Andreas Krisch ©Christopher Glanzl / Datenschutzagentur
Digitalisierung. Die Datenablage in die Cloud zu verlagern, ist für Unternehmen zunehmend attraktiv. Allerdings kann man da leicht mit der Datenschutzverordnung übers Kreuz kommen.
Wenn ein Unternehmen kundenbezogene Daten in eine Datenwolke überträgt, müssen vorher rechtliche Bestimmungen der Datenschutzverordnung überprüft werden, so Andreas Krisch, geschäftsführender Gesellschafter der Datenschutzagentur.
Zunächst muss sichergestellt werden, dass diese Daten nur für Zwecke verwendet werden dürfen, für die sie auch gedacht sind, es braucht also entsprechende Zugangsbeschränkungen.
Und dann ist der Auftraggeber verpflichtet, zu prüfen, wo der physische Speicherstandort des Cloud-Anbeiters ist. Befindet sich der innerhalb der EU, ist die Sache in Ordnung, da in allen Mitgliedsländern die Datenschutzgrundverordnung gilt.
Außerhalb der EU wird es kompliziert
Ist das nicht der Fall, wird es für den Kunden kompliziert, erklärt Krisch. Man müsste in Erfahrung bringen, ob es eine der DSVG entsprechende Rechtsgrundlage gibt und ob der Anbieter sich dieser unterworfen hat. Eine solche gibt es beispielsweise in den USA, aber nicht alle Anbieter sind ihr beigetreten. Darüber hinaus müsste man als Kunde auch noch in Erfahrung bringen, welche anderen Unternehmen Zugriff auf die Daten haben.
„Man kann das erfragen, allerdings zeigt die Erfahrung, dass die Qualität der Antwort sehr bescheiden ist“, meint Krisch.
Die naheliegende Lösung daher: die Auswahl eines Anbieters, der von sich aus garantiert, die Daten in der EU zu speichern. So gibt es entsprechende Angebote etwa von Fabasoft.com, das die Daten nach eigenen Angaben in Deutschland, Österreich und der Schweiz speichert.
Die Austrian Cloud
Darüberhinaus gibt es seit 2017 das Projekt „Gütesiegel Austrian Cloud“ der Wirtschaftskammer. Dabei verpflichten sich Anbieter, die Daten in Österreich zu speichern. Neben datenschutzrechtlichen Bedenken geht es auch um das Risiko, dass auf US-amerikanischen Servern Wirtschaftsspionage unter Umständen nicht ausgeschlossen werden könne und auch US-Nachrichtendienste Zugriff erhalten könnten.
Zu einer Speicherung in Österreich haben sich eine Reihe von Anbietern verpflichtet, etwa timewarp.at, managed-office.at oder internex.at.
(ks)
