Auftragsdatenverarbeitung
Das Beispielunternehmen muss den Umgang mit personenbezogenen Daten auf einen Erlaubnistatbestand stützen können. Zwar kommt dafür grundsätzlich eine Einwilligung in Betracht. Praktisch sprechen jedoch einige Gründe gegen die Einwilligung als Erlaubnistatbestand: Das Maschinenbauunternehmen müsste von seinen Kunden, Lieferanten und Mitarbeitern eine Einwilligung abfragen, was einen hohen Dokumentationsaufwand bedeutet. Zusätzlich ist es problematisch, ob die Einwilligung eines Mitarbeiters aufgrund seiner sozialen Abhängigkeit vom Arbeitgeber überhaupt wirksam ist. Schließlich kann eine Einwilligung jederzeit widerrufen werden.
Es empfiehlt sich deshalb, auf andere Erlaubnistatbestände auszuweichen. So sollte der Abschluss eines Auftragsdatenverarbeitungsvertrages für den Einsatz einer Collaboration-Lösung vorgezogen werden. Ein Grund: Beim Vorliegen eines solchen Vertrages muss nicht jede Übermittlung von personenbezogenen Daten individuell auf ihre Zulässigkeit überprüft werden. Die Auftragsdatenverarbeitung führt dazu, dass die Datenverarbeitung des Providers dem Maschinenbauunternehmen zugerechnet wird.
Grundlage der Auftragsdatenverarbeitung ist ein Vertrag zwischen dem Maschinenbauunternehmen und dem Provider, in dem sich der Provider bezüglich der Datenverarbeitung den Weisungen des Unternehmens unterwirft. Der Inhalt des Vertrages ist vom Gesetz vorgeschrieben. Neben dem Weisungsrecht muss der Vertrag unter anderem Regelungen über die Art der Daten, die umzusetzenden technischen Datenschutzmaßnahmen und zum Einsatz in Subunternehmern enthalten. Schließlich ist das Unternehmen verpflichtet, die Umsetzung der technischen Datenschutzmaßnahmen durch Kontrollen beim Provider sicherzustellen.
- "Redaktionsbro"
Da wird das "Redaktionsbüro" zum "Redaktionsbro": Die „Central Desktop“-Lösung kommt wie viele andere amerikanische Lösungen im Netz nur schlecht bis überhaupt mit Umlauten in Bezeichnung klar. - Assistenten helfen online
Das Hinzufügen neuer Kollegen zum bestehenden Workspace ist bei Central Desktop schnell erledigt und bietet übersichtliche Möglichkeiten, den Anwender entsprechende Rechte zuzuweisen. - Bildbehandlung
Die Lösung Central Desktop bietet in einem Workspace auch die Möglichkeit, mit Bildern umzugehen: Leider zeigt sich auch hier die Schwäche bei der Arbeit mit Dateinamen, die nicht dem einfachen ASCII-Zeichensatz ohne Umlaute entsprechen. - Online-Hilfe
Online-Hilfe, die das Arbeiten erleichtern kann: Durch interaktive Hilfe ermöglicht es die Software von Projectplace relativ einfach, Projekt anzulegen und zu betreuen. - Farbcodes
Farben helfen bei der Visualisierung: Dadurch werden die unterschiedlichen Aktivitäten innerhalb eines Projekts deutlicher hervorgehoben – die Teammitglieder erhalten so unter Projectplace schnellen einen entsprechenden Überblick. - Mobil geht's auch
So werden auch die mobilen Mitarbeiter eingebunden: Für den Zugriff auf die Projectplace-Lösung steht auch einen Android-App bereit, die zwar nicht alle Funktionen des Web-Interfaces bieten kann, aber einen grundsätzlichen Überblick gewährt. - Registrierung
Eine Registrierung ist notwendig: Wie bei vielen anderen Collaboration-Lösungen, die einen Server in der Cloud bereitstellen, ist auch beim Einsatz von „amagno“ zunächst eine Registrierung notwendig. - Gruppenarbeit
Ist die erste Gruppe eingerichtet, so können mit Hilfe der "amagno"-Software entsprechende Dokumente relativ leicht und schnell automatisch gesichert werden. - Dokumentenaustausch
Arbeiten mit den "Magneten" und vor allen Dingen mit den Dokumenten: Hier zeigte es sich, dass die "amagno"-Lösung sehr gut mit den unterschiedlichen Dokumententypen umgehen kann. - Teamdrive
Aufgeräumte Oberfläche: Mit der Version 3.1 stellt die Lösung "Teamdrive" eine ganze Reihe von Informationen zur Verfügung, die sich natürlich erst nach und nach füllen – hier ist der Client direkt nach der Installation zu sehen. - Einladung
Einladung für die Verwendung eines Team-Spaces: Direkt aus der Anwendung heraus kann ein Nutzer andere Teammitglieder zur Nutzung seines Teamdrive-Bereiches einladen. - Auch für Android
Zugriff auch vom Android-Tablet (hier unter Android 4.22): Die Teamdrive-App bietet dabei allerdings nicht alle Möglichkeiten, die dem Anwender mit dem Windows-Client zur Verfügung stehen. - SharePoint machts selbst
Das Vorbereitungstool für SharePoint Foundation 2013: Microsoft hilft hier dem Anwender sehr gut dadurch, dass die benötigten Softwareprodukte automatisch nachinstalliert werden – trotzdem stoppt die Installation nur allzu häufig mit kryptischen Fehlermeldungen. - Der fertige SharePoint
Es ist vollbracht: Der SharePoint Foundation Server 2013 wurde auf einem Windows Server 2008 R2 installiert und präsentiert eine Web-Oberfläche für die weitere Konfiguration.
Probleme in der Praxis
In der Praxis stößt dies häufig auf Probleme. Zum einen möchte der Provider seinen Kunden keinen Zugang zu den Rechenzentren gewähren. In diesem Fall kann die Kontrolle durch die Vorlage aussagekräftiger Zertifikate neutraler Dritter substituiert werden, die die Umsetzung der technischen Datenschutzmaßnahmen nachweisen. Zum anderen legt der Cloud-Provider die Infrastruktur, insbesondere die Standorte seiner Rechenzentren, und die Datenflüsse nicht offen. Das Unternehmen steht vor dem Problem, dass es anhand der Zertifikate nicht sicherstellen kann, ob diese tatsächlich alle relevanten Orte, wie zum Beispiel Service-Center, die Zugriff auf die Daten haben, erfassen. Insoweit hängt der rechtskonforme Einsatz von der Kooperationsbereitschaft des Providers ab.
Ein weiteres Problem kommt hinzu, wenn personenbezogene Daten an Orte außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) übermittelt werden. Durch die EU-Datenschutzrichtlinie 95/46/EG wurde in den Mitgliedsstaaten ein einheitliches Datenschutzniveau geschaffen. Deshalb können personenbezogene Daten innerhalb Europas unter den dargestellten Erlaubnistatbeständen übermittelt werden. Sitzt der Empfänger jedoch außerhalb dieser Staaten, muss ein angemessenes Datenschutzniveau durch die EU-Kommission festgestellt worden sein.
Fehlt eine solche Feststellung, muss dies durch zusätzliche Maßnahmen, wie den Abschluss der EU-Standardvertragsklauseln oder die Verpflichtung auf Safe Harbor Prinzipien, sichergestellt werden. Die Informationen, die das Maschinenbauunternehmen an die Standorte in Asien und den USA übermittelt, wären hiervon betroffen. Auf Seiten des Providers könnte dies ebenfalls eintreten, wenn dieser Subunternehmer in einem Drittland beschäftigt. In der Praxis hat sich der Abschluss der EU-Standardvertragsklauseln bewährt. Allerdings muss stets überprüft werden, ob diese für die beabsichtigte Datenverarbeitung auch geeignet sind.