Ab in die Cloud!? Achtung: DSGVO-Falle!

LinkedIn
XING
Facebook
Twitter

Die Folgen der Corona-Pandemie sind für viele Firmen der Auslöser für das Vorantreiben der Digitalisierung. Der erste Gedanke ist hier oft: Die Cloud! Dienste aus der Wolke wie Zoom, Microsoft Teams, Google Meet, Webex uva. machen die Arbeit in diesen komplexen Zeiten für den Knowledge Worker überhaupt möglich. Da liegt es doch nah, auch weitere Informationen in die Cloud zu verlagern – nämlich die Dateien, die so lange auf dem guten alten Fileserver schlummerten. Schnell mal einen Microsoft OneDrive, Google Drive- oder Dropbox-Account angelegt und schon können Teams komfortabel in der Cloud weiterarbeiten. Auch ist der Einsatz von z.B. Teams nur dann sinnvoll möglich, wenn die Daten im OneDrive liegen – gleiches gilt für Google & Co.

Rein technisch gesehen ist das praktisch und bringt viele Mehrwerte. Auf den ersten Blick ist das auch sicher, denn alle Hersteller bestätigen ihre Konformität mit der DSGVO, denn sie lagern die Daten in Deutschland oder zumindest in der EU. Ab jetzt arbeiten wir modern, in der Cloud, als Team und digital.

Doch ist das wirklich so?

Ein kleiner Umstand, der eigentlich immer übersehen wird, ist die DSGVO, die schon vorher übersehen wurde, als die Daten noch lokal auf dem Fileserver lagen. Nur weil Daten jetzt in der Cloud liegen hat sich nichts verändert – evtl. wird das Problem eher größer, da die Cloud meist eben nicht die gleichen Möglichkeiten des Zugriffs und der Filterung ermöglicht, wie auf einem lokalen File Server. 

Wo liegt das Problem?

Das Problem ist, dass auf den o.g. Diensten die Daten meist komplett ohne Indexdaten – nach wie vor flach – in Verzeichnissen liegen. Für die tägliche Arbeit mag das ja OK sein, was aber wenn ein Mitarbeiter das Unternehmen verlässt und die zugehörigen Daten gelöscht werden müssen oder ein Kunde eine Löschanfrage stellt? Besteht beispielsweise Thomas Müller auf die Löschung „seiner“ Daten. Wie findet man diese Daten? Klar – als modernes Unternehmen nutzt man die coole AI mit maschine learning aus dem hyper extended cloud buzzword abstraction mega content finder dingsbums, dessen Suche die wirklich alles findet, allerdings ist die Frage – kann sie die Daten von Thomas Müller wie folgt unterscheiden:

  • Thomas Müller in München, Hamburg, London?
  • Thomas Müller in der Hauptstraße 8 in München, Thomas Müller in der Hauptstraße 10 in Hamburg?
  • Ist Thomas Müller nicht mal umgezogen und hat mehrere Adressen? Als ist der in Hamburg und in München der Gleiche?
  • Kann die Engine unterscheiden, ob ein Datum relevant für die Löschung ist? Gibt es also eine steuerliche oder rechtliche Relevanz, die eine Löschung gar verbietet oder sind es wirklich persönliche Daten, die gelöscht werden müssen?
  • Kann diese Super-Engine wirklich alle Bereiche erreichen, also den persönlichen Cloud-Ordner eines Mitarbeiters genauso wie den auf dem Team Share?

Es zeigt sich, dass viele Fragen offenbleiben. Erfahrungsgemäß scheitern die meisten dieser Suchmaschinen relativ schnell, wenn es nicht nur um das Finden, sondern um die strukturierte Auswertung und Aufbereitung der Datensätze geht. 

Es beginnt meist schon, wenn z.B. eine Löschanfrage gestellt wird, welche innerhalb von 4 Wochen beantwortet werden muss. Ist ein Datenschutzbeauftragter überhaupt in der Lage alle relevanten Daten über diverse Datenpools zu finden (persönlicher Fileshare, Mailboxen und zentraler Ablage)? Hier scheitert meist schon die Suche des Crawlers, denn normalerweise ist ein Zugriff auf die persönlichen Ordner nicht möglich und ein Zugriff auf bereichsübergreifende Ablagen bestenfalls nur limitiert.

