Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv
 

Die Welt der Online-Tools - Cloud datenschutzkonform nutzen


Die Cloud ist in deutschen Unternehmen angekommen. Viele nutzen schon cloudbasierte Anwendungen oder planen es. Doch was ist aus Sicht des Datenschutzes zu berücksichtigen?


In diesem Artikel geht es um SaaS - Software-as-a-Service. Es ist die wohl am meist verbreitete Art von Cloudnutzung. Hierbei schränkt der Anbieter die Auswahl der Anwendungen ein und stellt sie bei Bedarf zur Verfügung. Heute fallen vor allem internetbasierte Tools darunter. Einige Beispiele hierfür sind

  • Email-Tools wie KlickTipp, Cleverreach, getresponse, Mailchimp oder Active Campaign
  • Filesharing-Tools wie Apple iCloud, Microsoft OneDrive, Google Drive, ownCloud, Dropbox
  • CRM-Systeme wie Salesforce, Microsoft Dynamics 360° CRM
  • Buchhaltungs-Tools wie freeFIBU, sevDesk, Debitoor, lexoffice, Papierkram oder FastBill
  • Projekt-Tools wie ASANA, Basecamp, Lighthouse, JIRA, Trello, AgileZen oder ToDoIst
  • Kommunikations-Tools wie Slack, Allo, Skype for Business, facebook at work, Bitrix24

Die Liste ist nicht vollständig und soll lediglich zeigen, in welchen Umfang heute SaaS genutzt wird.

Der Anfang, die Anbieterauswahl

Schon bei der Auswahl kann man auf Datenschutz achten. Das vereinfacht die spätere Risikobewertung. Es stehen eine Menge an Tools zur Auswahl, die mit vielen Features locken. Eine schriftliche Dokumentation, warum man einen Anbieter gewählt hat, schafft die Grundlage für eine Risikobewertung. Was sind die Kriterien bei der Anbieterauswahl?

  • Bietet das Unternehmen einen Auftragsdatenverarbeitungsvertrag an?
    Der Nutzer bleibt zwar der Verantwortliche für die Datenverarbeitung, aber ein SaaS-Anbieter ist Auftragsverarbeiter. Dieser darf nicht ohne vorherige Prüfung und ohne Vertrag beauftragt werden.
  • Ist der Anbieter zertifiziert?
    Das erleichtert die spätere Überprüfung des Auftragsverarbeiters ungemein.  Das Zertifikat sollte von einer technisch versierten Institution (TÜV, DEKRA etc.) ausgestellt sein und noch Gültigkeit haben. Auch eine ISO 27001 Zertifizierung ist ein guter Standard.
  • Bietet der Anbieter eine verschlüsselte Verarbeitung von Daten an?
    Natürlich sollte man diese Möglichkeit auch nutzen. So kann verhindert werden, dass der Anbieter Einsicht in die Daten bekommt.
  • Beauftragt der Anbieter Subunternehmen?
    Subunternehmer müssen dem Nutzer bekannt sein. Für eine zukünftige Beauftragung muss dem Nutzer ein Widerspruchsrecht eingeräumt werden.
  • Gibt es die Möglichkeit des Anbieterwechsels?
    Gerade wenn der Nutzer sich nach einer längeren Zeit, doch umentscheidet, ist es ärgerlich und auch kritisch, wenn Daten einfach gelöscht werden.
  • Gibt es die Möglichkeit der Datenprotabilität?
    Daten können in verschiedenen Formen bereitgestellt werden. Zum Beispiel als Excel-Liste. Wichtig ist, hier darauf zu achten, dass es nicht nur eine gute Importfunktion gibt, sondern auch eine Exportfunktion. Häufig kommt es beim Anbieterwechsel zu bösen Überraschungen.
  • Bleibt der Nutzer Eigentümer der Daten?
    Dieser Punkt ist enorm wichtig. Der Nutzer muss in jedem Fall Eigentümer der Daten bleiben. Eine Weiterverarbeitung seitens des Anbieters ist zu vermeiden. Oder wollen Sie, dass ihre E-Mail weitergegeben wird? Sicher nicht. Das kann schwerwiegende Konsequenzen haben.
  • Werden die Daten nach Beendigung des Auftragsverhältnisses gelöscht?
    Ein klares ja ist wichtig. Der Anbieter hat keine Berechtigung Ihre Daten weiter zu speichern oder weiter zu verarbeiten.
  • Speichert der Anbieter in der EU?
    Wenn es die Möglichkeit gibt, dass Daten nicht in der EU gespeichert werden, muss das Datenschutzniveau adäquat hergestellt werden. Der Anbieter muss entweder nach Privacy Shield (USA-Dienste) zertifiziert sein oder Angemessenheitsbeschlüsse liegen vor. Wenn kein angemessenes Datenschutzniveau festgestellt wurde, gibt es die Möglichkeit Garantien zu nutzen. Dies können genehmigte Binding-Corporation-Rules (unternehmensinterne Selbstverpflichtungen), Standarddatenschutzklauseln der Kommission bzw. Aufsichtsbehörde oder genehmigte Zertifizierungsverfahren sein. Ausnahmen bestätigen die Regel. Wenn die betroffene Person ihre Einwilligung zur Weitergabe der Daten gegeben hat, es zur Vertragserfüllung erforderlich ist oder wenn Rechtsansprüche verfolgt werden.

 


Die Nutzung der Cloud-Tools

Cloud-Tools bringen Risiken mit sich. Verlust und Manipulation von Daten, unberechtigte Zugriffe vom Anbieter, Dritter oder Geheimdiensten auf die Daten, Diebstahl von Identitäten oder Accountmissbrauch oder ganz profan der Cloud-Dienst ist vorübergehend nicht erreichbar. Um diese Gefahren zu minimieren, ist es wichtig auch im Umgang mit den Tools auf Datenschutz zu achten.

Ein ganz zentraler Punkt ist das Passwortmanagement. Verwenden Sie ein sicheres Passwort (min. 17 Stellen, keine Wörter aus Lexika und Wörterbüchern). Ändern Sie regelmäßig Ihr Passwort (min. 1-2 mal im Monat). Verschlüsseln Sie ihr Passwort. Dafür gibt es heute auch schon Software. Verwenden Sie nicht ein Passwort für alle Nutzer. Einige Tools bieten auch Sessionpasswörter an. Das erhöht die Sicherheit ebenfalls.

Ein weiterer wichtiger Punkt ist, welche Daten gelangen in die Cloud? Häufig sind wir uns heute gar nicht bewusst, dass wir personenbezogene Daten an Auftragsverarbeiter weitergeben. Nicht immer ist sofort ersichtlich, dass das Tool mit personenbezogenen Daten arbeitet. Bei den Email-Tools ist es offensichtlich, denn die Email-Adresse gehört zu den personenbezogenen Daten, genauso wie der Name. Ganz klar ist, wer viele Daten schon beim Sammeln von Email-Adressen, also im Formular, abfragt, hat auch später viel mit Datenschutz zu tun. Die Frage ist hier: Was mache ich mit den Daten? Wozu erhebe ich sie? Offensichtlich ist es auch bei Kommunikations-Tools, CRM-Tools und Buchhaltungs-Tools. Jeden dürfte bewusst sein, dass hier personenbezogene Daten in die Software eingegeben bzw. verarbeitet werden.
Schwieriger zu bemerken, ist das bei den Filesharing- und Projekt-Tools. Hier kommt es tatsächlich darauf an, was in die Cloud gegeben wird. Lade ich das Menü der Weihnachtsfeier in die Cloud? Oder lege ich meine Rechnungen dort ab? Entwerfe ich lediglich einen Projektplan oder ordne ich Teile von Projekten Mitarbeitern zu? Hier steht das, was mache ich damit im Vordergrund. Wichtig ist zu beachten, Datenschutz erstreckt sich auf personenbezogene Daten. Datensicherheit erstreckt sich in der Regel auf Unternehmensdaten im Allgemeinen.

 


Wie kann ich die Cloud datenschutzkonform nutzen?

