Zehn Fragen an den Bundesverband der Datenschutzbeauftragten Selbstverpflichtung ist nur der erste Schritt zu mehr Sicherheit in der Cloud

Autor / Redakteur: Götz Piwinger, Bundesverband Deutscher Rechenzentren / Elke Witmer-Goßner

In seiner Reihe „Zehn Fragen an…“ befragt der Bundesverband Deutscher Rechenzentren regelmäßig Persönlichkeiten mit tiefgehendem Branchenwissen in Sachen Cloud. Das aktuelle Interview führte Götz Piwinger, Geschäftsführer des Verbands mit Thomas Spaeing und Jürgen Hartz, Vorstände des Bundesverbands der Datenschutzbeauftragten Deutschlands (BvD).

Firmen zum Thema

Der BvD bewertet das unabhängige Gütesiegel für Cloudanbieter „German Cloud“ als gute Lösung, solange es kein Audit-Gesetz im Sinne des Bundesdatenschutzgesetzes §9a gibt.
Der BvD bewertet das unabhängige Gütesiegel für Cloudanbieter „German Cloud“ als gute Lösung, solange es kein Audit-Gesetz im Sinne des Bundesdatenschutzgesetzes §9a gibt.
(Bild: German Cloud)

Götz Piwinger: Der deutsche Mittelstand geht vorsichtig dazu über, Firmendaten in der Cloud zu verarbeiten. Haben Sie den Eindruck, dass diese Unternehmen wissen, wonach sie fragen müssen, wenn es um den Schutz und die Sicherheit ihrer Daten geht?

Jürgen Hartz: Unserer Erfahrung nach sind gerade kleinere mittelständische Unternehmen noch nicht so weit, die richtigen Fragen zu Datenschutz und Datensicherheit zu stellen. Meist geht es um den Preis und mögliche Einsparungen beim Betrieb der IT-Systeme. Es fehlt an der fachlichen Beratung und Kompetenz. Hier ist auch der Anbieter gefordert, durch umfassende Beratung als Teil seiner Dienstleistung zu unterstützen und von seiner Seite Datenschutz und -sicherheit zu gewährleisten.

Das Deutsche Bundesdatenschutzgesetz regelt unter anderem die Weitergabe von Daten und die Benennung des Speicherortes. Welche Rolle spielt die technische Verschlüsselung der Daten?

Thomas Spaeing: Verschlüsselung ist eine der angemessenen und gebotenen technischen Maßnahmen zum Datenschutz. Sie sollte immer dann eine Rolle spielen, wenn personenbezogene Daten verarbeitet werden. Dabei gilt, je sensibler die Daten, desto sicherer muss die Verschlüsselung sein. Gelangen, wie erst kürzlich bei Krankenhäusern geschehen, sensible Gesundheitsdaten in falsche Hände, trifft den Verantwortlichen die Pflicht zur Information nach §42a BDSG [Bundesdatenschutzgesetz; Anm. d. Red.]. Er muss die Aufsichtsbehörden und die Betroffenen über die Datenpanne informieren. Damit soll vor allem ein möglicher Schaden für Betroffene eingegrenzt werden. Wie sich derartige Vorfälle auf die Reputation eines verantwortlichen Unternehmens auswirken, kann sich jeder leicht vorstellen.

Selbst wenn die Daten verschlüsselt sind, aber im Ausland verarbeitet werden, so dürfen verschlüsselte Daten in anderen europäischen und nicht-europäischen Ländern weitergegeben werden. Die Entschlüsselungskünstler wachsen mit den Aufgaben. Ist es sicherer, die Daten innerhalb Deutschlands zu belassen?

Thomas Spaeing, Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten (BvD) e.V.
Thomas Spaeing, Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten (BvD) e.V.
(Bild: BvD)

Spaeing: Achtung! Die Verschlüsselung der Daten ist keine Allheilmittel. Es gibt Länder, in denen die Verschlüsselung von Daten sogar verboten ist! Dort muss ein Masterschlüssel bei den zuständigen Behörden hinterlegt werden. Damit sind die Daten aber nicht mehr sicher vor unbefugtem Zugriff. Wenn die Daten in Deutschland oder zumindest in der EU gehostet werden, ist die Umsetzung und Prüfung der Vorgaben des §11 BDSG – das sind die Vorschriften zur Datenverarbeitung im Auftrag von personenbezogenen Daten – zumindest leichter möglich und umzusetzen. Innerhalb der EU gilt das angenommene sichere Datenschutzniveau und es gibt gemeinsame rechtliche Grundlagen zum Datenschutz wie die EU Richtlinie 95/46/EG von 1995. Sie beschreibt Mindeststandards für den Datenschutz, die in allen Mitgliedstaaten der Europäischen Union durch nationale Gesetze sichergestellt werden müssen.

