> Cloud

Apples Optimized Storage und der Datenschutz – Einsatz in Behörden, Unternehmen und sonstigen verantwortlichen Stellen

Optimized Storage, zu deutsch optimierte Speicherung, ist eine von Apple in macOS Sierra angekündigte Funktion, die das Löschen und Auslagern von nicht bzw. selten benötigten Daten automatisieren soll. Mit Hilfe von Optimized Storage sollen die Nutzer bei der Organisation des Speicherplatzes auf der Festplatte unterstützt werden. Nicht mehr benötigte Daten sollen automatisiert in den Papierkorb wandern und nach 30 Tagen, sofern vom Nutzer gewünscht, gelöscht werden. Selten genutzte Daten sollen hingegen gar nicht gelöscht, allerdings automatisch in die iCloud ausgelagert werden. Zunächst erscheint die Funktion als sehr nützlich, da der begrenzte Speicherplatz auf der Festplatte regelmäßig zum Problem wird. Das automatisierte Löschen und Auslagern von Daten kann allerdings zu datenschutzrechtlichen Risiken führen.

Wieso Optimized-Storage Datenschutz-Probleme hervorruft?

Auslagerung personenbezogener Daten in die Cloud (Optimized Storage Datenschutz)Bei der beruflich veranlassten Erhebung, Verarbeitung und Nutzung personenbezogener Daten sollte stets das Datenschutzrecht befolgt werden. Laut § 3 Abs. 4 BDSG fällt das Speichern, Auslagern (Übermitteln) sowie das Löschen personenbezogener Daten unter die Verarbeitung. Die Verarbeitung darf wiederrum nur erfolgen, wenn eine gesetzliche Grundlage dies erlaubt oder der Betroffene eine informierte Einwilligung abgibt. Das beschriebene Erfordernis einer Rechtsgrundlage oder einer informierten (freiwilligen) Einwilligung kann, insbesondere in Hinblick auf die Auslagerung in die iCloud, zu rechtlichen Schwierigkeiten führen.

Möchte eine „verantwortliche Stelle“ personenbezogene Daten in die iCloud auslagern, so erfordert die Übermittlung eine gesetzliche Grundlage oder die informierte Einwilligung des Betroffenen. Das Speichern in einer Cloud wird regelmäßig als Auftragsdatenverarbeitung (ADV), gemäß § 11 BDSG, eingestuft, die eine Ausnahme darstellt. Der Gesetzgeber betrachtet den Auftraggeber („verantwortliche Stelle“) und den Auftragnehmer (Cloud-Anbieter) als eine Einheit. Die Weitergabe der Daten wird deshalb als „Nicht-Übermittlung“ eingestuft wird. Handelt es sich um eine Auftragsdatenverarbeitung, sollten Auftraggeber und –nehmer einen ADV-Vertrag abschließen. Dieser sollte unter anderem die Weisungsbefugnis des Auftraggebers regeln. Das Einholen einer informierten Einwilligung der Betroffenen ist in diesen Fällen nicht notwendig. Die Fiktion der „Nicht-Übermittlung“ gilt allerdings nur für Auftragsdatenverarbeitungen innerhalb der europäischen Union (EU) und des europäischen Wirtschaftsraums (EWR).

Hat der Auftragnehmer (Cloud-Anbieter) seinen Sitz in einem Drittland (außerhalb der EU / EWR) greift diese Sonderregelung nicht. Das Auslagern in die iCloud, Sitz in den USA, wird als eine Übermittlung, die eine Rechtsgrundlage oder eine informierte Einwilligung erfordert, angesehen. Des Weiteren sollten „verantwortliche Stellen“, wie Unternehmen und Behörden, ein angemessenes Datenschutzniveau herstellen. Der Gesetzgeber geht bis auf wenige Ausnahmen, wie Kanada, davon aus, dass in Drittländern kein angemessenes Datenschutzniveau herrscht. Neben dem erheblichen Aufwand, den ein „verantwortliche Stelle“ mit der Beschaffung der informierten Einwilligungen hätte, müsste sie sich mit Verträgen, wie EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR), beschäftigen. Mit Hilfe dieser Verträge kann die „verantwortliche Stelle“ ein angemessenes Datenschutzniveau herstellen.

Das automatisierte Löschen sollte ebenfalls als sehr kritisch angesehen werden, da die Löschung, ohne angepasstes Backup-Konzept, zu weiteren rechtlichen Problemen führen könnte. Das automatisierte Löschen von Daten, denen gesetzlichen Aufbewahrungsfristen  entgegenstehen, wäre als klares Beispiel für ein zu lösendes Problem zu sehen.

