Interview: Die Rolle des Datenschutzes bei Managed Services
Datenschutz gilt unter Anwendern als Auswahlkriterium bei Managed Services. Doch was sagen Provider dazu? Wir haben Dennis Möllenbruck, Geschäftsführer bei der KRK ComputerSysteme GmbH und der secom IT GmbH, befragt.
Bald ist das Service Provider Event MSP GLOBAL 2023, das vom 14. – 16. November am Nürburgring stattfindet. Zentrale Themen werden dort auch Sicherheit und Datenschutz sein. Wir haben mit einem Service Provider gesprochen, um die Bedeutung des Datenschutzes aus Anbietersicht zu hinterfragen.
Welche Rolle spielt der Datenschutz bei der Anbieter- und Serviceauswahl der Kunden?
Dennis Möllenbruck: Eine stetig wachsende! An erster Stelle stehen immer noch Funktionen und Wirtschaftlichkeit. Doch durch die Einführung der DSGVO und der begleitenden Berichterstattung im Verlauf der letzten Jahre bekommt die Bewertung der Funktionen zum Datenschutz einen immer höheren Stellenwert. Nicht zuletzt, weil sie auch von Mitarbeitern und Verbrauchern immer mehr eingefordert werden. Besonders bei größeren Kunden mit eigenen Compliance- und Datenschutzbeauftragen stehen die Anforderungen aus dem Datenschutz direkt hinter der IT-Sicherheit unter den Top 5.
Was erwarten Kunden als Datenschutznachweis?
Im Minimum werden vollständige Verträge zur Auftragsverarbeitung und eine aussagekräftige Dokumentation der technischen und organisatorischen Maßnahmen vorausgesetzt. Seit Schrems 2 gehören dazu auch eine Übersicht der Datenflüsse und Sicherungsmechanismen gegen Fremdzugriffe. Auch hier gilt, je größer der Auftraggeber, desto größer auch die Anforderungen an den Nachweis zu den vereinbarten Maßnahmen. Externe Auditnachweise oder gar ein Zertifikat nach ISO 27001 sind dort gern gesehen.
Wie kann ein Anbieter den Kunden im Bereich Datenschutz helfen?
Neben den vorgenannten Nachweisen liefern wir ein umfangreiches, zum jeweiligen Service passendes “Datenschutzpaket”. Wenn etwa Informationspflichten an Endkunden oder Mitarbeitern zu erfüllen sind, liefern wir unseren Kunden die Vorlagen dazu gleich mit und unterstützen bei der Anpassung. Bei umfangreichen Verarbeitungen oder Drittlandübertragungen z.B. in die USA erstellen wir eine generische Risikoanalyse für den Betrieb, auf der unsere Kunden dann ihre Datenschutzfolgenabschätzungen aufbauen können. Das freut die Datenschutzverantwortlichen und sichert uns ein zügiges Onboarding. Beim Ausarbeiten neuer Services sollten Themen wie Mandantentrennung, sicherer Datenaustausch, Prinzip der geringsten erforderlichen Berechtigungen (need to know) und Löschfunktionen für nicht mehr erforderliche Daten von vornherein berücksichtigt werden.
Welche Datensicherheitsfunktionen sind bei Kunden besonders gefragt?
An erster Stelle stehen hier eine konsistente Datensicherung und ein gut differenzierbares Benutzer- und Berechtigungskonzept, dicht gefolgt von der Verschlüsselung bei der Datenübertragung. Zusammen mit dem Malwareschutz sind das die Themen, die durch die Berichterstattung zu Cyberangriffen und Unternehmenshacks mittlerweile immer auf der Agenda sind. Wir empfehlen zusätzlich wo nötig für möglichst jede Anmeldung eine Zwei Faktor Authentifizierung und risikoabhängig gegebenenfalls weitere Zugriffsreglementierungen zu nutzen. Zudem sollte auch immer die Verschlüsselung bei der Datenspeicherung Beachtung finden.
Und was müssen Kunden beim Einsatz von Managed Services in puncto Datenschutz selbst beachten?
Abhängig vom Service sind teilweise umfangreiche Informationspflichten gegenüber Mitarbeitern und Kunden zu erbringen, eventuell Einwilligungen einzuholen und Verarbeitungsrisiken zu bewerten. Wir können als MSP-Anbieter hier Vorlagen beibringen und Hinweise geben. Die Umsetzungspflicht liegt immer beim Auftraggeber. Besonders auch im Hinblick auf Änderungen und Serviceerweiterungen im Betrieb, die dann weitere Maßnahmen erforderlich machen. Daher sollte jeder Change von einem Datenschutzexperten begleitet werden, der idealerweise bereits mit wesentlichen Anforderungen eines MSP-Betriebs vertraut ist.
Dennis Möllenbruck, Gesellschafter und Geschäftsführer bei der KRK ComputerSysteme GmbH und der secom IT GmbH. KRK ist ein Systemhaus mit 30 Mitarbeitenden und bietet Managed Services im Bereich Infrastruktur, Microsoft 365, Azure und IT-Security für Kunden mit 10 – 1500 Beschäftigten. Die secom IT ist auf Beratungsdienstleitungen im Datenschutz und Informationssicherheit spezialisiert und betreut aktuell 125 Mandanten im gesamten Bundesgebiet und Österreich.