Wie die private Cloud die Einhaltung der DSGVO drastisch vereinfacht

Matthias Bollwein

 Lesezeit: ca. 10 Minuten

TLDR; Eine eigene Cloud hilft kleinen Unternehmen signifikant bei der Umsetzung der DSGVO. Besonders die Themen techn. Vorkehrungen und Dokumentation werden dem Unternehmen abgenommen und massiv reduziert.

 

Übersicht über die Vorschriften der DSGVO
und wie eine private Cloud vor Ort deren Einhaltung vereinfacht

 

Die DSGVO ist ein komplexes, stellenweise auch vages Regelwerk und die wenigsten Unternehmen sind darauf vorbereitet und wissen, was ab Mai 2018 zu tun ist. Hier geben wir einen kurzen Überblick über den Teil der DSGVO, der die zukünftigen Pflichten für Unternehmer enthält. Im Anschluss analysieren wir, warum die private Cloud vor Ort die Einhaltung der DSGVO für kleine Unternehmen dramatisch vereinfacht.

 

Disclaimer: Dieser Text dient Informationszwecken und ist nicht als Rechtsberatung zu verstehen!

 

Worum geht es in der DSGVO?

 

Die DSGVO regelt auf europäischer Ebene die Verarbeitung personenbezogener Daten, also aller Daten, die einer bestimmten oder bestimmbaren (identifizierbaren) natürlichen Person zugeordnet sind. Darunter fallen insbesondere auch Mitarbeiter-, Kunden- und Lieferantendaten. Jedes Unternehmen speichert und verarbeitet also personenbezogene Daten und muss sich mit der DSGVO auseinandersetzen – ohne Ausnahme.

Grundsätzlich werden alle Informationen über Personen als gleichermaßen schützenswert angesehen, d.h. der Verlust von allgemeinen Adress-Daten kann genauso bestraft werden wie der Verlust von Informationen über die Sozialversicherungs-Daten von Mitarbeitern, das Kaufverhalten von Kunden oder welches Auto ein Geschäftspartner fährt.

 

Worum geht es in der DSGVO nicht?

 

Die DSGVO regelt hingegen nicht den Umgang mit jeglichen Daten, die nicht personenbezogen sind. Hierfür sind andere Gesetze, Verordnungen oder Richtlinien zuständig: Zum Beispiel die GOBD, die (technische) Maßnahmen für ordnungsgemäße Speicherung und Archivierung von Buchhaltung und zugehöriger Kommunikation regelt.

 

Welche Pflichten ergeben sich aus der DSGVO für Unternehmer?

 

Grob kann man die den Unternehmen durch die DSGVO auferlegten Pflichten in fünf Bereiche zusammenfassen. Diese fünf „Säulen“ der DSGVO sind:

 

  • Datensparsamkeit
  • Dokumentations- und Meldepflichten
  • Auskunfts- bzw. Einspruchsrechte der Betroffenen
  • Technische Vorkehrungen
  • Einbindung Externer (Auftragsverarbeiter)

 

Die erste Säule, Datensparsamkeit, besagt im Wesentlichen, dass Daten über Personen nur [DT1] erfasst und verarbeitet werden dürfen, wenn dies nötig bzw. zweckgebunden ist: Zum Beispiel für die Erfüllung eines Vertrags (Versandadresse) oder die Einhaltung von Gesetzen (Buchhaltung). Es dürfen auch nur genau so viele Daten erhoben werden, wie zur Erfüllung des jeweiligen Zwecks nötig. Außerdem ist geregelt, wann Betroffene der Erfassung bzw. Verarbeitung ihrer Daten explizit einwilligen müssen und wann es zulässig ist, diese Einwilligung zu fordern.

 

Die zweite Säule, Dokumentationspflichten, besagt: Verarbeitungstätigkeiten (darunter die Erfassung, Speicherung, Nutzung, Löschung) personenbezogener Daten sind zu dokumentieren, sodass sowohl den Betroffenen als auch  den Behörden jederzeit Auskunft darüber erteilt werden kann, wie personenbezogene Daten im Unternehmen gespeichert und verarbeitet werden und welche Maßnahmen zu deren Schutz ergriffen werden. 

Vorfälle, bei denen der Schutz personenbezogener Daten verletzt wird, müssen unverzüglich den Aufsichtsbehörden gemeldet werden, falls dadurch ein Risiko für natürliche Personen entstehen kann. Zusätzlich zur Dokumentation muss im Vorfeld einer Verarbeitung personenbezogener Daten auch eine Folgenabschätzung gemacht werden, falls durch die Verarbeitung ein Risiko für natürliche  Personen entstehen kann.

