger Vergütung (z.B. Preis pro Anfrage). Eine transparente und nachvollziehbare Lizenzmetrik – inklusive klarem technischen Anknüpfungspunkt – ist die Grundlage jedes verbindlichen SaaS-Vertrags. Soweit es sich bei Cloud-Verträgen um langfristige Verträge handelt, ist zudem ein ausgewogener Preisanpassungsmechanismus anzudenken.

Bereit für Vorsprung?

Wir ebnen den Weg für rechtssicheres Cloud Computing.

Wir beraten auch zu:

IT-Projekte

Aitava vereinigt jahrelange umfassende Expertise bei komplexen IT-Projekten. Wir vertreten sowohl Dienstleister als auch Kunden. Vom Startup bis zum Großunternehmen.

Mehr erfahren

Plattformen und digitale Geschäftsmodelle

Der Mega-Erfolg digitaler Plattformen ruft die Gesetzgeber auf den Plan. Das ist häufig mit Aktionismus verbunden. Aitava bringt Produkt und Recht auf einen Nenner.

Mehr erfahren

IT-Sicherheit und Datenschutz

Aitava unterstützt Sie, Ihr Unternehmen auf die aktuellen Herausforderungen und regulatorischen Anforderungen vorzubereiten und Schadensrisiken effizient zu minimieren.

Mehr erfahren

IT-Konfliktlösung

Mit vorausschauender Vertragsgestaltung und Verhandlungslösungen lässt sich eine Eskalation in der Praxis oft vermeiden. Wenn es nötig ist, gehen wir die letzte Meile und führen streitige Verfahren.

Mehr erfahren