- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Datenschutz-Audit: So prüfen Sie ein Rechenzentrum

Ein Datenschutzbeauftragter steht immer wieder vor der Aufgabe, ein Rechenzentrum zu prüfen. Sehr häufig geht es um eine Kontrolle bei einem externen Auftragsverarbeiter. Wie gehen Sie die Prüfung am besten an?

Typischerweise besteht ein Rechenzentrum, neben einer Vielzahl von Servern, Netzwerkkomponenten und sonstigen Systemen, aus infrastrukturellen Komponenten. Dazu gehören Elemente wie Energieversorgung und Klimatechnik sowie bauliche Aspekte wie Räume oder Türen.

Für eine Prüfung ist neben der Fachkenntnis im Datenschutz also auch die Kenntnis der technischen und physikalischen Beschaffenheit von Vorteil.

Rechtliche Grundlagen

Nach der EU-Datenschutz-Grundverordnung (DSGVO) gehört ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen (TOMs) zu den Pflichten im Rahmen einer funktionierenden Datenschutzorganisation (vgl. Art. 32 Abs. 1 Buchst. d DSGVO).

Übersicht über die wesentlichen Anforderungen

Mit der DSGVO blieben die Sicherheitsziele des alten Bundesdatenschutzgesetzes (BDSG-alt) weitestgehend erhalten, auch wenn sich die Begrifflichkeiten und die Struktur geändert haben (vgl. Art. 32 DSGVO).

Ziehen Sie ergänzend dazu spezifische Sicherheitsanforderungen aus gängigen Standards der Informationssicherheit heran, wie z.B. aus der ISO/IEC 27001 ff. oder aus den IT-Grundschutzkatalogen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Letztere behandeln konkrete bausteinbasierte Sicherheitsmaßnahmen.

Folgende Themen aus den IT-Grundschutzkatalogen lassen sich z.B. direkt mit einigen TOMs abdecken:

Allgemeine datenschutzrechtliche Anforderungen:
Baustein 1.5 Datenschutz

Zutritts- und Zugangskontrolle:
Baustein 1.1 Organisation

Zugangs- und Zugriffskontrolle:
Baustein 1.18 Identitäts- und Berechtigungsmanagement

Verfügbarkeitskontrolle:
Baustein 1.3 Notfallmanagement

Physische und umgebungsbezogene Sicherheitsmaßnahmen:
Baustein 2.1 Allgemeines Gebäude
Baustein 2.4 Serverraum
Baustein 2.9 Rechenzentrum

Praxiserprobte Vorgehensweise

Auch die vorgestellte Vorgehensweise zur Auditierung eines Rechenzentrums richtet sich an den Methoden und Empfehlungen des BSI aus.

Das Vorgehen besteht aus drei Phasen:

  1. Vorbereitung: Dokumentensichtung und Feinplanung
  2. Durchführung: Verifikation der Umsetzung durch Vor-Ort-Kontrolle
  3. Nachbereitung: Erstellung eines Auditberichts und Maßnahmenumsetzungs-Planung

Synergieeffekte nutzen

Das vorgestellte dreistufige Vorgehensmodell orientiert sich am üblichen Vorgehen zur Durchführung von internen Audits im Rahmen eines Informationssicherheits-Managementsystems (ISMS). Damit lassen sich Synergieeffekte zwischen Datenschutz und Daten- bzw. Informationssicherheit schaffen.

Phase 1: Vorbereitung

1. Schritt: Ansprechpartner feststellen

Ziel der ersten Phase eines Datenschutzaudits ist es, sich einen Überblick über den derzeitigen Stand der umgesetzten datenschutzrechtlichen Anforderungen zu verschaffen und die Durchführung des Audits im Detail zu planen. Dazu müssen Sie in einem ersten Schritt die relevanten Ansprechpartner identifizieren.

In der Regel betreibt die IT-Abteilung bzw. der IT-Bereich das Rechenzentrum. Sind Rechenzentrumsdienstleistungen ausgelagert, so sind auch die Ansprechpartner wichtig, die diese IT-Dienstleister steuern.

Um infrastrukturelle, bauliche und sonstige physische Maßnahmen zu identifizieren, beziehen Sie den Ansprechpartner für das Gebäudemanagement ein.

