Häufige Fragen

NIERO@net e.K. Managed Services Tipp der Woche: Datenschutz und Datensicherheit sind eine unternehmerische Notwendigkeit.

NIERO@net e.K. plant und betreibt Windows Server Umgebungen, Microsoft Netzwerk- und Active-Directory-Infrastrukturen bei kleinen und mittelständischen Unternehmen als vCTO mit Managed Services.

"Es gibt keine Kunden mehr, die Könige sind. Kunden sind Partner!"

Als IT-Unternehmensberatung, die mit Klienten auf Augenhöhe und nicht mit Kunden arbeitet, haben wir einen klaren Beratungs- und Aufklärungsauftrag. Wir haben eine IT- und Unternehmensstrategie für uns und unsere Klienten.

Unser Geschäftsmodell ist vom "Enterprise Service Delivery Model" abgeleitet und wir glauben daran, dass Unternehmen, die Managed Services einführen, bereit sein müssen, ihre Arbeits- und Denkkultur zu ändern.

Als Experten sind wir dafür verantwortlich Ihr Unternehmen produktiv zu halten und Ihr unternehmerisches Risiko zu mindern. Damit Ihr Unternehmen erfolgreicher wird, stellen wir Ihnen die entsprechende Prozesse und Prozeduren zur Verfügung.

Der MSP unterscheidet sich von einem herkömmlichen Dienstleister darin, dass der MSP nicht das Postfach, oder Onlinespeicher schuldet. Er schuldet die Bereitstellung und den operativen Betrieb einer Infrastruktur, respektive deren Verfügbarkeit. Weil wir dies schulden, begrenzen wir den Zugriff durch Dritte auf diese Infrastrukturen, als wären es unsere Eigenen.

Unsere Strategie, Infrastrukturen so zu gestalten, dass möglichst wenig manuelle Eingriffe nötig sind, sorgt auch für eine Zeit- und Kostenersparnis, sowie eine Renditesteigerung.

Datenschutz und Datensicherheit sind eine unternehmerische Notwendigkeit.

Der Gesetzgeber hat den Umgang mit personenbezogenen Daten unter einen besonderen Schutz gestellt. Im Bundesdatenschutzgesetz – BDSG – ist u.a. festgelegt, dass die Leitung eines Unternehmens die alleinige Verantwortung für den rechtmäßigen Umgang mit personenbezogenen Daten im Unternehmen hat. Fehlerhafter Umgang mit personenbezogenen Daten ist kein Kavaliersdelikt und kann empfindliche Geldbußen nach sich ziehen. Darüber hinaus kann, durch Bekannt werden einer Datenpanne, ein nicht zu bewertender Imageschaden für Unternehmen entstehen.

Geschäftsführer und Vorstände sind sich oftmals nicht über die Tragweite der Konsequenzen bewusst, wenn Sie Datenschutz und Datensicherheit in ihrem Unternehmen nicht ordnungsgemäß gewährleisten.

Datenschutzverstöße werden in der Regel als grobe Fahrlässigkeit angesehen. Daraus ergibt sich eine Haftung des Geschäftsführers oder Vorstands. Unter Umständen mit seinem gesamten Privatvermögen.

Mit der EU Datenschutz-Grundverordnung (DS-GVO), die ab dem 25. Mai 2018 alle nationalen Datenschutz-Regelungen ablösen wird, wird es nicht mehr ausreichen, auf die Einhaltung der Datenschutzregelungen “hinzuwirken”, sondern die Regelungen müssen zwingend eingehalten und überwacht werden. Haftungsregelungen werden verschärft und höhere Busgelder werden angedroht.

Bundesdatenschutzgesetz (BDSG)
Anlage (zu § 9 Satz 1)
(Fundstelle des Originaltextes: BGBl. I 2003, 88)
 
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
  2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
  3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
  4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
  5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
  6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

Die Zutrittskontrolle stellt sicher, dass nur Berechtigte die Möglichkeit haben, Betriebsmittel, mit denen personenbezogene Daten verarbeitet werden, zu nutzen. Die Zutrittskontrolle bezieht sich somit auf den räumlichen Zutritt zu Bereichen in denen (personenbezogene) Daten verarbeitet werden.
 
Das Bundesdatenschutzgesetzt sagt hierzu: „Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle).“

In der Regel wird der Datenschutzbeauftragte oder Auditor regelmäßig den Zutritt überprüfen. Dies kann auch bei anonymen Besuchen geschehen.

Viele IT-Sicherheits Regelwerke neben dem BDSG kennen die Zutrittskontrolle.

