Firmensoftware wird immer öfter als Cloud-Lösung angeboten. Der klassische Datenträger hat ausgedient. Dadurch sind Unternehmen flexibler, müssen sich aber auch mehr Gedanken um den Datenschutz machen. Ein Beispiel dafür ist der Einsatz von Microsoft Office 365. Allein der Umstand, dass mit Outlook ein E-Mail-Client genutzt wird, erfordert den Schutz personenbezogener Daten. Hinzu kommt die Sicherheit interner Informationen, die mit der Cloud-Software verarbeitet, gespeichert und auch von privaten Geräten wie Smartphones aufgerufen werden können.
Damit zählen der Datenschutz und die Datensicherheit zu den Aspekten, denen beim Einsatz der cloudbasierten Software besondere Beachtung geschenkt werden muss – bis hin zum Thema Bring Your Own Device (BYOD). Damit sind aber noch längst nicht alle Fragen geklärt, die einen datenschutzkonformen Einsatz von Office 365 erlauben. Dazu bedarf es zusätzlich eines Berechtigungskonzepts, wer auf welche Daten bzw. Dokumente zugreifen darf, und einer Betriebsvereinbarung, um die Mitbestimmungsrechte des Betriebsrates zu wahren.
Bezogen auf den Datenschutz greifen bei der Nutzung des Cloud-Dienstes gleich mehrere Abschnitte des Bundesdatenschutzgesetzes (BDSG). Paragraf 3 Absatz 7 klärt die Haftung bei Verlust und Missbrauch von Daten in der Cloud. Hinzu kommt Paragraf 11 des BDSG. Denn zwischen Microsoft und Unternehmen, die sich für Office 365 entscheiden, besteht ein Auftragsdatenverarbeitungsverhältnis. Die Weisungsbefugnis, die eine Auftragsdatenverarbeitung auszeichnet, ergibt sich daraus, dass die Software genutzt und Daten gespeichert, bearbeitet und gelöscht werden.
Um den datenschutzrechtlichen Vorgaben zur Auftragsdatenverarbeitung zu genügen, muss bei Rechenzentren innerhalb der EU ein Vertrag gemäß Paragraf 11 BDSG abgeschlossen werden. Befinden sich die Server außerhalb der EU, sind EU Standardvertragsklauseln unumgänglich. Diese Vorgaben erfüllt Microsoft. Das bestätigte die Artikel 29 Gruppe im April 2014. Eine reine Safe-Harbor-Zertifizierung ist nicht mehr zu empfehlen.
Ein weiterer Faktor, um die Auftragsdatenverarbeitung in der Cloud gesetzeskonform zu gestalten, sind die Kontrollrechte des Auftraggebers. Hier reicht es, wenn Microsoft den Datenschutz in schriftlicher Form durch Zertifikate, Prüfberichte und/oder Gutachten nachweist. Der Konzern hat dazu den internationalen Standard ISO/IEC 27018 umgesetzt. Dazu schreibt Microsoft in einer Pressemitteilung vom 16. Februar 2015: „Dieser Standard mag technisch ausgelegt sein, ist gleichzeitig für Unternehmenskunden auf der ganzen Welt mit wichtigen praktischen Vorteilen verbunden.“ Ziel sei, „ein einheitliches und international gültiges Konzept zu schaffen, um in der Cloud gelagerte personenbezogene Daten zu schützen“.
Dass Office 365 den Vorgaben des Standards entspricht, wurde – so Microsoft – vom British Standards Institute (BSI) überprüft. Das sei insbesondere für Unternehmenskunden von Bedeutung: „Sie erhalten durch die Übernahme von ISO 27018 Gewissheit, dass der Datenschutz auf unterschiedliche Weise gewährleistet wird.“ Durch die Kontrolle über die eigenen Daten, das Wissen, was mit den Daten geschehe – sie werden laut Microsoft nicht zu Werbezwecken genutzt – und den wirksamen Schutz der Daten.
Microsoft hegt die Hoffnung, dass ISO 27018 künftig auch für Regulierungsbehörden als Vorlage dient, gerade beim Datenschutz über Ländergrenzen hinweg. Sich selbst sieht der Konzern auf dem richtigen Weg: „Diese Mitteilung von heute ist ein weiterer Baustein in unserem Engagement zur Stärkung des Datenschutzes und zur Einhaltung von „Compliance“ Vorschriften für unsere Kunden in der Cloud.“. Darüber hinaus ist Microsoft auch auf technischer Seite aktiv geworden. Geplant für 2015 sind Verschlüsselungslösungen und die Möglichkeit, die Zugriffsrechte zu regeln.
Fazit: Cloud-Dienste wie Microsoft Office 365, bei denen die Administration und Verarbeitung der Daten außerhalb der EU-Grenzen erfolgen, lassen sich nach aktuell geltendem Recht nur sehr bedingt datenschutzkonform nutzen. Das gilt vor allem, wenn besondere Arten personenbezogener Daten verarbeitet werden. Künftig könnte sich die Ausgangslage durchaus anders darstellen. Mit der angestrebten Harmonisierung des Datenschutzrechts auf europäischer Ebene (durch die Datenschutzgrundverordnung), die den Wegfall der deutschen Regelungen bedingt, gelten vermutlich andere Bedingungen für die Nutzung von Cloud-Diensten.
Sollten Sie Unterstützung bei der Auswahl eines Cloud-Dienstleisters benötigen, dann helfen unsere externen Datenschutzbeauftragten Ihnen gerne weiter. Nehmen Sie Kontakt auf und informieren Sie sich jetzt über unser Leistungsangebot.