Foto: phonlamaiphoto - stock.adobe.com

Inhaltsverzeichnis

Digitalisierung + IT

30. August 2019

Diese Datenschutz-Regeln gelten bei der Software-Auswahl

Egal ob Messenger, mobile Zeiterfassung oder Planungs-App: Wo ein Team standortunabhängig auf Daten zugreift, ist meist eine Cloud im Spiel. Wer die Dienste nutzen will, muss die DSGVO beachten.

Von Denny Gille
Denny Gille
Denny Gille

Redakteur handwerk.com

sucht in seinen Gesprächspartnern und Betrieben immer nach dem gewissen Etwas. Lässt sich am liebsten von cleveren Chefs, ausgefallenen Denkansätzen und neuen Ideen verblüffen.

Schwerpunkte: Digitalisierung und Strategie

Telefon (0511) 8550-2624

Verfasste Artikel

Auf einen Blick:

  • Messenger, Zeiterfassung, Planungsapps: Viele nützliche Software-Helfer sind nicht mehr lokal installiert sondern über Cloud-Server ortsunabhängig nutzbar.
  • Wer solch einen cloudbasierten Dienst nutzen will, sollte sich auch mit den dafür geltenden Datenschutz-Regeln der Datenschutz-Grundverordnung (DSGVO) auseinandersetzen.
  • Zertifikate können Orientierung bei der Auswahl geben.
  • Die DSGVO schreibt bei der Nutzung von Cloud-Diensten, über die personenbezogene Daten verarbeitet werden, einen Vertrag zur Datenverarbeitung vor.
  • Auch der Standort der Server ist datenschutzrechtlich bedeutsam. Erste Wahl sind Server in Deutschland oder der EU. Aber auch Dienste aus Drittstaaten wie den USA können unter bestimmten Bedingungen genutzt werden.

Microsoft Office 360, Trello, Meistertask, Google Drive: Software, bei der Informationen nicht mehr auf dem eigenen Rechner sondern auf fremden Servern gespeichert werden, gewinnt im Handwerk stetig an Bedeutung. Ein großer Vorteil solcher Cloud-Dienste: Informationen werden in Echtzeit synchronisiert und stehen dem gesamten Team jederzeit und überall zur Verfügung.

DSGVO: „Die Umsetzung ist kein Hexenwerk“

Der 25. Mai rückt unaufhaltsam näher. Dann tritt die DSGVO in Kraft. Viele Handwerksunternehmer sind verunsichert. Doch sind die Sorgen angebracht? Ein Experte beruhigt!
Artikel lesen

Dabei gehört zur Arbeit mit Cloud-Software meist auch, dass personenbezogene Daten eingegeben und somit auf fremden Servern gespeichert und verarbeitet werden. Unter welchen Voraussetzungen das geschehen darf, regelt die Datenschutz-Grundverordnung (DSGVO). „Sobald es zu einer Übertragung von personenbezogenen Daten kommt, wird die Nutzung von Cloud-Diensten datenschutzrechtlich relevant“, sagt Rechtsanwalt Niko Härting, Mitglied im Ausschuss Informationsrecht des Deutschen Anwaltvereins (DAV).

Vertrauenswürdige Cloud-Dienste finden

Um bei der Nutzung eines Cloud-Dienstes datenschutzrechtlich auf der sicheren Seite zu sein, sollten Unternehmer daher einige Regeln beachten. Rechtsanwalt Niko Härting rät Unternehmern, die Datenschutzbestimmungen des Software-Anbieters zu prüfen. Das sei insbesondere bei kleinen Software-Schmieden sinnvoll. Behält sich der Anbieter darin zum Beispiel das Recht vor, die erhobenen Daten zu fremden Zwecken an Dritte weiterzugeben, sei das ein deutliches Warnzeichen dafür, den Cloud-Dienst des Anbieters nicht zu nutzen. „Ein Cloud-Anbieter sollte sich auch nie vorbehalten, Ihre Daten für eigene Auswertungen zu nutzen“, sagt Härting.

