Erforderlichkeit einer Vor-Ort-Kontrolle bei Auftragsdatenverarbeitung in einem Rechenzentrum

Fragen & Antworten

Aus der Reihe Fragen & Antworten hier nun eine Frage, die mir häufiger so oder ähnlich gestellt wird:

Ist es im Rahmen der Vorabkontrolle unbedingt notwendig, ein Rechenzentrum (Zertifiziert nach ISO 27001) zu betreten? Diese Art der Kontrolle wurde uns nicht gewährt. Welche Möglichkeiten gibt es, unsere Auftraggeber dennoch von diesem Rechenzentrum zu überzeugen?

Die Fallkonstellation liegt hier offenbar so, dass der Fragesteller in einem Unternehmen arbeitet, das für Auftraggeber Daten im Auftrag verarbeitet und dabei selbst ein fremdes Rechenzentrum nutzt.

Ich kenne die Frage der Erforderlichkeit einer Vor-Ort-Kontrolle nur zu gut. Ich bin externer Datenschutzbeauftragter einer Reihe von Unternehmen, die für größere Unternehmen als Auftragsdatenverarbeiter tätig sind. Und hier werden auch professionelle Rechenzentren genutzt. Und nicht in jedes kommt man hinein. Sicher kann ich es nachvollziehen, dass Auftraggeber einer Auftragsdatenverarbeitung in manchen Fällen (z.B. bei sehr hohem Schutzbedarf der Daten) eine Vor-Ort-Kontrolle im Rechenzentrum für erforderlich halten. In vielen Fällen ist dies jedoch weder erforderlich noch sinnvoll. Merke: Ein Rechenzentrum wird nicht dadurch sicherer, dass jeden Tag Personen durch das Rechenzentrum marschieren und „Kontrollen“ durchführen. Dies ist in gerade in großen Rechenzentren nicht wirklich immer sinnvoll. Ich spreche da gerne mal von „Rechenzentrum-Tourismus“.

Aber auch ich höre dann gerne mal von altgestandenen Datenschutzbeauftragten eines Unternehmens man müsse im Rechenzentrum zumindest einmal das „Blech des Servers“ angefasst haben, auf dem die Daten verarbeitet werden. Ich muss dann manchmal schmunzeln. In Zeiten virtualisierter Serverumgebungen ist nur das Finden des Servers manchmal gar nicht so einfach.

Auch ich sehe mir so einige Rechenzentren an. Bei anderen reicht mir eine Sichtung der Sicherheitsdokumentation aus. Letztlich ist immer eine Frage des eigenen Bauchgefühls. Denn rein rechtlich ist es nicht zwingend erforderlich, eine Vor-Ort-Kontrolle im Rechenzentrum durchzuführen. Mir wurde einmal sogar gesagt, es würde sich doch aus dem BDSG ergeben, dass eine Vor-Ort-Kontrolle zwingend sei. Wirklich? Nun ja…das stimmt nicht. Schauen wir uns doch einmal die rechtliche Lage an:

Nach § 11 Abs. 2 Satz 1 BDSG ist der Auftragnehmer vom Auftraggeber unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Dabei ist der Umfang dieser Auswahlprüfung rechtlich nicht generell vorgegeben, sondern anhand des Einzelfalles zu beurteilen.1

Die Auswahl hat jedoch „sorgfältig“ zu erfolgen. Eine sorgfältige Auswahl soll nach der in der rechtswissenschaftlichen Literatur vertretenen Auffassung dann vorliegen, wenn die Auswahl auf den Zweck gerichtet ist, einen angemessenen Datenschutzstandard bei dem Auftragnehmer sicherzustellen.2 Besonderes Augenmerk ist hier darauf zu legen, ob das vom Auftraggeber für geboten gehaltene Datensicherheitsniveau vom Auftragnehmer eingehalten werden kann.3

Um im Rahmen der „Auswahl“ eine Bewertung der technischen und organisatorischen Maßnahmen zur Datensicherheit des Auftragnehmers vornehmen zu können, bedarf es jedoch nach zutreffender Auffassung keiner Vor-Ort-Kontrolle.4

Das hat im Übrigen auch der Gesetzgeber5 selbst so gesehen. In der entsprechenden Begründung der Regelung im BDSG finden sich nachfolgende Ausführungen des Gesetzgebers (Hervorhebungen von mir):

Abgesehen wird davon, dass sich der Auftraggeber unmittelbar beim Auftragnehmer vor Ort oder selbst in Person überzeugt. Dies wäre regelmäßig nicht angemessen und mit einem Verlust an Flexibilität verbunden, z. B. wenn der Auftraggeber ein Testat eines Sachverständigen einholen möchte oder wenn eine schriftliche Auskunft des Auftragnehmers ausreicht.

