DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Wann braucht ein Unter­nehmen eine Ver­ein­barung zur Auftragsdatenverarbeitung?

Beauf­tragt ein Unter­nehmen die Ver­ar­beitung von per­so­nen­be­zo­genen Daten durch ein anderes Unter­nehmen, spricht man von einer Auf­trags­da­ten­ver­ar­beitung. Diese unter­liegt gesetz­lichen Vor­gaben nach § 11 des Bundesdatenschutzgesetzes.

Was heißt das genau?

So Sie in diesem Bei­spiel Ihr Rechen­zentrum im Fremd­be­trieb betreiben lassen, sollten Sie sich genau ansehen, auf welche Daten der Rechen­zen­trums­be­treiber Zugriff hat. Sobald per­so­nen­be­zogene Daten im Auftrag ver­ar­beitet werden, ist Ihr Unter­nehmen ver­pflichtet, eine Ver­ein­barung zur Auf­trags­da­ten­ver­ar­beitung mit dem Dienst­leister abzu­schließen. Für eine Analyse des Fremd­be­triebs eignet sich der Rat­geber Daten­­schutz-Prüfung von Rechen­zentren der Gesell­schaft für Daten­schutz und Daten­si­cherheit e.V. .

Dort wird in über­sicht­lichen Tabellen zwi­schen Colo­cation, Housing und Hosting unter­schieden. Ent­spre­chend der jewei­ligen Aus­prägung und Auf­gaben des Dienst­leisters kann hier ent­nommen werden, dass eine Ver­ein­barung  zur Auf­trags­da­ten­ver­ar­beitung bei Hosting immer not­wendig ist, da hier bewusst Benutzer ver­waltet, Daten­si­che­rungen aus­ge­führt und Betriebs­systeme gepflegt werden — also Tätig­keiten, bei denen per­so­nen­be­zo­genen Daten ver­ar­beitet werden. Anders sieht es bei der Stellung einer Colo­cation aus. Bei dieser wird eine abge­grenzte Fläche für den Betrieb eigener Server bereit­ge­stellt. Unbe­fugte haben keinen Zugang zu den Servern. Daher wird der Auf­trag­nehmer nicht direkt in die Daten­ver­ar­beitung auf­ge­nommen, sodass hier auch keine per­so­nen­be­zo­genen Daten im Auftrag ver­ar­beitet werden. Beim Housing werden die Systeme in Ser­ver­schränken bereit­ge­stellt. Hier sollte im Ein­zelfall betrachtet werden, ob per­so­nen­be­zogene Daten ver­ar­beitet werden. Ist dies nicht der Fall, muss auch keine Ver­ein­barung zur Auf­trags­da­ten­ver­ar­beitung abge­schlossen werden. Sowohl bei Hosting, Housing als auch Colo­cation emp­fiehlt sich der Abschluss einer Ver­trau­lich­keits­ver­ein­barung sowie von Service-Level-Agree­­ments mit dem Auftragnehmer.

Neben dem Abschluss der Ver­ein­barung zur Auf­trags­da­ten­ver­ar­beitung muss der Auf­trag­geber die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nahmen (TOMs) des Auf­trag­nehmers vor Inbe­trieb­nahme und danach regel­mäßig prüfen. Die TOMs gelten in Sachen Daten­schutz als die acht Gebote oder auch als die Visi­ten­karte der Auf­trag­nehmer in Sachen Daten­schutz. Auch hier bietet der Rat­geber Check­listen an, welche für die Kon­trolle der Rechen­zen­trums­be­treiber ver­wendet werden können. An diesen Check­listen können sich zudem auch die Betreiber halten, um ihre eigene TOMs auf- oder aus­zu­bauen. Schließlich hat der Auf­trag­geber die Pflicht, den Auf­trag­nehmer  unter beson­derer Berück­sichtig der Eignung auszuwählen.

Das Fehlen einer Prüfung des Auf­trag­nehmers vor der Inbe­trieb­nahme kann durch die zuständige Auf­sichts­be­hörde sank­tio­niert und mit Buß­geldern belegt werden! Hier sollten Sie also die Kon­trollen unbe­dingt dokumentieren.

 

Bild­quelle: © Baran Özdemir / iStock.com

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Andreas Schulz, BITKOM

Andreas Schulz ist seit 2014 Berater im Bereich Daten­schutz bei Bitkom Consult, Daten­schutz­be­auf­tragter der Bitkom-Gruppe und mehrfach bestellter externer Daten­schutz­be­auf­tragter. Bereits im Sep­tember 2010 hat der stu­dierte Infor­ma­ti­ons­wis­sen­schaftler die Zusatz­aus­bildung zum Daten­schutz­be­auf­tragten bei der TÜV Aka­demie GmbH abge­schlossen und war von Januar 2011 bis Oktober 2014 als Daten­schutz­be­auf­tragter bei der PROMOS Unter­neh­mens­gruppe tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.