Auftragsdatenverarbeitung: Kein Audit ist auch keine Compliance-Lösung
agsdatenverarbeitung: Kein Audit ist auch keine Compliance-Lösung UIMCert GmbH
Sobald personenbezogene Daten durch einen Dienstleister verarbeitet werden (bzw. ein Zugriff hierauf nicht auszuschließen ist), muss sich der Auftraggeber von der Einhaltung der technischen und organisatorischen Maßnahmen überzeugen. Ein solcher Check stellt viele Unternehmen nicht selten vor eine Herausforderung. Zum einen fehlt ein geeigneter Fragenkatalog, nach dem diese Überprüfung vorgenommen werden soll, zum anderen fehlt oft eine effiziente Methodik, z. T. auch die Fachkompetenz und sehr oft ausreichend Zeit, um ein solches Audit vorzubereiten, durchzuführen und die Ergebnisse auszuwerten.
Innerhalb des § 11 Bundesdatenschutzgesetz (BDSG) sind Unternehmen dazu verpflichtet, nicht nur die Verträge entsprechend der gesetzlich vorgegebenen Inhalte zu gestalten (wie z. B. zu Sicherheitsmaßnahmen oder Kontrollrechten), sondern auch die Outsourcing-Dienstleister im Hinblick auf die Umsetzung der vorgegebenen Sicherheitsmaßnahmen zu überprüfen. Diese Prüfung muss nicht nur vorab im Rahmen des Auswahlverfahrens durchgeführt, sondern auch danach regelmäßig wiederholt werden. Auch eine Dokumentation dieser Prüfung ist gesetzlich verpflichtend.
Diese Vorgaben gelten im Übrigen nicht nur bei einer aktiven Datenverarbeitung (wie z. B. Personalabrechnung, Digitalisierung von Rechnungen und Lettershop), sondern auch für den IT-Support beispielsweise durch Fernwartung, wenn dabei "ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann". Hierbei wird oft auch vergessen, dass das BDSG keine Privilegierung von Konzerngesellschaften wie Mutter-/Tochter-Unternehmen vorsieht und diese Unternehmen genauso wie externe Auftragnehmer behandelt werden müssen.
Für die Durchführung dieser Kontrollanforderungen fehlt vielen Unternehmen nicht nur die fachliche, sondern auch methodische Kompetenz sowie die Erfahrung zur Durchführung dieser Audits. Viele ignorieren diese gesetzliche Pflicht, was Datenschutz-Aufsichtsbehörden bemängeln.
Andere Unternehmen greifen auf "Profis" zurück, die oftmals schneller und routinierter vorgehen können. So haben diese beim Auftragnehmer auch oftmals eine erhöhte "Autorität" als der Auftraggeber bzw. Kunde selbst, wie Dr. Heiko Haaz (Leiter der Datenschutz-Zertifizierungsstelle der UIMCert GmbH) berichtet. Diese verbessert die Akzeptanz der Befragung und Ergebnisse; auch beim Dienstleister selbst.
Ein zusätzlicher Vorteil ist, dass solche Auditierungen auch koordiniert werden können, indem weitere Kunden des Dienstleisters angesprochen und von einer gemeinsamen Auditierung überzeugt werden. Der Dienstleister hat somit nur ein Audit zu "ertragen" und die verschiedenen Auftraggeber können die Kosten und Aufwände aufteilen, so dass erhebliche Kosteneinsparungen möglich sind.
Das Ergebnis sollte nicht nur ein Status-Quo-Bericht sein, sondern auch ein Maßnahmenkatalog mit Vorgaben an den Dienstleister zur Verbesserung enthalten. Dies verbessert nicht nur den Datenschutz, sondern oftmals auch allgemein die Qualität der Dienstleistung.
Dienstleister selbst könnten dabei sogar noch einen Schritt weitergehen und sich zertifizieren oder testieren lassen. So kann ein Gütesiegel, wie beispielsweise das von der UIMCert, einen hohen Qualitätsstandard proaktiv gegenüber (potentiellen) Kunden dokumentieren. Dies ist nicht nur eine vertrauensbildende Maßnahme, sondern kann auch Kunden-Audits ersetzen oder zumindest reduzieren.
UIMCert GmbH
Dr. Jörn Voßbein
Moltkestraße 19
42115 Wuppertal
Tel.: (0202) 309 87 39
Fax.: (0202) 309 87 49
E-Mail: certification@uimcert.de
Internet: http://uimcert.de/pressemitteilungen0.html?pk_campaign=pressrelation
Sobald personenbezogene Daten durch einen Dienstleister verarbeitet werden (bzw. ein Zugriff hierauf nicht auszuschließen ist), muss sich der Auftraggeber von der Einhaltung der technischen und organisatorischen Maßnahmen überzeugen. Ein solcher Check stellt viele Unternehmen nicht selten vor eine Herausforderung. Zum einen fehlt ein geeigneter Fragenkatalog, nach dem diese Überprüfung vorgenommen werden soll, zum anderen fehlt oft eine effiziente Methodik, z. T. auch die Fachkompetenz und sehr oft ausreichend Zeit, um ein solches Audit vorzubereiten, durchzuführen und die Ergebnisse auszuwerten.
Innerhalb des § 11 Bundesdatenschutzgesetz (BDSG) sind Unternehmen dazu verpflichtet, nicht nur die Verträge entsprechend der gesetzlich vorgegebenen Inhalte zu gestalten (wie z. B. zu Sicherheitsmaßnahmen oder Kontrollrechten), sondern auch die Outsourcing-Dienstleister im Hinblick auf die Umsetzung der vorgegebenen Sicherheitsmaßnahmen zu überprüfen. Diese Prüfung muss nicht nur vorab im Rahmen des Auswahlverfahrens durchgeführt, sondern auch danach regelmäßig wiederholt werden. Auch eine Dokumentation dieser Prüfung ist gesetzlich verpflichtend.
Diese Vorgaben gelten im Übrigen nicht nur bei einer aktiven Datenverarbeitung (wie z. B. Personalabrechnung, Digitalisierung von Rechnungen und Lettershop), sondern auch für den IT-Support beispielsweise durch Fernwartung, wenn dabei "ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann". Hierbei wird oft auch vergessen, dass das BDSG keine Privilegierung von Konzerngesellschaften wie Mutter-/Tochter-Unternehmen vorsieht und diese Unternehmen genauso wie externe Auftragnehmer behandelt werden müssen.
Für die Durchführung dieser Kontrollanforderungen fehlt vielen Unternehmen nicht nur die fachliche, sondern auch methodische Kompetenz sowie die Erfahrung zur Durchführung dieser Audits. Viele ignorieren diese gesetzliche Pflicht, was Datenschutz-Aufsichtsbehörden bemängeln.
Andere Unternehmen greifen auf "Profis" zurück, die oftmals schneller und routinierter vorgehen können. So haben diese beim Auftragnehmer auch oftmals eine erhöhte "Autorität" als der Auftraggeber bzw. Kunde selbst, wie Dr. Heiko Haaz (Leiter der Datenschutz-Zertifizierungsstelle der UIMCert GmbH) berichtet. Diese verbessert die Akzeptanz der Befragung und Ergebnisse; auch beim Dienstleister selbst.
Ein zusätzlicher Vorteil ist, dass solche Auditierungen auch koordiniert werden können, indem weitere Kunden des Dienstleisters angesprochen und von einer gemeinsamen Auditierung überzeugt werden. Der Dienstleister hat somit nur ein Audit zu "ertragen" und die verschiedenen Auftraggeber können die Kosten und Aufwände aufteilen, so dass erhebliche Kosteneinsparungen möglich sind.
Das Ergebnis sollte nicht nur ein Status-Quo-Bericht sein, sondern auch ein Maßnahmenkatalog mit Vorgaben an den Dienstleister zur Verbesserung enthalten. Dies verbessert nicht nur den Datenschutz, sondern oftmals auch allgemein die Qualität der Dienstleistung.
Dienstleister selbst könnten dabei sogar noch einen Schritt weitergehen und sich zertifizieren oder testieren lassen. So kann ein Gütesiegel, wie beispielsweise das von der UIMCert, einen hohen Qualitätsstandard proaktiv gegenüber (potentiellen) Kunden dokumentieren. Dies ist nicht nur eine vertrauensbildende Maßnahme, sondern kann auch Kunden-Audits ersetzen oder zumindest reduzieren.
UIMCert GmbH
Dr. Jörn Voßbein
Moltkestraße 19
42115 Wuppertal
Tel.: (0202) 309 87 39
Fax.: (0202) 309 87 49
E-Mail: certification@uimcert.de
Internet: http://uimcert.de/pressemitteilungen0.html?pk_campaign=pressrelationUnternehmensinformation / Kurzprofil:
PresseKontakt / Agentur:
Dr. Jörn Voßbein
Moltkestraße 19
42115 Wuppertal
Tel.: (0202) 309 87 39
Fax.: (0202) 309 87 49
E-Mail: certification(at)uimcert.de
Internet: http://uimcert.de/pressemitteilungen0.html?pk_campaign=pressrelation
Datum: 19.12.2014 - 16:06 Uhr
Sprache: Deutsch
News-ID 1153820
Anzahl Zeichen: 8267
pressrelations.de – ihr Partner für die Veröffentlichung von Pressemitteilungen und Presseterminen, Medienbeobachtung und Medienresonanzanalysen
Diese Pressemitteilung wurde bisher 361 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Auftragsdatenverarbeitung: Kein Audit ist auch keine Compliance-Lösung"
steht unter der journalistisch-redaktionellen Verantwortung von
UIMCert (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).UIMCert bestätigt: Der Aktion Mensch e.V. ist die Transition des Informationssi ...
er Aktion Mensch e. V. ist die Transition des Informationssicherheits-Managementsystems auf ISO 27001:2013 erfolgreich gelungen
Die DAkkS-akkreditierte UIMCert GmbH konnte der Aktion Mensch im Juni/ Juli 2015 im Transitions- und Überwachungsau ...UIMCert bestätigt der FEV GmbH die erfolgreiche Transition des Informationssich ...
r FEV GmbH die erfolgreiche Transition des Informationssicherheits-Managementsystems auf ISO 27001:2013
Die UIMCert GmbH konnte im Rezertifizierungsaudit gemäß ISO 27001 der FEV GmbH im Februar 2015 erneut ein sicheres Informationssicherheits- ...UIMCert führt Datenschutzprüfung bei IT-Outsourcing-Dienstleister von Schneide ...
chutzprüfung bei IT-Outsourcing-Dienstleister von Schneider Electric erfolgreich durch
Evaluation der Auftragsdatenverarbeitung bei Capgemini fällt positiv aus
Spätestens seit der Novelle des Bundesdatenschutzgesetzes (BDSG) im Jahre 2009 ...Alle Meldungen von UIMCert
