212
Prüfbarkeit der Compliance‐Anforderungen nur durch eine ausreichende
Transparenz der externen Serviceerbringung: die konkrete Bestimmung der
Datenorte, der Leistungserbringer und ihrer Funktionen sowie die
vertragliche Prüfung aller notwendigen Leistungsgarantien. Hinzu kommt
die Anzeigepflicht eventueller Änderungen in der Leistungserbringung, die
dann auch zu einem außerordentlichen Kündigungsrecht führen muss und
bei der im Vorfeld auch eine ordnungsgemäße Rückführung der Daten an
den Anwender vorgesehen wird.
Auditierung von Compliance‐Anforderungen
Die Anforderung der Kontrolle eines externen IT‐Anbieters wird im Bereich
Cloud‐Computing zunehmend zu Problemen führen. Gerade in manchen
Datenschutzbestimmungen wird die Vor‐Ort‐Prüfung des Anbieters
eingefordert. Es stellt sich aber die Frage, wo denn „vor Ort“ eigentlich ist.
Beim Vertragsgeber, beim Rechenzentrumdienstleister oder beim Betreiber
des Softwareangebotes? Und wenn man einmal vom Standort der Daten
ausgeht, muss man sich auch die Frage stellen, welche Informationen man
aus einem persönlichen Besuch eines Rechenzentrums erhalten kann.
<P5>Ohne eine intensive Überprüfung durch geschulte Personen aus dem
Bereich Datenschutz, Datensicherheit, Betriebsführung und gegebenenfalls
Softwareentwicklung erhält man im besten Fall einen subjektiven Eindruck,
ob das Gesehene einen ordentlichen Eindruck macht, allerdings ohne
qualitative Aussage zur Umsetzung der technischen und organisatorischen
Maßnahmen. Ergänzend ist zu erwähnen, dass eine Begehung eines
Rechenzentrums an sich schon ein Sicherheitsrisiko darstellt und somit nur
entsprechend geschulte Personen unter Berücksichtigung der notwendigen
Sicherheits‐ und Zutrittskontrollen der Zugang zu erlauben ist.