Gesetzt dem Fall, dass ein mit der Löschung beauftragter Mitarbeiter nun Zugriff auf all diese Quellen hat, ist die nächste Frage, ob er die Daten auch so darstellen kann, dass er nur die sieht welche für eine Löschung relevant sind? Also sieht er nur die „persönlichen“ Daten und gibt sie zur Löschung frei? Weiterhin stellt sich die Frage, ob es eine Möglichkeit gibt, einem Anfragendem eine Auskunft zu geben, über all die Daten, die das Unternehmen über ihn hat?
Wie man sieht gibt es viele Frage, die einer Antwort bedürfen. Doch was hat das nun mit dem aktuellen digitalen Vorschub zum dezentralen Arbeiten und dem Trend zu Cloud Lösungen zu tun? Real betrachtet, sind die Probleme bereits auf dem lokalen Fileserver präsent. 

So lange ein Unternehmen die Digitalisierung nicht als „wir nutzen jetzt mal schnell Zoom oder MS Teams“ ansieht und das Thema damit abgeschlossen ist, ist schon viel erreicht. Außer dem Ermöglichen von dezentralem Arbeiten hat sich strukturell nichts verändert! Es ist wichtig, zu verstehen, dass eine Nutzung von Clouddiensten nur die Plattform ändert, einen Prozess aber nicht sinnvoll digitalisiert – vor allem nicht rechtssicher! (Hier passt immer wieder: „Wenn sie einen Scheißprozess digitalisieren, dann haben sie einen scheiß digitalen Prozess.“ – Thorsten Dirks)

Natürlich suggerieren die Cloud-Anbieter, dass ihre Ablage und Systeme DSGVO-konform sind, und rein technisch sind sie es auch. Das Problem ist, dass die Anwendung auf die sich ein Nutzer einlässt dies in den meisten Fällen nicht ist, beziehungsweise, mit Aufwand dorthin gebracht werden muss. 

Fazit

Digitalisierung geht nicht (so) schnell! Es ist eine Menge zu berücksichtigen. Prozesse sind zum einen aus Sicht des Prozesses und dessen Sinnhaftigkeit zu bewerten sowie auch aus rechtlicher Sicht. Unternehmen sollten die aktuelle Krise als Anlass nehmen, ihre Prozesse und Denkweisen auf den Stand der Technik zu bringen. Home-Office ist eine valide Option, da es technisch und geistig (vom Chef) möglich gemacht wird, aber auch eine Zusammenarbeit an Informationen einfach und schnell funktioniert. 

Die Cloud für ein DMS bietet hier eine gefühlt schnelle Lösung, wird aber meist nur das Symptom des jahrelangen Rückstands beheben, ein Unternehmen aber nicht nachhaltig digital Aufstellen. Ich hoffe IT Leiter und verantwortliche machen sich auch nach den schnellen Lösungen weiter Gedanken wie sie mit dem Informationsmanagement im Unternehmen umgehen.

DORA kommt – was tun, um vorbereitet zu sein
DORA kommt – was tun, um vorbereitet zu sein?
DORA kommt – was bedeutet das
DORA kommt – was bedeutet das?
Blogartikel Vertragsmanagement und KI
Effiziente Vertragserstellung und -prüfung mithilfe künstlicher Intelligenz
Für Datensicherheit in Unternehmen – Schutz vor Cyberangriffen
Für Datensicherheit in Unternehmen – Schutz vor Cyberangriffen
Public Cloud: Der Schlüssel zur digitalen Zukunft von Unternehmen
Public Cloud: Der Schlüssel zur digitalen Zukunft von Unternehmen
Kollegen schauen gemeinsam auf einen Laptop
Datenschutzexpertin: Wie EIM-Lösungen bei der Umsetzung der DSGVO unterstützen
Ein Mann und eine Frau, die im Büro gemeinsam Ideen auf Post-Its schreiben
Die Personalakte und die DSGVO: Besser digital oder auf Papier?
Mehrere Kollegen, die gemeinsam in einem Büro sitzen
DSGVO: Wie eine EIM-Lösung bei der Umsetzung hilft
Stapel von Ordnern mit Papier
Trennung vom Papier: Archivierung mit TR-ESOR, TR-Resiscan, eIDAS, DSGVO