Datenschutz in Deutschland, ein hohes Gut. Und Datenschutz wird gerade in Unternehmen unterschätzt. Da kommen wir dann auch schon auf die Cloud.
Ein Unternehmen, das Kundendaten evtl. Profile vorhält, ist der Herr über diese Daten. An Dritte dürfen diese nicht ohne explizite Zustimmung übermittelt werden. Beispiel Schufaklausel. Derartige Zustimmungen müssen informiert erfolgen und dürfen nicht im Kleingedruckten untergehen. Damit nicht bei jeder Kleinigkeit eine Einwilligung eingeholt werden muss, gibt es dann im Bundesdatenschutzgesetz (BDSG) die Datenverarbeitung im Auftrag.
Auch hier gibt es Hürden für das Unternehmen (Auftraggeber) und dem Datenverarbeiter im Auftrag (Auftragnehmer). Nach außen tritt immer der Auftraggeber zu seinen Kunden auf. Dieser haftet auch gegenüber seinen Kunden, egal was der Auftragnehmer getan hat, z.B. illegaler Datenabzug, Übermittlung an Dritte, offene Datensätze im Internet. Hinzu kommt dann auch noch der Imageschaden für den Auftraggeber.
Heikel wird es dann, wenn man die Daten in andere Länder auslagert. Dies darf man nur, wenn es dort mindestens das gleiche Datenschutzniveau gibt. Nachdem das Safe Harbor Abkommen zwischen der EU mit den USA durch den EuGH gekippt wurde, gibt es also das „Privacy Shield“. Nur darf man den USA hier trauen?
Folgen für die Cloud
Was hat das nun mit der Cloud zu tun? Ganz einfach, selbst ein Backup in der Cloud stellt bereits eine Datenverarbeitung im Auftrag dar. Hier sind alle Regeln des BDSG durch Auftraggeber und –nehmer zu erfüllen. Ob nun aber ein Auftragnehmer aus den USA mit Servern außerhalb der EU diese Vertragsinhalte nun erfüllt oder besser gesagt „erfüllen darf“ ist weiterhin zweifelhaft. Microsoft wehrte sich ja gegen Herausgabe von Daten auf einem Server in Irland in die USA. Bisher erfolgreich. So zumindest nach außen in der offizielle Version.
Die Deutsche Telekom hat mit ihren Servern in Deutschland da einen leichteren Stand. Ob dort die Daten vor Zugriff Dritter wirklich sicher sind, weiß aber auch niemand.
Fazit: Normalerweise gehören personenbezogene Daten nicht in eine Cloud, das gilt auch für Firmengeheimnisse. Zumindest sollte man hier zunächst EU-Anbietern über den Weg trauen und die Finger von amerikanschen Unternehmen lassen und sind sie auch noch so günstig.
Noch besser ist es allerdings ganz auf die Cloud zu verzichten.
