Regelmäßige Kontrolle von Auftragsverarbeitern

Geschrieben am: | Geschätzte Lesezeit: 10 Minuten

Die Datenschutz-Grundverordnung (DSGVO) schreibt bei einer Verarbeitung personenbezogener Daten im Auftrag die regelmäßige Kontrolle des Dienstleisters vor. Doch wie oft muss eine solche Kontrolle des Auftragsverarbeiters erfolgen? Worauf muss der Verantwortliche dabei achten? Und wie ist mit auftretenden Problemen umzugehen? Unsere praktische Anleitung zeigt Lösungen für die typischsten Probleme auf!

Die DSGVO gilt mittlerweile mehrere Jahre. Zu ihrem Start wurden sehr viele Vereinbarungen zur Auftragsverarbeitung hektisch und teils mehr oder weniger sinnvoll abgeschlossen oder auf Stand gebracht. Nach Unterschrift wurden die neuen oder aktualisierten Verträge abgelegt und gelegentlich vergessen. Nun wird es allerdings höchste Zeit, eingesetzte Dienstleister einer Regelkontrolle zu unterziehen!

Auswahl und wiederholte Kontrollen von Auftragsverarbeitern

Viele wesentliche Neuerungen im Bereich der Auftragsverarbeitung ergaben sich durch die DSGVO nicht. Auch die Pflicht, eingesetzte Dienstleister nicht nur zu Beginn sorgfältig auszuwählen, sondern diese auch im Laufe der Kooperation weiterhin zu kontrollieren, ist gleichgeblieben. Art. 28 Abs. 1 DSGVO sagt ganz klar aus, dass der Verantwortliche nur mit Auftragsverarbeitern zusammenarbeitet, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Dies ist eine laufende, keine einmalige Pflicht. Sie besteht für jedes Auftragsverarbeitungsverhältnis, grundsätzlich unabhängig von dessen Dauer und Bedeutung.

Eine verbindliche Vorgabe, wie häufig im Laufe einer Kooperation eine Kontrolle erfolgen muss, fehlt nach wie vor. Auch hier richtet sich die Anforderung nach dem Risiko im Einzelfall. Je kritischer die Verarbeitung, desto häufiger und intensiver muss kontrolliert werden.

Als Daumenregel können die bisherigen Aussagen der Aufsichtsbehörden herangezogen werden. Eine unterjährige Kontrolle ist nur bei hohen Risiken geboten. Lange Abstände von zwei Jahren und mehr sollten jedenfalls mit einer guten Begründung untermauert werden können. Ein Abstand von fünf Jahren ist nicht mehr akzeptabel.

Wir empfehlen daher, Kontrollen im Normalfall alle ein bis anderthalb Jahre durchzuführen. Dies wird üblichen Risiken angemessen sein und bringt den Verantwortlichen nicht in die Verlegenheit, sich rechtfertigen zu müssen oder sich dem Vorwurf der mangelnden Sorgfalt ausgesetzt zu sehen.

Typische Probleme bei der Kontrolle von Auftragsverarbeitern

Viele Verantwortlichen sehen sich bei Kontrollen mit dem Problem konfrontiert, wie man denn den auftragsverarbeitenden Dienstleister nun eigentlich prüft oder wie man vorgelegte Nachweise interpretiert. Im Folgenden schildern wir einige typische Fehler oder Hürden, denen wir in unserer Beratungspraxis mit schöner Regelmäßigkeit begegnen, und zeigen, worauf es tatsächlich ankommt.

Die Prüfung oder der Nachweis erfolgt per Standardfragebogen.

Bei einem bereits abgeschlossenen Vertrag ist ein offen formulierter Fragebogen unpassend! Im Gegensatz zur Phase vor Abschluss des Vertrages, in der es noch galt, die konkreten technischen und organisatorischen Maßnahmen festzustellen und ggf. noch über diese zu verhandeln, geht es nach geschlossenem Vertrag um die Prüfung, ob der Dienstleister seine im Vertrag verbrieften Versprechen auch hält. Maßstab ist, was vereinbart wurde – und nur noch das. Nichts anderes schuldet der Auftragsverarbeiter!

