Unternehmen müssen heute genau wissen, was der Dienstleister ihrer Informationstechnik im Einzelnen macht. Nur so können sie für die Sicherheit der Daten garantieren. Daher ist es zwingend notwendig, dass der Unternehmer seinen Lieferanten regelmäßig überwacht und prüft.
Die Wertschöpfung von Unternehmen hängt stärker denn je von der eingesetzten Informationstechnik ab. Informationssicherheit beschränkte sich dabei lange Zeit darauf, die Informationstechnik im eigenen Unternehmen zu schützen. Dank E-Commerce und Cloud Computing beschränkt sich diese Aufgabe nun nicht mehr nur auf das eigene Unternehmen, sondern auch auf die Lieferanten solcher Services. Die Informationssicherheit fängt damit bereits bei der Auswahl des richtigen Lieferanten an.
Auftragsdatenverarbeitung
Der deutsche Gesetzgeber hat für den Fall, dass im Rahmen der Auftragstätigkeit personenbezogene Daten automatisiert verarbeitet werden sollen oder können, Vorschriften erlassen, um einen angemessenen Schutz der Daten zu gewährleisten, wenn ein Zugriff darauf durch eine Stelle erfolgt, die bisher außerhalb der datenschutzrechtlich verantwortlichen Stelle (also dem eignen Unternehmen) stand. Kommentare zum § 11 Bundesdatenschutzgesetz (BDSG), der die Auftragsdatenverarbeitung regelt, fordern, dass der Auftraggeber genau weiß, was der Auftragnehmer im Einzelnen macht. Nur so kann er seiner Verantwortung für die Sicherheit der Daten nachkommen. Um die Regelungskonformität der Durchführung mit seinen Vorstellungen sicherstellen zu können, verfügt der Auftraggeber in dieser Ausgangslage über ein Weisungsrecht hinsichtlich des Umgangs mit den Daten. Erfüllt ein Auftragsverhältnis nicht die Vorgaben des
§ 11 BDSG und den in § 11 Abs. 2 BDSG aufgeführten Zehn-Punkte-Katalog (siehe Checkliste am Ende des Beitrags), riskiert der Auftraggeber ein Bußgeld, das bis 50.000 Euro betragen kann (§ 43 Abs. 1 Nummer 2b i. V. m. § 43 Abs. 3 BDSG). Das Bayerische Landesamt für Datenschutzaufsicht verhängte im August 2015 ein Bußgeld in fünfstelliger Höhe gegen ein Unternehmen, weil die technischen und organisatorischen Schutzmaßnahmen nicht ausreichend vereinbart waren.
Funktionsübertragung
Abzugrenzen von der Auftragsdatenverarbeitung ist die sogenannte Funktionsübertragung.
Abzugrenzen von der Auftragsdatenverarbeitung ist die sogenannte Funktionsübertragung, bei der der Dienstleister nicht nur eine technische Hilfsfunktion übernimmt, sondern eine Aufgabe und hierbei eigenverantwortliche Entscheidungen trifft. Sie ist zwar nicht im Gesetz geregelt, wurde aber in einer Gesetzesbegründung als Abgrenzungsmerkmal definiert. Der Auftraggeber benötigt dann für die Weitergabe der personenbezogenen Daten eine Zulässigkeitsgrundlage, die im Regelfall als Wahrung berechtigten Interesses gestaltet werden kann. Im Falle der Auftragsdatenverarbeitung ist seitens des Auftraggebers sicherzustellen, dass der Dienstleister seine technischen und organisatorischen Maßnahmen (TOM) zu Sicherheit der Daten auch in einem angemessenen Umfang vorhält und einhält. Der Gesetzgeber verlangt hier vom Auftraggeber neben einem dokumentierten Vertrag mit Mindestinhalten auch, dass sich der Auftraggeber vorab und später in regelmäßigen Abständen davon überzeugt, dass das Schutzniveau beim Auftragnehmer im Sinne des Auftraggebers angemessen ist. Selbstredend, dass die zugehörigen Prüfungshandlungen und Feststellungen dokumentiert werden müssen. Auch hier droht ein Bußgeld, unterlässt der Auftraggeber, sich vor Beginn der Datenverarbeitung von der Einhaltung zu überzeugen (§ 43 Abs. 1 Nr. 2b i. V. m. § 43 Abs. 3 BDSG).
Technische und organisatorische Maßnahmen
Nach § 9 BDSG sind Unternehmen, welche personenbezogene Daten verarbeiten, erheben oder nutzen, verpflichtet, technische und/oder organisatorische Maßnahmen zu treffen, um sicherzustellen, dass die Sicherheits- und Schutzanforderungen des BDSG erfüllt sind. Die Spezifizierung dieser Anforderungen ergibt sich aus der Anlage zu § 9 BDSG (siehe Tabelle unten).
