Zehn Fragen an den Bundesverband der Datenschutzbeauftragten

Selbstverpflichtung ist nur der erste Schritt zu mehr Sicherheit in der Cloud

| Autor / Redakteur: Götz Piwinger, Bundesverband Deutscher Rechenzentren / Elke Witmer-Goßner

Die Auslagerung von Datendiensten kann den Unternehmer datenschutzrechtlich entlasten. Was kann ihrer Meinung nach zur Aufklärung der Unternehmen in Sachen Datenschutz zusätzlich unternommen werden?

Jürgen Hartz, stellvertretender Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten (BvD) e.V.
Jürgen Hartz, stellvertretender Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten (BvD) e.V. (Bild: BvD)

Hartz: Die Auslagerung von Diensten oder Dienstleistungen entlässt den Auftraggeber nicht einfach aus seiner Verantwortung gegenüber Betroffenen und hinsichtlich der Vorgaben zum Datenschutz. Entweder handelt es sich bei der Auslagerung um eine Übermittlung in Sinne des BDSG – dann wird der Empfänger zur neuen verantwortlichen Stelle und für die Übermittlung bedarf es einer Rechtsgrundlage oder Einwilligung. Oder es handelt es sich bei der Auslagerung um eine Verarbeitung personenbezogener Daten im Auftrag – dann sind die gesetzlichen Vorgaben des BDSG nach §11 vollständig umzusetzen. Dabei bleibt der Auftraggeber die verantwortliche Stelle und ist somit für alle Vorgänge, Abläufe und Fehler – auch beim Dienstleister – voll verantwortlich. Der Auftragnehmer wird quasi als Teil der verantwortlichen Stelle angesehen und es muss zwischen den Parteien ein entsprechender Vertrag abgeschlossen werden. Darin sind auch die technisch organisatorischen Maßnahmen gemäß §9 Anlage BDSG festzulegen und zu gewährleisten.

Das Siegel „German Cloud, geprüfter Datenschutz“ sichert der Industrie zu, dass deren Daten bei einem Mitglied des Bundesverbandes Deutscher Rechenzentren, zumindest was die Weitergabe von personenbezogenen Daten als auch anderer Unternehmensdaten an Dritte angeht, gesichert sind. Wie kann man Unternehmen unterstützen, die Anwendung des Datenschutzes als Wettbewerbschance zu nutzen?

Hartz: Ehrlich gesagt, garantiert eine Selbstzertifizierung noch keinen Datenschutz und Datensicherheit. Damit nicht nur Versprechungen gemacht werden, sondern diese auch eingehalten werden, müssen dazu auch Kontrollen oder Prüfungen stattfinden. Der Berufsverband der Datenschutzbeauftragten Deutschlands ist in einer ähnlichen Situation. Die Mitglieder können eine Selbstverpflichtung auf das in den vergangenen Jahren vom BvD erarbeitete „berufliche Leitbild“ eingehen und müssen ihre fachliche Qualifikation offenlegen. Diese wird dann in einer zweiten Stufe einer Überprüfung durch den Verband unterzogen. Die Liste der „selbstverpflichteten“ Datenschutzbeauftragten und die Kriterien können bei der BvD Geschäftsstelle abgerufen werden. Auch durch stichprobenartige Kontrollen wird man nicht alle Fehlerquellen ermitteln, aber einen weiteren Schritt in eine bessere und nachvollziehbare Qualitätssicherung gehen können. Allerdings stellt ein solcher Prozess, wenn er seriös umgesetzt wird, durchaus eine Verbesserung und einen Mehrwert dar. Es kommt also auf die Qualität des Siegels an. Sicher ist das ein guter Anfang für Anbieter und Unternehmen die Services nachfragen, auf denen man aufbauen kann.

Die Trends, Speicher, Backups, CRM und ERP in der Cloud zu verarbeiten, nehmen zu, weil Unternehmen die Kosten für die Maintenance und Administration eigener Server sparen und gleichzeitig die Sicherheit erhöhen wollen. Wie verlockend sind hier Angebote internationaler Anbieter, zum Beispiel von Suchmaschinen oder Speicherboxen und wie kann ein Unternehmen erkennen, welcher Anbieter oder Dienst der Richtige ist?

Spaeing: Vor der Auswahl eines solchen Anbieters sollte ein Unternehmen sich durch einen erfahrenen Datenschutzexperten beraten lassen. Hier spielt ja nicht nur das BDSG eine Rolle, es sind auch die steuer- und handelsrechtlichen Vorgaben zu beachten. Im Zweifel ist dabei also auch das Finanzamt bzw. der Steuerberater oder Wirtschaftsprüfer mit im Boot. Grundsätzlich wird aus diesen Gründen auf die Nutzung seriöser und erreichbarer Anbieter verwiesen, die mindestens innerhalb der EU ansässig sind. Schließlich hat es bereits Fälle gegeben, bei denen der Dienstleister in Asien von einem Tag auf den anderen nicht mehr erreichbar war und die Daten der Unternehmen waren ebenfalls futsch. Das hat dann unter Umständen neben den Konsequenzen für den Fortbestand des Unternehmens auch noch steuer- und handelsrechtliche Folgen.

Welches sind die meist gestellten Fragen aus der Industrie an Sie?

Spaeing: Wir werden regelmäßig dazu befragt, wie man einen seriösen und qualifizierten Datenschutzexperten findet (natürlich über den BvD) und mindestens genauso oft, wie denn ein Datenschutzbeauftragter auszubilden sei (siehe BvD-Berufsbild und Anforderungen der Aufsichtsbehörden dazu). Leider bietet der Ausbildungsmarkt zahlreiche unseriöse Kurzausbildungen, die den Ansprüchen nicht genügen. Der BvD hat eine Ausbildungsordnung entwickelt und stimmt diese mit Behörden und Verbänden ab. Damit wird es erstmals einen unabhängigen Standard zur Ausbildung der Datenschutzbeauftragten geben. Weitere Fragen betreffen alle möglichen Bereiche des Datenschutzes im Unternehmen. Diese beantwortet der Verband aber nicht, er verweist dann auf die Übersicht der selbstverpflichteten Datenschutzbeauftragten.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 36850090 / Recht und Datenschutz)