Spätestens jetzt rächt sich, wenn die Maßnahmen beim Abschluss des Vertrages nicht oder nur ungenau festgelegt wurden. Die Kontrolle einer nicht definierten Leistung ist schwierig. Wer nur „Kartoffeln“ bestellt, darf sich nicht wundern oder beschweren, wenn er statt der benötigten zwei Kilogramm festkochende, ein halbes Kilogramm mehligkochende erhält. Warum ausgerechnet im Bereich des Datenschutzes so häufig nicht exakt bestellt bzw. vereinbart wird, obwohl es hier schnell kritisch werden könnte, ist nicht nachvollziehbar.

Wer als Verantwortlicher erst im Rahmen einer Kontrolle mehr oder etwas anderes erwartet, hat beim Abschluss des Vertrages nicht aufgepasst. Statt einer Prüfung sollte hier die Vereinbarung – also der Vertrag über die Auftragsverarbeitung selbst – auf Stand gebracht werden.

Merke: Die Kontrolle des Auftragsverarbeiters hat sich ausschließlich an den tatsächlich vereinbarten Maßnahmen zu orientieren.

Als Nachweis wird unverändert die gleiche Aufzählung oder Beschreibung geliefert, die bereits dem Vertrag anhängt.

Dies ist kein Nachweis! Es geht im Rahmen der Kontrolle nicht mehr um die Beschreibung der Maßnahmen, sondern um den Nachweis, dass diese auch umgesetzt werden. Durchgeführte Messungen und deren Ergebnis sind gefragt! Aktuelle Belege für eine existierende Maßnahme sind notwendig – nicht eine Wiederholung des Versprechens.

Merke: Akzeptieren Sie keine simple Wiederholung des vertraglichen Versprechens. Fordern Sie nachvollziehbare Belege dafür, dass es eingehalten wird.

Es werden untaugliche Zertifikate vorgelegt oder akzeptiert.

Es gibt derzeit leider immer noch kein einziges Zertifikat, welches für sich allein ausreicht, um die allgemeinen Anforderungen der DSGVO nachzuweisen. Erst recht gilt dies, wenn es um individuelle Anforderungen geht, wie sie sich im Vertrag zwischen Verantwortlichem und Auftragsverarbeiter wiederfinden.

Zudem zertifiziert sich der Auftragsverarbeiter in aller Regel aus seiner eigenen Perspektive. Beispielsweise besagt ein ISO 27001-Zertifikat, dass die eigenen Risiken des Auftragsverarbeiters im Bereich der Informationssicherheit mittels eines Managementsystems behandelt werden. Eine Aussage für fremde Risiken (also die der betroffenen Personen) kann das Zertifikat nicht enthalten. Diese spiegeln sich nur mittelbar wider und das auch nur, falls sie überhaupt betrachtet und korrekt einbezogen wurden.

Auch ist allein dem Zertifikat nicht zu entnehmen, ob denn überhaupt alle für den Verantwortlichen relevanten Kapitel der ISO 27002 umgesetzt wurden. Vielleicht spielt ja für den Dienstleister Verschlüsselung keine Rolle und das Kapitel mit den passenden Maßnahmen wurde gar nicht umgesetzt? Dies wäre fatal, wenn im Bereich des Verantwortlichen der Einsatz von Kryptografie hoch wichtig ist.

Es darf auch nicht vergessen werden, dass diese spezielle Zertifizierung allein das Vorliegen eines Managementsystems bestätigt, aber keine Aussage über ein bestimmtes Sicherheitsniveau trifft. Der Zertifikatsinhaber kennt den richtigen Weg, aber es ist völlig offen, wie weit er ihn schon gegangen ist.

