Artikel

Viele Firmen schicken ihren Mitarbeitern Dokumente wie Gehaltsabrechnungen nicht mehr zu, sondern hinterlegen sie in elektronischen Schließfächern. Solche Cloud-Dienste erleichtern Personalabteilungen die Arbeit und sparen Porto und Papier. Sind sie auch sicher?

In diesen Cloud-Speichern sind sehr persönliche Daten abgelegt. Wer hat alles Zugriff auf die gespeicherten Inhalte der Arbeitnehmerinnen und Arbeitnehmer und letztlich auch auf die nötigen Backups?

Eigentlich sollten nur die Beschäftigten selbst Zugriff auf die in solchen elektronischen Schließfächern abgelegten Daten haben. Dies gilt insbesondere, wenn sie hier eigene Daten speichern können. Teilweise haben Mitarbeiter aus dem Personal- oder Gehaltsbereich zumindest Zugriffsmöglichkeiten auf aktuelle Daten, um hier gegebenenfalls Fehlerkorrekturen vornehmen zu können. Das kann im Einzelfall auch sinnvoll sein. Soweit es um eine langfristige Ablage geht, müssen solche Zugriffe anderer Personen aber ausgeschlossen sein. Sicher sind die Daten in diesen Schließfächern allerdings nur, wenn starke Verschlüsselungsverfahren zu Anwendung kommen.

Die Daten können lebenslang gespeichert werden - auch nach dem Ausscheiden von Beschäftigten. Kann eine Löschung verlangt werden und was passiert mit den Daten, wenn der Arbeitgeber pleitegeht?

Eine Löschung der in Cloud-Speichern abgelegten Daten können Beschäftigte im Rahmen der Vorgaben des Artikels 17 Datenschutzgrundverordnung aus rechtlicher Sicht eigentlich immer verlangen, das heißt unabhängig vom Bestehen eines Arbeitsverhältnisses. In der Praxis kann es allerdings mit Blick auf die in Aussicht gestellte »lebenslange« Speicherung Probleme geben, wenn der Anbieter der Cloud außerhalb der Europäischen Union angesiedelt ist und die Löschung einfach verweigert oder wenn die dort vorhandenen Datenbestände nach einer Insolvenz in fremde Hände geraten.

Langfristig gesehen kann es zudem passieren, dass heute als sicher geltende Verschlüsselungsverfahren geknackt werden und dass die Daten dann in fremde Hände geraten. Wer sich vor solchen Effekten schützen will, sollte seine Daten nur Anbietern aus dem EU-Raum anvertrauen.

Haftet der Arbeitgeber oder der Cloud-Anwender, wenn in den Cloud-Speichern abgelegte wichtige Daten von Beschäftigten verloren gehen?

Ich gehe davon aus, dass eine entsprechende Haftung vertraglich soweit gesetzlich möglich ausgeschlossen wird. Beschäftigte sollten sich deshalb nicht darauf verlassen, dass wichtige Daten hier sicher und vor jedem Verlust geschützt sind. Deshalb ist es besser, wenn sie eigenständig Vorsorge gegen Verluste treffen, etwa durch eine parallele Speicherung an einer anderen Stelle. Und auch die sichere und verlässliche Aufbewahrung der Zugangsdaten sollte so erfolgen, dass diese nach längerer Zeit bei Bedarf wiedergefunden werden können.

Mitarbeiterinnen und Mitarbeiter bekommen oft noch einige Gigabyte freien Speicherplatz für private Daten dazu. Was geschieht, wenn dort strafrechtlich relevante Daten abgelegt werden?

Die in diesen Clouds geschützten Daten sind beim Vorliegen eines Verdachts auf die Begehung einer Straftrat genauso wenig vor einem Zugriff der staatlichen Strafverfolgungsbehörden geschützt wie bei einer Speicherung an anderen Orten. Voraussetzung ist allerdings immer, dass Polizei und Staatsanwaltschaft in der Lage sind, bestehende Verschlüsselungsverfahren aufzuheben.

Quelle: www.bund-verlag.de