Wenn Daten von Unternehmen gespeichert und verarbeitet werden, ist das ein sensibles Thema. Die DSGVO muss zwingend eingehalten werden und besonders wenn Daten bei externen Dritten wie einem Rechenzentrum gespeichert werden, ist Vorsicht geboten. Denn nicht jedes Rechenzentrum garantiert die Einhaltung der Verordnung. Hier erfahren Sie, wie Sie ein dsgvo-konformes Rechenzentren auswählen und technische Sicherheitsmaßnahmen umsetzen, um maximale Datensicherheit zu gewährleisten.
Rechenzentren gibt es viele – doch nicht alle entsprechen den hohen Sicherheits- und Datenschutzstandards, die die Datenschutz-Grundverordnung (DSGVO) vorschreibt. Denn obwohl die DSGVO keine spezifische Verordnung für Rechenzentren ist, hat sie auch auf diese weitreichende Auswirkungen – insbesondere wenn es um die Speicherung und Verarbeitung sensibler Daten geht. Wenn Sie also die Entscheidung getroffen haben, Teile Ihrer Unternehmens-IT in ein externes Rechenzentrum auszulagern, achten Sie besonders auf Qualitätsunterschiede im Hinblick auf Sicherheit, um eine dsgvo-konforme Verarbeitung zu gewährleisten.
Die Anforderungen der DSGVO
Bevor Sie sich für ein Rechenzentrum entscheiden, sollten Sie sich mit den Anforderungen der DSGVO vertraut machen, die diese an die Speicherung von Daten in Rechenzentren stellt. Dazu gehören unter anderem:
Checkliste
Um Ihnen bei dem Entscheidungsprozess für ein sicheres Rechenzentrum zu helfen, finden Sie hier eine detaillierte Checkliste mit Kriterien, die bei der Auswahl berücksichtigt werden sollten:
Serverstandort und Datenverarbeitung: Personenbezogene Daten müssen innerhalb der EU oder in einem Drittland mit angemessenem Datenschutzniveau gespeichert werden. Falls Daten in Drittländer übermittelt werden, müssen rechtliche Grundlagen wie Standardvertragsklauseln oder Angemessenheitsbeschlüsse erfüllt werden.
Technische und organisatorische Maßnahmen: Die DSGVO schreibt vor, dass Unternehmen geeignete Sicherheitsmaßnahmen ergreifen müssen, um Daten zu schützen. Hierzu zählen Verschlüsselung, Pseudonymisierung und Zugriffskontrollen.
Verantwortlichkeit und Nachweisbarkeit: Unternehmen müssen die Datenschutzmaßnahmen nicht nur dokumentieren, sondern auch in der Lage sein, die Wirksamkeit nachzuweisen. Bei einer Verarbeitung mit hohem Risiko ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich.
Auftragsverarbeitung (AVV) und Verträge: Sobald ein Unternehmen personenbezogene Daten in einem externen Rechenzentrum verarbeitet, muss eine Auftragsverarbeitungsvereinbarung abgeschlossen werden. Diese regelt die Verantwortlichkeiten und Datenschutzmaßnahmen.
Meldepflicht bei Datenschutzverletzungen: Für den Fall, dass es zu einem Datenschutzverstoß kommt, besteht eine gesetzliche Verpflichtung, diese an die zuständige Aufsichtsbehörde zu melden. Hierfür steht ein Zeitfenster von 72 Stunden zur Verfügung. Falls ein hohes Risiko für die betroffenen Personen besteht, müssen auch diese informiert werden.
Betroffenenrechte und Datenzugriff: Die DSGVO umfasst das Recht auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit. Sofern keine gesetzliche Aufbewahrungspflicht besteht sind Unternehmen verpflichtet, diese Rechte umzusetzen.
Sicherheitsmaßnahmen im Rechenzentrum: Rechenzentren müssen physische Sicherheitsmaßnahmen umzusetzen, die die personenbezogene Daten vor Bedrohungen wie zum Beispiel Einbruch, Feuer oder Naturkatastrophen schützen. Zu diesen Sicherheitsmaßnahmen gehören unter anderem Zugangskontrollen und Notfallpläne.
Es wird deutlich: Die DSGVO stellt hohe Anforderungen, wenn es um die Verarbeitung personenbezogener Daten geht. Doch wie können Sie bei der Wahl Ihres Rechenzentrums sicher sein, dass all diese Vorschriften eingehalten werden? Im folgenden erfahren Sie Schritt-für-Schritt, wie Sie ein DSGVO-konformes Rechenzentrum auswählen und nutzen und auf welche weiteren Aspekte Sie achten sollten.