Viele der in der Praxis sonst vorgelegten Zeugnisse und Bestätigungen sehen schön aus, sind aber von vornherein nicht verwertbar, da – im Gegensatz zu veröffentlichten Standards ­– schon gar nicht bekannt ist, was eigentlich Gegenstand der Prüfung war und welche Hürden übersprungen werden mussten, um die Bescheinigung zu erhalten. Es sind tatsächlich „Datenschutzbescheinigungen“ im Umlauf, die nichts weiter bestätigen, als dass ein Mitarbeiter der ausstellenden Stelle vor Ort war.

Tipp: Prüfen Sie als Verantwortlicher daher bei Bestätigungen, Zeugnissen oder Zertifikaten sehr sorgfältig, welchen Aussagegehalt und welche Bedeutung diese tatsächlich für das konkrete Auftragsverarbeitungsverhältnis haben und ob nicht ggf. zusätzliche Nachweise notwendig sind.

Es werden untaugliche Nachweise erbracht.

Auch das kommt häufig vor: Der Dienstleister belegt zwar eine Messung und liefert ein positives Ergebnis, nur leider passt das Ganze nicht zur versprochenen Maßnahme. Typisch sind hier etwa Angaben zur Verschlüsselung und zum Back-up, wenn es eigentlich um die Frage der Belastbarkeit geht. Oder es tauchen Angaben zur Protokollierung von Benutzereingaben im Zusammenhang mit der Verfügbarkeit auf. Ebenfalls hat der Gebäudebrandschutz nicht zwingend etwas mit der Frage der Wiederherstellbarkeit zu tun.

In diesem Zusammenhang ist es weniger tragisch, wenn sich der Dienstleister bei der Zuordnung der Maßnahme zum Gewährleistungsziel irrt, das Bild aber insgesamt dennoch vollständig ist. Ärgerlich wird es, wenn durch die Angabe unpassender Maßnahmen verschleiert wird, dass ein Gewährleistungsziel nicht erfüllt ist, es also gar keine passenden Maßnahmen gibt. Insbesondere mit der Beschreibung von Maßnahmen zur Erfüllung  des Art. 32 Abs. 1 d) DSGVO haben erschreckend viele Dienstleister überraschend große Probleme.

Tipp: Hinterfragen Sie jede nachgewiesene Maßnahme, ob diese überhaupt geeignet ist, das vereinbarte Ziel zu unterstützen. Ziehen Sie ggf. Ihren IT-Spezialisten heran. Prüfen Sie, ob alle Gewährleistungsziele abgedeckt sind.

Der erbrachte Nachweis wäre zwar grundsätzlich geeignet, ist aber nicht nachvollziehbar.

Übliche Fälle sind Bestätigungen eines Prüfers oder des eigenen Datenschutzbeauftragten, in denen sich zu den einzelnen relevanten Maßnahmen lediglich die isolierte Feststellung findet, diese wären erfüllt. Wie der Autor zu seinem Ergebnis kommt, verrät er nicht.

Entscheidend ist hier, dass der Verantwortliche durch einen Bericht selbst in die Lage versetzt wird, die Prüfung gedanklich nachzuvollziehen. Was ist die Anforderung? Was und wie wurde geprüft? Was wurde festgestellt? Welche Schlussfolgerung erlaubt diese Feststellung? Auf Basis welcher persönlichen Qualifikation erlaubt sich der Urteilende seine Aussage?

Tipp: Prüfen Sie bei der Beurteilung von Berichten oder Prüfungen, ob nachvollziehbar ist, wie die Einzelergebnisse und die Gesamtbewertung zustande kommen.

