Für viele war es in der Vergangenheit völlig normal, Software zu kaufen. Und heute? Ob eine Software gekauft oder gemietet werden soll, hängt zuerst einmal von den Kosten ab: Die Anschaffung eines lokal installierten Computerprogramms kann schon einmal fünfstellige Summen verschlingen. Typische Cloud-Produkte wie etwa IaaS (Infrastructure as a Service), PaaS (Plattform as a Service) und SaaS (Software as a Service) stehen dagegen für Kosteneffizienz. So wird bei SaaS die Software primär über das Internet zur Verfügung gestellt: über einen gängigen Browser oder über eine mobile App. Eine lokale Installation entfällt. Eine Internetverbindung vorausgesetzt, lässt sich die Software weltweit nutzen – ein weiterer Vorzug.
Kosteneinsparung durch weniger Administrationsaufwand
Ein großer Vorteil dürfte auch die Aktualität der Software sein. Ist bei einer lokalen Installation der Administrator für die Aktualisierung zuständig, übernimmt diese bei SaaS-Lösungen meist automatisch der Anbieter. Das stellt in der Regel sicher, dass die neueste Version zur Verfügung steht, ohne dass der Nutzer tätig werden muss. Auch die Wartung ist nicht mehr Sache des Nutzers – der Aufwand und damit die Kosten für einen Administrator entfallen. Meist sind SaaS-Lösungen sehr benutzerfreundlich, ja fast selbsterklärend. Von Vorteil ist auch die sogenannte Skalierbarkeit: Je nach Bedarf können Leistung, Speicherplatz, Benutzeranzahl und weitere Parameter nach Belieben angepasst werden, was sich auch auf die Kosten auswirkt. So lässt sich beispielsweise ein gemieteter virtueller Server (IaaS) so einstellen, dass er nachts oder am Wochenende weniger Leistung bereitstellt, weil weniger Mitarbeiter tätig sind. Dafür werden dann geringere Gebühren erhoben.
Datenschutzproblem bei Microsoft 365
Beim Datenschutz sind Cloud-Dienste weitaus schwieriger einzuschätzen und oft wenig transparent. Das zeigt das Beispiel Microsoft 365 – früher Office 365. Seit Jahren kämpft Microsoft in Deutschland gegen die Datenschutzbeauftragten der Länder, die regelmäßig in der Datenschutzkonferenz (DSK) Untersuchungsverfahren ausarbeiten, damit sich beispielsweise Cloud-Dienste in öffentlichen Einrichtungen nutzen lassen. Schon im September 2020 hat sich die DSK mit Microsoft 365 intensiv auseinandergesetzt. Das Ergebnis war für Microsoft ein Rückschlag, denn aufgrund intransparenter Datenwege bei der Speicherung und der Verwendung von Benutzerdaten ist ein datenschutzkonformer Betrieb in der Regel nicht möglich. Wer also Microsoft 365 einsetzt, verstößt gegen den Datenschutz, weil nicht klar ist, was Microsoft mit den Daten anstellt. Und das verlangt der Datenschutz: Transparenz der Verarbeitung.
Vorteil lokaler Installation beim Datenschutz
Will man den Datenschutz einigermaßen in den Griff bekommen, wählt man die teuerste Variante von Microsoft 365. Dann erhält man Einstellmöglichkeiten, die den Datenfluss besser regulieren und eine genauere Überwachung zulassen. Aber selbst dabei ist nicht klar, ob ein datenschutzkonformer Einsatz wirklich möglich ist – und auf manche Programmfunktion müsste man gegebenenfalls verzichten. Oder man greift zur lokal installierbaren Variante Microsoft 365 Desktop. Aber damit fehlen viele reizvolle Möglichkeiten, die die oben beschriebene Flexibilität ausmachen. Datenschutzbehörden empfehlen alternative Produkte. Nur welche sollen das sein? Die Technologie-Giganten kommen nun einmal aus Amerika. Kein Wunder also, dass viele Datenschutz als Innovationsbremse wahrnehmen. Dennoch: Ein lokal installiertes System ermöglicht eine bessere Datenkontrolle. Der Verantwortliche kann Zugriffe, Weiterleitung und an der Verarbeitung beteiligte Personen weitaus übersichtlicher darstellen und dadurch datenschutzkonformer gewährleisten. Also ein klarer Vorteil für die lokale Installation.
Transparenz nicht gegeben
Weltweit ist Microsoft bei Büroanwendungen führend. Die vergangenen Jahre hat der Tech-Riese die Cloud-Technologie ausgebaut und Produkte entwickelt, die die Konkurrenz blass aussehen lassen. Alternative Produkte lassen in der Regel ein ähnliches flüssiges Arbeiten vermissen und die Kompatibilität und die Schnittstellen zu anderen Programmen sind weniger attraktiv. Aber Datenschutz erfordert eine kontinuierliche Überwachung und Überprüfung des Datenflusses. Und genau diese Transparenz ist bei Microsoft nicht gegeben. Denn ob ein rechtskonformer Einsatz von Cloud-Diensten möglich ist, muss grundsätzlich vorher geprüft werden, nicht erst hinterher. In der Praxis zeigt sich das Gegenteil, wird doch besonders bei kleinen und mittleren Unternehmen Microsoft 365 oft ohne Anpassung an die datenschutzrechtlichen Anforderungen eingesetzt. So bleibt festzuhalten, dass Cloud-Dienste datenschutzrechtliche Probleme begleiten.
