Wie können sich Managed Service Provider für die DSGVO wappnen?

Autorin dieses Beitrages ist Deema Freij, Associate General Counsel und Global Privacy Officer bei Carbonite, der Muttergesellschaft von MailStore.

Managed Service Provider (MSPs), deren Portfolio beispielsweise E-Mail-Archivierung-as-a-Service auf Basis unserer MailStore Service Provider Edition (SPE) umfasst, fragen uns oder unsere Vertriebspartner oft, wie sie sich für die DSGVO wappnen können. Die entsprechenden Maßnahmen, um den Vorgaben aus der DSGVO zu entsprechen, müssen jedoch individuell und von Fall zu Fall definiert werden. Wir können Ihnen daher leider keine Beratung in Rechtsfragen geben (bitte wenden Sie sich für eine Rechtsberatung an Ihre Rechtsabteilung oder Ihre externen Juristen). Allerdings können wir Ihnen Orientierungshilfen auf Grundlage bisheriger Erfahrungen rund um das Thema DSGVO bereitstellen.

Im Folgenden finden Sie eine Liste ausgewählter Aspekte, die Sie grundsätzlich berücksichtigen sollten, um sich für die DSGVO zu wappnen:

1. Datensicherheitsstrategie – Richtlinien und Schulung von Mitarbeitern

Selbst die sichersten Umgebungen können unsichere Faktoren beherbergen, wenn Ihre Mitarbeiter nicht für das Konzept des Datenschutzes sensibilisiert und entsprechend geschult sind. Stellen Sie sicher, dass Sie Schulungen für Ihre Mitarbeiter organisieren und dass sie regelmäßig, beispielsweise jährlich, an Schulungen zum Datenschutz und zur Datensicherheit teilnehmen. Innerhalb Ihres Unternehmens sollte ein strenges Datenschutzprogramm vorhanden sein, das durch Richtlinien gestützt wird.

2. Bestellung eines Datenschutzbeauftragten oder -verantwortlichen

Da es besondere Regelungen gibt, die sich in regulierten Branchen wie dem Gesundheits- oder Finanzwesen von der DSGVO unterscheiden, sollten Sie eventuell einen internen oder externen Ansprechpartner benennen, an den sich Ihre Kunden zur Besprechung ihrer individuellen Anforderungen wenden können. Einige Unternehmen sind rechtlich dazu verpflichtet, Datenschutzbeauftragte zu bestellen. Selbst wenn diese Verpflichtung nicht für Sie gilt, ist es immer eine gute Idee, sich an eine für den Datenschutz verantwortliche Person wenden zu können. Ihrem externen Umfeld zeigen Sie damit, dass Sie den Datenschutz ernst nehmen.

3. Wie werden Zugriffsanfragen betroffener Personen bearbeitet?

Die Rechte betroffener Personen wurden durch die DSGVO gestärkt und bilden ein zentrales Thema in dieser Rechtsvorschrift zum Datenschutz. Gehen Sie jedes dieser Rechte durch, und stellen Sie sicher, dass Sie über Strategien verfügen, um Anfragen betroffener Personen zu bearbeiten. Anfragen von betroffenen Personen erfolgen unter anderem im Rahmen der folgenden Rechte:

  • Zugriff
  • Löschung
  • Berichtigung
  • Datenübertragbarkeit

4. Datenschutzverletzungen

Liegt in Ihrem Unternehmen eine Richtlinie für Reaktionen für den Fall einer Verletzung des Datenschutzes durch eine Datenpanne vor? Ist eine Struktur von Personen vorhanden, die wissen, wie bei einer Panne vorzugehen ist? Sollte ein solcher Fall eingetreten sein, müssen Sie schnell handeln und den in Ihrem Krisenplan aufgeführten Prozess befolgen, zum Beispiel:

  • Genauen Sachverhalt des Zwischenfalls ermitteln
  • Interne Ansprechpartner benachrichtigen
  • Das Datenleck als Ursache des Verstoßes eindämmen und beheben
  • Betroffene Systeme wiederherstellen
  • Interne und externe Kommunikationsstrategie herausarbeiten
  • Neben dem oben Genannten: Prüfen, ob betroffene Parteien und/oder Behörden informiert werden müssen, und aktiv kooperieren

Stellen Sie Folgendes sicher, um Datenschutzverstößen vorzubeugen und diese zu minimieren:

  • Umsetzung technischer Maßnahmen (sogenannte TOMs – technical and organisational Measures), z. B. Verschlüsselung von gespeicherten Daten und während der Übertragung
  • Umsetzung organisatorischer Maßnahmen, zum Beispiel eines Vier-Augen-Prinzips

Haben Sie Zugriff auf Kundendaten?

Wenn Sie als Service Provider die Daten Ihrer Kunden verarbeiten oder administrieren, sollte höchstwahrscheinlich eine Vereinbarung zur Verarbeitung personenbezogener Daten mit dem Kunden vorliegen – ein Auftragsverarbeitungsvertrag (AVV) . Wird ein Drittanbieter zur Unterstützung eingesetzt? Wenn dies der Fall ist, erhalten Sie weitere Informationen im folgenden Abschnitt zur Überprüfung von Drittanbietern bzw. Dienstleistern:

Setzen Sie als MSP Ihre eigene Infrastruktur ein?

Bei MSPs ohne eigene Infrastruktur (z.B. mit einem angemieteten Rechenzentrum) spielen Drittanbieter eine wichtige Rolle im Geschäftsmodell. Das Lieferantenmanagement bildet einen sehr wichtigen Teil der DSGVO. Organisationen müssen ihre Anbieter ordnungsgemäß überprüfen und sicherstellen, dass sie über die entsprechenden Richtlinien verfügen, um DSGVO-Anforderungen umzusetzen. Hilfreiche Fragen zur Überprüfung von Anbietern:

  • Schulen Sie Ihre Mitarbeiter regelmäßig zu Datenschutz und Datensicherheit?
  • Welche Datensicherheits- und Datenschutzmaßnahmen setzen Sie zum Schutz personenbezogener Daten ein?
  • Können Sie Anfragen zur Löschung von Kundendaten bearbeiten? Wenn ja, wie schnell? Handelt es sich um einen automatisierten oder einen manuellen Prozess?
  • Haben Dritte Zugriff auf die Daten Ihrer Kunden?
  • Welche Schutzmaßnahmen und Protokolle gegen Datenpannen setzen Sie ein?
  • Wie einfach ist es, Daten zu exportieren? Sind alle Daten bereit für Anfragen zur Datenübertragbarkeit?
  • Wo befindet sich das von Ihnen eingesetzte Rechenzentrum? Werden Daten an Stellen außerhalb des EWR (Europäischer Wirtschaftsraum) übertragen? Wenn dies der Fall ist: auf welcher Rechtsgrundlage? Standardvertragsklauseln/Privacy Shield usw.? Benötigen Sie einen Vertrag über die Auftragsdatenverarbeitung von personenbezogenen Daten bzw. liegt eine solche Vereinbarung vor?

Unser Partner EBERTLANG hat vor einiger Zeit ein sehr informatives Interview mit einem Datenschutzexperten zum Thema E-Mail-Archivierung und Datenschutz veröffentlicht. In diesem geht es unter anderem auch um die Situation von Managed Service Providern. Obwohl wir empfehlen, das Video komplett zu schauen, können ungeduldige MSPs gerne bis zur Minute 5 vorspulen.

An der MailStore SPE interessierte Service Provider können sich hier kostenlos registrieren und erhalten alle relevanten Informationen inklusive Zugang zu einer kostenlosen Testversion.

Teilen

Ihr Kommentar