Es wird zwar das Vorhandensein einer Regelung nachgewiesen – nicht aber deren Einhaltung

In solchen Fällen kann der eingesetzte Dienstleister zwar belegen, dass es Vorgaben für bestimmte Bereiche gibt. Dass aber der tatsächliche Ist-Zustand mit dem auf dem Papier vorgesehenen Soll-Zustand übereinstimmt, kann sehr häufig nicht nachgewiesen werden. Zu oft erfolgen die hierfür notwendigen Selbstüberprüfungen nicht, da es keine tauglichen Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gibt. Lediglich auf Datenpannen oder aufgetretene Störungen zu reagieren, ist in diesem Zusammenhang nicht ausreichend.

Die nachgewiesenen Maßnahmen sind für den Auftrag nicht relevant.

Der Dienstleiser liefert einen Nachweis für eine passende Maßnahme, nur leider ist diese für den Auftrag gar nicht relevant. Sie wird vielmehr allein für eigene Zwecke eingesetzt. Praktisch begegnet man mit schöner Regelmäßigkeit der professionellen Verschlüsselung, die bei genauerem Hinsehen allerdings nur bei Übermittlung der eigenen Lohndaten an das eigene Lohnbüro oder den eigenen Steuerberater des Dienstleisters eingesetzt wird und damit für den vom Verantwortlichen erteilten Auftrag keinerlei Bedeutung hat.

Ebenso populär ist die ausführliche Beschreibung und Kontrolle der Maßnahmen im Rechenzentrum, in dem jedoch nur die eigenen Verarbeitungen des Dienstleisters erfolgen. Schade, wenn die Leistung im Auftrag im Wesentlichen aus den Geschäftsräumen des Auftragsverarbeiters erbracht wird, hierzu aber keine Nachweise vorliegen.

Nebenbei erwähnt: Im Vertrag an sich sollten sich schon gar keine Maßnahmen finden, die nichts mit dem Auftrag zu tun haben. Diese haben dort nichts verloren, begegnen aber in der Praxis immer noch massenhaft.

Merke: Legen Sie besonderes Augenmerk darauf, dass tatsächlich die Ihnen geschuldeten und für Sie relevanten Maßnahmen nachgewiesen werden.

Es werden zu wenige Nachweise erbracht und unangenehme Punkte umschifft.

Typische Fälle sind:

  1. Die versprochene Kontrolle der eingesetzten Subdienstleister.
  2. Die eigenen Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
  3. Die regelmäßige und angemessene Schulung der eigenen Mitarbeiter.
  4. Die Kontrolle bestehender Berechtigungen.
  5. Der Aufbau einer Regelungslandschaft und die regelmäßige Pflege.

In Fällen solcher Lücken genauer nachzuhaken, ist notwendig und kann oft sehr ernüchternd sein. Suchen Sie sich als Stichprobe ein paar wenige, ganz konkrete, aber ggf. unangenehme Versprechen heraus und nageln Sie den Dienstleister darauf fest.

Tipp: Verlangen Sie zumindest in einigen kritischen Punkten ganz konkrete Nachweise als Stichprobe. Überlassen Sie die Auswahl von Stichproben nicht allein dem Dienstleister.

Nachweise werden aus Sicherheitsgründen nicht erbracht.

Eher dreist ist der Fall, dass an sich vertraglich zugesagte Nachweise dann im Ernstfall aus Sicherheitsbedenken verweigert werden. Ob es um die komplette Verweigerung jeder Auskunft geht oder um etwa die Preisgabe von Details zur Güte eingesetzter Passwörter, alles kann einem in der Praxis begegnen.

Hierbei vergessen Sie bitte nicht, dass der Verantwortliche eben dies ist: verantwortlich. Zudem sehen Gesetz und Vertrag vor, dass der Auftragsverarbeiter im notwendigen Umfang mitwirkt. Die Maßnahmen, deren Umsetzung der Verantwortliche ggf. sogar selbst nachzuweisen hat, vor diesem geheim zu halten, geht nicht. Bedenken können jederzeit durch eine entsprechende Vertraulichkeitsvereinbarung ausgeräumt werden.

