Foto: IITR GmbH
Von Dr. Sebastian Kraska (Externer Datenschutzbeauftragter)
Nahezu jedes Unternehmen setzt Dritt-Dienstleister ein, die entweder per Fernzugriff auf IT-Systeme des Unternehmens zugreifen können oder an die weisungsgebundene Datenverarbeitungstätigkeiten ausgelagert werden, beispielsweise für Hosting, Gehaltsabrechnung oder für das Management der externen IT-Systeme. Damit erhalten Personen Zugriffsmöglichkeiten auf unternehmensinterne Daten, die nicht der unmittelbaren Kontrolle der Unternehmen unterstehen.
Es empfiehlt sich daher, zu Beginn zu analysieren
welche Dritt-Dienstleister im Unternehmen eingesetzt werden (gerade bei größeren und global agierenden Unternehmen nimmt dieser Schritt meist mehrere Monate in Anspruch) und
welche vertraglichen Rahmenbedingungen mit den jeweiligen Dienstleistern bestehen. Häufig gibt es keine einheitlichen Vertragsstrukturen oder es wurden Dritt-Dienstleister ohne detaillierte Vertragsvorgaben beauftragt.
Es empfiehlt sich, sodann einen unternehmensweit einheitlichen vertraglichen Standard zum Einsatz von Dritt-Dienstleistern zu entwickeln und diesen gegenüber den bestehenden Dritt-Dienstleistern auszurollen. als Orientierung können hierbei Regelungsteile zur Auftragsdatenverarbeitung gemäß § 11 BDSG dienen.
Checkliste für den Einsatz von Dritt-Dienstleistern
Aus unternehmerischem Eigeninteresse sollten nach unserer Erfahrung in jedem Fall die folgenden Punkte vertraglich mit Dritt-Dienstleistern festgehalten werden:
Festlegung technischer/organisatorischer Mindeststandards und Audit-Möglichkeiten: es sollten Regelungen beinhaltet sein, welche technischen/organisatorischen Mindeststandards vom Dritt-Dienstleister erwartet werden. Ferner sollte vertraglich geklärt werden, in welcher Art und in welchem Umfang der Auftraggeber durch Auditierungen die Einhaltung dieser Vorgaben kontrollieren können kann.
Informationspflicht im Datenverlustfall: der Dritt-Dienstleister sollte verpflichtet werden, im Datenverlustfall unverzüglich den Auftraggeber zu informieren
Regelung zur Datenlöschung: es empfiehlt sich ferner eine vertragliche Vereinbarung zur Datenlöschung bei Beendigung der vertraglichen Beziehungen.
Einsatz von Unter-Auftragnehmern: in der Praxis bewährt hat sich zudem die Empfehlung, dass auch der Einsatz von Unter-Auftragnehmern durch den Dritt-Dienstleister vertraglich geregelt werden sollte.
Ort der Datenverarbeitung: aufgrund der unterschiedlichen Handhabe gerade hinsichtlich europäischer und außer-europäischer Dritt-Dienstleister empfiehlt sich ferner eine Festlegung im Vertrag hinsichtlich des Orts der Datenverarbeitung.
Interne Regelungen zur Datenlöschung
Aus unternehmensinternem Eigeninteresse empfiehlt sich zudem eine interne Regelung zur Datenlöschung, entlang der Leitfragen: "Welche Datenkategorien sind durch wen nach welcher Zeit wie zu löschen?"
Das Unternehmen wird durch die rechtzeitige Löschung nicht mehr benötigter Daten zum einen vor Datenpannen geschützt. Denn nicht mehr vorhandene Daten können nicht entwendet werden.
Zum anderen zwingt es das Unternehmen zu einer transparenten und damit effizienten Unternehmens-IT. Denn nur wenn eine genaue Übersicht der Datenverarbeitungssysteme besteht, kann eine wirksame Regelung zur Datenlöschung entwickelt werden. Und schließlich wird damit auch die IT-Infrastruktur im Unternehmen entlastet.
Interne technische und organisatorische Mindeststandards definieren
In der Praxis hat sich gerade zudem die Entwicklung einer globalen IT-Sicherheitsrichtlinie bewährt, um verbindliche und einheitliche IT-Standards in einem Unternehmen(sverbund) festzulegen. Inhaltlich kann hier die Anlage zu § 9 S. 1 BDSG als Orientierung herangezogen werden.
Die IT-Sicherheitsrichtlinie sollte für sämtliche Konzerngesellschaften gelten und kann bei Bedarf auch als verpflichtender Mindeststandard gegenüber Dritt-Dienstleistern Verwendung finden.