Orientierung bei der Auswahl eines geeigneten Software-Anbieters geben auch Zertifizierungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für sichere Cloud-Dienste den Anforderungskatalog C5 erstellt, nach dem sich Anbieter von Cloud-Diensten zertifizieren lassen können. Zu den Basisanforderungen des Katalogs zählen beispielsweise alle Anforderungen des Sicherheitsstandards ISO/IEC 27001. Eine Zertifizierung nach dieser Norm führen auch beinahe sämtliche Software-Anbieter auf, die das Bundeswirtschaftsministerium auf der Trusted-Cloud-Website aufführt. Einen Überblick über die verschiedenen Standards beim Cloud Computing gibt das BSI hier. Zu den bekannteren Zertifikaten für Cloud-Angebote zählen laut dem Bundesamt das Gütesiegel SaaS von Eurocloud, CSA STAR, TÜV Trust IT.

DSGVO-Pflichten für Cloud-Software

Häufig werden bei der Nutzung von Cloud-Diensten unweigerlich personenbezogene Daten von Kunden oder Mitarbeitern verarbeitet. Ist das der Fall, handelt es sich um eine Auftragsverarbeitung oder um eine „gemeinsame Verantwortlichkeit“, die unter der DSGVO eindeutig geregelt ist: Unternehmen müssen mit dem Cloud-Anbieter dann einen Vertrag zur Datenverarbeitung schließen.

Welche Voraussetzungen dabei für den Software-Anbieter gelten, regeln Art. 26 und 28 der DSGVO. Unternehmen können den Vertrag zur Datenverarbeitung zum Beispiel mithilfe von Mustern zur Auftragsverarbeitung oder einem Anwalt mit Kenntnissen im Datenschutzrecht aufsetzen. Viele deutsche Cloud-Anbieter bieten Nutzern aber fertig ausformulierte Verträge zur Datenverarbeitung an. „Je kleiner und unbekannter der Anbieter, desto eher sollte der Vertrag von einem Experten geprüft werden“, rät Niko Härting.

Der richtige Server-Standort

Ein wichtiges Datenschutz-Kriterium bei der Wahl des passenden Cloud-Anbieters ist der Ort an dem die Datenverarbeitung durch den Cloud-Anbieter stattfindet. Für europäische und außereuropäische Anbieter gilt im Idealfall: „Die Server ihrer Cloud-Dienste sollten nach Möglichkeit in Europa liegen“, sagt Rechtsanwalt Niko Härting.

Doch auch in einigen Staaten außerhalb der EU dürfen Cloud-Anbieter Server betreiben und dennoch für eine datenschutzkonforme Nutzung in Frage kommen. Das regelt Artikel 45 der DSGVO. Demnach dürfen personenbezogene Daten ohne besondere Genehmigung in ein Drittland übermittelt werden, wenn es ein angemessenes Schutzniveau bietet. Ob das der Fall ist, entscheidet die europäische Kommission. Zur Liste sicherer Drittstaaten zählen derzeit unter anderem die Schweiz, Israel und Japan. Die EU-Kommission nennt die sicheren Drittstaaten hier.

Sonderfall USA

Die USA gelten nicht pauschal als sicheres Drittland. Dennoch können europäische Unternehmen Cloud-Software bestimmter US-Anbieter nutzen. Das geht grundsätzlich dann, wenn der Software-Anbieter dem EU-US Privacy Shield beigetreten ist.

Der Privacy Shield soll gewährleisten, dass die personenbezogenen Daten von EU-Bürgern weiterhin geschützt sind, wenn sie in die USA übermittelt werden. Lassen sich Unternehmen in die öffentlich einsehbare Liste des Privacy Shield eintragen, verpflichten sie sich, die Inhalte dieses Abkommens zu achten.

Bei der Wahl von Cloud-Diensten, die personenbezogene Daten auf US-Server übermitteln, rät Rechtsanwalt Niko Härting: „Ich würde empfehlen, nur Anbieter zu wählen, die im Privacy Shield gelistet sind.“

Doch was ist mit den US-Software-Schmieden, die zwar nicht im Privacy Shield auftauchen, aber in ihren Datenschutzbestimmungen zumindest behaupten, dem europäischen Datenschutzrecht Rechnung zu tragen? „Dem würde ich als Nutzer kritisch gegenüberstehen“, erklärt Härting.