Tipp: Lassen Sie sich nicht abwimmeln. Sie haben die gesetzliche Pflicht sowie das gesetzliche und vertragliche Recht, zu kontrollieren und die hierfür notwendigen Auskünfte zu erhalten.

Vorgehen bei der Kontrolle des Auftragsverarbeiters

Selbstverständlich gilt auch im Rahmen solcher Kontrollen der Grundsatz der Angemessenheit. Aufwand und Tiefe müssen und dürfen dem mit der Verarbeitung verbundenen Risiko entsprechen. Eine Kontrolle jeder einzelnen Maßnahme ist bei normalen Risiken regelmäßig nicht notwendig. Eine angemessene Zahl von Stichproben genügt. Eine Vertiefung ist angezeigt, wenn Stichproben fehlschlagen.

In der nächsten Runde zieht man dann andere Stichpunkte und setzt andere Schwerpunkte. Im Laufe der Kooperation sollte der Verantwortliche in allen Bereichen einmal vorbeigekommen sein.

Hilft alles nichts, muss ggf. selbst und vor Ort im Detail kontrolliert werden. Wobei die oben gegebenen Hinweise entsprechend gelten. Leider zeigt auch hier die Erfahrung, dass der Aufwand für eine vor Ort Inspektion leider häufig vergebens ist, wenn vorher bereits alle Versuche gescheitert sind, aus der Ferne geeignete Nachweise zu erhalten.

Falls der Auftragsverarbeiter keine Konsequenzen zieht

Eine gescheiterte Prüfung muss Folgen haben. Ein „Weiter so“ kann es nicht geben. Setzt der Verantwortliche in voller Kenntnis der Mängel den Auftragsverarbeiter trotzdem weiter ein, wird eine Aufsichtsbehörde hierfür eher wenig Verständnis aufbringen.

Reagieren Sie auf Verstöße und Mängel. Verfolgen Sie diese nach. Ziehen Sie die notwendigen Konsequenzen. Schlimmstenfalls sollte die Kooperation beendet werden.

Übrigens: Verschuldet der Dienstleister eine berechtigte außerordentliche Kündigung durch den Verantwortlichen, macht dies den Dienstleister regelmäßig schadensersatzpflichtig. Den Aufwand, der durch eine verfrühte Beendigung der Zusammenarbeit und die Suche nach einem neuen Dienstleister (verglichen mit den Kosten bei einer ordentlichen Beendigung) zusätzlich entsteht, hat der bisherige Dienstleister zu ersetzen.

Fazit: Ohne Kontrolle keine Auftragsverarbeitung

Die regelmäßige Kontrolle eingesetzter Auftragsverarbeiter ist nicht nur vorgeschrieben, sondern auch sinnvoll. Denn zum einen haftet der Verantwortliche zumindest teilweise für Datenschutzverstöße mit. Zum anderen trifft ein möglicher Imageschaden vor allem den Verantwortlichen. Die wirtschaftlichen Folgen sind in beiden Fällen nicht abzusehen.

Da sich die Kontrolle von Auftragsverarbeitern insbesondere aus Perspektive des technischen Datenschutzes für viele Verantwortliche schwierig gestaltet, gilt gerade in diesem Bereich: Holen Sie sich den Rat eines Fachmanns, der sämtliche Aspekte versteht, erläutern und in technischer, rechtlicher und tatsächlicher Hinsicht beurteilen kann!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

