PERSONALADMINISTRATION CLOUD UND DATENSCHUTZ „DIE DIGITALE SOUVERÄNITÄT BEWAHREN“ Spätestens seit dem Urteil des Europäischen Gerichtshofes zum Safe-Harbor-Abkommen im Oktober 2015 müssen auch Personalverantwortliche genauer prüfen, wem sie ihre Daten in der Cloud anvertrauen. Wir haben das Thema mit Susanne Dehmel, Mitglied der Geschäftsleitung Vertrauen & Sicherheit im Bitkom e.V. und Dr. Thilo Weichert, dem ehemaligen Datenschutzbeauftragten des Landes Schleswig-Holstein, diskutiert. Susanne Dehmel Das Interview führte Ulli Pesch. Personalwirtschaft: Nehmen wir an, Sie wären Personalchef beziehungsweise Personalchefin eines Unternehmens oder einer Behörde: Würden Sie mitarbeiterbezogene Daten über eine Cloud verarbeiten und speichern? Susanne Dehmel: Ich hätte keine Bedenken, weil ich mir den richtigen Anbieter dafür ausgesucht hätte. Dieser Anbieter würde die höchsten Standards in Sachen Datenschutz und Datensicherheit erfüllen. In vielen Fällen bieten Cloud-Dienstleister aufgrund ihres Know-hows ein höheres Schutzniveau als die IT-Abteilungen der Unternehmen selbst gewährleisten könnten. Das gilt vor allem für kleine und mittelständische Unternehmen. Thilo Weichert: Nicht unbedingt. Wenn qualifizierte und bezahlbare Software und Hardware zur Verfügung stehen, ist eine selbst administrierte Personalverwaltung immer besser, da ich dann als Chef die digitale Souveränität über meine Daten 68 Guide 2016 habe. Das ist bei einer Cloud-Lösung nicht voll sichergestellt. Aber auch CloudAnwendungen können vertrauenswürdig und zuverlässig sein. Bei europäischen Anbietern gäbe es jedenfalls keine grundsätzlichen rechtlichen Hindernisse. Die Regeln zur Auftragsdatenverarbeitung müssen aber in jedem Fall eingehalten werden. Das Thema Cloud Computing wird seit seinem Aufkommen vor einigen Jahren von vielen deutschen Unternehmen eher mit Argwohn und Skepsis betrachtet. Es kommt scheinbar nicht so richtig in Gang. Sehen Sie das ähnlich? Susanne Dehmel: Ganz und gar nicht. Cloud Computing ist inzwischen fester Bestandteil der IT-Systeme von Unternehmen. 44 Prozent der Unternehmen in Deutschland setzen Cloud Computing bereits ein, weitere 24 Prozent pla- nen oder diskutieren den Einsatz. Die Vorteile der Cloud-Technologie in Sachen Verfügbarkeit, Flexibilität und Preis sind enorm. Man muss aber unterscheiden zwischen unternehmensinternen Private Clouds und Public Clouds, bei denen der Zugriff über das öffentliche Internet erfolgt. Die meisten Cloud-Installationen sind Private Clouds. Thilo Weichert: Nein. Das EuGH-Urteil zu Safe Harbor sagt nichts zur CloudDatenverarbeitung generell, verwirft aber faktisch fast vollständig Angebote aus den USA. Argwohn ist aber auch hierzulande berechtigt, da die Seriosität von Anbietern bisher schwer zu bewerten ist. ” Gute Zertifizierungsverfahren können hier Abhilfe schaffen. Im Bundeswirtschaftsministerium wird hieran gearbeitet. Ein Zertifizierungsschema wurde dort schon erfolgreich entwickelt und von den interessierten Stakeholdern, also Zertifizierungsanbietern, Datenschutzbehörden und IT-Unternehmen, akzeptiert. Nach diesen Kriterien bieten übrigens schon Datenschutzschutzbehörden, zum Beispiel das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, Gütesiegel an. Welche Konsequenzen, Frau Dehmel, hat das aktuelle EuGH-Urteil für deut- Wenn qualifizierte und bezahlbare Software und Hardware zur Verfügung stehen, ist eine selbst administrierte Personalverwaltung immer besser. Dr. Thilo Weichert Dr. Thilo Weichert sche Unternehmen, die Dienstleistungen und Infrastruktur von US-CloudDienstleistern in Anspruch nehmen? Susanne Dehmel: Sie sollten die bestehenden Verträge prüfen und sich bei Bedarf mit ihren Cloud-Dienstleistern in Verbindung setzen. Handlungsbedarf besteht zunächst nur, wenn ein Datentransfer in die USA nach dem SafeHarbor-Abkommen vereinbart wurde. Es gibt andere Möglichkeiten als Safe Harbor, eine Datenübermittlung rechtssicher zu gewährleisten. Könnten deutsche und andere europäische Cloud-Dienstleister nicht von diesem Urteil profitieren? Susanne Dehmel: Das mag im Einzelfall passieren, aber in die Entscheidung für einen Cloud-Dienstleister fließen mehrere Faktoren ein: die Qualität und Verfügbarkeit des