Geheimnisträger in die Cloud

Lasst Geheimnisträger nach § 203 STGB nicht alleine!

Wie Geheimnisträger nach § 203 StGB Daten von Patienten, Klienten oder Kunden verarbeiten dürfen, legte das alte Datenschutzgesetz (BDSG) genau fest. Dazu gehörte, dass regelmäßige Kontrollen seitens der Datenschutzbehörden vorgesehen waren. Sie überprüften, ob die Verarbeitung der Daten korrekt ablief. Mit dem neuen BDSG, das die kommende EU-Datenschutzgrundverordnung (DSGVO) an nationales Recht anpasst, soll diese Regelung nicht mehr gelten. Was bedeutet das für Geheimnisträger und deren Kunden?

BDSG und die DSGVO treten am 25. Mai 2018 in Kraft. Zum kommenden Datenschutzgesetz zählt auch §29 Absatz 3, der besagt, dass Geheimnisträger künftig von den Pflichten einer Datenschutzkontrolle ausgeschlossen sind. Für den Juristen und ehemaligen Datenschutzbeauftragten des Landes Schleswig-Holstein, Tilo Weichert, ist diese Ausnahmeregelung verfassungswidrig.

Geheimnisträger ohne Hilfestellung

Tritt die neuen Regelung in Kraft, haben Datenaufsichtsbehörden keinen Zugang mehr – weder zu Geschäftsräumen und Datenverarbeitungsanlagen noch zu Daten oder Informationen, wie Berufsgeheimnisse gespeichert und verarbeitet werden. Und das ist erstmalig in der Geschichte des Datenschutzrechts.

Für Ärzte, Rechtsanwälte, Wirtschaftsprüfer und andere, sowie deren Dienstleister, boten diese Kontrollen bislang einen Anhaltspunkt zur korrekten Datenverarbeitung. So konnten sie sich an Datenschutzbehörden wenden, wenn es Unklarheiten gab. Dadurch war sichergestellt, dass vertrauliche Inhalte vertraulich blieben und keine Fehler bei der Speicherung und Verarbeitung passieren. Denn mit den technischen Entwicklungen auf dem Laufenden zu bleiben, ist durchaus ein Vollzeitjob, und von den Geheimnisträgern allein nicht zu stemmen.

Wie bleibt Datenschutz erhalten?

Für die Geheimnisträger ergibt sich daraus: Sie müssen die Daten ihrer Kunden weiterhin effizient schützen, wissen jedoch meist wesentlich weniger über den Stand der Technik oder Datenschutz-Risiken Bescheid als Datenschutzbeauftragte und IT-Sicherheitsbeauftragte.

Wie können sie also ihren Kunden die gewohnte Datensicherheit bieten? Indem sie auf technische Lösungen setzen, die ihrerseits höchste Datenschutzstandards garantieren.

Geeignete Dienste sind an einer entsprechenden Zertifizierung erkennbar, die in der Regel vom TÜV oder anderen akkreditierten Organisationen vergeben wird.  Ein möglicher Ansatz wäre die Verwendung revisionssicherer virtueller Datenräume für den Datenaustausch mit Kunden: diese bieten nicht nur – je nach Anbieter – erstklassigen Datenschutz, sondern sind auch einfach einzurichten, günstig, jederzeit zugänglich und verfügen darüber hinaus über unbestechliche Kontrollinstanzen.

Doch so vielfältig der Markt für Datenräume ist, so unterschiedlich sind auch die Angebote. Für welchen Datenraum Sie sich entscheiden, hängt letztlich von Ihren Anforderungen ab: Welche Features und Funktionen benötigen Sie, worauf können Sie verzichten – und was wollen Sie auf keinen Fall in Kauf nehmen?

Wir haben einige Punkte zusammengetragen, die einen virtuellen Datenraum unserer Meinung nach unbrauchbar oder zumindest übermäßig umständlich in der Handhabung machen.

Diese zehn Mängel dürfen Sie nicht tolerieren:

  • Lange Wartezeiten bei der Einrichtung

Es gibt keinen guten Grund, 12 Stunden oder länger auf einen virtuellen Datenraum zu warten. Bei den meisten Anbietern steht Ihnen der Datenraum sofort zur Verfügung. So sollte das auch sein.

  •  Nach oben oder unten begrenzte Teilnehmerzahl

Sie bestimmen selbst, wie viele Teilnehmer Sie in Ihren Datenraum einladen wollen. Datenräume, die erst ab zehn Teilnehmern oder für maximal 50 Teilnehmer geeignet sind, sind zwar selten – aber auch unnötig.