Inhaltlich sollten insbesondere folgende Aspekte berücksichtigt werden:
Regelung zur Passwortvergabe bei Neueinstellungen, dem Prozess zur Passwortänderung sowie die Festlegung einer bestimmten Passwortkomplexität. Dies kann häufig hinsichtlich der Windows-Systeme über zentrale Systemvorgaben im Active Directory erfolgen; die Regelung sollte aber auch den Zugriff auf ERP-Systeme etc. erfassen.
Sperrung von gestohlenen und verlorenen Geräten: Empfehlenswert ist ferner die Festlegung eines Prozesses, den Diebstahl bzw. den Verlust eines IT-Gerätes mitteilen zu können, um es gegebenenfalls sperren bzw. löschen zu können.
Einsatz von Verschlüsselungsverfahren: Unternehmen legen in der IT-Sicherheitsrichtlinie zudem häufig den Einsatz von Verschlüsselungsverfahren fest (Notebook-Verschlüsselung, externe Datenträger, E-Mail-Verschlüsselung, gesicherter FTP-Server etc.).
Umgang mit Papierunterlagen: die strengsten IT-Sicherheitsvorgaben laufen ins Leere, wenn ausgedruckte vertrauliche Unterlagen nicht datenschutzkonform verwahrt und vernichtet werden. Die IT-Sicherheitsrichtlinie sollte daher die Voraussetzungen zu einem datenschutzkonformen Umgang mit Papierunterlagen schaffen (verschließbare Schränke, Aufstellen von Datentonnen bzw. Shreddern etc.).
Etablierung des Erforderlichkeits-Prinzips bei der Vergabe von Zugriffsberechtigungen: Es sollte konzernweit festgelegt werden, dass die Zugriffsvergabe auf Daten nur in dem Umfang erfolgen sollte, in dem dies für die jeweilige Person zur Durchführung ihrer Aufgaben erforderlich ist.
Umgang mit Smartphones im Unternehmen: Häufig ist es zudem angeraten, in der IT-Sicherheitsrichtlinie auch Vorgaben zum Umgang mit Smartphones im Unternehmen zu treffen. Zu klären sind dabei Fragen wie: Ist der Einsatz privater Geräte gestattet? Dürfen betriebliche Smartphones auch zu privaten Zwecken eingesetzt werden?
- Datenschutz in Deutschland
Der Prism-Skandal beschäftigt die IT-Branche weiterhin. Wir haben bei Providern wie HP, IBM, Telekom und Google angefragt, wie sie es mit dem Schutz ihrer deutschen Kundendaten halten. Hier kommen die Antworten: - Hewlett-Packard (HP): Werden selten angefragt
„Weder HP global noch HP Deutschland gewähren hier Zugangsrechte zu Kundendaten im Rahmen des „Project Prism“. <br /><br /> Grundsätzlich gilt: In jedem Land werden den staatlichen Sicherheitsbehörden Zugriffsrechte gewährt, wenn die nationale Sicherheit bedroht ist. (…) Anfragen zur Übermittlung von Daten in diesem Kontext beziehen sich zumeist auf Telekommunikationsunternehmen. IT-Infrastrukturanbieter wie HP sind hier äußerst selten betroffen.“ - Fujitsu: Deutsche Rechenzentren unterliegen dem deutschen Gesetz.
„Ein Zugriff auf Kundendaten durch Verfolgungsbehörden oder nationale und internationale Geheimdienste wird ausschließlich auf Grundlage eines deutschen Gerichtsbeschlusses gewährt. Die deutschen Rechenzentren unterliegen dem deutschen Datenschutzgesetz, das dies eindeutig regelt. <br /><br /> Da die Muttergesellschaft von Fujitsu Technology Solutions ein japanisches Unternehmen ist, kommt auch der US-amerikanische Patriot Act bei Kunden unseres Unternehmens nicht zur Anwendung.“ - Salesforce: Wir ermöglichen keinen Regierungen direkten Zugang.
„Nichts ist für Salesforce.com wichtiger als die Privatsphäre und die Sicherheit der Daten unserer Kunden. Wir sind nicht in das PRISM-Programm involviert und wir ermöglichen keinen Regierungen direkten Zugang zu den Servern von Salesforce.“ - Google: Wir prüfen alle Anfragen gewissenhaft.
"Google sorgt sich intensiv um die Sicherheit der Daten unserer Kunden. Wir legen Kundendaten gegenüber den Behörden offen gemäß geltender Gesetze offen, und wir prüfen alle Anfragen gewissenhaft.“