Go Cloud: Wolkeneinsatz in der Finanzindustrie – Interview mit Dr. Thomas Söbbing, Deutsche Leasing

Dr. Thomas Söbbing ist Justiziar der Deutschen Leasing, einem Unternehmen der Sparkassen-Finanzgruppe, sowie Experte im Bereich Outsourcing und Autor des Handbuches „IT-Outsourcing“. Er hat praktische Erfahrungen bei der Implementierung von Cloud-Computing-Projekten, unter anderem bei der Einführung von salesforce.com bei der Deutschen Leasing in mehr als 22 Ländern. Die Blog-Redaktion hat mit ihm über das Thema Cloud-Lösungen in der Finanzindustrie gesprochen.

Herr Dr. Söbbing, halten Sie es rechtlich für möglich, dass Banken Cloud-Dienste nutzen?

Dr. Thomas Söbbing: Ja, Banken können Cloud-Dienste nutzen. Sie müssen lediglich die aufsichtsrechtlichen Voraussetzungen berücksichtigen und ein entsprechendes Risikomanagement etablieren, um die operativen Risiken in den Griff zu bekommen.

Outsourcing und Cloud Computing – aufsichtsrechtlich kaum ein Unterschied

Sie übertragen die Rahmenbedingungen des Outsourcings auf das Cloud Computing; vor welchem Hintergrund ist dieser Gedanke entstanden?

Cloud Computing ist insofern mit Outsourcing vergleichbar, als auch hier externe Ressourcen genutzt werden. Zudem gibt es viele vergleichbare strukturelle Bedingungen, wobei natürlich eine Public Cloud sehr viel weiter geht als Outsourcing und zwar bei der Verteilung der Ressourcen sowie dem höherem Grad der Standardisierung. Beim Outsourcing geht es vor allem darum, eine individuelle Lösung für den Kunden zu bauen. Bei der Public Cloud hingegen werden bestimmte Standardleistungen angeboten, die viel weniger individualisiert sind. Der Kunde profitiert davon, dass er diese großen Standards nutzen kann und keinen großen Aufwand für die Implementierung hat. Aber auf die aufsichtsrechtliche Sichtweise haben diese Unterschiede zwischen Cloud Computing und Outsourcing keine großen Auswirkungen.

Rechtliche Regelungen für Cloud Computing

In der Finanzdienstleistungsindustrie operieren Sie ja in einem aufsichtsrechtlich regulierten Markt. Gibt es in den Regularien konkrete rechtliche Regelungen für Cloud Computing?

Es gibt in Deutschland das Kreditwesengesetz (KWG). Das umfasst auch die Regelung für das Outsourcing und welche Vorkehrungen dafür zu treffen sind. Und dann gibt es eine Verwaltungsanweisung für die Mindestanforderungen an das Risikomanagement (BA), abgekürzt MaRisk (BA). Diese für das Outsourcing relevanten Passagen kann man für das Cloud Computing adaptieren.

Keine Bedenken bei einer CRM-Cloud-Lösung

Entscheidend für Ihre Einschätzung ist die Frage, ob es sich bei der Nutzung von CloudServices wie von salesforce.com um die Auslagerung eines wesentlichen Bereichs handelt. Und das hängt ja eng mit dem Risikomanagement zusammen. Können Sie das kurz erläutern?

Es gibt bestimmte Bereiche und Aufgaben, wie die Geschäftsführung oder das Risikomanagement, die nicht ausgelagert werden können. Beides machen Sie ja mit einer Cloud-Lösung auch nicht. Jetzt muss man sich genau anschauen, welche Risiken Cloud Computing birgt. Nehmen Sie einmal salesforce.com. Hier geht es darum, Informationen von Vertrieb, Marketing oder Service in der Cloud zur Verfügung zu stellen.

Die Informationen, die darin über Kunden enthalten sind, beispielsweise seine Interessen oder Hobbies, sind auch in den Köpfen der Mitarbeiter vorhanden. Zudem sind sie auch nicht für den Bestand des Instituts essenziell. Warum? Weil sich der essenzielle Teil auch noch mal in anderen Datenbanken befindet, beispielsweise den Vertragsdatenbanken. Da die Auslagerung somit also möglich und nicht wesentlich ist, gibt es beispielweise bei einer CRM-Cloud-Lösung keine Bedenken.

