Wie halten sie es mit dem Recht auf Vergessenwerden?

Sehr viele KMU verwenden für die Bearbeitung von Personen- und Unternehmensdaten Cloud-Lösungen. Halten sie aber die Rechte Ihrer Kunden und Mitarbeitenden ein, über die sie Daten speichern?

Für viele KMU sind Cloud-Lösungen eine grosse Erleichterung, weil sie damit den sicheren Betrieb von Datenablagen delegieren können. Dies gilt insbesondere in der aktuellen Situation, in der Homeoffice notwendig ist. Was aber bedeutet eine "sichere" Cloud-Lösung? Das deutsche Bundesamt für Sicherheit in der Informationstechnologie und andere Organisationen haben definiert, was sicher ist. Reicht das? Nein! Denn diese Richtlinien betrachten nur die technische Seite einer Cloud-Lösung. Genauso wichtig ist jedoch, wie ein KMU eine Cloud-Lösung anwendet. Ob ein KMU seine Cloud-Lösung im Griff hat, zeigt sich u.a. darin, ob die im schweizerischen Datenschutzgesetz verankerten Pflichten erfüllt werden können: Einerseits muss es möglich sein, jemandem über die über ihn gespeicherten Daten Auskunft zu geben (Auskunftspflicht), andererseits müssen diese Daten auf Wunsch des Betroffenen gelöscht werden können (Recht auf Vergessenwerden).

Auskunftspflicht

Auf Wunsch einer Kundin oder eines Mitarbeitenden müssen Sie als KMU darüber Auskunft geben, welche Daten im ganzen KMU über sie gespeichert sind. Die wenigsten KMU sind dazu in der Lage, weil Daten über Kunden und Mitarbeitende meistens unkontrolliert erfasst werden. Dem kann ein KMU nur entgegenwirken, indem es vor der Einführung einer neuen Informatikanwendung festlegt, welche Mitarbeitenden welche Daten mit welchen Werkzeugen wie bearbeiten dürfen.

Pflicht zur Löschung (Recht auf Vergessenwerden)

Die KMU-Leitung ist verpflichtet, die Daten auf Wunsch der betroffenen Person nachweislich zu löschen. Löschen bedeutet konkret, dass die Daten nach deren Löschung nicht mehr lesbar und auch nicht mehr wiederherstellbar sind. Allfällige Kopien der Daten (lokale Kopien, Datensicherungen) müssen ebenfalls gelöscht werden: eine ausschliessliche Markierung der Daten als "gelöscht" reicht nicht. Dies setzt voraus, dass Sie wissen, wo Sie welche Daten gespeichert haben. Deshalb stellt dieses Recht fast jedes KMU vor fast unlösbare technische Herausforderungen, wenn nicht von Beginn weg beim Einsatz von Cloud-Lösungen entsprechende Mechanismen realisiert werden. Lösbar ist das Problem nur, wenn schon bei der Beschaffung und der Einführung einer neuen Software oder Cloud-Lösung definiert wird, wo welche Daten gespeichert werden und wer sie wie bearbeiten darf.

Datenbekanntgabe ins Ausland

Falls der Cloud-Anbieter die Daten ausserhalb der Schweiz speichert, handelt es sich um eine Datenbekanntgabe ins Ausland. Sie müssen in diesem Fall nachweisen, dass Sie alle erforderlichen Massnahmen getroffen haben, um für die exportierten Daten ein angemessenes Schutzniveau zu gewährleisten. In Zukunft werden die Anforderungen sogar noch steigen: Es wird eine aktive Information der betroffenen Personen über den Datenexport, evtl. sogar deren explizite Einwilligung notwendig sein.

Falls Sie Daten über EU-Bürger und EU-Unternehmen bearbeiten, weil Sie Leistungen in den EU-Raum verkaufen, so gilt die EU-DSGVO, womit die Anforderungen noch höher sind.

Rüsten Sie sich deshalb schon jetzt für die erwarteten schärferen Datenschutzbestimmungen:

Der Eidgenössische Datenschutzbeauftragte hat zur Umsetzung des Datenschutzes einen Leitfaden erstellt, in dem die oben erwähnten Pflichten erläutert werden. Zudem hat er Empfehlungen zum Cloud Computing verfasst.

Fragen, Anmerkungen, Korrekturen und Widerspruch sind erwünscht. Bitte verwenden Sie dazu entweder das E-Mail oder Twitter (siehe Fusszeile).