Leitfäden

By using cloud services, organizations can provide their application and server landscape through a pool of resources. That there is no way around cloud solutions in terms of elasticity and competitiveness, has meanwhile penetrated to most companies. However, the migration and successive “cloudification” of the servers and services often represents a major obstacle for many companies. In many cases, it lacks or fails in a migration strategy, or in the know-how of the persons involved. An essential migration component to a cloud service provider is the automated migration of services and servers to such. In such a project, IT service providers and IT departments are equally required to contribute their experience and to keep the degree of automation very high, if possible. It is important to analyze the processes and to work out which steps can be carried out fully automatically. Without automation, there are many sources of error and little chance of success.

This document focuses on the accelerated movement of virtual servers and their applications using streaming technology to a cloud service provider. The primary consideration is the technology of the solution used and the availability and liability SLAs. In the concrete case of application, the example of the challenge of such an endeavor is shown and an attempt is made to clarify the resulting difficulties and risks.

Durch die Verwendung von Cloud Diensten bietet sich Unternehmen die Möglichkeit ihre Applikations- und Serverlandschaft über einen Pool von Ressourcen bereitzustellen. Dass in Sachen Elastizität und Wettbewerbsfähigkeit kein Weg an Cloud Lösungen vorbeiführt, ist mittlerweile zu den meisten Unternehmen durchgedrungen. Die Migration und sukzessive “Cloudifizierung” der Server und Services stellt allerdings für viele Firmen oftmals einen großen Hemmschuh dar. Vielfach fehlt oder scheitert es an einer Migrationsstrategie, bzw. am Know-how der handelnden Personen. Eine wesentliche Migrations- Komponente zu einem Cloud Service Provider stellt das automatisierte migrieren der Services und Server zu einem solchen dar. Bei einem derartigen Vorhaben sind IT-Dienstleister und IT–Abteilungen gleichermaßen gefordert ihre Erfahrung einzubringen und den Automatisierungsgrad nach Möglichkeit sehr hoch zu halten. Wichtig ist dabei, die Abläufe zu analysieren und herauszuarbeiten welche Schritte vollautomatisch durchgeführt werden können. Denn ohne Automatisierung gibt es erheblich viele Fehlerquellen und kaum Erfolgsaussichten.

Dieses Dokument fokussiert sich auf das beschleunigte Verschieben von virtuellen Servern und deren Applikationen mittels Streaming Technologie zu einem Cloud Service Provider. Primär wird dabei die Technologie der verwendeten Lösung und die SLAs betreffend Verfügbarkeit und Haftung betrachtet. Im konkreten Anwendungsfall wird durch ein Beispiel die Herausforderung eines solchen Unterfangens gezeigt und versucht, die dabei entstehenden Schwierigkeiten und Risiken zu verdeutlichen.

As Stephen Hawking said, we are all now connected by the Internet, like neurons in a giant brain. Since the introduction of Internet, technology improved and formed new industries by dramatically changing how people communicate, interact and access information. Since Amazon launched its Elastic Compute Cloud (EC2) service, back in 2006 the term cloud computing started to involve in commercial areas. Part of the cloud motion is the introduction of Serverless computing known as Function-as-a-Service (FaaS). Nevertheless, providing or using cloud services makes it necessary to deliver or rely on a formal framework to guarantee a certain quality of service. Especially new emerging cloud services often lack appropriate service levels or terms of service. Serverless computing is one of the latest products on the market; therefore, it is an

interesting topic to assess Serverless computing solutions of major Cloud Service Providers in terms of cloud service level agreement and management. The evaluation of Serverless computing solutions in this paper will follow the criteria given by the latest version of ISO/IEC 19086-1:2016 “Cloud computing service level agreement (SLA) framework”.

Cloud computing has become an essential element of the IT sourcing strategy for many companies.

IT, legal and procurement staff in these companies are therefore faced with the fact that comprehensive know-how in many areas — not only in technology — is now necessary if cloud services are to be used responsibly, economically and in a way that is legally compliant with the locally applicable regulation frameworks.

The strategically planned introduction and use of cloud services inevitably requires the topic of data protection to be taken into consideration from the very beginning. For with the use of cloud services, data — and in particular personal data — are transmitted to third parties for processing.

The European General Data Protection Regulation (GDPR) that will become binding in all EU countries on 25 May 2018 establishes fundamental and modern technical, economic and legal framework conditions. With it, the EU is sending a clear and globally recognisable signal showing how a society can react to quickly developing technical possibilities and their consequences for the people within it. The resulting challenges for providers and users of modern IT services alike should not be underestimated, and to prepare for these challenges ahead of time is a must.

The Cloud Privacy Check (CPC) is one element of the stream “Cloud Know-how” launched by EuroCloud Europe to present a seemingly complex topic in a way that is understandable to the affected parties and describe suitable and practicable courses of action.

The CPC does not replace legal expertise, but it structures and simpli es a complex subject without the loss of essential information. The CPC organises the questions asked by cloud users that cloud providers need to answer in order to make data protection in the context of the use of cloud services transparent and comprehensible, a further fundamental requirement of the General Data Protection Regulation (Art. 5 GDPR).

