Cloud-Computing wird in Unternehmen immer beliebter und Online-Speicher-Dienste wie Dropbox finden immer mehr Verwendung im betrieblichen Zusammenhang. Bei der Datenschutzkonformität ist jedoch Vorsicht geboten.
Bei der rasant steigenden Digitalisierung aller Geschäftsbereiche, greifen Unternehmen immer öfter auf Cloud-Lösungen zurück. Anwendungen wie Dropbox bieten viele praktische Vorteile, z. B. schnelle Kommunikation durch einfachen Austausch von Dateien und Informationen. Mitarbeiter können Dokumente hochladen und diese Kollegen zur Überarbeitung freigeben und jegliche Änderung ist für die Beteiligten sofort einsehbar. Durch die stetige Synchronisation mit der Cloud mit dem lokalen Computer, verfügen alle Teilnehmer über einen aktuellen Stand und können somit auch weiterarbeiten, wenn mal keine Internetverbindung besteht.
Das „Dropbox-Problem“
In Unternehmen ist es häufig Praxis, dass Mitarbeiter Geschäftsunterlagen über private Dropbox-Accounts austauschen, wodurch die Unternehmensleitung die Kontrolle über die Verbreitung von Dokumenten verliert. Unter Umständen werden so vertrauliche und sensible Daten auf mobilen Endgeräten wie Smartphones synchronisiert, auf die z. B. auch Familienmitglieder Zugriff haben. So können Daten schnell an unbefugte Dritte gelangen, was insbesondere bei personenbezogenen Kundendaten ein Bruch von Sicherheits- und Datenschutzrichtlinien ist. Somit erhöht sich das Risiko eines Datenmissbrauchs und auch des Datenverlusts.
Daten in die Cloud sicher übertragen und verschlüsselt speichern
Um einem Missbrauch oder Datenverlust entgegenzuwirken und Datenschutzkonformität zu erreichen, empfiehlt sich die Nutzung von Verschlüsselungsverfahren mittels Drittanbieter (z. B. boxcryptor.de). So werden Daten automatisch vor der Synchronisation mit der Dropbox bereits auf dem eigenen Laufwerk verschlüsselt und sind für Unbefugte nicht mehr einsehbar.
Datenschutzrechtliche Bewertung
Bevor man sich für Cloudlösungen wie Dropbox entscheidet, sollten im Vorfeld wichtige Überlegungen und Prioritäten im Umgangs mit geschäftlichen Daten geklärt. Bei der Entscheidung sollten wichtige Aspekte aus datenschutzrechtlicher Sicht berücksichtigt werden:
- Wo werden die Daten gespeichert? Die USA z. B. gelten aus deutscher Datenschutzsicht als unsicheres Drittland, da dort die Schutzanforderungen von personenbezogenen Daten weniger streng geregelt sind, als im Bundesdatenschutzgesetz. Deutsche Cloud-Dienste sind somit die rechtlich sicherere Alternative. Anbieter wie z. B. hornetdrive.de, idgard.de oder stashcat.com haben ihre Server in Deutschland stationiert und sind somit dem Bundesdatenschutzgesetz verpflichtet. Auch die Installation eines eigenen Cloud-Dienstes ist möglich, z. B. auf Basis von owncloud.de auf.
- Wie ist der Zugriff auf die Daten durch Dritte geregelt? Können z. B. Administratoren des Anbieters (theoretisch) die gespeicherten Daten einsehen? Wie einfach können Behörden durch lokale Gesetzgebung auf Daten zugreifen? Wenn der Anbieter sein Rechenzentrum in Deutschland, in der EU oder in einem sicheren Drittland betreibt, ist eine Weisung zur Auftragsdatenverarbeitung (§11 BDSG) im Vorfeld abzuschließen. Außerhalb des genannten Raumes muss geprüft werden, ob eine Privilegierung der Datenverarbeitung durch Privacy Shield oder einer EU-Standardvertragsklausel vorliegt.
- Sollen steuerlich relevante Daten in der Cloud gespeichert werden? Die Abgabenordnung schreibt vor, dass alle Bücher und für die Steuer wesentlichen Aufzeichnungen im Geltungsbereich dieses Gesetztes zu führen sind. Eine Speicherung solcher Daten ist somit z. B. in der Dropbox nicht erlaubt. Dies ginge nur auf schriftlichen Antrag des Steuerpflichtigen, dessen Bewilligung mit bestimmten Voraussetzungen verbunden ist.
- Besonders schützenswerte Daten wie z. B. Gesundheitsdaten sind nur verschlüsselt in der Cloud zu speichern. Sollte dieses nicht möglich sein, ist darauf zu achten, das im Rahmen einer Schweigepflichtsentbindung der mögliche Zugriff durch Dritte (dem Dienstleister) geregelt ist.
- In einer Richtlinie oder Betriebsvereinbarung (wenn ein Betriebsrat vorhanden ist) sollte geregelt werden, wo welche Daten gespeichert und genutzt werden dürfen. Ein Speichern von Unternehmensdaten auf privaten Geräten sollte grundsätzlich verboten werden.
- Vor dem Anfang schon ans Ende denken: Was passiert, wenn ein Anbieter insolvent wird oder es mit dem Anbieter zu einem Streit kommt. Ebenso sollte im Vorfeld klar sein, was mit den Daten nach Vertragsende passiert.
Stand: 2017
