Herausforderung Datenschutz aus Sicht von Managed Hosting

Für komplexe Internetseiten und Webapplikationen, die individuelle Unternehmensprozesse abbilden sind Standardangebote für Hosting nicht sinnvoll.

Datenschutz bei Managed HostingAusfallsicherheit, Performance und Flexibilität kann nur eine Infrastruktur bieten, die exakt auf diese Anforderungen zugeschnitten ist. Dies betrifft insbesondere auch die datenschutzsensiblen Bereiche.

Immer mehr Unternehmen und Konzerne lagern die Infrastruktur für ein umfassendes Hosting auf zentrale Server in externe Rechenzentren aus. Oder sie beziehen die Infrastruktur für den Betrieb von Softwareanwendungen direkt als Service.

Der Trend geht dahin, einen Hosting-Spezialisten zu beauftragen, der alternativ zum klassischen Server-Betrieb im Unternehmen Lösungen und Services mit großer Flexibilität und Skalierbarkeit anbietet. Damit verbunden ist allerdings auch die Auslagerung von betrieblichen, personen- beziehungsweise kundenbezogenen Daten von dem geschützten Unternehmensraum in öffentlich zugängliche Netze und Systeme. Bei der Wahl des passenden Hosting-Anbieters empfiehlt es sich darauf zu achten, dass dieser selbst Wert auf Datenschutz und -sicherheit legt.

Bei der ADACOR Hosting entwickeln wir in enger Abstimmung mit unseren Kunden individuelle Hosting-Konzepte. Da wir beispielsweise führenden Institutionen aus dem Gesundheitswesen oder Unternehmen aus der Energiebranche das Funktionieren der gesamten Infrastruktur garantieren, sind neben den technischen Aspekten vor allem Datenschutz und Datensicherheit zum integralen Bestandteil unserer Dienstleistungen geworden.

Pflichtaufgabe Auftragsdatenverarbeitungsvereinbarungen

Was ist ADVMit der Auslagerung von Daten auf die Services eines externen Dienstleisters ist oft auch die Übergabe von personenbezogenen Daten verbunden. Wie diese Daten genau zu handhaben sind, regelt eine Vereinbarung zur Auftragsdatenverarbeitung (ADV), deren genauen Inhalte im Bundesdatenschutzgesetz (BDSG) verankert sind.
Der Abschluss einer solchen ADV-Vereinbarung ist kein selbstverständliches Unterfangen, wie der kritische Blick auf die Hosting-Branche zeigt. Denn auch wenn sich ein Hosting-Dienstleister komplett um die Infrastruktur kümmert, so ist rechtlich für die Pflege und Kontrolle der datenschutzrelevanten Daten und Prozesse allein der Auftraggeber verantwortlich.
Bei Kunden, die ihre Softwareanwendungen selbst entwickeln und betreiben, haben Hosting-Anbieter zudem in der Regel keinen Überblick über die Datenschutzrelevanz der Anwendung. Schon in der Konzeptionsphase für individuelle Hosting-Infrastrukturen muss deshalb fundierte Beratung durch den Hosting-Dienstleister und eine intensive Zusammenarbeit zwischen Auftraggeber und Hoster stattfinden, um rechtlich einwandfrei zu bleiben.
Verträge mit aussagekräftigen Vereinbarungen zur Auftragsdatenverarbeitung sind hier ein Muss. Anbieter müssen ihre Kunden auf das rechtliche Spannungsfeld aufmerksam machen und gemeinsam mit ihnen Rahmenbedingungen für den Umgang mit personenbezogenen Daten ausarbeiten. Die so entstehenden Auftragsdatenverarbeitungsvereinbarungen legen dann alle technischen und organisatorischen Maßnahmen wie zum Beispiel Zugriffshierarchien, Backup- Muster oder Dokumentationsformalien und deren korrekte Handhabung fest.

Image

Mission Managed Cloud

Hosting in Public-Cloud-Infrastruktur: Optimiert auf Ihre spezifischen Anforderungen!

Mit der ADACOR Managed Cloud erhalten Sie die passende Kombination aus der vCloud-Virtualisierungslösung des Marktführers VMware und den Managed Services der ADACOR.

Jetzt informieren!

Praktikables Leitsystem

Das ist ein aufwendiger Prozess – rücken doch einzelne Server oder Projekte in den Fokus, für die es gesonderte ADV zu schließen gilt. Außerdem müssen die vereinbarten Prozesse dauerhaft kontrolliert und nachgehalten sowie kontinuierlich an dynamische Projektverläufe angepasst werden.
Ein jährliches Review ist deshalb Mindeststandard. Bereits in der Konzeptionsphase geht einer ADV eine umfassende Analyse der Applikation und der Daten voraus, um im Abgleich mit den gesetzlichen Vorgaben Datencluster, die durch Standardsets abgesichert werden können, und sensible Bereiche, für die besondere Maßnahmen eingeführt werden müssen, zu identifizieren.

