Qualitative Marktbefragung unter Hosting-Anbietern zum Angebot einer Auftragsdatenverarbeitung

Transkript

1 Qualitative Marktbefragung unter Hosting-Anbietern zum Angebot einer Auftragsdatenverarbeitung Bericht von Mathias Reinis, Fa. Audit Bonn, 9.Oktober , Bonn Bei Hinweis auf den Copyright-Inhaber/Urheber darf dieser Bericht und die enthaltenen Grafiken auszugsweise verwendet werden. Darüber hinausgehende Verwendung bedarf unseres schriftlichen Einverständnisses. Seite 1

2 Management Summary Dieser Bericht erfolgt auf Basis einer Umfrage unter Webhostern, die in Juli und August 2013 durchgeführt wurde. Von 42 befragten Unternehmen antworteten 24. Hiervon erfüllten 1 Anbieter die Selektionskriterien (dedizierter Server, gehostet in Deutschland und ADV 1) möglich) Der Abschluss eines ADV-Vertrages zum Hostingvertrag ist in der Regel kostenfrei, kann aber auch mit signifikanten Zusatzkosten einhergehen. Es ist jedem Auftraggeber dringend zu empfehlen, sich vor Abschluss des Hosting-Vertrages nach den möglichen Kosten für den Abschluss des ADV-Vertrages zu erkundigen. Zusatzaufgaben, die über das Hosting hinaus gehen und sich aus der Auftragsdatenverarbeitung ergeben, werden regelmäßig nach Aufwand berechnet. Eine sichere Datenlöschung nach Auftragsende scheint nicht der Regelfall zu sein, kann aber zumeist beauftragt werden. Einzelne Anbieter versuchen, eine körperliche Kontrolle der Verarbeitung vor Ort durch den Auftraggeber vertraglich zu unterbinden. Eine solche Vereinbarung sollte auf keinen Fall abgeschlossen werden. 1) ADV = Auftragsdatenverarbeitung Seite 2

3 Inhaltsverzeichnis Management Summary Rahmeninformationen Umfang der Befragung Zahl der Anbieter nach den Stufen der Vorselektion Ist der Vertrag zur Auftragsdatenverarbeitung mit Kosten verbunden? Besteht eine Zertifizierungen zur IT Sicherheit? Bereitstellung von Vertragsmustern zur Auftragsdatenverarbeitung? Dabei: Unterstützung bei der Umsetzung der Betroffenen-Rechte? Regelung zur Datenvernichtung nach Vertragsende? Kontrollmöglichkeit durch den Auftraggeber Seite 3

4 Rahmeninformationen zu unserer Befragung Der nachfolgende Bericht basiert auf Auswertung einer Umfrage zur Interessensbekundung (RfI), die die Datenschutzberatung Audit (R) aus Bonn für einen ihrer Mandanten durchgeführt hat. Primäres Ziel dieser Umfrage sollte es sein, mehrere Anbieter als Lieferanten zu identifizieren, mit denen ein Cloud-basierter Dienst für Geschäftskunden im Geschäftsmodell Software as a Service (SaaS) umgesetzt werden kann, der mit personenbezogenen Daten von mittlerem Schutzbedarf umgeht. Die Umfrage wurde von Ende Juli bis Mitte August 2013 durchgeführt. Es wurden 42 Anbieter angeschrieben, die aus spezialisierten Listen zum Thema Webhosting und aus der aktuellen Werbung identifiziert wurden. Da die Gesamtgröße dieses Marktsegmentes nicht hinreichend erforscht ist, kann diese Marktbefragung nicht als repräsentativ angesehen werden. Seite 4

5 Umfang der Befragung Im Rahmen der Anfrage wurde den Unternehmen mitgeteilt, dass Anbieter gesucht werden die 1. dedizierte Server zur Anmietung anbieten, 2. den Server-Standort in Deutschland zusichern können und 3. bereit sind, mit dem Auftraggeber einen Vertrag zur Auftragsdatenverarbeitung gemäß 11 BDSG einzugehen. Ergänzend baten wir um Aussage, ob 4. der Vertrag zur Auftragsdatenverarbeitung bereits mit den AGB-Preisen der Hosting-Leistung abgedient sei, oder welche Zusatzkosten zu berücksichtigen sind. Wir baten um Auskunft, ob. das verwendete Rechenzentrum hinsichtlich Sicherheit zertifiziert sei und nach welchen Regeln. Sofern der Anbieter bereits einen Mustervertrag vorliegen hätte, baten wir auch darum, uns diesen zur inhaltlichen Prüfung zu überlassen. Seite

