Einsatz von Cloud-Lösungen: Herausforderungen für den Datenschutz?

Um die Nutzung von Cloud-Lösungen kommt man heute kaum noch herum: was wir privat alltäglich nutzen, ist im geschäftlichen Bereich mit wichtigen strategischen Fragestellungen verbunden. Welche Vorteile bringt die Nutzung von Clouds? Welche Abhängigkeiten und Risiken gehen damit ggf. einher und wie sieht es vor allem in Sachen Datenschutz aus? Diese und weitere Fragen haben wir bei unserem zwölften Arbeitstreffen des Leipziger Gesprächskreises „Compliance im Versicherungsunternehmen“ mit den Teilnehmern diskutiert.

Die Nutzung einer Cloud bedeutet zunächst nichts anderes, als die Auslagerung von IT-Diensten wie Datenspeicherung, Rechenleistung oder Anwendungssoftware ins Internet. Der Vorteil besteht darin, dass Software nicht mehr auf lokalen Rechnern gespeichert werden muss und weniger eigene Rechenleistung und Speicherkapazität erforderlich ist – und gerade vor dem Hintergrund von Big Data und KI werden Rechenleistung und Speicherkapazität immer mehr zum Flaschenhals. Es ist also nur naheliegend, dass viele Unternehmen Cloud-Lösungen bereits nutzen oder den Einsatz aktuell prüfen. Ziel sind eine höhere Flexibilität und Kosteneinsparungen, da weniger Hardware eingesetzt werden muss, Investitionen eingespart werden können, Updates nicht selbst durchgeführt werden müssen und somit auch Personalkosten gesenkt werden können. Auf der anderen Seite ergibt sich damit eine gewisse Abhängigkeit vom Anbieter des Cloud-Services – und das betrifft auch den Umgang mit sensiblen, unternehmens- sowie personenbezogenen Daten.

Zu den bekanntesten Anbietern von Cloud-Services gehören Google Drive, Amazon Cloud Drive oder Microsoft OneDrive. Oft sitzen diese im außer-europäischen Ausland, speziell in den USA, was automatisch das Datenschutz-Thema auf die Agenda bringt. Ähnlich wie auch bei der Zusammenarbeit mit E-Mail-Marketing-Dienstleistern agiert auch der Cloud-Anbieter als Auftragsverarbeiter im Sinne des Datenschutzrechts. Er unterliegt damit dem konkreten Auftragsgegenstand der Datenverarbeitung des Unternehmens. Entsprechend ist es ihm nicht möglich, die Daten anderweitig zu nutzen oder einzusetzen. Dabei hat er den Nachweis für hinreichende Garantien zum Schutz der Daten zu erbringen– speziell für Unternehmen, die das Leben-, Kranken- oder Kompositversicherungsgeschäft betreiben, muss zudem bestätigt werden, dass Anforderungen des Geheimnisschutzes erfüllt werden. Die Kontrolle kann dabei einerseits durch Zertifikate oder IT-Sicherheitsprüfungen erfolgen oder aber auch Vor-Ort-Prüfungen umfassen – was bei den großen genannten Cloud-Konzernen eher selten der Fall sein dürfte und keine konkrete Anforderung des Datenschutzes darstellt.

Orientierungshilfe bei der Auslagerung an Cloud-Anbieter soll das Merkblatt der BaFin liefern. Das Dokument liefert zwar explizit keine neuen Anforderungen, fasst jedoch zusammen, wie die Auslagerung an Cloud-Anbieter durch z. B. Versicherungsunternehmen von der BaFin eingeschätzt wird. In diesem Zusammenhang skizziert die BaFin die derzeitige aufsichtliche Praxis und zeigt auf, wie bei (wesentlicher) Auslagerung Einzelheiten zur Vertragsgestaltung aussehen können respektive sollen, und wie diese von der BaFin eingeschätzt werden. Wichtig dabei ebenfalls, dass die Verantwortung nicht an den Cloud-Anbieter übertragen werden darf und das Versicherungsunternehmen gem. Art. 24 DSGVO jederzeit die Verantwortung für die Einhaltung der gesetzlichen Bestimmungen trägt.

Besondere Herausforderung dürfte beim Einsatz von Cloud-Lösungen für viele Unternehmen insbesondere die damit verbundene Funktionsausgliederung sein, die im Versicherungsaufsichtsrecht im Rahmen des Outsourcings vorgesehen ist und damit der regulatorischen Kontrolle liegt. Neben dem Datenschutz gibt es damit vor allem aus aufsichtsrechtlicher Perspektive Herausforderungen, die mit einem entsprechenden Aufwand verbunden sind und bei der wirtschaftlichen Entscheidung über die Auslagerung an einen Cloud-Anbieter berücksichtigt werden müssen.