Auf einen Blick:
- Messenger, Zeiterfassung, Planungsapps: Viele nützliche Software-Helfer sind nicht mehr lokal installiert sondern über Cloud-Server ortsunabhängig nutzbar.
- Wer solch einen cloudbasierten Dienst nutzen will, sollte sich auch mit den dafür geltenden Datenschutz-Regeln der Datenschutz-Grundverordnung (DSGVO) auseinandersetzen.
- Zertifikate können Orientierung bei der Auswahl geben.
- Die DSGVO schreibt bei der Nutzung von Cloud-Diensten, über die personenbezogene Daten verarbeitet werden, einen Vertrag zur Datenverarbeitung vor.
- Auch der Standort der Server ist datenschutzrechtlich bedeutsam. Erste Wahl sind Server in Deutschland oder der EU. Aber auch Dienste aus Drittstaaten wie den USA können unter bestimmten Bedingungen genutzt werden.
Microsoft Office 360, Trello, Meistertask, Google Drive: Software, bei der Informationen nicht mehr auf dem eigenen Rechner sondern auf fremden Servern gespeichert werden, gewinnt im Handwerk stetig an Bedeutung. Ein großer Vorteil solcher Cloud-Dienste: Informationen werden in Echtzeit synchronisiert und stehen dem gesamten Team jederzeit und überall zur Verfügung.
Dabei gehört zur Arbeit mit Cloud-Software meist auch, dass personenbezogene Daten eingegeben und somit auf fremden Servern gespeichert und verarbeitet werden. Unter welchen Voraussetzungen das geschehen darf, regelt die Datenschutz-Grundverordnung (DSGVO). „Sobald es zu einer Übertragung von personenbezogenen Daten kommt, wird die Nutzung von Cloud-Diensten datenschutzrechtlich relevant“, sagt Rechtsanwalt Niko Härting, Mitglied im Ausschuss Informationsrecht des Deutschen Anwaltvereins (DAV).
Vertrauenswürdige Cloud-Dienste finden
Um bei der Nutzung eines Cloud-Dienstes datenschutzrechtlich auf der sicheren Seite zu sein, sollten Unternehmer daher einige Regeln beachten. Rechtsanwalt Niko Härting rät Unternehmern, die Datenschutzbestimmungen des Software-Anbieters zu prüfen. Das sei insbesondere bei kleinen Software-Schmieden sinnvoll. Behält sich der Anbieter darin zum Beispiel das Recht vor, die erhobenen Daten zu fremden Zwecken an Dritte weiterzugeben, sei das ein deutliches Warnzeichen dafür, den Cloud-Dienst des Anbieters nicht zu nutzen. „Ein Cloud-Anbieter sollte sich auch nie vorbehalten, Ihre Daten für eigene Auswertungen zu nutzen“, sagt Härting.
Orientierung bei der Auswahl eines geeigneten Software-Anbieters geben auch Zertifizierungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für sichere Cloud-Dienste den Anforderungskatalog C5 erstellt, nach dem sich Anbieter von Cloud-Diensten zertifizieren lassen können. Zu den Basisanforderungen des Katalogs zählen beispielsweise alle Anforderungen des Sicherheitsstandards ISO/IEC 27001. Eine Zertifizierung nach dieser Norm führen auch beinahe sämtliche Software-Anbieter auf, die das Bundeswirtschaftsministerium auf der Trusted-Cloud-Website aufführt. Einen Überblick über die verschiedenen Standards beim Cloud Computing gibt das BSI hier. Zu den bekannteren Zertifikaten für Cloud-Angebote zählen laut dem Bundesamt das Gütesiegel SaaS von Eurocloud, CSA STAR, TÜV Trust IT.
DSGVO-Pflichten für Cloud-Software
Häufig werden bei der Nutzung von Cloud-Diensten unweigerlich personenbezogene Daten von Kunden oder Mitarbeitern verarbeitet. Ist das der Fall, handelt es sich um eine Auftragsverarbeitung oder um eine „gemeinsame Verantwortlichkeit“, die unter der DSGVO eindeutig geregelt ist: Unternehmen müssen mit dem Cloud-Anbieter dann einen Vertrag zur Datenverarbeitung schließen.
