Datensicherheit und Datenschutz in der Cloud„Da wird schon nichts passieren“ – Diese Aussage hören wir häufig in mittelständischen Unternehmen, wenn es um Fragen des Datenschutzes geht. Es passiert allerdings einiges. Im August hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) ein Bußgeld in fünfstelliger Höhe verhängt. Grund dafür war die unzureichende Auftragserteilung im Rahmen der Auftragsdatenverarbeitung.

Dieses Vorgehen kann sehr viele Unternehmen treffen, denn Auftragsdatenverarbeitung im Sinne des BayLDA ist sehr weit verbreitet: Lohn- und Gehaltsabrechnungen, Finanzbuchhaltung, Verarbeitung personenbezogener Daten in der Cloud – somit auch Cloud-Telefonie, E-Mails, Backup und Archivierung im Rechenzentrum. In diesem Beitrag erfahren Sie, worauf Sie als kleines oder mittelständisches Unternehmen achten sollten, um empfindliche Bußgelder zu vermeiden.

Technische und organisatorische Maßnahmen

Wo personenbezogene Daten extern verarbeitet werden, muss ein Vertrag zur Auftragsdatenverarbeitung gemäß § 11 BDSG geschlossen werden. Dieser hat insbesondere konkrete Angaben zu den technischen und organisatorischen Maßnahmen aus der Anlage BDSG zu § 9 Satz 1 zu enthalten. Die wesentlichen Maßnahmen sind folgende:

  • Zutrittskontrolle: Wie wird der Zutritt unbefugter Personen verhindert?
  • Zugangskontrolle: Wie wird die Nutzung der DV-Systeme durch Unbefugte verhindert?
  • Zugriffskontrolle: Wie wird sichergestellt, dass Berechtigte nur innerhalb ihrer Zugriffsberechtigung agieren können?
  • Weitergabekontrolle: Wie wird sichergestellt, dass die Daten bei der Übermittlung nicht mitgelesen oder manipuliert werden?
  • Eingabekontrolle: Wie kann nachvollzogen werden, wann und von wem Daten verändert wurden?
  • Auftragskontrolle: Wie wird sichergestellt, dass Daten nur nach den Weisungen des Auftraggebers verarbeitet werden?
  • Verfügbarkeitskontrolle: Wie sind die Daten gegen Zerstörung und Verlust geschützt?
  • Trennungsgebot: Wie werden Daten zu unterschiedlichen Zwecken getrennt verarbeitet?


Wie sollte der Vertrag zur Auftragsdatenverarbeitung aussehen?

Das BayLDA hat sehr konkrete Vorstellungen von den Vereinbarungen, die Unternehmen mit ihren Auftragsdatenverarbeitern treffen sollten. Im vorliegenden Fall wurden lediglich pauschale Aussagen getroffen und Teile des Gesetzestextes kopiert. Das reiche in keinem Fall aus, meint das Landesamt und bekräftigt, dass die Ausgestaltung der technischen und organisatorischen Maßnahmen konkret und für die individuellen Gegebenheiten spezifiziert dargelegt werden müssen.

Eine Vorlage für die Auftragserteilung und die ausführlich kommentierte Gesetzesgrundlage liefert das BayLDA gleich mit. Insbesondere für Kleinunternehmen dürfte es allerdings schwierig sein, diese Regelungen durchzusetzen. Große Anbieter von Cloud-Diensten sprechen in der Regel vor der Auftragserteilung überhaupt nicht mit ihren Kunden. „Friß oder stirb“, lautet hier die Devise – mit unabsehbaren Folgen für das Unternehmen. Denn die Verantwortung und Haftung für die Einhaltung der Datenschutzbestimmungen liegt klar beim Auftraggeber.

Professionelle Unterstützung vom IT-Systemhaus vor Ort

Gerade für Kleinunternehmen sind die Forderungen der Datenschützer also kaum durchsetzbar. Dabei gibt es mehrere Alternativen: Entweder nutzt das Unternehmen die Vorteile der Cloud auf Basis eigener Infrastrukturen oder es bezieht die Dienste über kleinere Anbieter, mit denen individuelle Verträge auch zur Auftragsdatenverarbeitung auf Augenhöhe geschlossen werden können. Wir bei der hagel IT-Services GmbH unterstützen seit über 10 Jahren mittelständische Unternehmen im Großraum Hamburg bei der einfachen und rechtssicheren IT-Nutzung. Unsere Erfahrungen teilen wir gerne mit Ihnen. Sprechen Sie uns einfach an.

Folge mir

Holger Esseling

Freund des Unternehmens und freiberuflicher Fachautor. Holger schreibt mit uns zusammen Artikel zu Themen, die wir gerne kommunizieren möchten. Durch seine langjährigen Erfahrungen im IT-Systemhausverbund iTeam hat er sehr viel Know-How gesammelt.
Holger Esseling
Folge mir

Kommentarbereich geschlossen.