Sicherheit und Datenschutz: Unser oberstes Gebot
Mit unserem ausschließlich in Deutschland betriebenen Hochverfügbarkeits-Rechenzentrum erfüllen wir strengste Datenschutz- und Sicherheitsanforderungen, die dem ISO 27001-Standard entsprechen.
Schritt für Schritt zum sicheren Rechenzentrum
Schritt 1: Die Standortwahl
Um sicherzustellen, dass die personenbezogenen Daten innerhalb der EU oder in einem Drittland mit angemessenem Datenschutzniveau gespeichert werden, ist es empfehlenswert, Rechenzentren in Deutschland oder der EU zu nutzen. Falls ein Anbieter außerhalb der EU genutzt wird, müssen Standardvertragsklauseln oder Binding Corporate Rules vorhanden sein. Ein Rechenzentrum mit Sitz in der EU bietet jedoch die höchste Rechtssicherheit.
Lesen Sie hierzu auch: “Sichere Datenhaltung: Darum gehören Ihre Daten in ein deutsches Rechenzentrum”:
Schritt 2: Zertifizierungen prüfen
Ein seriöses Rechenzentrum sollte über relevante Zertifizierungen verfügen, um die Einhaltung von Sicherheitsstandards nachzuweisen. Achten Sie auf folgende Zertifizierungen:
- die DIN EN 50600 für einen ganzheitlichen Ansatz bei Planung, Bau und Betrieb von Rechenzentren,
- die ISO/IEC 27001 & ISO/IEC 27002 für Informationssicherheitsmanagement,
- die ISO 30134, welche Aspekte der Energieeffizienz und Nachhaltigkeit umfasst,
- die ISO 22237, die internationale Standards zur Verfügbarkeit und Sicherheit um Aspekte der Energieeffizienz und Nachhaltigkeit ergänzt,
- die TIER-Klassifizierung I-IV des Uptime Instituts zur Bewertung der Verfügbarkeit und des Aufbaus sowie
- die VDE/VdS-Vorschriften für technische Sicherheitsstandards.
Schritt 3: Verträge und Dokumentation sicherstellen
Falls Sie personenbezogene Daten in einem externen Rechenzentrum speichern möchten, ist eine Auftragsverarbeitungsvereinbarung (AVV) erforderlich. Diese regelt, welche Daten verarbeitet werden, welche Sicherheitsmaßnahmen gelten und welche Pflichten der Anbieter übernimmt. Dokumentieren Sie alle relevanten Sicherheitsmaßnahmen und stellen Sie sicher, dass Verträge regelmäßig aktualisiert werden.
Schritt 4: Technische Sicherheitsmaßnahmen prüfen und umsetzen
Um Datenschutzverletzungen zu vermeiden, stellen Sie sicher, dass sowohl das gewählte Rechenzentrum als auch Ihr Unternehmen folgende technische Maßnahmen umsetzt:
- Ende-zu-Ende-Verschlüsselung
- Zugriffsmanagement mit Multi-Faktor-Authentifizierung (MFA)
- Firewalls, Intrusion Detection und regelmäßige Sicherheitsupdates
- Backups und Disaster-Recovery-Pläne
- Monitoring und Audit-Protokolle
Schritt 5: Datenschutz-Folgenabschätzung (DSFA) durchführen
Eine DSFA ist “immer dann erforderlich, wenn eine geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.” (bfdi.bund.de)
Falls Sie also planen, besonders sensible oder große Mengen personenbezogener Daten zu verarbeiten, sollten Sie vor der Nutzung des Rechenzentrums eine DSFA durchführen.
Schritt 6. Meldepflichten und Notfallpläne sicherstellen
Das Rechenzentrum muss Mechanismen haben, um Datenschutzverletzungen schnell zu erkennen und zu melden. Sie sollten sich deshalb vertraglich absichern, dass das Rechenzentrum über Sicherheitsvorfälle innerhalb kürzester Zeit informiert, damit Sie ihrer eigenen Meldepflicht gegenüber den Aufsichtsbehörden nachkommen können.
Datenschutzkonform durch systematische Vorgehensweise
Die Wahl eines DSGVO-konformen Rechenzentrums erfordert eine systematische Vorgehensweise. Durch das Verständnis der Anforderungen, die Wahl eines zertifizierten Anbieters, technische Sicherheitsmaßnahmen und eine saubere Dokumentation stellen Sie sicher, dass Ihre Daten gesetzeskonform und sicher gespeichert werden. Nutzen Sie diese Checkliste mit Kriterien für die Auswahl eines sicheren Rechenzentrums, um Datenschutzrisiken zu minimieren und Ihre Rechtssicherheit zu maximieren.
Über den Autor
Frank Böttcher ist COO und Geschäftsführung von BW-Tech. Als Betreiber eines deutschen Hochverfügbarkeits-Rechenzentrum steht für ihn sichere Datenhaltung an der Tagesordnung.