Thema Standort bei Cloud-Diensten
Die wichtigsten zu prüfenden Parameter sind: Standort der Daten, Datensicherheit, Zugriff auf die Daten, Datenmenge und vor allem Datenart. Werden beispielsweise Daten über ein Gebäude oder eine Person (Adressdaten, Kontaktdaten, Gesundheitsdaten, finanzielle Übersicht u. a.) in die Cloud verlagert? Denn genau dann sind technische und organisatorische Maßnahmen zu ergreifen, die gewährleisten, dass datenschutzrechtliche Anforderungen beim Auslagern personenbezogener Daten eingehalten werden. Auch wenn viele Cloud-Anbieter versichern, dass die Serverstandorte in Deutschland oder anderen Teilen Europas sind, können sich Unternehmen grundsätzlich nicht darauf verlassen, dass die Verarbeitung nach der Datenschutz-Grundverordnung (DSGVO) gewährleistet ist. Erwiesenermaßen erbringt Supportleistungen meist der Mutterkonzern aus den USA, also ein Drittland. Damit ist eine datenschutzkonforme Verarbeitung ohne gesonderte Vereinbarungen und Maßnahmen wie Standardvertragsklauseln und erhöhte Sicherheit durch Verschlüsselung nicht möglich.
Thema Sicherheit bei Cloud-Diensten
Wer Cloud-Dienste nutzt, muss wissen, dass die Verschlüsselung der hochgeladenen Daten unumgänglich ist. Ebenso sollte eine Sicherung der Cloud-Daten auf lokale Datenträger erwogen werden. Um die Sicherheit, die Integrität und den Schutz personenbezogener Daten zu gewährleisten, müssen Daten vor dem Zugriff unberechtigter Personen durch eine Verschlüsselung geschützt werden. Allein für die Übertragung ist eine sogenannte End-to-end-Verschlüsselung zwingend. So ist gewährleistet, dass die Daten bei der Übertragung vor unbefugtem Zugriff geschützt sind. Auch die Schlüsselkontrolle ist wesentlich. Der Verwalter als „Datenherr“ muss entsprechende Sicherheitsmaßnahmen wie beispielsweise eine Verschlüsselung der Daten ergreifen, um den Zugriff Dritter zu verhindern. Ganz besonders hat der Verwalter als Datenexporteur auf eine hochwertige Verschlüsselung zu achten, die unberechtigte Dritte nicht aufbrechen können. Dabei muss der Schlüssel bei ihm verbleiben. Das erscheint alles ziemlich aufwendig; aber auch bei lokal gespeicherten Daten ist es erforderlich, entsprechende Maßnahmen zu ergreifen. Denn auch lokal gespeicherte Daten sind einem Risiko ausgesetzt, beispielsweise durch einen Hackerangriff und der daraus resultierenden möglichen Erpressung mithilfe von Ransomware.
Cloud-Dienste für die Wohnungswirtschaft
Mittlerweile gibt es viele spezialisierte Anbieter cloudbasierter Software, mit der sich Gebäude einfacher und effizienter verwalten lassen. Wartungsmanagement, Energieverwaltung und Verwaltung gebäudespezifischer Anlagen sind nur ein Teil des wachsenden Programmumfangs. Weitere Tools für Instandhaltungsmanagement, Wohnungsabnahme, Online-Zahlungen, Vertragsmanagement und online ausfüllbare Formulare gehören mittlerweile genauso zum Portfolio. Kein Wunder also, dass viele auf die Nutzung dieser praktischen Tools setzen und dabei die Cloud-Variante wählen. Aber nicht nur Verwalter, sondern auch Eigentümer und Mieter haben über Onlineportale stets einen Zugriff auf wichtige Informationen, Dokumente und Abrechnungen. Meist kommen die Anbieter der Softwarelösungen aus Deutschland oder anderen Teilen Europas und bieten höchstmögliche Flexibilität, Kompatibilität und eine datenschutzkonforme Verarbeitung der Daten an. Die Server stehen meist auf europäischem Boden und die DSGVO ist für die Anbieter in der Regel kein Fremdwort. Schließlich ist es kaum möglich, all die Möglichkeiten solcher Softwarelösungen selbst – also auf einem eigenen Server – zu betreiben und Kunden zur Verfügung zu stellen.
Fazit
Cloudbasierte Softwarelösungen in Kombination mit lokal installierten Tools sind mittlerweile gängig. Jede Option hat ihre Vor- und Nachteile – die Entscheidung hängt von den individuellen Bedürfnissen und Anforderungen ab:
- Lokal oder „On-Premise“ heißt: kontrollierte Datensicherheit, Integrität der Daten und transparenter Datenfluss. Jedoch sind die Kosten für Anschaffung und Wartung meist recht hoch. Auch die Aktualität von Software und Hardware sind nicht zu unterschätzen.
- Cloudbasiert heißt: leichte Zugänglichkeit, Skalierbarkeit, einfache Anpassungsmöglichkeiten, Flexibilität und Kosteneffektivität. Hingegen sind Datenfluss, Datenzugriffe und Datenschutz die größten Hürden.
Aus wirtschaftlicher Sicht ist es sinnvoll, auf Cloud-Produkte zu setzen. Aber spätestens dann, wenn datenschutzrechtliche Anforderungen in den Blick rücken und beispielsweise ein Kunde von seinen Betroffenenrechten (Art. 12 ff. DSGVO) Gebrauch macht, zeigt sich, wie gut sich der Verwalter vorher aus datenschutzrechtlicher Sicht mit den Produkten auseinandergesetzt hat. Deswegen sollte man sich vor der Anschaffung von Software – ganz gleich ob On-Premise oder cloudbasiert – von einem Datenschutzbeauftragten beraten lassen.
Reinhold Okon
dsb-okon.de
Reinhold Okon ist zertifizierter Datenschutzbeauftragter (TÜV Süd) und hat sich seit Jahren auf den Datenschutz in der Haus- und Immobilienverwaltung spezialisiert.