MeisterTask & MeisterMind

Personenbezogene Daten in der Cloud – was ist zu beachten?

Viele Firmen und Unternehmen greifen verstärkt auf Clouds zurück und lagern Anwendungen und (Bewerber-)Daten online. Problematisch wird das vor allem dann, wenn personenbezogene Daten in einem Drittland – wie den USA – gespeichert werden. Wir haben mit Till Vollmer, Gründer und Managing Director der Onlinetools MindMeister und MeisterTask, über Datensicherheit und die korrekte Anwendung von Cloud-Anwendungen gesprochen.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

Cloud und SaaS-Anwendungen (Software-as-a-Service-Lösungen) sind Anwendungen, die von einem externen Anbieter für Kunden zur Verfügung gestellt werden und von diesen als Service genutzt werden können. Doch vor allem wenn Firmen und Unternehmen damit personenbezogene Daten verarbeiten, gibt es schon vor der Auswahl des richtigen Tools wichtige Dinge und Mindeststandards zu beachten. Das weiß auch Till Vollmer, der sich mit seinem Mitgründer Michael Hollauf auf die Entwicklung von webbasierten Productivity-Tools spezialisiert hat. Ihr erstes Onlinetool, MindMeister, kam bereits 2007 und somit lange vor der DSGVO auf den Markt und war damals das erste komplett webbasierte Mindmapping-Tool. 2015 folgte das Online-Task-Management-Tool MeisterTask, das bereits jetzt mehr als drei Millionen Nutzer hat. Hier fallen also regelmäßig enorme Datenmengen an – und es stellt sich die Frage: Wird damit korrekt umgegangen?

Exkurs: Welche Liefermodelle des Cloud Computing gibt es?

Im Wesentlichen werden vier verschiedene Liefermodelle unterschieden. Während die Public Cloud der Allgemeinheit Speicherplatz und informatische Infrastruktur bereitstellt, sich der Anwender die Verwendung der Hardware also mit anderen Nutzern teilt, steht die Hardware bei Nutzung der Private Cloud einem Anwender exklusiv zur Verfügung. Die Hybrid Cloud kombiniert Elemente der Public Cloud und Private Cloud. Dieses Liefermodell bietet den Vorteil, dass die Vorzüge einer Public Cloud genutzt werden können, gleichzeitig jedoch sensible unternehmenskritische Daten über das unternehmensinterne Intranet abgerufen werden. Zuletzt bieten sogenannte Community Clouds die selben Vorteile wie eine Public Cloud, jedoch mit kleinerem Nutzerkreis. Community Clouds sind eine beliebtes Liefermodell für Gemeinden, Universitäten oder Forschungsgemeinschaften.

Daneben werden verschiedene Services von den Cloud-Anbietern zur Verfügung gestellt. Während viele Clouds lediglich die Infrastruktur, also etwa Speicherplatz oder Netzwerkbandbreite zur Verfügung stellen, bieten andere auch die Applikation selbst an. Je nachdem, wo im Moment des Abrufs des Kontingents Speicherplatz und andere Ressourcen vorhanden sind, kann es die Cloud-Nutzung erfordern, dass Rechenprozesse und personenbezogene Daten zwischen verschiedenen Rechenzentren in unterschiedlichen Ländern hin- und hergeschickt werden.

Clouds bieten Unternehmen viele Vorteile, wie Ihre Flexibilität und Kostenersparnis gegenüber herkömmlicher Speicher-Hardware. Und gerade beim Thema Mobilarbeit haben Unternehmen, deren Mitarbeiter auf eine Unternehmens-Cloud zugreifen können, große Effizienz-Vorteile. Aber wie sieht es mit sensiblen Daten in Clouds aus?

Datensicherheit im Onlinespeicher – geht das?

Nutzer vertrauen Onlinetools und bestücken diese auch mit sensiblen personenbezogenen Daten wie Namen, E-Mail-Adressen, Telefonnummern und mehr. Daneben kann auch nicht ausgeschlossen werden, dass noch sensiblere Daten wie Gesundheitsdaten oder Passkopien über Onlinetools geteilt werden. „Dessen sind wir uns bewusst“, so Vollmer und erklärt am Beispiel des eigenen Unternehmens, wie der verantwortungsbewusste Umgang mit sensiblen Daten seitens eines Anbieters aussehen kann – und im Sinne der Datensicherheit auch sollte: „Wir sichern die Daten unserer Nutzer täglich, wöchentlich und zweiwöchentlich an mehreren Standorten, um Sie vor einer unvorhersehbaren Katastrophe zu schützen. Diese Standorte befinden sich alle innerhalb Deutschlands und schützen unseren Service vor dem Verlust von Verbindung, Strom oder anderen üblichen standortspezifischen Ausfällen. Für die sichere Datenübertragung verwenden wir ausschließlich das Verschlüsselungsprotokoll TLS, das als sicherer Industriestandard anerkannt ist. Alle unsere Systeme sind außerdem durch Firewalls und spezielle Zugriffskontrollen auf Netzwerkebene geschützt. Benutzer können ihre Konten zusätzlich mit einer zweistufigen Überprüfung schützen, auch bekannt als Zwei-Faktor-Authentisierung (2FA). Für Business-Teams stehen weitere Sicherheitsmaßnahmen zur Verfügung, wie zum Beispiel das Einschränken des Zugriffs auf bestimmte IP-Adressen.“ – „Wir haben hart daran gearbeitet, um allen Standards der DSGVO zu entsprechen und wurden auch von Trusted Cloud entsprechend zertifiziert“, erklärt der Gründer. 

