Sichere Lieferkette
Datenschutz beim Sub-Cloud-Provider
Datensicherung beim Sub-Cloud-Provider
Auch wenn es mühsam ist: Der Kunde kann die Unterauftragsverhältnisse nicht getrost dem Cloud-Provider selbst überlassen. Denn streng genommen fungiert der im datenschutzrechtlichen Sinne nur als so genannter "Auftragsdatenverarbeiter", der weisungsgebunden für den Kunden tätig wird und keine eigenen Nutzungsrechte an den Daten erhält.
Für eine solche Auftragsdatenverarbeitung bestimmt das Gesetz, dass der Auftraggeber für das Einhalten der Vorschriften zu Datenschutz und Datensicherheit verantwortlich bleibt (§11 Bundesdatenschutzgesetz BDSG). Diese Verantwortung erstreckt sich auch auf die Weitergabe der Kundendaten an und deren Umgang durch etwaige Subunternehmer, sofern diese wiederum als weisungsgebundene Dienstleister tätig werden. Die Verantwortung lässt sich also nicht einfach entlang der Lieferkette weiter delegieren.
- Gesetze verstehen
Die Auswirkungen der aktuellen und künftigen Gesetzeslage auf die Firma verstehen. Dies beinhaltet die Frage nach notwendigen Änderungen und deren Auswirkungen auf das IT-Budget. Zum Beispiel nutzen viele Unternehmen immer noch reale Daten ihrer Kunden und Nutzer für Entwicklungs- und Testzwecke. Mit der neuen Gesetzgebung sollten sie diese anonymisieren oder zumindest maskieren. - Analysieren
Analysieren, wo persönliche und sensible Daten aufbewahrt werden. Wer nutzt wie welche Daten und wo liegen die größten Gefahren einer Datenschutzverletzung? Die entsprechende Analyse der Bearbeitungsprozesse persönlicher und sensibler Daten und wie diese mit anderen Daten interagieren nimmt oft deutlich mehr Zeit in Anspruch als geplant. - Anonymisieren
Daten desensibilisieren, ohne sie unbrauchbar zu machen. Anonymisierte Daten lassen sich häufig relativ problemfrei in bestehende Workflows und Prozesse integrieren. Alternativ sind neue oder veränderte Arbeitsprozesse zu entwickeln, um die Gesetze einzuhalten. Die daraus resultierenden Kenntnisse fließen wiederum in Anforderungskataloge an Drittanbieter-Lösungen ein. - Datenschutzprozesse entwickeln
Datenschutzprozesse unter Verwendung der geeigneten Werkzeuge entwickeln. Zur Umsetzung der Datensicherheits-Strategie gibt es verschiedene Lösungen. Diese kann aus einem neuen Satz an Geschäftsprozessen bestehen, aus einer Revision der Datenzugriffsbestimmungen, einer (Test-)Datenmanagement-Technologie oder aus einer beliebigen Kombination davon. - Lösungen liefern
Die Lösung in das bestehende IT-Umfeld ausliefern. Vor der Einführung der entwickelten Prozesse sollten die Abläufe so weit wie möglich automatisiert und die manuellen Eingriffe reduziert sein. Teams, die diese Prozesse im Alltag betreuen, sind in die entsprechenden Regularien und Prozesse einzuweisen sowie in der Handhabung der verwendeten Werkzeuge zu trainieren.
Selbst handeln, wenn das Gesetz nicht greift
In vielen Fällen muss der Kunde selbst aktiv werden und handeln, und sich um die Absicherung der Datenschutz-Compliance in der Lieferkette selbst kümmern. Denn das Gesetz selbst macht kaum aussagekräftige Vorgaben dazu, welche Regelungen im Hinblick auf die Abwälzung von Datenschutz- und Datensicherheitsverpflichtungen bei Subunternehmen notwendig sind. Es begnügt sich genau hier mit der pauschalen Vorgabe, dass das "Ob" der Unterbeauftragung weiterer Datenverarbeitungsdienstleister vertraglich festgelegt sein muss. Nicht ausdrücklich geregelt ist aber, zu welchen Bedingungen dies zu erfolgen hat beziehungsweise welche konkreten Pflichten dem Subunternehmer insoweit aufzuerlegen sind.
Transparenz der Subunternehmer
Grundvoraussetzung dafür, dass der Kunde überhaupt auf eine Gewährleistung von Datenschutz und Datensicherheit beim Sub-Cloud-Provider hinwirken kann, ist die Kenntnis darüber, welche Subunternehmer an welchen Orten eingesetzt werden. Schon das ist in den Geschäftsbedingungen mancher Anbieter nicht selbstverständlich. Nicht ohne Grund fordern deshalb auch die Datenschutzaufsichtsbehörden in ihrer Orientierungshilfe zum Cloud ComputingCloud Computing, hier mehr Transparenz zu haben. Ein Cloud-Provider sollte dem Kunden folgende Angaben machen können: Alles zu Cloud Computing auf CIO.de
Benennung sämtlicher Sub-Cloud-Provider, auch solcher, die nach Vertragsbeginn hinzukommen
Benennung sämtlicher Standorte der Sub-Cloud-Provider, an denen Daten des Kunden verarbeitet werden können