Auftragsdatenverarbeitung – Kriterien für sichere Cloud-Dienste Teil 2

von Sabine Hansjosten-Mülleram in Ratgeber

Erfahren Sie in Teil 2 unserer Serie „Business-Datenaustausch mit Cloud-Diensten in Deutschland“, was generell in puncto Sicherheit zu beachten ist. Justiziar Thomas Wittmann beleuchtet auch, worauf speziell sensible Berufsgruppen wie Ärzte oder Rechtsanwälte achten müssen.

Welches sind die wichtigsten Sicherheitsspielregeln?

Thomas Wittmann (TW): Sehr großen Einfluss hat bei der Nutzung von Cloud-Diensten das Bundesdatenschutzgesetz, zumal sich nach der Rechtsprechung quasi fast alle Informationen unter „personenbezogene Daten“ subsumieren lassen, die nicht zu 100% anonymisiert sind und einen Rückschluss auf den Betroffenen ausschließen.

Man hört immer wie der von der Auftragsdatenverarbeitung – was ist das genau?

TW: Nutzt man einen Cloud-Speicherdienst, wie z.B. die im Markt sehr bekannte Dropbox, im Geschäftsverkehr zum Dokumentenaustausch, liegt fast immer eine Auftragsdatenverarbeitung i.S.d. § 11 BDSG vor. Der Unternehmer muss ergo eine schriftliche Vereinbarung entsprechend den Mindestvorgaben dieses Paragraphen abschließen und erst einmal einen Cloud-Anbieter finden, der dazu bereit ist. Die Online-Vermarktung wird dadurch erschwert, denn theoretisch muss die Vereinbarung zur Auftragsdatenverarbeitung bereits für den Zeitraum eines kostenlosen Testzeitraumes abgeschlossen werden. Ich rate Nutzern, in der Testphase nur Testdaten und keine personenbezogenen Daten zu verwenden.
Der Gesetzgeber sollte indes der Realität ins Auge sehen: Unternehmer, die mit ihrem Cloud-Dienste-Anbieter keine solche Vereinbarung zur Auftragsdatenverarbeitung abschließen, sind oft nur aus Unwissenheit gesetzeswidrig unterwegs.

Gibt es spezielle Gesetze für besondere Berufsgruppen?

TW: Unternehmen – und insbesondere spezielle Berufsgruppen, wie Ärzte, Steuerberater, Rechtsanwälte – müssen per se eine Reihe spezialgesetzlicher Datenschutzbestimmungen und Aufbewahrungspflichten beachten. Diese hier in Gänze aufzuführen, würde den Rahmen sprengen. Auf zwei Vorschriften möchte ich aber hinweisen:

Beschlagnahmeschutz nach § 97 ZPO
Der Beschlagnahmeschutz für besondere Berufsgruppen (§ 97 ZPO) gilt nur für bestimmte Gegenstände, die sich auch im Gewahrsam dieser besonderen Berufsgruppe befinden. Das Rechenzentrum, in der eine Cloud betrieben wird, befindet sich i. d. R. außerhalb des Gewahrsams (z.B. Praxisräume). Folge: Unter Umständen läuft der Beschlagnahmeschutz für diese Berufsgruppe bei einer Cloud-Anwendung ins Leere. Nur Transparenz und eine Einwilligung des Patienten/Mandanten helfen hier. Musste ein Anbieter noch vor einiger Zeit im Falle einer Beschlagnahme damit rechnen, dass die Staatsanwaltschaft den gesamten Server mitnimmt, geht diese heute oftmals mit geschultem Fachpersonal vor, so dass im Beisein von Experten nur noch eine Kopie der Festplatten gezogen wird. Der Cloud-Anbieter kann also seine Dienste grundsätzlich unterbrechungsfrei weiter leisten.

§ 203 StGB
Angesprochen sei an dieser Stelle auch die Strafvorschrift des § 203 StGB: „Verletzung von Privatgeheimnissen“. Zur Erfüllung des Tatbestandsmerkmales der „Offenbarung“ reicht es bereits aus, wenn ein Arzt, Steuerberater oder Rechtsanwalt einem Dritten auch nur die Möglichkeit zur Kenntnisnahme auf die geschützten Geheimnisse bietet. Eine (unbefugte) Offenbarung liegt daher bereits vor, wenn der Arzt die Krankenakte in seinem Dienstzimmer auf dem Schreibtisch liegen lässt und das Zimmer nicht verschließt oder der Rechtsanwalt eine Fernwartung auf seinem System zulässt, ohne sich ausreichend abzusichern. Gerade eine solche Absicherung (z.B. durch verschlüsselte Datenspeicherung oder entsprechende Überwachung der Fernwartung) ist recht aufwändig und in der Praxis verstoßen viele Berufsgruppen unbewusst gegen diese Strafvorschrift.

Einwilligungen
Alle Arten der nachfolgend dargestellten Einwilligungen sind in einer einzigen Einwilligungserklärung „kombinierbar“, sofern die Voraussetzungen der jeweiligen Einwilligung eingehalten sind.
Anwälte, Steuerberater, Wirtschaftsprüfer und öffentliche Institutionen holen sich von Mandanten eine schriftliche Einwilligung z.B. zur E-Mail Kommunikation ein. Dies dient der eigenen Enthaftung. Außerhalb dieser Kreise verzichten die meisten auf diese Formalie – obwohl technisch betrachtet E-Mail Kommunikation nicht 100prozentig sicher ist. Das Risiko, dass E-Mails verfälscht werden könnten, nehmen die meisten aber in Kauf. In naher Zukunft wird das bei Cloud-Diensten genauso sein, da bin ich überzeugt.

Auch Ärzte und Krankenhäuser holen sich zusammen mit dem Aufnahmevertrag entsprechende Einwilligungen von Patienten ein (auch im Kontext der Privatliquidation). Der Patient hat aus meiner Sicht jedoch nur die Option, einzuwilligen oder ein Krankenhaus ohne EDV aufzusuchen. Auch dies zeigt: Innovation ist in unserem Leben längst angekommen, die gesetzlichen Regelungen spiegeln aber nicht den Alltag der Gesellschaft wider. Die juristische Diskussion geht dabei sogar noch weiter: Wenn ein Patient z. B. als Notfall eingeliefert wird und gar nicht in der Lage ist, eine Einwilligung zu unterzeichnen. Dann erscheinen ergebnisgeleitete Konstrukte wie sog. „Mutmaßliche Einwilligung“ oder die „Grundsätze der Geschäftsführung ohne Auftrag“. Aus meiner Sicht eine unnötige und unverständliche Förmelei: EDV ist in Krankenhäusern sowieso nicht mehr wegzudenken.

Vertiefen Sie im folgenden Teil 3 (17. September 2014) in einem kleinen Exkurs die rechtlichen Bedingungen von Einwilligungen nach BDSG und TMG
Teil 1 „Kriterien für sichere Cloud-Dienste: Transparenz, Audits und Serverstandort“

 

Thomas Wittmann ist in Köln zugelassener Rechtsanwalt und arbeitet als Justiziar in einem renommierten Beteiligungsunternehmen in Bonn. Er berät juristisch seit fast 15 Jahren insbesondere Unternehmen aus der IT.