The Cloud Privacy Check was developed by the authors and veri ed within the European CPC Network, a network of lawyers. It is the result of a cooperation between law of ces in around 30 countries. The information provided here, i.e. the CPC itself and the individual country reports, can also be downloaded from the CPC website: cloudprivacycheck.eu

This guideline is intended for accountants and auditors as well for staff in the Accounting/Finance, IT and Internal Revision departments (CFOs, CIOs, IT Managers, Heads of Internal Revision) of companies subject to statutory audit.

The point of departure for this guideline is the irrefutable fact that companies are increasingly using cloud services. As soon as such services have a certain influence on the accounting processes and numbers, and can therefore affect annual accounts, they also need to be taken into consideration during auditing of the annual accounts by an auditor.

This represents a signi cant challenge for all involved persons — for the cloud customer, i.e. the company whose annual accounts the auditor is reviewing, as well as for the auditor. The aim of this document is to describe the framework conditions for the use of cloud services in regard to annual accounts and the resulting requirements, and present possible solution approaches.

This guideline was created over the course of more than one year in a cooperative process between EuroCloud and the authors Markus Ramoser, Jörg Asma and Manfred Scholz, whom I wish to thank for their efforts. Special thanks go out to Markus Ramoser of PwC Austria, who assumed the leading role in terms of content and elaborated every detail in many sessions with me and with great personal commitment.

I hope that you enjoy reading this guideline and can bene t from it in your day-to-day work.

Vienna, June 2017
Dr. Tobias Höllwarth

Dieser Leitfaden richtet sich an Wirtschaftsprüfer sowie an Verantwortliche für Rechnungswesen/Finanzen, IT und Interne Revision (CFO, CIO, IT-Leiter, Leiter Interne Revision) eines prüfungspflichtigen Unternehmens.

Ausgangspunkt dieses Leitfadens ist die unwiderlegbare Tatsache, dass Unternehmen zunehmend häu ger Cloud Services einsetzen. Sobald diese einen wesentlichen Einfluss auf das buchhalterische Zahlensystem haben – und damit auch den Jahresabschluss beeinflussen können –, müssen diese Services im Rahmen der jährlichen Prüfung des Jahresabschlusses durch einen Wirtschaftsprüfer berücksichtigt werden.

Und dies stellt eine nicht unerhebliche Herausforderung für die handelnden Personen dar. Dies gilt für den Cloud-Kunden, also das Unternehmen, dessen Jahresabschluss der Wirtschaftsprüfer beurteilt, aber auch für den Prüfer selbst.

Ziel dieses Leitfadens ist es, die Rahmenbedingungen für die Nutzung von Cloud Services unter dem Gesichtspunkt der Abschlussprüfung und der daraus resultierenden Anforderungen zu beleuchten und mögliche Lösungsansätze darzustellen.

Dieser Leitfaden wurde in mehr als einjähriger Arbeit in Kooperation zwischen EuroCloud und den Autoren Markus Ramoser, Jörg Asma und Manfred Scholz erarbeitet, denen mein Dank für die geleistete Arbeit gilt. Mein besonderer Dank geht an Markus Ramoser von PwC Österreich, der die führende inhaltliche Rolle übernommen hat und gemeinsam mit mir in vielen Arbeitssitzungen jedes Detail mit großem persönlichen Einsatz erarbeitet hat.

Wir wünschen viel Vergnügen beim Lesen und hoffen, dass Ihnen dieser Leitfaden bei Ihrer täglichen Arbeit von Nutzen ist.

Wien, Juni 2017
Dr. Tobias Höllwarth

This Audit Guide is a specific directive to deal with

• Contractual and formal requirements according to StarAudit Area – 2
• Technical security and data privacy requirements StarAudit Area – 3
• Business operation requirement StarAudit Area-4

General remarks:
This guide is prepared to reference Cloud Service Providers and Auditors as well as Cloud customer to get familiar with the high level Data Protection requirements on European Level. As main sources the editors used the following public available information by

• a)  European Union: ec.europa.eu/justice/data- protection/document/international-transfers/transfer/index_en.htm
• b)  SAP as sample DP directive for a Cloud Service Provider which is in line with the general understanding of EU Data Privacy requirements: www.sap.com/corporate-en/about/our-company/policies/data- privacy-and-security/index.html

Please be aware that this topic is currently under discussion by the European Commission to renew the existing Data Protection Directive eur- lex.europa.eu/legal-content/en/ALL/ originated in 1995 with several adjustments.

Please refer also to
http://europa.eu/rapid/press-release_MEMO-14-186_de.htm
http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm

Further on it has to be outlined, that most of the European Countries have the own additional Data Privacy Policies which have to be considered for assessment and under the pre-condition that the country of the cloud service customer who is acting as data controller is ruling the requirements and not the location of the Service provider nor the location of the service or data itself.

Innovation is the engine of an economy, and positioning for innovation is what fuels economic success. Cloud computing is clearly a major trend and major evolutionary development of the Internet that customers and suppliers alike stand to benefi t greatly from in the future. Cloud computing signifi es a dawn of a new age for the Internet, opening doors to an entirely new world for how IT is utilised. When new innovative solutions are brought to market, particularly those that distort and revolutionise an entire industry landscape, uncertainty often ensues. This uncertainty lies with new providers of course, but particularly with those that purchase and use new services that emerge from a new environment. Services that emerge from the cloud are no different and face the same uncertainties.

Cloud computing is an especially attractive option for midsized companies, often lacking the resources to individually test external providers, as it allows them to remain competitive and expand in areas, where previously they were unable. However, these companies still often do not have the suffi cient resources or expertise to personally examine the potential legal implications for the use of cloud services and how their relationships with external providers in this area should operate. The question is, how should cloud computing contracts with
appropriate legal, data protection, provider, terms, be designed?

