Mehr rechtliche Sicherheit

IT-Sicherheit outsourcen mit Managed Security Services

17.01.2013
Von 
Uli Ries ist freier Journalist in München.

Rechtlich sichere Partnerwahl

Soll sich ein externer Dienstleister um die Datensicherung des Unternehmens kümmern, müssen erneut rechtliche Vorgaben beachtet werden. Ähnlich sieht es aus bei Managed VPNs, Managed Firewalls oder dem Analysieren von Logfiles durch Dritte. In all diesen Fällen stehen dem Managed-Security-Service-Partner die vom Gesetz geschützten persönlichen Daten der Kunden und Mitarbeiter des Unternehmens offen. Dabei spielt es keine Rolle, ob die Datensicherung per Cloud-Dienst passiert ober ob die Daten lokal beim Kunden gespeichert sind. Denn die Mitarbeiter des Dienstleisters haben jederzeit Zugriff auf die Bestände.

Ein Auftraggeber muss sich nach Paragraf 11 BDSG dann von den Fähigkeiten und der technischen Organisation des Dienstleisters überzeugen, wenn im Rahmen des Projekts Zugriffe auf personenbezogene Daten nicht auszuschließen sind. Auch gilt es, unbefugte Zugriffe auf die gespeicherten Daten, deren unerlaubte Weitergabe und eigenmächtige Änderungen zu unterbinden.

Überhaupt sind personenbezogene Daten ein organisatorisches Problem bei Outsourcing-Projekten: Ein Unternehmen, das solche Daten speichert, muss die Betroffenen jederzeit und kostenlos schriftlich über Inhalt der Daten und Zweck der Speicherung informieren. Hat ein Dienstleister Zugriff, kann dieser Anbieter ebenfalls zur Auskunft verpflichtet sein.