Datenschutz und Cloud Computing: Das müssen Sie beachten

Auch beim Cloud Computing ist es möglich, die Datenschutz-Vorgaben der DSGVO einzuhalten. Doch dabei müssen einige Punkte beachtet werden.

Dieser Artikel ist zuerst in der Print-Ausgabe des HORIZONT, Nr. 37, erschienen.

Abo-Leser sind früher informiert. Noch kein Abo? Hier klicken!

Mit dem Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 werden Unternehmen verpflichtet, sorgsamer mit den Daten ihrer Kunden umzugehen - was aber bedeutet es, wenn die Daten nicht auf den eigenen Servern, sondern bei einem externen Dienstleister - also in der Cloud - liegen? „Ein gutes Cloud-Computing ist meist sicherer als eine Lösung, die man mit einem normalen Aufwand on Premises machen kann“, sagt Thiemo Sammern, Managing Partner bei Methis Software: Immerhin ist es für die Anbieter ein Marketing-GAU, wenn Fehler passieren - daher investieren sie viel in Sicherheit. Dass Cloud-Computing grundsätzlich DSGVO-konform eingesetzt werden kann, sagt auch Lukas Feiler, Rechtsanwalt und Leiter des IT-Teams bei Baker McKenzie - zugleich betont er aber, dass bei der Vertragsgestaltung einige Dinge beachtet werden müssen, damit diese datenschutzrechtlich sauber sind.

Ein Knackpunkt ist, dass die günstige Kostenstruktur von Cloud-Computing dadurch zustande kommt, dass diverse Sub-Dienstleister genutzt werden - dies darf jedoch ohne explizite Einwilligung des Auftraggebers nicht mehr geschehen. „Man muss also ein vollständiges Bild davon haben, wer im Hintergrund agiert und dies auch im Vertrag abbilden“, sagt Feiler. Ein anderer wichtiger Punkt betrifft die Sicherheit: Von außen betrachtet ist die Sicherheit einer Cloud nur schwer zu bewerten, auf die Inhalte der Marketing-Broschüren sollte man sich laut Feiler nicht verlassen. Ein Fundament für Vertrauen ist hingegen eine Zertifizierung, wie etwa nach ISO 27001.

Zudem muss der Cloud-Anbieter dabei unterstützen, dass sein Kunde seine Verpflichtung gegenüber den Endkunden einhalten kann, also die Auskunft, Portabilität und Löschung der Daten - laut Sammern dürfen die Daten nur so lange gespeichert werden, wie der Auftrag dazu besteht; laut Feiler muss eine Daten-Export-Funktion gegeben sein. „Im Idealfall bietet der Cloud-Anbieter gleich eine Self-Service-Lösung für den Endkunden, das ergibt auch betriebswirtschaftlich für den Auftraggeber Sinn“, sagt Feiler.

Empfehlenswert ist auch eine vertragliche Einigung auf das Datenformat bei Übergabe der Daten nach Vertragsbeendigung: Feiler verweist auf ein OGH-Urteil, laut dem die Daten nach Beendigung des Outsourcings auch in ausgedruckter Form überreicht werden können. „Es wäre zu hoffen, dass der OGH hier die DSGVO als Anlass für eine Richtungsänderung nimmt“, sagt Feiler. Und schließlich muss auch die Form des Auditings vertraglich geregelt werden. Zwar ist es unrealistisch, dass der Auftraggeber selbst die Server des Anbieters vor Ort auf ihre Korrektheit überprüft - es sollte aber festgelegt werden, dass die Prüfung durch einen Dritten durchgeführt werden kann.

[]

Weiterlesen

Kommentare

0 Postings

Keine Kommentare gefunden!

Diskutieren Sie mit

Neuen Kommentar schreiben

* Pflichtfelder
Netiquette auf HORIZONT online