Die DSGVO und unsichere Drittparteien: so kommen Sie Ihren Pflichten nach!
Lesedauer: 3 Minuten.
Die ab 25. Mai einschlägige EU-DSGVO ist derzeit ein heißes Thema: nicht nur für unsere Kunden, sondern für alle Unternehmen und öffentlichen Einrichtungen, die mit personenbezogenen Daten zu tun haben. Manche Unternehmen sind hier schon sehr gut aufgestellt, andere haben noch Nachholbedarf. Wir haben mit Patric Rudtke, Senior Consultant für Datenschutz und Informationssicherheit bei VINTIN, über einen besonderes Aspekt der neuen Datenschutz Grundverordnung gesprochen, der bislang zwar kaum Beachtung findet – im Zweifelsfall jedoch hohe Strafen für fahrlässig handelnde Unternehmen nach sich ziehen kann. Es handelt sich dabei um die Pflicht, auch für ein angemessenes Sicherheitsniveau bei Drittparteien, mit denen personenbezogene Daten geteilt werden, Sorge zu tragen.
IT-Journal: Was genau verbirgt sich hinter dieser Pflicht zur „Rechenschaft“? Reicht ein Vertrag zur Auftragsdatenverarbeitung nicht mehr aus?
Patric Rudtke: Der Auftraggeber hat nach der DSGVO die Pflicht zur sorgfältigen Auswahl seines Auftragnehmers. Er darf nur Auftragnehmer beauftragen, die hinreichende Garantien dafür bieten, dass die Verarbeitung in Übereinstimmung mit den Forderungen aus der DSGVO erfolgt. An einem guten IT-Sicherheitsniveau bei den eigenen Geschäftskontakten sollten Unternehmen aber grundsätzlich schon aus Gründen der allgemeinen Informationssicherheit ein hohes Interesse haben. Denken Sie zum Beispiel an Finanzdaten, Konstruktionspläne oder Ähnliches. Die DSGVO reglementiert ausschließlich den Umgang mit personenbezogenen Daten, tatsächlich aber ist das Thema „Sicheres Business Ökosystem“ im Hinblick auf alle sensiblen Unternehmensdaten ein kritischer Aspekt, der noch viel zu selten angemessen beachtet wird.
IT-Journal: Wie kann ich sicherstellen, dass Drittparteien in meinem Business Ökosystem ein angemessenes Sicherheitsniveau haben?
Patric Rudtke: Der Auftraggeber hat hier diverse Möglichkeiten. Er kann sich, sofern er das nötige Know-How und die erforderlichen Ressourcen hat, selbst vor Ort beim Auftragnehmer über dessen Umsetzung der vereinbarten Schutzmaßnahmen überzeugen. Als hinreichende Garantien gelten aber auch von den Aufsichtsbehörden anerkannte Zertifizierungsverfahren.
Ergänzend für den Besuch vor Ort kann die Prüfung des Auftragnehmers anhand seiner „Netzreputation“ gesehen werden. Diese „Netzreputation“ gibt Auskunft über aktuell beim Auftragnehmer bestehenden Sicherheitslücken wie zum Beispiel offene Ports, mit Malware infizierte Server oder unsicheres Userverhalten. Der Abgleich dieser Sicherheitslücken mit den vereinbarten Maßnahmen gibt eine belastbare Auskunft über die tatsächliche Einhaltung der mit dem Auftragnehmer vereinbarten Maßnahmen.
IT-Journal: Das alles sind stest nur punktuell gültige Werte. Theoretisch sind diese schon am nächsten Tag veraltet.
Patric Rudtke: Wir empfehlen deshalb den Einsatz einer in Deutschland bisher fast nur in Großkonzernen gängigen Lösung zur laufenden Überwachung des Sicherheitsniveaus meiner Business Partner (Zulieferer, Vendors, etc.). BitSight ist nämlich zu mehr als vertretbaren Kosten für jedes Unternehmen zugänglich und unsere Security Consultants können Kunden bei der sinnvollen Einführung beraten. Eine tagesaktuelle Warnmeldung hilft bei der „regelmäßigen“ Überwachung des Vereinbarten. Die Festellungen sind sogar schneller, als bei einem „regelmäßigen “Prüfzyklus“.
IT-Journal: Wo liegt nun der große Vorteil in Bezug auf die neue DSGVO?
Patric Rudtke: Durch den Einsatz von BitSight kann ein Unternehmen hervorragend dokumentieren, dass es der Rechenschaftspflicht hinsichtlich des Sicherheitsniveaus bei den verschiedensten Auftragnehmern gewissenhaft nachkommt. Da bestimmte Schwachstellen bei den Business Partnern schnell erkannt werden, erhöht sich auch das eigene Sicherheitsniveau spürbar: sei es, weil selbst entsprechende Schutzmaßnahmen zeitnah ergriffen werden können, sei es auf Grund einer verbesserten Zusammenarbeit mit den Geschäftspartnern auf Ebene der IT-Security. Zusätzlich kann ich durch BitSight auch das eigene Schutzniveau überwachen, was die Vorteile für die IT-Security nochmals deutlich erhöht.