Es sei zwar möglich, dass die Software von Europäern genutzt werden kann, ohne gegen europäisches Datenschutzrecht zu verstoßen, das müsse jedoch für jeden Einzelfall gewissenhaft geprüft werden. Beispielsweise kann das Datenschutzrecht nach DSGVO in solchen Fällen eingehalten werden, wenn Cloud-Anbieter und Nutzer einen Vertrag unter Verwendung der Standarddatenschutzklauseln der EU-Kommission schließen.

Tipp: Suchen Sie Informationen und Inspiration für die Digitalisierung? Abonnieren Sie den handwerk.com-Newsletter und wir informieren Sie automatisch über spannende Entwicklungen und Praxisbeispiele aus dem digitalen Handwerk. Hier geht es zur Anmeldung!

Auch interessant:

Bauherr lässt Minijobber aufs Dach: 680.000 Euro Schaden

Auch erfahrene Bauhelfer ersetzen keinen Fachbetrieb. Den Beweis liefert ein verunglückter Dachdecker-Versuch, der im Großbrand endete.
Artikel lesen

Einfach basteln: Digitalisierung im Baukastenprinzip

Die Digitalisierung im Betrieb braucht keine riesigen Softwarelösungen, sagt dieser Softwareentwickler. Er rät stattdessen zu mehr Kreativität.
Artikel lesen
Foto: phonlamaiphoto - stock.adobe.com

Anzeige

Frustriert von der Mitarbeitersuche?

handwerk.com und die Schlütersche helfen Ihnen Ihre offenen Stellen einfach, zeit- und kostensparend mit den richtigen Kandidaten zu besetzen! Mehr als 500 Betriebe vertrauen uns bei der Mitarbeitersuche!

Jetzt Bewerber finden!

Wir haben noch mehr für Sie!

Praktische Tipps zur Betriebsführung und Erfahrungsberichte von Kollegen gibt es dienstags und donnerstags auch direkt ins Postfach: nützlich, übersichtlich und auf den Punkt.
Melden Sie sich jetzt für unseren Newsletter an - schnell und kostenlos!
Wir geben Ihre Daten nicht an Dritte weiter. Die Übermittlung erfolgt verschlüsselt. Zu statistischen Zwecken führen wir ein anonymisiertes Link-Tracking durch.
E-Mails in der Betriebsprüfung: Das Finanzamt darf nur solche Mails anfordern, die unter die steuerlichen Aufbewahrungspflichten fallen.

Steuern

Datenschutzsieg: Finanzamt darf nicht alle E-Mails verlangen

Steuerprüfer dürfen steuerlich relevante E-Mails kontrollieren. Das gilt jedoch nicht pauschal für alle E-Mails eines Unternehmens, sagt ein Gericht.

    • Steuern, Betriebsprüfung
Jederzeit alle Projekte im Blick. Metallbaumeister Jörg Tiemann-Immen hat seine IT in die Cloud verlagert. 

Digitalisierung + IT

Cloudsoftware: „Mein Team arbeitet jetzt selbstständiger“

Dieser Metallbaubetrieb hat den Umstieg in die Cloud gewagt, um sich mobil effizienter zu organisieren. Das sei mit Cloudstructor gelungen.

    • Digitalisierung + IT
Datenauswertung nach dem Unfall: Wer hat das Recht, auf den Unfalldatenspeicher zuzugreifen?

Fuhrparkrecht

Unfalldatenspeicher: Knifflige Frage der Datennutzung

Ab Juli 2024 wird er Pflicht, der Unfalldatenspeicher (EDR). Aber dürfen Arbeitgeber im Streitfall auch auf die Daten zugreifen, nachdem es gekracht hat?

    • Fuhrpark
Heilsbringer Cloud? Ob ein Unternehmen mit einer Cloud-Lösung am besten beraten ist, hängt von den persönlichen Ansprüchen ab.

Digitalisierung + IT

7 Fragen zur Cloud-Nutzung im Handwerk

Was können Cloud-Dienste, wie sicher sind sie und wie erkennt man vertrauenswürdige Anbieter? 7 Fragen, 7 Antworten.

    • Digitalisierung + IT