{"id":981,"date":"2015-03-03T09:49:41","date_gmt":"2015-03-03T08:49:41","guid":{"rendered":"http:\/\/www.cojama-hosting.com\/blog\/?p=981"},"modified":"2016-05-03T08:03:18","modified_gmt":"2016-05-03T06:03:18","slug":"cloud-computing-und-datenschutz-wie-bekommt-man-beides-unter-einen-hut","status":"publish","type":"post","link":"https:\/\/www.cojama-hosting.com\/blog\/cloud-computing-und-datenschutz-wie-bekommt-man-beides-unter-einen-hut\/","title":{"rendered":"Cloud-Computing und Datenschutz: Wie bekommt man beides unter einen Hut?"},"content":{"rendered":"

\"Interview<\/a><\/p>\n

Fragen an den Datenschutz-Beauftragten (DSB):<\/strong><\/span><\/p>\n

Herr Spaeing, die Firma ds-quadrat hat sich auf die Beratung f\u00fcr Datenschutz und Datensicherheit spezialisiert. ds\u00b2 wurde 2001 gegr\u00fcndet und hat sich seit dem zu einer renommierten Unternehmensberatung in diesem Bereich entwickelt.<\/p>\n

Dabei betreuen Sie Unternehmen und andere Organisationen verschiedener Branchen. Mit mehreren Projektb\u00fcros in ganz Deutschland bietet ds\u00b2 Unternehmen und Institutionen ein erfahrenes Team bestehend aus Wirtschaftsexperten, Wirtschaftsinformatikern und Juristen.<\/p>\n

Sie selbst leiten die Zweigstelle in der Lutherstadt Wittenberg und betreuen uns als Cloud-Computing Anbieter seit fast f\u00fcnf Jahren.<\/p>\n

Wie kann man Cloud-Computing als Unternehmen nutzen und dennoch daf\u00fcr sorgen, dass die Themen Datenschutz u. Datensicherheit angemessenen ber\u00fccksichtigt werden?<\/strong><\/span><\/p>\n

Cloud Computing ist kein komplett neues Thema. Meist waren \u00e4hnliche Dienstleistungen auch fr\u00fcher schon am Markt unter anderen Bezeichnungen verf\u00fcgbar. Immer mussten diese Dienstleistungen (Outsourcing, Software-as-a-service), wenn es (auch) um die Verarbeitung personenbezogener Daten ging, \u00fcber gesetzlich im BDSG geforderte Auftragsdatenverarbeitungs-Vereinbarungen geregelt werden.
\nWenn heutzutage ein Unternehmen Cloud Computing nutzen will, um Daten zu verarbeiten und wenn dabei nicht ausgeschlossen werden kann, dass personenbezogene Daten verarbeitet werden (erst dann ist es ein Datenschutzthema), dann sollte dieses Unternehmen darauf achten, dass der Cloud Computing-Anbieter auch eine entsprechende Auftragsdaten-Vereinbarung anbietet und dass\u00a0die dazugeh\u00f6rigen technische und organisatorische Ma\u00dfnahmen (TOMs, hier werden unter anderem Ma\u00dfnahmen f\u00fcr die Datensicherheit definiert) angemessen sind.<\/p>\n

Welche Bedeutung hat es, ob sich die Systeme in Deutschland, der EU oder einem Drittland befinden?<\/strong><\/span><\/p>\n

Wichtig ist an dieser Stelle anzumerken, dass Auftragsdatenverarbeitung nur innerhalb des Geltungsbereichs der EU-Datenschutzrichtlinie von 1995 erlaubt ist. Wenn also der Cloud Dienstleister nicht aus der EU kommt, kann es sich nicht um eine ADV handeln. Dann wird es datenschutzrechtlich deutlich anspruchsvoller. Und es liegt die Vermutung nahe (je nach dem Land, in dem der Dienstleister agiert), dass dort das Datenschutzniveau nicht dem europ\u00e4ischen Anspruch gen\u00fcgt. Schon der europ\u00e4ische Anspruch entspricht nicht immer dem Niveau, das wir im Zweifelsfall in Deutschland haben wollen. In Abh\u00e4ngigkeit von der Sensibilit\u00e4t der personenbezogenen Daten kann es also eine gute Wahl sein (wenn alles andere auch passt) sich f\u00fcr einen Anbieter aus Deutschland zu entscheiden, da bei diesem am Ehesten vermutet werden kann, dass er sich komplett an deutsche Gesetze h\u00e4lt.<\/p>\n

Was k\u00f6nnen Sie Unternehmen bzw. Organisationen grunds\u00e4tzlich raten, wenn diese Interesse an einer Cloud L\u00f6sung haben?<\/strong><\/span><\/p>\n

