Interview: Die Rolle des Datenschutzes bei Managed Services

Bald ist das Service Provider Event MSP GLOBAL 2023, das vom 14. – 16. November am Nürburgring stattfindet. Zentrale Themen werden dort auch Sicherheit und Datenschutz sein. Wir haben mit einem Service Provider gesprochen, um die Bedeutung des Datenschutzes aus Anbietersicht zu hinterfragen.

Welche Rolle spielt der Datenschutz bei der Anbieter- und Serviceauswahl der Kunden?

Dennis Möllenbruck: Eine stetig wachsende! An erster Stelle stehen immer noch Funktionen und Wirtschaftlichkeit. Doch durch die Einführung der DSGVO und der begleitenden Berichterstattung im Verlauf der letzten Jahre bekommt die Bewertung der Funktionen zum Datenschutz einen immer höheren Stellenwert. Nicht zuletzt, weil sie auch von Mitarbeitern und Verbrauchern immer mehr eingefordert werden. Besonders bei größeren Kunden mit eigenen Compliance- und Datenschutzbeauftragen stehen die Anforderungen aus dem Datenschutz direkt hinter der IT-Sicherheit unter den Top 5.

Was erwarten Kunden als Datenschutznachweis?

Im Minimum werden vollständige Verträge zur Auftragsverarbeitung und eine aussagekräftige Dokumentation der technischen und organisatorischen Maßnahmen vorausgesetzt. Seit Schrems 2 gehören dazu auch eine Übersicht der Datenflüsse und Sicherungsmechanismen gegen Fremdzugriffe. Auch hier gilt, je größer der Auftraggeber, desto größer auch die Anforderungen an den Nachweis zu den vereinbarten Maßnahmen. Externe Auditnachweise oder gar ein Zertifikat nach ISO 27001 sind dort gern gesehen.

Wie kann ein Anbieter den Kunden im Bereich Datenschutz helfen?

Neben den vorgenannten Nachweisen liefern wir ein umfangreiches, zum jeweiligen Service passendes “Datenschutzpaket”. Wenn etwa Informationspflichten an Endkunden oder Mitarbeitern zu erfüllen sind, liefern wir unseren Kunden die Vorlagen dazu gleich mit und unterstützen bei der Anpassung. Bei umfangreichen Verarbeitungen oder Drittlandübertragungen z.B. in die USA erstellen wir eine generische Risikoanalyse für den Betrieb, auf der unsere Kunden dann ihre Datenschutzfolgenabschätzungen aufbauen können. Das freut die Datenschutzverantwortlichen und sichert uns ein zügiges Onboarding. Beim Ausarbeiten neuer Services sollten Themen wie Mandantentrennung, sicherer Datenaustausch, Prinzip der geringsten erforderlichen Berechtigungen (need to know) und Löschfunktionen für nicht mehr erforderliche Daten von vornherein berücksichtigt werden.

Welche Datensicherheitsfunktionen sind bei Kunden besonders gefragt?

An erster Stelle stehen hier eine konsistente Datensicherung und ein gut differenzierbares Benutzer- und Berechtigungskonzept, dicht gefolgt von der Verschlüsselung bei der Datenübertragung. Zusammen mit dem Malwareschutz sind das die Themen, die durch die Berichterstattung zu Cyberangriffen und Unternehmenshacks mittlerweile immer auf der Agenda sind. Wir empfehlen zusätzlich wo nötig für möglichst jede Anmeldung eine Zwei Faktor Authentifizierung und risikoabhängig gegebenenfalls weitere Zugriffsreglementierungen zu nutzen. Zudem sollte auch immer die Verschlüsselung bei der Datenspeicherung Beachtung finden.

Und was müssen Kunden beim Einsatz von Managed Services in puncto Datenschutz selbst beachten?

Abhängig vom Service sind teilweise umfangreiche Informationspflichten gegenüber Mitarbeitern und Kunden zu erbringen, eventuell Einwilligungen einzuholen und Verarbeitungsrisiken zu bewerten. Wir können als MSP-Anbieter hier Vorlagen beibringen und Hinweise geben. Die Umsetzungspflicht liegt immer beim Auftraggeber. Besonders auch im Hinblick auf Änderungen und Serviceerweiterungen im Betrieb, die dann weitere Maßnahmen erforderlich machen. Daher sollte jeder Change von einem Datenschutzexperten begleitet werden, der idealerweise bereits mit wesentlichen Anforderungen eines MSP-Betriebs vertraut ist.

Dennis Möllenbruck, Gesellschafter und Geschäftsführer bei der KRK ComputerSysteme GmbH

Dennis Möllenbruck, Gesellschafter und Geschäftsführer bei der KRK ComputerSysteme GmbH und der secom IT GmbH. KRK ist ein Systemhaus mit 30 Mitarbeitenden und bietet Managed Services im Bereich Infrastruktur, Microsoft 365, Azure und IT-Security für Kunden mit 10 – 1500 Beschäftigten. Die secom IT ist auf Beratungsdienstleitungen im Datenschutz und Informationssicherheit spezialisiert und betreut aktuell 125 Mandanten im gesamten Bundesgebiet und Österreich.

Oliver Schonschek

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

22 Stunden ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago