Standards und Zertifikate für die Cloud

Neue Technik trifft auf alte Gesetze

28.09.2012
Von Markus  Vehlow und Dr. Jan-Peter  Ohrtmann

SOC 3 erleichtert Vergleich von Cloud-Providern

Der amerikanische Verband der Wirtschaftsprüfer (AICPA) hat mit "SOC 3" eine Zertifizierung auf Basis von Cloud-spezifischen Anforderungen ("SysTrust/WebTrust") entwickelt, die Unternehmen einen Vergleich von Providern auf Basis eines transparenten Katalogs an Kriterien gewährt. Provider haben zusätzlich die Möglichkeit, mit einem einheitlichen Siegel auf ihrer Internetseite zu werben.

Foto: AA+W, Fotolia.de

SOC 3 ist eine Weiterentwicklung des international anerkannten ISAE 3402- (ehemals SAS 70-) Standards. Dieser international verbreitete Standard bildet die Grundlage für die Beurteilung der Sicherheit und Ordnungsmäßigkeit von IT-Prozessen eines Cloud Providers. Im Rahmen der Zertifizierung werden die in Prozessen bestehenden Kontrollen hinsichtlich ihrer Ausgestaltung und Wirksamkeit untersucht. Unter der Annahme, dass sinnvoll implementierte Kontrollen zu einem korrekten Prozessergebnis führen, stiftet SOC 3 Vertrauen, dass ein Provider die Anforderungen an Verfügbarkeit, Integrität, Vertraulichkeit etc. in der Cloud erfüllt.

Rechnungslegung und Cloud Computing – passt das zusammen?

Weitere Pflichten treffen das Unternehmen bei den Anforderungen zur ordnungsgemäßen Rechnungslegung. Für Software, die zur Finanzbuchhaltung eingesetzt wird, gelten seitens der deutschen Finanzverwaltung die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). Die sehen vor, dass Daten vollständig und nachvollziehbar verarbeitet und unveränderlich archiviert werden.

Zusätzlich sind die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) zu beachten, die etwa Regeln zur Aufbewahrung von Rechnungen im Sinne des Umsatzsteuergesetzes (UStG) enthalten. Bei steuerrechtlich relevanten Daten greift zusätzlich die Abgabenordnung (AO), die grundsätzlich eine Datenhaltung in Deutschland vorsieht. Einer Verlagerung ins Ausland stimmt die Finanzverwaltung nur auf Antrag zu. Das sind Regeln, die auch in der Cloud gelten.

Ein Unternehmen, das seine Finanzbuchhaltung künftig mit einem Cloud Service abwickeln will, muss sicherstellen, dass diese Anforderungen entsprechend erfüllt werden. Auch hier geben Formen der Zertifizierung durch unabhängige Dritte Orientierung. Hierzu hat das Institut für Wirtschaftsprüfer in Deutschland e.V. (IDW) im Jahr 2010 den Prüfungsstandard PS 880 veröffentlicht. Nach Prüfung von vorher individuell festgelegten Kriterien testiert der Wirtschaftsprüfer einem Cloud-Provider damit etwa die Ordnungsmäßigkeit und Sicherheit rechnungslegungsbezogener Funktionen in seinen Services.


Fazit: Juristische Anforderungen an Cloud-Provider und -Nutzer

Der Einsatz von Cloud Computing ist rechtlich zwar nicht unproblematisch. Doch die Anforderungen an die Unternehmen sind kein unüberwindbares Hindernis. Sie sollten gemeinsam mit dem Cloud-Provider eigene Lösungen entwickeln, um das Potenzial des Cloud Computings zu nutzen. Wichtig ist, dass die Unternehmen für die Anforderungen sensibilisiert sind. Ein Standard, der alle zu berücksichtigenden Vorgaben abdeckt, wäre zu begrüßen.

Dies wird durch die beschriebene Vielfalt rechtlicher und branchenspezifischer sowie regulatorischer Anforderungen allerdings schwierig. Manche Provider gehen deshalb dazu über, sich deren jeweilige Einhaltung in Prüfungen und Stellungnahmen unabhängiger Dritter bestätigen zu lassen. Alle in diesem Artikel empfohlenen Standards und Leitfäden sind wichtige und anerkannte Hilfestellungen, die man im jeweiligen Anwendungsbereich zur Einhaltung der regulatorischen Vorgaben in Anspruch nehmen sollte. Eine individuelle, auf den jeweiligen Bedarf des Nutzers zugeschnittene Lösung beinhalten solche generellen Standards per se jedoch nicht. (wh)

Zur Startseite