Häufige Fragen

NIERO@net e.K. Managed Services Tipp der Woche: Datenschutz und Datensicherheit sind eine unternehmerische Notwendigkeit.

NIERO@net e.K. plant und betreibt Windows Server Umgebungen, Microsoft Netzwerk- und Active-Directory-Infrastrukturen bei kleinen und mittelständischen Unternehmen als vCTO mit Managed Services.

"Es gibt keine Kunden mehr, die Könige sind. Kunden sind Partner!"

Als IT-Unternehmensberatung, die mit Klienten auf Augenhöhe und nicht mit Kunden arbeitet, haben wir einen klaren Beratungs- und Aufklärungsauftrag. Wir haben eine IT- und Unternehmensstrategie für uns und unsere Klienten.

Unser Geschäftsmodell ist vom "Enterprise Service Delivery Model" abgeleitet und wir glauben daran, dass Unternehmen, die Managed Services einführen, bereit sein müssen, ihre Arbeits- und Denkkultur zu ändern.

Als Experten sind wir dafür verantwortlich Ihr Unternehmen produktiv zu halten und Ihr unternehmerisches Risiko zu mindern. Damit Ihr Unternehmen erfolgreicher wird, stellen wir Ihnen die entsprechende Prozesse und Prozeduren zur Verfügung.

Der MSP unterscheidet sich von einem herkömmlichen Dienstleister darin, dass der MSP nicht das Postfach, oder Onlinespeicher schuldet. Er schuldet die Bereitstellung und den operativen Betrieb einer Infrastruktur, respektive deren Verfügbarkeit. Weil wir dies schulden, begrenzen wir den Zugriff durch Dritte auf diese Infrastrukturen, als wären es unsere Eigenen.

Unsere Strategie, Infrastrukturen so zu gestalten, dass möglichst wenig manuelle Eingriffe nötig sind, sorgt auch für eine Zeit- und Kostenersparnis, sowie eine Renditesteigerung.

Datenschutz und Datensicherheit sind eine unternehmerische Notwendigkeit.

Unter der DS-GVO ist es nicht ausreichend, dass Unternehmen die Datenschutzbestimmungen nureinhalten. Die Verantwortung des Unternehmens für die Einhaltung der gesetzlichen Vorgaben muss überprüfbar wahrgenommen werden. Dazu wird ein dokumentierter Nachweis der Bewertung und Umsetzung gefordert. Die Verantwortung für die Einhaltung des Datenschutzes liegt bei der Geschäftsleitung des Unternehmens. Fehlerhafter Umgang mit personenbezogenen Daten ist kein Kavaliersdelikt und kann empfindliche Geldbußen nach sich ziehen. Darüber hinaus kann, durch Bekanntwerden einer Datenpanne, ein nicht zu bewertender Imageschaden für Unternehmen entstehen.

Geschäftsführer und Vorstände sind sich oftmals nicht über die Tragweite der Konsequenzen bewusst, wenn Sie Datenschutz und Datensicherheit in ihrem Unternehmen nicht ordnungsgemäß gewährleisten.

Datenschutzverstöße werden in der Regel als grobe Fahrlässigkeit angesehen. Daraus ergibt sich eine Haftung des Geschäftsführers oder Vorstands. Unter Umständen mit seinem gesamten Privatvermögen.

Mit der EU Datenschutz-Grundverordnung (DS-GVO) reicht es nicht mehr aus, auf die Einhaltung der Datenschutzregelungen “hinzuwirken”, sondern die Regelungen müssen zwingend eingehalten und überwacht werden. Haftungsregelungen wurden verschärft und höhere Busgelder werden angedroht.

Art. 25 DS-GVO sagt aus:

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen. 

 (2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

Art. 32 DS-GVO sagt aus:

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

Hieraus resultiert dann §64 BDSG (neu), der konkretisiert:

(1) Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen.

(2) Die in Absatz 1 genannten Maßnahmen können unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind. Die Maßnahmen nach Absatz 1 sollen dazu führen, dass

  1. die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden und
  2. die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.

(3) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:

  1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),
  2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),
  3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),
  4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),
  5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),
  6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
  7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),
  8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),
  9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),
  10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
  11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
  12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).

Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden.

Die Zutrittskontrolle stellt sicher, dass nur Berechtigte die Möglichkeit haben, Betriebsmittel, mit denen personenbezogene Daten verarbeitet werden, zu nutzen. Die Zutrittskontrolle bezieht sich somit auf den räumlichen Zutritt zu Bereichen in denen (personenbezogene) Daten verarbeitet werden. 

In der Regel wird der Datenschutzbeauftragte oder Auditor regelmäßig den Zutritt überprüfen. Dies kann auch bei anonymen Besuchen geschehen.

