Nach weniger als zehn Minuten weiterer Recherche stand fest, dass der als „shared Hosting“ betriebene Dienst, innerhalb von AWS (Amazon Web Service) läuft. Weitere zwanzig Minuten später war klar, dass wenigstens ein für die Kommunikation wichtiger Teil in Virginia, USA, wahrscheinlich in einem Rechenzentrum nahe der Stadt Sterling beheimatet ist. Das ergab die Analyse der IP-Adressen, die den Weg der Auftragsdatenverarbeitung markierten. Wer uns kennt, der weiss, dass wir AWS aus verschiedenen Gründen ablehnen. Aber der wichtigste ist, dass dieser Dienst für unsere Anwendungen und Kundendaten „evil“ ist. Da unsere Projekt-Aufträge und Prozessdaten zusammen mit den teilweise sensiblen Daten unserer Kunden verwaltet werden sollten, können Sie sich vorstellen: We were not amused.
Maßnahmen
Und ab nun stellten sich mehrere Fragen, wie denn nun damit umzugehen wäre. Klar war, dass wir unserem Geschäftspartner wohl grundsätzlich nicht vorschreiben können, welche Werkzeuge bei ihm zum Einsatz kommen. Was wäre denn nun notwendig, um diese eigentlich aus juristischer Sicht in Deutschland unzulässige Software-Lösung akzeptabel zu machen? In unserem speziellen Praxisfall legten wir unserem Partner dringend nahe, vorerst auf den Einsatz des Ticketsystems mit uns zu verzichten, bis es man eine datenschutzkonforme Lösung vorweisen kann.
Wie geht die BB-ONE.net mit der eigenen Auftragsdatenverarbeitung um?
Wir selbst haben mit diesem Thema durchaus einige Erfahrung. Schließlich setzen wir ja selbst in unserem Umfeld Lösungen von Anbietern ausserhalb der EU ein. Um nur drei zu nennen:
- WordFence als Software-Firewall für WordPress-Services
- Cloudflare als DDOS-Shield
- verschiedene Registries für Domain-Registrierungen
Natürlich bevorzugen wir immer Software, die wir auf unseren eigenen Servern betreiben können. Aber bei den genannten Anwendungen besteht diese Option nicht. Daher überprüfen wir in diesen Fällen immer vorher den Markt, ob es eine Alternative in gleicher Qualität in Deutschland oder in der EU gibt. In den oben genannten Fällen lautete das Ergebnis jeweils: nein. Aber die gute Nachricht ist: In solchen Fällen erlaubt die DSGVO Ausnahmen. Wenn also die Datenverarbeitung auf Servern außerhalb der EU nachweislich alternativlos ist, dann ist die Auftragsdatenverarbeitung unter bestimmten Auflagen dort auch zulässig. In diesen erlaubten Sonderfällen geht es dann um eine sorgfältige Risiko-Einschätzung mit entsprechend sauberer Dokumentation und einem individuellen AV-Vertrag. Dafür gibt es übrigens von höchster Stelle die passenden Vorlagen.
Für die drei genannten Anwendungsfälle bestehen bereits seit mehreren Jahren die notwendigen AV-Vereinbarungen mit den Anbietern. Im letzten Jahr hat die BB-ONE.net ihre eigenen Verträge um die vorgeschriebenen Vertragsklauseln ergänzt.
Die Suche nach anderen Lösungen lohnt sich
Es gibt oft deutlich mehr deutsche oder europäische Alternativ-Lösungen zu den klassischen US-Dienstleistern für Cloud-Softwares, als gedacht. Manchmal muss man zwar etwas länger suchen, aber es lohnt sich. Die BB-ONE.net unterstützt ihre Kunden dabei aktiv und mit Erfolg. So nutzen viele inzwischen zum Beispiel die Dropbox-Alternative „DropIn“. Aber es gibt noch weitere Beispiele.
Beispiel: Website-Analyse
Aus Bequemlichkeit setzen viele für die Qualitätsüberwachung von Websites Google Analytics ein. Immerhin hat sich Google auf die strengeren Datenschutzregeln mit AV-Vereinbarungen eingestellt. Aber es ist und bleibt ein US-amerikanisch dominiertes Unternehmen mit vielen Datenverbindungen über den großen Teich. Deshalb haben wir schon vor vielen Jahren nach einer unabhängigen Alternative gesucht. Gefunden haben wir die Open Source Lösung Matomo (ehemals Piwik).
