> SaaS

Cloud Computing – Durchblicken Sie vor lauter Wolken den Datenschutz?

Als DaDatenschutz Cloud Computingtenschutzbeauftragter wird man häufig gefragt, ob das Auslagern von Daten in die Cloud aus Datenschutzsicht problematisch sein könnte. Diese Frage sollte bejaht werden, denn die Auslagerung personenbezogener Daten kann –je nach Sensibilität- zu Problemen und Risiken führen. Das Ausmaß notwendiger Prüfungen und Prozesse hängt von diversen Faktoren ab. Trotz der Vielzahl an Risiken greifen verantwortliche Stellen, wie Unternehmen, Vereine, Verbände etc., auf Cloud-Lösungen zurück. Aus welchem Grund ist Cloud-Computing so attraktiv und was versteht man unter dem Begriff?

Was versteht man unter Cloud-Computing?

Cloud-LösungenBei Cloud-Computing wird über das Internet auf IT-Leistungen und IT-Infrastrukturen, die sich in einer „Cloud“, zu deutsch Wolke befinden, zugegriffen. Die IT-Leistungen können vom Cloud-Nutzer flexibel eingesetzt und abgerechnet werden. Der Begriff Cloud-Computing kann in einzelne Abstraktionsebenen gegliedert werden. Die erste Ebene ist unter dem Begriff Infrastructure as a Service, kurz IaaS, bekannt. IaaS-Nutzer greifen auf Infrastrukturressourcen, wie Speicher-, Netzkapazitäten und Rechenleistung, zurück. Bei der zweiten Ebene Platform as a Service, kurz PaaS, können die Nutzer Programmierungs- und Laufzeitumgeben nutzen. Endbenutzer kommen meistens mit der dritten Ebene, Software as a Service (SaaS), in Berührung.  Bei Software as a Service wird eine Softwarelösung bereitgestellt, die vom SaaS-Nutzer flexibel verwendet werden kann. Sämtliche Tätigkeiten um die Software, wie zum Beispiel Wartungsarbeiten, übernimmt der SaaS-Anbieter. Bekannte SaaS-Lösungen sind unter anderem Customer-Relationship-Management-Lösungen (CRM-Lösungen), Speicher-Lösungen, wie Dropbox, und die Applikationen, kurz Apps, von Google.

Was sind die Vorteile von Cloud-Computing?

Cloud-Computing zählt nicht grundlos zu den wichtigsten IT-Trends. Die besondere Vertriebsform sorgt, insbesondere bei kleinen und mittelständischen Unternehmen (KMU), für ein hohes Interesse, da sie die Lösungen flexibel nutzen und ebenso variabel bezahlen können. Zudem bleiben den Unternehmen hohe Kosten für Lizenzen, interne Ressourcen, externe Wartungen usw. erspart, da die Lösungen gemietet und zugleich durch den Anbieter gewartet werden.

Nicht nur die Kosteneinsparungen sprechen für den Einsatz von Cloud-Computing, auch das zumeist höhere IT-Wissen der Cloud-Anbieter kann ein klarer Vorteil sein. Insbesondre KMU verfügen in den meisten Fällen nicht über ausreichende Kenntnisse im IT-Bereich und so können sie sich mittels fertiger Cloud-Lösungen auf ihr Kerngeschäft konzentrieren. Des Weiteren bleibt dem Cloud-Nutzer der Installationsaufwand erspart, da man über das Internet auf die Lösungen zugreift. Die Software befindet sich nicht auf dem Rechner, wodurch auch ein ortunabhängiger Zugriff möglich ist.

Cloud-Computing aus Datenschutzsicht

Der Einsatz von Cloud-Computing führt zu zahlreichen Risiken und Problemen. Umso wichtiger ist es, dass sich die verantwortlichen Stellen ausreichend mit diesem Thema beschäftigen und ihre Mitarbeiter diesbezüglich schulen / sensibleren. Insbesondere der Einsatz von Cloud-Lösungen neben der eigentlichen IT und ohne Wissen der IT-Abteilung, der Vorgesetzten und des Datenschutzbeauftragten birgt viele Gefahren.  Die parallele Nutzung von IT-Strukturen und IT-Lösungen der Fachabteilungen ist auch bekannt unter den Bezeichnungen „Schatten-IT“ bzw. „Shadow-IT“. Wenn Sie mehr darüber erfahren möchten, dann lesen Sie doch unseren Beitrag „Schatten-IT – Steht der Datenschutz im Schatten der Fachabteilungen?“.

In Hinblick auf den Datenschutz ist auch das Auslagern von Daten problematisch, obwohl die IT-Abteilung und der Vorgesetze informiert sind, wie häufig im Rahmen von Bring Your Own Device (BYOD).  Bei Bring Your Own Device ist Arbeitnehmern die Arbeit mit privaten Endgeräten gestattet, wodurch Arbeitnehmer mit ihren privaten Geräten auf IT-Ressourcen und Informationen des Unternehmens zugreifen können. Das BYOD-Modell führt zu einer Vermischung privater und dienstlicher Informationen, weshalb der Arbeitgeber nicht auf die privaten Endgeräte zugreifen darf. Derartige Probleme lassen sich allerdings durch fachkundige Unterstützung, z. B. durch die Beratung des externen Datenschutzbeauftragten oder des Datenschutzberaters, vermeiden.

