Beiträge

Cloud-Computing und Datenschutz: Wie bekommt man beides unter einen Hut?

Interview zum Datenschutz

Fragen an den Datenschutz-Beauftragten (DSB):

Herr Spaeing, die Firma ds-quadrat hat sich auf die Beratung für Datenschutz und Datensicherheit spezialisiert. ds² wurde 2001 gegründet und hat sich seit dem zu einer renommierten Unternehmensberatung in diesem Bereich entwickelt.

Dabei betreuen Sie Unternehmen und andere Organisationen verschiedener Branchen. Mit mehreren Projektbüros in ganz Deutschland bietet ds² Unternehmen und Institutionen ein erfahrenes Team bestehend aus Wirtschaftsexperten, Wirtschaftsinformatikern und Juristen.

Sie selbst leiten die Zweigstelle in der Lutherstadt Wittenberg und betreuen uns als Cloud-Computing Anbieter seit fast fünf Jahren.

Wie kann man Cloud-Computing als Unternehmen nutzen und dennoch dafür sorgen, dass die Themen Datenschutz u. Datensicherheit angemessenen berücksichtigt werden?

Cloud Computing ist kein komplett neues Thema. Meist waren ähnliche Dienstleistungen auch früher schon am Markt unter anderen Bezeichnungen verfügbar. Immer mussten diese Dienstleistungen (Outsourcing, Software-as-a-service), wenn es (auch) um die Verarbeitung personenbezogener Daten ging, über gesetzlich im BDSG geforderte Auftragsdatenverarbeitungs-Vereinbarungen geregelt werden.
Wenn heutzutage ein Unternehmen Cloud Computing nutzen will, um Daten zu verarbeiten und wenn dabei nicht ausgeschlossen werden kann, dass personenbezogene Daten verarbeitet werden (erst dann ist es ein Datenschutzthema), dann sollte dieses Unternehmen darauf achten, dass der Cloud Computing-Anbieter auch eine entsprechende Auftragsdaten-Vereinbarung anbietet und dass die dazugehörigen technische und organisatorische Maßnahmen (TOMs, hier werden unter anderem Maßnahmen für die Datensicherheit definiert) angemessen sind.

Welche Bedeutung hat es, ob sich die Systeme in Deutschland, der EU oder einem Drittland befinden?

Wichtig ist an dieser Stelle anzumerken, dass Auftragsdatenverarbeitung nur innerhalb des Geltungsbereichs der EU-Datenschutzrichtlinie von 1995 erlaubt ist. Wenn also der Cloud Dienstleister nicht aus der EU kommt, kann es sich nicht um eine ADV handeln. Dann wird es datenschutzrechtlich deutlich anspruchsvoller. Und es liegt die Vermutung nahe (je nach dem Land, in dem der Dienstleister agiert), dass dort das Datenschutzniveau nicht dem europäischen Anspruch genügt. Schon der europäische Anspruch entspricht nicht immer dem Niveau, das wir im Zweifelsfall in Deutschland haben wollen. In Abhängigkeit von der Sensibilität der personenbezogenen Daten kann es also eine gute Wahl sein (wenn alles andere auch passt) sich für einen Anbieter aus Deutschland zu entscheiden, da bei diesem am Ehesten vermutet werden kann, dass er sich komplett an deutsche Gesetze hält.

Was können Sie Unternehmen bzw. Organisationen grundsätzlich raten, wenn diese Interesse an einer Cloud Lösung haben?

Es muss sichergestellt sein, dass der Anbieter datenschutzkonform arbeitet.

Wenn es ein deutscher Anbieter ist, muss er sich an die deutsche Datenschutz-Gesetzgebung (Bundesdatenschutzgesetz, Landesdatenschutzgesetz, …) halten.

Wenn es ein Anbieter aus dem EU-Raum ist, muss sichergestellt sein, dass dieser sich an die in dem jeweiligen Land geltenden Datenschutzgesetze, die alle auf der EU-Datenschutz-Richtlinie basieren, hält und die Anforderungen des deutschen Bundesdatenschutz-Gesetzes ebenfalls erfüllt.

Herr Spaeing, welche Voraussetzungen muss ein Cloud-Computing Anbieter mindestens erfüllen, damit er die Themen Datenschutz und Datensicherheit für seine Kunden zufriedenstellend abgedeckt hat?

Der Anbieter muss dem Kunden eine ADV-Vereinbarung anbieten, und er muss dem Kunden garantieren, dass er dessen Vorgaben bzgl. der technisch-organisatorischen Maßnahmen (TOMs) erfüllt.

Welche Rolle spielt dabei die Frage nach einem Datenschutzbeauftragten beim Cloud-Computing-Anbieter?

Wir Datenschutzbeauftragte haben den gesetzlichen Auftrag auf die Einhaltung der Datenschutz-Gesetze hinzuwirken. Deswegen ist es durchaus ein Gütekriterium, wenn ein Cloud Computing-Anbieter einen Datenschutzbeauftragten hat, denn daran kann man absehen, dass das Thema Datenschutz von dem Anbieter mit hoher Wahrscheinlichkeit ernst genommen wird.