6 Kommentare

  1. Sieber Profilbild
    Sieber

    Danke für den interessanten Artikel. Ich bin Mitarbeiter bei einem Dienstleister. Meine Kolleg:innen und ich und arbeiten als Mitarbeiter:innen auf bzw. mit den Kundensystemen. Der Kunde möchte jetzt einen AV-.Vertrag mit uns machen. Das beißt sich aber meines Erachtens. Da wir zwar personenbezogene Daten von seinen Kunden (Kunde des Kunden) verarbeiten, er aber andererseits unsere (Mitarbeiter:innen-) Daten ebenfalls verarbeitet, teilweise sogar mit KI, da er die Leistungen von den Mitarbeiter:innen im Sinne der Qualitätssicherung optimieren möchte. Wer soll jetzt wen kontrollieren und was bringen unsere TOM’s wenn wir über https-Logins auf deren Systeme arbeiten? Außerdem gibt es denn nicht so etwas wie das Geschäftsgeheimnis-Gesetz auf das man sich als Auftragsverarbeiter berufen kann?

    Antworten
    1. Michael Plankemann Profilbild
      Michael Plankemann

      Vielen Dank für Ihren Kommentar und Ihre Fragen!

      So ganz einfach lassen diese sich leider nicht alle beantworten. Was die “gegenseitige” Datenverarbeitung angeht, müsste man die Details klären. Dass zumindest Sie als Auftragsverarbeiter tätig werden und das Ganze per AV-Vertrag geregelt und dann auch kontrolliert werden muss, dürfte klar sein.
      Was die Verarbeitung auf Seiten Ihres Kunden angeht, muss es aber nicht zwingend auch um eine Verarbeitung im Auftrag gehen; das klingt eher so ein wenig nach Verarbeitung zu eigenen Zwecken. Dies können wir an dieser Stelle leider nicht klären.
      Im Grunde spricht aber nichts dagegen, das zwei Unternehmen sich wechselseitig Auftragsverarbeitungen erbringen. Bei “shared services” etwa in Unternehmensgruppen ist dies überhaupt nicht ungewöhnlich. Der eine macht HR, der andere die IT. Jedes Verhältnis ist dann für sich zu betrachten.

      Die technisch organisatorischen Maßnahmen müssen so beschrieben werden, dass sie zum konkreten Auftrag passen. Das heißt zum einen, dass nur die tatsächlich auftragsrelevanten Maßnahmen zu beschreiben sind und eben nicht pauschal alle (wie es leider sehr oft der Fall ist).
      Zum anderen bedeutet das, dass gegebenenfalls auf Maßnahmen, die der Verantwortliche in seinem Hoheitsbereich selbstverantwortlich bereitstellt, nicht im Detail eingegangen wird. Hier kann man zur Klarstellung im Vertrag aufnehmen, dass dies der Auftraggeber umsetzt. Natürlich macht es bei einem vom Auftraggeber eingerichteten Fernzugriff keinen Sinn, auf die Maßnahmen zur sicheren Anmeldung einzugehen, die dieser selbst steuert und dem Dienstleister lediglich zur Verfügung stellt. Der Dienstleister beschreibt immer nur den Teil der Maßnahmen, auf die er Einfluss hat. Um beim gewählten Beispiel zu bleiben, beschränken sich die Maßnahmen dann eben auf die Sicherheit der vom Dienstleister zum Aufbau der remote-Verbindung genutzten Systeme.

      Der Einwand “Geschäftsgeheimnis” kommt in der Praxis immer wieder; oft, wenn sich Dienstleister im Laufe einer Kontrolle nicht mehr ganz behaglich fühlen. Die Sichtweise ist aber falsch.
      Datenschutzrechtlich gesehen handelt es sich nicht um geheimhaltungsbedürftige Maßnahmen des Dienstleisters, sondern um Maßnahmen des Verantwortlichen, die dieser lediglich auslagert/einkauft. Der Verantwortliche ist und bleibt voll verantwortlich für jede Datenverarbeitung die er veranlasst oder gestattet und er muss auch hier seine Rechenschaftspflicht erfüllen können. Es ergibt sich ganz klar aus dem Gesetz, dass nur Dienstleister eingesetzt werden dürfen, die angemessene Garantien liefern – das muss der verantwortliche Auftraggeber beurteilen und kontrollieren können. Für Geschäftsgeheimnisse ist hier kein Platz; für eine Verschwiegenheitsvereinbarung aber sehr wohl.

