Was macht ein guter Anbieter aus?

Die Auswahl eines Anbieters ist nicht immer leicht. Neben dem technischen Funktionsumfang, spielt auch die Zugänglichkeit und Einfachheit der Handhabung eine große Rolle. Daher nutzen wir meist Altbewährtes oder Dienste, die uns von anderen empfohlen werden. Mit Hinblick auf den Datenschutz spielen aber andere Faktoren eine Rolle.

Wo findet die Datenverarbeitung statt?

Ideal ist es, wenn der Anbieter personenbezogene Daten auf Servern verarbeitet, die sich im selben Land befinden, wie Ihre Organisation. Auch die Verarbeitung der Daten auf Servern innerhalb der Europäischen Union ist unbedenklich. Prüfen Sie bei allen anderen Ländern, ob es zu den Ländern zählt, denen die Europäische Kommission ein adäquates Datenschutzniveau zugesprochen hat („Angemessenheitsbeschluss“). Diese Information sollte Ihnen der Dienstleister zur Verfügung stellen.

Beispiel 1: Fester Serverstandort in der EU

Screenshot Webhosting-Angebot mit festem Standort Deutschland und Österreich

Beispiel 2: Flexibler Speicherort
Administrationsbereich MS365, hier kann man unter „Organisationseinstellungen“ und „Organisationsprofil“ den Dateispeicherort wählen.

Wo hat der Anbieter seinen Sitz?

Berücksichtigen Sie neben dem Ort, an dem die Daten verarbeitet werden, auch den Sitz des Anbieters. Auch hier gilt: Ideal sind Anbieter mit Sitz in der EU, da diese den Regelungen der DSGVO unterliegen. Prüfen Sie bei allen anderen Ländern, ob es einen „Angemessenheitsbeschluss“ der Europäischen Kommission für dieses Land gibt.

Prüfen Sie auch, ob der direkte Vertragspartner vielleicht nur eine Tochterfirma eines größeren Konzerns ist. Microsoft wird z.B. in der EU durch Microsoft Ireland vertreten, gehört aber zur Microsoft Cooperation mit Sitz in Redmond, USA. Eine Datenübermittlung in die USA ist daher nicht ausgeschlossen. Dies muss bei der Auswahl des Anbieters berücksichtigt werden und ggf. in der Risikoanalyse bewertet werden.

Welche Garantien gibt der Anbieter hinsichtlich der Einhaltung des Datenschutzes?

Prüfen Sie, welche Sicherheitsmechanismen der Anbieter in Bezug auf den Datenschutz umgesetzt hat. Sie können das zwar nicht bis ins letzte Detail prüfen, Sie sollten aber zumindest die Angaben durchsehen, die der Anbieter zu diesem Thema veröffentlicht. In der Regel bieten Anbieter, die die Datenschutzvorgaben sehr eng umsetzen, diese Informationen sehr prominent an.

Bei der Nutzung von Online-Diensten handelt es sich in fast allen Fällen um eine  Auftragsdatenverarbeitung. Daher sollten Sie mit den Anbietern einen so genannten "Auftragsverarbeitungsvertrag" abschließen. Die meisten Anbieter stellen einen entsprechenden Vertrag zum Download bereit. Im englischen wird dieser Vertrag auch DPA (Data processing agreement) genannt. In ihm sollten sich umfangreiche Informationen zu den eingesetzten technischen und organisatorischen Maßnahmen rund um das Thema Datensicherheit und Datenschutz finden.

Risikoanalyse

Führen Sie zu den eingesetzten Dienstleistern eine Risikobewertung durch. Im Modul „Werkzeuge & Tools“ finden Sie dafür eine Vorlage.