Dienstes, der Preis und der wichtige Punkt Sicherheit. Ein deut- scher oder europäischer Anbieter schneidet bei der Abwägung aller Faktoren nicht automatisch am besten ab. Thilo Weichert: Unbedingt. Statt zu jammern, dass jetzt der Datentransfer in die USA erschwert ist, sollten und können rechtlich zulässige Alternativen gesucht und gefunden werden. Die gibt es in Deutschland und Europa. Selbst US-Unternehmen sind jetzt gut beraten, entweder selbst Rechenkapazität in Europa aufzubauen oder europäische Dienstleister zu nutzen. Im Ergebnis betreibt der EuGH lokale Wirtschaftsförderung und tut das, was etwa die Bundesregierung über Jahre verpasst hat, selbst nachdem über Edward Snowden bekannt wurde, dass US-Dienste nicht vertrauenswürdig sind. Wird man, Ihrer Ansicht nach, aufgrund dieses Urteils nach anderen Wegen suchen, die Cloud-Technologie weiter im Markt zu etablieren? Susanne Dehmel: Der Trend geht seit dem NSA-Skandal ohnehin dahin, Daten innerhalb Europas zu verarbeiten. Viele große IT-Unternehmen aus den USA verfügen längst über eigene Rechenzentren in der EU oder bauen hier welche auf. Das kann aber nicht die alleinige Lösung sein. Viele innovative, junge Unternehmen sitzen in den USA und bieten ihre Services über die Cloud an. Wollen oder können sie ihre Dienste wegen des SafeHarbor-Urteils nicht mehr in der EU anbieten, ist das eindeutig ein Innovationshemmnis. Thilo Weichert: Gegen Cloud-Angebote ist grundsätzlich nichts einzuwenden, sie müssen nur gut sein. Die Anforderungen sind klar: Vertraulichkeit, Verfügbarkeit, ” Wir sehen keine wirkliche Alternative zu Cloud-Services. Dafür bietet die Technologie einfach zu viele Vorteile. Susanne Dehmel Integrität, Intervenierbarkeit, Transparenz und Mandantentrennung. Clouds können funktional und preiswert sein und eröffnen möglicherweise ein völlig neues globales Kommunikationspotenzial. Der Maßstab dafür findet sich im § 11 des Bundesdatenschutzgesetzes, dem aber leider nicht nur US-Anbieter bisher nicht entsprechen. Die europäische Datenschutz-Grundverordnung setzt auf diesen Anforderungen auf, sodass sich insofern auch künftig nicht viel ändern wird. Frau Dehmel, welche Vor- und gegebenenfalls Nachteile hat die CloudTechnologie für HR in Hinblick auf Datenschutz und Datensicherheit gegenüber den konventionelleren OnPremise-/Inhouse-Lösungen? Susanne Dehmel: Das Vertrauen der Kunden in die Sicherheit ihrer Daten in der Cloud ist das höchste Gut eines jeden Cloud-Dienstleisters. Daher investieren sie viel in die Sicherheit. Technisch sollten sie auf dem neuesten Stand sein und laufend die aktuelle Sicherheitslage beobachten. Gerade kleine und mittelständische Unternehmen sind nicht immer dazu in der Lage, ein vergleichbares Sicherheitsniveau aus eigener Kraft zu gewährleisten. Da sehe ich den Vorteil bei den Cloud-Anbietern. Gibt es Alternativen zur Cloud, die der globalen Vernetzung Rechnung tragen und dennoch den Schutz von insbeson- dere personalbezogenen Daten sicherstellen? Susanne Dehmel: Wir sehen keine wirkliche Alternative zu Cloud-Services. Dafür bietet die Technologie einfach zu viele Vorteile. Die Unternehmen müssen entscheiden, ob sie eine interne CloudLösung bevorzugen, die aber auch mit einem höheren administrativen Aufwand verbunden ist. Bei Lösungen aus der Public Cloud sollten die Unternehmen bei der Auswahl eines Dienstleisters sorgfältig vorgehen und darauf achten, dass er die Anforderungen in Sachen Sicherheit und Datenschutz erfüllt. Thilo Weichert: Eigenadministrierte Personaldatenverarbeitung ist immer die beste, aber nicht unbedingt die billigste Lösung. Kostengünstiger als Eigenentwicklungen sind Standardlösungen. Dafür gibt es auf dem Markt sehr qualifizierte Angebote. Auch insofern sollte man auf externe Zertifikate achten. Neben den erwähnten Datenschutzgütesiegeln sind die Zertifikate des Bundesamtes für die Sicherheit in der Informationstechnik werthaltig. In jedem Fall muss ja die Mitbestimmung des Betriebsrates stattfinden. Und der will natürlich nachvollziehbar sichergestellt wissen, dass der Datenschutz der Beschäftigten beachtet wird. Bei aller Globalisierung des Datenverkehrs darf die digitale Souveränität nicht verloren gehen. Guide 2016 69
© Copyright 2024 ExpyDoc
