Check: Cloudnutzung der Unternehmen bei personenbezogenen Daten

Immer mehr Unternehmen nutzen Cloud-Dienste und häufig werden dabei auch personenbezogene Daten von Kunden oder Mitarbeitern auf Servern außerhalb der EU gespeichert und verarbeitet. Dies ist jedoch nur unter bestimmten Bedingungen erlaubt und die Datenschutzbehörden wollen nun stichprobenartig überprüfen, ob die Vorgaben eingehalten werden.

Mittels einer Stichprobe wollen Datenschützer aus zehn Bundesländern bei insgesamt 500 Unternehmen in Erfahrung bringen,

  • ob die Unternehmen Daten von Mitarbeitern oder Kunden auch auf Cloud-Servern außerhalb der EU speichern und verarbeiten
  • und ob dabei die Vorgaben zur Gewährleistung eines angemessenen Datenschutzniveaus eingehalten werden.

Häufig wird problematischer Datentransfers nicht wahrgenommen

Bei vielen Unternehmen fehlt es nach Ansicht der Datenschützer oftmals noch an der notwendigen Sensibilität im Hinblick auf diese Problematik.

  • So führt beispielsweise meist schon die Verwendung einfacher Online-Office-Anwendungen häufig dazu, dass personenbezogene Daten ins außereuropäische Ausland übertragen werden, meist etwa auf Server der Dienstanbieter in den USA.
  • Eine solche Datenübertragung in Nicht-EU-Staaten ist jedoch nur dann erlaubt, wenn sichergestellt ist, dass dort dieselben strengen Datenschutzvorgaben eingehalten werden wie innerhalb der EU,
  • was über bestimmte Maßnahmen sichergestellt sein muss.

Fragebogen an 500 Unternehmen

Die Datenschutzbeauftragten aus 10 Bundesländern (Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt) werden deshalb in der nächsten Zeit 500 Unternehmen unterschiedlichster Größenordnung und aus verschiedenen Branchen anschreiben und nach ihrem Umgang mit Cloud-Lösungen befragen.

  • So sollen sie beispielsweise konkret benennen, welche Dienste bzw. Lösungen sie in den unterschiedlichen Bereichen verwenden.
  • Wenn dabei personenbezogene Daten in Staaten außerhalb der EU übertragen werden, sollen die Unternehmen Auskunft darüber geben, auf welcher rechtlichen Grundlage diese Dienste genutzt werden, also etwa ob die Einhaltung des europäischen Datenschutzniveaus durch das EU-US-Privacy-Shield gewährleistet ist,
  • Standard-Vertragsklauseln genutzt werden
  • oder die Einwilligung der Betroffenen zur Datenübertragung eingeholt wurde.

Sensibilisierung der Unternehmen als wichtigstes Ziel

Die Unternehmen sind verpflichtet, die Fragen wahrheitsgemäß zu beantworten. Sollten sich bei der Auswertung Hinweise auf mögliche Probleme ergeben, wollen die Behörden auch weitergehende Prüfungen veranlassen, kündigte der Präsident des Bayerischen Landesamts für Datenschutz, Thomas Kranig, in einer Presseerklärung zur Aktion an.

  • Die bayerische Datenschutzbehörde hat bereits mehrere ähnliche Prüfungen durchgeführt, so etwa vor zwei Jahren zur Nutzung ausländischer Mail-Server.
  • Damals waren bei einem Drittel der Unternehmen datenschutzrechtliche Mängel festgestellt worden, die anschließend behoben werden konnten, ohne dass dabei Bußgelder verhängt werden mussten.
  • Ähnlich will man auch diesmal verfahren und mit den Unternehmen bei eventuell festgestellten Verstößen zusammenarbeiten statt direkt Bußgelder zu verhängen.
Click to tweet

Das es hier Bedarf gibt, zeigen auch folgenden News: Umsetzung der EU-Datenschutzreform durch die Unternehmen, Umgang mit personenbezogenen Daten und Datenschutz in der Cloud.

Hintergrundwissen:

Für deutsche Unternehmen, die die Personaldaten in einer Cloud verarbeiten lassen, gelten grundsätzlich die Datenschutzbestimmungen des BDSchG. Ihre Einhaltung muss nach dem Gesetz auch dann in vollem Umfange gewährleistet sein, wenn die Daten außerhalb Deutschlands verarbeitet werden.

Schlagworte zum Thema:  Cybersicherheit, Datensicherheit