Dipl.-Volksw. Fritz Schmidt
"Cloud-Computing" beschreibt im Wesentlichen eine über Netze angeschlossene Rechnerlandschaft, in welche die eigene Datenverarbeitung zu Zwecken von IT-Dienstleistungen über das Internet ausgelagert wird. Viele Dienstleister im Bereich der Lohn- und Gehaltsabrechnung gehen nun dazu über, dem Mitarbeiter die Lohnabrechnung nicht mehr in Papierform bereitzustellen, sondern ihm eine Zugangsberechtigung zur Verfügung zu stellen, sodass er die Möglichkeit hat, unter Verwendung eines Onlinebrowsers unter Benutzung eines Benutzernamens und eines Passworts vom beauftragten Dienstleister ihn betreffende Dokumente bzgl. seiner Lohnabrechnung abzurufen.
In die Cloud-Dienstleistungen sind dann das Wohnungsunternehmen, das von ihm mit der Lohn- und Gehaltsabrechnung beauftragte Dienstleistungsunternehmen und der Betreiber der Cloud – in der Regel der Softwareanbieter für das Lohnabrechnungsprogramm – eingebunden.
In Bezug auf den Datenschutz sind bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Rahmen von Cloud-Services alle datenschutzrechtlichen Bestimmungen einzuhalten. Bei der Betrachtung einer Cloud-Lösung muss für eine Beurteilung insbesondere der Gesichtspunkt beachtet werden, dass die betroffenen Daten nicht auf unternehmenseigenen Servern liegen, sondern in einem Rechenzentrum, auf das das Wohnungsunternehmen keinen unmittelbaren Zugriff hat.
Hier liegen Auftragsverarbeitungen vor – einmal zwischen Wohnungsunternehmen und Abrechnungsdienstleister und einmal zwischen Abrechnungsdienstleister und Cloud-Anbieter. Der jeweilige Auftraggeber bleibt für die Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen verantwortlich und die für die Auftragsverarbeitung geltenden Vorschriften sind zu beachten (vergleiche Dokumentationspflichten, Kap. 5 Auftragsverarbeitung). Hiernach hat sich der Cloud-Anwender als Auftraggeber vor Beginn der Datenverarbeitung von der Einhaltung der beim Cloud-Anbieter getroffenen technischen und organisatorischen Maßnahmen zu überzeugen und sich zu vergewissern, dass gesetzlich normierte oder vertraglich vereinbarte IT-Sicherheitsstandards eingehalten werden. Häufig unterwerfen sich Cloud-Anbieter einem Zertifizierungs- bzw. Gütesiegelverfahren zu Fragen des Datenschutzes und der IT-Sicherheit bei einer unabhängigen und kompetenten Prüfstelle, wodurch dann nachgewiesen ist, dass der Cloud-Anbieter die gesetzlichen Vorschriften einhält.