Auftragsverarbeitung in der Cloud

Bedient sich der Anbieter einer Cloud-Softwarelösung wie „Meister“ zur Erbringung seiner Dienstleistung eines Cloud-Hosting-Anbieters wie z.B. „Google“, so muss er sicherstellen, dass auch dieser mit den gespeicherten Daten datenschutzkonform umgeht. Dies gilt umso mehr, wenn es sich bei den Daten um sensible, personenbezogene Daten handelt. Der Anbieter der Cloud-Software (z.B. „Meister“) beauftragt den Cloud-Hosting-Anbieter (z.B. „Google“) mit der Datenverarbeitung. Um sicherzustellen, dass der Cloud-Hosting-Anbieter (Google) die zu verarbeitenden Daten datenschutzkonform verarbeitet, ist ein Auftragsverarbeitungsvertrag zu schließen, worin auch die Einhaltung der technisch-organisatorischen Maßnahmen aufgeführt ist. Der Auftragsverarbeiter (Cloud-Hosting-Anbieter) wird somit in dessen Weisung zum verlängerten Arm des Auftraggebers (Anbieter einer Cloud-Softwarelösung) tätig. Bei Drittlandbezug, wie z.B. bei Datenspeicherung und -übermittlung in die USA, müssen darin zusätzlich entsprechende Garantien nach Art. 46 DSGVO (z.B. EU-US-Privacy-Shield-Zertifikat, Standarddatenschutzklauseln) enthalten sein. Es macht zudem Sinn, darüber in der Datenschutzerklärung aufzuklären, um die Website datenschutzkonform zu gestalten.

Was der Daten-Speicherort mit dem Patriot Act zu tun hat 

Ein weiterer wichtiger Punkt für die Datensicherheit ist der Ort, an dem das Onlinetool die Daten speichert. Eine große Hilfe ist dem Anwender dabei das „Trusted Cloud“-Logo. Es ist ein Siegel für Cloud- und Onlineanwendungen, das den Vorgaben des Bundesministeriums für Wirtschaft und Energie und der Stiftung Datenschutz erarbeiteten Vorgaben standhält. Aber warum wird es eigentlich benötigt? Viele Unternehmen nutzen Onlinetools und Cloudanbieter als Onlinespeicher. Eine Mehrzahl dieser Tools ist jedoch US-amerikanischen Ursprungs oder hostet die Daten in den USA. Gemäß dem "Patriot Act" von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden herausgeben – allerdings nur, wenn die Daten in den USA liegen. Mit dem seit März 2018 zusätzlich verabschiedeten US-Gesetz "CLOUD Act" müssen nun auch außerhalb der USA gespeicherte Daten herausgegeben werden. Handelt es sich dabei aber um personenbezogene Daten Dritter, ist dies ein klarer Verstoß gegen die DSGVO. Deswegen gilt: Es muss bereits vor der Nutzung einer SaaS-Anwendung für personenbezogene Daten geklärt werden, wo genau das Hosting erfolgt bzw. welchen gesetzlichen Vorgaben der Anbieter unterliegt. Dass man als Anwender ein Tool bedenkenlos verwenden kann, ohne die DSGVO zu verletzen, erkennt man einfach und schnell an dem dafür eingeführten „Trusted Cloud“-Logo.

Datenschutzkonformes Projektmanagement

Der Speicherproblematik ist sich Vollmer natürlich bewusst. „Unsere Server stehen in Frankfurt bei Google Deutschland. Wir verwenden ausschließlich die Zone in Frankfurt“, erklärt er und weiter: „Google ist für uns ein wichtiger Partner, der sich beim Hosting nachweislich an alle Datenschutzthemen hält und alle für uns relevanten Zertifizierungen vorweisen kann.“ 
Doch was können Anwender darüber hinaus beachten, um ihr Projektmanagement datenschutzkonform zu gestalten? „Einen seriösen Anbieter aus der EU zu wählen ist der erste wichtige Schritt“, so Vollmer, denn „bis der Datenschutz in den USA und in anderen Teilen der Welt besser wird, wird es noch einige Zeit dauern (obwohl es – ausgelöst insbesondere durch den Fall von Facebook – natürlich schon erste Bestrebungen gibt). Der zweite Schritt ist das Erarbeiten von Prozessen innerhalb des Unternehmens. Damit diese auch wirklich nachhaltig funktionieren, müssen Mitarbeiter frühzeitig eingebunden bzw. geschult werden“. Denn wenn aus Unwissenheit von Mitarbeitern ein Datenschutzverstoß begangen wird, dann haftet das Unternehmen – und auch hier gilt das alte Sprichwort: Unwissenheit schützt eben leider nicht vor Strafe! So ist es unerlässlich, zur Sicherheit bei Unklarheiten bereits im Vorfeld datenschutzrechtlichen Rat bei einem Experten einzuholen – denn Datenschutzverstöße können für Unternehmen und Betriebe enorme Schäden, wie Reputationsschäden sowie empfindliche Bußgelder, zur Folge haben.

Artikel veröffentlicht am: 14. August 2019

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr