02.02.2015 | Personaldaten

Datenschutz in der Cloud - in Drittländern (k)eine sichere Sache?

Datenschutz: Wie sicher sind ausgelagerte Personaldaten in der Cloud in Drittländern
Bild: Haufe Online Redaktion

Immer häufiger legen Unternehmen auch sensible Personaldaten in der Cloud ab. Fehlzeiten, Arbeitszeiten, Vertragsabschlüsse – das alles wird heute von Datenwolkenbetreibern gehändelt. Ist da der Schutz von persönlichen Daten überhaupt noch zu gewährleisten?

Nicht jeder Arbeitnehmer ist erfreut, wenn seine personenbezogenen Daten in einer Cloud irgendwo in Malaysia oder in Bangladesch aufbewahrt und verarbeitet werden. Tatsächlich sind die rechtlichen Anforderungen an den Datenschutz in diesen Fällen grundsätzlich nicht geringer, als wenn die Daten in Deutschland verarbeitet würden. Dennoch ist das Cloud-Computing eine große Herausforderung für den Datenschutz und die Wahrung von Persönlichkeitsrechten.

Das Bundesdatenschutzgesetz gilt immer

Für deutsche Unternehmen, die die Personaldaten in einer Cloud verarbeiten lassen, gelten grundsätzlich die Datenschutzbestimmungen des BDSchG. Ihre Einhaltung muss nach dem Gesetz auch dann in vollem Umfange gewährleistet sein, wenn die Daten außerhalb Deutschlands verarbeitet werden. Die Verarbeitung personenbezogener Daten innerhalb der EU ist grundsätzlich zulässig, da durch EU-Richtlinien die Einhaltung eines einheitlichen Datenschutzniveaus innerhalb der EU gewährleistet ist (Data-Protection-Directive).

Sichere Drittländer

Tatsächlich speichern viele Anbieter die Daten auch in Staaten außerhalb der EU. Hierzu hat die EU-Kommission sogenannte sichere Drittländer festgelegt, in denen ein der EU vergleichbares Datenschutzniveau gewährleistet wird. Hierzu zählen die Schweiz, Australien, Kanada, Israel, Neuseeland und andere. In diese Länder darf die Datenverarbeitung ausgelagert werden, ohne dass es besonderer vertraglicher Zusatzvereinbarungen bedürfte.

Sonderfall USA 

Die Auslagerung in andere Staaten ist schwieriger. In den USA existiert das so genannte „Safe-Harbor-Prinzip“. Dies ist eine Regelwerk, das einen den europäischen Standards entsprechenden Datenschutz sicherstellen soll. Unterwirft der US-Anbieter sich diesem Abkommen, so wurde bisher von den zuständigen Behörden ein angemessenes Datenschutzniveau angenommen. Seit der NSA-Affäre ist diese Vorgehensweise auch innerhalb der Datenschutzbehörden allerdings umstritten und könnte in naher Zukunft revidiert werden.

Andere Drittstaaten müssen Datenschutz anerkennen

Darüber hinaus besteht in weiteren nicht geleisteten Staaten die Möglichkeit, dass der Anbieter sich der so genannten „EU-Standardvertragsklausel“ unterwirft, die ebenfalls ein dem Recht der Bundesrepublik entsprechenden Datenschutz gewährleisten. Kritisch wird dies allerdings im Hinblick auf die nach dem BDSchG bestehenden Auskunftsansprüche der Betroffenen gesehen. Für Unternehmen ist es in diesen Fällen daher sinnvoll, zusätzlich die Geltung der nach dem BDSchG bestehenden Auskunftsansprüche zu vereinbaren. Darüber hinaus listet § 11 BDSchG 10 Positionen auf, die in einem individuellen Cloud-Vertrag geregelt werden müssen. Dazu gehören:

  • Gegenstand und Dauer des Auftrages
  • Umfang, Art und Zweck der Erhebung, Verarbeitung und Nutzung der Daten,
  • die technischen und organisatorischen Maßnahmen zum Datenschutz
  • die Berichtigung, Löschung und Sperrung von Daten,
  • das Weisungsrecht des Auftraggebers gegenüber dem Auftragnehmer
  • eine Exit-Strategie, d.h. insbesondere die Vereinbarung verbindlicher Löschungsfristen bei Beendigung des Cloud-Vertrages.

Wichtig: Nach dem Gesetz bleibt der Auftraggeber, der personenbezogene Daten durch andere Stellen erheben und/oder verarbeiten lässt in vollem Umfange für die Einhaltung der Datenschutzbestimmungen verantwortlich.

Cloud-Betreiber bieten auch Leistungskontrolle an

Ob vertrauliche Mitarbeiterdaten in der Cloud tatsächlich immer sicher aufgehoben sind, darf trotz dieser vertraglichen Möglichkeiten bezweifelt werden. Besonders kritisch wird es, wenn der Anbieter neben der eigentlichen Datenverarbeitung und Speicherung weitere Dienstleistungen anbietet. Unter Begriffen wie „Human Capital Management“ oder „Talent Management“ werden die Verarbeitung von Fehlzeiten, Arbeitszeiten, Vertragsabschlüssen, Verkaufsabschlüssen, der Abgleich von Produktionszahlen, der Abgleich von Leistungsfähigkeit und Leistungsbereitschaft angeboten.

Die Leistungskontrolle mittels elektronischer Datenverarbeitung ist zwar nichts völlig Neues, jedoch sind die Vorgänge hier der unmittelbaren Kontrolle durch die Betroffenen weit gehend entzogen. In größeren Unternehmen müssen darüber hinaus die Mitbestimmungsrechte des Betriebsrates hinsichtlich der Datenverarbeitung, insbesondere bei der Inanspruchnahme von Leistungskontrollemechanismen beachtet werden.

Immenses Gefährdungspotenzial 

Den Gefahren, die mit der Auslagerung sensibler personenbezogener Daten aus Betrieben verbunden sind, kann nur mit einer strengen Unternehmens-Compliance begegnet werden. Deren Einhaltung sowie deren Kontrolle über effektive Überwachungsmechanismen erscheint derzeit als einzige Waffe, um den Gefahren des Cloud-Computing im Unternehmensbereich einigermaßen wirkungsvoll zu begegnen. Völlige Transparenz ist in der Datenwolke aber eher eine Wunschvorstellung.

Schlagworte zum Thema:  Cloud, Mitbestimmung

Aktuell

Meistgelesen