Letztendlich muss abhängig von der Unternehmensgröße, Art der Daten und Geschäftsfeld ein Datenschutzbeauftragter benannt werden, der den Aufsichtsbehörden gemeldet wird und bestimmte Aufgaben (u.a. Beratung, Überwachung, Meldung, Auskunft) zu übernehmen hat[DT2] .

 

Die dritte Säule, Auskunfts- bzw. Einspruchsrechte der Betroffenen, besagt, dass betroffene Personen ein Recht auf Auskunft haben, welche Daten über sie erfasst bzw. verarbeitet wurden und wie dies geschah. Dazu ist natürlich entsprechende Dokumentation nötig. Darüber hinaus können Betroffene verlangen, dass ihre Daten gelöscht werden (Recht auf Vergessenwerden) bzw. zu anderen Anbietern übertragen werden (Verbot von „Daten-Silos“).

 

Die vierte Säule, Technische Vorkehrungen, enthält strenge und weitreichende Anforderungen an die technischen Maßnahmen, die zum Schutz personenbezogener Daten zu ergreifen sind. Das gilt für die im Unternehmen eingesetzte Technik, die zur Speicherung und/oder Verarbeitung personenbezogener Daten verwendet wird, gleichermaßen wie für eventuell entwickelte Produkte. Die DSGVO führt hier zwei Begriffe bzw. Eigenschaften ein, die von der Technik zu erfüllen sind: Privacy by Design (zu deutsch: Datenschutz durch Technikgestaltung) und Privacy by Default (zu deutsch: Datenschutz durch datenschutzfreundliche Voreinstellungen). 

Privacy by Design bedeutet: Technische Geräte, Anwendungen oder Unternehmensprozesse, die personenbezogene Daten speichern oder verarbeiten, müssen von Grund auf so entwickelt sein, dass die Sicherheit und der Schutz der Daten gewährleistet sind. Dies wird heutzutage von kaum einem Produkt erfüllt.

Privacy by Default bedeutet: Wenn Privatsphäre-Einstellungen durch den Betroffenen gewählt werden können (Beispiel Facebook), dann sollen sie standardmäßig auf maximalen Schutz der Daten eingestellt sein[DT3] . Außerdem hat ein Unternehmen bei der Auswahl von Technologien bzw. Anbietern zur Speicherung von Daten diejenigen zu bevorzugen, die die höhere Sicherheit und besseren Datenschutz gewährleisten.

 

Die fünfte Säule schließlich regelt, unter welchen Bedingungen personenbezogene Daten an Dritte zur Speicherung oder Verarbeitung weitergegeben werden dürfen. Dritte sind zum Beispiel Cloud-Dienste oder auch Beratungsfirmen. Diese müssen insbesondere vertraglich garantieren, dass sie die Daten nur auf dokumentierte Weisung verarbeiten, die erforderlichen technischen Maßnahmen zum Schutz der Daten ergreifen und die anderen Regelungen der DSGVO befolgen und dem Auftraggeber alle nötigen Informationen zur Verfügung stellen, damit dieser seinen Dokumentationspflichten nachkommen kann. Das Auslagern personenbezogener Daten zu Dritten (z.B. Cloud-Diensten) ist also mit erheblichem Aufwand verbunden und in der Regel nicht zulässig, da derzeit praktisch kein Anbieter alle genannten Bedingungen erfüllt, dies vertraglich garantiert und dem Kunden detailliert Auskunft erteilt, was mit den Daten geschieht.

 

Warum macht die private Cloud die Umsetzung der DSGVO-Vorgaben so viel einfacher?

 

Die vielen verschiedenen Aspekte der DSGVO klingen erst einmal sehr komplex. Für die meisten kleinen Unternehmen lassen sie sich aber auf wenige klar verständliche Vorgaben reduzieren. Mit der richtigen technischen Ausstattung wird die Umsetzung dann zum „Kinderspiel“.

 

Sehen wir uns die Säulen der DSGVO aus Sicht eines Klein-Betriebes an:

 

1.      Datensparsamkeit

 

Dieser Punkt ist selbstverständlich - die meisten Unternehmen sammeln nicht mehr Daten, als sie ohnehin müssen. Denn die gesammelten personenbezogenen Daten in einem kleinen Betrieb sind vor allem die von Mitarbeitern, Kunden, Lieferanten und Geschäftspartnern und die laut DSGVO notwendige Begründung zu deren Speicherung ergibt sich direkt aus den Geschäftsbeziehungen bzw. den gesetzlichen Rahmenbedingungen.

Nichtsdestoweniger sollte jedes Unternehmen dokumentieren, welche Daten erfasst, wo sie gespeichert und wie sie verarbeitet werden und überdenken, ob das wirklich nötig ist.

Außerdem müssen in vielen Fällen Zustimmungen eingeholt werden (z.B. auf der Website oder im Online-Shop). Das Unternehmen sollte also seine Web-Auftritte prüfen und unzulässige Datensammlung entfernen.

