Es hat sich mittlerweile herumgesprochen, dass die Auslagerung der hauseigenen IT-Infrastruktur mitsamt des dazugehörigen Datenbestandes Kostenvorteile mit sich bringt. Viele Unternehmen nutzen Cloud-Systeme, um keine eigene Hardware bereithalten zu müssen und um sich umfangreiche Investitionen in die IT-Sicherheit zu ersparen. Produkte wie Dropbox, Windows Azure, Google Drive oder Amazon EC2 kommen mittlerweile in vielen Unternehmen zum Einsatz.
Allerdings muss bei einer Datenauslagerung das deutsche Datenschutzrecht eingehalten werden. Verstöße können nicht nur zu empfindlichen Bußgeldern führen, sondern auch zu einem medialen Echo, das sich gewaschen hat. Auch klein- und mittelständische Unternehmen
erleiden schwerwiegende Rufschädigungen, wenn der breiten Öffentlichkeit
Datenschutzpannen bekannt werden.
Cloud im Unternehmen
Wer seine Daten und IT-Infrastruktur in die Cloud auslagert, bedient sich nach dem Bundesdatenschutzgesetz einer sogenannten Auftragsdatenverarbeitung (§ 11 BDSG). Hierbei bleibt jedoch der Unternehmer selbst die verantwortliche Stelle, d. h. alle Rechte und
Pflichten zum Datenschutz treffen nicht den Cloud-Anbieter, sondern den Unternehmer.
Er muss den Cloud-Vertrag schriftlich fassen und dort u. a. unbedingt folgende Punkte regeln: Umfang, Art und Zweck der Datenverarbeitung und -nutzung, Möglichkeiten der Löschung und Berichtigung sowie Kontrollrechte des Auftraggebers. In vielen Fällen ist es sinnvoll, die möglichen Gestaltungsvarianten mit der zuständigen Aufsichtsbehörde
zu erörtern und so ein abgestimmtes Datenschutzkonzept zu entwickeln,
um Aufsichtsmaßnahmen vorzugreifen.
Unternehmensdaten ins Ausland?
Viele Cloud-Anbieter mit umfangreichen Kapazitäten und fairer Preisgestaltung haben ihren Sitz im Ausland. Unternehmer fragen
sich hier zu Recht, ob das Verarbeiten und Nutzen der Daten durch den Dienstleister im Ausland überhaupt rechtskonform möglich ist. Wird z. B. die Unternehmenskommunikation auf einen Cloud-E-Maildienst der großen amerikanischen Anbieter wie Google, Microsoft oder Amazon übertragen, bedeutet dies – aus europäischer Sicht – eine Datenübermittlung in ein Land ohne angemessenes Datenschutzniveau.
Hier müssen und können individuelle Lösungen gefunden und umgesetzt werden.
Fragen zum Cloud Computing im Unternehmen?
Wenn Sie Fragen zu diesem Thema haben, können Sie uns gerne ansprechen. Wir geben Ihnen aufgrund unserer Erfahrungen mit Cloud Computing gerne eine Empfehlung ab, ob eine Cloud-Auslagerung Sinn macht, und falls ja, wie das deutsche Datenschutzrecht gewahrt werden kann.