Initially, if appropriate, cloud services shall become offered and utilised transnationally. However, the often widely discussed and undying issue of security of the Internet, is an equally concerning issue within the cloud. Uncertainty over security problems in the cloud are arguably even more pertinent than the legacy concerns for the Internet as a whole, owing to the cloud’s infancy. Technological requirements for a secure service delivery are therefore absolutely essential. However, the providers partially prevailing in Europe, do not always have clear, or basic, framework conditions. A thorough audit is required for a national and European legal framework for a global service delivery from the cloud.With the launch of the EuroCloud Deutschland_eco e. V. in February 2010, a Legal Expert Group was set up to prepare for the sometimes complex legal issues surrounding cloud computing.

The aim was to provide users and providers of cloud services guidance in the areas law, data protection and compliance, and provide support. The results are evident in this guide, “Cloud Computing: Law, Data Protection & Compliance”. The technical expertise that this guide is based on, is also part of the neutral, independent certifi cation “EuroCloud Star Audit Software as a Service”, which EuroCloud Deutschland_eco e. V. began offering to the market at the start of 2011.

We would like to thank the legal experts for the content and the eco Association of the German Internet Industry team for helping coordinate
the production of the guide.

Bernd Becker
Chairman, EuroCloud Deutschland_eco e.V.
Vice President EuroCloud

Es gibt wenige IT- Themen, die derzeit so kontrovers diskutiert werden wie Cloud Computing. Auf der einen Seite werden signifikante Einsparungen und eine flexible Nutzung von IT-Diensten prognostiziert, auf der anderen Seite sind die Bedenken zu Sicherheit, Datenschutz und der Ausgestaltung rechtlicher Anforderungen sehr ernst zu nehmen.

Mittlerweile lässt sich feststellen, dass Cloud Computing ein grundlegender Bestandteil zukünftiger IT-Planungen ist, da Unternehmen fortlaufend gezwungen sind, über die Ökonomisierung ihrer IT nachzudenken. Dabei kann zwischen der Eigenerrichtung, dem klassischen IT-Outsourcing oder dem Zukauf von IT-Services aus der Cloud gewählt werden. Vermutlich wird es sich letztlich um ein hybrides Modell handeln.

Fakt ist jedoch, dass sich die Geschäftsführung jedes Unternehmens, egal welcher IT-Größenordnung, in den kommenden Monaten ernsthaft mit der Frage beschäftigen wird müssen, ob Teile der erforderlichen IT-Services aus der Cloud bezogen werden sollen. Und spätestens zu diesem Zeitpunkt wird deutlich, wie groß die mit dieser Frage verbundenen Risken – insbesonders hinsichtlich des Datenschutzes – sind.

Der folgende Leitfaden soll wichtige Informationen zu rechtlichen Aspekten des Cloud Computing bereitstellen und für Anbieter und Anwender gleichermaßen hilfreich sein. Die Arbeitsgruppe Recht der EuroCloud Deutschland_eco e.V. hat einen Leitfaden Cloud Computing Recht und Datenschutz mit Unterstützung namhafter Rechtsexperten erstellt.

EuroCloud Austria hat auf der Basis des deutschen Leitfadens den vorliegenden
Leitfaden für Österreich erarbeitet.

EuroCloud bietet eine Auditierung von Cloud-Anbietern im Bereich „Software as a Service“ (SaaS), mit der neben den rechtlichen Aspekten auch die betriebliche Bereitstellung und die Serviceerbringung durch unabhängige Experten geprüft wird. Gerade mittelständische Unter nehmen, die die eigene Wettbewerbsfähigkeit durch Einbindung von externen Serviceangeboten erhalten und ausbauen wollen, verfügen oftmals nicht über die Ressourcen zur individuellen Prüfung von externen An bietern. Durch EuroCloud zertizierte Cloudservice Anbieter weisen mit diesem Güte siegel nach, dass sie ihr Service nach höchsten Qualitäts an sprüchen abwickeln.

Ich danke den Fachleuten der Rechtsanwaltskanzlei andréewitch & simon, Wien dafür, dass sie die Österreich-Version dieses Leitfadens erstellt haben.

Dr. Tobias Höllwarth
Vorstandsmitglied der EuroCloud Austria
Arbeitsgruppe Zertizierung und Recht

Es gibt wenige IT-Themen, die so kontrovers diskutiert werden wie Cloud Computing. Dies gilt für privatwirtschaftlich geführte Unternehmen ebenso wie für Unternehmen und Organisationseinheiten der öffentlichen Hand. Auf der einen Seite locken Einsparungen durch Konsolidierung, Standardisierung und Automatisierung der IT, die eine flexible Nutzung von IT-Services über Self-Service Portale prognostiziert. Auf der anderen Seite stellen die technische Sicherheit, strengere gesetzliche Vorgaben, geänderte Zugänge zu Servicelevel Agreements, Fragen der Schnittstellen und Interoperabilität eine besondere Herausforderung dar, für den Cloud-Nutzer ebenso wie für den Cloud-Anbieter.

