Posted: 04 May 2022

Hyperscaler-Migration: Rechtliche Aspekte

Hyperscaler wie Amazon Web Services (AWS), Microsoft Azure, Google Cloud und Alibaba bieten ein skalierbares Hosting von Daten. Die Migration Ihrer Unternehmensdaten auf einen Hyperscaler stellt jedoch viel mehr als nur eine technische Aufgabe dar, da bindende vertragliche Pflichten und Datenschutzanforderungen rechtliche Beschränkungen mit sich bringen, die es zu beachten gilt.  

Eine Menschen, Prozesse und Technologie umfassende Herausforderung 

Ihr Chief Technology Officer (CTO) betrachtet die Datenmigration möglicherweise in erster Linie als eine technische Aufgabe, was sich auf sein Teambuilding auswirkt: Er wird ein Projektteam zusammenstellen, das sich aus den Bereichen Betrieb, IT/Sicherheit, Compliance, Finanzen, Steuern usw. zusammensetzt, und einen dedizierten Projektmanager ernennen, der die Nachverfolgung von Meilensteinen und Abhängigkeiten sowie die Koordinierung des Projekts unterstützt. Das Projektteam erstellt daraufhin einen Plan, in dem sämtliche Prozesse und Abhängigkeiten aufgeführt sind, und ermittelt anschließend die geeigneten Technologien für Zusammenarbeit, Arbeitsabläufe und Berichterstattung zur Erleichterung der Projektdurchführung. All diese Maßnahmen sind sinnvoll und erforderlich; wenn das Team jedoch nicht bereits von Beginn an die Rechtsabteilung einbezieht, können sich im weiteren Projektverlauf unvorhergesehene Hindernisse ergeben, die zu unnötigen Verzögerungen führen.

Die rechtliche Sichtweise

Es besteht eine Reihe von Überlegungen, die von der Rechtsabteilung in den Projektplan eingebracht werden. Eine der ersten Fragen ist dabei, wie sich die Datenmigration auf einen Hyperscaler zu den rechtlichen und vertraglichen Pflichten des Unternehmens gegenüber seinen Geschäftspartnern, wie Kunden oder Lieferanten, verhält. Mit anderen Worten: Kann man einfach „loslegen“? Oder hängt eine reibungslose und rechtssichere Migration davon ab, dass man die Geschäftspartner informiert - oder sogar deren vorherige Zustimmung einholt? Zwei Hauptaspekte sind dabei vertragliche Pflichten und Datenschutz.  

Vertragliche Pflichten: Prüfen Sie zunächst, ob in den Verträgen mit den Geschäftspartnern Klauseln enthalten sind, welche die Migration betreffen. Dazu könnten etwa folgende Aspekte zählen:

  • Beschränkungen bei der Vergabe von Unteraufträgen
  • Benachrichtigungs- und Zustimmungserfordernisse
  • Geolokalisierung 
  • Compliance-Pflichten und gesetzliche Beschränkungen
  • Sicherheitsanforderungen und -audits 
  • Reaktion auf Vorfälle 

Datenschutzproblematik: Die Datenschutzproblematik geht oft weit über vertragliche Vereinbarungen hinaus. In der EU ist die Datenschutzgrundverordnung (DSGVO)  von zentraler Bedeutung, und obwohl die DSGVO mehrere gesetzliche Grundlagen vorsieht, gemäß denen die Datenübermittlung auf einen Hyperscaler in vielen Fällen rechtmäßig vorgenommen werden kann (z. B. mittels Einholung der Zustimmung), erfordert dies zumindest einige entsprechende Anstrengungen Ihrerseits. Treffen Sie daher eine Datenverarbeitungsvereinbarung (DPA) zur Legalisierung der Übermittlung Ihrer Daten innerhalb der EU. Weitere Herausforderungen entstehen, wenn Hyperscaler ihren Standort außerhalb der EU/des EWR haben. Selbst wenn die Datenübermittlung die allgemeinen Anforderungen erfüllt, müssen Sie sicherstellen, dass die Übermittlung in dieses Drittland außerhalb der EU/des EWR zulässig ist, z. B. durch die Verwendung von Standardvertragsklauseln (SCC), die von der Europäischen Kommission angepasst wurden, wodurch sich umfangreiche individuelle Anpassungsmöglichkeiten für die verschiedenen Szenarios der Datenübermittlung ergeben.

Sonstige Problematiken: Abhängig von Ihrer Branche kommen möglicherweise weitere rechtliche Anforderungen auf Sie zu, wie z. B. bestimmte Mindestanforderungen, die von den europäischen Aufsichtsbehörden für das Banken- und Versicherungswesen festgelegt wurden, oder weitere Beschränkungen für Gesundheitsdaten im Gesundheitswesen. Das frühzeitige Erkennen dieser Anforderungen ist von zentraler Bedeutung. 

Vorgehen bei der Implementierung einer Hyperscaler-Migration

Die Migration erfordert in der Regel die Überprüfung und mögliche Anpassung von Verträgen mit Geschäftspartnern. Je nach Geschäftsmodell kann die Anzahl der zu überprüfenden Verträge beträchtlich sein. Die Kategorien Menschen - Prozesse - Technologie helfen bei der Strukturierung Ihrer Vorgehensweise:

Menschen: Unterstützen Sie den CTO und das Projektteam dabei, die Relevanz rechtlicher Gesichtspunkte zu verstehen und beziehen Sie einen Rechtsexperten in das Team ein - nehmen Sie gegebenenfalls externe Unterstützung in Anspruch.

Prozesse: Legen Sie geeignete Prozesse und Arbeitsabläufe fest und überwachen Sie diese. Die Anwendung „agiler“ Prinzipien wie Sprints, Dailies und Retrospektiven kann dabei sehr hilfreich sein. 

Technologie: Ein bereits vorhandenes CLM-System (Contract Lifecycle Management) kann eine gute Datenquelle sein und, je nach Möglichkeiten des Systems, sogar die Plattform bilden, über welche das Projekt verwaltet wird. Systeme, die einen Einblick in die einzelnen Vertragsklauseln ermöglichen, können dabei helfen, problematische Fälle schnell herauszufiltern. Spezialisierte E-Discovery- und Datenextraktions-Tools können ebenfalls zur automatischen Identifizierung und Extraktion problematischer Verträge oder Klauseln beitragen. Die meisten internen Rechtsabteilungen haben keinen Zugang zu diesen KI-gestützten Tools. Falls Sie also planen, externe Unterstützung in Anspruch zu nehmen, sollten Sie eine Beurteilung der technischen Möglichkeiten  Ihres Beraters vornehmen, bevor Sie sich für eine Zusammenarbeit mit ihm entscheiden. 

Ansprechpartner

Thomas Northoff

Thomas Northoff

Partner Tax & Legal

Thomas Northoff ist Partner im Bereich Tax & Legal, Managing Partner Deloitte Legal sowie Service Line Leader. Tätigkeitsgebiete: R&D and Government Incentive. Seine Beratungsschwerpunkte bilden die Entwicklung von Fördermittelstrategien sowie die Optimierung der Nutzung von Fördermitteln, die Strategie- und Organisationsberatung, die Transaktionsberatung und die Unterstützung bei Finanzierungsgestaltungen und Steuerfragen öffentlicher Einrichtungen ebenso wie privater Unternehmen.

Klaus Gresbrand

Klaus Gresbrand

Partner

Klaus Gresbrand arbeitet seit 2012 bei Deloitte Legal Deutschland und ist dort Partner. Zuvor arbeitete er für eine internationale Großkanzlei. Sein Spezialgebiet ist Gesellschaftsrecht, einschließlich Umwandlungsrecht. Er ist Mitglied im Japan Desk von Deloitte Legal Deutschland und Teil der Service Line Corporate/M&A. Sein Tätigkeitsschwerpunkt liegt neben der allgemeinen gesellschaftsrechtlichen Beratung im Bereich Legal Due Diligence, Transaktionen und Umstrukturierungen, einschließlich nationaler und grenzüberschreitender Verschmelzungen. Er berät ferner zum Thema Legal Technology, einschließlich Contract Lifecycle Management und Dokumentenautomation. Klaus Gresbrand ist als deutscher Rechtsanwalt zugelassen. Er studierte Rechtswissenschaften an der Universität Osnabrück. Ferner verbrachte er Auslandssemester an der Chuo Universität und der Universität Tokyo in Japan. Er spricht Deutsch, Englisch und Japanisch. 

Dr. Till Contzen

Dr. Till Contzen

Partner

Dr. Till Contzen ist Partner bei Deloitte Legal und seit Oktober 2017 in der Service Line „Digitale Wirtschaft, IT/IP“ mit dem Fokus auf IT Recht und Digitalisierung tätig. Seit seiner Zulassung zum Rechtsanwalt Anfang 2012 hat Till sich auf alle mit Informationstechnologie zusammenhängenden Rechtsangelegenheiten spezialisiert. Er hat zahlreiche Mandanten bei der Modernisierung und Auslagerung von IT-Leistungen und der Digitalisierung von Geschäftsprozessen beraten. Darüber hinaus begleitet er Mandanten regelmäßig bei der Entwicklung, Implementierung und dem Vertrieb von komplexen IT-Lösungen wie ERP- und CRM-Systemen sowie die Migration in Cloud-Umgebungen und Beschaffungen im ‚Everything-as-a-Service‘ (XaaS) Bereich. Durch sein tiefgreifendes Verständnis von Technologien ist Till erfahren in der Übertragung komplexer technischer Themen in die juristische Sprache. Er berät seine Mandanten nicht nur bei den rechtlichen Herausforderungen eines Projekts, sondern auch bei der Bewältigung der zahlreichen organisatorischen, wirtschaftlichen und prozessualen Herausforderungen, mit denen diese im Laufe eines Projekts konfrontiert sind.