Aufgrund der großen Schnittmenge mit Aspekten der Informationssicherheit kommt dem Informationssicherheits-Beauftragten (ISB) ebenfalls eine wesentliche Rolle beim Datenschutzaudit zu. Führen Sie Prüfungen bei einem Rechenzentrum idealerweise in Abstimmung oder in Begleitung mit dem ISB durch.

2. Schritt: Dokumente eintreiben

Im nächsten Schritt bereiten Sie die relevanten Anforderungen adressatengerecht auf. Dazu fertigen Sie am besten je Thema und Ansprechpartner eine Liste mit bereitzustellenden Dokumentationen an und erläutern sie in einem Gespräch mit den Ansprechpartnern.

Die Dokumentenliste inklusive der darin aufgeführten Referenzdokumente bildet die Grundlage für Sie, um die Umsetzung der Anforderungen beurteilen zu können.

Das Ergebnis des Dokumentenaudits ist eine Übersicht von Umsetzungslücken und Themen, die Sie bei der Vor-Ort-Kontrolle und Begehung oder im direkten Gespräch (Interview) näher untersuchen müssen.

3. Schritt: Auditschwerpunkte risikoorientiert auswählen

Wählen Sie die Auditschwerpunkte der zweiten Phase risikoorientiert aus. Das bedeutet, zuvor zu bewerten, welchen Schaden die fehlende oder unvollständige Umsetzung von Anforderungen in der Organisation anrichten kann.

Ziehen Sie dazu insbesondere die Schutzbedürftigkeit der betroffenen personenbezogenen Daten heran (zur Bewertung eines Risikos siehe näher Datenschutz PRAXIS 06/17 [1], S. 14–15).

Überführen Sie die risikoorientierte Schwerpunktbildung anschließend in einen Auditplan. Er bestimmt die Vor-Ort-Kontrolle. Stellen Sie den Plan den Ansprechpartnern im Vorfeld zur Verfügung, damit sie sich vorbereiten können.

Klären Sie ab, welche Audits im Rechenzentrum in der Vergangenheit stattgefunden haben. Damit vermeiden Sie überflüssige Audits und sorgen dafür, dass ein möglichst breites Spektrum abgedeckt ist.

Prüfen Sie, ob sicherheitsrelevante Zertifikate vorhanden sind und ziehen Sie sie ebenfalls als Grundlage für Ihr Audit heran. Typische Beispiele:

Praxis-Tipp: Formulieren Sie bei nicht zertifizierten Rechenzentren im Vorfeld sogenannte kritische Ausschlusskriterien (K.-o.-Kriterien). Je nach Schutzbedarf der Daten kann beispielsweise die Datenverarbeitung außerhalb sicherer Länder ein Kriterium sein. Auch eine mangelnde Zutrittskontrolle sollte in der Regel ein K.-o.-Kriterium sein.

Phase 2: Durchführung

Ziel der zweiten Phase ist die Prüfung vor Ort, ob die Anforderungen, die Sie im Dokumentenaudit identifiziert bzw. beschrieben haben, umgesetzt sind. Die Verifikation sollte einerseits durch eine Begehung des Rechenzentrums (Inaugenscheinnahme) und andererseits durch Interviews mit fachlichen Ansprechpartnern erfolgen.

Bei der Auditierung von extern betriebenen Rechenzentren, d.h. bei ausgelagerten Rechenzentrums-Dienstleistungen, empfiehlt es sich, analog zu verfahren.

Eine wesentliche Rolle spielen dabei Nachweisdokumente, die die Umsetzung und regelmäßige Umsetzungsprüfung faktisch belegen. Üblicherweise sind dies

Im Ergebnis sollten Ihnen vollständige und belastbare Nachweise vorliegen, die Auskunft über den Umsetzungsgrad der Datensicherheit geben. Diese bilden die Basis für das Gesamtvotum des Audits und dienen als Grundlage für den in der Phase 3 zu erstellenden Auditbericht.

