Welche Dienste beziehen Sie persönlich aus der Datenwolke?

Hanspeter Thür: Abgesehen von meinem privaten E-Mail eigentlich keine. Ich bewege mich nicht in Social Communities und benutze auch keine webbasierten Kalender.

Wie gehen Sie damit um, dass immer mehr Dienstleistungen über das Internet und die Cloud abgewickelt werden?

Thür: Das ist nicht mehr wegzudenken und macht Leben und Arbeit wohl in vieler Hinsicht einfacher. Gleichwohl müssen dort Sicherheitsvorkehrungen getroffen werden, wo Personendaten bearbeitet werden: Man sollte sie verschlüsseln und nur über sichere Leitungen senden. Auch soll immer nur mit den Daten gearbeitet werden, die unbedingt notwendig sind, und ebenso sollen nur diejenigen Zugriff haben, die ihn wirklich benötigen.

Was heisst das für die Anwender?

Thür: Wir als Kunde oder Kundin müssen unsere Selbstverantwortung wahrnehmen. Das heisst: immer die Nutzungsbestimmungen und Geschäftsbedingungen lesen, Opt-out-Möglichkeiten ergreifen und die Seriosität des Anbieters prüfen.

Was gilt es im Bezug auf den Datenschutz beim IT-Outsourcing zu beachten?

Thür: Zunächst einmal gilt das Datenschutzgesetz nur, wenn personenbezogene Daten bearbeitet werden. Für anonymisierte oder verschlüsselte Daten gilt es nicht. Der Auftraggeber muss einen Auftragnehmer auswählen, der sorgfältig und gewissenhaft arbeitet, und einen Vertrag über die Details, wie Zweck und Art und Weise der Datenbearbeitung und Datensicherheit, mit ihm abschliessen. So kann der Auftraggeber darauf vertrauen, dass seine Daten möglichst sicher sind und dass verantwortungsvoll damit umgegangen wird, denn er bleibt verantwortlich.

Anzeige

Wie dürfen die Daten verarbeitet werden?

Thür: Der Auftragnehmer darf die Daten nur so bearbeiten, wie es der Auftraggeber als Inhaber der Datensammlung auch dürfte. Das Gesetz sieht ausserdem vor, dass sich der Auftraggeber vergewissern muss, dass der Auftragnehmer die Datensicherheit gewährleistet.

Gilt das auch für die Auslagerung ins Ausland?

Thür: Diese Kontrolle ist in der Regel praktisch nicht umsetzbar, wenn die Daten ins Ausland übermittelt werden. In diesen Fällen muss ohnehin zuerst die Frage geklärt werden, ob die Datenschutzgesetzgebung im Zielland die Personendaten angemessen schützt oder ob ein Vertrag nötig ist, der entsprechende Standards zusichert. Dies kann auch im Rahmen eines Service Level Agreement geregelt werden. Dabei muss aber eines bedacht werden: Auch umfassende schriftliche Zusicherungen des Cloud-Anbieters schützen nicht vor dem Zugriff der dortigen staatlichen (Strafverfolgungs-)Behörden oder Geheimdienste.

Wann raten Sie von Outsourcing ab?

Thür: Wir raten von Outsourcing ab, wenn es sich um Geschäfts- oder Berufsgeheimnisse oder besonders schützenswerte Personendaten handelt. Denn bei Outsourcing ins Ausland gibt man auf jeden Fall die Herrschaft über die Daten ab.

Wie wird oder sollte sich die Lage auf Gesetzesebene ändern?

Thür: Grundsätzlich wären die gesetzlichen Vorschriften für das Outsourcing und damit auch für das Cloud Computing ausreichend. Werden die Daten ins Ausland transferiert, stellt sich aber das Problem der Kontrolle und Aufsicht über den dortigen Auftragnehmer, die objektiv nicht gewährleistet werden kann.

Der Datenschutz wird untergraben.

Thür: Es stellt sich die Frage, ob in heiklen Fällen Cloud Computing auf Gesetzesstufe eingeschränkt werden müsste. Wir sind der Meinung, dass Unternehmen gut daran tun, vor einem Datentransfer ins Ausland sorgfältige Risikoanalysen vorzunehmen und bei besonders schützenswerten Daten darauf zu verzichten.

Unterscheiden sich die Herausforderungen für einen Kleinbetrieb, der beim Umgang mit vertraulichen Informationen nicht über dieselben Ressourcen verfügt, von denen eines Grossunternehmens?

Thür: Richtschnur für den Umgang mit Personendaten ist nicht die Grösse des Unternehmens, sondern der Inhalt und Umfang der Daten. Je sensibler die Daten sind, desto grösser müssen die Sicherheitsvorkehrungen sein. Dasselbe gilt auch für Daten, die einem gesetzlichen, beruflichen oder geschäftlichen Geheimnisschutz unterliegen. Hier ist Cloud Computing wenig geeignet, weil die Sicherheitsrisiken einfach grösser sind.

Das heisst konkret?

Thür: Wenn ein KMU schützenswerte Personendaten oder vertrauliche Daten bearbeitet, wird es nicht umhinkommen, dieselben Datenschutzstandards anzuwenden wie ein Grossunternehmen.

Wie beurteilen Sie die Risiken des ungewollten Datenversands durch Smartphones? Auch hier bieten sich ja durch Cloud Computing neue Möglichkeiten.

Thür: Diese Risiken sind real, weil Smartphones in der Regel nicht wie Büro-EDV durch Sicherheitssoftware wie Firewalls oder Virenschutz geschützt sind. Und Smartphones gelangen ins Internet.

Die Daten sind ungeschützt.

Thür: Sowohl beim Surfen als auch durch Apps werden, teilweise auch ohne Wissen der Betroffenen, Daten verschoben. Apps können quasi als Trojaner so programmiert werden, dass sie etwa bestimmte Nutzer-Informationen und Inhalte weiterleiten. Hier reden wir einerseits von Personendaten, aber auch von betrieblichen Daten wie Projektplänen, Produktdetails, Geschäftsgeheimnissen oder anderen wichtigen internen Dokumenten.

Was heisst das für Unternehmen?

Thür: Das bedeutet für die betroffenen Personen und Unternehmen, dass sie die Kontrolle über ihre Daten verlieren. Die Nutzerinnen und Nutzer dieser Smartphones sind häufig zu wenig sensibilisiert für diese Problematik, und die Unternehmen sind sich nicht im Klaren darüber, dass sie auch für Konkurrenten quasi weit offene Türen haben. Es mag sinnvoll erscheinen, wenn der Ingenieur auf der Baustelle die Pläne auf dem Smartphone abrufen kann - aber ist es auch sicher?

Welche konkreten Massnahmen sollten umgesetzt werden?

Thür: Ein Unternehmen sollte klar definieren, welche Daten unter welchen Bedingungen zugänglich gemacht und wie heikle Daten sicher abgelegt werden können. Weiter muss bestimmt werden, wer die Berechtigung erhält, auf die Dokumente zuzugreifen, und wer ein Smartphone braucht, um mit dem internen System verbunden zu sein. Die Mitarbeiter sollten sensibilisiert werden. Als äusserste Massnahme käme ein Verbot der Installation von Apps auf beruflich genutzten Smartphones in Frage - dies wäre jedoch wohl eine unpopuläre Massnahme.