6 Zahl der Anbieter nach den Stufen der Vorselektion (1 von 2) 1. Rückmeldequote Von den insgesamt 42 angeschriebenen Anbietern antworteten insgesamt 24 Anbieter auf unsere Anfrage. 2. Übereinstimmung mit der angefragten Basisleistung Von den 24 antwortenden Anbietern bestätigten 17 Anbieter, auch dedizierte Server zur Anmietung im Angebot zu haben. 3. Übereinstimmung mit dem gewünschten Standort Von den 17 Anbieter dedizierter Server sichern 1 Anbieter zu, dass der Server einen Standort in einem Rechenzentrum in Deutschland hat. 4. Bereitschaft zum Abschluss eines Vertrag zur Auftragsdatenverarbeitung Von den 1 Hosting-Anbietern von dedizierten Servern mit Standort in Deutschland erklärten alle ihre Bereitschaft, hierzu auch einen Vertrag zur Auftragsdatenverarbeitung abschließen zu wollen. Seite 6

7 Zahl der Anbieter nach den Stufen der Vorselektion (2 von 2) Auswahlfilter bei der Bewertung Anzahl der Anbieter Angeschriebene Anbieter Antwortende Anbieter Dedizierte Server Anbieter Anbieter dediz. Server in D bereit zu ADV-Vertrag 2013, Bonn Seite 7

8 . Ist der Vertrag zur Auftragsdatenverarbeitung mit Kosten verbunden? (1 von 2) Zusatzkosten für ADV-Vertrag? (n=1) Anbieter keine Zusatzkosten signifikante Zusatzkosten Von den 1 Hosting-Anbietern von dedizierten Servern mit Standort in Deutschland erklärten 8 Anbieter ausdrücklich, für den Abschluss des Auftragsdatenverarbeitungsvertrages (ADV-Vertrag) keine Kosten zu verlangen. 3 ADV nur mit SLA unbeantwortet 2013, Bonn 2 Seite 8

9 . Ist der Vertrag zur Auftragsdatenverarbeitung mit Kosten verbunden? (2 von 2) Ein Anbieter erwartet den begleitenden Abschluss einer Service Level Vereinbarung (SLA) als Koppelgeschäft. Ein weitere Anbieter den Gesamtaufwand für die Aushandlung des ADV-Vertrages vom Auftraggeber ersetzt bekommen, welchen er mit Euro veranschlagt hat. Zwei Anbieter veranschlagen eine Abschlusspauschale, verbunden mit laufenden Gebühren für die Dauer des Vertrages. In dem einen Fall wird der Vertrag auf alle Server des Kunden zu einmalig 20 Euro und 8 Euro/ Monat angeboten. In dem anderen Fall als Vertrag pro Server zu einmalig 99 Euro und zusätzlich 99 Euro/Vertrag und Jahr. Zwei Anbieter ließen diese Frage unbeantwortet. Seite 9

10 6. Besteht eine Zertifizierungen zur IT Sicherheit? 6 Ist das RZ zertifiziert? (n=1) 1 1 nach ISO o.vergl. ISO angestrebt Testat von Sachverständigem keine Zertifizierung 2013, Bonn 7 Von den 1 Hosting-Anbietern von dedizierten Servern mit Standort in Deutschland erklärten 7 eine Zertifizierung nach ISO oder vergleichbaren technischen Sicherheitsnormen *) absolviert zu haben. Ein Anbieter erwartet, in 2014 die Zertifizierung abgeschlossen zu haben, ein weiterer verweist auf eine Sachverständigen-Prüfung mit Testat. *) Eine Zertifizierung nach BSI-Standard 100-x wurde dabei nicht angeführt. Seite 10

11 Bereitstellung von Vertragsmustern zur Auftragsdatenverarbeitung Wichtiger Hinweis: Der alleinige Sachverhalt, dass ein Anbieter keinen Mustervertrag vorlegen kann, darf nicht als Ausscheidungskriterium bei der Eignung angesehen werden. Rechtlich obliegt es dem Auftraggeber, die Regelungen auszuarbeiten nach denen er seine Datenverarbeitung zur Durchführung an Dritte beauftragt. Es kann aber die Ausarbeitung erleichtern, wenn der Auftragnehmer gerade bei nicht-individuellen Abläufen wie einem Server Hosting den eigenen Leistungsanteil bereits ausformuliert hat und insbesondere auch schon Hinweise auf die bei ihm bereits eingeführten technischen und organisatorischen Vorkehrungen geben kann. Seite 11

