Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil C – Compliance

Datenschutz

Wie in Teil 3: "Rechtliche Aspekte beim Cloud Computing" beschrieben, sind zwei wesentliche datenschutzrechtliche Anforderungen zu beachten. Die Anforderungen aus § 11 Abs. 2 BDSG sind vertraglich umzusetzen und es sind Vorkehrungen nach § 9 BDSG zu treffen, wenn die Auftragserteilung innerhalb der EU oder des EWR stattfindet. Bei einer Auftragserteilung in Drittstaaten ist ein angemessenes Datenschutzniveau sicherzustellen. Einen weiteren wichtigen Aspekt stellt die Löschung personenbezogener Daten dar. Diese müssen gelöscht werden, sobald sie nicht mehr für den Zweck benötigt werden, zu dem sie erhoben wurden. Ausnahmen stellen z.B. aufbewahrungspflichtige Daten dar.

Kontroll-ID

Kontrollziel

Maßnahme

Kontrollaktivität

Typ

C1

Das Unternehmen geht den Vorgaben des Bundesdatenschutzgesetzes nach.

Umsetzung der vertraglichen Anforderungen nach § 11 BDSG

Überprüfung der Vertragsinhalte im Hinblick auf die Anforderungen aus § 11 BDSG

m, p

C2

 

Treffung von Vorkehrungen nach § 9 BDSG Sicherstellung eines angemessenen Datenschutzniveaus

Einholung und Überprüfung einer Datenschutzzertifizierung durch den Cloud-Anbieter

 

m, p

 

C3

 

Sicherstellung, dass personenbezogene Daten gelöscht werden

Überprüfung der Vertragsinhalte im Hinblick auf die Datenlöschung

m, p

Zuständigkeit:

Anbieter

Anwender

 

x

x

Tabelle 19: Kontrollen C1, C2 und C3 Compliance Datenschutz
Quelle: Eigene Darstellung

 

Abgabenordnung – Finanzbuchführung im Ausland

Werden, wie in Teil 3: "Rechtliche Aspekte beim Cloud Computing" beschrieben, Bücher und sonstige erforderliche Aufzeichnungen nach § 146 Abs. 2a AO außerhalb des Geltungsbereiches des Gesetzes aufbewahrt, so bedarf dies einer Bewilligung der zuständigen Finanzbehörde.

Kontroll-ID

Kontrollziel

Maßnahme

Kontrollaktivität

Typ

C4

Das Unternehmen geht den Vorgaben der Abgabenordnung in Bezug auf Finanzbuchführung im Ausland nach.

Einholung einer Bewilligung der zuständigen Finanzbehörde gemäß § 146 Abs. 2a AO

Überprüfung, ob eine Bewilligung vorliegt

m, d

Zuständigkeit:

Anbieter

Anwender

 

 

x

Tabelle 20: Kontrolle C4 Compliance AO Finanzbuchführung im Ausland
Quelle: Eigene Darstellung

 

Versicherungsaufsichtsgesetz

In Teil 3: "Rechtliche Aspekte beim Cloud Computing" werden die gesetzlichen Besonderheiten bei der Auslagerung von Versicherungsdaten aufgeführt. Gemäß dem BaFin-Rundschreiben 03/2009 sind Vorgaben zu vertraglichen Regelungen zu erfüllen. Darüber hinaus muss sich das auslagernde Unternehmen vertraglich Auskunfts- und Weisungsrechte sichern.

Kontroll-ID

Kontrollziel

Maßnahme

Kontrollaktivität

Typ

C5

Das Unternehmen geht den Vorgaben des Versicherungsaufsichtsgesetzes nach.