Neben einem guten Passwortmanagement oder Verifizierungsmanagement und der Frage welche personenbezogenen Daten in der Cloud landen, geht es nun darum, Daten in der Cloud zu schützen. Hier gilt generell der Grundsatz, dass Daten pseudonymisiert werden sollen. Die Methode, die wohl am weitesten verbreitet ist, ist die Verschlüsselung von Daten.
Der Vorteil dieser Methode liegt auf der Hand. Nur wer den Schlüssel hat, kann die Daten auch entschlüsseln. Sowohl der Datentransfer lässt sich verschlüsseln (SSL), wie auch die zu speichernden Daten selbst. Beim Datentransfer gibt es vor allem bei der Email ein Problem, das meist durch die Transferverschlüsselung gelöst wird. Das Problem ist, dass zwei Personen den gleichen Schlüssel brauchen um eine verschlüsselte Nachricht wieder zu entschlüsseln. Daher setzt sich dieses Verfahren auch schwer durch.


Wenn Sie Daten an eine Cloud geben und es die Möglichkeit gibt, dies verschlüsselt zu tun, nehmen Sie die Möglichkeit wahr. Einige Anbieter, gewährleisten auch eine verschlüsselte Verarbeitung bzw. einen verschlüsselten Transfer. Wenn Sie Daten in ein Filesharing-Tool laden, verschlüsseln Sie die Daten zuerst auf ihren PC und legen sie dann die Daten in der Cloud ab. Der Vorteil ist, dass Sie den Schlüssel auf ihrem PC haben. Klar ist hier das Problem, dass man nur selber auf die Daten zugreifen kann. Das Teilen mit anderen Personen ist nicht möglich, solange sie den Schlüssel nicht hat. Aber auch hier gibt es Tools, die eine Kennwortverwaltung mit einer Synchronisation zwischen Rechnern gewährleisten.


Erstellen Sie Backups. Das klingt erstmal komisch. Denn die Daten werden ja in die Cloud gegeben um das Thema Speichern und Backup zu umgehen. Allerdings kann auch mal eine Cloud nicht erreichbar sein oder es kann auch zu Datenverlust kommen. Deswegen sollten Sie regelmäßig Backups erstellen und diese sicher verwahren. Es dient dem Worst-Case-Szenario entgegen zu wirken. Dokumentieren Sie, wie ein Backup erstellt und wieder eingespielt wird. Denn im schlimmsten Fall haben Sie keinen Kopf, das Rückspielen auszuprobieren.

 


Datenschutzdokumentation – wozu dient das?

Grundsätzlich ist der für die Verarbeitung von personenbezogenen Daten Verantwortliche dazu angehalten genau zu prüfen welche Software und Hardware eingesetzt wird. Online-Tools fallen auch darunter.
Was genau muss man machen? Ganz einfach gesagt, Sie müssen die Folgen abschätzen, was der Einsatz dieser Tools für die Betroffenen bedeutet. Also die Risiken bewerten.



Welche Dokumente sollte man erstellen?

Als aller erstes, sollte man sich fragen, warum man ein Online-Tool einsetzen will. Was soll besser werden? Wozu soll es dienen? Welcher Verarbeitungsvorgang soll verbessert werden? Was ist der Zweck?


Der daraus erstellte Anforderungskatalog, kann dann einfach mit den einzelnen Anbietern abgeglichen werden. Daraus kann dann die Dokumentation zur Anbieterauswahl erstellt werden.
Nach Entscheidung für einen Anbieter werden die Risiken abgeschätzt. Also was kann wem passieren? Und was tut man selber um das Risiko zu vermindern?


Einen Auftragsdatenverarbeitungsvertrag mit dem Anbieter abschließen und regelmäßig (1 x jährlich) überprüfen. Diese Überprüfung kann auch extern vergeben werden oder anhand von Zertifikaten durchgeführt werden.


Für die Nutzung der Tools, sollten interne Arbeitsanweisungen erstellt werden. Diese kann man dann als Datenschutzleitlinie und IT-Leitlinie ablegen. Die Arbeitsanweisungen sollten den Umgang mit den einzelnen Tools beschreiben. Backup-Erstellung und Datenexport wären Beispiele für IT-Leitlinien.

 


Für die Nutzung der Tools ist es ebenfalls sehr wichtig, einzelne Verarbeitungsvorgänge zu bewerten und die dazugehörige Dokumentation wie Risikobewertung der Verarbeitungsvorgänge, Verarbeitungsübersichten, Datenschutzerklärungen zu erstellen.


Brauchen Sie Hilfe bei diesem Thema? Dann berate ich Sie gerne. Ich erstelle auch die Dokumentation dazu und unterstütze Sie bei dem ganzen Prozess gerne. Schreiben Sie mir einfach eine Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!