Auftragsdatenverarbeitung

Prüfung von Checklisten

Hardware, Software und Dienstleistungen werden immer spezieller und das Budget in den meisten Fällen immer knapper. Das führt bei vielen Unter­nehmen und öffentlichen Stellen in der Ver­walt­ung zu einer Ver­lager­ung von Dienst­leistungen zu Service­unternehmen. Diese werden mit der Erhebung, Verar­beitung oder Nutzung von personen­bezogenen Daten beauftragt.

.

Eine sogenannte Auftrags­datenverarbeitung (ADV) zwischen dem Unter­nehmen und dem Dienst­leister darf aber nur gem. Bundes­datenschutz­gesetz stattfinden, wenn klare Vorgaben zwischen den beiden Unter­nehmen vorab vereinbart worden sind. Das Unter­nehmen bleibt im vollen Umfang für „seine“ Daten verantwortlich und muss sicher­stellen, dass er diese Verantwortung auch wahr­nehmen kann.

Unser Leistungsangebot

Die Aufgabe bei der Auftrags­daten­verarbeit­ung besteht grund­sätzlich darin, zu prüfen, ob der Dienstleister mit den personen­bezogenen Daten von Kunden oder Beschäftigten sorgsam umgeht und den Vorschriften des Bundes­datenschutz­gesetzes und anderen Vorschriften genügt.

Die IT.DS Beratung berät seit vielen Jahren Unte­rnehmen im Bereich des Daten­schutzes und hat im Laufe der Zeit hunderte deutsche und inter­nationale Dienst­leistern im Bereich der Auftrags­daten­verarbeitung geprüft. Von der einfachen Dokumenten­prüfung bis hin zum Vor-Ort-Audit sind wir in der Lage, die Gesetzes­konformität für Ihr Unter­nehmen herzustellen. Bei einer hohen Anzahl von zu prüfenden Dienst­leistern bleiben Sie durch unsere Methodik auf dem Laufenden und können den Fortschritt unserer Arbeit transparent mit­verfolgen.

In der Funktion als Datenschutzberater oder externer Datenschutzbeauftragter übernehmen wir für ihr Unter­nehmen insbesondere folgende Auf­gaben:

  • Die Erhebung und Prüfung aller Dienst­leister bei Ihnen im Haus mit Ihren Fach­abteilungen hinsichtlich der Daten­schutz­relevanz
  • Die Prüfung vorhandener Verträge (Rahmenverträge, Leistungsscheine, Auftragsbeschreibungen), sofern notwendig.
  • Das Führen von Interviews in den Fachabteilungen, sofern notwendig, im Bezug auf den Dienst­leister.
  • Die Kontaktaufnahme mit den Dienstleistern.
  • Die Erstellung bzw. Anpassung von ADV-Vereinbarungen, bezogen auf die ausgeübte Tätigkeit des Dienst­leisters
  • Die Herbeiführung der notwendigen Inhalte, wie z.B. der technischen und organisatorischen Maßnahmen oder Subunternehmen, sowie Unterschriften der Fach­abteilungen oder der Geschäfts­führung
  • Die Prüfung der Eignung des Dienst­leisters und dessen Sub­unternehmen gem. Bundes­daten­schutz­gesetz oder anderen inter­nationalen Gesetzen.
  • Die Durchführung von Vor-Ort-Audits bei den für das Unter­nehmen wichtigsten Dienst­leistern, sofern not­wendig und möglich.
  • Die Eskalation bei den Ansprech­partnern bei Unter­nehmen bei fehlender Zusammen­arbeit des Dienst­leisters.
  • Die Dokumentation, die zentrale Pflege und Ablage der Verträge, sowie Projekt­management des Fortschritts

 

Weitere Detailinformationen erhalten Sie durch Klicken auf die folgenden Themenbereiche.

Ist die Prüfung von Auftragsdienstleistern notwendig?

Das Unternehmen denkt vielleicht: „Den Dienstleister kenne ich doch schon vielen Jahren, der geht schon sorgsam mit meinen Kundendaten um!“ Doch die Geschäfts­führer wissen vielleicht nicht, dass sie mit dieser Ein­stellung Straf­zahlungen von bis zu 50.000 EUR von der zuständigen Aufsichts­behörde riskieren. Auch in Zukunft mit der EU-Datenschutz­grund­verordnung wird die ausführliche Prüfung der Auftrags­dienstleister erhalten bleiben, nur werden die Bußgelder deutlich attraktiver, auch für die Aufsichts­behörden, die deutlich mehr Rechte in der Zukunft bekommen, als bisher.

Welche Auftragsdienstleister gibt es?

Die Datenschutz-Aufsichts­behörde aus Bayern (Das Bayrische Landesamt für Datenschutzaufsicht hat einen Ratgeber "Auftrags­datenver­arbeitung nach §11 Bundesdatenschutzgesetz) hat die wesentlichen Typen von Auftrags­daten­verarbeitern übersichtlich dargestellt: 

Auftragsdatenverarbeitung sind z. B. regelmäßig z. B. folgende Dienstleistungen

  • die dv-technischen Arbeiten für die Lohn- und Gehalts­abrechnungen oder die Finanz­buch­haltung,
  • Outsourcing der personen­bezogener Daten­verarbeitung im Rahmen von Cloud-Computing (z.B. mit Microsoft)
  • die Werbe­adressen­verarbeitung in einem Letter­shop,
  • die Kontakt­datenerhebung durch ein Callcenter,
  • die Auslagerung eines Teils des eigenen Telekommunikations­anlagenbetriebs (soweit nicht das Telekommunikationsgesetz gilt),
  • die Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten,
  • die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten,
  • die Backup-Sicherheits-Speicherung und andere Archivierungen,
  • die Datenträgerentsorgung (wie z.B. die Mammut GmbH)
  • usw.