Wichtig ist hierbei, dass der Auftraggeber als sog. verantwortliche Stelle (gem. BDSG) auch überprüft, ob der beim Dienstleister bestellte Datenschutzbeauftragte die an ihn gestellten Anforderungen effektiv erfüllen kann. Hiermit meine ich: Ist der Datenschutzbeauftragte entsprechend ausgebildet, hat er die Möglichkeit, sich regelmäßig in diesem Fachgebiet weiterzubilden und wird er von dem Dienstleister in der Ausübung seiner Pflichten so unterstützt, wie das BDSG es fordert.

Welche Bedeutung haben die Eigentümerstruktur oder Konzern-Verflechtungen des Dienstleisters?

Grundsätzlich haben Eigentümerstruktur oder Konzernverflechtung des Dienstleisters keinen wesentlichen Einfluss auf das Datenschutz-Niveau des Dienstleisters.

Natürlich ist heutzutage gerade im Zusammenhang mit den bekannt gewordenen Geheimdienst-Skandalen eine durchaus wichtige Überlegung, welches Recht für den Dienstleister gilt. Es kann wahrscheinlich nicht ausgeschlossen werden, dass ein Unternehmen, welches einer amerikanischen Konzern-Mutter gehört, sich auch amerikanischem Recht unterwerfen muss. Es ist heutzutage allgemein bekannt, dass das amerikanische Datenschutz-Niveau an das europäische nicht heran reicht. Der Auftraggeber ist aber an deutsches Recht gebunden und muss im Zweifelsfall sicherstellen, dass der Dienstleister sich vollständig an deutsches Recht hält.

Ein zweiter Aspekt kann die Frage der Kontinuität des Dienstleisters sein, denn in größeren Konzernen kommt es häufiger zu Umstrukturierungen und dabei könnte durchaus auch mal der Dienstleister auf der Strecke bleiben. Bei den deutschen kleinen und mittleren Unternehmen (KMU) ist über die letzten Jahrzehnte regelmäßig Konstanz in der Firmenführung festzustellen gewesen.

Sehen Sie generell einen Vorteil in der Beauftragung eines Cloud-Computing-Anbieters?

Lassen Sie mich zur Beantwortung dieser Frage ein wenig ausholen:

Die Frage ob ich einen externen Anbieter mit der Erbringung einer Dienstleistung beauftrage oder diese Tätigkeit selbst ausführe, stellt sich ja auch bei der durch mich angebotenen Dienstleistung des Datenschutz-Beauftragten.

Unternehmen müssen einen Datenschutz-Beauftragten bestellen. Hierbei ist es ihnen freigestellt, einen Mitarbeiter zum internen Datenschutz-Beauftragten zu bestellen oder diese Dienstleistung über einen externen Anbieter in Anspruch zu nehmen. Beides kann Vorteile haben.

Wenn das Unternehmen den Mitarbeiter ordentlich qualifiziert und ihm alle benötigten Ressourcen zur Verfügung stellt, wird dieser interne Datenschutzbeauftrage seine Aufgabe gesetzeskonform und sicherlich auch gut erfüllen.

Das BDSG hat den Unternehmen aber auch die Möglichkeit gegeben, einen externen Dienstleister als Datenschutzbeauftragten zu bestellen. Ich z. B. bin nur als Datenschutz-Berater und bestellter Datenschutzbeauftragter tätig.

Meine Kunden gehen also davon aus, dass ich – weil ich mich ja nur mit dem Thema Datenschutz beschäftige – entsprechende Expertise und Erfahrung im Bereich des Datenschutzes habe.

Genau das Gleiche gilt grundsätzlich für alle anderen Dienstleistungen.

Natürlich kann ein Unternehmen z. B. einen Mailserver (Exchange-Server) im eigenen Haus betreiben. Dazu benötigt es dann finanzielle Ressourcen (Kauf der Hard- und Software) und natürlich auch qualifizierte Mitarbeiter, die diesen Server betreiben und ihn gegen alle bestehenden Gefahren und Risiken angemessen absichern. Das kann so problemlos funktionieren.

Oder das Unternehmen beauftragt einen Spezialisten, der nur diese oder zumindest nur wenige gleichartige Dienstleistungen anbietet, und überzeugt sich natürlich beim Auswahlprozess davon, dass dieser Dienstleister auch die entsprechende Expertise und Erfahrung hat. Hier fallen dann zwar regelmäßige Kosten an, aber letztendlich bleibt es einer individuellen Prüfung vorbehalten, ob diese Variante nicht über alles gesehen die bessere und günstigere Lösung ist.

cojama hat sich nach einer ausführlichen Prüfung für einen externen Datenschutzbeauftragten entschieden.

Herr Spaeing, vielen Dank, dass Sie sich die Zeit für die Beantwortung unserer Fragen genommen haben.

Das Interview führte Marco Großmeilert, Koordinator des Datenschutzes bei der cojama Infosystems GmbH, Fulda und Mitglied der Geschäftsleitung