Dienstleister-Auditierung (Auftragsdatenverarbeitung)

Nach den Vorgaben des Bundesdatenschutzgesetzes (§ 11 BDSG: Auftragsdatenverarbeitung) sowie weiterer Datenschutzgesetze muss sich der Auftraggeber beim Auftragnehmer vor Beginn der Datenverarbeitung und „sodann regelmäßig“ von der Einhaltung der technischen und organisatorischen Maßnahmen überzeugen. Dies ist zu dokumentieren.

Ein solches „Überzeugen“ stellt ein Unternehmen, wie auch bei anderen Datenschutz-Analysen, nicht selten vor die Herausforderung, wie dies zu gestalten ist. Zum einen fehlt eine geeignete Vorgehensweise, mit der diese Überprüfung vorgenommen werden soll; zum anderen ist ein Fragenkatalog in Papierform oftmals problematisch in der Durchführung und späteren Auswertung. Darüber hinaus sollte dem Dienstleister auch ein Ergebnisbericht vorgelegt und Schwachstellen nicht nur aufgezeigt, sondern auch Umsetzungsmaßnahmen eingefordert werden.

Beachten Sie auch die Möglichkeit, koordinierte Dienstleister-Audits [extern] durchzuführen und dabei sowohl eine höhere Akzeptanz bei den Auftragnehmern als auch eine Kostenreduktion bei den Auftraggebern zu erreichen.

Wie ist das „Sich Überzeugen“ in der Auftragsdatenverarbeitung zu gestalten?

Der Gesetzgeber hat die Formulierung „Sich Überzeugen“ in § 11 BDSG bewusst offen gehalten (analoges gilt auch für die Landes-, Kirchen- und Sozialgesetze). Daher muss nicht zwingend eine Überprüfung vor Ort und/oder in Person stattfinden. Laut Gesetzesbegründung kann auch das Vorlegen eines Testats eines Sachverständigen oder eine schriftliche Auskunft des Auftragnehmers ausreichend sein. Dies ist in Abhängigkeit von der Art der Auftragsdatenverarbeitung zu entscheiden. Eine Entscheidung sollte einerseits mit dem eigenen Datenschutzbeauftragten abgestimmt und andererseits unter Berücksichtigung von Umfang, Komplexität und „Brisanz“ der Auftragsdatenverarbeitung geschehen.

Bei kritischen Datenverarbeitungen ist aber mindestens die Vorlage eines entsprechenden Zertifikats (hierbei reichen QM-Zertifikate gemäß ISO 9000 oder Zertifikate mit fehlendem Fokus auf die Dienstleistung nicht aus) oder eine Auditierung durch einen Vertreter des Auftraggebers (z. B. Datenschutzbeauftragter, IT-Revisor oder neutraler Auditor) dringend zu empfehlen. Doch auch ein Zertifikat nach ISO 27001 (Best-Practice-Norm zur Informationssicherheit bzw. zu Informationssicherheits-Managementsystemen) sollte nicht ungeprüft akzeptiert werden (z. B. im Hinblick auf den korrekten Scope).

Welchen Nutzen kann ich neben der gesetzlichen Pflicht aus der Auditierung generieren?

Der Gesetzgeber hat mit dieser Prüfanforderung etwas verbindlich festgelegt, was ohnehin dringend zu empfehlen ist: Beim Outsourcing sollte der Dienstleister im Hinblick auf Umsetzung vertragliche Forderungen strukturiert überprüft werden. Schließlich heißt es „Vertrauen ist gut, Kontrolle ist besser!“

Mit Hilfe unseres Dienstleister-Auditierungs-Tools, welches technisch auf Basis des bewährten UTAB entwickelt wurde, haben Sie ein praxis-erprobtes Tool zur Hand, mit dem Sie sich strukturiert, einfach und effizient von der Einhaltung der geforderten Maßnahmen beim Dienstleister überzeugen können (etablierte Checkliste zur Prüfung). Ferner werden automatisch Maßnahmen vorgeschlagen, die der Dienstleister in vorgegebener Frist umsetzen sollte (kontinuierlicher Verbesserungsprozess). Auch eine kontinuierliche Trendanalyse oder ein Benchmarking im Rahmen der Ausschreibung ist möglich.