Wo dürften Probleme bei Optimized-Storage verstärkt zu erwarten sein?

Handlungsbedarf dürfte natürlich insbesondere dort auftreten, wo verstärkt Apple-Hardware eingesetzt wird bzw. in der Zukunft Hardware anderer Hersteller, die ähnliche Funktionen ermöglicht. Eine überaus typische Branchenbeispiel sind Agenturen, da Apple-Geräte einfach „schick“ aussehen,  „trendy“ sind und zudem für Grafiker sehr gute Möglichkeiten bieten.

Daneben ist in den letzten Jahren ein klarer Trend zu Gerätewildwuchs rund um den Einsatz von Bring Your Own Device (BYOD) oder Abwandlungen wie Choose Your Own Device (CYOD) zu verzeichnen. Die Entwicklung rund um BYOD / CYOD aber auch Corporate Owned Personally (COPE) ist sowohl in Unternehmen als auch Behörden und natürlich ganz besonders in Vereinen oder bei ehrenamtlich Tätigen zu beobachten. Hier heißt es anzuknüpfen, klare und gesetzlich zulässige Strukturen zu schaffen. Dies geht zumeist nur mit professioneller Unterstützung, z. B. durch einen Datenschutzberater oder Datenschutzbeauftragten.

Fazit

Unternehmen, Vereinen sowie anderen „verantwortlichen Stellen“ ist aus Datenschutzsicht von der Nutzung der Funktion abzuraten. Die Verwendung von Optimized Storage bezweckt einen erheblichen Mehraufwand, der sich mit dem Nutzen zumeist nicht decken lässt. Die Nutzung dieser Funktion, insbesondere das Auslagern der personenbezogenen Daten in die iCloud, führt zu neuen Datenschutz-Risiken. Kann oder möchte eine „verantwortliche Stelle“ nicht auf Cloud-Storage-Lösungen verzichten, so wäre ein deutscher Cloud-Anbieter bzw. ein Anbieter mit dem Sitz innerhalb der EU/EWR anzuraten.

Des Weiteren sollten „verantwortliche Stellen“ die Löschung von Daten „selbst in die Hände nehmen“ und geeignete Löschkonzepte mit Ihrer IT-Abteilung sowie der Unterstützung eines externen (betrieblichen) Datenschutzbeauftragten erarbeiten.

Eine weitere wichtige Maßnahme wäre die Schulung der Mitarbeiter, da diese häufig, vor allem im Rahmen von BYOD / CYOD / COPE auf Cloud-Lösungen, wie iCloud oder Dropbox, zurückgreifen.

Möchten Sie mehr über Optimized Storage, Cloud-Storage, Cloud-Lösungen oder Bring Your Own Device erfahren? Wünschen Sie Datenschutz-Schulungen für Ihre Mitarbeiter? Nehmen Sie bequem Kontakt zu uns auf – wir helfen Ihnen gerne weiter.

Möchten Sie sich im Datenschutz dauerhaft besser aufstellen und suchen noch einen geeigneten Datenschutzbeauftragten? Fordern Sie ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Cloud Computing – Durchblicken Sie vor lauter Wolken den Datenschutz?

Als DaDatenschutz Cloud Computingtenschutzbeauftragter wird man häufig gefragt, ob das Auslagern von Daten in die Cloud aus Datenschutzsicht problematisch sein könnte. Diese Frage sollte bejaht werden, denn die Auslagerung personenbezogener Daten kann –je nach Sensibilität- zu Problemen und Risiken führen. Das Ausmaß notwendiger Prüfungen und Prozesse hängt von diversen Faktoren ab. Trotz der Vielzahl an Risiken greifen verantwortliche Stellen, wie Unternehmen, Vereine, Verbände etc., auf Cloud-Lösungen zurück. Aus welchem Grund ist Cloud-Computing so attraktiv und was versteht man unter dem Begriff?

Was versteht man unter Cloud-Computing?