Zumindest die Sensibilisierung der Mitarbeiter für das Datenschutz-Thema und ihre Schulung zum richtigen Umgang mit personenbezogenen Daten sind nicht durch Technik zu ersetzen[DT4] . Die richtige Unternehmens-IT macht es den Mitarbeitern aber so angenehm wie möglich, die Datenschutz-Vorgaben einzuhalten, nimmt ihnen einen Großteil der Aufgaben automatisch ab und sorgt für Datensicherheit, die nicht auf Kosten der Produktivität geht.

Wo die DSGVO über Technik hinaus geht, z.B. bei den „organisatorischen Maßnahmen“, unterstützt Uniki seine Kunden durch verständliche „DSGVO-Anleitungen“ und Checklisten.

 

 

2.      Dokumentations- und Meldepflichten, Auskunfts- bzw. Einspruchsrechte der Betroffenen, Auftragsverarbeiter

 

Die Dokumentation wird umso komplexer und bürokratischer, je mehr verschiedene technische Geräte, Anwendungen und vor allem externe Dienstleister involviert sind. Hat ein Unternehmen zum Beispiel ein Email-Postfach beim externen Dienst X, einen Dokumenten-Speicher beim externen Dienst Y und Cloud-Office-Anwendungen beim externen Dienst Z, dann muss es:

 

  • Ständig prüfen, ob den externen Anbietern personenbezogene Daten übergeben werden (sehr wahrscheinlich ja) und wenn ja, welche.
  • Mit allen externen Anbietern DSGVO-konforme Auftragsdatenverarbeitungsvereinbarungen abschließen.
  • Von allen externen Diensten Detail-Auskünfte einholen, wo und wie die ausgelagerten Daten verarbeitet werden und dies dokumentieren.
  • Ständig prüfen, ob bei einem der externen Dienste eine Datenschutzverletzung stattgefunden hat (z.B. Hackerangriff), um im Notfall festzustellen, welche eigenen personenbezogenen Daten womöglich kompromittiert wurden und dies den Behörden zu melden.

 

Diese Dokumentation ist nicht nur extrem aufwändig, sondern in vielen Fällen gar nicht möglich, da viele Cloud-Anbieter gar nicht die nötigen Informationen zur Verfügung stellen.

 

Produkte, die nach dem Prinzip „Privacy by Design“ entwickelt wurden, sind leider noch sehr schwer zu finden.  Mit einer privaten Cloud, die diesem Prinzip folgt, wird der Datenschutz von Grund auf technisch gewährleistet, anstatt durch komplizierte Prozesse, Verträge, Dokumentation und zusätzliche kostspielige Sicherheits-Software nachträglich zu versuchen, die Kontrolle über die Daten zu behalten. Der Uniki-Server ist damit derzeit einzigartig.

 

Wenn das Unternehmen also seine Emails über die private Cloud sendet und alle seine Daten in dieser speichert, dann kann es sich jederzeit darauf berufen, dass keine Externen Zugriff auf die Daten haben (im Idealfall auch nicht der Hersteller des privaten Cloud-Servers). Es muss weder Verträge mit verschiedenen Externen schließen, noch Informationen zur Verarbeitung der Daten von verschiedenen Externen holen und dokumentieren, noch für verschiedene Dienste ständig prüfen, ob es Datenlecks gab. Denn alle Daten sind zentral gespeichert in der Hand des Unternehmens selbst. Wenn die private Cloud die Sicherheitsanforderungen erfüllt, d.h. alle Daten verschlüsselt überträgt und verschlüsselt speichert und die Schlüssel nicht in der Hand des Herstellers liegen, dann reduziert sich die sonst aufwändige Dokumentation auf einen kurzen Absatz:

 

  • „Wir erheben diese und jene personenbezogenen Daten (z.B. Adressen, Steuernummern etc.) zu diesen und jenen Zwecken (z.B. Buchhaltung) von Mitarbeitern/Kunden/Lieferanten.“
  • „Alle personenbezogenen Daten, inkl. solchen, die in der Kommunikation per Email oder in erstellten Office-Dokumenten enthalten sind, werden verschlüsselt in der privaten Cloud, d.h. auf dem Server im Unternehmen, gespeichert. Alle Zugriffe durch unsere Mitarbeiter auf die gespeicherten Dokumente sind verschlüsselt und wenn personenbezogene Daten mit Dritten geteilt werden (z.B. zum Zwecke der Lohnabrechnung mit dem Steuerberater), dann werden diese verschlüsselt übertragen.“

 

Für die Auskunfts- bzw. Einspruchsrechte gilt im Wesentlichen das Gleiche: Je einfacher die Dokumentation, desto leichter kann Personen, die Auskunft erfragen, diese auch erteilt werden.

