Thought Leadership
Die Datenschutz-Grundverordnung (DSGVO) stellt nahezu alle Unternehmen vor Herausforderungen. Ganz egal, ob mittelständisches Unternehmen in Oberfranken oder Tech-Riese im Silicon Valley: Von den neuen Datenschutzbestimmungen wird kaum jemand verschont.
Doch weshalb haben selbst die weltgrößten US-Konzerne erhebliche Probleme mit der neuen Verordnung? Es liegt vor allem an den stark unterschiedlichen Vorschriften der Länder. Während gerade Deutschland auch in Sachen Datenschutz seinem Anspruch gerecht wird, sich lieber doppelt abzusichern, sind die Regelwerke in anderen Teilen der Welt weniger ausgereift. Fest steht: Diejenigen US-Firmen, die auch im deutschen Markt aktiv sind, müssen sich der DSGVO anpassen. Dazu zählen auch Cloud-Anbieter. Seit der DSGVO ist die Speicherung und Weiterverarbeitung von personenbezogenen Daten in der Cloud nur nach Zustimmung der betroffenen Person möglich. Zudem muss die Löschung bei Beendigung des Geschäftsverhältnisses gewährleistet sein. Personenbezogene Daten müssen verschlüsselt in der Cloud liegen, damit sie sicher gegen Betrug sind. Und dies sind nur einige der zahlreichen Anforderungen.
Ein Anbietervergleich setzt Zeit & Know-How voraus
KMUs in Deutschland greifen meist auf Dienstleister aus einem Pool von circa zwanzig bis dreißig gängigen Anbietern zurück, darunter Mailchimp, Salesforce, Dropbox, Microsoft Office 365 und AWS. Wieso nutzen so viele Unternehmen überhaupt US-amerikanische, cloudbasierte Lösungen? Anwendungen wie Dropbox oder Microsoft Office 365 sind allgemein bekannt und leicht verständlich. Die generelle Akzeptanz zur breiten Nutzung ist in den letzten Jahren erheblich gestiegen, Cloud-Anwendungen sind mittlerweile fester Bestandteil im Arbeitsalltag. Fakt ist jedoch auch: Kleine und mittlere Unternehmen haben bei der Entscheidung für einen Cloud-Anbieter oftmals nicht das notwendige technische Know-How, um die verfügbaren Lösungen im Hinblick auf den Datenschutz unter die Lupe zu nehmen. Und wird eine Cloud-Lösung erst einmal genutzt, stehen Unternehmen einem Wechsel eher kritisch gegenüber.
Allgemein gilt: Cloud-Lösungen sind nicht verboten, per se auch nicht zwingend riskant was die datenschutzrechtlichen Vorgaben anbelangt. Allerdings ist es riskanter, einen Anbieter aus einem Drittland zu nutzen, da die Gefahr, dabei zum Teil erhebliche datenschutzrechtliche Fehler zu begehen, groß ist. Die seit 25. Mai 2018 geltenden Datenschutzbestimmungen bringen folgende gesetzliche Neuerung: Cloud-Nutzer haften nun nicht mehr alleinig. Im Zuge der Beweislastumkehr müssen nun auch Cloud-Anbieter belegen können, dass eine Verarbeitung von personenbezogenen Daten den Vorschriften der DSGVO entspricht. Auch bei Gesetzesverstößen haften fortan beide Parteien, nicht mehr der Cloud-Nutzer allein.
Sicherheit ist nicht gleich Datenschutz
Darauf ausruhen können sich Unternehmen, die Cloud-Dienste nutzen, jedoch nicht. Auch wenn je nach Komplexität der Datenverarbeitung und Schutzwürdigkeit der personenbezogenen Daten bestimmte Sicherheitsstufen bei einer Cloud-Lösung benötigt werden, so kann von Daten-„Schutz“ nicht unbedingt die Rede sein. So musste der US-amerikanische Anbieter Dropbox bereits dem starken Druck nachgeben und seine Datenschutzbestimmungen anpassen. Sicherheitstechnischer Nachbesserungsbedarf besteht bei Dropbox und anderen Cloud-Anbietern jedoch weiterhin – beispielsweise bei der Verschlüsselung beim digitalen Versand z.B. von Dokumenten. Eine Alternative bietet z.B. das deutsche Unternehmen TeamDrive. Diese Lösung bietet Features, welche mit denen der US-amerikanischen Anbieter vergleichbar, aus datenschutzrechtlicher Perspektive allerdings unbedenklicher sind. Je nach Bedarf kann eine vom Unternehmen gehostete Lösung verwendet oder die Technologie auf einem eigenen Server aufgespielt werden. So können Unternehmen ihre Daten lokal speichern, ohne dass ein Drittland oder Unterbeauftragter benötigt werden.
