Immer mehr Unternehmen und Konzerne lagern die Infrastruktur für ein umfassendes Hosting, also den Betrieb von Softwareanwendungen auf zentralen Servern in externen Serverräumen (z. B. in einem Rechenzentrum), aus oder beziehen diese direkt als Service.
Der Trend geht dahin, einen Hosting-Spezialisten zu beauftragen, der alternativ zum klassischen Server-Betrieb im Unternehmen Lösungen und Services mit großer Flexibilität und Skalierbarkeit anbietet. Damit verbunden ist allerdings auch die Auslagerung von betrieblichen, personen- beziehungsweise kundenbezogenen Daten vom geschützten Unternehmensraum in öffentlich zugängliche Netze und Systeme. Bei der Wahl des passenden Hosting-Anbieters empfiehlt es sich darauf zu achten, dass dieser selbst Wert auf Datenschutz und -sicherheit legt.
Pflichtaufgabe Auftragsdatenverarbeitungsvereinbarungen
Mit der Auslagerung von Daten auf die Services eines externen Dienstleisters ist oft auch die Übergabe von personenbezogenen Daten verbunden. Wie diese Daten genau zu handhaben sind, regelt eine Vereinbarung zur Auftragsdatenverarbeitung (ADV), deren genauen Inhalte im Bundesdatenschutzgesetz (BDSG) verankert sind. Die Thematik, wann deutsche Unternehmen unter das BDSG fallen und wann sie eine ADV benötigen, hat Andreas Bachmann, Geschäftsführer und CIO der ADACOR, in einem Blogbeitrag näher untersucht.
Der Abschluss einer solchen ADV-Vereinbarung ist kein selbstverständliches Unterfangen, wie der kritische Blick auf die Hosting-Branche zeigt. Denn auch wenn sich ein Hosting-Dienstleister komplett um die Infrastruktur kümmert, so ist rechtlich für die Pflege und Kontrolle der datenschutzrelevanten Daten und Prozesse allein der Auftraggeber verantwortlich.
Bei Kunden, die ihre Softwareanwendungen selbst entwickeln und betreiben, haben Hosting-Anbieter zudem in der Regel keinen Überblick über die Datenschutzrelevanz der Anwendung. Schon in der Konzeptionsphase für individuelle Hosting-Infrastrukturen muss deshalb die fundierte Beratung durch den Hosting-Dienstleister und eine intensive Zusammenarbeit zwischen Auftraggeber und Hoster stattfinden, um rechtlich einwandfrei zu bleiben.
Verträge mit aussagekräftigen Vereinbarungen zur Auftragsdatenverarbeitung sind hier ein Muss. Anbieter müssen ihre Kunden auf das rechtliche Spannungsfeld aufmerksam machen und gemeinsam mit ihnen Rahmenbedingungen für den Umgang mit personenbezogenen Daten ausarbeiten. Die so entstehenden Auftragsdatenverarbeitungsvereinbarungen legen dann alle technischen und organisatorischen Maßnahmen wie zum Beispiel Zugriffshierarchien, Backup- Muster oder Dokumentationsformalien und deren korrekte Handhabung fest.
Praktikables Leitsystem
Die Ausarbeitung ist ein aufwendiger Prozess - rücken doch einzelne Server oder Projekte in den Fokus, für die es gesonderte ADV zu schließen gilt. Außerdem müssen die vereinbarten Prozesse dauerhaft kontrolliert und nachgehalten sowie kontinuierlich an dynamische Projektverläufe angepasst werden.
Ein jährliches Review ist deshalb Mindeststandard. Bereits in der Konzeptionsphase geht einer ADV eine umfassende Analyse der Applikation und der Daten voraus, um im Abgleich mit den gesetzlichen Vorgaben Datencluster, die durch Standardsets abgesichert werden können, und sensible Bereiche, für die besondere Maßnahmen eingeführt werden müssen, zu identifizieren.
Audits und Zertifizierungen
Eine bundesweit geltende behördliche Zertifizierung gibt es zwar nicht, aber die Landesbehörden bieten verschiedene Audit-Möglichkeiten an. In der Praxis ist es sinnvoll, dass Auftraggeber einen Audit-Katalog erstellen, anhand dessen ein Auditor einer unabhängigen Stelle den Managed-Hosting-Dienstleister prüfen kann. Allgemeine Richtlinien lassen sich auf diese Weise mit individuellen Unternehmensanforderungen kombinieren.
Denn diese können sehr unterschiedlich sein: Bundesbehörden, Ärzte, Banken oder Versicherungen unterliegen unterschiedlichen gesetzlichen und regulatorischen Anforderungen. Kirchliche Einrichtungen zum Beispiel von Caritas und Diakonie wiederum beanspruchen zusätzlich spezielle kirchenrechtliche Regelungen für sich.
Von der Pflicht zur Kür
Das Erstellen von Audit-Katalogen zum Datenschutz kann für Unternehmen übrigens weitaus mehr als lästige Pflichterfüllung sein. Denn mit der Analyse der datenschutzrelevanten Bereiche - denkbar sind hier zum Beispiel technische und organisatorische Voraussetzungen für Löschfristen oder Zugriffshierarchien - geht häufig auch eine Optimierung der Geschäftsprozesse einher. Nicht selten werden Schwachstellen im Unternehmen im Rahmen der Analysen früh entdeckt und rechtzeitig beseitigt.
Der eingangs schon erwähnte Geschäftsführer-Kollege Andreas Bachmann kommentiert den Umgang mit der rechtlichen Kontroverse von Datenschutz und Datensicherheit wie folgt: "Viele Kunden müssen das Thema schon deshalb ernst nehmen, weil sie selbst strengen gesetzlichen Vorgaben unterliegen. Aber auch Kunden, die rechtliche Vorgaben flexibler handhaben können, gehen zunehmend sensibler mit dem Themenfeld Datenschutz und -sicherheit um. Denn das Ergebnis sind stimmige und nachhaltige Datenschutzkonzepte, die Gesetzesvorgaben und Datenschutzrichtlinien detailliert berücksichtigen." (mb)