Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

MeisterTask & MeisterMind

Personenbezogene Daten in der Cloud – was ist zu beachten?

Viele Firmen und Unternehmen greifen verstärkt auf Clouds zurück und lagern Anwendungen und (Bewerber-)Daten online. Problematisch wird das vor allem dann, wenn personenbezogene Daten in einem Drittland – wie den USA – gespeichert werden. Wir haben mit Till Vollmer, Gründer und Managing Director der Onlinetools MindMeister und MeisterTask, über Datensicherheit und die korrekte Anwendung von Cloud-Anwendungen gesprochen.

Cloud und SaaS-Anwendungen (Software-as-a-Service-Lösungen) sind Anwendungen, die von einem externen Anbieter für Kunden zur Verfügung gestellt werden und von diesen als Service genutzt werden können. Doch vor allem wenn Firmen und Unternehmen damit personenbezogene Daten verarbeiten, gibt es schon vor der Auswahl des richtigen Tools wichtige Dinge und Mindeststandards zu beachten. Das weiß auch Till Vollmer, der sich mit seinem Mitgründer Michael Hollauf auf die Entwicklung von webbasierten Productivity-Tools spezialisiert hat. Ihr erstes Onlinetool, MindMeister, kam bereits 2007 und somit lange vor der DSGVO auf den Markt und war damals das erste komplett webbasierte Mindmapping-Tool. 2015 folgte das Online-Task-Management-Tool MeisterTask, das bereits jetzt mehr als drei Millionen Nutzer hat. Hier fallen also regelmäßig enorme Datenmengen an – und es stellt sich die Frage: Wird damit korrekt umgegangen?

Datensicherheit im Onlinespeicher – geht das?

Nutzer vertrauen Onlinetools und bestücken diese auch mit sensiblen personenbezogenen Daten wie Namen, E-Mail-Adressen, Telefonnummern und mehr. Daneben kann auch nicht ausgeschlossen werden, dass noch sensiblere Daten wie Gesundheitsdaten oder Passkopien über Onlinetools geteilt werden. „Dessen sind wir uns bewusst“, so Vollmer und erklärt am Beispiel des eigenen Unternehmens, wie der verantwortungsbewusste Umgang mit sensiblen Daten seitens eines Anbieters aussehen kann – und im Sinne der Datensicherheit auch sollte: „Wir sichern die Daten unserer Nutzer täglich, wöchentlich und zweiwöchentlich an mehreren Standorten, um Sie vor einer unvorhersehbaren Katastrophe zu schützen. Diese Standorte befinden sich alle innerhalb Deutschlands und schützen unseren Service vor dem Verlust von Verbindung, Strom oder anderen üblichen standortspezifischen Ausfällen. Für die sichere Datenübertragung verwenden wir ausschließlich das Verschlüsselungsprotokoll TLS, das als sicherer Industriestandard anerkannt ist. Alle unsere Systeme sind außerdem durch Firewalls und spezielle Zugriffskontrollen auf Netzwerkebene geschützt. Benutzer können ihre Konten zusätzlich mit einer zweistufigen Überprüfung schützen, auch bekannt als Zwei-Faktor-Authentisierung (2FA). Für Business-Teams stehen weitere Sicherheitsmaßnahmen zur Verfügung, wie zum Beispiel das Einschränken des Zugriffs auf bestimmte IP-Adressen.“ – „Wir haben hart daran gearbeitet, um allen Standards der DSGVO zu entsprechen und wurden auch von Trusted Cloud entsprechend zertifiziert“, erklärt der Gründer. 

Auftragsverarbeitung in der Cloud

Bedient sich der Anbieter einer Cloud-Softwarelösung wie „Meister“ zur Erbringung seiner Dienstleistung eines Cloud-Hosting-Anbieters wie z.B. „Google“, so muss er sicherstellen, dass auch dieser mit den gespeicherten Daten datenschutzkonform umgeht. Dies gilt umso mehr, wenn es sich bei den Daten um sensible, personenbezogene Daten handelt. Der Anbieter der Cloud-Software (z.B. „Meister“) beauftragt den Cloud-Hosting-Anbieter (z.B. „Google“) mit der Datenverarbeitung. Um sicherzustellen, dass der Cloud-Hosting-Anbieter (Google) die zu verarbeitenden Daten datenschutzkonform verarbeitet, ist ein Auftragsverarbeitungsvertrag zu schließen, worin auch die Einhaltung der technisch-organisatorischen Maßnahmen aufgeführt ist. Der Auftragsverarbeiter (Cloud-Hosting-Anbieter) wird somit in dessen Weisung zum verlängerten Arm des Auftraggebers (Anbieter einer Cloud-Softwarelösung) tätig. Bei Drittlandbezug, wie z.B. bei Datenspeicherung und -übermittlung in die USA, müssen darin zusätzlich entsprechende Garantien nach Art. 46 DSGVO (z.B. EU-US-Privacy-Shield-Zertifikat, Standarddatenschutzklauseln) enthalten sein.

