Auftragsdatenverarbeitung: Kein Audit ist auch keine Compliance-Lösung
agsdatenverarbeitung: Kein Audit ist auch keine Compliance-Lösung UIMCert GmbH
Sobald personenbezogene Daten durch einen Dienstleister verarbeitet werden (bzw. ein Zugriff hierauf nicht auszuschließen ist), muss sich der Auftraggeber von der Einhaltung der technischen und organisatorischen Maßnahmen überzeugen. Ein solcher Check stellt viele Unternehmen nicht selten vor eine Herausforderung. Zum einen fehlt ein geeigneter Fragenkatalog, nach dem diese Überprüfung vorgenommen werden soll, zum anderen fehlt oft eine effiziente Methodik, z. T. auch die Fachkompetenz und sehr oft ausreichend Zeit, um ein solches Audit vorzubereiten, durchzuführen und die Ergebnisse auszuwerten.
Innerhalb des § 11 Bundesdatenschutzgesetz (BDSG) sind Unternehmen dazu verpflichtet, nicht nur die Verträge entsprechend der gesetzlich vorgegebenen Inhalte zu gestalten (wie z. B. zu Sicherheitsmaßnahmen oder Kontrollrechten), sondern auch die Outsourcing-Dienstleister im Hinblick auf die Umsetzung der vorgegebenen Sicherheitsmaßnahmen zu überprüfen. Diese Prüfung muss nicht nur vorab im Rahmen des Auswahlverfahrens durchgeführt, sondern auch danach regelmäßig wiederholt werden. Auch eine Dokumentation dieser Prüfung ist gesetzlich verpflichtend.
Diese Vorgaben gelten im Übrigen nicht nur bei einer aktiven Datenverarbeitung (wie z. B. Personalabrechnung, Digitalisierung von Rechnungen und Lettershop), sondern auch für den IT-Support beispielsweise durch Fernwartung, wenn dabei "ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann". Hierbei wird oft auch vergessen, dass das BDSG keine Privilegierung von Konzerngesellschaften wie Mutter-/Tochter-Unternehmen vorsieht und diese Unternehmen genauso wie externe Auftragnehmer behandelt werden müssen.
Für die Durchführung dieser Kontrollanforderungen fehlt vielen Unternehmen nicht nur die fachliche, sondern auch methodische Kompetenz sowie die Erfahrung zur Durchführung dieser Audits. Viele ignorieren diese gesetzliche Pflicht, was Datenschutz-Aufsichtsbehörden bemängeln.
Andere Unternehmen greifen auf "Profis" zurück, die oftmals schneller und routinierter vorgehen können. So haben diese beim Auftragnehmer auch oftmals eine erhöhte "Autorität" als der Auftraggeber bzw. Kunde selbst, wie Dr. Heiko Haaz (Leiter der Datenschutz-Zertifizierungsstelle der UIMCert GmbH) berichtet. Diese verbessert die Akzeptanz der Befragung und Ergebnisse; auch beim Dienstleister selbst.
Ein zusätzlicher Vorteil ist, dass solche Auditierungen auch koordiniert werden können, indem weitere Kunden des Dienstleisters angesprochen und von einer gemeinsamen Auditierung überzeugt werden. Der Dienstleister hat somit nur ein Audit zu "ertragen" und die verschiedenen Auftraggeber können die Kosten und Aufwände aufteilen, so dass erhebliche Kosteneinsparungen möglich sind.
Das Ergebnis sollte nicht nur ein Status-Quo-Bericht sein, sondern auch ein Maßnahmenkatalog mit Vorgaben an den Dienstleister zur Verbesserung enthalten. Dies verbessert nicht nur den Datenschutz, sondern oftmals auch allgemein die Qualität der Dienstleistung.
Dienstleister selbst könnten dabei sogar noch einen Schritt weitergehen und sich zertifizieren oder testieren lassen. So kann ein Gütesiegel, wie beispielsweise das von der UIMCert, einen hohen Qualitätsstandard proaktiv gegenüber (potentiellen) Kunden dokumentieren. Dies ist nicht nur eine vertrauensbildende Maßnahme, sondern kann auch Kunden-Audits ersetzen oder zumindest reduzieren.
UIMCert GmbH
Dr. Jörn Voßbein
Moltkestraße 19
42115 Wuppertal
Tel.: (0202) 309 87 39
Fax.: (0202) 309 87 49
E-Mail: certification@uimcert.de
Internet: http://uimcert.de/pressemitteilungen0.html?pk_campaign=pressrelation
Sobald personenbezogene Daten durch einen Dienstleister verarbeitet werden (bzw. ein Zugriff hierauf nicht auszuschließen ist), muss sich der Auftraggeber von der Einhaltung der technischen und organisatorischen Maßnahmen überzeugen. Ein solcher Check stellt viele Unternehmen nicht selten vor eine Herausforderung. Zum einen fehlt ein geeigneter Fragenkatalog, nach dem diese Überprüfung vorgenommen werden soll, zum anderen fehlt oft eine effiziente Methodik, z. T. auch die Fachkompetenz und sehr oft ausreichend Zeit, um ein solches Audit vorzubereiten, durchzuführen und die Ergebnisse auszuwerten.
Innerhalb des § 11 Bundesdatenschutzgesetz (BDSG) sind Unternehmen dazu verpflichtet, nicht nur die Verträge entsprechend der gesetzlich vorgegebenen Inhalte zu gestalten (wie z. B. zu Sicherheitsmaßnahmen oder Kontrollrechten), sondern auch die Outsourcing-Dienstleister im Hinblick auf die Umsetzung der vorgegebenen Sicherheitsmaßnahmen zu überprüfen. Diese Prüfung muss nicht nur vorab im Rahmen des Auswahlverfahrens durchgeführt, sondern auch danach regelmäßig wiederholt werden. Auch eine Dokumentation dieser Prüfung ist gesetzlich verpflichtend.
Diese Vorgaben gelten im Übrigen nicht nur bei einer aktiven Datenverarbeitung (wie z. B. Personalabrechnung, Digitalisierung von Rechnungen und Lettershop), sondern auch für den IT-Support beispielsweise durch Fernwartung, wenn dabei "ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann". Hierbei wird oft auch vergessen, dass das BDSG keine Privilegierung von Konzerngesellschaften wie Mutter-/Tochter-Unternehmen vorsieht und diese Unternehmen genauso wie externe Auftragnehmer behandelt werden müssen.
Für die Durchführung dieser Kontrollanforderungen fehlt vielen Unternehmen nicht nur die fachliche, sondern auch methodische Kompetenz sowie die Erfahrung zur Durchführung dieser Audits. Viele ignorieren diese gesetzliche Pflicht, was Datenschutz-Aufsichtsbehörden bemängeln.
Andere Unternehmen greifen auf "Profis" zurück, die oftmals schneller und routinierter vorgehen können. So haben diese beim Auftragnehmer auch oftmals eine erhöhte "Autorität" als der Auftraggeber bzw. Kunde selbst, wie Dr. Heiko Haaz (Leiter der Datenschutz-Zertifizierungsstelle der UIMCert GmbH) berichtet. Diese verbessert die Akzeptanz der Befragung und Ergebnisse; auch beim Dienstleister selbst.
Ein zusätzlicher Vorteil ist, dass solche Auditierungen auch koordiniert werden können, indem weitere Kunden des Dienstleisters angesprochen und von einer gemeinsamen Auditierung überzeugt werden. Der Dienstleister hat somit nur ein Audit zu "ertragen" und die verschiedenen Auftraggeber können die Kosten und Aufwände aufteilen, so dass erhebliche Kosteneinsparungen möglich sind.
Das Ergebnis sollte nicht nur ein Status-Quo-Bericht sein, sondern auch ein Maßnahmenkatalog mit Vorgaben an den Dienstleister zur Verbesserung enthalten. Dies verbessert nicht nur den Datenschutz, sondern oftmals auch allgemein die Qualität der Dienstleistung.
Dienstleister selbst könnten dabei sogar noch einen Schritt weitergehen und sich zertifizieren oder testieren lassen. So kann ein Gütesiegel, wie beispielsweise das von der UIMCert, einen hohen Qualitätsstandard proaktiv gegenüber (potentiellen) Kunden dokumentieren. Dies ist nicht nur eine vertrauensbildende Maßnahme, sondern kann auch Kunden-Audits ersetzen oder zumindest reduzieren.
UIMCert GmbH
Dr. Jörn Voßbein
Moltkestraße 19
42115 Wuppertal
Tel.: (0202) 309 87 39
Fax.: (0202) 309 87 49
E-Mail: certification@uimcert.de
Internet: http://uimcert.de/pressemitteilungen0.html?pk_campaign=pressrelationUnternehmensinformation / Kurzprofil:
PresseKontakt / Agentur:
Dr. Jörn Voßbein
Moltkestraße 19
42115 Wuppertal
Tel.: (0202) 309 87 39
Fax.: (0202) 309 87 49
E-Mail: certification(at)uimcert.de
Internet: http://uimcert.de/pressemitteilungen0.html?pk_campaign=pressrelation
Datum: 19.12.2014 - 16:06 Uhr
Sprache: Deutsch
News-ID 1153820
Anzahl Zeichen: 8267
pressrelations.de – ihr Partner für die Veröffentlichung von Pressemitteilungen und Presseterminen, Medienbeobachtung und Medienresonanzanalysen
Diese Pressemitteilung wurde bisher 402 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Auftragsdatenverarbeitung: Kein Audit ist auch keine Compliance-Lösung"
steht unter der journalistisch-redaktionellen Verantwortung von
UIMCert (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
er Aktion Mensch e. V. ist die Transition des Informationssicherheits-Managementsystems auf ISO 27001:2013 erfolgreich gelungen
Die DAkkS-akkreditierte UIMCert GmbH konnte der Aktion Mensch im Juni/ Juli 2015 im Transitions- und Überwachungsaudit gemäß ISO 27001 erneut ein sicheres Informat
UIMCert bestätigt der FEV GmbH die erfolgreiche Transition des Informationssicherheits-Managementsystems auf ISO 27001:2013 ...
r FEV GmbH die erfolgreiche Transition des Informationssicherheits-Managementsystems auf ISO 27001:2013
Die UIMCert GmbH konnte im Rezertifizierungsaudit gemäß ISO 27001 der FEV GmbH im Februar 2015 erneut ein sicheres Informationssicherheits-Managementsystem (ISMS) bestätigen. Durch den erf
UIMCert führt Datenschutzprüfung bei IT-Outsourcing-Dienstleister von Schneider Electric erfolgreich durch ...
chutzprüfung bei IT-Outsourcing-Dienstleister von Schneider Electric erfolgreich durch
Evaluation der Auftragsdatenverarbeitung bei Capgemini fällt positiv aus
Spätestens seit der Novelle des Bundesdatenschutzgesetzes (BDSG) im Jahre 2009 müssen Dienstleister im Rahmen der AuftragsdatenWeitere Mitteilungen von UIMCert
Urteil des Bundesverfassungsgerichts zur Luftverkehrsteuer ...
Zu der Entscheidung des Bundesverfassungsgerichts betreffend das abstrakte Normenkontrollverfahren zur Verfassungsmäßigkeit des Luftverkehrsteuergesetzes vom 9. Dezember 2010 erklärt das Bundesministerium der Finanzen:
Das Bundesministerium der Finanzen begrüßt die heutige Entscheidung des
Evonik offers environmentally friendly alternative for microplastics in exfoliants ...
ironmentally friendly alternative for microplastics in exfoliants
Evonik Industries, Essen, is launching two new products to replace microplastics in peeling products: the specialty silica SIPERNAT® 2200 PC and SIPERNAT® 22 PC. A number of prominent international cosmetics companies already use
ALLANA POTASH informiert über den aktuellen Stand der Optimierungsstudien und den Projektfortschritt ...
ormiert über den aktuellen Stand der Optimierungsstudien und den Projektfortschritt
Allana Potash Corp. (TSX: AAA) (Allana oder das Unternehmen) informiert über den aktuellen Stand der laufenden Optimierungsstudien im Kaliprojekt Danakhil in Äthiopien sowie über weitere Arbeiten im Zusammenha
Repräsentative Umfrage in fünf Nachbarländern ...
Energiewende bei europäischen Nachbarn weitgehend unbekannt
Datum der Veröffentlichung: 05. November 2014
Eine von der BP Europa SE initiierte repräsentative Umfrage in Frankreich, den Niederlanden, Dänemark, Polen und der Schweiz liefert Ergebnisse über die Wahrnehmung der Energiewende b
BASF-Mitarbeiterzentrum für Work-Life-Management feiert ersten Geburtstag ...
- Privates und Berufliches besser miteinander verbinden
- Vielseitiges Angebot gut angenommen
- Mitarbeiter- und Familientag zum einjährigen Bestehen
LuMit - das Mitarbeiterzentrum für Work-Life-Management der BASF SE in Ludwigshafen - feiert heute, 5. November 2014, seinen ersten Geburtsta
