Passwort vergessen?  | 
 |  Passwort vergessen?  | 
Suche
  • Login
  • Login

Donnerstag, 16. November 2017, Ausgabe Nr. 46

Donnerstag, 16. November 2017, Ausgabe Nr. 46

Datenschutz

Trau, schau, wem?

Von Christiane Schulzki-Haddouti | 13. November 2015 | Ausgabe 46

Nach dem Safe-Harbor-Urteil des Europäischen Gerichtshofs raten die deutschen Datenschutz-Aufsichtsbehörden Unternehmen und Anwendern, sich europäischen Lösungen zuzuwenden. Eine stichprobenartige Umfrage der VDI nachrichten zeigt, dass die meisten Anbieter für Hosting- und Cloud-Lösungen in Sachen Datenschutz einigermaßen gut aufgestellt sind. Doch lohnt sich ein genauer Blick.

hosting bu
Foto: Strato AG

Rechenzentrum des Hosting-Anbieters Strato. Wer hier z. B. einen Webshop betreibt, muss einige Regeln des Datenschutzrechts beachten.

Jeder, der eine Website oder Onlinedienste betreibt, sollte den Hostinganbieter nicht nur nach Leistungskriterien und Preisen ermitteln. Auch Datenschutz und IT-Sicherheit müssen ordnungsgemäß sichergestellt werden. Denn zum einen werden auf Servern automatisch die IP-Adressen der Nutzer erfasst und gespeichert, zum anderen verarbeiten bestimmte Anwendungen wie E-Mail, Onlineshops oder auch Blogs routinemäßig die Daten der Kommunikationspartner, der Besucher und Kommentatoren.

Nach § 11 Bundesdatenschutzgesetz (BDSG) genügt es nicht, wenn die Anbieter für Hosting- und Cloud-Dienste eine Datenschutzerklärung abgeben. Die Kunden müssen mit den Anbietern auch eine schriftliche Vereinbarung über die sogenannte Auftragsdatenverarbeitung (ADV) abschließen. Damit verpflichtet sich der Webhoster, die Anweisungen des Auftraggebers zum Datenschutz einzuhalten.

Viele Webhoster behaupten bisher, dass sie keine personenbezogenen Daten verarbeiten würden. Das tun sie aber sehr wohl, wenn sie auf ihren Servern die entsprechende Software betreiben und damit im Auftrag des Kunden handeln. Nur wenige Webhoster weisen von sich aus darauf hin, dass dann dieser ADV-Vertrag geschlossen werden muss.

Im August jedoch forderte das Bayerische Landesamt für Datenschutzaufsicht von einem Unternehmen eine Geldbuße in fünfstelliger Höhe, weil es keinen solchen Vertrag abgeschlossen hatte. Seitdem hat sich der Wind gedreht: Auf Nachfrage der VDI nachrichten erklärten jetzt acht von neun befragten Hostern, diesen Vertrag abzuschließen. In der Regel haben sie einen Mustervertrag ausgearbeitet, den sie dem Kunden vorlegen können.

1&1 Internet AG

Deutsche Telekom AG

Domainfactory GmbH (Host Europe Group)

Hornetsecurity GmbH

Host Europe GmbH (Host Europe Group)

Spacenet AG

Strato AG

United Hoster GmbH

QualityHosting AG

„Keine Angaben“ zum ADV-Vertrag wollte allerdings mit 1&1 ein führendes Unternehmen machen, auf das Tausende von Kunden setzen. Es sei Politik der Geschäftsführung, hierzu keine Angaben zu machen, erklärte eine Sprecherin. Den VDI nachrichten liegt ein Schreiben von 1&1 an einen externen Datenschutzberater vor, in dem es den Abschluss eines solchen Vertrags ablehnt. Die zuständige rheinland-pfälzische Datenschutzaufsicht vertritt die Auffassung, dass 1&1 nicht zum Vertragsabschluss gezwungen werden kann. Die Verantwortlichkeit liege nämlich beim Kunden, der die Daten verarbeiten lässt. Schließt er keinen Vertrag ab, muss er bei jedem einzelnen Nutzer oder Kommunikationspartner eine Einwilligung einholen. Dabei muss er darüber informieren, wo die Daten verarbeitet werden.

Anbieter können sich zu Datenschutz und IT-Sicherheit zertifizieren lassen

Etwas einfacher ist es nach § 28 BDSG für relativ unsensible Daten, bei denen der Datenverarbeiter selbst eine Interessenabwägung vornehmen darf. Weil das nicht so ganz einfach ist, bieten die Aufsichtsbehörden hier ihre Beratung an.

Auch zu Zertifizierungen macht 1&1 keine Angaben. Wenn aber ein Anbieter über eine Zertifizierung verfügt, nutzt er diese in der Regel als Marketingargument. Mit einer solchen Zertifizierung kann er nämlich nachweisen, dass er in Sachen IT-Sicherheit alle relevanten Fragen systematisch abgearbeitet hat.

Unter den befragten Unternehmen ist es des Weiteren nur der Münchner Anbieter Domainfactory, der über keine Zertifizierung verfügt. Da er jedoch nächstes Jahr seine Server nach Frankreich verlegt, wird dieser Punkt wohl nur vertagt. Denn das neue Rechenzentrum in Straßburg verfügt über eine Zertifizierung.

Das ist noch in einem weiteren Punkt von Bedeutung: Der Kunde eines Hosting-Anbieters ist nämlich gesetzlich verpflichtet, sich selbst ein Bild davon zu machen, welche konkreten technisch-organisatorischen Maßnahmen dieser zum Schutz der Daten unternimmt. Da ein Kunde in der Regel nicht in der Lage ist, selbst vor Ort zu prüfen, können die Anbieter unabhängige Stellen mit dieser Prüfung beauftragen. Die meisten Datenschutz-Aufsichtsbehörden akzeptieren die Vorlage einschlägiger Zertifikate und Prüfberichte.

Normen wie die ISO/IEC 27001 sind für den Bereich der IT-Sicherheit etabliert, ebenso das Datenschutz-Gütesiegel des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein oder das damit verwandte EuroPriSe-Datenschutz-Gütesiegel. Wie unsere Umfrage zeigt, ist ISO/IEC 27001 weit verbreitet. Jedes Zertifikat ist jedoch individuell. Wenn man wissen möchte, ob der Anbieter ganz bestimmte Aspekte erfüllt, sollte man sich das Zertifikat und auch den Prüfbericht vorlegen lassen.

Datenschutzzertifikate sind dagegen unserer Umfrage nach Mangelware, weil die meisten Anbieter immer noch der Auffassung sind, dass sie selbst keine personenbezogenen Daten verarbeiten. Für die Cloud ist jedoch ein neues Datenschutzzertifikat namens „Trusted Cloud“ in Entwicklung, das ab Anfang 2016 zum Einsatz kommen soll. Es schreibt vor, was nach dem Prüfstandard ISO/IEC 27018 geprüft werden muss, um rechtskonform zu sein.

Standardisierungsexperte Kai Rannenberg von der Goethe-Universität Frankfurt sagt: „ Welche Datenschutzgarantien tatsächlich gegeben sind, hängt vom Zertifikat und Prüfbericht ab. Welche Garantien der Kunde vom Anbieter erhält, hängt überdies von dem Vertrag ab, den er abschließt.“

stellenangebote

mehr