Neben einer redundanten Stromversorgung, Brandschutz und Vorkehrungen zur Zutrittssicherheit des Rechenzentrums, sind es vor allem Maßnahmen zum Datenschutz, damit IT-Sicherheit beim Hosting gewährleistet ist. Dieser Beitrag beleuchtet rechtliche Aspekte und technische Hintergründe bei der Auswahl von Hosting-Anbietern.
Verstöße gegen Datenschutz sind kein Bagatelldelikt. Bei Fahrlässigkeit drohen Bußgelder bis zu 50.000 Euro, die bei schweren Fällen bis auf 300.000 Euro ansteigen können. Selten sind dagegen Datenschutz-Straftaten. Bei Vorsatz drohen sogar bis zu zwei Jahren Haft. Bei Unternehmen greift dann auch nicht mehr eine bestehende Versicherung. Und die Schadenersatzansprüche können dann sogar aus dem Privatvermögen des Geschäftsführers beglichen werden. Doch soweit muss es nicht kommen!
Ist Datensicherheit nur bei Cloud-Diensten verletzt?
Zunächst einmal ist es wichtig sich zu vergegenwärtigen, dass IT-Outsourcing generell gewissen Risiken unterliegt, denn in der Regel hat der Anbieter Zugriff auf die Daten seiner Kunden. Sei es, dass Ressourcen über eine Cloud, direkt dedizierte Server bei einem Hosting-Anbieter oder ein komplettes Outsourcing von Applikationen gebucht werden. Potenzieller Datenmissbrauch lässt sich daher nicht auf ein rein technisches und cloudspezifisches Problem reduzieren.
Dabei steht Datenmissbrauch immer im direkten Zusammenhang mit der Seriosität der einzelnen Hosting- bzw. Outsourcing-Anbieter. Deshalb ist es unverzichtbar, sich ausführlich über potenzielle Anbieter zu informieren und sich für einen 100-prozentig vertrauenswürdigen Anbieter zu entscheiden. Kompromisse sind hier fehl am Platz. Transparenz beim Anbieter ist mitentscheidend. So sollte der Hosting- oder Cloudanbieter seine Maßnahmen zum Datenschutz durch einen unabhängigen Prüfer regelmäßig auditieren lassen.
Auftragsdatenverarbeitung
Ein weiterer wichtiger Baustein in Sachen Datenschutz ist in Deutschland die Verpflichtung des outsourcenden Unternehmens zu einer vertraglichen Vereinbarung über eine Auftragsdatenverarbeitung (ADV) mit seinem Dienstleister.
In allen Fällen, in denen Datenverarbeitungsprozesse an Dritte ausgelagert werden, spricht man von einer Auftragsdatenverarbeitung. Sowie Daten mit einem Bezug zu natürlichen Personen (personenbezogene Daten) betroffen sind, ist §11 des Bundesdatenschutzgesetzes (BDSG) zu beachten. Dabei muss der Auftrag schriftlich erteilt werden. Er muss auch bestimmte Regelungen enthalten, die den Missbrauch personenbezogener Daten verhindern sollen. Im BDSG sind §11 Abs. 2 zehn Punkte aufgeführt, die im Einzelnen in einer Auftragsdatenverarbeitungsvereinbarung von den Parteien festzulegen sind. Hierzu gehört neben der Nennung von Art und Zweck der vorgesehenen Datenverarbeitung insbesondere die Festlegung der technischen und organisatorischen Maßnahmen, die der externe Dienstleister zum Schutz und Sicherung der Daten trifft, die er von dem beauftragenden Unternehmen erhält.
Beauftragt ein Unternehmen einen Anbieter mit Datenverarbeitung ohne eine schriftliche Vereinbarung, welche die Maßnahmen zum Schutz der sensiblen Personendaten genau definiert und festlegt, begeht es eine bußgeldbelegte Ordnungswidrigkeit. Denn das Unternehmen ist per Gesetz dazu verpflichtet, die vertraglichen Voraussetzungen für den sicheren Umgang mit allen personenbezogenen Daten durch Dritte zu treffen. Dies trifft beispielsweise schon zu, wenn ein Unternehmen ein Callcenter beauftragt und dem Dienstleister Adressen für Outbound-Calls zur Verfügung stellt.
Zwar können für diese Vereinbarung zunächst recht allgemeine Vorlagen herangezogen werden. Sie sollten dann jedoch auf die jeweilige Situation und Bedürfnisse des Kunden angepasst werden.
Bei einem deutschen Cloud-Anbieter, der sein Rechenzentrum in Deutschland unter deutschen Datenschutzgesetzen betreibt und mit dem eine Vereinbarung zur Auftragsdatenverarbeitung abgeschlossen wurde, ist also davon auszugehen, dass die Daten nur von deutschen Sicherheitsbehörden nach richterlicher Anordnung eingesehen werden können und ausländische Geheimdienste wie die NSA keinen Zugriff auf die Daten haben.