Maßnahmen gegen die Standortfalle bei Software in der Cloud
Manchmal schreibt das Leben viel schrägere Geschichten, als ein Schriftsteller sie sich je ausdenken könnte. Und manches Mal gewinnen wir dadurch wichtige Erkenntnisse oder es zeigt sich ein neuer gedanklicher Ansatz, wie man mit dem Thema umgehen könnte. So liefert uns ein Ereignis aus dem Geschäftsalltag das Futter zu diesem Beitrag über Auftragsdatenverarbeitung. Dabei geht es um den arglosen Umgang mit Software von Anbietern und Betreibern, die zwar einen Geschäftssitz in der EU führen, aber die Server stehen definitiv nicht dort. Damit begibt sich jedes Unternehmen, welches diese Softwares verwendet, in einen Rechtsverstoß gegen die DSGVO bzw. EU-DSGVO. Und das wiederum kann ganz schön heftig ins Auge gehen.
Warum berichten wir darüber?
Eine Berliner Firma, die regelmässig mit uns an gemeinsamen Projekten arbeitet, verwendet zur Organisation ein Ticketsystem. Hierbei kam es regelmässig zur vertraglich vereinbarten Verarbeitung unter anderem auch von personenbezogenen Daten unserer Kunden. Deshalb unterzogen wir die Serverstandorte und die Datenströme des Ticketsystems einer genaueren Überprüfung und entdeckten Erstaunliches.
Unser größtes Erstauen löste die Arglosigkeit aus, mit der selbst renomierte Unternehmen Softwaredienste einkaufen (oder weiterverkaufen), ohne die Rechtmäßigkeit des Betriebs gemäß DSGVO zu überprüfen. Und dass, obwohl dieses Regelwerk nun schon fast sechs Jahre verbindlich für alle in Deutschland aktiven Unternehmen gilt. Dabei beschlich uns der Verdacht, dass auch Ihnen, also unseren Kunden, dieser Fehler unterlaufen könnte. Also beschlossen wir, über diesen Praxisfall zu berichten und zu zeigen, was man in einem solchen Fall tun kann und sollte.
Der konkrete Fall: Auftragsdatenverarbeitung via Ticketsystem
Dieses Ticketsystem hostete unser Parnter bisher selbst auf einem eigenen, gemieteten Server in Bayern. Obwohl dieser Standort im Spaß gerne mal in Frage gestellt wird, befand sich der Server dennoch juristisch eindeutig im EU-Gebiet. Der Eigentümer des Rechenzentrums war und ist ebenfalls eindeutig eine deutsche Firma. Damit war bis dato klar: Wir brauchten lediglich eine AV-Vereinbarung unseres Partners. Der Hoster tauchte als Subunternehmer oder „Erfüllungsgehilfe“ darin auf. Also, alles bestens.
Doch nun wollte man diese selbst gehostete Softwarelösung gegen eine andere austauschen. Anfang des Jahres erhielten wir daher eine Mail, in der man uns lapidar mitteilte, dass wir unsere Aufträge von nun an in dem neuen System anzumelden hätten. Unser Account war zu diesem Zeitpunkt in dem neuen System bereits eingerichtet. Das heißt, man holte bei uns dazu keine Erlaubnis per Datenschutzerklärung ein. Das ist gemäß DSGVO Pflicht. Und man informierte uns auch erst im Nachhinein über die Datenübertragung auf das neue System. Zwei Versäumnisse, die wir natürlich sofort beanstandeten. Deshalb schauten wir natürlich genauer hin.
Der Analyse-Prozess für Auftragsdatenverarbeitung bei externen Anbietern
Die URL des neuen Systems machte nicht den Eindruck, dass es sich hierbei um einen eigenen, unserem Vertragspartner gehörenden Server handelt. Das erweckte bei uns, milde gesagt, Neugierde. Er ergaben sich gleich mehrere Fragen:
- Wo steht der Server?
- Wem gehört er?
- Um was für ein Konstrukt handelt es sich?
Wir sind bei diesem Thema gewohnheitsgemäß sehr „vorsichtig“. Denn immerhin besteht unser Kundenkreis aus Unternehmen der Wirtschaft, öffentlichen Hand und NGOs. Auch Selbständige der beratenden Berufe wie Rechtsanwälte, Steuerberater und Wirtschaftsprüfer befinden sich darunter. So ist gerade in diesen Fällen die strikte Einhaltung der datenschutzrechtlichen Bestimmungen ein Muss. Deshalb bieten wir für jeden unserer Kunden eine Standard- oder sogar angepasste AV-Vereinbarung an.
So mussten wir auch im aktuellen Fall hinterfragen: Wie sieht die Situation nun bezüglich des neuen Ticketsystems aus? Unser erster Eindruck war, dass eine Standard AV-Vereinbarung ganz sicher nicht ausreichend ist, um hier rechtssicher zu bleiben. Also folgten wir für diesen Fall einem vorgebenen, klar strukturierten Prozess. Er besteht, grob verkürzt, aus den folgenden Schritten:
- Sachstands-Analyse durchführen
- Alternativen suchen
- Rechtsgrundlagen benennen
- Risiko-Einschätzung vornehmen
- Ergebnis-Feststellung dokumentieren
Das fanden wir heraus
Nach weniger als drei Minuten (für uns) einfacher Recherche war klar:
- Es handelt sich hier um ein sogenanntes „shared Hosting“.
- Der Server steht außerhalb des EU-Gebietes.
- Der Firmensitz des Vertragspartners (Subunternehmer) für Software ist in den USA.
Die erste Reaktion
Auf eine freundliche Nachfrage bei unserem Geschäftspartner nach den näheren Umständen, zum Beispiel nach einer angepassten AV-Vereinbarung für die neuen Umstände gab es längere Zeit keine Antwort. Eigentlich wollten wir mit unserer Nachfrage nur erreichen, dass das Verhältnis zwischen dem eigentlichen Softwareanbieter und dessen Hoster ordnungsgemäß und nachvollziehbar dokumentiert ist. Als wir aber auf dem kleinen Dienstweg nachfassten, erfuhren wir, dass unsere Anfrage wohl zunächst einiges an Verwirrung und anschließend leichte Panik ausgelöst hatte. Vermutlich war die zunächst ausbleibende Antwort ein Zeichen von „Schockstarre“. Doch irgendwann kam dann eine Antwort mit dem Inhalt, dass man die Fragen selbst nicht beantworten könnte. So geht es, auch bei aller Freundschaft, natürlich nicht.
Unsere Empfehlung
Damit Ihnen nicht dasselbe widerfährt, sollten Sie in solchen Fällen vorbeugen. Wählen Sie den Weg der offenen Kommunikation. Und informieren Sie sich vor dem An- oder Weiterverkauf einer Software über die Umstände des Hostings und bestehen Sie gegenüber den Anbietern und deren Bezugsketten auf eine DSGVO-konforme AV-Vereinbarung. Dadurch sichern Sie die ordnungsgemäßen Rahmenbedingungen Ihrer Auftragsdatenverarbeitung ab.
Die Detail-Analyse und ihre Ergebnisse
Da wir mit unseren Geschäftspartnern am liebsten partnerschaftlich umgehen, gingen wir nun selbst auf die Suche, um die nötigen grundlegenden Basis-Informationen zu beschaffen. Denn wir nehmen das Wort „Partnerschaft“ durchaus sehr ernst. Deshalb haben wir ein großes Interesse daran, dass unsere Anbieter-Partner ebenfalls gut informiert und auf Augenhöhe mit uns arbeiten.