Treffen von vertraglichen Regelungen nach den Vorgaben des BaFin-Rundschreibens 03/2009

Überprüfung der Vertragsinhalte im Hinblick auf die Kriterien des BaFin-Rundschreibens 03/2009.

m, p

C6

 

Vertragliche Sicherung der erforderlichen Auskunfts- und Weisungsbefugnisse nach § 64a VAG

1. Sichtung der vertraglichen Vereinbarungen zu Auskunfts- und Weisungsbefugnissen

2. Regelmäßige Beurteilung der Leistung des Anbieters

m, p

 

 

m, d

Zuständigkeit:

Anbieter

Anwender

 

 

x

Tabelle 21: Kontrollen C5 und C6 Compliance Versicherungsaufsichtsgesetz
Quelle: Eigene Darstellung

 

Strafgesetzbuch

Personenkreise nach § 203 StGB sind zur Geheimhaltung von fremden Geheimnissen verpflichtet. Es wurden bisher zwei Möglichkeiten angesprochen, wie dies bei der Auslagerung von Unternehmensdaten zu verhindern ist: zum einen durch die Auslagerung der Daten in verschlüsselter Form oder zum anderen durch die Einführung eines doppelten Arbeitsverhältnisses. Da gemäß den Kontrollen 3 und 12 sowohl die Übertragung als auch die Speicherung der Daten ausschließlich verschlüsselt erfolgen sollte, gelten diese Kontrollen als ausreichend im Sinne der Anforderungen aus § 203 StGB (siehe Kontroll-ID 3 und 12).

 

Betriebsverfassungsgesetz

Sieht die genutzte Software eine Überwachung des Verhaltens oder der Leistung der Mitarbeiter vor, so ist der Betriebsrat in diese Entscheidung mit einzubeziehen. Es bedarf also der Zustimmung durch den Betriebsrat.

Kontroll-ID

Kontrollziel

Maßnahme

Kontrollaktivität

Typ

C7

Das Unternehmen geht den Vorgaben des Betriebsverfassungsgesetzes nach.

Einholung einer Zustimmung durch den Betriebsrat, wenn die genutzte Software eine Überwachung von Verhalten oder Leistung der Mitarbeiter explizit vorsieht

Überprüfung, ob die genutzte Software eine Überwachung von Verhalten oder Leistung der Mitarbeiter explizit vorsieht und ob dazu eine Zustimmung durch den Betriebsrat vorliegt

m, d

Zuständigkeit:

Anbieter

Anwender

 

 

x

Tabelle 22: Kontrolle C7 Compliance Betriebsverfassungsgesetz
Quelle: Eigene Darstellung

 

Einhaltung von Aufbewahrungspflichten

In Teil 3: "Rechtliche Aspekte beim Cloud Computing" sind die einschlägigen rechtlichen Anforderungen an die Datenaufbewahrung dargestellt. Die Einhaltung dieser Aufbewahrungsfristen und die Beachtung der Anforderungen an die Aufbewahrungsart müssen sichergestellt werden.

Kontroll-ID

Kontrollziel

Maßnahme

Kontrollaktivität

Typ

C8

Das Unternehmen geht den gesetzlichen Anforderungen zur Datenaufbewahrung nach.

Erstellung von Richtlinien und geeigneten Maßnahmen zur Datenaufbewahrung.

1. Überprüfung der Richtlinie zur Datenaufbewahrung im Hinblick auf ihre Vollständigkeit und Richtigkeit

2. Durchführung von Reviews der aufbewahrungspflichtigen Daten

m, p

 

 

 

m, d

Zuständigkeit:

Anbieter

Anwender

 

 

x

Tabelle 23: Kontrolle C8 Compliance Datenaufbewahrung
Quelle: Eigene Darstellung

 

Zu Teil 6 unserer Serie: "Cloud Computing: Service-Level Agreements, Zertifikate und Auditierung"

Zurück zu Teil 5b: "Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil B – Cloud-spezifische Risiken"

Zurück zu Teil 5a: "Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil A – Allgemeine Risiken"

Zurück zu Teil 4: "Welche Risiken bringt die Nutzung von Cloud Computing für Unternehmen mit sich?"

Zurück zu Teil 3: "Rechtliche Aspekte beim Cloud Computing"

Zurück zu Teil 2: "Welche Vorteile kann die Nutzung von Cloud Computing für Unternehmen mit sich bringen?"

Zurück zu Teil 1: "Cloud Computing, seine Betriebsformen und Servicemodelle – eine Einführung"