Share
Beitragsbild zu Umsetzung der Anforderungen der EU-DSGVO hinsichtlich Auftragsverarbeitung und der technischen und organisatorischen Maßnahmen durch den Einsatz von Maßnahmen nach ISO/IEC 27001:2013

Umsetzung der Anforderungen der EU-DSGVO hinsichtlich Auftragsverarbeitung und der technischen und organisatorischen Maßnahmen durch den Einsatz von Maßnahmen nach ISO/IEC 27001:2013

Laut EU-DSGVO sind personenbezogene Daten (hiernach auch pb) wichtige Informationen, die alle Unternehmen schützen müssen. Dies hat zur Folge, dass jede Organisation sich der Herausforderung stellen muss und den Schutz personenbezogener Daten sicherzustellen hat. Eine entsprechende Lösung bieten ISO/IEC 27001:2013 und ISO/IEC 27002:2013 (hiernach ISO 27001 und ISO 27002) – der weltweite Standard für Informationsschutz / Informationssicherheit. Der nachfolgende Artikel wird dazu die wesentlichen Punkte herausarbeiten.

Natürlich gibt es einige Anforderungen der EU-DSGVO, die nicht direkt von der ISO 27001 abgedeckt werden können, wie z.B. die Unterstützung der Rechte der betroffenen Personen bezogen auf das Recht zur Auskunft, das Recht auf Löschung von Daten und die Übertragbarkeit von Daten. Wenn die Umsetzung von ISO 27001 jedoch personenbezogene Daten als ein Vermögenswert (Asset) der Informationssicherheit identifiziert, können die meisten Anforderungen der DSGVO abgedeckt werden. Somit bietet sich die Möglichkeit, den Schutz der personen-bezogenen Daten durch das ISMS zu gewährleisten. Es gibt viele Punkte, bei denen die Norm (ISO 27001/ ISO 27002) Unternehmen helfen kann, die Einhaltung dieser Vorschrift zu erreichen. Nachfolgend werden hierzu einige Beispiele aufgeführt:

1. RELEVANTE ANFORDERUNGEN AUS DER DSGVO

Eine detaillierte gesetzliche Regelung der Auftragsverarbeitung erfolgt im Art. 28 ff. DSGVO.

1.1. Definition

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der EU-Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet.

1.2. Kriterien 

Die Meinungen darüber, wann eine Auftragsverarbeitung vorliegt, gehen sehr weit auseinander: So ist der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) der Ansicht „Aufträge über Wartung oder Prüfung von IT-Systemen stellen keine Auftragsver-arbeitung dar, sofern Gegenstand des Vertrages keine Datenverarbeitung ist, sondern allein auf die Supportleistung abzielt.“

Nicht derselben Auffassung ist aber die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. Laut der GDD muss ein Verantwortlicher „für jegliche Wartung, in deren Rahmen ein Zugriff auf personenbezogene Daten nicht sicher ausgeschlossen werden kann, einen Auftragsver-arbeitungsvertrag entsprechend Art. 28 Abs. 3 DS-GVO mit dem die Wartung durchführenden externen Dienstleister abschließen“.

Eine ähnliche Interpretation kommt von der Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder „Ist Gegenstand des Vertrages zwischen Verantwortlichem und Auftragsverarbeiter die IT-Wartung oder Fernwartung (z.B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) und besteht in diesem Rahmen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DSGVO (z. B. Auslesen, Abfragen, Verwenden) ebenfalls um eine Form oder Teiltätigkeit einer Auftrags-verarbeitung und die Anforderungen des Art. 28 DSGVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen.“

Bis eine eindeutige Rechtsprechung hinsichtlich des Zugriffs auf personenbezogene Daten im Rahmen einer technischen Unterstützung (d.h. Kerntätigkeit ist nicht die Verarbeitung von personenbezogenen Daten) vorliegt, können Dienstleistungsverträge mit einer durchgängig geregelten Anforderung zu den Wartungsarbeiten (Wartungsaktivitäten, Durchführung und Abrechnung der Wartung, Protokollierung der Wartungsaktivitäten) sowie eine entsprechende Vertraulichkeitsvereinbarung, die sich auf alle Arten von Daten bezieht als Lösung gesehen werden. Falls sich der Dienstleister nicht an die vertraglichen Vorgaben hält, haftet er für seine Handlung wie ein Verantwortlicher.