Mittlerweile steht außer Streit, dass Cloud-Services ein Bestandteil zukünftiger IT-Planungen praktisch jeder Organisation sind. Diese sind fortlaufend gezwungen, über die Ökonomisierung ihrer IT nachzudenken und zwischen der traditionellen Eigenerrichtung, dem klassischen IT-Outsourcing (womöglich sogar non-shared) oder dem Zukauf von IT-Services aus der Cloud zu wählen. In vielen Fällen wird es letztlich ein hybrides Modell sein.

Faktum ist jedoch, dass sich die Geschäftsführung jedes Unternehmens, egal welcher IT-Größenordnung, in den kommenden Monaten ernsthaft mit der Frage beschäftigen wird müssen, ob Teile der erforderlichen ITServices aus der Cloud bezogen werden sollen. Und spätestens zu diesem Zeitpunkt wird deutlich, wie groß die mit dieser Frage verbundenen Risken – insbesonders hinsichtlich des Datenschutzes – sind.

Der folgende Leitfaden soll Informationen zu rechtlichen Aspekten des Cloud Computings im Zusammenhang mit öffentlichen Auftragsvergaben bieten. Die Arbeitsgruppe „Law“ der EuroCloud.Austria hat diesen Leitfaden initiiert. Ich danke den Fachleuten der Rechtsanwaltskanzlei Heid Schiefer Rechtsanwälte OG für dessen Erstellung.

EuroCloud ist eine Non-Profit-Organisation, die in 28 europäischen Ländern vertreten ist. EuroCloud bietet einen europäischen Katalog an Qualitätskriterien zur Auditierung von Cloud-Anbietern, bei der neben den rechtlichen Aspekten auch die betriebliche Bereitstellung und die Serviceerbringung selbst durch unabhängige Experten geprüft wird.

Gerade mittelständische Unternehmen, die die eigene Wettbewerbsfähigkeit durch Einbindung von externen Serviceangeboten erhalten und ausbauen wollen, verfügen oftmals nicht über die Ressourcen zur individuellen Prüfung von externen Anbietern. EuroCloud-zertifizierte Cloudserviceanbieter weisen mit diesem Gütesiegel nach, dass sie ihr Service nach höchsten Qualitätsansprüchen abwickeln.

Dr. Tobias Höllwarth
Vorstand EuroCloud.Austria

Wer den Roll-out einer Anwendung als Cloud-Service plant, weiß wie wichtig es ist, den Bedarf zu erkennen und richtig einzuschätzen und dann die Planung, Entwicklung und den Test des Services gemeinsam mit den operativen Bereichen voranzutreiben.

Im Regelfall stehen dann eine Reihe von Rechtsfragen im Raum: Darf der Mitarbeiter in einem anderen Land auf persönliche Daten eines europäischen Konzernkunden zugreifen? Ist das Safe Harbour Abkommen anwendbar? Welche Besonderheiten gelten für Unternehmen der öffentlichen Verwaltung? Was ändert sich hinsichtlich der Lizenzierung?

Bei Ausschreibungen werden zunehmend auch Cloud-Services als alternatives Sourcingmodell vorgeschlagen. Werden solche innovativen Modelle zugelassen, müssen die damit verbundenen Risken explizit berücksichtigt werden. Anwendungen, Daten, Informationen in die Cloud auszulagern bedeutet Kontrollverlust, denn an die Stelle der „physischen“ Herrschaft über ein Serversystem, über Daten und Anwendungen, tritt der Vertrag mit einem Dienstleister.

Schließlich sind bei der Angebotsauswahl auch die Ermittlung der Total Cost of Ownership und die Sicherstellung der Vergleichbarkeit der Angebote von Bedeutung. Die wesentlichen Fragen bleiben weiterhin: Wie sichere ich die Qualität der erbrachten Leistungen, wie bleibe ich Herr meiner  geschäftskritischen Daten und wie schaffe ich eine Win-Win-Situation, bei
der beide Vertragspartner protieren?

Für IT-Professionals wird es daher immer interessanter, sich Wissen über die grundlegenden juristischen Zusammenhänge anzueignen. Der vorliegende Leitfaden zum  ema Lizenzrecht soll bei der Bewältigung dieser Herausforderungen unterstützen.

Dr. Tobias Höllwarth
Vorstand EuroCloud.Austria

Liebe Leserinnen und Leser!

Die erste Ausgabe dieses Leitfadens wurde im April 2012 verö entlicht, und mein Vorwort begann mit dem Satz: „Es gibt wenige IT- emen, die so kontrovers diskutiert werden wie Cloud Computing.“ Vier Jahre später hat sich einiges geändert – manches blieb unverändert.

Noch immer sind wir weit von einem routinierten und standardisierten Umgang mit den Cloud-Herausforderungen entfernt – aber kontrovers ist die Diskussion nicht mehr. Die Diskussion ist auf die vielfältigen Herausforderungen fokussiert, aber dass Cloud ein Teil der digitalen industriellen Revolution ist, ein Milliardengeschäft, eine conditio sine qua non in den meisten Unternehmen, die IT nutzen – das bezweifelt niemand mehr.

Die im Vorwort 2012 genannten „Verlockungen und Herausforderungen“ sind jedoch dieselben geblieben: Auf der einen Seite locken Einsparungen durch Konsolidierung, Standardisierung und Automatisierung der IT, die eine exible Nutzung von IT-Services über Self-Service-Portale prognostiziert. Auf der anderen Seite stellen die Sicherheit, gesetzliche Vorgaben, problematische Servicelevel Agreements, Fragen der Schnittstellen und die komplexe Umsetzung die Herausforderungen dar.

