FAQ: Outsourcing
Des Weiteren werden Vereinbarungen mit dem Dienstleister und Überprüfungen durch Normen (beispielsweise ISO 27001/-02 oder TISAX) und durch Gesetze gefordert (siehe Kasten). Die Datenschutzgrundverordnung (DSGVO) fordert zudem eine Rechenschaftspflicht ein, so dass das Outsourcing dokumentiert werden muss.
Nachfolgend wollen wir daher Empfehlungen für die unterschiedlichen Phasen einer Beauftragung eines Auftragnehmers darstellen und zeigen, dass dies auch pragmatisch umgesetzt werden kann:
Kategorisierung der Dienstleistung
Der Auftragnehmer ist vor Beginn der Datenverarbeitung und sodann auch regelmäßig zu kontrollieren. Die Form, Intensität und Häufigkeit der Prüfung ist von der o. g. Kritikalität abhängig. Hierbei eignen sich in der Regel Mischformen aus Selbstauskunftsbogen und Vor-Ort-/Remote-Audits.
Erstellung eines Lastenhefts
Neben den eigentlichen Fach-Anforderungen sollten in das Lastenheft klare Vorgaben an die Informationssicherheit und den Datenschutz einfließen. Das Anforderungsniveau ist hierbei von der o.g. Kritikalität stark abhängig.
Auswahl eines geeigneten Dienstleisters
Neben der Qualität des Dienstleisters im Hinblick auf die Ausführung der Leistungserbringung und Dienstleistung im engeren Sinne, sind die datenschutzrechtlichen und informationssicherheitstechnischen Maßnahmen zu prüfen.
Der Dienstleister sollte Referenzen für ähnliche Outsourcing-Vorhaben aufweisen können. Ferner ist der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Ein Nachweis kann unterschiedlich erfolgen:
- Nachweis eines Zertifikats gemäß ISO 27001: Dieses Zertifikat sollte aber durch den Informationssicherheits- und/oder Datenschutzbeauftragten mindestens im Hinblick auf den Scope dahingehend geprüft werden, ob es auf die Dienstleistung passt [näheres hierzu bei unserer Zertifizierungsschwester UIMCert ].
- Prüfung anhand durch den Dienstleister auszufüllenden Selbstauskunftsbogens [Beispiel innerhalb unseres Online-Formular-Centers; geschützter Bereich]: Die Nutzung eines Bogens sollte aber nur bei niedriger und in bestimmten Fällen bei mittlerer Kritikalität verwendet werden.
- Durchführung eines Audits: Dies kann in Kombination mit einem Selbstauskunftsbogen oder ohne diesen durchgeführt werden. Neben der eigenständigen Durchführung kann dies auch durch einen „Profi“ (wie z. B. unserer Zertifizierungsschwester UIMCert; externer Link) durchgeführt werden.
Diese Prüfungen sollten bei allen Dienstleistern durchgeführt werden, die in der engeren Auswahl sind. Hierbei können die Ergebnisse im Sinne eines Benchmarks in die Entscheidungsfindung einfließen.
Beauftragung des Auftragnehmers
Der Dienstleister ist auf die Einhaltung der Sicherheitsanforderungen und/oder Datenschutzvorschriften zu verpflichten. Hierzu sollten Musterverträge vorhanden sein (Beispiele innerhalb unseres Online-Formular-Centers; geschützter Bereich]. Dies gilt für jegliche Arten von Dienstleistungen, bei denen vertrauliche Informationen oder personenbezogene Daten zur Kenntnis genommen werden können (unerheblich, ob Daten übermittelt, per Remote-Zugriff eingesehen oder im Rahmen des Leasings oder der Datenvernichtung zumindest theoretisch zur Kenntnis gelangen können). Verträge sind grundsätzlich vom Justiziariat, den Informationssicherheits- und/oder Datenschutzbeauftragten zu prüfen.
Hierbei sollten Sie auch beachten, dass bei der Beauftragung von Dienstleistern außerhalb der EU grundsätzlich auch zusätzliche Garantien im Datenschutz einzuhalten sind.
Regelmäßige Maßnahmen
Sie sind selbst als Dienstleister tätig?
Dann sollten Sie auf o. g. Vorgehensweisen Ihrer (potentiellen) Kunden vorbereitet sein.Weiterführende Informationen:
- Kostenfreie web.eCollege-Seminare zum Outsourcing, zum Drittlandtransfer und den Standarddatenschutzklauseln (Sie haben die Webinare verpasst? Dann können Sie Zugang zu den Unterlagen und z. T. zu Aufzeichnungen erhalten.)
- Fortbildungen; eignen Sie sich Fachwissen an
- UIMCert: Lieferantenbewertung [externer Link]
Immer gut informiert
Newsletter
Bleiben Sie mit unserem Info-Brief auf dem Laufenden.
Abonnieren Sie den Newsletter und verpassen Sie keinen unserer Artikel.
Sie benötigen Beratung zum Datenschutz, eine Schulung des Datenschutzbeauftragten der Firma oder einen externen Datenschutzbeauftragten?
Melden Sie sich bei uns und lassen Sie sich unverbindlich und kostenfrei beraten.