Mit Collaboration-Lösungen können Anwender unabhängig von Standort und eingesetzter Hardware gleichzeitig an Dateien arbeiten. Die Zusammenarbeit wird durch integrierte Kommunikationsmittel, wie etwa Instant Messaging, unterstützt. Beispiele für Collaboration-Lösungen sind Office 365, Google Docs oder Angebote von Box.com. Diese Anwendungen werden typischerweise über eine Public Cloud bereitgestellt.
Möchte ein Unternehmen eine Collaboration-Lösung verwenden, muss es verschiedene Rechtsvorschriften beachten. Hierzu zählen insbesondere Vorgaben zu Datenschutz und Datensicherheit sowie Vorschriften aus dem Handels- und Steuerrecht beziehungsweise dem Arbeitsrecht. Daneben können branchen- oder produktspezifische Vorgaben eine Rolle spielen, etwa im Finanzsektor. Trotz der vielen rechtlichen Anforderungen kann es gelingen, diese Anwendungen rechtskonform einzusetzen.
Fallbeispiel für den Einsatz einer Collaboration-Lösung
Ein deutscher Maschinenbauer möchte eine Collaboration-Lösung einsetzen, da er im Rahmen eines Projekts ein Team aus Mitarbeitern verschiedener Produktionsstandorte in Europa, Asien und den USA zusammengestellt hat. Die Mitarbeiter müssen gemeinsam eine auf die Kundenanforderungen abgestimmte Lösung entwickeln. Dafür sollen sie Ideen austauschen, miteinander kommunizieren, Dateien versenden und gemeinsam Berichte über den Projektfortschritt verfassen.
Dabei muss das Unternehmen Datenschutzrichtlinien beachten. Dies betrifft den Umgang mit personenbezogenen Daten, also Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Im Interesse des Betroffenen wird der Umgang mit personenbezogenen Daten eingeschränkt. So ist die Nutzung von derartigen Daten nur zulässig, wenn der Betroffene eingewilligt hat oder eine Rechtsvorschrift dies gestattet (Erlaubnistatbestände).
Personenbezogene Daten
Das Maschinenbauunternehmen wird allerdings beim Einsatz der Collaboration-Anwendung regelmäßig eine Vielzahl personenbezogener Daten verarbeiten. Für seine Mitarbeiter muss das Unternehmen Benutzerkennungen anlegen: Die Benutzer erstellen Dokumente und Dateien, die ihnen zugeordnet werden können. In den Freitextfeldern, insbesondere bei Word-Dokumenten, können beliebige Informationen eingetragen werden. Häufig finden sich auch Kontaktdetails der Kunden in den Adressbüchern oder den E-Mail-Programmen. All dies sind personenbezogene Daten.
Dieser Inhalt wird den anderen Benutzern zugänglich gemacht. Vielleicht erlangen sogar betriebsfremde Dritte im Rahmen des Projekts Zugriff auf die Informationen. Physisch liegen die Dateien auf der IT-Infrastruktur des Providers, der ebenfalls darauf zugreifen könnte. Datenschutzrechtlich werden dabei Daten erhoben, gespeichert und an die anderen Benutzer und den Provider übermittelt.
Auftragsdatenverarbeitung
Das Beispielunternehmen muss den Umgang mit personenbezogenen Daten auf einen Erlaubnistatbestand stützen können. Zwar kommt dafür grundsätzlich eine Einwilligung in Betracht. Praktisch sprechen jedoch einige Gründe gegen die Einwilligung als Erlaubnistatbestand: Das Maschinenbauunternehmen müsste von seinen Kunden, Lieferanten und Mitarbeitern eine Einwilligung abfragen, was einen hohen Dokumentationsaufwand bedeutet. Zusätzlich ist es problematisch, ob die Einwilligung eines Mitarbeiters aufgrund seiner sozialen Abhängigkeit vom Arbeitgeber überhaupt wirksam ist. Schließlich kann eine Einwilligung jederzeit widerrufen werden.
Es empfiehlt sich deshalb, auf andere Erlaubnistatbestände auszuweichen. So sollte der Abschluss eines Auftragsdatenverarbeitungsvertrages für den Einsatz einer Collaboration-Lösung vorgezogen werden. Ein Grund: Beim Vorliegen eines solchen Vertrages muss nicht jede Übermittlung von personenbezogenen Daten individuell auf ihre Zulässigkeit überprüft werden. Die Auftragsdatenverarbeitung führt dazu, dass die Datenverarbeitung des Providers dem Maschinenbauunternehmen zugerechnet wird.
