Menü
Ein Beitrag von Adacor

Herausforderung Datenschutz aus Sicht von Managed Hosting

Für komplexe Internetseiten und Webapplikationen, die individuelle Unternehmensprozesse abbilden sind Standardangebote für Hosting nicht sinnvoll.

Datenschutz bei Managed HostingAusfallsicherheit, Performance und Flexibilität kann nur eine Infrastruktur bieten, die exakt auf diese Anforderungen zugeschnitten ist. Dies betrifft insbesondere auch die datenschutzsensiblen Bereiche.

Immer mehr Unternehmen und Konzerne lagern die Infrastruktur für ein umfassendes Hosting auf zentrale Server in externe Rechenzentren aus. Oder sie beziehen die Infrastruktur für den Betrieb von Softwareanwendungen direkt als Service.

Der Trend geht dahin, einen Hosting-Spezialisten zu beauftragen, der alternativ zum klassischen Server-Betrieb im Unternehmen Lösungen und Services mit großer Flexibilität und Skalierbarkeit anbietet. Damit verbunden ist allerdings auch die Auslagerung von betrieblichen, personen- beziehungsweise kundenbezogenen Daten von dem geschützten Unternehmensraum in öffentlich zugängliche Netze und Systeme. Bei der Wahl des passenden Hosting-Anbieters empfiehlt es sich darauf zu achten, dass dieser selbst Wert auf Datenschutz und -sicherheit legt.

Bei der ADACOR Hosting entwickeln wir in enger Abstimmung mit unseren Kunden individuelle Hosting-Konzepte. Da wir beispielsweise führenden Institutionen aus dem Gesundheitswesen oder Unternehmen aus der Energiebranche das Funktionieren der gesamten Infrastruktur garantieren, sind neben den technischen Aspekten vor allem Datenschutz und Datensicherheit zum integralen Bestandteil unserer Dienstleistungen geworden.

Pflichtaufgabe Auftragsdatenverarbeitungsvereinbarungen

Was ist ADVMit der Auslagerung von Daten auf die Services eines externen Dienstleisters ist oft auch die Übergabe von personenbezogenen Daten verbunden. Wie diese Daten genau zu handhaben sind, regelt eine Vereinbarung zur Auftragsdatenverarbeitung (ADV), deren genauen Inhalte im Bundesdatenschutzgesetz (BDSG) verankert sind.
Der Abschluss einer solchen ADV-Vereinbarung ist kein selbstverständliches Unterfangen, wie der kritische Blick auf die Hosting-Branche zeigt. Denn auch wenn sich ein Hosting-Dienstleister komplett um die Infrastruktur kümmert, so ist rechtlich für die Pflege und Kontrolle der datenschutzrelevanten Daten und Prozesse allein der Auftraggeber verantwortlich.
Bei Kunden, die ihre Softwareanwendungen selbst entwickeln und betreiben, haben Hosting-Anbieter zudem in der Regel keinen Überblick über die Datenschutzrelevanz der Anwendung. Schon in der Konzeptionsphase für individuelle Hosting-Infrastrukturen muss deshalb fundierte Beratung durch den Hosting-Dienstleister und eine intensive Zusammenarbeit zwischen Auftraggeber und Hoster stattfinden, um rechtlich einwandfrei zu bleiben.
Verträge mit aussagekräftigen Vereinbarungen zur Auftragsdatenverarbeitung sind hier ein Muss. Anbieter müssen ihre Kunden auf das rechtliche Spannungsfeld aufmerksam machen und gemeinsam mit ihnen Rahmenbedingungen für den Umgang mit personenbezogenen Daten ausarbeiten. Die so entstehenden Auftragsdatenverarbeitungsvereinbarungen legen dann alle technischen und organisatorischen Maßnahmen wie zum Beispiel Zugriffshierarchien, Backup- Muster oder Dokumentationsformalien und deren korrekte Handhabung fest.

Image

Erfolgreich in der Cloud

Cloud-Lösungen für Konzerne & Mittelstand!

> Projektvertraute Ansprechpartner
> DSGVO konform
> Individuelle Technologie- und Betriebskonzepte
> 24/7 Management Ihrer Cloud

Jetzt über Adacor Private Cloud informieren!

Praktikables Leitsystem

Das ist ein aufwendiger Prozess – rücken doch einzelne Server oder Projekte in den Fokus, für die es gesonderte ADV zu schließen gilt. Außerdem müssen die vereinbarten Prozesse dauerhaft kontrolliert und nachgehalten sowie kontinuierlich an dynamische Projektverläufe angepasst werden.
Ein jährliches Review ist deshalb Mindeststandard. Bereits in der Konzeptionsphase geht einer ADV eine umfassende Analyse der Applikation und der Daten voraus, um im Abgleich mit den gesetzlichen Vorgaben Datencluster, die durch Standardsets abgesichert werden können, und sensible Bereiche, für die besondere Maßnahmen eingeführt werden müssen, zu identifizieren.

Die Arbeitsweise der Adacor Hosting beim Datenschutz

Server beim Managed HostingDie in enger Abstimmung mit den Kundenunternehmen erarbeiteten Anforderungen finden schließlich Eingang in die Betriebshandbücher. Alle verantwortlichen Personen erhalten auf diese Weise ein praktikables Leitsystem zum Datenschutz. Zugriffsrechte, Weisungsbefugnisse oder Prozesse werden so zweifelsfrei definiert.
Darauf aufbauend können Kunden selbstverständlich die Umsetzung und Einhaltung der vereinbarten Maßnahmen und der Datenschutzstandards bei der Adacor auditieren.
Hierfür bieten sich verschiedene Wege an: Adacor gewährt entweder Einsicht in die von unabhängigen Wirtschaftsprüfern erstellten PS 951/ISAE 3402 Prüfberichte ihres dienstleistungsbezogenen internen Kontrollsystems oder Kundenunternehmen beauftragen Auditoren, ihre eigene Revision oder ihren Datenschutzbeauftragten, um die Adacor im Rahmen eines Vor-Ort-Audits zu prüfen. So können die Kunden nachweisen, dass sie ihrer Sorgfaltspflicht im Umgang mit personenbezogenen Daten und der Auslagerung von deren Verarbeitung nachgekommen sind.

Video zu Datensicherheit und IT-Security

Audits und Zertifizierungen

Eine bundesweit geltende behördliche Zertifizierung gibt es zwar nicht, aber die Landesbehörden bieten verschiedene Audit-Möglichkeiten an.
In der Praxis ist es sinnvoll, dass Auftraggeber einen Audit-Katalog erstellen, anhand dessen ein Auditor einer unabhängigen Stelle den Managed-Hosting-Dienstleister prüfen kann. Allgemeine Richtlinien lassen sich auf diese Weise mit individuellen Unternehmensanforderungen kombinieren.
Denn diese können sehr unterschiedlich sein: Bundesbehörden, Ärzte, Banken oder Versicherungen unterliegen unterschiedlichen gesetzlichen und regulatorischen Anforderungen.
Kirchliche Einrichtungen zum Beispiel von Caritas und Diakonie beanspruchen zusätzlich spezielle kirchenrechtliche Regelungen für sich.
Das Erstellen von Audit-Katalogen zum Datenschutz kann für Unternehmen übrigens weitaus mehr als lästige Pflichterfüllung sein. Denn mit der Analyse der datenschutzrelevanten Bereiche – denkbar sind hier zum Beispiel technische und organisatorische Voraussetzungen für Löschfristen oder Zugriffshierarchien – geht häufig auch eine Optimierung der Geschäftsprozesse einher. Nicht selten werden Schwachstellen im Unternehmen im Rahmen der Analysen früh entdeckt und rechtzeitig beseitigt.

Daher fällt meine Fazit hinsichtlich des Umgangs mit der rechtlichen Kontroverse von Datenschutz und Datensicherheit schließlich positiv aus: Viele unserer Kunden müssen das Thema schon deshalb ernst nehmen, weil sie selbst strengen gesetzlichen Vorgaben unterliegen.
Aber auch Kunden, die rechtliche Vorgaben flexibler handhaben können, gehen zunehmend sensibler mit dem Themenfeld Datenschutz und -sicherheit um. In der Regel nutzen sie unsere entsprechenden Beratungsangebote umfassend. Denn das Ergebnis sind stimmige und nachhaltige Datenschutzkonzepte, die Gesetzesvorgaben und Datenschutzrichtlinien detailliert berücksichtigen.

Dieser Beitrag ist zuerst als Gastbeitrag in der ExperSite erschienen und die komplette Ausgabe steht unter isdsg.de als PDf zum download bereit.

, , , , , , , ,

Sie möchten keinen Beitrag verpassen?

Es gibt einen Newsletter. Hier können Sie ihn abonnieren.

Datenschutzhinweise


Weitere Artikel zum Thema lesen

DevOps in Unternehmen

Hosting

Wann DevOps für Unternehmen sinnvoll ist

Das Zusammenfinden der beiden Bereiche „Entwicklung und Betrieb“ ist vor der ersten Zeile Code obligatorisch, denn DevOps ist kein Framework, sondern eine Kultur.

weiter lesen

Terminalserver Lastausgleich mit Windows Server 2012

Hosting, IT-News

Terminalserver Lastausgleich mit Windows Server 2012

Eine lastverteilte Terminalserver-Infrastruktur lässt sich auch mit Boardmitteln von Windows Server 2012 umsetzen.

weiter lesen

DNS-Check mit Anycast leichtgemacht

Hosting, IT-News

DNS-Check mit Anycast leichtgemacht

Der Teamleiter unseres Infrastrukturteams erklärt die Funktionsweise des Adressierungsschemas Anycast.

weiter lesen


Neueste Nachrichten von Adacor

IT Security

Risikomanagement als Mehrwert für Unternehmen sehen

Wie Sie das Zusammenspiel von ISMS und IKS für sich nutzen können.

weiter lesen

Cloud

AWS, Azure und Co.: Brauchen Sie wirklich eine große Public-Cloud?

Das Angebot großer Public Clouds klingt für viele Unternehmen verlockend. Eine Private Cloud kann jedoch die ökonomisch sinnvollere Lösung sein.

weiter lesen

Biz & Trends

Was ist eigentlich Digitalisierung?

Der Begriff „ Digitalisierung“ weist viele Facetten auf. Die Aufteilung in Bereiche bringt jedoch Klarheit.

weiter lesen