Wer seine Daten in die Wolke schieben möchte, muss einiges beachten. Wir stellen Ihnen in loser Folge das wichtigste vor.

Heute erfahren Sie, welche An- und Herausforderungen der Datenschutz stellt.

 Eins vorweg: Sie haben nur dann ein Problem mit dem Datenschutz, wenn Sie personenbezogene Daten in die Wolke schieben. Personenbezogene Daten sind solche, die Einzelangaben enthalten, welche eine bestimmte oder bestimmbare natürliche Person betreffen. Das können Kunden eines Unternehmens sein oder Arbeitnehmer oder auch Mitarbeiter eines Kunden. Immer dann, wenn solche Daten erhoben, verarbeitet oder sonst genutzt werden, greifen die Regelungen der Datenschutzgesetze ein. 

Wenn Sie ausschließlich Daten in die Wolke schieben, die keinen Bezug zu einer natürlichen Person haben, z.B. Finanzdaten eines Unternehmens, technische Daten aus Forschung und Entwicklung oder Adressdaten des Unternehmens, greifen diese Regelungen nicht ein. Auch wenn Sie Daten in die Wolke auslagern, die Sie vorher anonymisiert haben, und wenn deshalb kein Zugriff und keine Einsichtsmöglichkeit des Cloud Computing-Anbieters besteht, gelten die Regelungen der Datenschutzgesetze nicht. 

Also - unterstellt Sie möchten personenbezogene Daten von Kunden oder Mitarbeitern auslagern, stehen Sie vor folgenden rechtlichen Problemen: 

(1) Einwilligung:

Sie benötigen grundsätzlich eine Einwilligung des Betroffenen, wenn Sie dessen personenbezogene Daten nutzen oder übermitteln wollen. 

Diese muss schriftlich, freiwillig und in Kenntnis aller Umstände der Übermittlung der Daten erfolgen. Bei Neukunden ist dies meistens unproblematisch, weil Sie die Einwilligung mit dem Vertragsschluss einholen können. Schwieriger ist das schon bei Altkunden. Denn Sie müssten sie anschreiben und um Zustimmung bitten. Nach unserer praktischen Erfahrung bekommen Sie bei solchen Aktionen ein nur sehr lückenhaftes Feedback. 

Ebenfalls schwierig ist es, eine wirksame Zustimmung Ihrer Mitarbeiter einzuholen. Die Rechtsprechung stellt sehr hohe Anforderungen an die Freiwilligkeit bei Arbeitnehmern. Sie soll schon dann nicht gegeben sein, wenn der Arbeitnehmer Konsequenzen befürchtet, falls er die Einwilligung nicht erteilt. 

(2) Auftragsdatenverarbeitung, § 11 BDSG: 

Es gibt aber noch § 11 BDSG, der eine Auftragsdatenverarbeitung auch ohne Zustimmung des Betroffenen zulässt. Allerdings stellt das Gesetz auch hier hohe Anforderungen. Es müssen eine Vielzahl von Kriterien erfüllt werden, deren Einhaltung gerade im Bereich des Cloud Computing nicht immer einfach ist. Es muss z.B. gewährleistet sein, dass Sie jederzeit „Herr der Daten“ bleiben, also in Kontrolle der Daten. 

Wenn Sie überhaupt nicht wissen, auf welchem Server auf der Welt die Daten gerade lagern, kann man nur noch schwer davon sprechen, dass Sie noch „Herr der Daten“ sind. 

Außerdem behalten Sie die volle Verantwortung für die Sicherheit der Daten. Sie bleiben allein verantwortlich gegenüber den Betroffenen. Das Gesetz verlangt zudem von Ihnen, dass Sie schriftliche Regelungen mit dem Auftragsdatenverarbeiter treffen, die unter anderem Kontrollpflichten, Besichtigungsrechte, Verantwortlichkeiten und die Zulässigkeit von Subunternehmern regeln. Die technischen und organisatorischen Maßnahmen, die der Auftragsdatenverarbeiter treffen muss, ergeben sich aus § 9 BDSG nebst Anlage und müssen ebenfalls explizit geregelt werden. 

(3) Drittländer:

Im Bezug auf Subunternehmer oder weltweit tätige Service Provider ist ferner zu beachten, dass die Regelung des § 11 BDSG die Auftragsdatenverarbeitung nur für die Mitgliedstaaten der EU, Liechtenstein, Norwegen und Island als Vertragsstaaten des EWR zulässt. 

Wenn Ihr Cloud Computing-Anbieter selbst in anderen Ländern tätig ist oder Subunternehmer Drittländern einsetzt, muss grundsätzlich zuvor eine Einwilligung der Betroffenen eingeholt werden.

Erfahren Sie im letzten Teil, wer für Datensicherheit und Compliance in Ihrem Unternehmen verantwortlich ist.