Die Arbeitsweise der ADACOR Hosting beim Datenschutz

Server beim Managed HostingDie in enger Abstimmung mit den Kundenunternehmen erarbeiteten Anforderungen finden schließlich Eingang in die Betriebshandbücher. Alle verantwortlichen Personen erhalten auf diese Weise ein praktikables Leitsystem zum Datenschutz. Zugriffsrechte, Weisungsbefugnisse oder Prozesse werden so zweifelsfrei definiert.
Darauf aufbauend können Kunden selbstverständlich die Umsetzung und Einhaltung der vereinbarten Maßnahmen und der Datenschutzstandards bei der ADACOR auditieren.
Hierfür bieten sich verschiedene Wege an: ADACOR gewährt entweder Einsicht in die von unabhängigen Wirtschaftsprüfern erstellten PS 951/ISAE 3402 Prüfberichte ihres dienstleistungsbezogenen internen Kontrollsystems oder Kundenunternehmen beauftragen Auditoren, ihre eigene Revision oder ihren Datenschutzbeauftragten, um die ADACOR im Rahmen eines Vor-Ort-Audits zu prüfen. So können die Kunden nachweisen, dass sie ihrer Sorgfaltspflicht im Umgang mit personenbezogenen Daten und der Auslagerung von deren Verarbeitung nachgekommen sind.

Video zu Datensicherheit und IT-Security

Audits und Zertifizierungen

Eine bundesweit geltende behördliche Zertifizierung gibt es zwar nicht, aber die Landesbehörden bieten verschiedene Audit-Möglichkeiten an.
In der Praxis ist es sinnvoll, dass Auftraggeber einen Audit-Katalog erstellen, anhand dessen ein Auditor einer unabhängigen Stelle den Managed-Hosting-Dienstleister prüfen kann. Allgemeine Richtlinien lassen sich auf diese Weise mit individuellen Unternehmensanforderungen kombinieren.
Denn diese können sehr unterschiedlich sein: Bundesbehörden, Ärzte, Banken oder Versicherungen unterliegen unterschiedlichen gesetzlichen und regulatorischen Anforderungen.
Kirchliche Einrichtungen zum Beispiel von Caritas und Diakonie beanspruchen zusätzlich spezielle kirchenrechtliche Regelungen für sich.
Das Erstellen von Audit-Katalogen zum Datenschutz kann für Unternehmen übrigens weitaus mehr als lästige Pflichterfüllung sein. Denn mit der Analyse der datenschutzrelevanten Bereiche – denkbar sind hier zum Beispiel technische und organisatorische Voraussetzungen für Löschfristen oder Zugriffshierarchien – geht häufig auch eine Optimierung der Geschäftsprozesse einher. Nicht selten werden Schwachstellen im Unternehmen im Rahmen der Analysen früh entdeckt und rechtzeitig beseitigt.

Daher fällt meine Fazit hinsichtlich des Umgangs mit der rechtlichen Kontroverse von Datenschutz und Datensicherheit schließlich positiv aus: Viele unserer Kunden müssen das Thema schon deshalb ernst nehmen, weil sie selbst strengen gesetzlichen Vorgaben unterliegen.
Aber auch Kunden, die rechtliche Vorgaben flexibler handhaben können, gehen zunehmend sensibler mit dem Themenfeld Datenschutz und -sicherheit um. In der Regel nutzen sie unsere entsprechenden Beratungsangebote umfassend. Denn das Ergebnis sind stimmige und nachhaltige Datenschutzkonzepte, die Gesetzesvorgaben und Datenschutzrichtlinien detailliert berücksichtigen.

Dieser Beitrag ist zuerst als Gastbeitrag in der ExperSite Ausgabe 02 2015 erschienen und die komplette Ausgabe steht unter isdsg.de als PDf zum download bereit.

, , , , , , , ,


Weitere Artikel zum Thema lesen

Vulnerability Management

Hosting

Mit Vulnerability Management Sicherheitslücken schließen

Durch regelmäßiges Scannen werden Schwachstellen in Systemen und Applikationen erkannt und beseitigt.

weiter lesen

ISO 27001 Zertifizierung – bester Schutz für IT

Biz & Trends, Cloud, Hosting, IT Security

ISO 27001 Zertifizierung – bester Schutz für IT

Aufgrund der Komplexität von Informationstechnik und der Nachfrage nach Zertifizierungen sind in den letzten Jahren zahlreiche Anleitungen, Standards und nationale Normen zur IT-Sicherheit entstanden....

weiter lesen

Ticket-Systeme – Systematische Kommunikation leicht gemacht

Hosting

Ticket-Systeme – Systematische Kommunikation leicht gemacht

Was als einst Lösung für den IT-Support begann, hat inzwischen Einzug ein zahlreiche Bereiche der Unternehmenskommunikation gehalten. Ticket-Systeme kommen heute längst nicht mehr nur...

weiter lesen


Neueste Nachrichten von Adacor

Cloud Integration

Cloud

Beschleunigte Digitalisierung durch Cloud Computing

Ohne Prozessveränderungen kein Fortschritt bei der Digitalisierung. Doch Erfolgsfaktoren für eine erfolgreiche Cloud-Integration lassen sich benennen.

weiter lesen

Definition DevOps

Cloud

DevOps: Automatisieren anstelle von Reparieren

DevOps erforden ein Umdenken bei der Adminstration. OpenStack oder OpenNebula – womit gelingt die schnellere Umsetzung von Webservices?

weiter lesen

Mit SSL sicher verschlüsselt

IT Security, IT-News

SSL-Zertifikate mit dreijähriger Laufzeit am Ende

Erste Anbieter haben dreijährige Zertifikate bereits aus dem Programm genommen. Welche Auswirkungen hat dies auf den Bezug und die Erneuerung von SSL-Zertifikaten?

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.