Warum ist das so schwierig?

Jeder braucht sie, fast jeder nutzt sie: lleine, schnelle cloudbasierte Tools sind aus unserem Alltag nicht mehr wegzudenken. Die digitale Transformation macht es möglich, dass gemeinsames Arbeiten an einem Kanban Board, an einem Textdokument oder einem Whiteboard für viele von uns zum Alltag gehört. In einer Zeit ohne Präsenzmeetings ist die Arbeit ohne sie fast nicht mehr leistbar. Welche von ihnen aber erfüllen die Datenschutz Anforderungen und sind legal nutzbar? Die wichtigsten Kategorien stellen wir hier kurz dar.

Personenbezogene Daten: Die erste Klippe

Wer keine personenbezogenen Daten speichern möchte, hat weitgehend freie Wahl. Dann ist nur zu beachten, ob die Informationen zu schützen sind, ob etwa in der Zusammenarbeit im Projekt Daten eines Kunden mit verwendet werden und man selbst zugesichert hat, diese gegen fremden Zugriff zu sichern.

Dieser Fall kommt jedoch im Alltag kaum vor – annähernd jedes Board enthält Namen, Daten, Bezüge, E-Mail Adressen – Daten eben, die einen Rückschluss auf eine einzelne Person zulassen und damit personenbezogen sind. Die DSGVO regelt die Ansprüche an alle Tools, die diese Daten verarbeiten – Tools müssen der DSGVO genügen.

Wo liegen die Daten? – ein zentraler Unterschied

Aus europäischer Sicht unkritisch ist die Verarbeitung von personenbezogenen Daten, solange sie in einem Land der EU stattfindet. Heißt: Die Computer / Server, auf denen die Daten verarbeitet oder gespeichert werden, befinden sich physisch innerhalb der europäischen Union. Ja, richtig gelesen – wir müssen uns darum kümmern, wo ein Computer steht. Eigentlich der krasse Gegensatz zur (ursprünglichen) Idee des Cloud Computing, wo ich mich nicht darum kümmern müssen sollte, wo die Rechner stehen. Außerhalb der EU ist auch ok, solange das Land ein “angemessenes Schutzniveau” bietet – wer das ist, wird von der EU festgelegt. Details hier: Adequacy decisions | European Commission (europa.eu)

Der Cloud Act: Jetzt wird es kompliziert

Eine Besonderheit ist der Umgang mit Unternehmen, die in den USA ansässig sind. Sie sind per Gesetz (“US Cloud Act”) verpflichtet, auf Anfrage von Regierungsbehörden auch personenbezogene Daten herauszugeben, die aus amerikanischer Sicht im Ausland gespeichert sind. Der Hintergrund ist, dass solche Daten für polizeiliche oder geheimdienstliche Angelegenheiten der USA verfügbar gemacht werden sollen.

Expertentipps für schnelle Projekte

Agiles und digitales Projektmanagement, Konfliktmanagement und Lösungsstrategien, Change Prozesse und nützliche Tools: Wir versorgen Sie mit Tipps rund um diese wichtigen Themen - tragen Sie sich ganz einfach ein!

Projekterfolg nach der Pandemie

Heißt konkret: Wenn Sie Daten auf einem Server speichern, den ein amerikanisches Unternehmen in Deutschland betreibt, kann es zumindest theoretisch sein, dass Ihre Daten ohne Ihre Kenntnis an amerikanische Regierungsstellen weitergegeben werden.

Ein Fazit 

Damit ist Datensicherheit im Sinne des deutschen Gesetzgebers für personenbezogene Daten nur erfüllt, wenn die Daten auf einem Server in der EU (oder einem sicheren Drittland) durch ein Unternehmen betrieben werden, das nicht dem US Cloud Act unterliegt.

Eine detailliertere Darstellung finden Sie zum Beispiel hier: Cloud-Software: Diese DSGVO-Regeln gelten (handwerk.com)

Eine weitergehende Beschreibung zur Rechtslage bezogen auf den Cloud Act finden Sie hier: Privacy Shield: Das FBI will Informationen von Internetnutzern auswerten (wiwo.de)

In der Praxis relevante Kategorien 

In der Praxis sind besonders zwei Kategorien relevant: Soll der Zugriff nach dem US Cloud Act ausgeschlossen werden oder nicht?

Für die Darstellungen auf unserer Website verwenden wir daher die folgenden Kategorien:

DSGVO-konform

Das Tool erfüllt die Anforderungen des Datenschutzes; die Server stehen in der EU oder einem als sicher klassifizierten Drittland und werden von einem Unternehmen betrieben, das nicht dem US Cloud Act unterliegt.

nicht-DSGVO-konform

Dieses Symbol kennzeichnet Tools, deren Betreiber nach unserem Kenntnisstand dem US Cloud Act unterliegt.

DSGVO-konformität-wird-geprüft

Dieses Symbol kennzeichnet Tools, die aktuell noch in Prüfung sind.

Disclaimer

Die angegebenen Informationen sind Stand unserer Recherche. Für die Angaben übernehmen wir keine Haftung. Vor dem Einsatz eines Tools sollten Sie stets eine rechtliche Beratung in Anspruch nehmen, um die konkreten Anforderungen an das Tool und die Umstände des Einsatzes zu klären.

Auch interessant für Sie?

➜ Übersicht Digitale Tools