Nach dem Willen des Gesetzgebers kann also eine schriftliche Auskunft des Auftragnehmers sehr wohl ausreichen. Eine Vor-Ort-Kontrolle ist eben gerade nicht zwingend.

Dies wird sich nach meiner Überzeugung auch nicht mit der Datenschutz-Grundverordnung (DSGVO) ändern. Weder die Art. 28, 29 DSGVO selbst noch der insoweit einschlägige Erwägungsgrund 81 sehen eine Vor-Ort-Kontrolle zwingend vor.

Ich kann euch nur empfehlen, jeweils im Einzelfall und vor allem abhängig vom Schutzbedarf der Daten eine Entscheidung dahingehend zu treffen, ob ihr vor Ort kontrollieren wollt oder nicht.

Ach ja…vertraut aber bitte auch nicht blind auf ein ISO 27001 Zertifikat. Ihr solltet hier als erstes auf den „Scope“ der Zertifizierung achten. Das heißt: Was war denn überhaupt Zertifizierungsgegenstand und ist die Leistung, die ihr in Anspruch nehmen wollt, in diesem „Scope“ enthalten.

Und dann ist es systembedingt auch so, dass eine ISO 27001-Zertifizierung nicht zwingend gleichbedeutend ist, mit sehr guter Datensicherheit. Es spricht zwar einiges dafür, aber der Standard ist ja bewusst so angelegt, dass ein zertifiziertes Unternehmen sehr wohl bewusst ein Risiko bei der Datensicherheit gesehen hat, dafür aktuell noch keine Möglichkeit des Risikoausschlusses hat, und dieses Risiko dann z.B. im Zusammenhang mit künftigen, mittelfristig geplanten Maßnahmen bewusst „hingenommen“ wird. Bei Daten mit hohem Schutzbedarf würde ich mir dann in jedem Fall auch noch einmal das sog. „SoA-Dokument“ ansehen. Das ist das „Statement of Applicability“ (SoA), aus dem ihr erseht, welche Maßnahmen aus Anlage A der ISO 27001 vom Unternehmen umgesetzt wurden (und durch welche Richtlinien) und welche nicht. Dieses Dokument wird aber natürlich aus guten Gründen nicht einfach so herausgegeben. Denn die Herausgabe der „SoA“ kann auch ein Sicherheitsrisiko für das jeweilige Unternehmen beinhalten.

Wenn ein Unternehmen aber z.B. nicht nur nach ISO 27001, sondern auch nach dem jeweils aktuellen PCI-DSS-Standard und ggf. SOC (1/2/3) und ISO 27018 zertifiziert ist, spricht ein sehr großes Indiz dafür, dass hier im Bereich Datensicherheit eine „sorgfältige“ Auswahl des Dienstleisters unter Sicherheitskriterien relativ problemlos sein dürfte.

  1. Vgl. Spoerr, in: Beck'scher Online-Kommentar Datenschutzrecht (BeckOK), Wolff/Brink, 17. Edition – Stand: 01.11.2015, § 11 Rdnr. 93
  2. Petri, in: Simitis, BDSG, 8. Auflage 2014, § 11 Rdnr. 55
  3. Vgl. Rammos/Böhm, in: Gierschmann/Saeugling, Systematischer Praxiskommentar Datenschutzrecht, 2014, § 11 Rdnr. 43
  4. So zu Recht auch BeckOK DatenSR/Spoerr, .a.a.O., § 11 Rdnr. 93; Gola/Schomerus, BDSG, 12. Auflage 2015, § 11 Rdnr. 21. Differenzierend: Petri, in: Simitis, a.a.O., § 11 Rdnr. 59, der von einer „regelmäßig, aber nicht zwingend gebotenen“ Überprüfung vor Ort spricht.
  5. BT-Drs. 16/13657, S. 18 – http://dip21.bundestag.de/dip21/btd/16/136/1613657.pdf
Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.