02.10.2012 | Top-Thema Interview mit dem Landesbeauftragen für Datenschutz Schleswig-Holstein Thilo Weichert

"Ganz wichtig ist die sorgfältige Auswahl des Cloud-Anbieters"

Partner CRM für alle

Kapitel
"Die Sicherungsmaßnahmen müssen zwingend im Cloud-Vertrag enthalten sein."
Bild: Thilo Weichert ULD

Für CRM in der Cloud spielt der Vertrag mit dem Dienstleister eine zentrale Rolle. Darin sollten eine ganze Reihe von Dingen explizit festgelegt sein, zum Beispiel die technisch-organisatorischen Sicherungsmaßnahmen. Ein Sorglospaket ist so ein Vertrag trotzdem nicht.

acquisa: Viele Anwendungen drängen in die Cloud. Auch Customer Relationship Management Lösungen werden als Cloud-Variante angeboten. Welche Besonderheiten sind zu beachten, wenn nun auch Kundendaten in der Cloud verwaltet werden. 

Weichert: Zunächst kommt es auf den Cloud-Vertrag an. Der muss gewährleisten, dass die sechs Schutzziele des Datenschutzes umgesetzt werden: Vertraulichkeit, Integrität, Verfügbarkeit, Transparenz, Intervenierbarkeit und Unverknüpfbarkeit. Weiterhin sollte eine regelmäßige Kontrolle durch den Nutzer erfolgen, bei fehlender Kompetenz hierzu durch einen vertrauenswürdigen, d. h. selbst ausgewählten und unabhängigen, Auditor. Im Fall von Verstößen sollten klare Rechtsfolgen, am besten Vertragsstrafen, festgelegt werden. Die technisch-organisatorischen Sicherungsmaßnahmen müssen zwingend im Cloud-Vertrag enthalten sein. Findet zum Beispiel nur eine Speicherung im Rahmen eines Storage-as–a-Service statt, dann sollten die Daten verschlüsselt abgelegt werden. CRM-Daten in der Cloud können externe Begehrlichkeiten auslösen. Deshalb ist die technische Abschottung der einzelnen Anwendung unbedingt sicherzustellen.

acquisa: Lässt sich für ein Unternehmen die Einhaltung des Datenschutzes in der Cloud überhaupt kontrollieren, wenn man auf einen Cloud-Dienstleister zurückgreift?

Weichert: Sollte eine Kontrolle nicht möglich sein, dann müsste man Cloud Computing verbieten. Tatsächlich sind die Kontrollmöglichkeiten noch wenig erforscht und noch weniger implementiert. Das Unabhängige Landeszentrum für Datenschutz, also wir im ULD, forschen gemeinsam mit anderen Einrichtung hierzu. Technisch und durch ergänzende rechtliche und organisatorische Vorkehrungen ist eine hinreichende Kontrolle machbar. Doch das wollen viele der Beteiligten gar nicht, weil das Geld und Arbeit kostet und weil sie damit an ihre rechtlichen Pflichten erinnert werden.

acquisa: Worauf sollte schon beim Abschluss eines Cloud-Vertrages geachtet werden?

Weichert: Das Gesetz ist insofern klar: Ganz wichtig ist die sorgfältige Auswahl des Cloud-Anbieters. Im Vertrag müssen der Gegenstand und die Dauer des Auftrags, die Art und der Ort der Datenverarbeitung, die technisch-organisatorischen Sicherungen, die Wahrnehmung der Betroffenenrechte, die Datenkorrektur und insbesondere die Löschung sowie mögliche Unterauftragsverhältnisse präzise beschrieben werden. Cloud Computing darf nicht als Sorglospaket verstanden werden, weshalb die Kontrolle durch den Cloud-Nutzer und dessen Direktionsmöglichkeit präzise festgelegt und nachher auch faktisch wahrgenommen werden muss.

acquisa: Was passiert eigentlich mit den Daten in der Cloud, wenn der Cloud-Anbieter insolvent wird oder man den Anbieter wechseln möchte?

Weichert: Auch das ist eindeutig geregelt: Im Fall der Auflösung des Cloud-Anbieters muss der gesamte Datenbestand an den Auftraggeber zurückgegeben werden. Dies gilt auch für einen Wechsel des Anbieters. Dies bedeutet, dass die personenbezogenen Daten rückstandsfrei beim ursprünglichen Cloud-Anbieter gelöscht werden müssen. Dies muss Bestandteil des Cloud-Vertrags sein.

Schlagworte zum Thema:  CRM, Adressmanagement, Database, Direktmarketing, Datenschutz

Aktuell

Meistgelesen