An dieser Stelle brauche ich mal die geballte Schwarm-Intelligenz dieses Forums. Konkret geht es darum, dass ich derzeit die Verträge für die Beauftragung eines Security Operation Centers (SOC) als Dienstleistung prüfen soll. Durch die vom Dienstleister als 24/7/365 angebotenen Services soll die Cybersecurity unserer Behörde erhöht werden, was mit eigenen Beschäftigten nicht zu leisten wäre.
Der vergesehene Dienstleister überwacht, soweit ich dies richtig verstanden habe, den Datenverkehr im Netzwerk, die Server und Endpoints (im Wesentlichen die Arbeitsplatz-PCs), um um Angriffe und Sicherheitsvorfälle erkennen zu können und Abwehrmaßnahmen zu ergreifen. Die hierbei entstehenden Telemetriedaten, welche zu Analysezwecke genutzt werden, sind wohl ausschließlich in einem Rechenzentrum an einem Standort in Deutschland gespeichert.
Nicht ganz klar ist mir, aus welchen Quellen diese Telemetriedaten gewonnen werden und welchen Inhalt diese haben. Der Anbieter spricht hier von Nutzerdaten, was wohl dann eher den Kreis unserer Mitarbeitenden als Betroffene umfassen würde. Die Rede ist aber auch von IP-Adressen, wobei ich hier nicht ganz sicher bin was hier gemeint sein soll. Im Hinblick auf die Aufgabenerfüllung würde ich allerdings davon ausgehen, dass hiermit nicht nur die (internen) IP-Adressen unserer Hardware gemeint sein können, sondern auch solche mit denen auf unsere Systeme (z.B. per E-Mail) zugegriffen wird. Letzteres würde aber, so mein Verständnis, den Kreis der Betroffenen auch auf unsere “Kunden” ausdehnen.
Zur Gewährleistung der vorgenannten Services nutzt der Dienstleister wohl SOCs, welche sich in verschiedenen Ländern rund um den Globus verteilen. Hier gilt das Prinzip “Follow-the-Sun”, wobei die Aufgaben dann von SOC zu SOC weitergereicht werden. Für einige Ländern, in welchen sich die SOCs befinden gibt es einen Angemessenheitsbeschluss nach Art. 45 DSGVO, für andere (z.B. Australien, Indien) nicht. Die in den SOCs beschäftigten Mitarbeiter greifen dabei wohl immer auf die in einem Rechenzentrum in Deutschland befindlichen Informationen zurück.
Hat sich schon jemand mit diesem Thema beschäftigt? Insbesondere würden mich Erkenntnisse zu den relevanten Daten(kategorien) und indirekt damit verbunden auch die betroffenen Personenkreise interessieren.
Einfach mal zeigen und erklären lassen, was erfasst und ausgewertet wird? (Sollte nicht als Security-by-Obscurity-Blackbox verkauft werden; superzuverläasig, supersicher, super-GDPR, spooky.)
Wenn es taugen soll ist damit zu rechnen, dass auch Daten von Kommunikationspartnern darunter fallen. Z. B. wer was schickt, und ob das (die Stelle, der Inhalt, die Umstände) gefährlich ist.
Bei fehlenden Angemessenheitsbeschlüssen ist immer davon auszugenen, dass alle Daten (die, auf die es im Fall der Fälle ankommt) in unsicheren Drittländern verarbeitet werden. Was nicht automatisch und für alles schlimm sein muss. Je nach Eigeninteressen und Möglichkeiten des Dienstes bzw. der Dienstedienstedienste.
D., der es sofort verdächtig findet, sobald (nur) Speicherung auf Servern in Deutschland angeboten wird, aber nicht alle zugreifenden Stellen in der EU/EWR sitzen.
Genau dies ist auch meine Auffassung, aktuell will man mir allerdings noch etwas anderes weiß machen. Meines Erachtens sagen auch die Verträge, insbesondere der AVV hierzu klar aus, dass auch personenbezogene Daten unserer “Kunden” bzw. allgemein von Externen betroffen sein können. Insbesondere wenn der Dienstleister im Falle eines Sicherheitsvorfalls eingreift, wird man die Kenntnisnahme von personenbezogenen Daten unserer “Kunden” nicht mehr ausschließen können.
Grundsätzlich mag dies ja tatsächlich auch nicht in jedem Fall problematisch sein und bei bestimmten Fallkonstellationen kann durch die Nutzung der EU-Standardvertragsklauseln auch ein angemessenes Datenschutzniveau für die Verarbeitung in Drittländern hergestellt werden. Gerade bei den genannten Ländern Australien und Indien wäre mir da jetzt auch nicht unbedingt bange.
Problematisch ist allerdings, dass uns für “Kundendaten” gesetzlich nur eine Auftragsverarbeitung gestattet ist, wenn diese in der EU, Ländern des EWR oder Drittländern mit Angemessenheitsbeschluss erfolgt. Damit würde der ins Auge gefasste Dienstleister aber ausfallen.
Geht mir auch so, wäre aber in diesem Fall für mich sogar nachvollziehbar - der Dienst 24/7/365 soll halt so angeboten werden, dass in den jeweiligen SOC gerade Arbeitstag ist. Hier sind sicherlich Kostenaspekte der Antreiber. Trotzdem fiele dieser (und andere) Anbieter aus, wenn eben Kundendaten betroffen wären.
@Domasla besten Dank für Deine Anregungen, die mich schon mal in die richtige Richtung denken lassen.