Die Auslagerung von Datendiensten kann den Unternehmer datenschutzrechtlich entlasten. Was kann ihrer Meinung nach zur Aufklärung der Unternehmen in Sachen Datenschutz zusätzlich unternommen werden?

Jürgen Hartz, stellvertretender Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten (BvD) e.V.
Jürgen Hartz, stellvertretender Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten (BvD) e.V.
(Bild: BvD)

Hartz: Die Auslagerung von Diensten oder Dienstleistungen entlässt den Auftraggeber nicht einfach aus seiner Verantwortung gegenüber Betroffenen und hinsichtlich der Vorgaben zum Datenschutz. Entweder handelt es sich bei der Auslagerung um eine Übermittlung in Sinne des BDSG – dann wird der Empfänger zur neuen verantwortlichen Stelle und für die Übermittlung bedarf es einer Rechtsgrundlage oder Einwilligung. Oder es handelt es sich bei der Auslagerung um eine Verarbeitung personenbezogener Daten im Auftrag – dann sind die gesetzlichen Vorgaben des BDSG nach §11 vollständig umzusetzen. Dabei bleibt der Auftraggeber die verantwortliche Stelle und ist somit für alle Vorgänge, Abläufe und Fehler – auch beim Dienstleister – voll verantwortlich. Der Auftragnehmer wird quasi als Teil der verantwortlichen Stelle angesehen und es muss zwischen den Parteien ein entsprechender Vertrag abgeschlossen werden. Darin sind auch die technisch organisatorischen Maßnahmen gemäß §9 Anlage BDSG festzulegen und zu gewährleisten.

Das Siegel „German Cloud, geprüfter Datenschutz“ sichert der Industrie zu, dass deren Daten bei einem Mitglied des Bundesverbandes Deutscher Rechenzentren, zumindest was die Weitergabe von personenbezogenen Daten als auch anderer Unternehmensdaten an Dritte angeht, gesichert sind. Wie kann man Unternehmen unterstützen, die Anwendung des Datenschutzes als Wettbewerbschance zu nutzen?

Hartz: Ehrlich gesagt, garantiert eine Selbstzertifizierung noch keinen Datenschutz und Datensicherheit. Damit nicht nur Versprechungen gemacht werden, sondern diese auch eingehalten werden, müssen dazu auch Kontrollen oder Prüfungen stattfinden. Der Berufsverband der Datenschutzbeauftragten Deutschlands ist in einer ähnlichen Situation. Die Mitglieder können eine Selbstverpflichtung auf das in den vergangenen Jahren vom BvD erarbeitete „berufliche Leitbild“ eingehen und müssen ihre fachliche Qualifikation offenlegen. Diese wird dann in einer zweiten Stufe einer Überprüfung durch den Verband unterzogen. Die Liste der „selbstverpflichteten“ Datenschutzbeauftragten und die Kriterien können bei der BvD Geschäftsstelle abgerufen werden. Auch durch stichprobenartige Kontrollen wird man nicht alle Fehlerquellen ermitteln, aber einen weiteren Schritt in eine bessere und nachvollziehbare Qualitätssicherung gehen können. Allerdings stellt ein solcher Prozess, wenn er seriös umgesetzt wird, durchaus eine Verbesserung und einen Mehrwert dar. Es kommt also auf die Qualität des Siegels an. Sicher ist das ein guter Anfang für Anbieter und Unternehmen die Services nachfragen, auf denen man aufbauen kann.

Die Trends, Speicher, Backups, CRM und ERP in der Cloud zu verarbeiten, nehmen zu, weil Unternehmen die Kosten für die Maintenance und Administration eigener Server sparen und gleichzeitig die Sicherheit erhöhen wollen. Wie verlockend sind hier Angebote internationaler Anbieter, zum Beispiel von Suchmaschinen oder Speicherboxen und wie kann ein Unternehmen erkennen, welcher Anbieter oder Dienst der Richtige ist?

Spaeing: Vor der Auswahl eines solchen Anbieters sollte ein Unternehmen sich durch einen erfahrenen Datenschutzexperten beraten lassen. Hier spielt ja nicht nur das BDSG eine Rolle, es sind auch die steuer- und handelsrechtlichen Vorgaben zu beachten. Im Zweifel ist dabei also auch das Finanzamt bzw. der Steuerberater oder Wirtschaftsprüfer mit im Boot. Grundsätzlich wird aus diesen Gründen auf die Nutzung seriöser und erreichbarer Anbieter verwiesen, die mindestens innerhalb der EU ansässig sind. Schließlich hat es bereits Fälle gegeben, bei denen der Dienstleister in Asien von einem Tag auf den anderen nicht mehr erreichbar war und die Daten der Unternehmen waren ebenfalls futsch. Das hat dann unter Umständen neben den Konsequenzen für den Fortbestand des Unternehmens auch noch steuer- und handelsrechtliche Folgen.

Welches sind die meist gestellten Fragen aus der Industrie an Sie?

