Datensicherheit genügt nicht
Von Sabine Philipp
Eines wird bei Cloud Computing mit schöner Regelmäßigkeit vergessen: der Datenschutz. Das ist schlecht. Denn sobald personenbezogene Daten im Spiel sind, unter die nach §3 (1) BDSG „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ fallen, schaut Vater Staat ganz besonders genau hin.
Seit dem 1. September 2009 gilt nämlich das verschärfte Bundesdatenschutzgesetz (BDSG), womit auch die Clouds zunehmend ins Visier der Datenschützer rücken.
Der Auftraggeber haftet
„Den Begriff Cloud Computing werden Sie natürlich nicht im Gesetzbuch finden“, sagt Thomas Ströbele, Geschäftsführer von YourIT im schwäbischen Hechingen. „Bei Cloud Computing handelt es sich aber eindeutig um Auftragsdatenverarbeitung, wie sie in §11 BDSG thematisiert wird.“ Nach § 11 (1) heißt das konkret, dass er, sobald personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden, „der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich“ ist. Und nicht der Cloud-Anbieter. „Der Auftraggeber muss also auch dann gerade stehen, wenn der Cloud-Betreiber Schindluder mit den Daten betreibt“, fasst der geprüfte Datenschutzexperte das Problem zusammen. Dass es sich so verhält, hat einen einfachen Grund.
Juristisch ohne Unterschied
„Das Datenschutzgesetz müssen Sie sich sehr einfach vorstellen“, erklärt der Schwabe und zeichnet folgendes Bild: „Malen Sie ein Haus mit einem Schornstein auf ein Blatt Papier und ziehen Sie einen Kreis darum. Das Haus ist das Unternehmen und der Kreis der Datenschutz, der im eigenen Haus eingehalten werden muss. Daneben zeichnen Sie noch ein Haus. Das ist der Cloud-Anbieter. Anschließend ziehen Sie einen Kreis um beide Häuser. Die ausgelagerten Daten werden nämlich als fester Bestandteil Ihres Unternehmens gesehen.“ Und für die sei der Auftraggeber nun einmal verantwortlich, unabhängig davon, wo sie gespeichert werden.
Thomas Ströbele ist Mitgründer, Mitgesellschafter und Geschäftsführer Marketing & Vertrieb der yourIT GmbH in Hechingen. Der Diplom-Kaufmann kommt aus der Praxis, ist externer Beauftragter für den Datenschutz und Anwendungsspezialist für Dokumentenmanagement, elektronische Signatur und E-Billing. Daher weiß er z.B. genau, wie Unternehmen ihre Rechnungen handhaben sollten.
Wird ein Cloud-Dienstleister mit der Speicherung dieser Daten beauftragt, muss man bei der Wahl sehr vorsichtig sein. Laut §11 (2) ist der Anbieter „unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen“. §11 (2) besagt außerdem, dass man sich „vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen“ hat. Zusatz: „Das Ergebnis ist zu dokumentieren.“
Ansonsten kennt das Gesetz keine Gnade, genauer gesagt §43 (1) 2b BDSG. Der Paragraf legt fest, dass vorsätzliche oder fahrlässige Verstöße mit einer Geldbuße von bis zu 50.000 Euro geahndet werden können. Nach §43 Abs. 3 soll die Geldbuße „den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen.“ Es kann im Zweifelsfall also auch teurer werden.
Und nun die gute Nachricht: §11 BDSG sagt immerhin, was man konkret tun muss.
Grundbestimmungen im Vertrag
Das Bundesdatenschutzgesetz bestimmt in §11 (2) u.a., dass der Auftrag schriftlich erteilt werden muss. „Bei Verträgen mit IT-Dienstleistern wird in der Regel ein Zusatz zum Vertrag mit dem Punkt ,Auftragsdatenverarbeitung‘ aufgenommen“, erläutert Ströbele, der auch als externer Datenschutzbeauftragter arbeitet. „Wenn die Geschäftsbeziehung schon vor dem 1. September 2009 bestand, also bevor die Schriftform zur Pflicht wurde, heile ich den Vertrag über einen Zusatzvertrag.“
Teil 1 packt die rechtlichen Grundlagen auf den Tisch. Teil 2 gibt konkrete Tipps für die Anbieterwahl.
Wichtige Punkte, die im Vertrag nicht fehlen dürfen, sind u.a. der Gegenstand und die Dauer des Auftrags, der Umfang, die Art und der Zweck der vorgesehenen Erhebung, der Kreis der Betroffenen, die nach §9 BDSG zu treffenden technischen und organisatorischen Maßnahmen sowie die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Vieles davon scheint trivial, aber Ströbele hat die Erfahrung gemacht, dass man nichts als selbstverständlich voraussetzen sollte: „Wir gehen davon aus, dass der Auftragsdatenverarbeiter die Daten nach Auftragsende löscht und sie nicht an den Konkurrenten des Kunden verkauft. Aber das ist kein Naturgesetz“, ruft der Schwabe in Erinnerung. „Die Punkte haben also durchaus ihre Berechtigung.“
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Kontrolle und Mitwirkung
Ebenso sind nach §11 (2) im Vertrag gewisse Kooperationsvereinbarungen zu treffen, die ebenso wenig selbstverständlich sind. So muss man die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers ebenso festhalten wie den Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält.
Ein wichtiger Punkt betrifft allfällige Pannen im Ablauf bzw. – in den Worten des Gesetzgebers – „mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen“ (§11 (2) Nr. 8 BDSG). Das heißt nichts anderes, als der Datenverarbeiter seinen Auftraggeber rechtzeitig informieren muss, damit dieser entsprechend handeln kann.
- Wie Sie einen Anbieter auf Datenschutztauglichkeit abklopfen, führt Teil 2 dieser Serie genauer aus.