Cloud-LösungenBei Cloud-Computing wird über das Internet auf IT-Leistungen und IT-Infrastrukturen, die sich in einer „Cloud“, zu deutsch Wolke befinden, zugegriffen. Die IT-Leistungen können vom Cloud-Nutzer flexibel eingesetzt und abgerechnet werden. Der Begriff Cloud-Computing kann in einzelne Abstraktionsebenen gegliedert werden. Die erste Ebene ist unter dem Begriff Infrastructure as a Service, kurz IaaS, bekannt. IaaS-Nutzer greifen auf Infrastrukturressourcen, wie Speicher-, Netzkapazitäten und Rechenleistung, zurück. Bei der zweiten Ebene Platform as a Service, kurz PaaS, können die Nutzer Programmierungs- und Laufzeitumgeben nutzen. Endbenutzer kommen meistens mit der dritten Ebene, Software as a Service (SaaS), in Berührung.  Bei Software as a Service wird eine Softwarelösung bereitgestellt, die vom SaaS-Nutzer flexibel verwendet werden kann. Sämtliche Tätigkeiten um die Software, wie zum Beispiel Wartungsarbeiten, übernimmt der SaaS-Anbieter. Bekannte SaaS-Lösungen sind unter anderem Customer-Relationship-Management-Lösungen (CRM-Lösungen), Speicher-Lösungen, wie Dropbox, und die Applikationen, kurz Apps, von Google.

Was sind die Vorteile von Cloud-Computing?

Cloud-Computing zählt nicht grundlos zu den wichtigsten IT-Trends. Die besondere Vertriebsform sorgt, insbesondere bei kleinen und mittelständischen Unternehmen (KMU), für ein hohes Interesse, da sie die Lösungen flexibel nutzen und ebenso variabel bezahlen können. Zudem bleiben den Unternehmen hohe Kosten für Lizenzen, interne Ressourcen, externe Wartungen usw. erspart, da die Lösungen gemietet und zugleich durch den Anbieter gewartet werden.

Nicht nur die Kosteneinsparungen sprechen für den Einsatz von Cloud-Computing, auch das zumeist höhere IT-Wissen der Cloud-Anbieter kann ein klarer Vorteil sein. Insbesondre KMU verfügen in den meisten Fällen nicht über ausreichende Kenntnisse im IT-Bereich und so können sie sich mittels fertiger Cloud-Lösungen auf ihr Kerngeschäft konzentrieren. Des Weiteren bleibt dem Cloud-Nutzer der Installationsaufwand erspart, da man über das Internet auf die Lösungen zugreift. Die Software befindet sich nicht auf dem Rechner, wodurch auch ein ortunabhängiger Zugriff möglich ist.

Cloud-Computing aus Datenschutzsicht

Der Einsatz von Cloud-Computing führt zu zahlreichen Risiken und Problemen. Umso wichtiger ist es, dass sich die verantwortlichen Stellen ausreichend mit diesem Thema beschäftigen und ihre Mitarbeiter diesbezüglich schulen / sensibleren. Insbesondere der Einsatz von Cloud-Lösungen neben der eigentlichen IT und ohne Wissen der IT-Abteilung, der Vorgesetzten und des Datenschutzbeauftragten birgt viele Gefahren.  Die parallele Nutzung von IT-Strukturen und IT-Lösungen der Fachabteilungen ist auch bekannt unter den Bezeichnungen „Schatten-IT“ bzw. „Shadow-IT“. Wenn Sie mehr darüber erfahren möchten, dann lesen Sie doch unseren Beitrag „Schatten-IT – Steht der Datenschutz im Schatten der Fachabteilungen?“.

In Hinblick auf den Datenschutz ist auch das Auslagern von Daten problematisch, obwohl die IT-Abteilung und der Vorgesetze informiert sind, wie häufig im Rahmen von Bring Your Own Device (BYOD).  Bei Bring Your Own Device ist Arbeitnehmern die Arbeit mit privaten Endgeräten gestattet, wodurch Arbeitnehmer mit ihren privaten Geräten auf IT-Ressourcen und Informationen des Unternehmens zugreifen können. Das BYOD-Modell führt zu einer Vermischung privater und dienstlicher Informationen, weshalb der Arbeitgeber nicht auf die privaten Endgeräte zugreifen darf. Derartige Probleme lassen sich allerdings durch fachkundige Unterstützung, z. B. durch die Beratung des externen Datenschutzbeauftragten oder des Datenschutzberaters, vermeiden.

Der Nebeneffekt von BYOD ist zudem, dass Mitarbeiter oftmals nicht nur ihre privaten Endgeräte verwenden, sondern dienstliche Informationen mit Hilfe von privaten Cloud-Lösungen verarbeiten. Die Nutzung von Cloud-Lösungen, die aufgrund der Vermischung nicht kontrolliert werden darf, führt häufig zu zahlreichen Risiken und Problemen.