Der Nebeneffekt von BYOD ist zudem, dass Mitarbeiter oftmals nicht nur ihre privaten Endgeräte verwenden, sondern dienstliche Informationen mit Hilfe von privaten Cloud-Lösungen verarbeiten. Die Nutzung von Cloud-Lösungen, die aufgrund der Vermischung nicht kontrolliert werden darf, führt häufig zu zahlreichen Risiken und Problemen.

In der Praxis erfolgt die Inanspruchnahme von Cloud-Leistungen regelmäßig als Auftragsdatenverarbeitung (ADV). Dies ist grundsätzlich eher unproblematisch, da eine Auftragsdatenverarbeitung, gemäß § 11 BDSG, als eine „Nicht-Übermittlung“ eingestuft wird und somit die verantwortliche Stelle weder eine Einwilligung noch eine weitere Rechtsgrundlage benötigt. Das Abschließen eines ADV-Vertrages ist unbedingt anzuraten. Hierbei unterstützt Sie Ihr Datenschutzbeauftragter.

Problematisch ist allerdings, dass die Cloud-Anbieter (Auftragnehmer) häufig ihren Sitz außerhalb der europäischen Union (EU) und des europäischen Wirtschaftsraums (EWR) haben. Der Gesetzgeber stuft eine Auftragsdatenverarbeitung mit einem Dienstleister im Drittland als eine Datenübermittlung ein, wodurch das Einholen einer informierten Einwilligung oder das Übermitteln auf Basis einer Rechtsgrundlage unvermeidbar ist. Werden in der Praxis allerdings Daten in eine Cloud ausgelagert, dann erfolgt dies derzeit eher selten auf Basis eines ADV-Vertrages, einer informierten Einwilligung oder einer Rechtsgrundlage, da vielen verantwortlichen Stellen gar nicht bewusst ist, dass es sich bereits um eine Datenübermittlung handelt.

Ein weiteres Manko ist, dass in Drittländern bis auf wenige Ausnahmen (z. B. die Schweiz), kein angemessenes Schutzniveau herrscht und dieses vor der Übermittlung hergestellt werden muss. Um ein angemessenes Datenschutzniveau zu schaffen, sollte der Auftragsgeber (Cloud-Nutzer) EU-Standardvertragsklauseln, Binding Corporate Rules (BCR) oder andere Regelungen, die von der Aufsichtsbehörde genehmigt werden müssen, mit dem Auftragnehmer (Cloud-Anbieter) treffen.

Weitere Schwachstellen können zudem sein:

  • die fehlenden Kontroll- und Weisungsbefugnisse, die oftmals nicht mit der für Cloud-Computing charakteristischen Standardisierung vereinbar sind,
  • die hohe Vielzahl an Beauftragungsketten, die in der Praxis keine Seltenheit sind.

Der Auftraggeber muss bei einem Unterauftragnehmer mit dem Sitz in der EU/EWR keine Besonderheiten beachten, da § 11 Abs. 2 Nr. 6 BDSG Unterbeauftragungen vorsieht. Haben der Auftragnehmer und der Unterauftragnehmer ihre Sitze in einem Drittland, so sollte es, wenn EU-Standardvertragsklauseln zwischen dem Auftraggeber und Auftragnehmer abgeschlossen sind, ebenfalls nicht zu großen Problemen für den Auftraggeber führen. Die EU-Standardvertragsklauseln sehen ebenfalls Regelungen zu Unterbeauftragungen vor. Hat der Auftragnehmer seinen Sitz in der EU/EWR und der Unterauftragnehmer seinen Sitz in einem Drittland, so gibt es derzeit keinen festen Regelungen. Dem Aufraggeber ist allerdings zumindest anzuraten, EU-Standardvertragsklauseln mit dem Unterauftragnehmer abzuschließen.

Fazit

Alles in allem ist Cloud-Computing gerade für kleine und mittelständische Unternehmen eine reizvolle Alternative, um Kapazitäten / Ressourcen zu sparen und sich auf das Kerngeschäft zu konzentrieren. Es ist allerdings zu empfehlen, dass sich die verantwortlichen Stellen vor Augen halten, dass Informationen an den Cloud-Anbieter übermittelt werden und bei personenbezogenen Daten das Datenschutzrecht greift. Ist die Cloud-Nutzung unvermeidlich, so sollte darauf geachtet werden, dass die Datenübermittlung rechtskonform erfolgt. Um die Probleme/Risiken zu minimieren, ist die Auswahl eines Cloud-Anbieters, der seinen Sitz in der EU/EWR hat, dringendst anzuraten. Bereits bei der Auswahl des Dienstleisters und Dienstes sollten Datenschutzaspekte berücksichtigt und der Datenschutzbeauftragte frühzeitig einbezogen werden.

Möchten auch Sie Cloud-Lösungen nutzen oder greifen Sie bereits auf Cloud-Lösungen zurück? Gerne stehen wir Ihnen auch als externer Datenschutzbeauftragter oder als Datenschutzberater zur Verfügung. Sprechen Sie uns an – nehmen Sie Kontakt auf oder fordern Sie ein unverbindliches Datenschutz-Angebot an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.