Phase 3: Nachbereitung

Das Ziel der dritten Phase ist es, die Vor-Ort-Kontrolle sowie die vorgelegten Nachweisdokumente auszuwerten und einen Auditbericht zu erstellen. Dieser Bericht gibt Aufschluss über vorhandene Abweichungen. Des Weiteren gehört ein priorisierter Maßnahmenplan zu den Ergebnissen dieser Phase. Der Auditbericht erfüllt v.a. zwei Zwecke:

Weisen Sie die Abweichungen den verantwortlichen Ansprechpartnern, die Sie in der Vorbereitungsphase identifiziert und festgelegt haben, zu. Das stellt sicher, dass Sie die richtigen Leute adressieren.

Stellen Sie die jeweiligen Anforderungen und den Umsetzungsstand sowie die vorgelegten Nachweisdokumente im Auditbericht direkt gegenüber. Das macht den normativen Charakter dieses Audits deutlich.

Es bietet sich an, im Anhang des Auditberichts einen Maßnahmenplan festzulegen, der mit den verantwortlichen Ansprechpartnern abgestimmt ist, um die Abweichungen zu beheben. Idealerweise terminieren Sie die Handlungsfelder, die sich aus dem Audit ergeben, und weisen sie einem Umsetzungsverantwortlichen zu.

Ist der Auditbericht erstellt und verabschiedet, stellen Sie unter Einbeziehung des ISB sicher, dass die definierten Maßnahmen auch wie vorgesehen umgesetzt werden. Vereinbaren Sie dazu mit den Umsetzungsverantwortlichen Regeltermine und halten Sie die Umsetzung nach.

Umgang mit größeren Rechenzentrums-Dienstleistern

In der Praxis kann sich die Prüfung von größeren Rechenzentrums-Dienstleistern etwas anders darstellen. Insbesondere bei Rechenzentren, die nach gängigen Sicherheitsstandards zertifiziert sind (z.B. IT-Grundschutz- oder ISO/IEC-27001-Zertifizierung oder rechenzentrumsspezifische Zertifizierungen), ist eine Vor-Ort-Kontrolle beim Dienstleister vertraglich häufig nicht vorgesehen.

Das ist auch nachvollziehbar, da Rechenzentren mit mehreren tausend Kunden andernfalls einen regelrechten „Kontrolltourismus“ bewältigen müssten. Das ist aus Sicht der Rechenzentren aus Sicherheitsgründen zu vermeiden.

In aller Regel verweist der Dienstleister darauf, dass sein Rechenzentrum regelmäßig durch unabhängige externe Auditoren geprüft wird und dass sich damit die Umsetzung von Datensicherheitsmaßnahmen auf Basis dieser Sicherheitsstandards nachweisen lässt.

Eine Kontrolle kann in diesen Fällen dadurch erfolgen, dass Sie die aktuellen Zertifikate anfordern. Achten Sie hierbei darauf, dass das Zertifikat gültig ist und dass der Zertifizierungs-Gegenstand (Scope) sich tatsächlich auf die Dienstleistung bezieht, die für Sie als Auftraggeber relevant ist.

Gegebenenfalls können Sie auch Auditberichte anfordern, um die Prüfmethodik und die Kontrolltiefe nachvollziehen zu können.

Zusammenfassende Empfehlungen

Ihre Erfolgsfaktoren
Zusammenfassend sind bei der datenschutzrechtlichen Überprüfung eines Rechenzentrums folgende Erfolgsfaktoren besonders wichtig:

  • Berücksichtigen Sie bei Ihrer Auditplanung vorhandene Zertifizierungen und bereits durchgeführte Audits.
  • Verwenden Sie am besten standardisierte Methoden für Audits.
  • Stimmen Sie die Audit-Schwerpunkte mit dem ISB und dem Gebäudemanagement ab.
  • Sofern vorhanden: Sorgen Sie dafür, dass Ihre Ergebnisse in das ISMS zurückfließen.
  • Halten Sie nach, ob die Datenschutz-Maßnahmen wirklich umgesetzt werden, um Abweichungen frühzeitig zu erkennen.

Marc Ragg, Boris Arendt
Wirtschaftsinformatiker (M.Sc.) Marc Ragg und Rechtsanwalt Boris Arendt sind als Experten in den Bereichen Datensicherheit, Cybersicherheit und Datenschutz für die Unternehmensberatung PricewaterhouseCoopers (PwC) tätig