Nicht erst seit dem jüngsten Urteil zum EU-US Privacy Shield ist die DSGVO in aller Munde. Mit einem neuen Leitfaden möchte das EuroCloud-Mitglied gridscale dem Mittelstand Orientierung bei der Zusammenarbeit mit Cloud-Providern bieten. Ein Interview mit CEO Henrik Hasenkamp und Marketing Director Jens Wardenbach vom PaaS & IaaS Cloud Hosting Provider aus Köln.
Wie kam die Idee zum Leitfaden?
Jens Wardenbach: Die meisten Ratgeber, die es zur DSGVO bereits gibt, gehen an den tatsächlichen Bedürfnissen des Mittelstands vorbei. Viele bleiben inhaltlich leider oft nur für Juristen verständlich oder betrachten ausschließlich Einzelrisiken, die sich beim grenzüberschreitenden Cloud Computing ergeben. Dabei ist die DSGVO-Konformität jüngsten Umfragen zufolge Entscheidungskriterium Nummer eins bei der Transformation in die Cloud. Und das mit großem Abstand. Gemeinsam mit der Wirtschaftskanzlei Heuking haben wir es geschafft, das Thema praxisnah, anschaulich und schnell lesbar auf nur rund zwanzig Seiten für Business- und IT-Entscheider zu Papier zu bringen.
Henrik Hasenkamp: Darüber hinaus adressiert unser Leitfaden Sachverhalte, die bislang noch nicht im Fokus der Diskussion standen. Das fängt bei Transparenzpflichten und Schadenshaftung an und hört bei steuerlichen Fragen oder der betrieblichen Mitbestimmung noch lange nicht auf. Beispielsweise haben auch Betriebsräte und Finanzämter bei der DSGVO und beim Cloud Computing ein gehöriges Wörtchen mitzureden – dafür wollen wir den Mittelstand sensibilisieren.
Betriebsräte und Finanzämter: Wo liegt das Problem?
Hasenkamp: Der Betriebsrat muss jeder Maßnahme zustimmen, die auch nur potenziell zu einer Überwachung der Mitarbeiter führen kann. Wird bestehende Unternehmenssoftware in die Cloud verlagert, kann das problematisch sein. Über eine Cloud-Umgebung mit ihren Anmeldeprozessen, Log-Daten und Informationen, die beispielsweise ein Intrusion-Detection-System speichert und auswertet, ließe sich das Personal theoretisch überwachen. Um das Dilemma zu lösen, müssen die Betriebe Vereinbarungen mit ihrem Cloud-Provider aushandeln.
Wardenbach: Nicht anders die Situation bei Finanzämtern. Daten, die steuerrechtlichen Aufbewahrungspflichten unterliegen, sind von Unternehmen, die in Deutschland steuerpflichtig sind, auch hierzulande aufzubewahren. Ausnahmen sind möglich und lassen sich bei den Finanzämtern beantragen, setzen aber wiederum voraus, dass die Speicherung dann nach den Regeln der deutschen Abgabenordnung erfolgt. Alles ziemlich kompliziert. Und dabei haben wir über den Widerspruch zwischen den Löschpflichten personenbezogener Informationen einerseits und den Aufbewahrungspflichten steuerrechtlich relevanter Daten andererseits noch gar nicht gesprochen.
Warum bleiben Fragen zur DSGVO gerade im Mittelstand relevant?
Hasenkamp: Der deutsche Mittelstand ist spezialisiert auf sein Kerngeschäft. Das zeichnet die Unternehmen im Maschinenraum der deutschen Wirtschaft aus. Digitalisierungsthemen werden häufig von den Firmenlenkern selbst getrieben. Das sind gestandene Unternehmer, aber eben keine Experten für Datenschutzfragen. Genau hier setzt unser Leitfaden an.
Wardenbach: Die Cloud bleibt der Motor der Digitalisierung. Unternehmen verbessern darüber die Zusammenarbeit, werden agiler, vernetzen sich, realisieren digitale Produkte und Services und entwickeln ihre Geschäftsmodelle weiter. Unsicherheit rund um rechtliche Rahmenbedingungen bremst Innovation. Wir sensibilisieren die Unternehmer für die typischen Fallstricke.
Und wie sehen die aus?
Hasenkamp: Wer beispielsweise personenbezogene Daten in der Cloud verarbeitet, muss wissen, was er tut. Denn in der Praxis lassen sich bei weitem mehr Daten einer Person zuordnen, als viele denken. Schon allein die theoretische Möglichkeit, einen solchen Bezug zwischen Informationen und Personen herstellen zu können, reicht dabei als Kriterium aus. So sind in der Cloud nicht nur Namen und E-Mail-Adressen als personenbezogen anzusehen, sondern auch Datensätze, wenn sie sich potenziell auf Personen beziehen lassen.
Wardenbach: Technische Angaben wie Zeitstempel und Logfiles gelten selbst dann als personenbezogen, wenn sie sich nur mit einem gewissen Aufwand einer Person zuordnen lassen. All das müssen Unternehmer im Blick haben. Und zwar nicht nur im Mittelstand, sondern etwa auch da, wo Branchen streng reguliert oder Compliance-Vorgaben einzuhalten sind.
Lässt sich das nicht durch Anonymisierung und Pseudonymisierung umgehen?
Hasenkamp: Nur wer Daten wirklich vollständig anonymisiert, ist auf der sicheren Seite. Das trifft beispielsweise dann zu, wenn Statistiken erstellt werden. Heißt konkret: Wenn aus der Aussage „Die Herren Schulz und Frank fanden das Produkt gut, Frau Meier fand das Produkt nicht gut“ die Statistik „66,6% der Befragten fanden das Produkt gut“ wird.
Wardenbach: Problematisch wird es dann wieder, wenn Klarnamen durch Nummern ersetzt oder die eindeutigen Seriennummern von Geräten gespeichert werden. Auch sogenannte Pseudonyme sind personenbezogene Daten, weil sie sich weiterhin einem Individuum zuordnen lassen.
Hasenkamp: Eine Verschlüsselung reicht nicht aus. Zwar könnten Anwender denken, dass die Daten dadurch für sie und die Cloudanbieter selbst hinreichend anonymisiert sind. Allerdings sehen Datenschutzbehörden verschlüsselte Daten als pseudonymisierte Daten an, die sich weiterhin einer Person zuordnen lassen.
Jetzt hat der Gerichtshof der Europäischen Union das EU-US Privacy Shield gekippt. Was raten Sie den Anwendern?
Hasenkamp: Die aktuelle Situation konfrontiert die Firmen erneut mit großer Rechtsunsicherheit. Wer nicht auf Clouds von Anbietern aus der Europäischen Union setzt, sondern auf Dienste aus den USA, der sollte den Datenaustausch über die Standardvertragsklauseln der Europäischen Union regeln. Allerdings bedeutet das einen zusätzlichen Aufwand für die Unternehmen, diese Vereinbarungen im Einzelnen zu bewerten und abzuschließen.
Wardenbach: Das Urteil rückt die DSGVO einmal mehr ins Rampenlicht des Interesses – nicht nur für Anwender, sondern zudem auch für Cloud Service-Anbieter. Das Thema Datenschutz wird zunehmend zu einem wichtigen Wettbewerbsvorteil, der sich positiv auf Kunden und Umsatz auswirken kann. Und das Interesse an rechtssicheren und unkomplizierten Lösungen beim Cloud Computing ist gerade im Mittelstand ungebrochen. Die vierstelligen Downloadzahlen unseres Leitfadens sprechen da bereits für sich.
Wir danken für das Gespräch!
Henrik Hasenkamp, CEO bei gridscale
Jens Wardenbach, Marketing Director bei gridscale