Der wichtigste Unterschied zu Google ist, dass diese Open Source Analysesoftware unabhängig auf den eigenen Servern läuft. Und sie erlaubt eine anonymisierte Analyse, die datensparsam arbeitet. Damit erfüllt diese Software zur Website Analyse alle wichtigen Anforderungen. Wir entschieden uns übrigens zu einer selbst gehosteten Variante, die wir für unsere Kunden im eigenen DataCenter betreiben. Sie entspricht in der von uns angepassten Installation ausdrücklich der DSGVO.
Beispiel: Video-Konferenz
Wir treffen uns seit mehr als zwei Jahren mit unseren Gesprächspartner vermehrt virtuell. Das Thema WebConferencing ist eigentlich fest in US-amerikanischer Hand: Zoom und & Co. Beherrschen den Markt. Doch wenn man mal etwas genauer hinsieht, gibt es aber einige Alternativen zu den Platzhirschen. Wir benutzen seit Beginn eine Lösung, die auf quelloffener Software besteht und hosten diese im eigenen DataCenter. Hier wird nichts protokolliert und auch nur in so weit geloggt, wie es für den technisch einwandfreien Betrieb notwendig ist. Irgendwelche PlugIns müssen auch nicht installiert werden. Und 500 + Teilnehmer wollen wir auch nicht auf einmal bespielen.
Wie man an diesen zwei Beispielen sieht, lohnt es sich durchaus, mal eine echte Marktanalyse zu machen. Das verhindert, mit falsch aufgesetzter Maske blind dem Mainstream hinterher zu laufen. Dieses Vorgehen hat noch einen anderen Nebeneffekt: mehr digitale Souveränität.
Noch kein Happy End – aber Lösung in Sicht
Zurück zu unserem Eingangsbeispiel. Im Fall des Ticketsystems bei unserem Geschäftspartner ist der Lösungsweg klar vorgezeichnet: Unser „Auftragsverarbeiter“ muss nach einer Alternative suchen, die Entscheidung stimmig begründen, anschliessend sauber dokumentieren und einen Vertrag auf Basis der von der EU bereitgestellten Standard-Vertragsklauseln abschliessen. Wir sind uns sehr sicher, dass es Softwarelösungen gibt, die technisch, betriebswirtschaftlich, ergonomisch und rechtlich eine echte Alternative darstellen. Und wenn’s dann doch die bereits, aber offenbar nicht wirklich durchdachte Lösung sein muss: Auch dann gibt es dafür den sauberen Weg der schriftlichen Risikoeinschätzung und sauberen Dokumentation. Das macht halt nur „etwas“ mehr Arbeit.
Eine Frage des Vertrauens
Was wir in diesem Beitrag nur kurz skizziert haben, ist in der Praxis natürlich meistens komplexer. Der Verarbeitungsstandort und die eventuellen „Sub-Contractors“ sind für Laien oft nicht so ohne weiteres erkennbar. Aber diese durchaus interessante Detektivarbeit bietetet erhellende Einblicke. Dabei erfahren Sie viel über die Service-Qualität und über die Ernsthaftigkeit der Software-Anbieter. Denn die Frage, wie diese Anbieter und sonstigen Auftragsverarbeiter mit den direkten Kundendaten und mit den Daten der Geschäftskontakte dahinter umgehen, wächst über die reine Datenschutzfrage hinaus. Schließlich ist Auftragsdatenverarbeitung eine Vertrauenssache. In einem verketteten Verarbeitungsprozess gilt die Aufmerksamkeit häufig nur dem unmittelbaren Nachbarn. Aber wenn man nicht aufpasst, dann kann diese kurze Sichtweise auch schnell zum Vertrauensverlust führen. Und dieser Schaden lässt sich nicht so leicht wieder beheben.
Unser Angebot
Unsere Kunden sollen ihre Internetanwendungen auf allen Ebenen sicher betreiben können. Deshalb bieten wir Ihnen unsere Unterstützung an. Denn schließlich haben wir viel Erfahrung mit Auftragsdatenverarbeitung. Und wir wissen, wie wir die Antwort auf die Frage finden: Wo steht der Server eines Anbieters? Wenn Sie hier Rat und Hilfe benötigen, dann nehmen Sie einfach Kontakt mit uns auf. Darüber hinaus empfehlen wir Ihnen den Video-Beitrag „Datenverarbeitung in den USA“ vom eBusiness Lotsen Berlin.