
Mich nervt die DSGVO
(English version) Jammern eines mittelständischen IT-Dienstleisters. Jahrelang habe ich meine Kunden mit Appellen zur Neuorganisation von Zugriffsrechten, Einführung von Passwortmanagement oder Zweitfaktorauthentifizierung genervt. Und seit diesem Jahr wird zurückgeschossen – “Herr Theilacker, wir müssen da noch eine AV Vereinbarung treffen”
Das ist der Kampfschrei, der mich oft fast zur Verzweiflung treibt. Am besten wird die Malaise durch die zwei Extremtypen im Kundenkreis beschrieben:
1) Der “Ich-habe-mir-alles-runtergeladen” – Typ,
der einem gefühlt 200 Seiten zur Prüfung zukommen lässt, welcher Text denn am besten unsere Geschäftsbeziehung beschreibt (bei einer €25 Monatsrechnung in unserem Serviceprovidergeschäft). Wenn man darauf hinweist, dass das Serviceprovidergeschäft nicht zwangsläufig eine ADV darstellt kommt folgendes Feedback “planet 33 nimmt den Datenschutz nicht ernst” – fatal! Also zurück in die Diskussion und den Kunden mit 2 Stunden Einzelbetrachtung argumentativ überzeugen, dass hier alles seine Richtigkeit hat bei planet 33, die sich seit 20 Jahren an dem Telekommunikationsgesetz orientiert, alle Mitarbeiter zusätzliche Vereinbarungen unterschreiben lässt und einen verhältnismäßigen Aufwand für Schulung und Sensibilisierung betreibt.
2) Der Kunde mit externem Vollprofi-DS Beauftragten
mit scheinbar grenzenlosem Budget – auch hier eine zeitliche Herausforderung, die Gegenseite wird nach Stunden bezahlt. Hier ist die Know-How Asymmetrie extrem und schmerzhaft. Ein mit allen Gesetzeslagen vertrauter und mit wenigstens 5 Landesdatenschutzbeauftragten persönlich befreundeter Externer, der sich in die Situation eines mittelständischen Dienstleisters durchaus hineindenken will, “aber ein Minimum schon umsetzen muss”. Und auf unserer Seite ein IHK geschulter Datenschützer, der halt bei 25 Mitarbeitern auch noch etwas anderes machen muss und von meiner Wenigkeit unterstützt wird. Wenigstens wird man hier ordentlich aufgeschlaut und kann durchaus mit den Vorlagen und dem Know-How weiterarbeiten. Auch handelt es sich hier in der Regel noch um einen verhältnismäßigen Einsatz von Ressourcen, da wir bei diesen Kunden oft komplexere Aufgaben übernehmen, die hier jetzt endlich vom Datenschutz her durchdacht werden (z.B. Zusammenarbeit Hoster (technischer Dienstleister unten drunter), Webagentur (kreativer Dienstleister, der die Anwendung/das CMS administriert) und Endkunde).
Mein Verständnis von Auftragsdatenverarbeitung hat sich in den letzten Jahren grundsätzlich gewandelt:
Bis 2016 dachte ich, dass z.B. der Steuerberater mit seinem Angebot einer externen Lohnbuchhaltung ein typischer Autragsdatenverarbeiter sei. Der Kunde gibt sensible Daten seiner Mitarbeiter heraus – hier gibt es Schutzbedarf – keine Frage! Löhne sensibel, Mitarbeiternamen sensibel, Eintritts- und Austrittsdaten sensibel – das zu schützen macht Sinn.
Meine ursprüngliche Vorstellung: Wir als IT – Dienstleister, der die Kunden in die Lage versetzt, diese Daten im Haus zu lassen, sollten davon nicht betroffen sein.
Damals kamen dann aber bei mir erste Zweifel auf, weil vernünftige Menschen aus der Branche darauf hinwiesen, dass der Begriff „Auftragsdatenverarbeiter“ weiter zu sehen sei und eigentlich jeder Mitarbeiter mit einem Administratorzugriff auf einen Rechner bereits Auftragsdatenverarbeiter sei. Da dieser theoretisch alle Voraussetzung hat, die Applikationen anzugreifen – natürlich oft nur weil der Kunde sich historisch geweigert hat, seine Applikationen mit irgendetwas anderem als “start#1234” zu schützen. Oder weil generische Benutzer mit den Namen “User1” bis “User5” so praktisch sind und man sich mit der Administration der Applikation nicht weiter beschäftigen muss, um neue Konten anzulegen sondern man reicht beim Personalwechsel einfach den freien UserSlot mit dem alten Passwort weiter — Postit — eh klar.
Dass es theoretisch möglich ist, eine gut programmierte Anwendung völlig losgelöst von den administrativen Berechtigungen des ITler zu gestalten wird oft nur bei den großen Kunden richtig verstanden. So kann z.b. ein Windows- oder SQL-Administrator sich keinen Zugriff auf eine Passwordsafe-Instanz verschaffen. Security by design – mittlerweile bei erstaunlichen vielen Programmen implementiert, wenn da nicht die Endnutzer wären…
Natürlich hat ein Windows-Administrator irgendwie immer Zugriff auf das Filesystem und ein Administrator einer TK-Anlage kann in der Regel Informationen über die Mitarbeiter und Einzelverbindungen auslesen – also AV Vereinbarung – ok, ist verstanden.
