Startseite » Einkauf »

Keine Angst vorm Cloud-Procurement

Rechtliche Aspekte der Beschaffungsdigitalisierung
Keine Angst vorm Cloud-Procurement

Keine Angst vorm Cloud-Procurement
(Bild: dvarg/123rf)
Die Digitalisierung der Einkaufsprozesse ist technisch möglich und für alle Beteiligten in der Lieferkette von Vorteil. Doch noch immer bestehen – vor allem im Mittelstand – erhebliche Zweifel an der Datensicherheit und ständigen Verfügbarkeit, wenn sich alles in einer Cloud abspielen soll. Dabei gibt es ausreichend juristische Möglichkeiten, sich und seine Daten zu schützen.

Die Wolke ist unausweichlich: Zu groß sind die Chancen, die Cloud-Computing bei standardisierten Einkaufsprozessen ebenso wie beim Management von globalen Lieferketten bietet. Die gesamte Beschaffungslogistik kann mittels einer Cloud-Lösung alle Beteiligten verbinden und alle Daten bündeln, sodass zu jeder Zeit und an jedem Ort die jeweils relevanten Informationen auf aktuellstem Stand zur Verfügung stehen. Der Beschaffungsvorgang erlangt somit eine in der Vergangenheit oft angestrebte, aber nie erreichte Transparenz.

„Aufgrund umfassender Daten in der Cloud gibt es mehr und mehr Informationen über die gesamte Lieferkette und es erfolgt eine breite Vernetzung – sowohl auf Kunden- als auch auf Lieferantenseite“, hebt BME-Expertin Judith Richard hervor. Die Spezialistin aus dem Kompetenzzentrum innovative Beschaffung (KOINNO) ist sich sicher: „Auf Lieferantenseite kann das positiv sein, da nicht nur der direkte Lieferant, sondern auch dessen Vorlieferanten betrachtet werden können – wichtig etwa im Risikomanagement.“ Auf der anderen Seite könne der Einkauf aus Kundeninformationen Präferenzen ableiten und so in der Beschaffung seiner Produkte und Dienstleistungen berücksichtigen.

Abschluss eines Nutzungsvertrages

Auch Matthias Zwick, Director Product & Innovation beim Softwareentwickler Onventis, schwärmt: „Die Echtzeitkommunikation und digitale Vernetzung erlaubt es Unternehmen aller Größen, global zu agieren und diese Daten zu verarbeiten. Für mittelständische Unternehmen eignet sich aus unserer Sicht insbesondere ein standardisiertes Cloud-Procurement.“ Das Stuttgarter Unternehmen habe deshalb Cloud-Lösungen „auf Basis von Best Practices aus standardisierten Einkaufsprozessen unterschiedlichster Branchen“ entwickelt, so Zwick.

Der Einstieg in das Cloud-Procurement ist – zumindest juristisch – simpel und besteht aus einem Vertragsschluss mit einem entsprechenden Dienste-Anbieter (siehe dazu: Checkliste Cloud-Vertrag). Im deutschen Zivilrecht herrscht grundsätzlich Vertragsfreiheit; die Vertragsparteien handeln selbst aus, was sie zum Vertragsinhalt machen. Es besteht keine Notwendigkeit, sich einseitig den Bedingungen des Anbieters zu unterwerfen. So sollten unklare Regelungen in dem Nutzungsvertrag konsequent hinterfragt werden. Dass bei Beschaffungsprozessen, die typischerweise schnelle Interaktionen erfordern, die allseitige Verfügbarkeit der Cloud-Services von enormer Wichtigkeit ist, liegt auf der Hand. Wenn man sich angesichts dessen vergegenwärtigt, dass eine vertraglich zugesicherte Verfügbarkeit des Dienstes von 99 % im Jahresdurchschnitt immer noch einen Systemausfall bis zu 3,6 Tagen am Stück „erlaubt“, wird deutlich, welche Sorgfalt auf die vertraglichen Regelungen gelegt werden muss.

Und schon am Anfang sollte das Ende bedacht werden: Für den Fall, dass ein Nutzer den Cloud-Anbieter wechseln will, muss die Herausgabe seiner Daten in einem gängigen Datenformat möglich sein, besser noch die Verpflichtung des Anbieters, an dem Wechsel mitzuwirken.

