Juristische Eckdaten für Cloud-Security

Compliance-Basics für Managed Security Services

22.12.2010 | Redakteur: Andreas Bergler

Bildergalerie: 2 Bilder

Datenschutz-Richtlinien und rechtliche Zielvorgaben müssen behutsam ausbalanciert werden. Anbieter von Managed Security Services helfen dabei.

Für Anwender und Anbieter von Managed Security Services (MSS) sind hohe Datenschutz-Standards Pflicht. Die Rechtsanwälte Horst Speichert und Wilfried Reiners nehmen Stellung zu Compliance im Umfeld von MSS und Datenschutz.

ITB: Welche besonderen Vorkehrungen sollten Anbieter von Managed Security Services treffen, um den aktuellen rechtlichen Vorschriften zu genügen?

Speichert: Die Einschaltung von Dienstleistern im Rahmen von Managed Security Services bedeutet oft die Verarbeitung personenbezogener Daten im Auftrag gemäß § 11 BDSG, die durch die Novellierung des BDSG neu geregelt wurde. Danach ist der Vertrag mit dem Dienstleister zwingend in Schriftform abzuschließen und muss nach dem Zehn-Punktekatalog des § 11 Abs. 2 BDSG insbesondere Regelungen enthalten zu:

• Gegenstand und Dauer des Auftrags
• Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, Art der Daten und Kreis der Betroffenen
• technisch-organisatorischen Maßnahmen nach § 9 BDSG
• Berichtigung, Löschung und Sperrung von Daten
• Pflichten des Auftragnehmers, insbesondere über die von ihm vorzunehmenden Kontrollen
• einer etwaigen Berechtigung zur Begründung von Unterauftragsverhältnissen
• Kontrollrechten des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers
• mitzuteilenden Verstößen gegen Datenschutzvorschriften
• Umfang der Weisungsbefugnisse des Auftraggebers
• Rückgabe der Datenträger und Löschung der Daten.

Detailliert geregelt wurde auch eine Kontrollpflicht beim Dienstleister. Der Auftraggeber hat sich gemäß § 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung (also vor Vertragsschluss) und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das bedeutet nicht zwingend eine Vorortkontrolle, sondern kann auch durch die Vorlage geeigneter Unterlagen des Dienstleisters umgesetzt werden.

ITB: Wann empfiehlt sich der Einsatz eines externen Dienstleisters als Datenschutzbeauftragten, der für die IT-Compliance haftet?

Reiners: Das setzt zunächst voraus, dass ein externer Datenschutzbeauftragter überhaupt eingesetzt werden darf. An einigen wenigen Stellen ist dies gesetzlich nicht zulässig. Aber unabhängig davon, setzt man keinen Datenschutzbeauftragten nur wegen der Haftung ein. Dies würde ja vorraussetzen, dass ein Unternehmen davon ausgeht, dass der Haftungsfall schon vorprogrammiert ist. Es gibt in der Praxis vor allem zwei Gründe, warum einem externen Datenschützer gerne der Vortritt gelassen wird. Zum Ersten geht es um den besonderen Kündigungsschutz des Datenschutzbeauftragten gemäß § 4 f Abs. 3 Satz 4 BDSG, dem manche Unternehmen entgehen möchten, und zum Zweiten darum, dass Unternehmen annehmen, dass ein externer Datenschutzbeauftragter besser ausgebildet sei und einen größeren Erfahrungsschatz habe als ein interner Datenschutzbeauftragter.

Mehr zum Thema

Rechtsexperte verweist auf Chancen von Hybrid Clouds

Compliance in der Cloud sicherstellen

Cloud Computing wird vielfach mit flexibler Datenspeicherung ohne Grenzen assoziiert. IT-Compliance dagegen steht für Regelkonformität. Wie verhält es sich also mit der Einhaltung gesetzlicher Vorschriften in der Datenwolke? lesen...

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Spamschutz 

Bitte geben Sie das Resultat dieser Rechenaufgabe (Addition) ein:

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2048737)