In der Praxis erfolgt die Inanspruchnahme von Cloud-Leistungen regelmäßig als Auftragsdatenverarbeitung (ADV). Dies ist grundsätzlich eher unproblematisch, da eine Auftragsdatenverarbeitung, gemäß § 11 BDSG, als eine „Nicht-Übermittlung“ eingestuft wird und somit die verantwortliche Stelle weder eine Einwilligung noch eine weitere Rechtsgrundlage benötigt. Das Abschließen eines ADV-Vertrages ist unbedingt anzuraten. Hierbei unterstützt Sie Ihr Datenschutzbeauftragter.

Problematisch ist allerdings, dass die Cloud-Anbieter (Auftragnehmer) häufig ihren Sitz außerhalb der europäischen Union (EU) und des europäischen Wirtschaftsraums (EWR) haben. Der Gesetzgeber stuft eine Auftragsdatenverarbeitung mit einem Dienstleister im Drittland als eine Datenübermittlung ein, wodurch das Einholen einer informierten Einwilligung oder das Übermitteln auf Basis einer Rechtsgrundlage unvermeidbar ist. Werden in der Praxis allerdings Daten in eine Cloud ausgelagert, dann erfolgt dies derzeit eher selten auf Basis eines ADV-Vertrages, einer informierten Einwilligung oder einer Rechtsgrundlage, da vielen verantwortlichen Stellen gar nicht bewusst ist, dass es sich bereits um eine Datenübermittlung handelt.

Ein weiteres Manko ist, dass in Drittländern bis auf wenige Ausnahmen (z. B. die Schweiz), kein angemessenes Schutzniveau herrscht und dieses vor der Übermittlung hergestellt werden muss. Um ein angemessenes Datenschutzniveau zu schaffen, sollte der Auftragsgeber (Cloud-Nutzer) EU-Standardvertragsklauseln, Binding Corporate Rules (BCR) oder andere Regelungen, die von der Aufsichtsbehörde genehmigt werden müssen, mit dem Auftragnehmer (Cloud-Anbieter) treffen.

Weitere Schwachstellen können zudem sein:

  • die fehlenden Kontroll- und Weisungsbefugnisse, die oftmals nicht mit der für Cloud-Computing charakteristischen Standardisierung vereinbar sind,
  • die hohe Vielzahl an Beauftragungsketten, die in der Praxis keine Seltenheit sind.

Der Auftraggeber muss bei einem Unterauftragnehmer mit dem Sitz in der EU/EWR keine Besonderheiten beachten, da § 11 Abs. 2 Nr. 6 BDSG Unterbeauftragungen vorsieht. Haben der Auftragnehmer und der Unterauftragnehmer ihre Sitze in einem Drittland, so sollte es, wenn EU-Standardvertragsklauseln zwischen dem Auftraggeber und Auftragnehmer abgeschlossen sind, ebenfalls nicht zu großen Problemen für den Auftraggeber führen. Die EU-Standardvertragsklauseln sehen ebenfalls Regelungen zu Unterbeauftragungen vor. Hat der Auftragnehmer seinen Sitz in der EU/EWR und der Unterauftragnehmer seinen Sitz in einem Drittland, so gibt es derzeit keinen festen Regelungen. Dem Aufraggeber ist allerdings zumindest anzuraten, EU-Standardvertragsklauseln mit dem Unterauftragnehmer abzuschließen.

Fazit

Alles in allem ist Cloud-Computing gerade für kleine und mittelständische Unternehmen eine reizvolle Alternative, um Kapazitäten / Ressourcen zu sparen und sich auf das Kerngeschäft zu konzentrieren. Es ist allerdings zu empfehlen, dass sich die verantwortlichen Stellen vor Augen halten, dass Informationen an den Cloud-Anbieter übermittelt werden und bei personenbezogenen Daten das Datenschutzrecht greift. Ist die Cloud-Nutzung unvermeidlich, so sollte darauf geachtet werden, dass die Datenübermittlung rechtskonform erfolgt. Um die Probleme/Risiken zu minimieren, ist die Auswahl eines Cloud-Anbieters, der seinen Sitz in der EU/EWR hat, dringendst anzuraten. Bereits bei der Auswahl des Dienstleisters und Dienstes sollten Datenschutzaspekte berücksichtigt und der Datenschutzbeauftragte frühzeitig einbezogen werden.

Möchten auch Sie Cloud-Lösungen nutzen oder greifen Sie bereits auf Cloud-Lösungen zurück? Gerne stehen wir Ihnen auch als externer Datenschutzbeauftragter oder als Datenschutzberater zur Verfügung. Sprechen Sie uns an – nehmen Sie Kontakt auf oder fordern Sie ein unverbindliches Datenschutz-Angebot an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.