Gibt es neben der gesetzlichen Forderung nach BDSG noch weitere Anforderungen, die ein Lieferantenmanagement im Sinne der Informationssicherheit fordern? Die ISO/IEC 27001:2013 liefert den internationalen De-facto-Standard zur Informationssicherheit. Ihr Fokus liegt in der Informationssicherheit des Unternehmens, der diesen Standard umsetzen will. Neben der reinen Innensicht auf Informationssicherheit existiert auch eine Anforderung A.15 Lieferantenbeziehungen. Erwartungsgemäß geht es hier nicht nur um die reine Auftragsverarbeitung. Vielmehr geht es darum, Sicherheit in Lieferantenbeziehungen sicherzustellen und diese Dienstleistungserbringung zu managen. Die Sicherheit in Lieferantenbeziehungen (A.15.1) dient der Sicherstellung des Schutzes der für Lieferanten zugänglichen Informationen des Unternehmens. Ein Lieferant hat Zugriff auf Informationen der Organisation, wenn er sie verarbeitet, weitergibt oder IT-Infrastrukturkomponenten dafür bereitstellt. Mit jedem Lieferanten müssen alle relevanten Informationssicherheitsanforderungen festgelegt und vereinbart werden. Bei der Auftragsdatenverarbeitung nach § 11 BDSG fallen hier die TOM darunter, die sich aus der Anlage zu § 9 BDSG ergeben. Das Management der Dienstleistungserbringung durch den Lieferanten (A.15.2) dient der Aufrechterhaltung einer vereinbarten Informationssicherheitsstufe. Es wird gefordert, dass die Organisation die Dienstleistungserbringung durch den Lieferanten regelmäßig überwacht, prüft und auditiert. Auch diese Anforderung spiegelt die Kontrollpflicht des § 11 BDSG wider.
Ausblick
Ist es somit zwingend notwendig, jeden Lieferanten vor Ort zu auditieren, um der geforderten Prüfpflicht nachzukommen? Selbstverständlich nicht. Sowohl das BDSG als auch die ISO/IEC 27001:2013 fordern nur, sich als Unternehmen angemessen von der Wirksamkeit der umgesetzten technischen und organisatorischen Maßnahmen bei seinem Lieferanten zu überzeugen. Im Übrigen ist es bei manchem Cloud-Anbieter auch schlicht unmöglich, alle Standorte zu überprüfen. Das zu treffende Schutzniveau beim Lieferanten muss so konkret erfolgen, dass eine Prüfung vor Ort beim Lieferanten möglich ist. Abhängig von der Wichtigkeit des Lieferanten und von der Kritikalität der übermittelten Daten sollte entschieden werden, ob eine Prüfung des Schutzniveaus durch eine Dokumentenprüfung erfolgt oder ob tatsächlich eine aufwendige Prüfung vor Ort notwendig ist, wenn bereits Zertifikate vorliegen.
Anlage zu § 9 BDSG
Anlage zu § 9 BDSG:
Die technisch-organisatorischen Maßnahmen in definierter Reihenfolge
TOM | Ziel | Beispiele |
---|---|---|
Zutrittskontrolle | verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben | Bewachung eines Gebäudes, Alarmanlage, Videokameras |
Zugangskontrolle | verhindern, dass Unbefugte Datenverarbeitungsanlagen nutzen können | Firewall, Virenschutz, Benutzeridentifikation, Passwort, Verschlüsselung |
Zugriffskontrolle | gewährleisten, dass nur Berechtigte auf Daten zugreifen können und diese nicht unbefugt gelesen, verändert, kopiert oder entfernt werden können | Berechtigungskonzept, Protokollierung, Überwachung |
Weitergabekontrolle | gewährleisten, dass Daten bei der elektronischen Übertragung/Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können | Transportregelungen, Versendungsarten |
Eingabekontrolle | gewährleisten, dass nachträglich überprüft werden kann, ob und wer Daten verändert oder entfernt hat | Protokollierung, Dokumentation |
Auftragskontrolle | gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Anweisungen des Auftraggebers verarbeitet werden können | Subunternehmer, Kontrolle der Arbeitsergebnisse |
Verfügbarkeitskontrolle | gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind | Brandschutz, Stromversorgung, Notfallplan |
Trennungskontrolle | gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden | Getrennte Speicherung, Mandantenfähigkeit |
Der Zehn-Punkte-Katalog
Der Zehn-Punkte-Katalog – nach § 11 Abs. 2 BDSG
- Gegenstand und Dauer des Auftrags
- Umfang, Art und Zweck der Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen
- Technische und organisatorische Maßnahmen
- Berichtigung, Löschung und Sperrung von Daten
- Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen
- Einschaltung von Unterauftragsverhältnissen
- Kontrollrechte des Auftraggebers
- Mitzuteilende Verstöße des Auftragnehmers
- Umfang der Weisungsbefugnisse
- Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags