Informationssicherheit - 28. April 2016

Die Wahl des Partners

Unternehmen müssen heute genau wissen, was der Dienst­leister ihrer In­for­ma­tions­technik im Ein­zelnen macht. Nur so können sie für die Sicher­heit der Daten ga­ran­tie­ren. Daher ist es zwin­gend not­wendig, dass der Unter­nehmer seinen Lie­fe­ran­ten regel­mäßig über­wacht und prüft.

Die Wertschöpfung von Unternehmen hängt stärker denn je von der eingesetzten Infor­ma­tions­technik ab. Informationssicherheit beschränkte sich dabei lange Zeit darauf, die In­for­mat­ions­technik im eigenen Unter­nehmen zu schützen. Dank E-Commerce und Cloud Computing beschränkt sich diese Aufgabe nun nicht mehr nur auf das eigene Unternehmen, sondern auch auf die Lieferanten solcher Services. Die Informationssicherheit fängt damit bereits bei der Auswahl des richtigen Lieferanten an.

Auftragsdatenverarbeitung

Der deutsche Gesetzgeber hat für den Fall, dass im Rahmen der Auftragstätigkeit per­so­nen­be­zogene Daten automatisiert verarbeitet werden sollen oder können, Vorschriften erlassen, um einen angemessenen Schutz der Daten zu gewährleisten, wenn ein Zugriff darauf durch eine Stelle erfolgt, die bisher außerhalb der datenschutzrechtlich verantwortlichen Stelle (also dem eignen Unternehmen) stand. Kommentare zum § 11 Bundesdatenschutzgesetz (BDSG), der die Auftragsdatenverarbeitung regelt, fordern, dass der Auftraggeber genau weiß, was der Auf­trag­nehmer im Einzelnen macht. Nur so kann er seiner Verantwortung für die Sicherheit der Daten nachkommen. Um die Regelungskonformität der Durchführung mit seinen Vorstellungen sicherstellen zu können, verfügt der Auftraggeber in dieser Ausgangslage über ein Weisungsrecht hinsichtlich des Umgangs mit den Daten. Erfüllt ein Auftragsverhältnis nicht die Vorgaben des
§ 11 BDSG und den in § 11 Abs. 2 BDSG aufgeführten Zehn-Punkte-Katalog (siehe Checkliste am Ende des Beitrags), riskiert der Auftraggeber ein Bußgeld, das bis 50.000 Euro betragen kann (§ 43 Abs. 1 Nummer 2b i. V. m. § 43 Abs. 3 BDSG). Das Bayerische Landesamt für Datenschutzaufsicht verhängte im August 2015 ein Bußgeld in fünfstelliger Höhe gegen ein Unternehmen, weil die technischen und organisatorischen Schutzmaßnahmen nicht ausreichend vereinbart waren.

Funktionsübertragung

Abzugrenzen von der Auftragsdaten­verarbeitung ist die sogenannte Funktionsübertragung.

Abzugrenzen von der Auftragsdatenverarbeitung ist die sogenannte Funktionsübertragung, bei der der Dienstleister nicht nur eine technische Hilfsfunktion übernimmt, sondern eine Aufgabe und hierbei eigenverantwortliche Entscheidungen trifft. Sie ist zwar nicht im Gesetz geregelt, wurde aber in einer Gesetzesbegründung als Abgrenzungsmerkmal definiert. Der Auftraggeber benötigt dann für die Weitergabe der personenbezogenen Daten eine Zulässigkeitsgrundlage, die im Regelfall als Wahrung berechtigten Interesses gestaltet werden kann. Im Falle der Auftragsdatenverarbeitung ist seitens des Auftraggebers sicher­zu­stellen, dass der Dienstleister seine technischen und organisatorischen Maßnahmen (TOM) zu Sicherheit der Daten auch in einem angemessenen Umfang vorhält und einhält. Der Gesetz­geber ver­langt hier vom Auftraggeber neben einem dokumentierten Vertrag mit Min­dest­in­hal­ten auch, dass sich der Auftraggeber vorab und später in regelmäßigen Abständen davon überzeugt, dass das Schutz­niveau beim Auftragnehmer im Sinne des Auftraggebers an­ge­messen ist. Selbstredend, dass die zu­ge­hö­ri­gen Prüfungshandlungen und Feststellungen dokumentiert werden müssen. Auch hier droht ein Bußgeld, unterlässt der Auftraggeber, sich vor Beginn der Datenverarbeitung von der Einhaltung zu überzeugen (§ 43 Abs. 1 Nr. 2b i. V. m. § 43 Abs. 3 BDSG).

Technische und organisatorische Maßnahmen

Nach § 9 BDSG sind Unternehmen, welche personenbezogene Daten verarbeiten, erheben oder nutzen, verpflichtet, technische und/oder organisatorische Maßnahmen zu treffen, um sicher­zu­stellen, dass die Sicherheits- und Schutzanforderungen des BDSG erfüllt sind. Die Spezi­fi­zie­rung dieser An­for­de­rungen ergibt sich aus der Anlage zu § 9 BDSG (siehe Tabelle unten).
Gibt es neben der gesetzlichen Forderung nach BDSG noch weitere Anforderungen, die ein Lie­fer­an­ten­ma­nage­ment im Sinne der Informationssicherheit fordern? Die ISO/IEC 27001:2013 liefert den internationalen De-facto-Standard zur Informationssicherheit. Ihr Fokus liegt in der Infor­ma­tions­sicherheit des Unternehmens, der diesen Standard umsetzen will. Neben der reinen Innen­sicht auf Informationssicherheit existiert auch eine Anforderung A.15 Lie­feran­ten­be­zie­hungen. Erwartungsgemäß geht es hier nicht nur um die reine Auftragsverarbeitung. Vielmehr geht es darum, Sicherheit in Lieferantenbeziehungen sicherzustellen und diese Dienst­leis­tungs­er­brin­gung zu managen. Die Sicherheit in Lie­feran­ten­be­zie­hungen (A.15.1) dient der Sicherstellung des Schutzes der für Lieferanten zugänglichen Informationen des Unter­neh­mens. Ein Lieferant hat Zugriff auf Informationen der Organisation, wenn er sie ver­ar­bei­tet, wei­ter­gibt oder IT-Infra­struk­tur­kom­po­nenten dafür bereitstellt. Mit jedem Lieferanten müssen alle relevanten In­for­ma­tions­sicher­heits­an­for­de­rungen festgelegt und vereinbart werden. Bei der Auf­trags­da­ten­ver­ar­beitung nach § 11 BDSG fallen hier die TOM darunter, die sich aus der Anlage zu § 9 BDSG ergeben. Das Management der Dienstleistungserbringung durch den Lieferanten (A.15.2) dient der Auf­recht­er­haltung einer vereinbarten Informationssicherheitsstufe. Es wird gefordert, dass die Organisation die Dienstleistungserbringung durch den Lieferanten regelmäßig überwacht, prüft und auditiert. Auch diese Anforderung spiegelt die Kontrollpflicht des § 11 BDSG wider.

Ausblick

Ist es somit zwingend notwendig, jeden Lieferanten vor Ort zu auditieren, um der geforderten Prüfpflicht nachzukommen? Selbstverständlich nicht. Sowohl das BDSG als auch die ISO/IEC 27001:2013 fordern nur, sich als Unternehmen angemessen von der Wirksamkeit der um­ge­setz­ten technischen und organisatorischen Maßnahmen bei seinem Lieferanten zu über­zeugen. Im Übrigen ist es bei manchem Cloud-Anbieter auch schlicht unmöglich, alle Standorte zu über­prüfen. Das zu treffende Schutzniveau beim Lieferanten muss so konkret erfolgen, dass eine Prüfung vor Ort beim Lieferanten möglich ist. Abhängig von der Wichtigkeit des Lieferanten und von der Kritikalität der übermittelten Daten sollte entschieden werden, ob eine Prüfung des Schutzniveaus durch eine Dokumentenprüfung erfolgt oder ob tatsächlich eine aufwendige Prüfung vor Ort notwendig ist, wenn bereits Zertifikate vorliegen.

Anlage zu § 9 BDSG

Anlage zu § 9 BDSG:
Die technisch-organisatorischen Maßnahmen in definierter Reihenfolge

TOM Ziel Beispiele
Zutrittskontrolle verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben Bewachung eines Gebäudes, Alarmanlage, Videokameras
Zugangskontrolle verhindern, dass Unbefugte Datenverarbeitungsanlagen nutzen können Firewall, Virenschutz, Benutzeridentifikation, Passwort, Verschlüsselung
Zugriffskontrolle gewährleisten, dass nur Berechtigte auf Daten zugreifen können und diese nicht unbefugt gelesen, verändert, kopiert oder entfernt werden können Berechtigungskonzept, Protokollierung, Überwachung
Weitergabekontrolle gewährleisten, dass Daten bei der elektronischen Übertragung/Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können Transportregelungen, Versendungsarten
Eingabekontrolle gewährleisten, dass nachträglich überprüft werden kann, ob und wer Daten verändert oder entfernt hat Protokollierung, Dokumentation
Auftragskontrolle gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Anweisungen des Auftraggebers verarbeitet werden können Subunternehmer, Kontrolle der Arbeitsergebnisse
Verfügbarkeitskontrolle gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind Brandschutz, Stromversorgung, Notfallplan
Trennungskontrolle gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden Getrennte Speicherung,
Mandantenfähigkeit

Der Zehn-Punkte-Katalog

Der Zehn-Punkte-Katalog – nach § 11 Abs. 2 BDSG

  1. Gegenstand und Dauer des Auftrags
  2. Umfang, Art und Zweck der Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen
  3. Technische und organisatorische Maßnahmen
  4. Berichtigung, Löschung und Sperrung von Daten
  5. Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen
  6. Einschaltung von Unterauftragsverhältnissen
  7. Kontrollrechte des Auftraggebers
  8. Mitzuteilende Verstöße des Auftragnehmers
  9. Umfang der Weisungsbefugnisse
  10. Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags

Zum Autor

Dr. Thomas Lohre

Mitarbeiter im Bereich Sicherheitsmanagement bei DATEV

Weitere Artikel des Autors