Durch das Dienstleister-Auditierungs-Tool sind Sie in die Lage, den Dienstleister nach den Vorgaben des BDSG zu auditieren; sei es im Rahmen des Auswahlverfahrens (§ 11 Absatz 2 Satz 1 BDSG) oder der (regelmäßigen) Auditierung im Sinne des „Sich-Überzeugens“ (§ 11 Absatz 2 Satz 4 BDSG)! Mit Hilfe der einfachen Berichterstellung kann auch der Dokumentationspflicht nachgekommen werden.

Wie häufig muss eine solche Überprüfung vorgenommen werden?

Der Gesetzgeber hat die Formulierung „sodann regelmäßig“ im Gesetz bewusst offen gehalten und hat keine starre Frist (wie z. B. jährlich) vorgesehen. Vielmehr sollte dies in Abhängigkeit von Umfang, Komplexität und „Brisanz“ der Auftrags-Datenverarbeitung gemeinsam mit dem Datenschutzbeauftragten in einem Audit-Konzept festgelegt werden (u. U. innerhalb des Datenschutzhandbuchs).

Muss ich ausnahmslos jeden Dienstleister auditieren?

Die gesetzliche Anforderung bezieht sich ausschließlich auf Dienstleister im Sinne der Auftragsdatenverarbeitung (z. B. § 11 BDSG). Davon abzugrenzen ist zum einen die Funktionsübertragung, bei der der Dienstleister zur „verantwortlichen Stelle“ der Datenverarbeitung wird, und zum andere jene Dienstleistung, wo der Auftragnehmer keine Möglichkeit hat, auf personenbezogene Daten zuzugreifen.

Hierbei gilt zu beachten, dass eine Auftragsdatenverarbeitung nicht nur dann vorliegt, wenn die personenbezogenen Daten (ob Kundendaten, Personaldaten etc.) "aktiv" durch den Dienstleister verarbeitet werden (wie z. B. Lohnabrechnung, Lettershop oder elektronische Archivierung), sondern auch dann, wenn ein Zugriff durch den Auftragnehmer auf personenbezogene Daten nicht auszuschließen ist (z. B. Hard- und Software-Wartung sowie -Support oder Rechenzentrum).

Kann auch ein Dienstleister das Tool selbst nutzen?

Auch der Dienstleister selbst kann das Tool und die Vorgehensweise für eigene Zwecke nutzen. Sei es, um die eigene Organisation dahingehend zu überprüfen, ob bspw. ausreichende technische und organisatorische Maßnahmen ergriffen wurden. (Ggf. ist dann auch der Datenschutz-Checkup für Sie interessant.) Er wird dann dazu befähigt, etwaig erforderliche Gegenmaßnahmen zu ergreifen. Grundsätzlich sollte stets auch ein Datenschutzkonzept vorhanden sein.

Mit Hilfe des Tools kann sich ein Dienstleister aber auch auf ein etwaiges Kunden-Audit vorbereiten. Ergänzend kann das Tool auch dafür genutzt werden, um anhand des Berichts bereits proaktiv die Kunden über die Datenschutzmaßnahmen im eigenen Hause zu informieren. Hierbei zeigt sich der auf Best-Practice-Basis etablierte Fragenkatalog des Dienstleister-Auditierungs-Tools als vorteilhaft in der Argumentation gegenüber Kunden. Auch kann ein internes Audit die Grundlage für eine Testierung oder Gütesiegelung/Zertifizierung sein. (Informieren Sie sich bei unserem Schwesterunternehmen UIMCert.)