PresseKat - Auftragsdatenverarbeitung: Kein Audit ist auch keine Compliance-Lösung

Auftragsdatenverarbeitung: Kein Audit ist auch keine Compliance-Lösung

ID: 1153820

agsdatenverarbeitung: Kein Audit ist auch keine Compliance-Lösung


Sobald personenbezogene Daten durch einen Dienstleister verarbeitet werden (bzw. ein Zugriff hierauf nicht auszuschließen ist), muss sich der Auftraggeber von der Einhaltung der technischen und organisatorischen Maßnahmen überzeugen. Ein solcher Check stellt viele Unternehmen nicht selten vor eine Herausforderung. Zum einen fehlt ein geeigneter Fragenkatalog, nach dem diese Überprüfung vorgenommen werden soll, zum anderen fehlt oft eine effiziente Methodik, z. T. auch die Fachkompetenz und sehr oft ausreichend Zeit, um ein solches Audit vorzubereiten, durchzuführen und die Ergebnisse auszuwerten.

Innerhalb des § 11 Bundesdatenschutzgesetz (BDSG) sind Unternehmen dazu verpflichtet, nicht nur die Verträge entsprechend der gesetzlich vorgegebenen Inhalte zu gestalten (wie z. B. zu Sicherheitsmaßnahmen oder Kontrollrechten), sondern auch die Outsourcing-Dienstleister im Hinblick auf die Umsetzung der vorgegebenen Sicherheitsmaßnahmen zu überprüfen. Diese Prüfung muss nicht nur vorab im Rahmen des Auswahlverfahrens durchgeführt, sondern auch danach regelmäßig wiederholt werden. Auch eine Dokumentation dieser Prüfung ist gesetzlich verpflichtend.

Diese Vorgaben gelten im Übrigen nicht nur bei einer aktiven Datenverarbeitung (wie z. B. Personalabrechnung, Digitalisierung von Rechnungen und Lettershop), sondern auch für den IT-Support beispielsweise durch Fernwartung, wenn dabei "ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann". Hierbei wird oft auch vergessen, dass das BDSG keine Privilegierung von Konzerngesellschaften wie Mutter-/Tochter-Unternehmen vorsieht und diese Unternehmen genauso wie externe Auftragnehmer behandelt werden müssen.

Für die Durchführung dieser Kontrollanforderungen fehlt vielen Unternehmen nicht nur die fachliche, sondern auch methodische Kompetenz sowie die Erfahrung zur Durchführung dieser Audits. Viele ignorieren diese gesetzliche Pflicht, was Datenschutz-Aufsichtsbehörden bemängeln.

Andere Unternehmen greifen auf "Profis" zurück, die oftmals schneller und routinierter vorgehen können. So haben diese beim Auftragnehmer auch oftmals eine erhöhte "Autorität" als der Auftraggeber bzw. Kunde selbst, wie Dr. Heiko Haaz (Leiter der Datenschutz-Zertifizierungsstelle der UIMCert GmbH) berichtet. Diese verbessert die Akzeptanz der Befragung und Ergebnisse; auch beim Dienstleister selbst.

Ein zusätzlicher Vorteil ist, dass solche Auditierungen auch koordiniert werden können, indem weitere Kunden des Dienstleisters angesprochen und von einer gemeinsamen Auditierung überzeugt werden. Der Dienstleister hat somit nur ein Audit zu "ertragen" und die verschiedenen Auftraggeber können die Kosten und Aufwände aufteilen, so dass erhebliche Kosteneinsparungen möglich sind.
Das Ergebnis sollte nicht nur ein Status-Quo-Bericht sein, sondern auch ein Maßnahmenkatalog mit Vorgaben an den Dienstleister zur Verbesserung enthalten. Dies verbessert nicht nur den Datenschutz, sondern oftmals auch allgemein die Qualität der Dienstleistung.

Dienstleister selbst könnten dabei sogar noch einen Schritt weitergehen und sich zertifizieren oder testieren lassen. So kann ein Gütesiegel, wie beispielsweise das von der UIMCert, einen hohen Qualitätsstandard proaktiv gegenüber (potentiellen) Kunden dokumentieren. Dies ist nicht nur eine vertrauensbildende Maßnahme, sondern kann auch Kunden-Audits ersetzen oder zumindest reduzieren.


UIMCert GmbH
Dr. Jörn Voßbein
Moltkestraße 19
42115 Wuppertal

Tel.: (0202) 309 87 39
Fax.: (0202) 309 87 49

E-Mail: certification@uimcert.de
Internet: http://uimcert.de/pressemitteilungen0.html?pk_campaign=pressrelation

(pressrelations) - itung: Kein Audit ist auch keine Compliance-Lösung


Sobald personenbezogene Daten durch einen Dienstleister verarbeitet werden (bzw. ein Zugriff hierauf nicht auszuschließen ist), muss sich der Auftraggeber von der Einhaltung der technischen und organisatorischen Maßnahmen überzeugen. Ein solcher Check stellt viele Unternehmen nicht selten vor eine Herausforderung. Zum einen fehlt ein geeigneter Fragenkatalog, nach dem diese Überprüfung vorgenommen werden soll, zum anderen fehlt oft eine effiziente Methodik, z. T. auch die Fachkompetenz und sehr oft ausreichend Zeit, um ein solches Audit vorzubereiten, durchzuführen und die Ergebnisse auszuwerten.

Innerhalb des § 11 Bundesdatenschutzgesetz (BDSG) sind Unternehmen dazu verpflichtet, nicht nur die Verträge entsprechend der gesetzlich vorgegebenen Inhalte zu gestalten (wie z. B. zu Sicherheitsmaßnahmen oder Kontrollrechten), sondern auch die Outsourcing-Dienstleister im Hinblick auf die Umsetzung der vorgegebenen Sicherheitsmaßnahmen zu überprüfen. Diese Prüfung muss nicht nur vorab im Rahmen des Auswahlverfahrens durchgeführt, sondern auch danach regelmäßig wiederholt werden. Auch eine Dokumentation dieser Prüfung ist gesetzlich verpflichtend.

Diese Vorgaben gelten im Übrigen nicht nur bei einer aktiven Datenverarbeitung (wie z. B. Personalabrechnung, Digitalisierung von Rechnungen und Lettershop), sondern auch für den IT-Support beispielsweise durch Fernwartung, wenn dabei "ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann". Hierbei wird oft auch vergessen, dass das BDSG keine Privilegierung von Konzerngesellschaften wie Mutter-/Tochter-Unternehmen vorsieht und diese Unternehmen genauso wie externe Auftragnehmer behandelt werden müssen.

Für die Durchführung dieser Kontrollanforderungen fehlt vielen Unternehmen nicht nur die fachliche, sondern auch methodische Kompetenz sowie die Erfahrung zur Durchführung dieser Audits. Viele ignorieren diese gesetzliche Pflicht, was Datenschutz-Aufsichtsbehörden bemängeln.





Andere Unternehmen greifen auf "Profis" zurück, die oftmals schneller und routinierter vorgehen können. So haben diese beim Auftragnehmer auch oftmals eine erhöhte "Autorität" als der Auftraggeber bzw. Kunde selbst, wie Dr. Heiko Haaz (Leiter der Datenschutz-Zertifizierungsstelle der UIMCert GmbH) berichtet. Diese verbessert die Akzeptanz der Befragung und Ergebnisse; auch beim Dienstleister selbst.

Ein zusätzlicher Vorteil ist, dass solche Auditierungen auch koordiniert werden können, indem weitere Kunden des Dienstleisters angesprochen und von einer gemeinsamen Auditierung überzeugt werden. Der Dienstleister hat somit nur ein Audit zu "ertragen" und die verschiedenen Auftraggeber können die Kosten und Aufwände aufteilen, so dass erhebliche Kosteneinsparungen möglich sind.
Das Ergebnis sollte nicht nur ein Status-Quo-Bericht sein, sondern auch ein Maßnahmenkatalog mit Vorgaben an den Dienstleister zur Verbesserung enthalten. Dies verbessert nicht nur den Datenschutz, sondern oftmals auch allgemein die Qualität der Dienstleistung.

Dienstleister selbst könnten dabei sogar noch einen Schritt weitergehen und sich zertifizieren oder testieren lassen. So kann ein Gütesiegel, wie beispielsweise das von der UIMCert, einen hohen Qualitätsstandard proaktiv gegenüber (potentiellen) Kunden dokumentieren. Dies ist nicht nur eine vertrauensbildende Maßnahme, sondern kann auch Kunden-Audits ersetzen oder zumindest reduzieren.


UIMCert GmbH
Dr. Jörn Voßbein
Moltkestraße 19
42115 Wuppertal

Tel.: (0202) 309 87 39
Fax.: (0202) 309 87 49

E-Mail: certification(at)uimcert.de
Internet: http://uimcert.de/pressemitteilungen0.html?pk_campaign=pressrelation

Unternehmensinformation / Kurzprofil:
PresseKontakt / Agentur:

UIMCert GmbH
Dr. Jörn Voßbein
Moltkestraße 19
42115 Wuppertal

Tel.: (0202) 309 87 39
Fax.: (0202) 309 87 49

E-Mail: certification(at)uimcert.de
Internet: http://uimcert.de/pressemitteilungen0.html?pk_campaign=pressrelation



drucken  als PDF  an Freund senden  Starcore gibt Geschäftsergebnis 2014 bekannt Außenminister Steinmeier zur Lage in der Ukraine
Bereitgestellt von Benutzer: pressrelations
Datum: 19.12.2014 - 16:06 Uhr
Sprache: Deutsch
News-ID 1153820
Anzahl Zeichen: 8267

pressrelations.de – ihr Partner für die Veröffentlichung von Pressemitteilungen und Presseterminen, Medienbeobachtung und Medienresonanzanalysen


Diese Pressemitteilung wurde bisher 0 mal aufgerufen.


Die Pressemitteilung mit dem Titel:
"Auftragsdatenverarbeitung: Kein Audit ist auch keine Compliance-Lösung"
steht unter der journalistisch-redaktionellen Verantwortung von

UIMCert (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).


Alle Meldungen von UIMCert