Was der Daten-Speicherort mit dem Patriot Act zu tun hat 

Ein weiterer wichtiger Punkt für die Datensicherheit ist der Ort, an dem das Onlinetool die Daten speichert. Eine große Hilfe ist dem Anwender dabei das „Trusted Cloud“-Logo. Es ist ein Siegel für Cloud- und Onlineanwendungen, das den Vorgaben des Bundesministeriums für Wirtschaft und Energie und der Stiftung Datenschutz erarbeiteten Vorgaben standhält. Aber warum wird es eigentlich benötigt? Viele Unternehmen nutzen Onlinetools und Cloudanbieter als Onlinespeicher. Eine Mehrzahl dieser Tools ist jedoch US-amerikanischen Ursprungs oder hostet die Daten in den USA. Gemäß dem "Patriot Act" von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden herausgeben – allerdings nur, wenn die Daten in den USA liegen. Mit dem seit März 2018 zusätzlich verabschiedeten US-Gesetz "CLOUD Act" müssen nun auch außerhalb der USA gespeicherte Daten herausgegeben werden. Handelt es sich dabei aber um personenbezogene Daten Dritter, ist dies ein klarer Verstoß gegen die DSGVO. Deswegen gilt: Es muss bereits vor der Nutzung einer SaaS-Anwendung für personenbezogene Daten geklärt werden, wo genau das Hosting erfolgt bzw. welchen gesetzlichen Vorgaben der Anbieter unterliegt. Dass man als Anwender ein Tool bedenkenlos verwenden kann, ohne die DSGVO zu verletzen, erkennt man einfach und schnell an dem dafür eingeführten „Trusted Cloud“-Logo.

Datenschutzkonformes Projektmanagement

Der Speicherproblematik ist sich Vollmer natürlich bewusst. „Unsere Server stehen in Frankfurt bei Google Deutschland. Wir verwenden ausschließlich die Zone in Frankfurt“, erklärt er und weiter: „Google ist für uns ein wichtiger Partner, der sich beim Hosting nachweislich an alle Datenschutzthemen hält und alle für uns relevanten Zertifizierungen vorweisen kann.“ 
Doch was können Anwender darüber hinaus beachten, um ihr Projektmanagement datenschutzkonform zu gestalten? „Einen seriösen Anbieter aus der EU zu wählen ist der erste wichtige Schritt“, so Vollmer, denn „bis der Datenschutz in den USA und in anderen Teilen der Welt besser wird, wird es noch einige Zeit dauern (obwohl es – ausgelöst insbesondere durch den Fall von Facebook – natürlich schon erste Bestrebungen gibt). Der zweite Schritt ist das Erarbeiten von Prozessen innerhalb des Unternehmens. Damit diese auch wirklich nachhaltig funktionieren, müssen Mitarbeiter frühzeitig eingebunden bzw. geschult werden“. Denn wenn aus Unwissenheit von Mitarbeitern ein Datenschutzverstoß begangen wird, dann haftet das Unternehmen – und auch hier gilt das alte Sprichwort: Unwissenheit schützt eben leider nicht vor Strafe! So ist es unerlässlich, zur Sicherheit bei Unklarheiten bereits im Vorfeld datenschutzrechtlichen Rat bei einem Experten einzuholen – denn Datenschutzverstöße können für Unternehmen und Betriebe enorme Schäden, wie Reputationsschäden sowie empfindliche Bußgelder, zur Folge haben.

Datenschutz & Startups – unser neuestes Whitepaper enthält 10 wichtige To-Dos

Warum ist Datenschutz gerade auch für Startups wichtig? Welche Punkte sollten Gründer unbedingt angehen?

Datenschutz und Startup passen für viele Gründer erst einmal nicht zusammen. Meist stehen in der Gründungsphase andere Dinge im Fokus der Unternehmer. In unserem Whitepaper "10 Datenschutz-To-Dos, die jedes Startup umsetzen sollte" zeigen wir Ihnen, welche Punkte Sie als Gründer angehen sollten, sodass Datenschutz für Sie kein unnötiges Risiko darstellt.

Jetzt Whitepaper herunterladen

Aktuelle Beiträge zum Thema Datenschutz