12 Bereitstellung von Vertragsmustern zur Auftragsdatenverarbeitung 7. Bereitstellung von Vertragsmustern zur Auftragsdatenverarbeitung Von den 1 Hosting-Anbietern von dedizierten Servern mit Standort in Deutschland waren 9 bereit, uns ihre Vertragsmuster zur Prüfung zu überlassen. Ein weitere Anbieter scheiterte beim Versuch der Herausgabe an internen Regeln, denen zur Folge das Vertragsmuster erst nach Buchung der Hosting- Kernleistung erfolgen durfte. Mustervertrag verfügbar? (n=1) 6 Muster vorgelegt kein Muster vorgelegt Mustervertrag vollständig? (n=9) Vollständigkeit der Pflichtparameter nach 11 BDSG Von den 9 vorgelegten Vertragsmustern waren die Regelungen in 7 der Vertragsmuster formal vollständig gegenüber den im Bundesdatenschutzgesetz geforderten Pflichtparametern. als formal vollständig anzusehen mit formalen Mängeln , Bonn Seite 12

13 10. Regelung zur Datenvernichtung nach Vertragsende Von den 9 vorgelegten Vertragsmustern sichern zwei eine sichere Vernichtung der Datenbestände auf den gehosteten Servern bereits für den Regelfall zu. Datenvernichtung nach Vertragsende (n=9) 2 2 Fünf weitere Vertragsmuster machen die Datenvernichtung von einem entsprechenden Auftrag durch den Auftraggeber und von einem Aufwandsersatz abhängig. sichere Vernichtung ist Regelfall abhängig von Auftrag und Kostenersatz kein ausreichende Regelung 2013, Bonn Es erscheint befremdlich, dass es in einem Geschäftssegment der Informationswirtschaft offenbar noch nicht zum Regelprozess gehört, Datenträger vor deren Wiederverwendung für andere Kunden zuverlässig von Datenresten der Vorbenutzer zu bereinigen. Seite 14

14 11. Kontrollmöglichkeit durch den Auftraggeber (1 von 2) Von den 9 vorgelegten Vertragsmustern gestatten fünf die direkt Ausübung der Vor-Ort-Kontrolle durch den Auftraggeber selbst, davon zwei sogar ohne Anspruch auf Kostenersatz. In den anderen drei Fällen soll der Auftraggeber die Arbeitszeit der involvierten Mitarbeiter vergüten. In zwei anderen Verträgen darf der Auftraggeber zwar nicht selbst zur Kontrolle erscheinen, er darf aber einen Sachverständigen beauftragen, dessen Aufwand er auch zu tragen hat. Kontrollbefugnisse des Auftraggebers (n=9) direkt und kostenfrei direkt bei Kostenersatz indirekt durch beauftragten SV nur durch vom AN benannten Dritten nur schriftlich 2013, Bonn 3 Seite 1

15 11. Kontrollmöglichkeit durch den Auftraggeber (2 von 2) Ein weiterer Vertragsentwurf gesteht dem Auftraggeber nur ein schriftliches Auskunftsverlangen zu. Eine körperliche Kontrolle ist hier nicht vorgesehen. Besonders negativ fällt ein Vertrag auf, bei dem es dem Auftragnehmer vorbehalten bleibt einen Sachverständigen zu benennen, der an Stelle des Auftraggebers und auf dessen Kosten die Kontrolle durchführen soll. Ohne eine persönliche und körperliche Kontrollmöglichkeit ist eine Verarbeitungsaufsicht durch den Auftraggeber faktisch unmöglich. In diesen Fällen verbietet sich die Auslagerung der Verarbeitung an den Auftragnehmer, und von der Anmietung von dedizierten Servern für personenbezogene Daten bei diesem Anbieter ist dringend abzuraten. Seite 16

16 Schlussfolgerungen Zumindest die Anbieter, die auf unsere Anfrage antworteten, scheinen sich ihrer Rolle bei der Umsetzung des Datenschutzes bewusst zu sein. Leider scheinen einzelne Anbieter am Zwang des Auftraggebers für einen Vertragsschluss zusätzlich verdienen zu wollen, was zumindest in einem der Fälle deutlich den Eindruck von Wucher hinterlässt. Bei der Ausgestaltung des Vertrages zur Auftragsdatenverarbeitung sollte der Auftraggeber insbesondere auch auf eine sichere Vernichtung der auf dem Server gespeicherten Daten und auf eine wirksame Regelung zur Wahrnehmung seiner Kontrollrechte Wert legen. Seite 17

17 Kontaktdaten Mathias Reinis Kurator der In Firma Audit Bonner Logsweg Bonn Telefon (0163) Seite 18