Zum Beispiel Anforderung 9 aus PCI-DSS 2.0: „Beschränken Sie den physischen Zugriff auf Karteninhaberdaten“. In der ISO 27001 oder den BSI Grundschutzkatalogen finden Sie ebenfalls entsprechende Anforderungen zur physischen, unternehmensbezogenen Sicherheit.

Über unsere Partner können wir Ihnen jederzeit ein Datenschutzaudit anbieten. Gemäß §4f Abs. 2 BDSG dürfen wir dies aufgrund eines Interessenskonflikts nicht selbst durchführen.

Die Beseitigung von Schäden, die aus Nicht-Compliance und aus nicht-unterstützten Konfigurationen entstehen, sind weder vom Managed Service Agreement, noch vom Service Level Agreement umfasst. Dies bedeutet auch, dass wir in diesen Fällen keinerlei Reaktionszeiten garantieren.

In unseren Verträgen, haben wir Klauseln, die unsere Verantwortung ausschließen:

Master Service Agreement:

§3 (12) Der Service Provider ist der einzige Dienstanbieter beim Klienten für die in den Service Agreements festgelegten Dienste. Jede Beauftragung Dritter zur Durchführung dieser Dienste oder eigene Durchführung durch den Klienten gibt dem Service Provider nach vorheriger Mahnung in Textform das Recht auf fristlose Kündigung der geschlossenen Serviceverträge .
 
§4 (2) Soweit die Leistungen des Service Providers nicht vom Klienten gem. §1 Abs. 2 umfasst sind, sind diese gesondert zu vergüten.
 
Gesondert zu vergüten sind z. B.:

  • Die Beseitigung von Störungen und Schäden, die durch unsachgemäße Behandlung seitens des Klienten, durch Einwirkung Dritter oder durch höhere Gewalt verursacht werden
  • Änderungen an der Infrastruktur ohne Einwilligung und ohne Beisein des Service Providers, durch den Klienten oder Dritte

§8 (3) Von der Gewährleistung ausgeschlossen sind Störungen und Schäden, die durch unsachgemäße Behandlung seitens des Klienten, durch Einwirkung Dritter oder durch höhere Gewalt verursacht werden. Gleiches gilt für Schäden und Störungen, die durch Umweltbedingungen am Aufstellungsort, durch Fehler oder Nichtleistung der Stromversorgung oder sonstige, nicht vom Service Provider zu vertretende Einwirkungen verursacht werden. Dasselbe gilt für Mängel, die darauf beruhen, dass Fehler, Änderungsnotwendigkeiten und andere, die Notwendigkeit von Pflegemaßnahmen anzeigende Umstände, dem Service Provider vom Klienten nicht umgehend mitgeteilt wurden.

Service Level Agreement:

§2 (2) Der Service Provider ist der einzige Dienstanbieter beim Klienten für die vertragsgegenständlichen Dienste. Jede Beauftragung Dritter zur Durchführung dieser Dienste oder eigene Durchführung durch den Klienten gibt dem Service Provider nach vorheriger Mahnung in Textform das Recht zur fristlosen Kündigung dieses Service-Level-Agreements. § 3 Abs. 12 des Master-Service-Agreements bleibt unberührt. Auch ohne Kündigung verliert der Klient durch obige Beauftragung sein Recht auf Entschädigungszahlung nach § 6 dieser Vereinbarung

Wir nehmen keine Arbeit von Unternehmen an, die uns nicht als logische Erweiterung ihrer Organisation ansehen und uns deshalb nicht erlauben, deren Infrastrukturen Richtlinien- und Prozedurbasierend zu verwalten.

Als Unternehmen, das für den Gewinn arbeitet, sind wir dieses Vorgehen unserer Reputation als Experten, unserem Zeit- und Kostenmanagement, sowie dem Schutz vor Haftung schuldig.

Unsere Klienten sind unser größtes Kapital. Wir kümmern uns um Ihr Geschäft, Ihre unternehmerischen Ziele und nehmen Ihnen den IT-Betrieb ab!

Heutzutage lässt sich kein Unternehmen erfolgreich führen, ohne eine an den unternehmerischen Zielen ausgerichtete IT-Strategie.

Fragen ?Fragen ?

Schreiben Sie uns

oder rufen uns an unter

040.696 450 99

Call Back Servicecall back service

Wir rufen Sie gern zurück und beraten Sie individuell

» mehr

Team Viewerteamviewer

Laden Sie sich hier das Teamviewer Quicksupport herunter

» mehr