  •  Server-Standort außerhalb der BRD

Deutschland hat weltweit die strengsten Gesetze und höchsten Standards in Sachen Datenschutz und Datensicherheit. Wir empfehlen daher, einen Anbieter zu suchen, dessen Server in Deutschland stehen.

  • Kostenpflichtiger Support

Der Support sollte mindestens an den Wochentagen zu den üblichen Geschäftszeiten erreichbar sein – und einen kostenlosen Rückrufservice bieten. Teure Hotlines sind heutzutage nicht mehr zeitgemäß.

  • Keine Datenschutz-Zertifizierung

Achten Sie auf eine aussagekräftige Datenschutz-Zertifizierung des TÜV, nach dem Trusted Cloud Datenschutzprofil (TCDP) oder auf das Europäische Datenschutzsiegel (EuroPriSe). So können Sie sich auch rechtlich absichern: Wenn Sie einen TCDP-zertifizierten Dienst wählen, haben Sie automatisch Ihre Kontrollpflicht nach dem Bundesdatenschutzgesetz erfüllt.

  • Fehlende Betreibersicherheit

Bei vielen Cloud-Anbietern haben der Betreiber und seine Angestellten die Möglichkeit, auf die Server – und damit theoretisch auch auf die Daten ihrer Kunden – zuzugreifen. Suchen Sie sich einen Anbieter, bei dem der Betreiberzugriff durch entsprechende Maßnahmen ausgeschlossen ist.

  •  Ungeschützte Metadaten

Dass Daten und Passwörter verschlüsselt übertragen werden, ist heutzutage Standard. Aber nicht alle Anbieter schützen auch die Metadaten. Aus diesen lassen sich erstaunlich viele Informationen ableiten – Berufsgeheimnisträger müssen dies ebenfalls berücksichtigen.

  •  Keine (optionale) Zwei-Faktor-Authentifizierung

Eine Zwei-Faktor-Authentifizierung ist zwar kein absolutes Muss, aber ein sehr nützliches Feature, das entscheidend dazu beitragen kann, das Sicherheitsniveau des Datenraums zu erhöhen. Das für Berufsgeheimnisträger erforderliche Schutzniveau wird tatsächlich nur mit Zwei-Faktor-Authentisierung erreicht.

  •  Kein Browserzugang

Sicherer Zugang direkt über den Browser ist heutzutage Standard. Dienste, bei denen man sich ausschließlich über einen herunterladbaren Client einloggen kann, sind nicht mehr zeitgemäß und erschweren die Arbeit mit dem Datenraum unnötig. Apps für mobile Geräte meinen wir damit natürlich nicht – diese sind eine sinnvolle Ergänzung zum Browserzugang.

  • Keine kostenlose Testphase

Bevor Sie sich für einen Datenraum entscheiden, sollten Sie ihn ausgiebig testen. Meist gibt es eine 14- oder 30-tägige Testphase – so können Sie auch mehrere Anbieter direkt vergleichen. Kaufen Sie auf keinen Fall die Katze im Sack!

Sie fanden diesen Beitrag hilfreich und wollen auf dem Laufenden bleiben? Dann melden Sie sich jetzt kostenlos zu unserem Newsletter an und erhalten Sie jeden Monat die neuesten Artikel, Blogbeiträge und Tutorials per Mail.

Haben wir Sie neugierig gemacht? Testen Sie jetzt den Sealed-Cloud-Dienst idgard® und erstellen Sie einen kostenlosen Probe-Account!

Datenschutz im Homeoffice
Als Berufsgeheimnisträger in die Cloud? Checkliste für sicheres Homeoffice Die Verlagerung des beruflichen Alltags ins Homeoffice stellt vor allem Kanzleien vor Herausforderungen. Mit unserer Checkliste gelingt der Wechsel ins Homeoffice. Weiterlesen »
Berufsgeheimnisträger und die Cloud
Berufsgeheimnisträger und die Cloud: Ein Widerspruch? Anwälte und Ärzte gelten als Berufsgeheimnisträger und können nicht einfach irgendeinen Cloud-Dienst nutzen. Ein Interview mit Dr. Steffen Kroschwald Weiterlesen »
5 Datenschutz-Maßnahmen
DSGVO-Hilfe: 5 Datenschutz-Maßnahmen für Unternehmen Die Digitalisierung hat Hackern und anderen Cyberkriminellen zahlreiche neue Einfallstore geöffnet. Wir stellen Ihnen fünf essentielle Datenschutz-Maßnahmen für Unternehmen vor. Weiterlesen »
Wir halten Sie sicher auf dem Laufenden.