| Arbeitsrecht

Interview: Cloud-Dienste und Datenschutz

Auch im Personalwesen kommen vermehrt sogenannte Cloud-Lösungen zum Einsatz, bei denen Daten nicht lokal im Unternehmen, sondern extern gespeichert werden. Die Datenschutzbeauftragten des Bundes und der Länder haben nun gemeinsam dringend angemahnt, dabei den Datenschutz zu beachten. Peter Schaar, Deutschlands oberster Datenschützer, erläutert im Interview, was das beinhaltet.

Haufe Online-Redaktion: Was bedeutet die neue gemeinsame Stellungnahme der Datenschutzbeauftragten zu Cloud-Diensten ganz konkret für Unternehmen, welche solche Dienste bereits nutzen?

Peter Schaar: Unserer Kernaussage ist: Cloud-Anbieter müssen ihre Dienste datenschutzkonform gestalten. Unternehmen, die Cloud-Dienste nutzen, müssen ihrerseits aber auch den Verpflichtungen nach § 11 Bundesdatenschutzgesetz bei einer Auftragsdatenverarbeitung nachkommen. Als datenschutzrechtlich verantwortliche Stellen müssen sie insbesondere dafür sorgen, dass die Vertraulichkeit und Integrität der Datenverarbeitung gewährleistet sind - dies umfasst auch den Datenschutz und die IT-Sicherheit. Wer ernsthaft in Erwägung zieht, Cloud-Dienste zu nutzen, findet in der Orientierungshilfe der Konferenz der Datenschutzbeauftragten des Bundes und der Länder wertvolle Hinweise.

 

Haufe Online-Redaktion: Gerade bei der Zusammenarbeit mit US-Cloud-Anbietern sehen die Datenschützer Probleme. Warum?

Schaar: Unternehmen, die Cloud-Dienste von US-Anbietern nutzen wollen, bleiben in der Verantwortung dafür, dass die deutschen und europäischen Datenschutzanforderungen beachtet werden. Dies setzt entsprechende vertragliche Regelungen voraus, etwa die EU-Standardvertragsklauseln. Innerhalb einer Unternehmensgruppe ist es auch möglich, ein angemessenes Datenschutzniveau durch sogenannte "Binding Corporate Rules" zu garantieren. Allein die Tatsache, dass ein US-Cloud-Anbieter sich zur Einhaltung des Safe-Harbor-Abkommens verpflichtet und sich somit formal europäischen Datenschutzstandards unterwirft, reicht in vielen Fällen aber nicht aus. Vielmehr muss auch eine unabhängige Kontrolle der Einhaltung der datenschutzrechtlichen Vorgaben sichergestellt werden. Dabei gilt: Je sensibler die Daten, desto stärker muss der Schutz sein. Medizinische Daten etwa sollten vor ihrer Einbringung in die Cloud verschlüsselt werden.

 

Haufe Online-Redaktion: Welche Folgen hat eine Nichtumsetzung der notwendigen Maßnahmen und Anpassungen für die Unternehmen?

Schaar: Firmen, die ihren datenschutzrechtlichen Pflichten bei der Nutzung von Cloud-Diensten nicht nachkommen, können durch entsprechende Anordnungen der Aufsichtsbehörde zur Einhaltung dieser Pflichten aufgefordert werden. In schwerwiegenden Fällen können die Datenverarbeitung in der Cloud sogar untersagt und bei Verstößen Bußgelder verhängt werden.

 

Haufe Online-Redaktion: Falls mit US-Anbietern die nun von den Datenschutzbeauftragten vorgegebenen Vereinbarungen getroffen werden, ist dann ein direkter Zugriff der US-Behörden auf die Cloud-Daten im Rahmen des „Patriot Act“ künftig ausgeschlossen?

Schaar: Nein, ein direkter Zugriff durch US-Behörden kann bei der Beauftragung von US-Anbietern oder deren europäischen Tochterunternehmen auch zukünftig nicht ausgeschlossen werden. Die Artikel-29-Gruppe, ein Beratungsgremium der Datenschutzbehörden der EU-Mitgliedstaaten, setzt sich mit dieser Thematik auseinander. Im Frühjahr 2012 wird ein entsprechendes Positionspapier erwartet.

 

Haufe Online-Redaktion: Wie wird in der Praxis die Einhaltung des Datenschutzes bei Cloud-Lösungen kontrolliert - zumal ja selbst der mittlerweile berüchtigte "Staatstrojaner" laut Medienberichte Abhördaten zunächst mal an einen Server in den USA gemeldet hat?

Schaar: Wenn außereuropäische Dienstleister herangezogen werden, muss einzelfallbezogen geprüft werden, ob eine unabhängige Datenschutzaufsicht, wie sie innerhalb der EU gewährleistet wird, besteht. Gegebenenfalls müssen zusätzliche Maßnahmen ergriffen werden, um einen angemessenen Schutz der personenbezogenen Daten zu gewährleisten. In bestimmten Fällen – etwa bei der Verarbeitung medizinischer Daten – sollte darauf verzichtet werden, Cloud-Dienste außereuropäischer Anbieter in Anspruch zu nehmen.

 

Das Interview führte Holger Schindler.

 

Peter Schaar ist seit dem Jahr 2003 der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.

 

Aktuell

Meistgelesen