Der Druck, sich mit der Modernisierung und Ökonomisierung von Unternehmens-IT zu beschäftigen, ist größer geworden und drängt Unternehmen dazu, sich mit dem Bezug von IT-Services aus der Cloud zu beschäftigen. Der hybride IT-Ansatz (interne IT, Outsourcing und Cloud Sourcing in Kombination) wird wohl weiterhin der meistgewählte Ansatz bleiben.

EuroCloud hat bereits viele Leitlinien und Guidelines verö entlicht. Einige technische, viele rechtliche und eben auch solche zu Organisation und Prozessen. Nicht umsonst wird der Qualitätsrahmen StarAudit mittlerweile bereits in vielen Ländern der Welt für den Vergleich von Cloud Services, für Gap-Analysen, Ausschreibungen oder klare Qualitätszusagen benutzt. EuroCloud ist mittlerweile ein Standardplayer im Cloud-Qualitätsmanagement und in der Cloud-Zerti zierung geworden. Siehe dazu staraudit.org.

Mein allergrößter Respekt und Dank gilt an dieser Stelle der hervorragenden Leistung der Co-Autoren Huber, Laux, Lindlbauer, Kramer, Schönfeldinger und Weiss, die als erfahrene Unternehmensberater, routinierte Outsourcing-Spezialisten und akkreditierte StarAudit Professionals mit diesem Dokument wohl einen der hervorragendsten Leitfäden der EuroCloud-Serie verfasst haben.

Wien, Juni 2016
Dr. Tobias Höllwarth
Vorstand EuroCloud Austria

Wer schon einmal für die Buchführung eines Unternehmens verantwortlich war, weiß, dass es trotz größter Sorgfalt mitunter während einer Finanzprüfung zu Fragestellungen kommen kann, die man zuvor selbst anders interpretiert hatte und die im schlimmsten Fallnanzstrafrechtliche Konsequenzen mit sich bringen können.

Beim Anbieter von Cloud-Services oder der Nutzung solcher durch einen Auftraggeber gilt dies umso mehr, da diese Services oft grenzübergreifend erbracht werden und es sich um eine komplexe Dienstleistungsbeziehung handelt, an deren Erbringung mehrere Sublieferanten beteiligt sein können.

Dieser Leitfaden behandelt die wesentlichen steuerlichen Aspekte rund um Cloud Computing: emen wie die Betriebsstätte, umsatzsteuerliche Konsequenzen oder Anforderungen an die Aufbewahrungspichten. Somit behandelt dieser Leitfaden einen weiteren interessanten Aspekt rund um das Cloud Computing und soll sowohl Anbieter wie auch Nutzer von Cloud-Leistungen in einer Serie der EuroCloud-Leitfäden bei der Bewältigung der Herausforderungen rund um Cloud Computing aktiv unterstützen.

Eine Besonderheit dieses Leitfadens ist jedoch, dass er das genannte Thema aus Sicht aller DACH-Länder behandelt und eine Kooperation zwischen EuroCloud Österreich, Schweiz und Deutschland darstellt. Österreichische, Schweizer und deutsche Steuerrechtsexperten waren an der Erstellung des Leitfadens beteiligt. Ich danke den Fachleuten aus Österreich:

Mag. Christian Zeidler (Z+P Steuerberatung) und Mag. Stefan Grasl (Grasl, Schenk & Partner Wirtschaftstreuhand & Steuerberatung), aus der Schweiz: Dipl. BW (FH) Reinhold Güntert (FairTax - Schweizerisch-Deutsche Steuerberatungsgesellschaft) und aus Deutschland: Valerie Seemann M.A. (Hotz & Partner Steuerberatungsgesellschaft) dafür, dass sie diesen Leitfaden mit so viel Mühe und Akribie erstellt haben.

Dr. Tobias Höllwarth
Vorstand EuroCloud.Austria

Heinz Dill
Vorstand EuroCloud Swiss

Bernd Becker
Vorstand EuroCloud Deutschland

Wer schon einmal einen Vertrag abgeschlossen hat, weiß, dass es trotz größter Sorgfalt bei der Vertragserstellung mitunter zu Situationen kommen kann, mit denen die Vertragsparteien nicht gerechnet haben, oder die für eine der beiden Seiten nicht zufriedenstellend sind. Bei Cloud Verträgen gilt dies umso mehr, da sie oft eine komplexe Dienstleistungsbeziehung regeln sollen, an deren Erbringung womöglich auch mehrere Sublieferanten beteiligt sind.

In solchen Situationen gilt es zu prüfen, ob die Leistung überhaupt noch erbringbar ist, oder ob diese mit Verzug oder mangelhaft erbracht wurde. Schließlich können auch interne oder externe Einflüsse (z.B. ein Hackerangriff) die Leistungserbringung stören. Jedenfalls ist es nötig, haftungsrechtliche Fragen und straf- und verwaltungsstrafrechtliche Aspekte zu klären.

Dieser Leitfaden behandelt Themen wie das Datengeheimnis, Meldepflichten und Datensicherheitsmaßnahmen. Außerdem werden die Möglichkeiten der Anspruchsdurchsetzung, Streitbeilegungsmaßnahmen oder Werkzeuge wie Preisminderung, Zurückbehaltungsrecht und Konventionalstrafen erörtert. Somit behandelt dieser Leitfaden einen weiteren interessanten Aspekt rund um das Cloud Computing. Sowohl Anbieter wie auch Nutzer von Cloud Leistungen soll die Serie der Euro-Cloud Leitfäden bei der Bewältigung der Herausforderungen rund um Cloud Computing aktiv unterstützen.

