Eine Nummer größer

Owncloud im Unternehmen einsetzen

Praxis & Tipps | Praxis

Alle relevanten Daten immer und überall verfügbar, das ist auch im Job bequem. Aber wenn man schon als Privatmensch ein schlechtes Gefühl dabei hat, seine persönlichen Daten einem Cloud-Anbieter anzuvertrauen, wie soll man dann mit geschäftlichen Daten umgehen? Eine Owncloud-Installation in der Firma kann Datenschutz und Cloud-Komfort miteinander versöhnen.

Privatleute wollen raus aus der Cloud, Firmen müssen: Bei personenbezogenen Daten wie Namen und Adressen von Kunden verbietet schon das Bundesdatenschutzgesetz das Speichern auf Cloud-Servern, die in den USA oder sonst wo auf der Welt stehen (siehe Textkasten rechts). Aber auch vertrauliche Unterlagen, interne Kalkulationen und sonstige Geschäftsgeheimnisse möchte man kaum „irgendwo in der Cloud“ speichern, seit man weiß, in welchem Umfang NSA und Co. auf die Datenspeicher der US-amerikanischen Cloud-Anbieter zugreifen – auch im Interesse der eigenen Wirtschaft.

Ein simples Dropbox-Verbot dürfte allerdings die wenigsten Mitarbeiter von der Cloud-Nutzung abhalten. Mehr Aussicht auf Erfolg dürfte eine firmeneigene Alternative zu den Consumer-Cloud-Diensten haben: Mit einer Owncloud-Installation auf eigener Hardware kann man den Mitarbeitern einfach nutzbaren Cloud-Speicher zur Verfügung stellen, bei dem die Daten unter eigener Kontrolle bleiben. Dabei darf die Cloud-Software freilich nicht isoliert als Fremdkörper im Firmennetz stehen, sondern muss sich in die Infrastruktur integrieren. Der gleichzeitige Zugriff vieler Anwender stellt höhere Anforderungen an die Hardware, und auch die Ansprüche an die Datensicherheit sind größer – ein regelmäßiges Backup des Datenbestandes ist ebenso Pflicht wie das zeitnahe Einspielen von Sicherheits-Patches. Und spätestens wenn unternehmenskritische Daten in die Owncloud wandern, stellt sich die Frage nach Ausfallsicherheit und Hochverfügbarkeit. ...

Rechtssicher in der Wolke

Daten in die Cloud zu legen, um von überall aus Zugriff darauf zu haben, ist zwar ungeheuer bequem, rechtlich aber nicht immer unbedenklich. Dies gilt zumindest für personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG). Darunter versteht das Gesetz „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ wie Name, Anschrift oder Geburtsdatum, aber auch genetische Informationen. Anwendbar ist der Datenschutz aber nur dann, wenn die Informationen im geschäftlichen Umfeld verwendet werden. Private Datensammlungen, etwa ein Verzeichnis der Geburtstage von Familien und Freunden, fallen nicht unter die Anwendung des BDSG.

Werden personenbezogene Daten von einem Kunden mit Wohnsitz in Deutschland in die Cloud gelegt, so findet in der Regel deutsches Recht Anwendung. Sofern nicht jede einzelne Person beispielsweise in einer Kundendatei eine explizite Erlaubnis dafür erteilt hat, sind für eine zulässige Speicherung und Verarbeitung einige Voraussetzungen zu erfüllen. Bei der Speicherung bei einem Cloud-Anbieter handelt es sich typischerweise um eine Auftragsdatenverarbeitung, für die Nutzer und Cloud-Anbieter einen zusätzlichen, umfangreichen Vertrag schließen müssen. Danach behält der Nutzer weiter die Herrschaft über die Daten und muss genau über die Art und Weise der Datenverarbeitung und der dabei getroffenen technischen Maßnahmen informiert werden.

Entscheidend ist zudem die Frage, in welchem Land die Daten physisch gespeichert werden. Eine Nutzung in Deutschland ist ebenso unproblematisch wie eine grenzüberschreitende Datenverarbeitung innerhalb der EU. Anders sieht es aus, wenn die Daten auf Server außerhalb der EU transferiert werden. Dort herrscht in den allermeisten Fällen ein Datenschutzniveau, welches erheblich unter den europäischen Vorgaben liegt. Anbieter wie T-Systems haben spezielle Cloud-Produkte für Unternehmen im Portfolio, bei denen eine rechtskonforme Datenverarbeitung in Deutschland garantiert wird.

Dropbox hingegen gibt in seinen Datenschutzbestimmungen an, dass „Daten an Standorten in aller Welt gespeichert, verarbeitet und übertragen“ werden. Zwar führt man dort weiter aus, in den USA durch Umsetzung der sogenannten Safe-Harbor-Vereinbarungen besondere Vorkehrungen und Vereinbarungen zum Schutz von Daten auf europäischem Standard getroffen zu haben. Da sich das Unternehmen aber einen weltweiten Export der Informationen vorbehält und soweit ersichtlich auch nicht die Möglichkeit zum Abschluss einer Auftragsdatenverarbeitung anbietet, ist eine datenschutzkonforme Nutzung für Firmen nach Ansicht der zuständigen Aufsichtsbehörden kaum möglich.

Unproblematisch ist die Nutzung von Dropbox und Co. lediglich, wenn die hochgeladenen Daten keine personenbezogenen Informationen enthalten, wie es beispielsweise bei Pressemitteilungen oder technischen Zeichnungen der Fall ist. Einige Landesbehörden, etwa die in Rheinland-Pfalz, halten auch die Speicherung verschlüsselter Daten in der Cloud für rechtskonform. Darüber, ob dies ausreichend ist, sind die Datenschutzbeauftragten jedoch uneinig. (Joerg Heidrich)

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

Kommentare

Anzeige