Ist mein Service Provider DSGVO compliant?

Das Schreckgespenst DSGVO geistert umher. Im Mai 2018 ist es soweit: Die neuen Richtlinien der Europäischen Union zum Schutz personenbezogener Daten treten in Kraft. Eine gute Sache, schließlich sind unsere Daten eins der wertvollsten Güter im 21. Jahrhundert. Ein Schreckgespenst ist die DSGVO aber vor allem wegen der drastisch erhöhten Strafzahlungen, die nun bei Nichteinhaltung fällig werden. Klar, dass hier alle besorgt sind: Was muss alles beachten werden und wird auch nichts übersehen zur Einhaltung der neuen Gesetze?

Immer wieder wird an uns die Frage gerichtet: Inwiefern kann der Service Provider bei der Einhaltung der Datenschutzgrundverordnung helfen und welche Dinge sind auf Hosting-Seite eben gerade bei virtuellen Systemen (Clouds) zu beachten? Wir haben dazu den Anexia Datenschutz Experten Christian Maciossek (Head of Transition & Service Design) gefragt.




 

Christian, was ist die DSGVO und welche Änderungen bringt sie?

Die DSGVO ist die neue Datenschutzrichtline der Europäischen Organisation, die im Mai 2018 nach einer Karenzzeit von zwei Jahren aktiv wird. Die DSGVO dient zum Schutz der personenbezogenen Daten und bringt eine einheitliche Regulierung für ganz Europa. Speziell in Deutschland und Österreich gab es schon ein sehr strenges Datenschutzgesetz, dadurch ändert sich in diesen beiden Ländern nichts maßgeblich.

 

Vor welchen Herausforderungen stehen Service Provider wie Anexia?

Service Provider wie Anexia müssen sicherstellen, dass sie einen sehr hohen Sicherheitsstandard gewährleisten. Für uns bedeutet das, dass sowohl unsere eigenen Rechenzentren, als auch die Rechenzentren unserer Partner unseren Sicherheitsvorgaben entsprechen. Dies gewährleisten wir unter anderem mit den Zertifizierungen der ISO 27001 und 9001, mit denen auch den Grundbaustein für die Einhaltung der DSGVO abgelegt haben.

Auch haben wir durch den Zukauf der SSP Europe unser Securityportfolio erweitert. Wir sind nun in der Lage, unseren Kunden ein breites Spektrum anzubieten um ihre System zu sichern. Gleichzeitig versuchen wir DDoS Attacken oder ähnliche Angriffe auf unsere Rechenzentren frühzeitig zu erkennen. Dazu haben wir mit dem Projekt Backbone Europe unser Netzwerk massiv ausgebaut.

 

Was bedeutet die DSGVO für unsere Kunden?

Gerade in unmanaged Situationen sind unsere Kunden selber gefragt, um die Einhaltung der DSGVO sicherzustellen. Es ist wie bei einer Autovermietung: wir sorgen dafür, dass das Auto TÜV hat und in einem sicheren Zustand und gewartet ist. Allerdings können wir nicht verhindern, dass jemand mit dem Fahrzeug zu schnell fährt. Und ähnlich verhält es sich mit personenbezogenen Daten, zum Beispiel bei virtuellen Maschinen (VM): Hier arbeiten wir mit einem Container-System. Wir wissen, dass ein Container existiert, wir kennen aber nicht immer den Inhalt. Deshalb ist es wichtig, dass sich auch unsere Kunden, speziell bei unmanaged Situationen als auch teilweise die Kunden unserer Kunden mit den aktuellen Datenschutzgesetzen auseinandersetzen.

 

Wo gibt’s Infos zur DSGVO?

Wer Informationen zur DSGVO sucht, findet Infomaterial beispielsweise auf der Webseite des BSI, des deutschen Bundesministeriums für Sicherheit in der Informationstechnik. Dort gibt es Ratgeber dazu, welche Regularien entsprechend umzusetzen sind: Welche Art der Festplattenverschlüsselung wird empfohlen? Wie lange und wie komplex sollten Passwörter sein? usw.

Da es in Deutschland schon lange sehr strenge Datenschutzgesetze gibt, hat gerade das deutsche BSI gute Tipps zum Schutz personenbezogener Daten.

 

Was bedeutet die DSGVO für Zusammenarbeit mit den USA?

Das ist ein spannendes Thema. Tatsächlich geht mit der Einführung der neuen Richtlinien auch eine Änderung im Übereinkommen mit den USA einher: Das Safe Harbour Abkommen ist durch die neue DSGVO hinfällig und heißt nun Privacy Shield. Der Umgang mit personenbezogenen Daten in den USA und in Europa bleibt aber ein empfindliches Thema. Das zeigt sich zum Beispiel auch in der Entscheidung von Marktführern wie IBM. Dort hat man Anfang des Jahres entschieden, die europäische und die US-amerikanische Cloud zu trennen und zwei Betriebsmannschaften einzusetzen. Somit wird sichergestellt, dass kein IBM-Mitarbeiter in den USA Zugriff auf Systeme von europäischen Kunden hat.

Auch für unsere Kunden der Anexia World Wide Cloud (WWC) ist dies ein heißes Thema. Wir können aber garantieren: Anexia sorgt mit Operations-Mannschaften, die in Deutschland und Österreich angesiedelt sind dafür, dass unser Personal, unsere Anexianer entsprechende Datenschutzgrundverordnungskenntnisse besitzen und der Schutz von personenbezogenen Daten, soweit für uns möglich, sichergestellt ist.


Bei weiteren Fragen zur DSGVO und der Verantwortung, die Ihr Service Provider dabei übernimmt, stehen wir gerne zur Verfügung: dsgvo@anexia-it.com.