Ich danke den Fachleuten Mag. Hackl (Ratiolegis), Dr. Klemm (Brenner & Klemm) und Mag. Peyerl (CHSH) dafür, dass sie diesen Leitfaden erstellt haben.

Dr. Tobias Höllwarth
Vorstand EuroCloud.Austria

Cloud Computing hat den Status „Hype“ schon lange hinter sich gelassen. Niemand, der sich ernsthaft mit modernen Entwicklungen der IT befasst, wird der Aussage widersprechen, dass die Cloud die Art, wie IT produziert, bereitgestellt und eingesetzt wird, deutlich verändert.

Die Integration ist nicht immer ganz einfach, vielfach sogar eine deutliche organisatorische und prozedurale Herausforderung, die manchmal unterschätzt wird. Ohne vernünftige IT-Strategiebestimmung im Vorfeld, Cloud Policies, klare Qualitätsmaßstäbe in allen Bereichen, die von Cloud Computing tangiert werden (Recht, Steuer, Technik, Authentifizierung, Prozesse, Organisation), sowie ohne passendes Controlling riskiert man, in größeren Cloud-Projekten zu scheitern.

Obwohl die Vorteile von Cloud Computing teilweise sehr einfach zu erkennen sind, besteht vielfach eine abwartende Haltung. Risiko, Aufwand und Unvorhersehbarkeiten verhindern den Aufbau von Vertrauen in die neuen Möglichkeiten.

Dieser Leitfaden befasst sich genau mit diesem Thema. Wie ist es möglich, Vertrauen in die neue Form der IT-Bereitstellung zu fassen? Wie funktioniert das in anderen Branchen? Warum scheiterte man anderswo?

Somit behandelt dieser Leitfaden einen weiteren interessanten Aspekt rund um das Cloud Computing. Sowohl Anbieter als auch Nutzer von Cloud-Leistungen soll die Serie der EuroCloud-Leitfäden bei der Bewältigung der Herausforderungen rund um Cloud Computing aktiv unterstützen.

Ich danke den Fachleuten der Hochschule Aschaffenburg, den Studierenden des Institutes und insbesondere Dipl.-Bw. (FH) Meike Schumacher und Prof. Dr. Georg Rainer Hofmann dafür, dass sie diesen Leitfaden erstellt haben.

Dr. Tobias Höllwarth
Vorstand EuroCloud.Austria

Die Grundidee des Cloud Computings hat bereits einen älteren Ursprung, ist in Ihrer Ausprägung und den damit verbundenen Herausforderungen und Möglichkeiten aber noch sehr jung.

Bisher traf ein vielfältiges Angebot seitens der Bieter auf die vorsichtige Zurückhaltung seitens der Kunden. Jedoch wird insbesondere bei größeren Unternehmen der Wunsch, sich mit neuen Optionen und den damit verbundenen Fragestellungen zu beschäftigen, deutlich spürbar.

EuroCloud hat sich mit dem gesamten Veranstaltungs- und Leitfadenprogramm darauf verschrieben, eine tiefgehende und umfangreiche Informationsplattform zu liefern und es somit Kunden und Anbietern leichter zu machen, sich auf die Themen zu einigen, die abgestimmt werden müssen.

Im aktuellen Leitfaden soll ein Bogen gespannt werden, der von einer überblicksartigen Beschreibung der Herausforderungen zu möglichen Lösungswegen, empfohlenen vertraglichen Komponenten, Standards, Qualitätssicherungsmöglichkeiten und Zertifizierungen führt.

Herzlichen Dank an alle Autoren (siehe Kap. 10. Autoren), die sich in diesem Leitfaden engagiert haben, insbesondere Herrn Mag. Árpád Geréd, der die umfänglichste inhaltliche Verantwortung trug.

Dr. Tobias Höllwarth
Vorstand EuroCloud.Austria

Almost exactly three years ago, EuroCloud published the first Mobility & Cloud handbook – only a few years after the first iPad was introduced. As usual, Steve Jobs knew before anyone else what functionality many people would appreciate. And although this new type of device was initially criticised and even ridiculed, with many finding it difficult to imagine what such a device could be good for, we are now buying more of these practical little gadgets than we are PCs or laptops. Despite their small size, consumers have now come to expect convenience and ease of use combined with high performance for professional and personal use from tablets.

Indeed, the distinction between occupational and private use of devices is becoming more and more blurred – which simultaneously means that the associated technical, organisational and legal challenges are becoming ever more complex.

This handbook covers all topics relevant to mobile computing (technology, legislation, organisation and processes) and provides checklists and procedure models as well as a market overview.

This “Enterprise Mobility Management” handbook was compiled by the following authors: Reinhard Travniček, Gerald Haidvogl and Christoph Lang-Muhr (technology), Árpád Geréd (legal aspects), and Tobias Höllwarth (organisation and processes).

If you are considering an Enterprise Mobility project for your company, we would be happy to welcome you at one of our introductory planning workshops.

Dr. Tobias Höllwarth

Liebe Leserinnen und Leser!

