PortalDerWirtschaft.de



Suchmaschinenoptimierung mit PdW
mit Content-Marketing - Ihre News
English

Zehn Fragen an den Bundesverband der Datenschutzbeauftragten Deutschlands BvD e.V.


Von Bundesverband Deutscher Rechenzentren

Der Bundesverband Deutscher Rechenzentren interviewt in seiner Reihe " Zehn Fragen an..." regelmäßig Persönlichkeiten mit tiefgehendem Branchenwissen in Sachen Cloud. Das aktuelle Interview führte Götz Piwinger, Geschäftsführer des Verbands mit den Kollegen...
Thumb

Koblenz, 13.11.2012 - Der Bundesverband Deutscher Rechenzentren interviewt in seiner Reihe " Zehn Fragen an..." regelmäßig Persönlichkeiten mit tiefgehendem Branchenwissen in Sachen Cloud. Das aktuelle Interview führte Götz Piwinger, Geschäftsführer des Verbands mit den Kollegen vom Bundesverband der Datenschutzbeauftragten, den Vorständen Thomas Spaeing und Jürgen Hartz.

"So lange es kein Audit-Gesetz im Sinne des BDSG §9a gibt, bietet das Gütesiegel für Cloudanbieter "GERMAN CLOUD" eine sehr gute Lösung, weil es unabhängig vergeben wird und sich die Zertifizierung am Bundesdatenschutzgesetz orientiert."

Frage 1:

Der deutsche Mittelstand geht vorsichtig dazu über, Firmendaten in der Cloud zu verarbeiten. Haben Sie den Eindruck, dass diese Unternehmen wissen, wonach sie fragen müssen, wenn es um den Schutz und die Sicherheit ihrer Daten geht?

Hartz: Unserer Erfahrung nach sind gerade kleinere mittelständische Unternehmen noch nicht so weit, die richtigen Fragen zu Datenschutz und Datensicherheit zu stellen. Meist geht es um den Preis und mögliche Einsparungen beim Betrieb der IT-Systeme. Es fehlt an der fachlichen Beratung und Kompetenz. Hier ist auch der Anbieter gefordert durch umfassende Beratung als Teil seiner Dienstleistung zu unterstützen und von seiner Seite Datenschutz und -sicherheit zu gewährleisten.

Frage 2:

Das Deutsche Bundesdatenschutzgesetz regelt unter anderem die Weitergabe von Daten und die Benennung des Speicherortes. Welche Rolle spielt die technische Verschlüsselung der Daten?

Spaeing: Verschlüsselung ist eine der angemessenen und gebotenen technischen Maßnahmen zum Datenschutz. Sie sollte immer dann eine Rolle spielen, wenn personenbezogene Daten verarbeitet werden - und dabei gilt, je sensibler die Daten desto sicher muss die Verschlüsselung sein. Gelangen, wie erst kürzlich bei Krankenhäusern geschehen sensible Gesundheitsdaten in falsche Hände trifft den Verantwortlichen die Pflicht zur Information nach §42a BDSG. Er muss die Aufsichtsbehörden und die Betroffenen über die Datenpanne informieren. Damit soll vor allem ein möglicher Schaden für Betroffene eingegrenzt werden. Wie sich derartige Vorfälle auf die Reputation eines verantwortlichen Unternehmens auswirken, kann sich jeder leichtvorstellen.

Frage 3:

Selbst wenn die Daten verschlüsselt sind, aber im Ausland verarbeitet werden, so dürfen verschlüsselte Daten in anderen europäischen und nicht-europäischen Ländern weitergegeben werden. Die Entschlüsselungskünstler wachsen mit den Aufgaben. Ist es sicherer, die Daten innerhalb Deutschlands zu belassen?

Spaeing: Achtung, die Verschlüsselung der Daten ist keine Allheilmittel. Es gibt Länder, in denen ist die Verschlüsselung von Daten verboten! Es muss dann ein Masterschlüssel bei den zuständigen Behörden hinterlegt werden. Damit sind die Daten aber nicht mehr sicher vor unbefugtem Zugriff. Wenn die Daten in Deutschland oder zumindest in der EU-gehostet werden ist die Umsetzung und Prüfung der Vorgaben des §11 BDSG ( Vorschriften zur Datenverarbeitung im Auftrag von personenbezogenen Daten) zumindest leichter möglich und durchführbar. Innerhalb der EU gilt das angenommene sichere Datenschutzniveau und es gibt gemeinsame rechtliche Grundlagen zum Datenschutz wie die EU Richtlinie 95/46/EG von 1995. Sie beschreibt Mindeststandards für den Datenschutz, die in allen Mitgliedstaaten der Europäischen Union durch nationale Gesetze sichergestellt werden müssen.

Frage 4:

Die Auslagerung von Datendiensten kann den Unternehmer datenschutzrechtlich entlasten. Was kann ihrer Meinung nach zur Aufklärung der Unternehmen in Sachen Datenschutz zusätzlich unternommen werden?

Hartz: Die Auslagerung von Diensten oder Dienstleistungen entlässt den Auftraggeber nicht einfach aus seiner Verantwortung gegenüber Betroffenen und hinsichtlich der Vorgaben zum Datenschutz. Entweder handelt es sich bei der Auslagerung um eine Übermittlung in Sinne des BDSG - dann wird der Empfänger zur neuen verantwortlichen Stelle und für die Übermittlung bedarf es einer Rechtsgrundlage oder Einwilligung. Oder es handelt es sich bei der Auslagerung um eine Verarbeitung personenbezogener Daten im Auftrag (ADV) - dann sind die gesetzlichen Vorgaben des BDSG nach §11 vollständig umzusetzen. Dabei bleibt der Auftraggeber die verantwortliche Stelle und ist somit für alle Vorgänge, Abläufe und Fehler - auch beim Dienstleister voll verantwortlich. Der Auftragnehmer wird quasi als Teil der verantwortlichen Stelle angesehen und es muss zwischen den Parteien ein entsprechender Vertag abgeschlossen werden. Darin sind auch die technisch organisatorischen Maßnahmen gemäß §9 Anlage BDSG zu festzulegen und zu gewährleisten.

Frage 5:

Das Siegel "GERMAN CLOUD , geprüfter Datenschutz" sichert der Industrie zu, dass deren Daten bei einem Mitglied des Bundesverbandes Deutscher Rechenzentren -zumindest was die Weitergabe von personenbezogenen Daten als auch andere Unternehmensdaten an Dritte angeht, gesichert sind. Wie kann man Unternehmen unterstützen, die Anwendung des Datenschutzes als Wettbewerbschance zu nutzen?

Hartz: Ehrlich gesagt garantiert eine Selbstzertifizierung noch keinen Datenschutz und Datensicherheit. Damit dabei nicht nur Versprechungen gemacht werden, sondern diese auch eingehalten werden, müssen dazu auch Kontrollen oder Prüfungen stattfinden. Der Berufsverband der Datenschutzbeauftragten Deutschlands ist in einer ähnlichen Situation. Die Mitglieder können eine Selbstverpflichtung auf das in den vergangenen Jahren von BvD erarbeitete "berufliche Leitbild" eingehen und müssen Ihre fachliche Qualifikation offenlegen. Diese wird dann in einem zweiten Stufe einer Überprüfung durch den Verband unterzogen. Die Liste der "selbstverpflichteten" Datenschutzbeauftragten und die Kriterien können bei der BvD Geschäftsstelle abgerufen werden.

Aber auch durch stichprobenartigen Kontrollen wird man nicht alle Fehlerquellen ermitteln aber einen weiteren Schritt in eine bessere und nachvollziehbare Qualitätssicherung gehen können. Allerdings stellt ein solcher Prozess, wenn er seriös umgesetzt wird, durchaus eine Verbesserung und einen Mehrwert dar. Es kommt also auf die Qualität des Siegels an. Sicher ist das ein guter Anfang für Anbieter und Unternehmen die Services nachfragen auf den man aufbauen kann.

Frage 6:

Die Trends, Speicher, Backups, CRM und ERP in der Cloud zu verarbeiten, nehmen zu, weil Unternehmen die Kosten für die Maintenance eigener Server und deren Administration sparen möchten und gleichzeitig die Sicherheit erhöhen wollen. Wie verlockend sind hier Angebote internationaler Anbieter, zum Beispiel von Suchmaschinen oder Speicherboxen? Wie kann ein Unternehmen erkennen, welcher Anbieter/Dienst der Richtige ist?

Spaeing: Vor der Auswahl eines solchen Anbieters sollte ein Unternehmen sich durch einen erfahrenen Datenschutzexperten beraten lassen. Hier spielt ja nicht nur das BDSG eine Rolle, es sind auch die steuer- und handelsrechtlichen Vorgaben zu beachten. Im Zweifel ist dabei also auch das Finanzamt bzw. der Steuerberater/Wirtschaftsprüfer mit im Boot.

Grundsätzlich wird aus diesen Gründen auf die Nutzung seriöser und erreichbarer Anbieter verwiesen, die mindestens innerhalb der EU ansässig sind. Schließlich hat es bereits Fälle gegeben, bei denen der Dienstleister in Asien von einem Tag auf den anderen nicht mehr erreichbar war und die Daten der Unternehmen waren ebenfalls futsch. Das hat dann u.U. neben den Konsequenzen für den Fortbestand des Unternehmens auch noch steuer- und handelsrechtliche Folgen.

Frage 7:

Welches sind die meist gestellten Fragen aus der Industrie (nicht von Privatpersonen) an Sie?

Spaeing: Wir werden regelmäßig dazu befragt, wie man einen seriösen und qualifizierten Datenschutzexperten findet (natürlich über den BvD) und mindestens genauso oft, wie denn ein Datenschutzbeauftragter auszubilden sei (siehe BvD-Berufsbild und Anforderungen der Aufsichtsbehörden dazu). Leider bietet der Ausbildungsmarkt zahlreiche unseriöse Kurzausbildungen die den Ansprüchen nicht genügen. Der BvD hat eine Ausbildungsordnung entwickelt und stimmt diese mit Behörden und Verbänden ab. Damit wird es erstmals einen unabhängigen Standard zur Ausbildung der Datenschutzbeauftragten geben.