Und damit ist eigentlich alles was wir im IT Bereich machen, ein Vereinbarungsthema. Jetzt kommt es aber noch dicker, in dem für planet 33 wichtigen Serviceprovidergeschäft:
planet 33 ist ein Hybrid – zum einem Liefern wir Telefon- und Datenleitungen an Kunden aus, zum anderen machen wir technische Dienstleistungen beim Kunden. Keiner unserer Carrier – Vorlieferanten schließt mit uns nur aufgrund von Providerprodukten eine AV Vereinbarung ab (natürlich aber sehr wohl aufgrund anderer Dinge, die wir mit diesen Anbietern machen).
Auftragsdatenverarbeitung liegt hier nach Argumentation einiger unser Kunden aber durchaus vor. Beim Ablegen des Ansprechpartners, bei der Bankverbindung – natürlich hantieren wir hier mit personenbezogenen Daten. Wer kriegt die Einzelverbindungsnachweis? – da können sie jeden meiner Azubis morgens um 3 Uhr wecken – der wird ihnen sagen, dass nur der in den Kundendaten hinterlegt Ansprechpartner / die Email-Adresse empfangsberechtigt ist – das hatten wir schon vor DSVGO im Griff.
Also haben wir hier ein wildes Durcheinander – mein aktueller Erkenntnisstatus (zitieren Sie mich bitte nicht, denn ich bin Praktiker und lasse mich gerne verbessern):
- planet 33 data (Datenleitungen) – keine AV – dafür TKG
- planet 33 phone (Telefonie) – keine AV – dafür TKG
- planet 33 hosting (Webhosting, technisch) – AV womöglich wegen Zugiffsmöglichkeiten der Administratoren auf das System. Eigentlich auch ein Fall für Trennung Applikation und Plattform.
- planet 33 phone total (Cloudtelefonie) – vielleicht AV – nicht wegen Telefonie (TKG) sondern wegen Zugriff auf die TK Anlage (Mitarbeiternamen, Email-Adressen (UC lässt grüßen), Logins)
Die Telekom erschlägt das Problem in der Regel mit „Ergänzende Bedingungen Auftragsverarbeitung (ErgB-AV) für [Produktname]- klar bei denen käme ja auch kein Mensch auf die Idee eine individuelle AV Vereinbarung zu treffen zu wollen – dazu fehlt in der Regel der Ansprechpartner. Aber bei planet 33 – und das ist ja auch schön so – folgt aus dem persönlichen Verhältnis der Mitarbeiter zum Kunden auch der Anspruch auf den „full meal deal“ – auch bei der AV Vereinbarung.
Und wer zahlt das alles?
Und so werden aus der gesetzlich vorgeschriebenen Kooperationsbereitschaft hunderte von Stunden, die keiner abrechnen kann und will. Man schlägt sich mit divergierenden Meinungen und paralegalen Interpretation aller Beteiligten herum.
Das ist hier die totale Verunsicherung, und ich habe auch vom Typ 2 oben jeweils unterschiedliche Einschätzungen zu unserem Serviceprovidergeschäft bekommen. Und am Ende gilt natürlich die gute Dienstleisterregel: Der Kunde ist König und kriegt seine AV Vereinbarung, wenn ihn unsere standardisierten Produktbedingungen nicht überzeugt. Aber wer macht denn bitte schön ein aktives Management dieser Verträge? Da stehen zum Teil Dinge drin, die beide Seiten ressourcentechnisch überfordern.
Beispiele? Immer gerne – direkt aus der Vorlage des Bayerische Datenschützers:
Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Was das heißt? Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Wow! – logisch, physisch, geografisch?
Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. Klar – wir stempeln die Floppy Disks und Bänder alle ab und erfassen alles im Logbuch am Eingang.
Der Auftragnehmer hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen. Gerne – aber wer zahlt das?
Dieses Jahr war grauenvoll in Sachen Papierproduktion. Hunderte Dokumente wurden hin- und hergeschickt. Die Stände vom April passten schon im August nicht mehr. Erkenntnisgewinn – auch auf unsere Seite ! – führt dazu, dass viele bisherige Dokumente Makulatur sind. Das fällt mir alles leicht, wenn ich auf der Gegenseite mit einem Kunden zu tun habe, der wirklich bereit ist sich über Datenschutz Gedanken zu machen. Aber wenn einer nur Papier unterschrieben und abgeheftet haben will, dann stimmt etwas nicht .
Ach ja, für die Einführung der Zweitfaktorauthentifizierung war übrigens dieses Jahr bei einem Kunden kein Budget mehr da, die DSGVO Maßnahmen haben finanzielle und personelle Ressourcen in der IT Administration zu stark strapaziert…
Nervt Sie die DSGVO auch?
* * *
In eigener Sache:
Ihnen gefallen Themen wie dieses und Sie möchten mehr relevante Informationen haben? Einmal im Monat gibt es genau dafür ‘planet 33 WISSEN’. In einer sehr persönlichen Email bekommen Sie eine Liste mit Beiträgen, Videos oder Buchempfehlungen zu Themen, die uns bei planet 33 gerade bei der täglichen Arbeit, in der Freizeit und mit einem strategischen Blick in die Zukunft beschäftigen. Hier können Sie sich anmelden: