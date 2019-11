Stellen Sie sich folgendes Szenario vor: Ein Cloud-Unternehmen baut eine App, die es an Unternehmen verkaufen will - unabhängig davon, wer Hersteller der Cloud-Lösung ist. Sind dabei mehrere unterschiedliche Softwareanbieter involviert, also beispielsweise sowohl Services von SAP als auch von Microsoft integriert, sind die Kosten für den Endanwender zwar überschaubar. Vom Vertragswerk her ist es jedoch beinahe unmöglich, die App zu vertreiben. Denn diese muss nicht nur die Allgemeinen Geschäftsbedingungen (AGB) der SAP, sondern auch die von Microsoft spiegeln.

Vertragliche Herausforderungen: von AGB über SLA bis hin zum Datenschutz

Bei der Kombination von Cloud-Lösungen unterschiedlicher Hersteller, einer sogenannten multidimensionalen Cloud (kurz: Multi-Cloud), gilt es auch, die Datenschutzvereinbarungen zu beachten. Aus einem Vertragswerk mit ursprünglich 60 Seiten wird in solchen Fällen deshalb schnell eines mit doppelt so vielen. Sowohl die AGB als auch die Datenschutzbestimmungen beider Anbieter müssen schließlich korrekt abgebildet werden. Die Herausforderung besteht darüber hinaus auch darin, das eigene SLA (Service Level Agreement) nicht herabzusenken.

Denn hat der eine Hersteller ein SLA von 99 Prozent, der andere jedoch eines von 98, kann im besten Fall nur ein SLA von weniger als 98 Prozent erreicht werden. So mag ein Cloud Service-Anbieter vielleicht günstig und schnell verfügbar sein, setzt aber unter Umständen das eigene Gesamt-SLA herab. Und damit nicht genug. Nutzt ein Plattformanbieter Open Source-Software, kann das zu einem rechtsviralen Effekt führen. Werden dann Schnittstellen von Anbietern wie SAP oder Microsoft angeknüpft, wird das Gesamtwerk ebenfalls zu einer Open Source und damit vertragsbrüchig.

Als Reseller ist einem der Zugriff auf die entsprechenden Cloud Source-Codes häufig verwehrt. Somit lässt sich dieser gegenüber der Plattform auch nicht offenlegen. Vertragstechnisch ist das also eine sehr große Herausforderung.

Auf den Standort kommt es an

Was den Datenschutz anbelangt, ist der Standort der Rechenzentren von großer Bedeutung - gerade im Hinblick auf die Multi-Cloud. Denn aus DSGVO-Sicht gibt es sogenannte unsichere Drittländer. Aufgrund ihrer Datenschutzregelungen gelten deshalb sogar die USA als ein solches. So behält sich die US-amerikanische Regierung das Recht vor, sämtliche Daten aller Rechenzentren einzusehen.

Gesetzlich ist das durch den "US Cloud Act" so festgelegt. Nutzt dann beispielsweise ein Vertragspartner Google Services, ist in keinster Weise nachvollziehbar, wo diese Services herkommen und wo die Daten gespeichert werden. Wird die Multi-Cloud also hinsichtlich des Datenschutzes nicht sauber gemanagt, werden Risiken eingegangen, die vermeidbar wären.

Das gleiche gilt auch für Services anderer US-Anbieter. Eine Vereinfachung in diesem Zusammenhang dürfte das am 29. Oktober 2019 auf dem Digitalgipfel in Dortmund angekündigte europäische Cloud Netzwerk Gaia-X versprechen, das im kommenden Jahr projektiert werden soll. Stellen Sie bis dahin also sicher, dass der Service, für den Sie sich letztendlich entscheiden, in der EU von europäischen Providern oder in europäischen Rechenzentren betrieben wird. Nur so ist Ihr Vertrag DSGVO-konform.

Multi-Cloud birgt auch technische Hürden

Das Problem: Unterschiedliche Systeme haben unterschiedliche Datenkataloge. Diese müssen zunächst einmal vereinheitlicht und zusammengeführt werden. Integrationsplattformen helfen hier, die Daten anzupassen, sie zu vernetzen, zu erweitern und anzureichern oder sie auf verschiedene Systeme zu verteilen. Denn nicht jedes System spricht die gleiche Prozesssprache.

Prozesse zu vereinheitlichen und die richtigen Anknüpfungspunkte für eine Integration zu finden, ist also eine technische Herausforderung, die es zu stemmen gilt. Wird beispielsweise ein Prozess in Salesforce.com als CRM-System gestartet, in welchen das Cloud-ERP-System "SAP Business ByDesign" integriert werden soll, stellt sich die Frage, wo in diesem Prozess die Integration erfolgt. Denn diese lässt sich sowohl an einen Lead als auch an eine Opportunity anknüpfen.