Viele IT-Sicherheits Regelwerke kennen die Zutrittskontrolle.

Zum Beispiel Anforderung 9 aus PCI-DSS 2.0: „Beschränken Sie den physischen Zugriff auf Karteninhaberdaten“. In der ISO 27001 oder den BSI Grundschutzkatalogen finden Sie ebenfalls entsprechende Anforderungen zur physischen, unternehmensbezogenen Sicherheit.

Über unsere Partner können wir Ihnen jederzeit ein Datenschutzaudit anbieten.

Die Beseitigung von Schäden, die aus Nicht-Compliance und aus nicht-unterstützten Konfigurationen entstehen, sind weder vom Managed Service Agreement, noch vom Service Level Agreement umfasst. Dies bedeutet auch, dass wir in diesen Fällen keinerlei Reaktionszeiten garantieren.

In unseren Verträgen, haben wir Klauseln, die unsere Verantwortung ausschließen:

Master Service Agreement:

§3 (12) Der Service Provider ist der einzige Dienstanbieter beim Klienten für die in den Service Agreements festgelegten Dienste. Jede Beauftragung Dritter zur Durchführung dieser Dienste oder eigene Durchführung durch den Klienten gibt dem Service Provider nach vorheriger Mahnung in Textform das Recht auf fristlose Kündigung der geschlossenen Serviceverträge .
 
§4 (2) Soweit die Leistungen des Service Providers nicht vom Klienten gem. §1 Abs. 2 umfasst sind, sind diese gesondert zu vergüten.
 
Gesondert zu vergüten sind z. B.:

  • Die Beseitigung von Störungen und Schäden, die durch unsachgemäße Behandlung seitens des Klienten, durch Einwirkung Dritter oder durch höhere Gewalt verursacht werden
  • Änderungen an der Infrastruktur ohne Einwilligung und ohne Beisein des Service Providers, durch den Klienten oder Dritte

§8 (3) Von der Gewährleistung ausgeschlossen sind Störungen und Schäden, die durch unsachgemäße Behandlung seitens des Klienten, durch Einwirkung Dritter oder durch höhere Gewalt verursacht werden. Gleiches gilt für Schäden und Störungen, die durch Umweltbedingungen am Aufstellungsort, durch Fehler oder Nichtleistung der Stromversorgung oder sonstige, nicht vom Service Provider zu vertretende Einwirkungen verursacht werden. Dasselbe gilt für Mängel, die darauf beruhen, dass Fehler, Änderungsnotwendigkeiten und andere, die Notwendigkeit von Pflegemaßnahmen anzeigende Umstände, dem Service Provider vom Klienten nicht umgehend mitgeteilt wurden.

Service Level Agreement:

§2 (2) Der Service Provider ist der einzige Dienstanbieter beim Klienten für die vertragsgegenständlichen Dienste. Jede Beauftragung Dritter zur Durchführung dieser Dienste oder eigene Durchführung durch den Klienten gibt dem Service Provider nach vorheriger Mahnung in Textform das Recht zur fristlosen Kündigung dieses Service-Level-Agreements. § 3 Abs. 12 des Master-Service-Agreements bleibt unberührt. Auch ohne Kündigung verliert der Klient durch obige Beauftragung sein Recht auf Entschädigungszahlung nach § 6 dieser Vereinbarung

Wir nehmen keine Arbeit von Unternehmen an, die uns nicht als logische Erweiterung ihrer Organisation ansehen und uns deshalb nicht erlauben, deren Infrastrukturen Richtlinien- und Prozedurbasierend zu verwalten.

Als Unternehmen, das für den Gewinn arbeitet, sind wir dieses Vorgehen unserer Reputation als Experten, unserem Zeit- und Kostenmanagement, sowie dem Schutz vor Haftung schuldig.

Unsere Klienten sind unser größtes Kapital. Wir kümmern uns um Ihr Geschäft, Ihre unternehmerischen Ziele und nehmen Ihnen den IT-Betrieb ab!

Heutzutage lässt sich kein Unternehmen erfolgreich führen, ohne eine an den unternehmerischen Zielen ausgerichtete IT-Strategie.

 

___

(Basis: Koreng / Lachenmann - Formularhandbuch Datenschutzrecht - 2. Auflage 2018)

Fragen ?Fragen ?

Schreiben Sie uns

oder rufen uns an unter

040.696 450 99

Call Back Servicecall back service

Wir rufen Sie gern zurück und beraten Sie individuell

» mehr

Team Viewerteamviewer

Laden Sie sich hier das Teamviewer Quicksupport herunter

» mehr