Grundlage der Auftragsdatenverarbeitung ist ein Vertrag zwischen dem Maschinenbauunternehmen und dem Provider, in dem sich der Provider bezüglich der Datenverarbeitung den Weisungen des Unternehmens unterwirft. Der Inhalt des Vertrages ist vom Gesetz vorgeschrieben. Neben dem Weisungsrecht muss der Vertrag unter anderem Regelungen über die Art der Daten, die umzusetzenden technischen Datenschutzmaßnahmen und zum Einsatz in Subunternehmern enthalten. Schließlich ist das Unternehmen verpflichtet, die Umsetzung der technischen Datenschutzmaßnahmen durch Kontrollen beim Provider sicherzustellen.
Probleme in der Praxis
In der Praxis stößt dies häufig auf Probleme. Zum einen möchte der Provider seinen Kunden keinen Zugang zu den Rechenzentren gewähren. In diesem Fall kann die Kontrolle durch die Vorlage aussagekräftiger Zertifikate neutraler Dritter substituiert werden, die die Umsetzung der technischen Datenschutzmaßnahmen nachweisen. Zum anderen legt der Cloud-Provider die Infrastruktur, insbesondere die Standorte seiner Rechenzentren, und die Datenflüsse nicht offen. Das Unternehmen steht vor dem Problem, dass es anhand der Zertifikate nicht sicherstellen kann, ob diese tatsächlich alle relevanten Orte, wie zum Beispiel Service-Center, die Zugriff auf die Daten haben, erfassen. Insoweit hängt der rechtskonforme Einsatz von der Kooperationsbereitschaft des Providers ab.
Ein weiteres Problem kommt hinzu, wenn personenbezogene Daten an Orte außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) übermittelt werden. Durch die EU-Datenschutzrichtlinie 95/46/EG wurde in den Mitgliedsstaaten ein einheitliches Datenschutzniveau geschaffen. Deshalb können personenbezogene Daten innerhalb Europas unter den dargestellten Erlaubnistatbeständen übermittelt werden. Sitzt der Empfänger jedoch außerhalb dieser Staaten, muss ein angemessenes Datenschutzniveau von der EU-Kommission festgestellt worden sein.
Fehlt eine solche Feststellung, muss dies durch zusätzliche Maßnahmen, wie den Abschluss der EU-Standardvertragsklauseln oder die Verpflichtung auf Safe-Harbor-Prinzipien, sichergestellt werden. Die Informationen, die das Maschinenbauunternehmen an die Standorte in Asien und den USA übermittelt, wären hiervon betroffen. Aufseiten des Providers könnte dies ebenfalls eintreten, wenn dieser Subunternehmer in einem Drittland beschäftigt. In der Praxis hat sich der Abschluss der EU-Standardvertragsklauseln bewährt. Allerdings muss stets überprüft werden, ob diese für die beabsichtigte Datenverarbeitung auch geeignet sind.
Weitere Rechtspflichten
Neben dem Datenschutzrecht können weitere Rechtspflichten zum Tragen kommen, die die Verlagerung von Informationen in die Cloud untersagen. Das können beispielsweise Geheimhaltungsvereinbarungen oder Vorschriften zum Geheimnisschutz aus dem Wettbewerbsrecht oder dem Strafrecht sein. Auch Exportkontrollvorschriften können dem entgegenstehen. Das Maschinenbauunternehmen muss also sicherstellen, dass Informationen, die besonders geschützt sind, nicht in die Cloud ausgelagert werden. Da der Provider möglicherweise auf die Informationen zugreifen kann, könnte darin ein Verstoß gegen die Rechtspflichten liegen.
Der Schutz personenbezogener Daten erfasst aber nicht zwingend alle Informationen, die aus Sicht des Unternehmens kritisch sind, wie zum Beispiel Preislisten, Konstruktionszeichnungen, Forschungs- und Entwicklungsergebnisse sowie Kundenlisten. Diese unterliegen dem Datenschutz nur insoweit, als darin personenbezogene Daten enthalten sind. Der Abschluss von Geheimhaltungsvereinbarungen mit dem Cloud-Provider kann den erforderlichen Schutz gewähren. Vor dem Hintergrund der aktuellen Diskussion um PRISM und Tempora sollte das Maschinenbauunternehmen jedoch besonders kritisch prüfen, welche Daten es im Rahmen einer Cloud-Computing-Lösung verarbeiten möchte. Denn es lässt sich nicht ausschließen, dass Informationen von Dritten zur Kenntnis genommen werden.