1.3. Beispiele Auftragsverarbeitung / keine Auftragsverarbeitung

Wenn z.B. Server in einem Rechenzentrum gemietet sind und das Rechenzentrum keine Datenverarbeitung durchführt handelt es sich um Housing und somit um keine Auftrags-verarbeitung, da die Server nur zur Verfügung gestellt sind aber das Rechenzentrum keinen Zugriff auf personenbezogene Daten hat.

Sobald das Rechenzentrum aber Systeme administriert, wartet und Backups durchführt handelt es sich um Hosting. Besteht in diesem Fall die Möglichkeit auf personenbezogene Daten zuzugreifen, soll eine Vereinbarung zur Auftragsverarbeitung abgeschlossen werden. Allerdings soll näher betrachtet werden, ob ein Willensmoment auf Seitens des Verarbeiters (in diesem Fall Rechen-zentrum) vorliegt und ob der Zugriff überhaupt beabsichtigt ist.

Weitere Beispiele:

1.4. Anforderungen an die Auftragsverarbeitung 

• Nach Art. 28 DSGVO darf der Auftragsverarbeiter die Daten nur auf Weisung der Verantwortlichen (Auftraggeber) verarbeiten. Falls er dagegen verstößt und somit z.B. der Zweck der Verarbeitung neu bestimmt wird, handelt er nach Art. 28 Abs. 10 DSGVO als Verantwortlicher.

• Eine vertragliche Regelung der Auftragsverarbeitung ist nach wie vor erforderlich, muss aber nicht mehr ausschließlich schriftlich vorliegen, sondern kann auch in einem elektronischen Format abgeschlossen werden.

• Eine neue Anforderung der DSGVO ist, dass auch der Auftragsverarbeiter künftig ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 2 DSGVO) für alle im Auftrag durchgeführten Tätigkeiten zu führen hat. Darüber hinaus soll erwähnt werden, dass eine Datenverarbeitung im Auftrag auch außerhalb der EU stattfinden kann, vorausgesetzt es liegen entsprechende Garantien vor.

• Auftragnehmer dürfen Subunternehmer nur dann einsetzten, wenn der Auftraggeber dies schriftlich oder elektronisch genehmigt hat. Dieselbe Regelung bezieht sich auf einen Wechsel von Subunternehmen. Findet eine Änderung bei den eingesetzten Subunternehmen statt, muss der Auftragsverarbeiter dies dem Auftraggeber vorher mitteilen. Der Auftraggeber hat dann die Möglichkeit, Einspruch gegen den geplanten Einsatz des neuen Subunternehmers einzulegen.

• Eine weitere Form der Datenverarbeitung bietet der in Art. 26 DSGVO geregelte „Joint Control“. Hiernach legen zwei oder mehrere Verantwortliche die Zwecke und Mittel zur Verarbeitung personenbezogener Daten gleichberechtigt und gemeinsam fest. Gleichzeitig haften sie für die Verarbeitung, die sie durchführen, d.h. der Betroffene kann seine Rechte gegenüber jedem für die Verarbeitung Verantwortlichen geltend machen.

• Es gibt in der DSGVO keinen Bestandsschutz für Altverträge. Daher sollten bis Mai 2018 notwendige Anpassungen vorgenommen worden sein.

1.5. Inhaltliche Anforderungen eines Vertrags zur Datenverarbeitung im Auftrag

2. TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN UND UMSETZUNGSBEISPIELE 

Die nachfolgende Tabelle beschreibt die Anforderungen des BDSG hinsichtlich der technischen und organisatorischen Maßnahmen und gibt einige Beispiele hinsichtlich der Umsetzung dieser anhand Annex SL des ISO 27001. Es wird keine Vollständigkeit garantiert.

