Zum Hauptinhalt springen

Hyperscaler-Migration: Rechtliche Aspekte

Berücksichtigung vertraglicher Pflichten und Datenschutzanforderungen

Hyperscaler wie Amazon Web Services (AWS), Microsoft Azure, Google Cloud und Alibaba bieten ein skalierbares Hosting von Daten. Allerdings stellt die Migration Ihrer Unternehmensdaten auf einen Hyperscaler viel mehr als nur eine technische Aufgabe dar, da bindende vertragliche Pflichten und Datenschutzanforderungen rechtliche Beschränkungen mit sich bringen, die es zu beachten gilt.

Eine Menschen-, Prozesse- und Technologie- umfassende Herausforderung


Ihr Chief Technology Officer (CTO) betrachtet die Datenmigration möglicherweise in erster Linie als eine technische Aufgabe, was sich auf sein Teambuilding auswirkt. Er wird ein Projektteam zusammenstellen, das sich aus den Bereichen Betrieb, IT/Sicherheit, Compliance, Finanzen, Steuern usw. zusammensetzt, und einen dedizierten Projektmanager ernennen, der die Nachverfolgung von Meilensteinen und Abhängigkeiten sowie die Koordinierung des Projekts unterstützt.

Daraufhin erstellt das Projektteam einen Plan, in dem sämtliche Prozesse und Abhängigkeiten aufgeführt sind. Anschließend werden die geeigneten Technologien für Zusammenarbeit, Arbeitsabläufe und Berichterstattung zur Erleichterung der Projektdurchführung ermittelt. All diese Maßnahmen sind sinnvoll und erforderlich. Falls das Team jedoch nicht bereits von Beginn an die Rechtsabteilung einbezieht, können sich im weiteren Projektverlauf unvorhergesehene Hindernisse ergeben, die zu unnötigen Verzögerungen führen.

Die rechtliche Sichtweise


Es besteht eine Reihe von Überlegungen, die von der Rechtsabteilung in den Projektplan eingebracht werden. Dabei ist eine der ersten Fragen, wie sich die Datenmigration auf einen Hyperscaler zu den rechtlichen und vertraglichen Pflichten des Unternehmens gegenüber seinen Geschäftspartnern wie Kunden oder Lieferanten, verhält. Mit anderen Worten: Kann man einfach „loslegen“? Oder hängt eine reibungslose und rechtssichere Migration davon ab, dass man die Geschäftspartner informiert oder sogar deren vorherige Zustimmung einholt? Zwei Hauptaspekte sind dabei vertragliche Pflichten und Datenschutz.

Vertragliche Pflichten: Prüfen Sie zunächst, ob in den Verträgen mit den Geschäftspartnern Klauseln enthalten sind, welche die Migration betreffen. Dazu könnten etwa folgende Aspekte zählen:

  • Beschränkungen bei der Vergabe von Unteraufträgen
  • Benachrichtigungs- und Zustimmungserfordernisse
  • Geolokalisierung
  • Compliance-Pflichten und gesetzliche Beschränkungen• Sicherheitsanforderungen und -audits
  • Reaktion auf Vorfälle

Datenschutzproblematik: Die Datenschutzproblematik geht oft weit über vertragliche Vereinbarungen hinaus. In der EU ist die Datenschutzgrundverordnung (DSGVO) von zentraler Bedeutung, und obwohl die DSGVO mehrere gesetzliche Grundlagen vorsieht, gemäß denen die Datenübermittlung auf einen Hyperscaler in vielen Fällen rechtmäßig vorgenommen werden kann (z. B. mittels Einholung der Zustimmung), erfordert dies zumindest einige entsprechende Anstrengungen Ihrerseits. Treffen Sie daher eine Datenverarbeitungsvereinbarung (DPA) zur Legalisierung der Übermittlung Ihrer Daten innerhalb der EU.

Weitere Herausforderungen entstehen, wenn Hyperscaler ihren Standort außerhalb der EU/des EWR haben. Selbst wenn die Datenübermittlung die allgemeinen Anforderungen erfüllt, müssen Sie sicherstellen, dass die Übermittlung in dieses Drittland außerhalb der EU/des EWR zulässig ist, z. B. durch die Verwendung von Standardvertragsklauseln (SCC), die von der Europäischen Kommission angepasst wurden, wodurch sich umfangreiche individuelle Anpassungsmöglichkeiten für die verschiedenen Szenarios der Datenübermittlung ergeben.

Sonstige Problematiken: Abhängig von Ihrer Branche kommen möglicherweise weitere rechtliche Anforderungen auf Sie zu, wie z. B. bestimmte Mindestanforderungen, die von den europäischen Aufsichtsbehörden für das Banken- und Versicherungswesen festgelegt wurden, oder weitere Beschränkungen für Gesundheitsdaten im Gesundheitswesen. Das frühzeitige Erkennen dieser Anforderungen ist von zentraler Bedeutung.

Vorgehen bei der Implementierung einer Hyperscaler-Migration


Die Migration erfordert in der Regel die Überprüfung und mögliche Anpassung von Verträgen mit Geschäftspartnern. Je nach Geschäftsmodell kann die Anzahl der zu überprüfenden Verträge beträchtlich sein. Die Kategorien Menschen – Prozesse – Technologie helfen bei der Strukturierung Ihrer Vorgehensweise:

  • Menschen: Unterstützen Sie den CTO und das Projektteam dabei, die Relevanz rechtlicher Gesichtspunkte zu verstehen und beziehen Sie einen Rechtsexperten in das Team ein - nehmen Sie gegebenenfalls externe Unterstützung in Anspruch.
  • Prozesse: Legen Sie geeignete Prozesse und Arbeitsabläufe fest und überwachen Sie diese. Die Anwendung „agiler“ Prinzipien wie Sprints, Dailies und Retrospektiven kann dabei sehr hilfreich sein.
  • Technologie: Ein bereits vorhandenes CLM-System (Contract Lifecycle Management) kann eine gute Datenquelle sein und, je nach Möglichkeiten des Systems, sogar die Plattform bilden, über welche das Projekt verwaltet wird. Systeme, die einen Einblick in die einzelnen Vertragsklauseln ermöglichen, können helfen, problematische Fälle schnell herauszufiltern. Spezialisierte E-Discovery- und Datenextraktions-Tools können ebenfalls zur automatischen Identifizierung und Extraktion problematischer Verträge oder Klauseln beitragen. Die meisten internen Rechtsabteilungen haben keinen Zugang zu diesen KI-gestützten Tools. Falls Sie also planen, externe Unterstützung in Anspruch zu nehmen, sollten Sie eine Beurteilung der technischen Möglichkeiten Ihres Beraters vornehmen, bevor Sie sich für eine Zusammenarbeit mit ihm entscheiden.

Für weitere Informationen zur Migration Ihrer Unternehmensdaten auf einen Hyperscaler und wie Sie dabei verbindliche vertragliche Pflichten und Datenschutzanforderungen beachten, kontaktieren Sie uns gerne.