Obwohl Linux als freie Software kostenlos verfügbar ist, setzen viele beim Unternehmenseinsatz auf Enterprise-Distributionen mit Support. Wo die Stärken der ... (mehr)

Den richtigen Dienstleister auswählen

Das deutsche Datenschutzrecht verlangt:

1. eine Vorabprüfung des Dienstleisters,

2. eine schriftliche Datenschutzvereinbarung mit dem Dienstleister (sogenannter Vertrag zur Auftragsdatenverarbeitung),

3. zu kontrollieren, ob die Vereinbarung eingehalten wird.

Diese Datenschutzvereinbarung ergänzt den Werk- oder Dienstvertrag für die Dienstleistung. Das Gesetz regelt genau den Mindestinhalt einer solchen Vereinbarung. Einigermaßen kompliziert wird es, wenn der IT-Dienstleister im Ausland beziehungsweise außerhalb der Europäischen Union seinen Sitz hat und dort die Daten verarbeitet (siehe Kasten "Server im Ausland)". Spätestens dann sollte man einen beratenden Anwalt hinzuziehen, und gegebenenfalls muss man sich nach einem alternativen Anbieter umsehen.

Server im Ausland – welches Recht gilt?

Viele große Cloud-Computing-Anbieter erfassen Daten in Deutschland, speichern sie jedoch auf Servern irgendwo außerhalb der EU, etwa in den USA. Nicht jedes Land bietet ein so hohes Datenschutzniveau wie Deutschland. Das strenge deutsche Datenschutzrecht gilt in vielen Fällen auch dann, wenn im Inland ordnungsgemäß erhobenen Daten in ein anderes Land übermittelt werden. Der Auftraggeber sollte sich im Vorfeld darüber informieren, wo die Daten verarbeitet werden. Zum Schutz gilt: Diese Daten dürfen nur innerhalb Deutschlands und der EU, sowie Norwegen, Island und Liechtenstein ohne Weiteres von den Unternehmen weiter übermittelt werden.

Niveau ausreichend

Darüber hinaus hat die Europäische Kommission einigen Ländern bescheinigt, dass ihr Datenschutzniveau hoch genug sei. Dazu gehören etwa: Kanada, Israel, die Schweiz und Argentinien. Für die USA hat die EU-Kommission die sogenannten "Safe Harbor Principles" anerkannt. Unternehmen, die diese Standards akzeptieren, gewährleisten von sich aus einen höheren Datenschutz, als es das Gesetz verlangt. Dies sind etwa Amazon, Google und Microsoft. Bevor Sie einen Anbieter auswählen, erkundigen Sie sich, ob mindestens die "Safe Harbor Principles" anerkannt werden. Zudem gibt es bei Datenübertragungen ins Ausland die Möglichkeit, einen ähnlich hohen Datenschutz wie in der EU zu vereinbaren, etwa mit EU-Standardvertragsklauseln [4].

Vorsicht gilt aber, sobald man diese Klauseln modifiziert. Bei Anbietern aus den USA muss man zudem wissen: Diese unterliegen dem "Patriot Act", der es US Behörden erlaubt, zur Terrorabwehr, auf Daten der Unternehmen zuzugreifen. Dies gilt auch für europäische Niederlassungen von US-Unternehmen. Dies kann Bußgelder für den Auftraggeber wegen eines Verstoßes gegen deutsches Datenschutzrecht nach sich ziehen, wenn man diesen Zugriff nicht bedenkt. Entweder wählt man einen anderen Anbieter oder versucht per Vertrag den Speicherstandort festzuklopfen und/oder versucht mit anwaltlicher Hilfe zu prüfen, ob man mit einer klaren vertraglichen Regelung, den Zugriff der Behörden auf die Daten ausschließen kann, etwa indem man die Weitergabe der Daten bei Vertragsstrafe verbietet, insbesondere an US-Behörden.

Standortfrage

Die Orientierungshilfe der Datenschutzbehörden zum Cloud Computing: "Durch vertragliche Vereinbarungen zwischen dem Cloud-Anwender und dem Cloud-Anbieter muss der Ort der technischen Verarbeitung personenbezogener Daten vereinbart werden. Cloud-Anbieter sowie Unter-Anbieter können so verpflichtet werden, nur technische Infrastrukturen zu verwenden, die sich physisch auf dem Gebiet des EWR befinden. Es ist daher nicht hinnehmbar, dass der Cloud-Anbieter eine Auskunft zu den Standorten der Datenverarbeitung verweigert, keinesfalls dürfte bei einer Verweigerung pauschal von einer Cloud im innereuropäischen Raum ausgegangen werden."