Welche Voraussetzungen dabei für den Software-Anbieter gelten, regeln Art. 26 und 28 der DSGVO. Unternehmen können den Vertrag zur Datenverarbeitung zum Beispiel mithilfe von Mustern zur Auftragsverarbeitung oder einem Anwalt mit Kenntnissen im Datenschutzrecht aufsetzen. Viele deutsche Cloud-Anbieter bieten Nutzern aber fertig ausformulierte Verträge zur Datenverarbeitung an. „Je kleiner und unbekannter der Anbieter, desto eher sollte der Vertrag von einem Experten geprüft werden“, rät Niko Härting.
Der richtige Server-Standort
Ein wichtiges Datenschutz-Kriterium bei der Wahl des passenden Cloud-Anbieters ist der Ort an dem die Datenverarbeitung durch den Cloud-Anbieter stattfindet. Für europäische und außereuropäische Anbieter gilt im Idealfall: „Die Server ihrer Cloud-Dienste sollten nach Möglichkeit in Europa liegen“, sagt Rechtsanwalt Niko Härting.
Doch auch in einigen Staaten außerhalb der EU dürfen Cloud-Anbieter Server betreiben und dennoch für eine datenschutzkonforme Nutzung in Frage kommen. Das regelt Artikel 45 der DSGVO. Demnach dürfen personenbezogene Daten ohne besondere Genehmigung in ein Drittland übermittelt werden, wenn es ein angemessenes Schutzniveau bietet. Ob das der Fall ist, entscheidet die europäische Kommission. Zur Liste sicherer Drittstaaten zählen derzeit unter anderem die Schweiz, Israel und Japan. Die EU-Kommission nennt die sicheren Drittstaaten hier.
Sonderfall USA
Die USA gelten nicht pauschal als sicheres Drittland. Dennoch können europäische Unternehmen Cloud-Software bestimmter US-Anbieter nutzen. Das geht grundsätzlich dann, wenn der Software-Anbieter dem EU-US Privacy Shield beigetreten ist.
Der Privacy Shield soll gewährleisten, dass die personenbezogenen Daten von EU-Bürgern weiterhin geschützt sind, wenn sie in die USA übermittelt werden. Lassen sich Unternehmen in die öffentlich einsehbare Liste des Privacy Shield eintragen, verpflichten sie sich, die Inhalte dieses Abkommens zu achten.
Bei der Wahl von Cloud-Diensten, die personenbezogene Daten auf US-Server übermitteln, rät Rechtsanwalt Niko Härting: „Ich würde empfehlen, nur Anbieter zu wählen, die im Privacy Shield gelistet sind.“
Doch was ist mit den US-Software-Schmieden, die zwar nicht im Privacy Shield auftauchen, aber in ihren Datenschutzbestimmungen zumindest behaupten, dem europäischen Datenschutzrecht Rechnung zu tragen? „Dem würde ich als Nutzer kritisch gegenüberstehen“, erklärt Härting.
Es sei zwar möglich, dass die Software von Europäern genutzt werden kann, ohne gegen europäisches Datenschutzrecht zu verstoßen, das müsse jedoch für jeden Einzelfall gewissenhaft geprüft werden. Beispielsweise kann das Datenschutzrecht nach DSGVO in solchen Fällen eingehalten werden, wenn Cloud-Anbieter und Nutzer einen Vertrag unter Verwendung der Standarddatenschutzklauseln der EU-Kommission schließen.
Tipp: Suchen Sie Informationen und Inspiration für die Digitalisierung? Abonnieren Sie den handwerk.com-Newsletter und wir informieren Sie automatisch über spannende Entwicklungen und Praxisbeispiele aus dem digitalen Handwerk. Hier geht es zur Anmeldung!
Auch interessant: