UIMC: Was tun, wenn der Kunde nach Datenschutz fragt?
Was tun, wenn der Kunde nach Datenschutz fragt? UIMC Dr. Voßbein GmbH & Co KG
Anforderungen an Dienstleister von Unternehmen/Geschäftskunden
Nicht nur im Rahmen des Endkundengeschäfts, sondern auch bei klassischen Dienstleistungen zwischen Unternehmen wird zunehmend die tatsächliche Umsetzung des Datenschutzes beim Dienstleister kritisch hinterfragt. Dies kommt einerseits aus der gestiegenen Sensibilisierung zum Datenschutz und zur Informationssicherheit im Zuge der NSA-Affäre ("Sind meine Daten sicher?"). Andererseits ist es aber auch darin begründet, dass der Gesetzgeber explizite Vorgaben zur Gestaltung dieser Zusammenarbeit vorgegeben hat und verschiedene Aufsichtsbehörden nun auch dazu übergehen, dies zu prüfen. So sind entsprechende Anforderungen vertraglich zu fixieren und regelmäßige Audits beim Auftragnehmer durchzuführen; im Zweifel auch bei der Muttergesellschaft.
Spätestens seit der Novelle des Bundesdatenschutzgesetzes (BDSG) im Jahre 2009 wurde eine Vielzahl von Unternehmen vor die Herausforderung gestellt, die Compliance-Situation ihrer Dienstleistungsverhältnisse auf Basis des § 11 BDSG neu zu gestalten. So müssen die Verträge gesetzlich vorgegebene Inhalte enthalten (wie z. B. zu Sicherheitsmaßnahmen oder Kontrollrechten); ferner müssen die Outsourcing-Dienstleister im Hinblick auf die Umsetzung der vorgegebenen Sicherheitsmaßnahmen überprüft werden. Diese Prüfung muss nicht nur vorab im Rahmen des Auswahlverfahrens durchgeführt, sondern auch danach regelmäßig wiederholt werden. Auch eine Dokumentation dieser Prüfung ist Pflicht.
Diese Vorgaben gelten nicht nur für das Outsourcing der Personalabrechnung, der elektronischen Archivierung und des Lettershops, sondern auch für den IT-Support beispielsweise durch Fernwartung auf dem Kunden-System, wenn dabei "ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann". Hierbei wird jedoch oftmals vergessen, dass das BDSG keine Privilegierung von Konzerngesellschaften wie Mutter-/Tochter-Unternehmen vorsieht und diese Unternehmen genauso wie externe Auftragnehmer behandelt werden müssen.
Auf der anderen Seite sehen sich viele Dienstleister damit konfrontiert, dass sie von einer Vielzahl ihrer Kunden auf das Thema Datenschutz angesprochen werden. Somit müssen diesbezüglich einerseits intern (revisionssichere bzw. prüfbare) Strukturen und Prozesse geschaffen werden, um eine ausreichende Qualität sicherstellen zu können. Ein Qualitätsmanagementsystem ist zwar sehr häufig umgesetzt, eine explizite Berücksichtigung von datenschutzrechtlichen Anforderungen ist nach Erfahrungen der UIMC aber nicht die Regel, sondern vielmehr die Ausnahme. Es müssen jedoch klare Regeln zu den Berechtigungen auf die Kundendaten und -systeme, zur Verpflichtung und Sensibilisierung der Mitarbeiter, aber auch zu weiteren technischen und organisatorischen Maßnahmen getroffen werden. Idealerweise sollte der Datenschutzbeauftragte hierbei eine zentrale Rolle einnehmen. Andererseits werden die Dienstleister durch die Auftraggeber auditiert, ob die vorgenannten Regeln existieren und auch umgesetzt sind.
Um nicht gänzlich unvorbereitet zu sein, sollte der Dienstleister neben den verbindlichen Regeln auch selbst einmal ein solches Audit intern durchgeführt haben. Anhand eines etablierten Fragenkatalogs kann die eigene Organisation dahingehend geprüft werden, ob die rechtlichen Anforderungen erfüllt sind oder umfassende Nachbesserungsforderungen durch den Kunden drohen. Wenn das interne Audit durch einen externen Auditor vorgenommen wird, gewinnt dies an Objektivität und Neutralität. Durch die "geliehene Autorität" können bestimmte Vorhaben zielführender angestoßen und umgesetzt werden, schließlich hat es "der Prophet im eigenen Land" stets schwerer. Eine solche Auditierung mit externer Unterstützung kann wiederum auch für externe Zwecke genutzt werden, indem die Ergebnisse dem (potenziellen) Kunden zur Verfügung gestellt werden. Auch eine Testierung oder Zertifizierung ist denkbar, wodurch nicht nur zeitintensive Auseinandersetzung mit vielen individuellen Audit-Anfragen entbehrlich werden, sondern auch ein Vertrauensaufbau beim (potenziellen) Kunden stattfinden kann.
UIMC Dr. Voßbein GmbH Co KG
Dr. Jörn Voßbein
Nützenberger Straße 119
42115 Wuppertal
Tel.: (0202) 265 74 - 0
Fax: (0202) 265 74 - 19
E-Mail: consultants@uimc.de
Internet: a href='https://uimc.de/communication.html?pk_campaign=pressrelation'>www.uimc.de
Anforderungen an Dienstleister von Unternehmen/Geschäftskunden
Nicht nur im Rahmen des Endkundengeschäfts, sondern auch bei klassischen Dienstleistungen zwischen Unternehmen wird zunehmend die tatsächliche Umsetzung des Datenschutzes beim Dienstleister kritisch hinterfragt. Dies kommt einerseits aus der gestiegenen Sensibilisierung zum Datenschutz und zur Informationssicherheit im Zuge der NSA-Affäre ("Sind meine Daten sicher?"). Andererseits ist es aber auch darin begründet, dass der Gesetzgeber explizite Vorgaben zur Gestaltung dieser Zusammenarbeit vorgegeben hat und verschiedene Aufsichtsbehörden nun auch dazu übergehen, dies zu prüfen. So sind entsprechende Anforderungen vertraglich zu fixieren und regelmäßige Audits beim Auftragnehmer durchzuführen; im Zweifel auch bei der Muttergesellschaft.
Spätestens seit der Novelle des Bundesdatenschutzgesetzes (BDSG) im Jahre 2009 wurde eine Vielzahl von Unternehmen vor die Herausforderung gestellt, die Compliance-Situation ihrer Dienstleistungsverhältnisse auf Basis des § 11 BDSG neu zu gestalten. So müssen die Verträge gesetzlich vorgegebene Inhalte enthalten (wie z. B. zu Sicherheitsmaßnahmen oder Kontrollrechten); ferner müssen die Outsourcing-Dienstleister im Hinblick auf die Umsetzung der vorgegebenen Sicherheitsmaßnahmen überprüft werden. Diese Prüfung muss nicht nur vorab im Rahmen des Auswahlverfahrens durchgeführt, sondern auch danach regelmäßig wiederholt werden. Auch eine Dokumentation dieser Prüfung ist Pflicht.
Diese Vorgaben gelten nicht nur für das Outsourcing der Personalabrechnung, der elektronischen Archivierung und des Lettershops, sondern auch für den IT-Support beispielsweise durch Fernwartung auf dem Kunden-System, wenn dabei "ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann". Hierbei wird jedoch oftmals vergessen, dass das BDSG keine Privilegierung von Konzerngesellschaften wie Mutter-/Tochter-Unternehmen vorsieht und diese Unternehmen genauso wie externe Auftragnehmer behandelt werden müssen.
Auf der anderen Seite sehen sich viele Dienstleister damit konfrontiert, dass sie von einer Vielzahl ihrer Kunden auf das Thema Datenschutz angesprochen werden. Somit müssen diesbezüglich einerseits intern (revisionssichere bzw. prüfbare) Strukturen und Prozesse geschaffen werden, um eine ausreichende Qualität sicherstellen zu können. Ein Qualitätsmanagementsystem ist zwar sehr häufig umgesetzt, eine explizite Berücksichtigung von datenschutzrechtlichen Anforderungen ist nach Erfahrungen der UIMC aber nicht die Regel, sondern vielmehr die Ausnahme. Es müssen jedoch klare Regeln zu den Berechtigungen auf die Kundendaten und -systeme, zur Verpflichtung und Sensibilisierung der Mitarbeiter, aber auch zu weiteren technischen und organisatorischen Maßnahmen getroffen werden. Idealerweise sollte der Datenschutzbeauftragte hierbei eine zentrale Rolle einnehmen. Andererseits werden die Dienstleister durch die Auftraggeber auditiert, ob die vorgenannten Regeln existieren und auch umgesetzt sind.
Um nicht gänzlich unvorbereitet zu sein, sollte der Dienstleister neben den verbindlichen Regeln auch selbst einmal ein solches Audit intern durchgeführt haben. Anhand eines etablierten Fragenkatalogs kann die eigene Organisation dahingehend geprüft werden, ob die rechtlichen Anforderungen erfüllt sind oder umfassende Nachbesserungsforderungen durch den Kunden drohen. Wenn das interne Audit durch einen externen Auditor vorgenommen wird, gewinnt dies an Objektivität und Neutralität. Durch die "geliehene Autorität" können bestimmte Vorhaben zielführender angestoßen und umgesetzt werden, schließlich hat es "der Prophet im eigenen Land" stets schwerer. Eine solche Auditierung mit externer Unterstützung kann wiederum auch für externe Zwecke genutzt werden, indem die Ergebnisse dem (potenziellen) Kunden zur Verfügung gestellt werden. Auch eine Testierung oder Zertifizierung ist denkbar, wodurch nicht nur zeitintensive Auseinandersetzung mit vielen individuellen Audit-Anfragen entbehrlich werden, sondern auch ein Vertrauensaufbau beim (potenziellen) Kunden stattfinden kann.
UIMC Dr. Voßbein GmbH Co KG
Dr. Jörn Voßbein
Nützenberger Straße 119
42115 Wuppertal
Tel.: (0202) 265 74 - 0
Fax: (0202) 265 74 - 19
E-Mail: consultants@uimc.de
Internet: a href='https://uimc.de/communication.html?pk_campaign=pressrelation'>www.uimc.deUnternehmensinformation / Kurzprofil:
PresseKontakt / Agentur:
Dr. Jörn Voßbein
Nützenberger Straße 119
42115 Wuppertal
Tel.: (0202) 265 74 - 0
Fax: (0202) 265 74 - 19
E-Mail: consultants(at)uimc.de
Internet: a href='https://uimc.de/communication.html?pk_campaign=pressrelation'>www.uimc.de
Datum: 19.12.2014 - 06:15 Uhr
Sprache: Deutsch
News-ID 1152918
Anzahl Zeichen: 9742
pressrelations.de – ihr Partner für die Veröffentlichung von Pressemitteilungen und Presseterminen, Medienbeobachtung und Medienresonanzanalysen
Diese Pressemitteilung wurde bisher 429 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"UIMC: Was tun, wenn der Kunde nach Datenschutz fragt?"
steht unter der journalistisch-redaktionellen Verantwortung von
UIMC (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
nen verpackte Datenschutzprobleme sein
Alle Jahre wieder nutzen Unternehmen die Möglichkeit, Ihren Kunden zu Weihnachten eine kleine Aufmerksamkeit zukommen zu lassen. Hierbei werden einige Grußworte an die Geschäftspartner gerichtet. Dies geschieht natürlich mit dem Ziel, das eigene Untern
Bewertung der Vorgesetzten durch die Hintertür: Wie eine Mitarbeiterbefragung zum Bumerang werden kann ...
etzten durch die Hintertür: Wie eine Mitarbeiterbefragung zum Bumerang werden kann
Viele Unternehmen führen in Kooperation mit dem Betriebsrat, eine Befragung der Mitarbeiter durch, um deren Zufriedenheit zu ermitteln und Verbesserungspotenziale aufzudecken. Hierbei werden aber häufig datens
UIMC: Das Warten auf die EU-Datenschutz-Grundverordnung oder: Was tun, wenn der Chef plötzlich in den USA sitzt? ...
die EU-Datenschutz-Grundverordnung oder: Was tun, wenn der Chef plötzlich in den USA sitzt?
Nicht nur Großkonzerne, sondern auch Unternehmen des deutschen Mittelstands werden immer öfter Teil einer Unternehmensgruppe. Zur Ausnutzung von Synergieeffekten werden hierbei auch, zumindest in TeilWeitere Mitteilungen von UIMC
Fans von LG und Bayer 04 Leverkusen unterstützen Kinder ...
Technologiekonzern und Bundesligaclub bieten Chance für Engagement via Facebook
LG Electronics, Inc. (LG) und Bayer 04 Leverkusen bieten der Allgemeinheit die Möglichkeit, sich in ihre aktuelle Initiative zugunsten von Kindern einzubringen. Ab heute können Fans von Bayer 04 Leverkusen und v
Kentix-Partnerprogramm bereitet Reseller auf Wachstumsmarkt Umgebungs-Monitoring vor ...
Neues Konzept mit drei Qualifizierungsstufen, höheren Produktmargen und Projektunterstützung
Kentix, Experte für Umgebungs-Monitoring in Serverräumen, hat sein Partnerprogramm aufgefrischt. In drei Stufen erhalten Fachhändler und Integratoren ab sofort Unterstützung: als Authorized Partn
ANSYS 15.0 Strömungssimulation liefert noch schnellere und exaktere Resultate ...
Neue Funktionalitäten verbessern innovative CFD-Lösungen
Darmstadt, 29. Januar 2014 - Durch einen weiteren Ausbau der bereits sehr umfangreichen Funktionalitäten im Bereich der Preprocessing-, Löser- und Optimierungstechnologien ermöglicht die neue ANSYS 15.0 Version den Anwendern, kürze
Revolvermänner GmbH ist neue Social Media Lead Agency für Arla Foods Deutschland ...
sseldorfer Unternehmen übernimmt zum Jahresbeginn den Social Media-Etat der internationalen Molkereigenossenschaft Arla Foods Deutschland
(Düsseldorf) Seit dem 1. Januar 2014 ist die Revolvermänner GmbH die Social Media Lead Agency der internationalen Molkereigenossenschaft Arla Foods Deutschl
