Die DSGVO (Datenschutzgrundverordnung) ist bekanntlich seit 25. Mai 2018 in Kraft. Die Datenschutzerklärungen von Unternehmenswebseiten wurden auf Vordermann gebracht, interne Regeln für den Umgang mit personenbezogenen Daten neu aufgesetzt und ausführliche Verzeichnisse angelegt (so hoffe ich doch …).
Aber was ist mit den Daten auf dem Smartphone? Vereinzelt gab es Artikel, die vor der Nutzung von WhatsApp im Unternehmen gewarnt haben. Wie aber sieht es mit anderen Funktionen aus? Darf ich Kundendaten auf meinem Handy UND in der Cloud speichern?
1. Die gesetzliche Lage
Das Unwort des Jahres wird für viele Unternehmer wahrscheinlich der Begriff „Auftragsdatenverarbeitungsvertrag“ sein. Plötzlich wollte alle Welt Verträge über eine Auftragsdatenverarbeitung abschließen, nicht selten über zehn Seiten lang und mit einer Menge von Fragen, die man detailliert beantworten musste.
Auftragsdatenverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag eines anderen (so in etwa die Definition auf Wikipedia). Aber nicht jeder Dienstleister ist Auftragsdatenverarbeiter, der Schwerpunkt der Tätigkeit muss hierauf gerichtet sein. Wenn also ein Autohaus personenbezogene Daten verarbeitet, ist es kein Auftragsdatenverarbeiter. Denn der Schwerpunkt der Tätigkeit liegt auf Autos verkaufen / reparieren und nicht auf der Verarbeitung von Daten. Anders bei einem Callcenter, Cloud-Anbieter oder Webhoster. Hier ist der primäre Geschäftszweck auf die Verarbeitung von Daten gerichtet. Wenn man als Unternehmen diese Dienste nutzen möchte, muss man mit den Anbietern einen entsprechenden Auftragsdatenverarbeitungsvertrag abschließen.
2. Das Problem beim Smartphone
Und genau hier liegt das Problem bei vielen Smartphones. Diese nutzen Cloud-Dienste wie selbstverständlich. Adressbuch oder Kalender in der Cloud sind einfach praktische Tools, die die Arbeit erleichtern. Trage ich unterwegs einen Termin im Handy ein, werde ich später auf meinem Computer daran erinnert. Oder anders herum. Folglich lagern viele personenbezogene Daten in der Cloud, so dass nach Art. 28 Abs. 3 DSGVO ein Vertrag zur Auftragsdatenverarbeitung zwingend erforderlich ist.
3. Die Lösung in der Praxis
Es gibt hier eigentlich nur zwei Möglichkeiten. Entweder man deaktiviert die Cloud (so die Empfehlung zur Nutzung von WhatsApp mit einer Reihe weiterer notwendiger Maßnahmen) oder man schließt einen Vertrag zur Auftragsdatenverarbeitung ab. Sofern dieser angeboten wird. Einen guten Überblick zu den verschiedenen Möglichkeiten findet sich in dieser Liste.
Was dabei auffällt: Apple fehlt in der Liste vollständig. Google bietet nur für seine speziellen Dienste Verträge an, aber nicht für die schlichte Cloud-Nutzung auf dem Smartphone (hier muss man zur kostenpflichtigen G Suite wechseln). Und WhatsApp fehlt ebenso.
Da der Auftragsdatenverarbeiter regelmäßige Kontrollen seiner IT-Sicherheit ermöglichen muss, ist nachvollziehbar, wieso einige Konzerne diese Möglichkeit nicht anbieten. Darüber hinaus muss ein Auftragsdatenverarbeiter außerhalb der EU entweder SafeHarbor-zertifiziert sein oder die EU-Standard-Vertragsklauseln mit der verantwortlichen Stelle schließen.
Vor diesem Hintergrund muss man allen Apple-Usern empfehlen, die Cloud im geschäftlichen Verkehr zu deaktivieren. Dasselbe gilt für die Nutzung WhatsApp. Android-User sollten im geschäftlichen Verkehr ebenfalls die Cloud abschalten oder eine datenschutzkonforme kostenpflichtige Alternative von Google nutzen.