Cloud Computing und Datenschutz, Teil 1

Datensicherheit genügt nicht

Von Sabine Philipp

Eines wird bei Cloud Computing mit schöner Regelmäßigkeit vergessen: der Datenschutz. Das ist schlecht. Denn sobald personenbezogene Daten im Spiel sind, unter die nach §3 (1) BDSG „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ fallen, schaut Vater Staat ganz besonders genau hin.

Seit dem 1. September 2009 gilt nämlich das verschärfte Bundesdatenschutzgesetz (BDSG), womit auch die Clouds zunehmend ins Visier der Datenschützer rücken.

Der Auftraggeber haftet

„Den Begriff Cloud Computing werden Sie natürlich nicht im Gesetzbuch finden“, sagt Thomas Ströbele, Geschäftsführer von YourIT im schwäbischen Hechingen. „Bei Cloud Computing handelt es sich aber eindeutig um Auftragsdatenverarbeitung, wie sie in §11 BDSG thematisiert wird.“ Nach § 11 (1) heißt das konkret, dass er, sobald personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden, „der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich“ ist. Und nicht der Cloud-Anbieter. „Der Auftraggeber muss also auch dann gerade stehen, wenn der Cloud-Betreiber Schindluder mit den Daten betreibt“, fasst der geprüfte Datenschutzexperte das Problem zusammen. Dass es sich so verhält, hat einen einfachen Grund.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Juristisch ohne Unterschied

„Das Datenschutzgesetz müssen Sie sich sehr einfach vorstellen“, erklärt der Schwabe und zeichnet folgendes Bild: „Malen Sie ein Haus mit einem Schornstein auf ein Blatt Papier und ziehen Sie einen Kreis darum. Das Haus ist das Unternehmen und der Kreis der Datenschutz, der im eigenen Haus eingehalten werden muss. Daneben zeichnen Sie noch ein Haus. Das ist der Cloud-Anbieter. Anschließend ziehen Sie einen Kreis um beide Häuser. Die ausgelagerten Daten werden nämlich als fester Bestandteil Ihres Unternehmens gesehen.“ Und für die sei der Auftraggeber nun einmal verantwortlich, unabhängig davon, wo sie gespeichert werden.

ThomasStroebele.jpg

Thomas Ströbele ist Mit­gründer, Mit­gesell­schafter und Geschäfts­führer Marketing & Ver­trieb der yourIT GmbH in Hechin­gen. Der Diplom-Kauf­mann kommt aus der Praxis, ist exter­ner Beauf­tragter für den Datenschutz und An­wendungs­spezialist für Dokumenten­management, elek­tronische Signa­tur und E-Billing. Daher weiß er z.B. genau, wie Unter­nehmen ihre Rechnungen handhaben sollten.

Wird ein Cloud-Dienstleister mit der Speicherung dieser Daten beauftragt, muss man bei der Wahl sehr vorsichtig sein. Laut §11 (2) ist der Anbieter „unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen“. §11 (2) besagt außerdem, dass man sich „vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen“ hat. Zusatz: „Das Ergebnis ist zu dokumentieren.“

Ansonsten kennt das Gesetz keine Gnade, genauer gesagt §43 (1) 2b BDSG. Der Paragraf legt fest, dass vorsätzliche oder fahrlässige Verstöße mit einer Geldbuße von bis zu 50.000 Euro geahndet werden können. Nach §43 Abs. 3 soll die Geldbuße „den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen.“ Es kann im Zweifelsfall also auch teurer werden.

Und nun die gute Nachricht: §11 BDSG sagt immerhin, was man konkret tun muss.

Update: Cloud Computing nach Safe Harbor – Der Europäische Gerichtshofs hat mit Urteil vom 6. Oktober 2015 die bisherige Safe-Harbor-Praxis gekippt: Persönliche Daten europäischer Internet-Nutzer seien in den USA nicht ausreichend vor dem Zugriff durch Behörden geschützt. Ein Sonderbeitrag erklärt, welche Folgen das für deutsche Unternehmen hat und was vorerst zu tun ist.

Grundbestimmungen im Vertrag

Das Bundesdatenschutzgesetz bestimmt in §11 (2) u.a., dass der Auftrag schriftlich erteilt werden muss. „Bei Verträgen mit IT-Dienstleistern wird in der Regel ein Zusatz zum Vertrag mit dem Punkt ,Auftragsdatenverarbeitung‘ aufgenommen“, erläutert Ströbele, der auch als externer Datenschutzbeauftragter arbeitet. „Wenn die Geschäftsbeziehung schon vor dem 1. September 2009 bestand, also bevor die Schriftform zur Pflicht wurde, heile ich den Vertrag über einen Zusatzvertrag.“

Serie: Cloud Computing und Datenschutz
Teil 1 packt die recht­lichen Grund­lagen auf den Tisch. Teil 2 gibt kon­krete Tipps für die Anbieterwahl.

Wichtige Punkte, die im Vertrag nicht fehlen dürfen, sind u.a. der Gegenstand und die Dauer des Auftrags, der Umfang, die Art und der Zweck der vorgesehenen Erhebung, der Kreis der Betroffenen, die nach §9 BDSG zu treffenden technischen und organisatorischen Maßnahmen sowie die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Vieles davon scheint trivial, aber Ströbele hat die Erfahrung gemacht, dass man nichts als selbstverständlich voraussetzen sollte: „Wir gehen davon aus, dass der Auftragsdatenverarbeiter die Daten nach Auftragsende löscht und sie nicht an den Konkurrenten des Kunden verkauft. Aber das ist kein Naturgesetz“, ruft der Schwabe in Erinnerung. „Die Punkte haben also durchaus ihre Berechtigung.“

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Kontrolle und Mitwirkung

Ebenso sind nach §11 (2) im Vertrag gewisse Kooperationsvereinbarungen zu treffen, die ebenso wenig selbstverständlich sind. So muss man die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers ebenso festhalten wie den Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält.

Ein wichtiger Punkt betrifft allfällige Pannen im Ablauf bzw. – in den Worten des Gesetzgebers – „mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen“ (§11 (2) Nr. 8 BDSG). Das heißt nichts anderes, als der Datenverarbeiter seinen Auftraggeber rechtzeitig informieren muss, damit dieser entsprechend handeln kann.

Wie Sie einen Anbieter auf Datenschutztauglichkeit abklopfen, führt Teil 2 dieser Serie genauer aus.

Nützliche Links