      Antworten
  2. Luis Mayer Profilbild
    Luis Mayer

    Vielen Dank für den interessanten Artikel. Mir fehlt jedoch eine Einschätzung zu einem wichtigen Punkt. Ich arbeite bei einem Auftragsverarbeiter. Die Daten unserer Kunden werden in einem Hochsicherheitsrechenzentrum gespeichert. Das Rechenzentrum ist nach ISO 27001 zertifiziert. Auf Wunsch legen wir unseren Kunden das Zertifikat eines anerkannten Instituts vor, das u. a. auf die Prüfung von Rechenzentren spezialisiert ist. Natürlich bekommen unsere Kunden auch die jährlichen Überwachungsaudits zur Kenntnis.

    Mit zunehmender Häufigkeit möchten Kunden, also im datenschutzlichen Sinn, “Verantwortliche” im Rechenzentrum Vor-Ort-Kontrollen durchführen. Wir stehen Vorort-Kontrollen in “unserem” Rechenzentrum kritisch gegenüber. Der Rechenzentrumsbetreiber hat viele Kunden und auch wir haben viele Kunden. Wir möchten diese Besuche aus Gründen der Sicherheit für alle unsere Kunden aber auch für alle anderen Nutzer des Rechenzentrums gerne vermeiden. Unserer Einschätzung nach entwickelt sich langsam aber sicher eine Art “Rechenzentrumstourismus”. Immer wieder mal sprechen uns Kunden, die staunend vor einem Rack stehen und durch die Gittertür die bunten blinkenden Lämpchen bewundern an, ob sie denmächst nochmal mit Kolleg:in XY vorbeikommen könnten, denn die hätten auch noch nie ein Rechenzentrum von innen gesehen. Wie beurteilen Sie die Situation? Reichen den Verwantwortlichen im Sinne der Sicherheit des Rechenzentrums und der gesetzliche geforderten Kontrollen die Zertifkate und Überwachungsaudits nach ISO 27001?

    Antworten
    1. Michael Plankemann Profilbild
      Michael Plankemann

      Vielen Dank für Ihren Kommentar.
      Ihre Frage ist im Grunde bereits im Artikel beantwortet. Da die ISO 27001 an sich schon keinen eindeutigen Nachweis erbringt, kann nichts anderes auch für die Auditberichte und Überwachungsaudits gelten. Das ISO 27001 Zertifikat sagt nicht über eine einzige konkrete Sicherheitsmaßnahme etwas aus. Es kann damit eine sorgfältige Kontrolle nicht ersetzen. Man mag es ergänzend bei einer Bewertung hinzuziehen, mehr aber nicht.
      Auch was andere Berichte angeht, enthält der Artikel bereits Aussagen. Es hängt davon ab, in wie weit ein Bericht eine für den Verantwortlichen brauchbare und nachvollziehbare Auskunft gibt.

      Was den “RZ-Tourismus” angeht, so kann man diesen durch entsprechende vertragliche Ausgestaltung ggf. eingrenzen. Es hängt davon ab, was in den für Sie geltenden Verträgen vereinbart wurde, ob und wie oft Zugang gewährt werden muss. Sind hier keine Einschränkungen gemacht, müssen Sie Ihren Kunden den Ausflug grundsätzlich ermöglichen.

      Antworten
  3. Marcus Helmsorig Profilbild
    Marcus Helmsorig

    Hallo,
    vielen Dank für diesen Beitrag, der wohl einige Verantwortliche erschrecken wird.
    Noch eine zusätzliche Aufgabe :-(

    Es wird leider häufig verkannt, wie wichtig diese Aufgabe ist.

    Antworten
    1. Michael Plankemann Profilbild
      Michael Plankemann

      Besten Dank für das positive Feedback!

      Antworten

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.