:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Auftragsverarbeitung nach DSGVO Was Aufsichtsbehörden bei Auftragsverarbeitung prüfen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Sollen personenbezogene Daten im Auftrag verarbeitet werden, müssen insbesondere Garantien für die Einhaltung des Datenschutzes nach DSGVO durch den Auftragsverarbeiter geboten werden. Ob dies durch den Auftraggeber und Auftragsverarbeiter wirklich eingehalten wird, wollen die Aufsichtsbehörden nun kontrollieren. Aber die Prüfungen der Aufsicht gehen noch weiter.
Die Datenschutz-Grundverordnung (DSGVO) behandelt ausführlich den Fall, dass personenbezogene Daten nicht durch das jeweilige Unternehmen selbst verarbeitet werden, sondern durch einen Dienstleister, in diesem Zusammenhang auch Auftragsverarbeiter genannt.
Ein Auftragsverarbeiter ist also eine Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. In dieser kurzen Definition steckt bereits, dass der Auftraggeber dem Auftragsverarbeiter zwar Daten zur Verarbeitung gibt, die Verantwortung für die Daten und deren Schutz aber behält.
Die Fortdauer der Verantwortung für den Datenschutz bei Auftragsverarbeitung ist nicht alles, was immer noch in Vergessenheit gerät. Es sind sogar komplette Auftragsverarbeitungen, die „vergessen“ werden, jedenfalls mit Blick auf den Datenschutz. Es kann also durchaus sein, dass ein Unternehmen nicht alle Auftragsverarbeitungen im Blick hat, die für es stattfinden.
Beispiele für mögliche Auftragsverarbeitungen sind Aktenvernichtung, Archivierung, Bürokommunikation, Cloud-Services, Finanzbuchhaltung, Lohn- und Gehaltsabrechnung, Personalverwaltung, Werbung / Letter Shop, Zeiterfassung, Reisekosten, Hosting E-Mail-System und Hosting Internetsystem sowie Wartungsarbeiten.
Wer jetzt überlegt, ob dies im eigenen Unternehmen nun selbst gemacht wird oder durch einen Dienstleister, der sollte auch im Verzeichnis der Verarbeitungstätigkeiten nachsehen, ob dort alle bestehenden Auftragsverarbeitungen dokumentiert sind.
Lieber selbst überprüfen und nicht auf die Aufsicht warten
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) kontrolliert seit einigen Wochen die datenschutzrechtlichen Musterverträge, so genannte Auftragsverarbeitungsverträge (AVV), zwischen Webhostern aus Berlin und deren Kundinnen und Kunden. Das ist aber nicht auf Berlin beschränkt. Auch die Datenschutzaufsichtsbehörden aus Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Bayern (LDA) beteiligen sich an dieser koordinierten Prüfung.
Aber auch Unternehmen aus anderen Bundesländern sollten sich ihre Auftragsverarbeitungsverträge genauer ansehen und nicht darauf warten, bis die für sie zuständige Aufsichtsbehörde ebenfalls entsprechende Prüfungen startet.
Beispiel Webhosting
Viele Organisationen betreiben ihre Internetseite oder ihren Online-Shop über einen externen Dienstleister (Webhoster). Dabei werden personenbezogene Daten von Besucherinnen und Besuchern der Seite verarbeitet. Im Regelfall findet diese Verarbeitung im Auftrag des Verantwortlichen, also des Seitenbetreibers, statt. Das heißt, der Webhoster ist datenschutzrechtlich ein Auftragsverarbeiter, wie die Aufsichtsbehörden klarstellen.
Entsprechend müssen die Betreibenden der Internetseite und der Webhoster einen spezifischen Vertrag schließen, den sogenannten Auftragsverarbeitungsvertrag (AVV). Die Datenschutz-Grundverordnung (DSGVO) beschreibt im Detail, welche Rechte, Pflichten und Maßnahmen im AVV geregelt werden müssen.
Doch in der Praxis sehen die Verträge leider oftmals anders aus: Regelmäßig erreichen die Datenschutz-Aufsichtsbehörden Anfragen von Verantwortlichen, die feststellen, dass der vom Webhoster angebotene AVV nicht den Anforderungen der DSGVO entspricht. So sehen beispielsweise viele AVV keine ausreichenden Nachweise des Webhosters darüber vor, dass dieser die vereinbarten Datenschutzmaßnahmen umsetzt.
Damit dürfen sich die Unternehmen als Betreibende der Internetseite aber nicht zufrieden geben, da sie als Verantwortliche gegenüber den Aufsichtsbehörden und den betroffenen Personen nachweisen können müssen, dass sie die Vorgaben des Datenschutzes einhalten.
Was die Aufsichtsbehörden zu den Prüfungen sagen
Zuerst einmal sollen die laufenden Prüfungen der Musterverträge die Hoster und die Unternehmen als Hosting-Kunden und Datenschutzverantwortliche unterstützen.
Volker Brozio, kommissarischer Dienststellenleiter der Berliner Aufsicht, erklärte dazu aber auch: „Wir ermuntern alle IT-Dienstleister, ihre Standardverträge selbstständig zu prüfen und an das Gesetz anzupassen. Schließlich können hohe Bußgelder nicht nur gegen Verantwortliche verhängt werden, die IT-Dienstleister ohne ordnungsgemäßen AV-Vertrag einsetzen, sondern auch gegen die IT Dienstleister selbst.“
„Korrekte Verträge zur Auftragsverarbeitung sind ein wichtiges Instrument zur Einhaltung der datenschutzrechtlichen Vorgaben“, sagte Barbara Thiel, die Landesbeauftragte für den Datenschutz Niedersachsen. „Wir wollen sowohl Verantwortliche als auch Auftragsverarbeiter dabei unterstützen, die Anforderungen der DSGVO einzuhalten und so für mehr Rechtssicherheit sorgen.“
„Das Ziel der koordinierten Prüfung ist eine datenschutzrechtliche Verbesserung der Web-Auftritte von kleinen und großen Unternehmen“, stellte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, klar. „Diese sind zumeist auf externe Dienstleister angewiesen, tragen aber am Ende selbst den Großteil der datenschutzrechtlichen Verantwortung für ihre Webseiten. Damit in solchen Fällen die Verantwortlichkeiten klar sind und auch bei einer Verarbeitung personenbezogener Daten durch Dritte die Rechte der Betroffenen gewahrt werden, macht die Datenschutz-Grundverordnung Vorgaben für die Gestaltung der Verträge mit den Dienstleistern.“
Die von den Datenschutzaufsichtsbehörden erstellte Checkliste soll den Verantwortlichen auch zur Orientierung bei der Gestaltung ihrer Verträge dienen und ist insoweit als Hilfestellung gemeint, um die Verantwortlichen zu unterstützen, wie die Aufsichtsbehörden erklären. Zu finden ist die sehr ausführliche Checkliste unter anderem bei der Berliner Aufsichtsbehörde.
Die 20 Seiten lange Checkliste sieht zwar nach einigem Aufwand aus, sie hilft aber bei der Wahrnehmung der Verantwortung für den Datenschutz bei Auftragsverarbeitung, da sie fehlende Regelungen zum Beispiel in Hosting-Verträgen offenlegen kann, und für diese womöglich fehlenden Regelungen sind eben (auch) die Unternehmen als Auftraggeber verantwortlich, denn eigentlich darf man einen solchen Vertrag gar nicht abschließen, um die DSGVO einhalten zu können.
So besagt die DSGVO: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Ohne vertragliche Regelungen zum Datenschutz wird dies aber kaum möglich sein.
(ID:48608636)
:quality(80)/p7i.vogel.de/wcms/a6/e7/a6e79685df1c2e2dab4a6c038835c69e/0108698525.jpeg "Die Datenschutzkonferenz (DSK) hat eine Bewertung zru Frage veröffentlicht, ob man nach EU-Recht Microsoft 365 datenschutzrechtskonform betreiben kann. (Bild: Benjamin Haas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/89/4f8908e1dd85667270a529608a4dd970/0107729660.jpeg "Der Datenschutz hat ein Nachweis-Problem. Darum ist eine DSGVO-Zertifizierung so wichtig und begehrt. (Bild: mixmagic - stock.adobe.com)")