Bei einem IT-Dienstleister, der außerhalb Deutschlands, aber in der Europäischen Union arbeitet, ist nach der Europäischen Richtlinie 95/46/EG ein Vertrag zur Auftragsdatenverarbeitung erforderlich. Die "Artikel 29 Gruppe", eine Datenschutzgruppe konkretisierte in einem Working Paper Nr. 196 vom Juli 2012 (S. 16 ff.) die Inhalte [5].

Darin heißt es: "Sollte der für die Verarbeitung Verantwortliche Niederlassungen in mehreren Mitgliedstaaten haben und die Daten als Teil seiner Tätigkeit in diesen Ländern verarbeiten, ist jeweils das Recht jedes Mitgliedstaates anzuwenden, in dem die Verarbeitung stattfindet."

Auch Kleine verantwortlich

Oft haben KMUs das Problem, dass Cloud Computing Anbieter die Vertragsklauseln starr vorgeben. Darauf haben kleinere Kunden nicht immer einen Einfluss. Das Working Paper dazu: "Es sollte angemerkt werden, dass Anbieter von Cloud-Diensten in vielen Fällen Standarddienste und von den für die Verarbeitung Verantwortlichen zu unterzeichnende Standardverträge anbieten, die ein Standardformat für die Verarbeitung personenbezogener Daten festlegen. Das Ungleichgewicht in der Vertragsposition zwischen einem kleinen für die Verarbeitung Verantwortlichen und großen Dienstleistern darf nicht als Rechtfertigung dafür gelten, dass für die Verarbeitung Verantwortliche Vertragsklauseln und -bedingungen akzeptieren, die gegen das Datenschutzrecht verstoßen." Es befreit den Nutzer von Cloud-Diensten nicht von den Anforderungen des deutschen Datenschutzrechtes, wenn sich der mächtigere Cloud-Anbieter nicht um die Vorgaben nach europäischem Recht kümmert. Der Kunde bleibt für den Datenschutz verantwortlich und sollte mit Kontrollen der Aufsichtsbehörden rechnen.

Wann liegt Auftragsdatenverarbeitung vor?

Die sogenannte Auftragsdatenverarbeitung ist in § 11 des Bundesdatenschutzgesetzes (BDSG) geregelt. Dort heißt es in Absatz 1: "Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich… ." Die Verantwortung für den Datenschutz trägt weiterhin der Auftraggeber, wenn ein anderes Unternehmen die Daten von Kunden im Auftrag verarbeitet. In der Praxis haben Unternehmen oft Schwierigkeiten einzustufen, ob das konkrete Outsourcing-Projekt eine Auftragsdatenverarbeitung ist oder nicht. Ein Kriterium ist: Der Dienstleister ist weisungsgebunden und muss die Anweisungen des Auftraggebers ausführen.

Anders ist dies bei der sogenannten Funktionsübertragung, bei der der externe Dienstleister nicht den Weisungen des Auftraggebers unterliegt. Ein weiteres Kriterium für Auftragsdatenverarbeitung ist, dass der Auftragnehmer die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten darf. Sobald der Dienstleister die Daten für eigene Zwecke nutzt, handelt es sich nicht mehr um Auftragsdatenverarbeitung. Diese Form der Datenübermittlung ist dann nach den §§ 28 ff BDSG zu prüfen. Die Grenze ist oft nicht eindeutig und fließend.

Beispiele für Auftragsdatenverarbeitung können je nach konkretem Inhalt des individuellen Vertrages und Art der Daten sein: Entsorgungsunternehmen für Akten oder Daten, Hostingprovider, ASP-Provider, Archivierungsdienste, Backup-Dienstleister, Schreibbüros, Rechenzentren, Adressdienstleister, Newsletterversand durch Werbeagentur.

Nicht jeder Outsourcing-Prozess ist Auftragsdatenverarbeitung. Man sollte sich bei der Einstufung an der Frage orientieren: Besteht der Kern der Dienstleistung darin, personenbezogene Daten zu verarbeiten oder nicht. Sieht eine Supportfirma während des Supports in einer Datenmaske personenbezogene Daten, muss es sich je nach Auftragsumfang nicht unbedingt um Auftragsdatenverarbeitung handeln. Dennoch sollte man diese Unternehmen auf die Geheimhaltung verpflichten oder Daten verschlüsseln. Bei der Datenübertragung an einen Steuerberater handelt es sich nicht um Auftragsdatenverarbeitung.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022