Beide Systeme haben unter Umständen unterschiedliche Status. Eine Kombination der Lösungen bedarf dementsprechend einer Vereinheitlichung. Das bedeutet, Objekte mögen zwar, sofern in den einzelnen Plattformen vorhanden, ähnlich heißen, verfolgen aber einen unterschiedlichen Zweck. All diese prozessualen Fragen müssen Sie klären.

Stolperfalle Monitoring: Integrationsplattformen schaffen Abhilfe

Die Integration von On-Premise-Lösungen bringt die gleichen Herausforderungen mit sich, wie die von Cloud-Lösungen. Erstgenannte sind aber darüber hinaus im Bereich Sicherheit noch deutlich schwieriger technologisch auf den neuesten Stand zu bringen. In der Cloud lässt sich sicherheitstechnisch einfacher agieren. Eine weitere Herausforderung, die sowohl die alte als auch die neue Economy betrifft, stellt das Monitoring der Systeme dar. Wenn Sie mehrere Systeme miteinander kombinieren und während der Integration an einem Punkt der Prozess fehlschlägt, stellt sich die Frage, wer diesen Fehler behebt.

Greifen wir hier noch einmal auf das Beispiel von Salesforce.com und SAPs Cloud-ERP zurück: Behandelt ihn ein User auf Seiten von Salesforce.com, der Daten nach SAP überträgt oder diesen Prozess zumindest startet? Oder überwacht eine Person im SAP Cloud ERP das Monitoring? Und was passiert, wenn der Verantwortliche nicht erreichbar ist?

Das Monitoring zu überwachen ist damit eine der größten Herausforderungen, die eine Multi-Cloud mit sich bringt - zumindest im Bereich einer Punkt-zu-Punkt-Verbindung. Lösung hierfür: eine Integrationsplattform wie beispielsweise Azure von Microsoft oder die SAP Cloud Plattform-Integration. Bei einer solchen Plattform besteht zwar auch die Notwendigkeit eines Kontrollmediums, das prüft, ob gesendete Daten auch ankommen, richtig verarbeitet sind oder ob es irgendwo im System gerade eine Störung gibt.

Viele mittelständische Unternehmen sind damit jedoch überfordert, weil sie aufgrund der (nicht) vorhandenen IT nicht in der Lage sind, einen Mitarbeiter für das Monitoring zur Verfügung zu stellen. Es ist daher hilfreich, echte Cloud-Anbieter die Plattform etablieren zu lassen. Diese können eine Überwachung als Service mit anbieten und durchführen. So lassen sich Cloud-Lösungen sinnvoll miteinander in Einklang bringen.

Differenzierung vom Wettbewerb

All diese Herausforderungen können Cloud-Anbieter nutzen, um sich vom Wettbewerb zu differenzieren. Denn als Hersteller sollten Sie nicht nur die Services anderer in ihre Lösungen einbinden, sondern auch deren Vertragswerk. So handhabt es beispielsweise SAP in verschiedenen Beispielen, die einige Services nicht mehr selbst betreibt. Indem der Software-Riese dafür Sorge trägt, dass das Vertragsverhältnis zu einem Drittanbieter von ihm selbst geregelt wird, macht SAP es ihren Partnern und Endanwendern perspektivisch immer einfacher.

Hat ein mittelständischer Endkunde also einen Vertrag mit einem SAP-Reseller, hat dieser wiederum einen eigenen mit der SAP. Das Walldorfer Softwareunternehmen hat aufgrund der Services, die es von Hyperscalern wie Microsoft oder Amazon bezieht, vertragliche Regelungen mit diesen dritten Partnern. Das heißt, es regelt in seinen eigenen AGB und SLAs alles, was der Partner mit seinen Endkunden festzulegen hat, um alle Bereiche rechtlich zu schützen und abzudecken.

Und auch der Kontakt zu nur einem einzigen Anbieter, von dem alles bezogen wird, stellt einen Wettbewerbsvorteil dar. Werden hingegen verschiedene Komponenten von einzelnen Cloud-Anbietern genutzt, sollten Sie sich die Fragen stellen: Wer ist der richtige Ansprechpartner für welche Komponente? Und was sind meine SLAs an dieser Stelle?

To Tell it in a Nutshell

Halten wir also fest: Entscheiden Sie sich idealerweise für nur eine Plattform bei der Umsetzung Ihrer Multi-Cloud-Strategie. Denn darüber lässt sich sehr sicher skalieren. Auch wenn im direkten Vergleich der eine Service bei einem Anbieter günstiger sein mag als bei einem anderen - hinsichtlich der Rechtfertigung der Plattform und der Konsistenz der Rechts-, Vertrags- sowie der technologischen Servicelage ist es sinnvoller, sich nur für einen Serviceprovider zu entscheiden.

Bei dessen Wahl sind Sie gut beraten, auf DSGVO-Konformität zu achten. Setzen Sie beim Service Provider Ihrer Wahl daher auf ein Unternehmen, welches seine Rechenzentren auch in Zentraleuropa betreibt, anstatt in unsicheren Drittländern.