Zusätzliche Sicherheit

Viele Unternehmen denken, Sie müssen weitere Schritte umsetzen, um die Daten zu sichern …

Unternehmen müssen selbst entscheiden, ob sie in diesen Prozess weitere Sicherheitsschritte einbauen wollen. Sie könnten ja beispielsweise die Daten verschlüsseln etwa mit einer Token-Technologie. Oder sie stellen sicher, dass durch einen sogenannten Daten-Downstream die Daten regelmäßig ins Unternehmen zurückgeführt werden. Das sind aber individuelle Entscheidungen eines Unternehmens im Sinne einer individuellen Auslegung des Risikomanagements.

Risikosteuerung und Notfallkonzepte

Was ist Ihrer Erfahrung nach Best Practice bei der Risikosteuerung? Worauf muss geachtet werden?

Aus Sicht des Risikomanagements wird das Risiko durch den Daten-Up- bzw. Downstream beherrschbar. Mit dem regelmäßigen Daten-Downstream könnten die Daten ja jederzeit wieder in das Unternehmen zurückgeführt und bei Bedarf jederzeit wieder in eigenen Systemen rekonstruiert werden. Bezogen auf salesforce.com beziehungsweise das CRM-System heißt das, dass die Daten jederzeit auch unabhängig vom Anbieter wieder verfügbar und nutzbar gemacht werden könnten. Dadurch wird das Risiko beherrschbar. In Kombination mit der Einschätzung, dass es sich um nicht wesentliche Daten handelt, reicht das für ein gutes Risikomanagement.

Wie müssen Ihrer Einschätzung nach die Notfallkonzepte aussehen?

Technisch sind die eben genannten Aspekte des regelmäßigen Downstreams und die Möglichkeit zur Rekonstruktion in eigene Systeme die relevanten Gesichtspunkte für Notfallkonzepte. Im „Hintergrund“ müssen natürlich auch die Anbieter entsprechende Backups bieten und die Verfügbarkeit der Daten gewährleisten.

Alles, was Recht ist – 5 Tipps

Sie haben umfangreiche praktische Erfahrungen mit Cloud Services. Was sollten Unternehmen aus rechtlicher Sicht beachten?

Dazu habe ich fünf Tipps:

1. Cloud Provider sorgfältig aussuchen

2. Sich über Safety und Security sogfältig Gedanken machen, ebenso wie über die Verlässlichkeit des Partners

3. Risikomanagement in den Griff bekommen

4. Ausfall- und Notfallsysteme entsprechend im Vertrag ratifizieren sowie entsprechende Notfallsysteme vorrätig halten

5. Bei den Vertragsverhandlungen sollte man sich erst einmal mit dem Geschäftsmodell des Anbieters vertraut machen, um unnötige Energie und Zeit zu vermeiden.

Vertragsstrafen nicht unbedingt sinnvoll

Können Sie auf den Aspekt der Vertragsverhandlungen noch einmal kurz eingehen?

Das betrifft zum Beispiel die Frage nach Vertragsstrafen, also Pönale. Beim Outsourcing gibt es beispielsweise individuelle Services, die nicht funktionieren. Mit einer Pönale wird versucht den Outsourcing-Partner dazu zu bewegen, das individuelle Problem möglichst schnell zu lösen. Man will über Pönale nach oben in der Problemlösungshierarchie. Beim Cloud Computing greifen aber Tausende oder Hunderttausende von Kunden auf eine Plattform zu – zumindest bei einer Public Cloud.

Wenn diese dann ausfällt, haben alle ein kollektives Problem. Und es ist im eigenen Interesse des Anbieters, dieses unverzüglich zu lösen. Und zwar gleichermaßen für alle Nutzer. Pönale sind dann zwar ein „Nice to have“, aber kein effektives Mittel für eine Problemlösung. Deshalb ist es sinnvoll, sich mit dem Geschäftsmodell oder Standardverträgen eines Cloud-Anbieters vorab vertraut zu machen.

Eine letzte Frage: Sind Ihrer Erfahrung nach die Anforderungen im Banken- und Finanzbereich übertragbar auf andere Branchen?

Man muss differenzieren zwischen regulierten beziehungsweise aufsichtsrechtlich regulierten und nicht regulierten Märkten. Wir befinden uns als Banken und Versicherungen in einem aufsichtsregulierten Markt. Für nicht aufsichtsregulierte Märkte könnte das durchaus adaptiert werden. Sie könnten unsere Qualitäts- und Sicherheitsstandards übernehmen, weil sie einem sehr hohen Standard entsprechen. Nur haben andere Branchen halt keine Aufsicht, die das alles reguliert.

Herr Dr. Söbbing, vielen Dank für das Gespräch.