Serverstandorte werden zunehmend transparenter
Bei der Auswahl eines Cloud-Anbieters sind heutzutage Fragen nach Häufigkeit der Backups, sicherer Standort des Serverschranks, Belüftung oder auch Notstromgenerator wenig relevant. Möchte ein Unternehmen eine Cloudlösung einsetzen, ist die Kernfrage, in welchem Land sich die Server befinden. Die US-Anbieter mussten hier bereits in einigen Aspekten nachbessern, um den Anforderungen der DSGVO gerecht zu werden. Während die Vorgaben in den Verträgen noch vor einem Jahr relativ schwammig aussahen, hat man heute einen zunehmend besseren Einblick, in welchem Land genau die Daten gespeichert sind. Dennoch halten die marktgrößten Anbieter es weiterhin eher ungenau und argumentieren, dass sie eine gewisse Flexibilität benötigen, um ein erhöhtes Datenvolumen nach Bedarf verschieben zu können.
Anforderungen an Cloud-Dienste
Empfehlenswert ist die Wahl eines nach Trusted-Cloud-Datenschutzprofil (TCDP) zertifizierten Cloud-Anbieter. Dies garantiert, dass der Cloud-Dienst den datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes (BDSG) an Cloud Computing entspricht. Zu den nach TCDP 1.0 zertifizierten Anbietern gehört beispielsweise die Open Telekom Cloud. Auch hier führt die DSGVO zu Neuerungen: Das Forschungsprojekt AUDITOR arbeitet derzeit einen Standard für die Datenschutz-Zertifizierung von Cloud-Diensten nach der DSGVO aus. AUDITOR strebt nach eigenen Angaben eine Anerkennung durch den Europäischen Datenschutz-Ausschuss nach Art. 42 Abs. 5 DSGVO.
Als Cloud-Nutzer sind Unternehmen für die Datenverarbeitung verantwortlich und haften somit auch für die Datenverarbeitung innerhalb der Cloud. Um die Haftung des Unternehmens bei DSGVO-Verstößen des Cloud-Anbieters zu beschränken, sollten Unternehmen diesen zur Unterzeichnung eines Auftragsverarbeitungsvertrages verpflichten. Diese Verträge spezifizieren weitreichende technische und organisatorische Maßnahmen, denen der Cloud-Anbieter zum Schutz Ihrer Daten in der Cloud nachkommen muss. Bei der Erstellung dieser Auftragsverarbeitungsverträge, bei der datenschutzrechtlichen Dokumentation sowie bei etwaigen Behörden- oder Betroffenenanfragen sollte ein qualifizierter Datenschutzbeauftragter unterstützen.
Ein eigener Server ist nicht immer die bessere Alternative
Macht eine eigene Serverlösung für besseren Datenschutz also mehr Sinn? Leider nicht immer. Dies muss im Einzelfall entschieden werden und hängt von den Kerntätigkeiten sowie den Datenverarbeitungsprozessen des Unternehmens ab. Ein eigener Server lohnt sich für Unternehmen, die eine eigene Plattform anbieten, viel Serverleistung benötigen und über einen langen Zeitraum hinweg konstante Anforderungen haben – oder aber, wenn sehr sensible Daten verarbeitet werden. Steuerberater und Ärzte zum Beispiel verfügen über eine planbare Datenbasis sowie durchaus sensible Datensätze. Allerdings mangelt es in vielen Fällen am technischen Wissen, sodass oftmals dennoch Cloudlösungen großer Anbieter bevorzugt werden. Zumindest im medizinischen Bereich gibt es durchaus auch spezialisierte Clouds, die an die Erfordernisse der Branche angepasst sind.
Alternative Cloud-Lösungen zu den US-Anbietern
Deutlich wird auf jeden Fall: Einige amerikanische Cloud-Anbieter wirken zunehmend auf die DSGVO Konformität hin – aber es lassen sich auch Alternativen finden, die datenschutzkonform und somit rechtlich unbedenklich sind. Mittlerweile gibt es etliche Tools, die den Schutz der Nutzerdaten sehr ernst nehmen. Eine Alternative zu WhatsApp zum Beispiel ist Threema – das Schweizer Unternehmen bietet Unternehmen und Privatnutzern einen internen Messaging-Service. Das deutsche Unternehmen Personio kümmert sich um den Bereich Human Resources, das bereits erwähnte TeamDrive stellt eine echte Alternative zu Dropbox und OneDrive dar. Die Open Telekom Cloud ist ein Infrastructure-as-a-Service-Angebot – vom Service her vergleichbar mit AWS – zwar teurer aber eben in deutlich höherem Maße datenschutzkonform.
Fakt ist: Durch pragmatischen aber gründlichen Datenschutz kann einerseits das Risiko behördlicher Bußgelder minimiert werden. Firmen können sich darüber hinaus Kunden und Partnern gegenüber als verantwortungsvolles Unternehmen positionieren, das Datenschutz und IT-Sicherheit ernst nimmt.
Kıvanç Semen ist IT-Sicherheitsberater und Mitgründer von DataGuard. Das Münchener Legal Technology Unternehmen begleitet eine vierstellige Anzahl an kleinen und mittleren Unternehmen – von denen die überwiegende Mehrzahl mittlerweile Cloudlösungen nutzt – bei der Umsetzung der DSGVO. Seinen Kunden bietet DataGuard einen Mix aus persönlicher Betreuung durch einen Datenschutzbeauftragten und Nutzung einer Machine Learning-getriebenen Webplattform.