Es muss sichergestellt sein, dass der Anbieter datenschutzkonform arbeitet.<\/p>\n

Wenn es ein deutscher Anbieter ist, muss er sich an die deutsche Datenschutz-Gesetzgebung (Bundesdatenschutzgesetz, Landesdatenschutzgesetz, \u2026) halten.<\/p>\n

Wenn es ein Anbieter aus dem EU-Raum ist, muss sichergestellt sein, dass dieser sich an die in dem jeweiligen Land geltenden Datenschutzgesetze, die alle auf der EU-Datenschutz-Richtlinie basieren, h\u00e4lt und die Anforderungen des deutschen Bundesdatenschutz-Gesetzes ebenfalls erf\u00fcllt.<\/p>\n

Herr Spaeing, welche Voraussetzungen muss ein Cloud-Computing Anbieter mindestens erf\u00fcllen, damit er die Themen Datenschutz und Datensicherheit f\u00fcr seine Kunden zufriedenstellend abgedeckt hat?<\/strong><\/span><\/p>\n

Der Anbieter muss dem Kunden eine ADV-Vereinbarung anbieten, und er muss dem Kunden garantieren, dass er dessen Vorgaben bzgl. der technisch-organisatorischen Ma\u00dfnahmen (TOMs) erf\u00fcllt.<\/p>\n

Welche Rolle spielt dabei die Frage nach einem Datenschutzbeauftragten beim Cloud-Computing-Anbieter?<\/strong><\/span><\/p>\n

Wir Datenschutzbeauftragte haben den gesetzlichen Auftrag auf die Einhaltung der Datenschutz-Gesetze hinzuwirken. Deswegen ist es durchaus ein G\u00fctekriterium, wenn ein Cloud Computing-Anbieter einen Datenschutzbeauftragten hat, denn daran kann man absehen, dass das Thema Datenschutz von dem Anbieter mit hoher Wahrscheinlichkeit ernst genommen wird.<\/p>\n

Wichtig ist hierbei, dass der Auftraggeber als sog. verantwortliche Stelle (gem. BDSG) auch \u00fcberpr\u00fcft, ob der beim Dienstleister bestellte Datenschutzbeauftragte die an ihn gestellten Anforderungen effektiv erf\u00fcllen kann. Hiermit meine ich: Ist der Datenschutzbeauftragte entsprechend ausgebildet, hat er die M\u00f6glichkeit, sich regelm\u00e4\u00dfig in diesem Fachgebiet weiterzubilden und wird er von dem Dienstleister in der Aus\u00fcbung seiner Pflichten so unterst\u00fctzt, wie das BDSG es fordert.<\/p>\n

Welche Bedeutung haben die Eigent\u00fcmerstruktur oder Konzern-Verflechtungen des Dienstleisters?<\/strong><\/span><\/p>\n

Grunds\u00e4tzlich haben Eigent\u00fcmerstruktur oder Konzernverflechtung des Dienstleisters keinen wesentlichen Einfluss auf das Datenschutz-Niveau des Dienstleisters.<\/p>\n

Nat\u00fcrlich ist heutzutage gerade im Zusammenhang mit den bekannt gewordenen Geheimdienst-Skandalen eine durchaus wichtige \u00dcberlegung, welches Recht f\u00fcr den Dienstleister gilt. Es kann wahrscheinlich nicht ausgeschlossen werden, dass ein Unternehmen, welches einer amerikanischen Konzern-Mutter geh\u00f6rt, sich auch amerikanischem Recht unterwerfen muss. Es ist heutzutage allgemein bekannt, dass das amerikanische Datenschutz-Niveau an das europ\u00e4ische nicht heran reicht. Der Auftraggeber ist aber an deutsches Recht gebunden und muss im Zweifelsfall sicherstellen, dass der Dienstleister sich vollst\u00e4ndig an deutsches Recht h\u00e4lt.<\/p>\n

Ein zweiter Aspekt kann die Frage der Kontinuit\u00e4t des Dienstleisters sein, denn in gr\u00f6\u00dferen Konzernen kommt es h\u00e4ufiger zu Umstrukturierungen und dabei k\u00f6nnte durchaus auch mal der Dienstleister auf der Strecke bleiben. Bei den deutschen kleinen und mittleren Unternehmen (KMU) ist \u00fcber die letzten Jahrzehnte regelm\u00e4\u00dfig Konstanz in der Firmenf\u00fchrung festzustellen gewesen.<\/p>\n

Sehen Sie generell einen Vorteil in der Beauftragung eines Cloud-Computing-Anbieters?<\/strong><\/span><\/p>\n

