Cloud Computing

IT-Outsourcing | Nearshoring/Offshoring | Cloud Computing

IT-Outsourcing bezeichnet eine Form des Outsourcings, bei welcher IT-Prozesse nicht (mehr) mittels unternehmenseigener Ressourcen erbracht werden, sondern durch spezialisierte Service Provider. Die entsprechenden Dienstleistungen werden dabei je nach Art und Ausgestaltung der Auslagerung onsite im auslagernden Unternehmen selbst oder aber onshore, das heisst im selben Land wie das auslagernde Unternehmen erbracht, was in der Regel durch die Wahl des Service Providers bedingt ist. Erbringt ein Service Provider Dienstleistungen überregional oder weltweit, wird er seine Ressourcen üblicherweise in bestimmten Ländern konzentrieren und seine Dienstleistungen teilweise oder vollständig von dort aus erbringen. Sollen ausgelagerte Dienstleistungen aus einem Land der EU bzw. EFTA erbracht werden, spricht man aus Schweizer Sicht meist von Nearshoring. Werden die Dienstleistungen aus einem Land ausserhalb der EU und der EFTA erbracht, wird aus Schweizer Sicht in der Regel von Offshoring gesprochen. Die genaue Zuordnung und Terminologie kann allerdings von Fall zu Fall variieren. Schwierigkeiten bietet die Erbringung von Services aus einem bestimmten Land oder einer bestimmten Region sodann regelmässig beim so genannten Cloud Computing, bei welchem skalierbare IT-Ressourcen, wie etwa Speicherkapazitäten, Rechenleistung, System-Plattformen, Prozesse oder Applikationen, als Dienstleistung bedarfsorientiert über Netzwerke zur Verfügung gestellt werden. Je nach Ausgestaltung des Cloud Modells ist es für Kunden nicht mehr feststellbar, von welchem Ort aus die Dienstleistung erbracht wird und wo ihre Daten bearbeitet und gespeichert werden. Inwiefern dies ein Risiko darstellt, ist für jeden Fall einzeln zu prüfen.

Verträge über IT-Outsourcing Dienstleistungen können je nach Ausgestaltung schnell sehr komplex werden. Bei Nearshoring und Offshoring kommt aber automatisch auch eine internationale Komponente dazu. Entsprechend stellen sich generell Fragen zum anwendbaren Recht und dazu, ob ausländische Behörden Zugriff auf Daten der Kunden haben können. Datenschutzrechtlich stellt sich in diesem Zusammenhang die Frage, ob ein Land, aus welchem Dienstleistungen erbracht werden, über ein angemessenes Datenschutzniveau verfügt. Ferner will je nach Kunde geprüft sein, ob allenfalls gesetzliche Vorgaben bestehen, die eine Auslagerung ins Ausland beschränken oder erschweren können, insbesondere in Bezug auf Geheimnisschutz oder im Dual-Use-Bereich. Cloud Dienstleistungen bergen sodann zusätzliche Risiken, wie etwa der mögliche Kontrollverlust über die Daten oder die mangelnde Datenportabilität und damit zusammenhängende Lock-in Effekte. Erschwerend kommt hinzu, dass die allfällige Internationalität eines Cloud Services nicht ohne Weiteres ersichtlich ist. Ein Kunde tut daher gut daran, möglichst früh – am besten bereits vor der ersten Offertanfrage – aber auch projektbegleitend mögliche Risiken zu identifizieren und zu bewerten.