 3. FAZIT

Die Erfüllung der Anforderungen der DSGVO und des BDSG (neu) hinsichtlich der technischen und organisatorischen Maßnahmen können durch die im Abschnitt 3 beschriebenen Beispiele erfolgen. Selbst bei einer erfolgreichen Integration dieser müssen aber weitere Datenschutzanforderungen beachtet und erfüllt werden. 

Autoren: Dr. Tomov, D. Ivanov, NenConsulting IT and Security GmbH

Quelle:GAI NetConsult GmbH

4. REFERENZEN

[1] EU-DSGVO

[2] ISO/IEC 27001:2013

Autor: Dr. Tomov, D. Ivanov

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Fachartikel

Featured image for “Strategien für eine fortgeschrittene digitale Hygiene”

Strategien für eine fortgeschrittene digitale Hygiene

Featured image for “Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen”

Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen

Featured image for “Wie man RMM-Software mit einer Firewall absichert”

Wie man RMM-Software mit einer Firewall absichert

Featured image for “Red Sifts vierteljährliche Produktveröffentlichung vom Frühjahr 2024”

Red Sifts vierteljährliche Produktveröffentlichung vom Frühjahr 2024

Featured image for “Konvergiert vs. Einheitlich: Was ist der Unterschied?”

Konvergiert vs. Einheitlich: Was ist der Unterschied?

Studien

Featured image for “Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen”

Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen

Featured image for “Zunahme von „Evasive Malware“ verstärkt Bedrohungswelle”

Zunahme von „Evasive Malware“ verstärkt Bedrohungswelle

Featured image for “Neuer Report bestätigt: Die Zukunft KI-gestützter Content Creation ist längst Gegenwart”

Neuer Report bestätigt: Die Zukunft KI-gestützter Content Creation ist längst Gegenwart

Featured image for “Neue Erkenntnisse: Trend-Report zu Bankbetrug und Finanzdelikten in Europa veröffentlicht”

Neue Erkenntnisse: Trend-Report zu Bankbetrug und Finanzdelikten in Europa veröffentlicht

Featured image for “Studie: Rasantes API-Wachstum schafft Cybersicherheitsrisiken für Unternehmen”

Studie: Rasantes API-Wachstum schafft Cybersicherheitsrisiken für Unternehmen

Whitepaper

Featured image for “Netskope Threat Labs: IoT-Botnets und Infostealer haben den Einzelhandel verstärkt im Visier”

Netskope Threat Labs: IoT-Botnets und Infostealer haben den Einzelhandel verstärkt im Visier

Featured image for “Schutz von SAP im Zeitalter der Cyber-Gesetzgebung”

Schutz von SAP im Zeitalter der Cyber-Gesetzgebung

Featured image for “Aktive Cyberattacken auf geschäftskritische SAP-Anwendungen”

Aktive Cyberattacken auf geschäftskritische SAP-Anwendungen

Featured image for “IT-Sicherheit in 5G-Campusnetzen”

IT-Sicherheit in 5G-Campusnetzen

Featured image for “Sechs Vordenker in Sachen Cybersicherheit”

Sechs Vordenker in Sachen Cybersicherheit

Unter4Ohren

Featured image for “Datenklassifizierung: Sicherheit, Konformität und Kontrolle”

Datenklassifizierung: Sicherheit, Konformität und Kontrolle

Featured image for “Die Rolle der KI in der IT-Sicherheit”

Die Rolle der KI in der IT-Sicherheit

Featured image for “CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft”

CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft

Featured image for “WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand”

WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand

Featured image for “KI und Compliance: Die Notwendigkeit von Regulierung und Compliance im Bereich der KI”

KI und Compliance: Die Notwendigkeit von Regulierung und Compliance im Bereich der KI