Vor ziemlich genau drei Jahren präsentierte EuroCloud den ersten Mobility & Cloud Leitfaden. Nur wenige Jahre zuvor – erst im April 2010 – wurde das iPad vorgestellt. Wie immer wusste Steve Jobs früher als alle anderen, welche Funktionalität viele Menschen brauchen können. Und obwohl diese neue Geräteform anfangs noch kritisiert und belächelt wurde und sich viele nicht unmittelbar vorstellen konnten, was man mit solchen Geräten alles tun kann, kaufen Menschen mittlerweile viel mehr dieser kleinen praktischen Endgeräte als PCs oder Laptops. Trotz der verminderten Größe erwarten sie - für Berufs- und Privatleben gleichermaßen - praktisch zu benutzende und bequem zu bedienende Geräte, mit vollem Leistungsumfang.

Die Trennlinie zwischen beruflicher und privater Nutzung der Geräte wird immer fließender, was konsequenterweise heißt, dass die technischen, organisatorischen und rechtlichen Herausforderungen immer umfangreicher werden.

Dieser Leitfaden sprich sämtliche relevanten Themen (Technik, Recht, Organisation und Prozesse) an und liefert Checklisten, Vorgangsmodelle und einen Marktüberblick.

Der Leitfaden „Enterprise Mobility Management“ wurde von folgenden Autoren erstellt: Reinhard Travniček, Gerald Haidvogl und Christoph Lang-Muhr (Technisches), Árpád Geréd (Juristisches) und Tobias Höllwarth (Organisation und Prozesse).

Das Lektorat wurde wie immer mit höchster Akribie von Michael Obermeier durchgeführt. Sollten Sie ein Enterprise-Mobility-Projekt in Ihrem Unternehmen planen, würden wir uns freuen, Sie zu einem einführenden Planungs-Workshop einladen zu dürfen.

Wien, Mai 2016
Dr. Tobias Höllwarth

Inhalt

1. Einleitung..........5
2. Marktübersicht..........6
3. Bedarfserhebung..........11
4. MDM und MAM: praktische Umsetzung und Funktionsweisen..........12
5. Organisatorische Maßnahmen..........20
6. Rechtliche Aspekte..........23
7. Anbieterverzeichnis – Managementprodukte..........28
8. Anbieterverzeichnis – MIM und EFSS..........31
9. Glossar..........33
10. StarAudit..........36
11. Glossar Cloud Computing ..........41
12. Rechtlicher Hinweis..........47
13. Autoren..........49

2008 ist die UN-Konvention über die Rechte behinderter Menschen in Kraft getreten. Sie verpflichtet Länder, die diese Konvention ratifiziert haben, unter anderem dazu, sicherzustellen, dass behinderte Menschen einen freien Zugang zu Systemen der Informationsverarbeitung haben.

Alleine in Deutschland leben zehn Prozent der Bevölkerung mit einer anerkannten körperlichen Beeinträchtigung. Gerade diesen Menschen würde das Internet die selbstbestimmte Teilnahme am sozialen, kulturellen und beruflichen Leben enorm erleichtern. Jedoch sind sehr viele Internetseiten und somit auch Cloud-Anwendungen nicht barrierefrei gestaltet. Paradoxerweise können also gerade jene Menschen, die von den Möglichkeiten der Cloud besonders profitieren würden, das Medium nur unter Schwierigkeiten oder überhaupt nicht benutzen.

Als Barrieren und damit behindernd wirken in der Umwelt eines behinderten Menschen nicht nur Gegenstände, Einrichtungen oder Programmierungen, sondern auch die Einstellung anderer Menschen. Auch jene der Hersteller von Cloud-Services. Diesen fehlt es oft an Problembewusstsein oder Know-how, um Anwendungen so zu erstellen, dass diese ohne unnötige Barrieren für alle Menschen benutzbar sind.

Menschen mit Behinderungen sind oftmals darauf angewiesen, besondere technische Hilfsmittel zu benutzen, um eine Webseite bedienen und die Inhalte verstehen zu können. Cloud-Anwendungen so zu programmieren, dass diese Werkzeuge gut funktionieren, ist nicht extrem kompliziert und sollte ein selbstverständlicher Teil des Anforderungskataloges sein, der einem Programmierauftrag zugrunde liegt.

EuroCloud möchte das Wissen, die Aufmerksamkeit und das Selbstverständnis für barrierefreies Arbeiten in der IT-Welt des 21. Jahrhunderts fördern. Daher wurde dieser Leitfaden erstellt, und er wird in eine Reihe von Sprachen übersetzt werden. EuroCloud bedankt sich ganz besonders bei Herrn Mag. Mario Batusic, dem Autor des Leitfadens. Herr Batusic weiß, wovon er spricht, er konnte hier auf seine eigenen Erfahrungen und sein fachmännisches Wissen zurückgreifen.

The UN Convention on the Rights of Persons with Disabilities came into force in 2008. Countries that have ratified this Convention are required to ensure that disabled people have barrier- free access to information processing systems.

Ten percent of Germany’s population lives with a recognised physical impairment. The Internet would make it far easier for these people in particular to participate in social, cultural, and professional activities on their own terms. However, a great many websites and cloud applications are not barrier-free. Ironically, those who would benefit most from the possibilities of the cloud are the ones who can only use it with considerable difficulty, or not at all.

