Wer solche cloudbasierte Dienste nutzen will, sollte sich aber mit den dafür geltenden Datenschutz-Regeln auseinandersetzen.
Foto: phonlamaiphoto - stock.adobe.com

Digitalisierung + IT

Diese Datenschutz-Regeln gelten bei der Software-Auswahl

Egal ob Messenger, mobile Zeiterfassung oder Planungs-App: Wo ein Team standortunabhängig auf Daten zugreift, ist meist eine Cloud im Spiel. Wer die Dienste nutzen will, muss die DSGVO beachten.

Inhaltsverzeichnis

Auf einen Blick:

  • Messenger, Zeiterfassung, Planungsapps: Viele nützliche Software-Helfer sind nicht mehr lokal installiert sondern über Cloud-Server ortsunabhängig nutzbar.
  • Wer solch einen cloudbasierten Dienst nutzen will, sollte sich auch mit den dafür geltenden Datenschutz-Regeln der Datenschutz-Grundverordnung (DSGVO) auseinandersetzen.
  • Zertifikate können Orientierung bei der Auswahl geben.
  • Die DSGVO schreibt bei der Nutzung von Cloud-Diensten, über die personenbezogene Daten verarbeitet werden, einen Vertrag zur Datenverarbeitung vor.
  • Auch der Standort der Server ist datenschutzrechtlich bedeutsam. Erste Wahl sind Server in Deutschland oder der EU. Aber auch Dienste aus Drittstaaten wie den USA können unter bestimmten Bedingungen genutzt werden.

Microsoft Office 360, Trello, Meistertask, Google Drive: Software, bei der Informationen nicht mehr auf dem eigenen Rechner sondern auf fremden Servern gespeichert werden, gewinnt im Handwerk stetig an Bedeutung. Ein großer Vorteil solcher Cloud-Dienste: Informationen werden in Echtzeit synchronisiert und stehen dem gesamten Team jederzeit und überall zur Verfügung.

DSGVO: „Die Umsetzung ist kein Hexenwerk“

Der 25. Mai rückt unaufhaltsam näher. Dann tritt die DSGVO in Kraft. Viele Handwerksunternehmer sind verunsichert. Doch sind die Sorgen angebracht? Ein Experte beruhigt!
Artikel lesen >

Dabei gehört zur Arbeit mit Cloud-Software meist auch, dass personenbezogene Daten eingegeben und somit auf fremden Servern gespeichert und verarbeitet werden. Unter welchen Voraussetzungen das geschehen darf, regelt die Datenschutz-Grundverordnung (DSGVO). „Sobald es zu einer Übertragung von personenbezogenen Daten kommt, wird die Nutzung von Cloud-Diensten datenschutzrechtlich relevant“, sagt Rechtsanwalt Niko Härting, Mitglied im Ausschuss Informationsrecht des Deutschen Anwaltvereins (DAV).

Vertrauenswürdige Cloud-Dienste finden

Um bei der Nutzung eines Cloud-Dienstes datenschutzrechtlich auf der sicheren Seite zu sein, sollten Unternehmer daher einige Regeln beachten. Rechtsanwalt Niko Härting rät Unternehmern, die Datenschutzbestimmungen des Software-Anbieters zu prüfen. Das sei insbesondere bei kleinen Software-Schmieden sinnvoll. Behält sich der Anbieter darin zum Beispiel das Recht vor, die erhobenen Daten zu fremden Zwecken an Dritte weiterzugeben, sei das ein deutliches Warnzeichen dafür, den Cloud-Dienst des Anbieters nicht zu nutzen. „Ein Cloud-Anbieter sollte sich auch nie vorbehalten, Ihre Daten für eigene Auswertungen zu nutzen“, sagt Härting.

Orientierung bei der Auswahl eines geeigneten Software-Anbieters geben auch Zertifizierungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für sichere Cloud-Dienste den Anforderungskatalog C5 erstellt, nach dem sich Anbieter von Cloud-Diensten zertifizieren lassen können. Zu den Basisanforderungen des Katalogs zählen beispielsweise alle Anforderungen des Sicherheitsstandards ISO/IEC 27001. Eine Zertifizierung nach dieser Norm führen auch beinahe sämtliche Software-Anbieter auf, die das Bundeswirtschaftsministerium auf der Trusted-Cloud-Website aufführt. Einen Überblick über die verschiedenen Standards beim Cloud Computing gibt das BSI hier. Zu den bekannteren Zertifikaten für Cloud-Angebote zählen laut dem Bundesamt das Gütesiegel SaaS von Eurocloud, CSA STAR, TÜV Trust IT.

DSGVO-Pflichten für Cloud-Software

Häufig werden bei der Nutzung von Cloud-Diensten unweigerlich personenbezogene Daten von Kunden oder Mitarbeitern verarbeitet. Ist das der Fall, handelt es sich um eine Auftragsverarbeitung oder um eine „gemeinsame Verantwortlichkeit“, die unter der DSGVO eindeutig geregelt ist: Unternehmen müssen mit dem Cloud-Anbieter dann einen Vertrag zur Datenverarbeitung schließen.

Welche Voraussetzungen dabei für den Software-Anbieter gelten, regeln Art. 26 und 28 der DSGVO. Unternehmen können den Vertrag zur Datenverarbeitung zum Beispiel mithilfe von Mustern zur Auftragsverarbeitung oder einem Anwalt mit Kenntnissen im Datenschutzrecht aufsetzen. Viele deutsche Cloud-Anbieter bieten Nutzern aber fertig ausformulierte Verträge zur Datenverarbeitung an. „Je kleiner und unbekannter der Anbieter, desto eher sollte der Vertrag von einem Experten geprüft werden“, rät Niko Härting.

-Anzeige-

Software

Whatsapp rechtssicher nutzen: diese Regeln gelten

Sie können Whatsapp auch unter der DSGVO im Betrieb nutzen, ohne Zielscheibe von Abmahnungen und Klagen zu werden. Dafür sollten Sie diese Regeln beachten.

Datenschutz-Grundverordnung

Die fünf größten DSGVO-Fallen im Bewerbungsprozess

Betriebe, die Bewerbungsunterlagen erhalten, müssen dabei zwingend die Vorschriften der DSGVO einhalten. Ein Experte verrät, wo die 5 größten Fallstricke lauern.

Datenschutz-Grundverordnung

Das ändert sich 2018 für Betriebe beim Datenschutz

Die Datenschutz-Grundverordnung bürdet Betrieben neue Pflichten auf. Sie müssen informieren und dokumentieren. Wer nicht mitspielt, riskiert hohe Bußgelder.

Datenschutz-Grundverordnung

DSGVO: 12.500 Euro Strafe weil SSL-Zertifikat fehlt?

Einigen Unternehmern flattern derzeit Abmahnungen wegen fehlender SSL-Zertifikate ins Haus. Jurist Niko Härting verrät, wie Betroffene damit umgehen sollten.