Obwohl Linux als freie Software kostenlos verfügbar ist, setzen viele beim Unternehmenseinsatz auf Enterprise-Distributionen mit Support. Wo die Stärken der ... (mehr)

Vor-Ort-Kontrolle nicht immer möglich

Es ist schwer denkbar, dass ein Cloud Computing Anbieter am anderen Ende der Welt zu sich einlädt, um sich prüfen zu lassen. Der von Google vorgeschlagene Vertrag für Google Analytics enthält in der Anlage 2 die technischen und organisatorischen Maßnahmen. Google hält für die Prüfung der Maßnahmen einen Prüfbericht bereit von einem unabhängigen Wirtschaftsprüfer, der alle 24 Monate erneuert wird. Dies reicht aus. Es muss nicht immer eine Vor-Ort-Prüfung sein, sondern man kann sich aktuelle Prüfberichte, Testate unabhängiger Instanzen vorlegen lassen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits (z.B. nach BSI-Grundschutz). Die Unterlagen sollte man in Kopie verlangen und prüfen und nicht nur abheften. Nur dann ist die Kontrollpflicht erfüllt. Es ist ratsam, sich zusätzlich eine Vor-Ort-Kontrolle vertraglich vorzubehalten.

Mit der erstmaligen Prüfung vor Auftragsbeginn ist es nicht getan. "Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren." Man muss sich in regelmäßigen Abständen wieder von der IT-Sicherheit überzeugen. Wie oft dies zu geschehen hat, regelt das Gesetz nicht. Ein Anlass könnten bekannt gewordene Sicherheitsmängel sein.

Praxisproblem: Subunternehmer

In dem Vertrag mit dem IT-Dienstleister sollten sämtliche Unterauftragnehmer aufgeführt sein, denen sich der IT-Dienstleister bedient und geregelt werden, unter welchen Voraussetzungen dies erlaubt ist. Der IT-Dienstleister muss den Subunternehmer ebenfalls nach den Regeln der Auftragsdatenverarbeitung kontrollieren und sollte seine Pflichten weiterreichen.

Der Dienstleister sollte einen Datenschutzbeauftragten benennen. Gesetzlich vorgeschrieben ist dieser, sofern personenbezogene Daten erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Auch der Auftraggeber tut gut daran, einen Datenschutzbeauftragten zu benennen. Wer entgegen dem Gesetz keinen Datenschutzbeauftragten hat, dem drohen Sanktionen. Man tut also gut daran, noch heute den Geschäftsführer auf Defizite im Bereich Datenschutz hinzuweisen und vielleicht schon morgen einen Datenschutzbeauftragten zu benennen, der Outsourcing-Projekte genau unter die Lupe nimmt.

Abbildung 1: Analysetools wie Google Analytics arbeiten häufig mit personenbezogenen Daten und beinhalten dann eine Auftragsdatenverarbeitung.
© © Oleksandr Nebrat, 123RFAbbildung 2: Wer die Verarbeitung personenbezogener Daten in Auftrag gibt, ist verpflichtet, den Dienstleister vorher unter die Lupe zu nehmen.

ezembed

Die acht Gebote der IT-Sicherheit

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren, mit denen personenbezogene Daten verarbeitet oder genutzt werden (Zutrittskontrolle),

2. Verhindern, dass Unbefugte Datenverarbeitungssysteme nutzen (Zugangskontrolle),

3. Gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

4. Garantieren, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung vorgesehen ist (Weitergabekontrolle),

5. Sorge tragen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

6. Verantwortung dafür übernehmen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

7. Gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

8. Garantieren, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. (Datentrennung)

Der Autor

Die Autorin ist Rechtsanwältin & Fachjournalistin für IT-Recht in Berlin. Sie veröffentlicht seit 1997 zu Fragen des IT-Rechtes. Darüber hinaus referiert sie zu aktuellen Fragen des Internetrechtes, gibt Workshops zum Softwarelizenzrecht oder zur IT-Sicherheit und unterrichtet als Lehrbeauftragte für IT-Recht an der Beuth Hochschule für Technik.

comments powered by Disqus
Mehr zum Thema

Datenträger weitergeben: Was sagt das Gesetz dazu?

Wer unbedacht einen alten Rechner oder eine Festplatte weiterverkauft, kann durchaus mit dem Gesetz in Konflikt geraten. Zum Beispiel, weil er einen Datenschutzskandal verursacht. Aber wie stellt man sicher, dass weitergegebene Datenträger nicht mehr lesbar sind? Wie entsorgt man Datenträger datenschutzkonform? Seit Oktober 2012 gibt es eine neue DIN-Norm zum Thema.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022