Disabled people are adversely confronted by objects, places, programming, and even the attitudes of other people every day – all essentially acting as barriers in their daily lives. As an extension of this, there are the attitudes of cloud service manufacturers. They often lack an awareness of the problem or the ability to create applications that can be used by all people.

People with disabilities are often instructed to use special technical aids in order to be able to operate a website and understand its content. It is not extremely difficult to program cloud applications in such a way that these tools function properly. It should be a self-evident part of the requirements catalogue that underlies any programming task.

EuroCloud wants to promote knowledge, attention, and understanding for barrier-free work in the IT world of the 21st century. Hence, we have created this guide, which has been translated into a number of languages. EuroCloud would like to extend special thanks to Mr. Mario Batusic, the author of this guide. Blind himself, Mr Batusic is an expert in the field of web and software accessibility and has been able to draw upon his personal experience and considerable knowledge to produce this insightful guide.

Vienna, June 2014

Dr. Tobias Höllwarth
Vice President EuroCloud

Cloud, mobile and social megatrends have resulted in unprecedented levels of complexity in today’s IT environments. As a result, more components of the application delivery chain are obscured from IT and line of business owners. Performance visibility and greater operational intelligence should be paramount to all organisations amid rising systems complexity and unabated data growth.

This is the reason why EuroCloud has decided to publish a new Whitepaper to cover this very specific and highly technological matter. EuroCloud’s focus is always on supporting the development of a healthy balance between the Cloud Provider and Consumer. This is why we focus on topics such as, legal compliance and barrier free cloud as well as more technical matters.

We would like to support users and suppliers of cloud systems to understand the aspects and tricky areas of the measurement of Application Performance. Hence, we have created this guide, which has been translated into a number of languages.

EuroCloud would like to extend special thanks to Mr Reinhard Travniček, Managing Director at X-tech, and the author of this guide. Mr Travniček is an expert in the field of virtual desktop environments and has been able to draw upon his personal experience and considerable knowledge to produce this insightful guide.

Dr. Tobias Höllwarth
Vice President EuroCloud

Vážený čitateľ. Cloud, mobilné technológie a sociálne siete sa stávajú extrémne komplexným IKT prostredím, ktoré nemá obdobu v žiad- nych iných technológiách. Následkom toho mnohé komponenty dodávateľského reťazca aplikácií získavajú nie celkom jasné atribúty v dodávateľskej a vlastníckej štruktúre. Skutočná pozorovateľná vý- konnosť a aktívna inteligencia systémov by sa mala stať najdôležitej- ším kritériom pre všetky organizácie vo vzrastajúcej zložitosti cloudo- vých systémov a sústavne rastúcom objeme spracovávaných dát.

Táto skutočnosť je dôvodom, prečo sa Eurocloud rozhodol vydať túto Bielu knihu, ktorá sa zaoberá týmto špecifickým a technologicky veľmi náročným problémom. Cieľom Eurocloudu je podporiť vývoj a dosiahnuť zdravú rovnováhu medzi dodávateľmi cloudových služieb a zákazníkmi. Súčasťou našej snahy sú aj vecné riešenia, legislatívna podpora, bezproblémový prístup k cloudovým službám a ďalšie tech- nické otázky, súvisiace s predmetným riešením.

Chceme podporovať užívateľov a dodávateľov cloudových služieb pri pochopení podstaty problému a rizík merania aplikačnej výkonnosti. Táto snaha vyústila do príručky, ktorá sa dostáva do Vašich rúk a ktorá je preložená do mnohých jazykov.

EuroCloud chce vysloviť úprimnú vďaku pánovi Reinhardtovi Tráv- ničkovi, riaditeľovi spoločnosti X-tech a autorovi tejto príručky. Pán Trávniček je uznávaným odborníkom v oblasti virtuálneho desktopu a do príručky zahrnul informácie na základe vlastných skúseností a roz- siahlych poznatkov v predmetnej problematike.

Dr. Tobias Höllwarth
Viceprezident EuroCloud

Der Datenschutz scheint im Zusammenhang mit der Nutzung von Cloud Computing für den Cloud-Nutzer große Hürden mit sich zu bringen. Tatsächlich kann das Thema Cloud & Datenschutz jedoch in wenigen Schritten bewältigt werden. Diese sind im Cloud Privacy Check zusammengefasst. Zweck des Cloud Privacy Checks (CPC) ist es, mit Hilfe von vier einfachen Prüfungsschritten die Rechtmäßigkeit des Einsatzes einer bestimmten Cloud-Lösung zu beurteilen und erforderliche rechtliche Instrumente zu identifizieren. Der Cloud Privacy Check wird in vier Prüfschritten durchgeführt. Mit fortschreitender Prüfung kommen
immer mehr der vorgestellten Instrumente zum Einsatz.

When it comes to moving data into the cloud, data protection rules seem to act as a significant hurdle to cloud customers. However, the topic of cloud computing and data protection can be consolidated within a few steps. These are summarised in the Cloud Privacy Check, a visualised tool that helps cloud customers find answers faster. The purpose of the Cloud Privacy Check (CPC) is to determine actions from a data protection perspective on the basis of four simple tests. By applying this method, the legality of using a particular cloud solution can be ascertained quickly and easily, and the appropriate legal action items as required by law can be determined. The Cloud Privacy Check is designed to be performed in four test steps. Each step calls for one or more particular action items. The range of the action items that may be needed is presented in the so called CPC Legal Toolbox.