Ob Ihre im Einsatz befindlichen Dienstleister ebenfalls geprüft werden müssen, hängt vom Einzelfall ab. So sind einige Branchen davon ausgenommen, da diese mit der eigentlichen Erhebung, Verarbeitung oder Nutzung personenbezogener Daten nur indirekt zu tun haben, wie z.B.

  • Transportleistungen von Post- oder Kurierdiensten
  • Transportleistungen von öffentlichen Telekommunikationsdiensten
  • Bankdienstleistungen als "Verwaltungs- und Transportleistungen von Geld"
  • Bewachungsdienste
  • Reinigungsdienstleistungen
  • Handwerkereinsätze in Unternehmen für Reparaturen und Wartung

 

Welche konkreten Maßnahmen müssen durchgeführt werden?

In einer sogenannten ADV-Vereinbarung werden zunächst zwischen den Parteien folgende Punkte vereinbart und anschließend überprüft:

  • Art und Herkunft der Daten, Beschreibung der Betroffenen und der Zweck der Verwendung
  • Festlegung der Rechte bzgl. Auskunft, Benachrichtigung, Sperrung und Löschung der Daten
  • Festlegung von technischen und organisatorischen Maßnahmen zur Sicherung der Daten beim Dienstleister, sowie deren Kontrollen, wie z.B. Zutrittskontrolle, Zugriffskontrolle oder Verfügbarkeitskontrolle
  • Festlegung bzgl. der Beauftragung von Subunternehmen und Ort der Datenspeicherung
  • u.v.m

Nach der Unterzeichnung des Vertrages müssen die in der Vereinbarung enthaltenen Regeln geprüft werden. Dies kann durch eine Dokumentenprüfung erfolgen (z.B. Zertifikate) oder durch eine Vor-Ort-Prüfung beim Dienstleister. Erst dann darf der Dienstleister überhaupt Zugang zu den Daten bekommen.

Wie lange dauert die Prüfung eines Auftragsdienstleisters?

Die Prüfung eines Auftrags­dienstleister kann je nach Umfang und Bereit­schaft des Dienst­leisters zwischen ein paar Minuten und Wochen dauern. Nach unserer Erfahrung ist die Prüfung von Dienst­leistern innerhalb von einem Monat in 80% der Fälle zu erledigen.

Aufgrund unserer Erfahrung sind wir auch in der Lage, auf Dienstleister unterschiedlicher Branchen einzugehen, die nicht so häufig mit dieser Thematik zu tun haben. Dadurch können wir ein zügiges und kosten­effizientes Ergebnis für unsere Kunden erzielen. Dabei darf die Organisation aber auch nicht überfordert werden. Die Prüfung aller Auftrags­dienst­leistern kann sich, je nach Umfang und Hierarchie-Ebenen über Monate hinziehen. Daher ist es wichtig, frühzeitig das Thema im Unter­nehmen zu adressieren und dann Stück für Stück umzusetzen.

Ich habe Dienstleister im Einsatz, aber noch keine ADV. Was ist zu tun?

Die Situation kann schlecht rückgängig gemacht werden, aber deswegen ist es noch nicht zu spät, die Gesetzeskonformität herzustellen und Bußgelder zu vermeiden. Selbst im Fall einer Prüfung der Auftrags­dienstleister durch eine Aufsichts­behörde ist angebracht, ausstehende Missstände bei Auftrags­dienstleistern zu beseitigen.

Es ist im Allgemeinen schwieriger, die Vereinbarung nach § 11 Bundesdatenschutzgesetz nachträglich zu schließen, denn der Dienstleister ist bereits etabliert und sieht den Nutzen nicht. Im Gegenteil, es bedeutet auch für den Dienstleister einen zusätzlichen Aufwand, abhängig davon, wie erfahren er im Bereich des Datenschutzes ist.

Unser Tipp: Identifizieren Sie Ihre drei wichtigsten Auftrags­dienst­leister und starten Sie die notwendigen Arbeiten. Wenn Sie Fragen dazu haben, kommen Sie gerne auf uns zu.

Das Bundes­amt für Wirtschaft und Aus­fuhr­kontrolle (BAFA) betreut die Förderung unter­nehmerischen Know-hows für Unter­nehmen durch Unter­nehmens­berat­ungen. In diesem Rahmen sind auch unsere Leistungen förderbar. Wir haben schon diverse Förder­gelder für unsere Kunden beantragen können.

Kontaktieren Sie uns gerne für ein unverbindliches Gespräch.

Datenschutz

Die digitale Verarbeitung personenbezogener Daten von Kunden und Beschäftigten gehört zum Arbeitsalltag. Wir stehen für eine angemessene branchen- und unternehmensspezifische Beratung.

Datenschutz EINFACH machen!

Informationssicherheit

Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. Die IT.DS Beratung ist kompetenter Ansprechpartner im Bereich IT-Security.

Informationssicherheit EINFACH machen!

Arbeitssicherheit

Die Sicherheit der Beschäftigten bei der Arbeit und die Förderung der Gesundheit sind essentielle Unternehmens­ziele. Unsere Fachkräfte für Arbeitssicherheit sind überregional tätig.

Arbeitssicherheit EINFACH machen!

Qualitätsmanagement

Die Zertifizierung nach ISO 9001 stellt für Unternehmen meist eine große Herausforderung dar.
Interne Audits und integrierte Managementsysteme sind unsere Leidenschaft.

Qualitätsmanagement EINFACH machen!

IT.DS Beratung

Sie sind auf der Suche nach einem kompetenten und zuverlässigen Dienstleister. Wir bieten unseren Kunden praxisnahe Lösungen.

Die IT.DS Beratung EINFACH kennenlernen!