Spaeing: Wir werden regelmäßig dazu befragt, wie man einen seriösen und qualifizierten Datenschutzexperten findet (natürlich über den BvD) und mindestens genauso oft, wie denn ein Datenschutzbeauftragter auszubilden sei (siehe BvD-Berufsbild und Anforderungen der Aufsichtsbehörden dazu). Leider bietet der Ausbildungsmarkt zahlreiche unseriöse Kurzausbildungen, die den Ansprüchen nicht genügen. Der BvD hat eine Ausbildungsordnung entwickelt und stimmt diese mit Behörden und Verbänden ab. Damit wird es erstmals einen unabhängigen Standard zur Ausbildung der Datenschutzbeauftragten geben. Weitere Fragen betreffen alle möglichen Bereiche des Datenschutzes im Unternehmen. Diese beantwortet der Verband aber nicht, er verweist dann auf die Übersicht der selbstverpflichteten Datenschutzbeauftragten.

Welche nächsten technischen Bewegungen sehen Sie in der Entwicklung der Cloud-Märkte?

Spaeing: Unserer Ansicht nach werden Cloud-Services noch stärker innerhalb der EU angeboten, da die Risiken in Drittländern schwer zu kalkulieren sind. Dabei wird zunehmend auch das Thema Verschlüsselung eine Rolle spielen. Weiterhin werden Bereiche, die bislang noch gar nicht vom Outsourcing betroffen waren, ein Thema für die Cloud werden. Je teurer die Hardware, die Softwarelizenzen und das erforderliche Personal werden, desto mehr wird in Cloud-ähnlichen Diensten gebündelt werden, wobei der Hype natürlich nachlassen wird, da die Cloud in dieser Form eigentlich nur eine konsequente Weiterentwicklung des seit langem bekannten Outsourcings ist.

Eine besondere Datenschutz-Herausforderung liegt in der vernetzten Nutzung von Smartphones und Firmenanwendungen (Bring Your Own Device). Während man sich bemüht, Firmendaten zu schützen, erlaubt man fast jeder Smartphone-App, die Handydaten auszulesen. Haben Sie hierzu eine Empfehlung?

Hartz: Die Unternehmensleitungen sollten sich vor der Einführung gut überlegen, was Sie mit BYOD erreichen wollen. In diesem Zusammenhang sind verschiedene Fragen zum Datenschutz, Arbeitsrecht und Haftung zu klären. Weiterhin sollte eine Social Media Guideline erstellt werden, die den Mitarbeitern die Leitplanken für ihr Handeln zwischen beruflicher und privater Nutzung erleichtert. Auch wie und mit welchen Apps Smartphones verwendet werden dürfen, lässt sich regeln. Dabei ist die Beratung durch einen erfahrenen Datenschutzexperten im Vorfeld empfehlenswert. Angesichts der hohen Zahl an Problemen, wie Angriffe, Daten- und Geräteverluste, sind diese Kosten im Vorfeld fast vernachlässigbar.

Der Bundesverband Deutscher Rechenzentren möchte Bedarfsträger (Unternehmen) mit Hostinganbietern, die sich nach den BSDG richten, zusammenführen. Qualifizierte Anbieter werden mit dem Siegel „German Cloud, geprüfter Datenschutz“ gekennzeichnet. Glauben Sie, dass diese Initiative zur Aufklärung im Mittelstand beitragen kann?

Hartz: Sie kann ein erster Schritt von vielen sein. Leider lässt das seit langem im BDSG §9a verankerte Datenschutz-Audit-Gesetz noch immer auf sich warten. Also kann jeder Anbieter sein eigenes Prüfsiegel entwerfen und vermarkten. Unternehmen werden sich schwer tun, die Spreu vom Weizen zu trennen. Viele „Gütesiegel“ lassen nicht erkennen wie und nach welchen Kriterien sie zustande gekommen sind oder ob sich die Anbieter einer unabhängigen Überprüfung unterwerfen.

Spaeing: Wichtig ist, dass Gütesiegel keine falschen Vorstellungen bei den Unternehmen wecken oder Erwartungen, die, wenn es darauf ankommt, gar nicht erfüllt werden. Leider gibt es bereits zahlreiche Mogelpackungen. Um diesen Eindruck zu vermeiden, kann eine Zusammenarbeit mit einer Aufsichtsbehörde oder einem seriösen unabhängigem Datenschutzverband sicher hilfreich sein, da diese das Konzept prüfen und bewerten können. Jede qualifizierte Dokumentation und Prüfung, die Unternehmen hilft, den richtigen Dienstleister auszuwählen, und Anbieter sensibilisiert, ihre eigenen Prozesse und Maßnahmen zu prüfen und zu verbessern, sind zu begrüßen. Sie verbessern so den Schutz der Betroffen und die Unternehmenssicherheit – und darauf kommt es an.

(ID:36850090)