Lassen Sie mich zur Beantwortung dieser Frage ein wenig ausholen:<\/p>\n

Die Frage ob ich einen externen Anbieter mit der Erbringung einer Dienstleistung beauftrage oder diese T\u00e4tigkeit selbst ausf\u00fchre, stellt sich ja auch bei der durch mich angebotenen Dienstleistung des Datenschutz-Beauftragten.<\/p>\n

Unternehmen m\u00fcssen einen Datenschutz-Beauftragten bestellen. Hierbei ist es ihnen freigestellt, einen Mitarbeiter zum internen Datenschutz-Beauftragten zu bestellen oder diese Dienstleistung \u00fcber einen externen Anbieter in Anspruch zu nehmen. Beides kann Vorteile haben.<\/p>\n

Wenn das Unternehmen den Mitarbeiter ordentlich qualifiziert und ihm alle ben\u00f6tigten Ressourcen zur Verf\u00fcgung stellt, wird dieser interne Datenschutzbeauftrage seine Aufgabe gesetzeskonform und sicherlich auch gut erf\u00fcllen.<\/p>\n

Das BDSG hat den Unternehmen aber auch die M\u00f6glichkeit gegeben, einen externen Dienstleister als Datenschutzbeauftragten zu bestellen. Ich z. B. bin nur als Datenschutz-Berater und bestellter Datenschutzbeauftragter t\u00e4tig.<\/p>\n

Meine Kunden gehen also davon aus, dass ich \u2013 weil ich mich ja nur mit dem Thema Datenschutz besch\u00e4ftige \u2013 entsprechende Expertise und Erfahrung im Bereich des Datenschutzes habe.<\/p>\n

Genau das Gleiche gilt grunds\u00e4tzlich f\u00fcr alle anderen Dienstleistungen.<\/p>\n

Nat\u00fcrlich kann ein Unternehmen z. B. einen Mailserver (Exchange-Server) im eigenen Haus betreiben. Dazu ben\u00f6tigt es dann finanzielle Ressourcen (Kauf der Hard- und Software) und nat\u00fcrlich auch qualifizierte Mitarbeiter, die diesen Server betreiben und ihn gegen alle bestehenden Gefahren und Risiken angemessen absichern. Das kann so problemlos funktionieren.<\/p>\n

Oder das Unternehmen beauftragt einen Spezialisten, der nur diese oder zumindest nur wenige gleichartige Dienstleistungen anbietet, und \u00fcberzeugt sich nat\u00fcrlich beim Auswahlprozess davon, dass dieser Dienstleister auch die entsprechende Expertise und Erfahrung hat. Hier fallen dann zwar regelm\u00e4\u00dfige Kosten an, aber letztendlich bleibt es einer individuellen Pr\u00fcfung vorbehalten, ob diese Variante nicht \u00fcber alles gesehen die bessere und g\u00fcnstigere L\u00f6sung ist.<\/p>\n

cojama hat sich nach einer ausf\u00fchrlichen Pr\u00fcfung f\u00fcr einen externen Datenschutzbeauftragten entschieden.<\/p>\n

Herr Spaeing, vielen Dank, dass Sie sich die Zeit f\u00fcr die Beantwortung unserer Fragen genommen haben.<\/p>\n

Das Interview f\u00fchrte Marco Gro\u00dfmeilert, Koordinator des Datenschutzes bei der cojama Infosystems GmbH, Fulda und Mitglied der Gesch\u00e4ftsleitung<\/em><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Fragen an den Datenschutz-Beauftragten (DSB): Herr Spaeing, die Firma ds-quadrat hat sich auf die Beratung f\u00fcr Datenschutz und Datensicherheit spezialisiert. ds\u00b2 wurde 2001 gegr\u00fcndet und hat sich seit dem zu…<\/p>\n","protected":false},"author":5,"featured_media":996,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,3,8],"tags":[2,12,414,13,504,240,505],"class_list":["post-981","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein","category-cloud-computing","category-datenschutz-und-datensicherheit","tag-cojama","tag-datenschutz","tag-datenschutzbeauftragter","tag-datensicherheit","tag-dsb","tag-externer-datenschutzbeauftragter","tag-interview","entry"],"_links":{"self":[{"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/posts\/981","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/comments?post=981"}],"version-history":[{"count":15,"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/posts\/981\/revisions"}],"predecessor-version":[{"id":1350,"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/posts\/981\/revisions\/1350"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/media\/996"}],"wp:attachment":[{"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/media?parent=981"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/categories?post=981"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.cojama-hosting.com\/blog\/wp-json\/wp\/v2\/tags?post=981"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}