Weitere Fragen betreffen alle möglichen Bereiche des Datenschutzes im Unternehmen. Diese beantwortet der Verband aber nicht, er verweist dann auf die Übersicht der selbstverpflichteten Datenschutzbeauftragten.

Frage 8:

Welche nächsten technischen Bewegungen sehen Sie in der Entwicklung der Cloud-Märkte?

Spaeing: Unserer Ansicht nach, werden Cloud-Services noch stärker innerhalb der EU angeboten, da die Risiken in Drittländern schwer zu kalkulieren sind. Dabei wird zunehmend auch das Thema Verschlüsselung eine Rolle spielen. Weiterhin werden Bereiche, die bislang noch gar nicht vom Outsourcing betroffen waren, ein Thema für die Cloud werden. Je teurer die Hardware, die Softwarelizenzen und das erforderliche Personal werden, desto mehr wird in Cloud-ähnlichen Diensten gebündelt werden, wobei der Hype natürlich nachlassen wird, da die Cloud in dieser Form eigentlich nur eine konsequente Weiterentwicklung des seit langem bekannte Outsourcings ist.

Frage 9:

Eine besondere Datenschutz-Herausforderung liegt in der vernetzten Nutzung von Smartphones und Firmenanwendungen (bring your own device)Während man sich bemüht, Firmendaten zu schützen, erlaubt man fast jeder Smartphone-App, die Handydaten auszulesen. Haben Sie hierzu eine Empfehlung?

Hartz: Die Unternehmensleitungen sollten sich vor der Einführung gut überlegen was Sie mit BYOD erreichen wollen. In diesem Zusammenhang sind verschiedene Fragen zum Datenschutz, Arbeitsrecht und Haftung zu klären. Weiterhin sollte eine Social Media Guideline erstellt werden, die den Mitarbeitern die Leitplanken für Ihr Handeln zwischen beruflicher und privater Nutzung erleichtert. Auch wie und mit welchen Apps Smartphones verwendet werden dürfen, lässt sich regeln. Dabei ist die Beratung durch einen erfahrenen Datenschutzexperten im Vorfeld empfehlenswert. Angesichts der hohen Zahl an Problemen (Angriffe, Daten- und Geräteverluste,...) sind diese Kosten im Vorfeld fast vernachlässigbar.

Frage 10:

Der Bundesverband Deutsche Rechenzentren möchte Bedarfsträger (Unternehmen) mit Hostinganbietern, die sich nach den BSDG richten, zusammenführen. Qualifizierte Anbieter werden mit dem Siegel: "GERMAN CLOUD, geprüfter Datenschutz" gekennzeichnet. Glauben Sie dass diese Initiative zur Aufklärung im Mittelstand beitragen kann?

Hartz: Sie kann ein erster Schritt von vielen sein. Leider lässt das seit langem im BDSG §9a verankerte Datenschutz Audit-Gesetz noch immer auf sich warten. Also kann jeder Anbieter sein eigenes Prüfsiegel entwerfen und vermarkten. Unternehmen werden sich schwer tun da die Spreu vom Weizen zu trennen. Viele "Gütesiegel" lassen nicht erkennen wie und nach welchen Kriterien sie zustande gekommen sind oder ob sich die Anbieter einer unabhängigen Überprüfung unterwerfen.

Spaeing: Wichtig ist das Gütesiegel keine falschen Vorstellungen bei den Unternehmen wecken und die Erwartungen, wenn es darauf ankommt, gar nicht erfüllt werden. Leider gibt es bereits zahlreiche Mogelpackungen.

Um diesen Eindruck zu vermeiden, ist eine Zusammenarbeit mit einer Aufsichtsbehörde oder einem seriösen unabhängigem Datenschutzverband sicher hilfreich, da diese das Konzept prüfen und bewerten können.

Jede qualifizierte Dokumentation und Prüfung, die Unternehmen hilft den richtigen Dienstleister auszuwählen und Anbieter sensibilisiert ihre eigenen Prozesse und Maßnahmen zu prüfen und zu verbessern, sind zu begrüßen. Sie verbessern so den Schutz der Betroffen, die Unternehmenssicherheit und darauf komme es an.

Das Interview führte Götz Piwinger.


Kommentare

Bewerten Sie diesen Artikel
Noch nicht bewertet
Hinweis Für den Inhalt der Pressemitteilung ist der Einsteller, PresseBox.de, verantwortlich.

Pressemitteilungstext: 1549 Wörter, 12330 Zeichen. Artikel reklamieren
Keywords
Diese Pressemitteilung wurde erstellt, um bei Google besser gefunden zu werden.

Tragen Sie jetzt Ihre kostenlose Pressemitteilung ein!