Juristische Eckdaten für Cloud-Security Compliance-Basics für Managed Security Services

Redakteur: Dr. Andreas Bergler

Für Anwender und Anbieter von Managed Security Services (MSS) sind hohe Datenschutz-Standards Pflicht. Die Rechtsanwälte Horst Speichert und Wilfried Reiners nehmen Stellung zu Compliance im Umfeld von MSS und Datenschutz.

Firmen zum Thema

Datenschutz-Richtlinien und rechtliche Zielvorgaben müssen behutsam ausbalanciert werden. Anbieter von Managed Security Services helfen dabei.
Datenschutz-Richtlinien und rechtliche Zielvorgaben müssen behutsam ausbalanciert werden. Anbieter von Managed Security Services helfen dabei.
( Archiv: Vogel Business Media )

ITB: Welche besonderen Vorkehrungen sollten Anbieter von Managed Security Services treffen, um den aktuellen rechtlichen Vorschriften zu genügen?

Speichert: Die Einschaltung von Dienstleistern im Rahmen von Managed Security Services bedeutet oft die Verarbeitung personenbezogener Daten im Auftrag gemäß § 11 BDSG, die durch die Novellierung des BDSG neu geregelt wurde. Danach ist der Vertrag mit dem Dienstleister zwingend in Schriftform abzuschließen und muss nach dem Zehn-Punktekatalog des § 11 Abs. 2 BDSG insbesondere Regelungen enthalten zu:

Bildergalerie
  • Gegenstand und Dauer des Auftrags
  • Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, Art der Daten und Kreis der Betroffenen
  • technisch-organisatorischen Maßnahmen nach § 9 BDSG
  • Berichtigung, Löschung und Sperrung von Daten
  • Pflichten des Auftragnehmers, insbesondere über die von ihm vorzunehmenden Kontrollen
  • einer etwaigen Berechtigung zur Begründung von Unterauftragsverhältnissen
  • Kontrollrechten des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers
  • mitzuteilenden Verstößen gegen Datenschutzvorschriften
  • Umfang der Weisungsbefugnisse des Auftraggebers
  • Rückgabe der Datenträger und Löschung der Daten.

Detailliert geregelt wurde auch eine Kontrollpflicht beim Dienstleister. Der Auftraggeber hat sich gemäß § 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung (also vor Vertragsschluss) und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das bedeutet nicht zwingend eine Vorortkontrolle, sondern kann auch durch die Vorlage geeigneter Unterlagen des Dienstleisters umgesetzt werden.

ITB: Wann empfiehlt sich der Einsatz eines externen Dienstleisters als Datenschutzbeauftragten, der für die IT-Compliance haftet?

Reiners: Das setzt zunächst voraus, dass ein externer Datenschutzbeauftragter überhaupt eingesetzt werden darf. An einigen wenigen Stellen ist dies gesetzlich nicht zulässig. Aber unabhängig davon, setzt man keinen Datenschutzbeauftragten nur wegen der Haftung ein. Dies würde ja vorraussetzen, dass ein Unternehmen davon ausgeht, dass der Haftungsfall schon vorprogrammiert ist. Es gibt in der Praxis vor allem zwei Gründe, warum einem externen Datenschützer gerne der Vortritt gelassen wird. Zum Ersten geht es um den besonderen Kündigungsschutz des Datenschutzbeauftragten gemäß § 4 f Abs. 3 Satz 4 BDSG, dem manche Unternehmen entgehen möchten, und zum Zweiten darum, dass Unternehmen annehmen, dass ein externer Datenschutzbeauftragter besser ausgebildet sei und einen größeren Erfahrungsschatz habe als ein interner Datenschutzbeauftragter.

(ID:2048737)