Cloud-Service und (Vorab-)Kontrolle

Die Entscheidung für die Nutzung von Cloud-Services wird vor allem unter wirtschaftlichen und organisatorischen Aspekten getroffen.
Die anhaltend diskutierten Schlagworte lauten Flexibilität/ verbrauchsabhängige Kosten/ Einsparung eigener IT-.Systeme und ubiquitäre Verfügbarkeit.
Die Auslagerung von Anwendungen betrifft hierbei in aller Regel auch datenschutzrelevante Bereiche. Damit verbunden sind die praktischen Probleme der Auftragsdatenverwaltung : der Auftraggeber bleibt für die Daten verantwortlich, erleidet aber durch die Auslagerung zu einem Dienstleister  notwendigerweise einen Kontrollverlust. Dieser ist gem. § 11 BDSG jedoch nicht akzeptabel. Nach § 11 Abs. 2 S. 4 BDSG ist die verantwortliche Stelle verpflichtet, vor Beginn der Datenverarbeitung eine (Vorab-)Kontrolle durchzuführen. Unabhängig davon, dass der Dienstleister regelmäßig nicht von einem aufwendigen Besuch begeistert ist,  ist eine tatsächliche Kontrolle insbesondere bei einem örtlich entfernten Anbieter oder bei Einsatz von weiteren Subunternehmern mit einem hohen Kosten- und Zeitaufwand verbunden. Ein bloßes Vertrauen auf Zertifikate und Gütesiegel anerkannter  und unabhängiger Prüfstellen reicht in der Regel nicht. Es ist zumindest erforderlich die dazugehörigen Prüfberichte einzusehen und entsprechend zu prüfen. Akzeptiert der Cloud-Anbieter dies nicht, so wird sich der Service-Nutzer gegenüber der Datenaufsichtsbehörde damit nicht herausreden können.  Der Auftraggeber als weiterhin Verantwortlicher ist für die Einhaltung der datenschutzrechtlichen Anforderungen in Deutschland zuständig.

Comments are closed.