DMC
Live-Suche  
 
 

Überprüfung von Auftragnehmern – eine Herausforderung für jedes Unternehmen

Immer mehr Unternehmensprozesse werden an Dienstleister ausgelagert. Häufig beziehen sich die Dienstleistungen auf Tätigkeiten, die datenschutzrechtlich als Auftragsdatenverarbeitung im Sinne des § 11 BDSG zu klassifizieren und regelmäßig zu überprüfen sind. Aber wie sieht ein solches Prüfkonzept aus? ...

Seit der Novellierung des § 11 BDSG  Ende 2009 treffen Auftraggeber erhöhte - bußgeldbewehrte - Anforderungen an die Auftragsgestaltung hinsichtlich seiner Dienstleister und an deren Kontrolle. Dies bezieht sich insbesondere auf die Vereinbarung und Umsetzung technischer und organisatorischer IT-Sicherheitsmaßnahmen.

Schnell liegt die Zahl der betroffenen Dienstleister im zwei – oder dreistelligen Bereich.

Hieraus wird deutlich, dass ein Auftraggeber ein valides Konzept für die Organisation der Auftragsdatenverarbeitung und die Kontrolle seiner Auftragnehmer entwickeln muss, um seine datenschutzrechtlichen Risiken zu minimieren. Aufgrund der Vielzahl der Dienstleister ist zur Festlegung der Prüfreihenfolge und des Prüfrhythmus ein risikoorientiertes Vorgehen geboten. Hierzu gehören:

  •  Erstellung einer Richtlinie zur Auftragsdatenverarbeitung
  • Die Aufnahme und Dokumentation der bestehenden Dienstleistungsverhältnisse / Erstellung eines Auftragsdatenverarbeitungsinventars
  • Eine Risikobewertung der einzelnen Dienstleistungsvereinbarungen
  • Die Erarbeitung eines Prüfplanes in Abhängigkeit des Risikos
  • Eine dienstleistungsbezogene risikoorientierte Auftragskontrolle
  • Die Dokumentation der Auftragskontrolle.

Gerne stehen wir Ihnen zur Implementierung und Umsetzung eines solchen Konzeptes zur Verfügung.

Der Vorteil dieses risikoorientierten Ansatzes ist es, dass die zur Verfügung stehenden, mitunter knappen, Ressourcen zielgerichtet zur Kontrolle eingesetzt werden können.

Er befreit von dem Zwang, alle Dienstleister gleichzeitig – quasi mit der Gießkannenmethode – zu prüfen.

Gleichzeitig können über die Risikobetrachtung unterschiedliche Prüfrhythmen und Prüftiefen belegt werden. Und dort wo die Prüfungen durchgeführt werden, können sie auch im Hinblick auf das allgemeine Unternehmensrisiko sinnvoll durchgeführt werden.

Mit verstärkten Prüfungen der Auftragsdatenverarbeitungen durch die Aufsichtsbehörden ist zu rechnen.

Wir unterstützen Sie bei der effektiven und effizienten Umsetzung des § 11 BDSG.

Gerne erläutern wir Ihnen unser Konzept und freuen uns auf Ihre Anfrage!