Datensicherheit und IT-Compliance
Auch Maßnahmen zur technischen Datensicherheit sind notwendig. Die Geschäftsleitung muss etwa ein Überwachungssystem einführen, das bestandsgefährdende Risiken früh erkennt. Anderenfalls kommt im Schadensfall eine persönliche Haftung der Geschäftsleitung in Betracht. Diese Überwachungspflicht erstreckt sich auch auf die eingesetzte Informationstechnik. Die Geschäftsleitung kann sich von dieser Pflicht nicht dadurch freizeichnen, dass es die Collaboration-Lösung nicht selbst hostet, sondern vom Provider bezieht. Hat der Provider allerdings selbst ein Überwachungssystem eingerichtet, kann das Unternehmen sich dies durch einen Prüfbericht bestätigen lassen. Die Geschäftsleitung erfüllt damit ihre Pflichten und kann das einem Haftungsverlangen entgegenhalten.
Steuerrecht
Verfasst das Maschinenbauunternehmen steuer- oder handelsrechtlich relevante Unterlagen mit der Collaboration-Lösung, muss es den zuständigen Finanzbehörden unter Umständen Zugriff auf diese Unterlagen gewähren. Steht die IT-Infrastruktur nicht ausschließlich in Deutschland, muss das Maschinenbauunternehmen die Zustimmung der Steuerbehörden einholen, wenn es steuerrelevante Dokumente darin speichert, da diese außerhalb von Deutschland gelegen sind.
Die Unterlagen können zudem steuer- und handelsrechtlichen Aufbewahrungspflichten unterliegen. Sie müssen dann für eine Frist von sechs oder zehn Jahren aufbewahrt werden. Allerdings genügen die Collaboration-Lösungen in der Regel oft nicht den technischen Anforderungen an eine revisionssichere Aufbewahrung, denn die Dokumente lassen sich verändern. Sollen die Dokumente dennoch digital gespeichert werden, benötigt das Unternehmen ein Dokumentenmanagementsystem, in dem sich die elektronischen Dokumente revisionssicher abspeichern lassen.
Arbeitsrecht
Da die Anwender permanent zusammenarbeiten, besteht für den Arbeitgeber die (theoretische) Möglichkeit, die Leistung und das Verhalten seiner Mitarbeiter zu kontrollieren. Anhand der Verfügbarkeit innerhalb des Systems lässt sich feststellen, ob sie vereinbarte Arbeitszeiten einhalten. Über den Status der Dateien kann er zudem mitverfolgen, wie das Projekt voranschreitet. Die Einführung einer Collaboration-Lösung kann in diesem Fall von der Zustimmung des Betriebsrats abhängig sein.
Checkliste: Collaboration-Lösung aus der Cloud
-
Umfassende Informationen einholen: Umfassende Informationen über Datenfluss, Standorte, Zugriffsmöglichkeiten und eingesetzte Subunternehmer des Cloud-Providers einholen.
-
Analyse des eigenen Datenbestandes: Analyse und Evaluierung des eigenen Datenbestandes, insbesondere im Hinblick auf bestehende Geheimhaltungsverpflichtungen, branchen- oder sektorspezifische Rechtspflichten und unternehmenskritische Daten.
-
Einsatzzweck bestimmen: Bestimmung der Einsatzzwecke der Collaboration-Lösung und der davon betroffenen, personenbezogenen Daten, wie zum Beispiel der Mitarbeiter, Kunden und Lieferanten.
-
Vereinbarung einer Auftragsdatenvereinbarung: Verhandlung und Vereinbarung einer Auftragsdatenvereinbarung oder Prüfung anderer Erlaubnistatbestände.
-
Datenschutzniveau feststellen: Bei internationalen Datentransfers sicherstellen, dass ein angemessenes Datenschutzniveau besteht oder hergestellt wird.
-
Prüfberichte für technische Datensicherheit: Die technische Datensicherheit muss durch Vorlage aussagekräftiger Prüfberichte kontrolliert werden.
-
Steuerrecht berücksichtigen: Sofern steuerrechtlich relevante Dokumente betroffen sind, sicherstellen, dass die Anforderungen an die Verarbeitung im Ausland und die Aufbewahrung der Dokumente erfüllt werden.
-
Betriebsrat berücksichtigen: In Abhängigkeit von der verwendeten Collaboration-Lösung den Betriebsrat informieren und dessen Zustimmung einholen. (hal)
Michael Rath ist Fachanwalt für IT-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln.