Egal ob kleiner Handwerksbetrieb, Mittelstand oder Industrie – der sichere Umgang mit personenbezogenen Daten gewinnt immer mehr an Bedeutung. Es drohen nicht nur Bußgelder und rechtliche Auseinandersetzungen, oft ist auch ein Reputationsverlust die Folge von Datenpannen und Verstößen gegen das Bundesdatenschutzgesetz (BDSG).
Welche wichtigen Fragen sollte sich daher ein Unternehmen bei der Einführung einer Cloud-Lösung stellen? Befindet sich die Cloud innerhalb der Bundesrepublik, damit sich der Anbieter an das BDSG halten muss? Wie stellt der Anbieter sicher, dass niemand die personenbezogenen Daten einsehen bzw. verfälschen kann? Werden die Rechte der Betroffenen gewahrt und wie stellt dies der Anbieter sicher?
Denn innerhalb einer Cloud-Lösung ist das Know How eines Unternehmens zu schützen sowie die Rechte der Betroffenen zu wahren.
Obwohl das BDSG schon seit 1996 ein gültiges Bundesgesetz ist, sind der Inhalt und die damit verbundenen Vorgaben nur den wenigsten bekannt. Gerade beim Einsatz von Cloud-Diensten sind aber einige Grundlagen zu beachten um einen rechtskonformen Umgang mit Daten zu ermöglichen.
Egal ob Kunden-, Lieferanten-, Bewerber- oder Mitarbeiterdaten – wenn Cloud-Lösungen zu deren Verarbeitung eingesetzt werden sollen, müssen die Vorgaben des BDSG strikt eingehalten werden. Hierzu zählen neben der Unterzeichnung eines förmlichen Auftragsdatenverarbeitungsvertrages (§ 11 BDSG) auch vom Anbieter detailliert zu dokumentierende Maßnahmen zur Datensicherheit.
Diese technischen und organisatorischen Maßnahmen (§ 9 BDSG) wie z. B. eine elektronische Zutrittskontrolle zu den Serverräumen und Rechenzentren, eine Zugangskontrolle zur Verhinderung der unbefugten Nutzung von Datensystemen oder die Trennungskontrolle (um nur eine kleine Auswahl zu nennen), die einen Zugriff auf Daten anderer Kunden untersagt, sind ebenfalls zu beschreiben und in einem Verfahrensverzeichnis zu dokumentieren. Diese Schutzziele müssen bei Cloud-Lösungen eingehalten werden.
Die Betroffenen dies können Kunden oder Mitarbeiter sein, haben das Recht (§§ 33, 34, 35 BDSG) über ihre gespeicherten personenbezogen Daten Auskunft zu erhalten. Sie haben auch das Recht, eine Berichtigung, Löschung und Sperrung ihrer personenbezogenen Daten zu verlangen. Eine Löschung kann nur dann erfolgen, wenn nicht eine gesetzliche oder vertragliche Pflicht zur weiteren Aufbewahrung besteht. Wie die einzelnen Vorgänge abzuhandlen sind, wird im Verfahrensverzeichnis beschrieben.
Diese Dokumente (Auftragsdatenverarbeitungsvertrag, Verfahrensverzeichnisse) müssen durch den Datenschutzbeauftragten geprüft werden, bevor eine Verarbeitung beginnen kann. Denn bereits ab 9 Personen, die innerhalb eines Unternehmens personenbezogene Daten verarbeiten ist ein betrieblicher Datenschutzbeauftragter zu bestellen.
Nur wenn diese Vorgaben erfüllt werden ist ein datenschutzkonformer Umgang mit personenbezogenen Daten möglich. Und das ist auch der Garant für eine Verbesserung der Unternehmenssicherheit, denn die erfolgreiche Einführung von Maßnahmen zum Schutz personenbezogener Daten wirkt sich auch immer positiv auf den Schutz aller Unternehmensdaten aus.
Christian Blume, Projekt29
Unser Autor Christian Blume ist für Projekt29 tätig. Das Unternehmen bietet seit 1996 als Full-Service-Dienstleister für alle Belange der Informationssicherheit, IT-Compliance, des Datenschutzes und IT-Zertifizierung seine Dienste an. Projekt29 betreut von den Standorten Regenburg, Augsburg, Leipzig, Berlin und Hamburg aus mehr als 1.800 Mandaten jeder Unternehmensgröße.