Schutz personenbezogener Daten

Werden in der Cloud auch personenbezogene Daten erfasst und verwaltet, ist mit dem Dienste-Anbieter im Rahmen des Nutzungsvertrags zwingend auch eine sogenannte Auftragsdatenverarbeitung zu vereinbaren. Der Cloud-Provider darf dann die personenbezogenen Daten nur im Auftrag des Anwenders und nach dessen Weisung anfassen, sodass der Anwender immer die volle Kontrolle hat. Aufgrund des hohen Datenschutzniveaus in Europa, das ab 2018 durch die neue Datenschutzgrundverordnung EU-weit einheitlich geregelt sein wird, ist es ratsam, einen Cloud-Provider zu wählen, der seinen Sitz in der Europäischen Union oder im europäischen Wirtschaftsraum hat und von dort auch seine Leistungen erbringt, einschließlich Back-ups, Support und Helpdesk.

Datensicherheit

Dem Worst Case „Datenverlust“ zu begegnen, ist vor allem eine Frage des technischen Aufwands. Die Systeme sollten redundant ausgelegt sein, sodass bei Ausfall des einen sofort das andere System einspringen kann und mithilfe von Backups vom Nutzer falsch eingespielte oder versehentlich gelöschte Daten schnell wiederhergestellt werden. Matthias Zwick beschreibt die Sicherheitsarchitektur von Onventis so: „Durch unsere standardisierte Infrastruktur befinden sich alle Kundendaten zu jedem Zeitpunkt in unserem Hauptrechenzentrum in Frankfurt und gleichzeitig in einem Datenspiegel in Stuttgart. Dieses Konzept gewährleistet maximale Sicherheit, die Einhaltung europäischer Datenschutzbestimmungen und die ständige Verfügbarkeit der Daten.“ Setze ein Anbieter darüber hinaus auch noch Konzepte eines Informationssicherheitsmanagementsystems um, seien die Unternehmen damit bestens für die Digitalisierung ihrer Einkaufsprozesse gerüstet. „Ich rate jedem, diese Prozesse voranzutreiben und jederzeit darauf zu achten, wo sich die Daten befinden“, sagt Zwick.

Schutz vor Manipulation

An den in der Cloud liegenden Inhalten dürfen keine eigenmächtigen Änderungen durch den Provider vorgenommen werden. Auch müssen ausreichende Schutzmaßnahmen gegen Manipulationen von außen getroffen werden. Seriöse Anbieter sichern dies vertraglich zu und schulen ihre Mitarbeiter entsprechend.

Sie müssen dafür sensibilisiert werden, bereits erste Anzeichen von Hackerangriffen zu erkennen und schnell abzuwehren. Nachweise für höchste Sicherheitsstandards liefern etwa Zertifizierungen nach der allgemeinen ISO 27001 zur Informationssicherheit, nach der 2014 verabschiedeten ISO 27017/27018 für Cloud-Services oder nach dem Trusted Cloud-Datenschutzprofil TCDP der Stiftung Datenschutz. Damit dürften die meisten Clouds sicherer sein als jede unternehmenseigene IT.


Checkliste

Cloud-Vertrag

  • Umfasst die Leistungsbeschreibung alle wichtigen und gewünschten Themen?
  • Sind spezielle Anforderungen als zugesicherte Eigenschaften in dem Vertrag enthalten?
  • Sind Vertragslaufzeit und Kündigungsrechte zufriedenstellend geregelt?
  • Ist das Preis- und Volumenmodell transparent und ausreichend flexibel?
  • Entstehen Migrationskosten? Ist die Kompatibilität der Daten gewährleistet und besteht bei einem späteren Anbieterwechsel Anspruch auf Unterstützung?
  • Sind die Service-Level-Agreements
    genau definiert und für den Kunden auch überprüfbar?
  • Ist die Absicherung gegen einen Ausfall des Systems und Datenverlust technisch ausreichend und existieren plausible Notfallmechanismen?
  • Wird der Kunde schnellstmöglich über Sicherheitsvorfälle oder Pflichtverletzungen informiert?
  • Sind die Folgen eines Systemausfalls, Datenverlustes oder einer Sicherheitslücke ausreichend abgesichert und die Haftung des Anbieters geregelt (kein Haftungsausschluss!)?
  • Werden durch den Anbieter regelmäßig Sicherheitschecks durchgeführt, dokumentiert und an den Kunden kommuniziert?
  • Sind die Serverstandorte bekannt und liegen in der Europäischen Union?
  • Agiert der Anbieter in einer geprüften IT-Umgebung und unter zertifizierten Sicherheitsstandards?
  • Sind die (Fern-) Zugriffsrechte eindeutig umgrenzt?
  • Bei der Verarbeitung personenbezogener Daten: Ist eine Auftragsdatenverarbeitung vereinbart, die die Anforderungen der neuen EU-Datenschutzgrundverordnung einhält?

Anja Falkenstein, Rechtsanwältin, Karlsruhe

Unsere Whitepaper-Empfehlung
Aktuelles Heft
Titelbild Beschaffung aktuell 3
Ausgabe
3.2024
PRINT
ABO

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de