Compliance-Keynote auf der IT-Security Management & Technology Conference 2014 Müssen Systemhäuser und Anbieter IT-Security transparenter machen?

Autor / Redakteur: Jan Schneider / Stephan Augsten

Aktuelle Technologien in den Bereichen Cloud, Hosting und Big Data erobern zunehmen den Markt. Doch im Zeitalter staatlicher Datenspionage und Cyberkriminalität sorgen sich Unternehmen um die Sicherheit ihrer Daten. Anbieter externer Datenverarbeitungsdienste und deren Partner müssen das Vertrauen der Kunden gewinnen.

Firmen zum Thema

Das IT-Risikomanagement liegt in der Verantwortung der Geschäftsführung und der IT-Verantwortlichen.
Das IT-Risikomanagement liegt in der Verantwortung der Geschäftsführung und der IT-Verantwortlichen.
(Bild: Olivier Le Moal - Fotolia.com)

Jan Schneider: „Anbieter und Reseller internationaler Cloud- und Hosting-Dienste befinden sich in einer besonderen ‚Bringschuld‘.“
Jan Schneider: „Anbieter und Reseller internationaler Cloud- und Hosting-Dienste befinden sich in einer besonderen ‚Bringschuld‘.“
(Bild: SKW Schwarz Rechtsanwälte)
Früher schien manches doch leichter: Unternehmen, die ihre IT-Infrastruktur aktualisieren oder ihre Datenverarbeitung einem externen Anbieter anvertrauen wollten, legten ihr Augenmerk häufig in erster Linie auf Aspekte wie die Qualität, Zuverlässigkeit, Betriebssicherheit und Kosten.

IT- und Datensicherheit waren schon damals wichtig – keine Frage. Nicht selten erschien das Thema aber mit einem mehr oder minder anschaulichen Hinweis auf die hohe Sicherheit des externen Rechenzentrums zur Zufriedenheit des Kunden erledigt.

Im Zeitalter aktueller Data-Center-Technologien wie Cloud, Hosting und Big Data erfährt die Sicht der Kunden auf die IT- und Datensicherheit zunehmend eine Änderung: Wo Unternehmen hinsichtlich der eigenen IT-Systeme in der Vergangenheit nicht selten – formulieren wir es zurückhaltend – mit wohlwollender Zurückhaltung agierten, soll die externe Cloud- oder Hosting-Lösung nun zu „100 Prozent“ rechts- und -datenschutzsicher sein.

Die Kunden werden kritischer – und das zu Recht, liegt das IT-Risikomanagement doch in der Verantwortung der Geschäftsführung und der IT-Verantwortlichen. In der Konsequenz werden Anbieter von Data Center-Technologien und deren Vertriebspartner zunehmend mit kritischen Fragen zu der Sicherheit der Datenhaltung konfrontiert. Die Berichterstattung über staatliche Spätprogramme wie PRISM und TEMPORA hat zu einer weitergehenden Verschärfung der Thematik beigetragen.

Dokumentation der IT-Sicherheit

Soweit man IT-Security als (datenschutz-) rechtliches Thema verstehen möchte, haben viele Anbieter und Systemhäuser ihre Hausaufgaben in den letzten Jahren gut gemacht. Für Datenverarbeitungsvorgänge bieten sie überzeugende Umsetzungen der gesetzlichen Anforderungen an die sogenannte Auftragsdatenverarbeitung.

Doch reicht das aus, um das Vertrauen der Kunden zu gewinnen? Deren erhöhte Anspruchshaltung – und übrigens auch die der Landesdatenschutzbehörden – zeigt sich beispielsweise anschaulich an der vertraglichen Dokumentation der nach § 9 BDSG in den Rechenzentren vorgeschriebenen technischen und organisatorischen Maßnahmen für Datenschutz und Datensicherheit.

Während früher im Vertrag ein pauschaler Verweis auf die Erforderlichkeit dieser Maßnahmen vielfach als ausreichend erachtet wurde, fordern Datenschützer (und damit in der Konsequenz auch die Kunden) im Zeitalter der Cloud eine transparente und detaillierte Dokumentation dieser Maßnahmen – und zwar als verbindlichen Bestandteil des Vertrages.

IT Security als Vertriebsargument

Hier müssen Anbieter und Systemhäuser also mittlerweile Farbe bekennen. Dabei bietet diese Anforderung allerdings auch eine wichtige Gelegenheit, den Aspekt der IT- und Datensicherheit proaktiv und vertriebswirksam an die Kunden zu tragen. Wer das versäumt, man muss es so deutlich sagen, vergibt sich ein wichtiges Vertriebsargument und läuft Gefahr, gegenüber der Konkurrenz in einen Wettbewerbsnachteil zu geraten.

Ohnehin entsteht zunehmend der Eindruck, dass die erhöhte Anspruchshaltung der Kunden die Vertragsgestaltung allgemein prägt. So dürften beispielsweise transparent und ohne „Rettungsanker“ formulierte vertragliche Verpflichtungen des Anbieters zu Datenschutz und Daten- sowie Betriebssicherheit erheblich besser geeignet sein, das Vertrauen der Kunden in den Cloud- oder Hosting-Dienst zu steigern, als mit reichlich Ausnahmen versehene Verfügbarkeitsklauseln. Wer das erkannt hat, kann mit einer nicht nur anbieter-, sondern auch kundenorientierten Vertragsgestaltung durchaus zu einer erhöhten Transparenz und Vertrauensbildung beitragen.

Transparenz durch Gütesiegel?

Hierneben zeigt sich die Forderung der Kunden nach (Daten-) Sicherheit auch in anderen Bereichen. Zertifizierungen, insbesondere nach ISO 27001, behandeln wichtige Aspekte der IT-Security, müssen den Kunden aber eben auch transparent gemacht werden. Das beinhaltet neben regelmäßigen Kontrollen der Rechenzentren vor allem die Bereitschaft, den Kunden aktuelle Prüfberichte etc. zugänglich zu machen.

In ein ähnliches Horn stoßen die mittlerweile zahlreichen „Gütesiegel“ in den Bereichen Cloud, SaaS und Hosting, allerdings mit teilweise deutlichen Abweichungen in Gestaltung und Aussagekraft. In diesem Zusammenhang stellt sich allerdings bereits grundlegend die Frage, inwieweit sich rechtliche und qualitative Anforderungen an Datenschutz und Datensicherheit überhaupt standardisiert prüfen und „besiegeln“ lassen. Als interessanter erscheint da womöglich die Aussagekraft von „Gütesiegeln“ und vergleichbaren Testaten in Bezug auf die Qualität der betreffenden Dienste und der technischen Umsetzung von Datenschutzmaßnahmen in den Rechenzentren.

Transparenz lohnt sich!

In einer besonderen „Bringschuld“ befinden sich derzeit Anbieter und Reseller internationaler Cloud- und Hosting-Dienste. Insbesondere hier braucht es zweifelsohne überzeugende, transparente und belastbare Konzepte für die Wahrung von Datenschutz und -sicherheit, um nicht gegenüber den hiesigen Anbietern ins Hintertreffen zu geraten.

Insgesamt führen die Entwicklungen der vergangenen Monate nach hiesiger Wahrnehmung zu einem weithin eindeutigen Ergebnis: Anbieter, Vertriebspartner und Systemhäuser, die aktuelle Cloud- oder Hosting-Dienste erfolgreich „an den Mann“ bringen möchten, tun gut daran, das Thema IT-Security bei ihren Kunden proaktiv anzugehen. Gesteigerte Transparenz bei Datenschutz und Datensicherheit ist sicherlich nicht alles. Aber sie kann ein entscheidendes Glied in der Kette zum Vertragsabschluss darstellen.

Erfahren Sie mehr und diskutieren Sie mit auf der IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2014!

Über den Autor

Jan Schneider ist Fachanwalt für IT-Recht und Partner der bekannten Anwaltskanzlei SKW Schwarz Rechtsanwälte (JUVE-Kanzlei des Jahres 2011 für IT-Recht). Seit über 12 Jahren berät er Anwender und Anbieter in allen Bereichen des IT-Rechts, im Recht der neuen Medien und im Datenschutzrecht. Jan Schneider ist Mitautor mehrerer Fachbücher und zu aktuellen IT-rechtlichen Themen häufig angefragter Referent und Keynote-Speaker.„Rechtliche Aspekte des Datenschutzes und der IT-Security sind ein wichtiger Bestandteil unserer Beratung in den Bereichen Cloud und Hosting. Das betrifft sowohl die Kunden, die hierzu schlichtweg überzeugende und belastbare Lösungen benötigen, als auch die Anbieter, die solche Lösungen rechtssicher und kundenorientiert gestalten möchten. Hierfür möchte ich beiden Seiten wichtige Impulse geben.“

(ID:42699310)