 

Zu guter Letzt: Personen, deren Daten das Unternehmen speichert und verarbeitet, haben ein Recht darauf, dass diese gelöscht werden, wenn es keine vertraglichen Gründe mehr zur Speicherung gibt. Wenn das Unternehmen die Daten im eigenen Haus in der privaten Cloud speichert, ist dies ganz einfach. Wenn die Daten aber bei externen Cloud-Anbietern liegen, ist es oftmals unmöglich.

 

 

3.      Technische Vorkehrungen

 

Das Unternehmen und evtl. externe Auftragsverarbeiter haben „geeignete technische und organisatorische Maßnahmen“ zu treffen, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

 

Aber was sind eigentlich „geeignete technische Maßnahmen“? Auf jeden Fall sollten diese die Sicherheit personenbezogener Daten gewährleisten. Aber was bedeutet eigentlich Datensicherheit? Wovor sollen die Daten geschützt werden und wie?

 

Die DSGVO gibt in Artikel 32, Absatz 1 einige Anhaltspunkte, welche Maßnahmen zur Datensicherheit beitragen:

 

a.      die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

 

Verschlüsselung ist komplex - es gibt heute standardisierte Verschlüsselungsmethoden, an deren korrekter Anwendung jedoch selbst IT-Experten scheitern. Die richtige private Cloud sorgt automatisch dafür, dass alle Zugriffe auf Daten und deren Übertragung nach den modernsten Methoden verschlüsselt geschehen und dass die Daten sicher verschlüsselt abgelegt werden. Die Daten sollten selbst für jemanden, der „physischen“ Zugriff auf die Hardware hat (z.B. Einbrecher), nicht zugänglich sind.

Pseudonymisierung ist vorrangig für die Auswertung großer Datenmengen relevant und soll deshalb hier im Kontext kleiner Betriebe außen vor gelassen werden.

 

b.      die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

 

Um Vertraulichkeit sicherzustellen, ist zusätzlich zur Verschlüsselung noch die Einstellbarkeit von Zugriffsrechten nötig und natürlich die Eingrenzung des Personenkreises, der für den Betrieb Zugriff haben muss. Die private Cloud reduziert diese auf ein Minimum: Anders als bei Cloud-Diensten, bei denen der Anbieter, dessen Mitarbeiter, sein Rechenzentrums-Betreiber und wiederum dessen Mitarbeiter auf Daten des Unternehmens zugreifen können, liegen die Daten mit dem eigenen Server allein in der Hand des Unternehmens.[DT5] 

Nicht nur das komplexe Thema Verschlüsselung löst ein guter Cloud-Server ganz automatisch, sondern er kümmert sich auch um die Datenintegrität durch Integritätsprüfung und Versionierung.

Verfügbarkeit und Belastbarkeit stellt ein guter Cloud-Server durch redundante Datenablage, ständige Backups und gut dimensionierte Hardware sicher.

 

c.      die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

 

Ein „physischer oder technischer Zwischenfall“ - also Hardware-Ausfall, Software-Fehler, Diebstahl, Viren, Wasserschaden… für viele Unternehmen bedeutet das heutzutage den Ruin, weil sie nicht über ordentliche, regelmäßige Backups verfügen. Auch Backups sind ein kompliziertes Thema, um das sich eine private Cloud kümmern kann. Die richtige private Cloud schützt die Daten vor Erpressungstrojanern, Viren, Einbruch, Katastrophen und versehentlichem Löschen, indem sie die Daten redundant, versioniert und verschlüsselt ablegt und Backups an entfernte Orte machen kann.

 

d.      ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

 

Welches kleine Unternehmen kann sich schon damit beschäftigen, regelmäßig die „Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ zu prüfen - deshalb sollte sich der Hersteller der privaten Cloud um die Wirksamkeit der technischen Maßnahmen kümmern, indem es den Server mit Sicherheitsupdates versorgt. Außerdem kann er die organisatorischen Maßnahmen unterstützen, indem er den Unternehmer mit hilfreichen Tipps zur Schulung der eigenen Mitarbeiter versorgt. Dazu gehören der richtige Umgang mit Passwörtern, Mobilgeräten, Email-Anhängen und das richtige Verhalten im Notfall (z.B. Meldepflicht, Schadenseindämmung).

 

Ein kleines Unternehmen hat selten die technische Expertise, um diese Fragen zu beantworten, wenn es nicht gerade ein IT-Unternehmen ist (und selbst dann meist nicht). Einen externen Datenschutzbeauftragten und IT-Spezialisten zu bezahlen, dafür fehlen die Mittel.

 

Statt technische Expertise oder hohe Ausgaben von einem Unternehmer zu verlangen, kann die private Cloud dem Unternehmer verständliche und „by Design“ sichere Tools an die Hand geben.

 

Kommentar hinterlassen

You must be logged in to post a comment.