Auftragsdatenverarbeitung

Auftragsdatenverarbeitung: Kein Audit ist auch keine Compliance-Lösung

Sobald personenbezogene Daten durch einen Dienstleister verarbeitet werden (bzw. ein Zugriff hierauf nicht auszuschließen ist), muss sich der Auftraggeber von der Einhaltung der technischen und organisatorischen Maßnahmen überzeugen. Ein solcher Check stellt viele Unternehmen nicht selten vor eine Herausforderung. Zum einen fehlt ein geeigneter Fragenkatalog, nach dem diese Überprüfung vorgenommen werden soll, zum anderen fehlt oft eine effiziente Methodik, z. T. auch die Fachkompetenz und sehr oft ausreichend Zeit, um ein solches Audit vorzubereiten, durchzuführen und die Ergebnisse auszuwerten.

Innerhalb des § 11 Bundesdatenschutzgesetz (BDSG) sind Unternehmen dazu verpflichtet, nicht nur die Verträge entsprechend der gesetzlich vorgegebenen Inhalte zu gestalten (wie z. B. zu Sicherheitsmaßnahmen oder Kontrollrechten), sondern auch die Outsourcing-Dienstleister im Hinblick auf die Umsetzung der vorgegebenen Sicherheitsmaßnahmen zu überprüfen. Diese Prüfung muss nicht nur vorab im Rahmen des Auswahlverfahrens durchgeführt, sondern auch danach regelmäßig wiederholt werden. Auch eine Dokumentation dieser Prüfung ist gesetzlich verpflichtend.

Diese Vorgaben gelten im Übrigen nicht nur bei einer aktiven Datenverarbeitung (wie z. B. Personalabrechnung, Digitalisierung von Rechnungen und Lettershop), sondern auch für den IT-Support beispielsweise durch Fernwartung, wenn dabei „ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann“. Hierbei wird oft auch vergessen, dass das BDSG keine Privilegierung von Konzerngesellschaften wie Mutter-/Tochter-Unternehmen vorsieht und diese Unternehmen genauso wie externe Auftragnehmer behandelt werden müssen.

Für die Durchführung dieser Kontrollanforderungen fehlt vielen Unternehmen nicht nur die fachliche, sondern auch methodische Kompetenz sowie die Erfahrung zur Durchführung dieser Audits. Viele ignorieren diese gesetzliche Pflicht, was Datenschutz-Aufsichtsbehörden bemängeln.

Andere Unternehmen greifen auf „Profis“ zurück, die oftmals schneller und routinierter vorgehen können. So haben diese beim Auftragnehmer auch oftmals eine erhöhte „Autorität“ als der Auftraggeber bzw. Kunde selbst, wie Dr. Heiko Haaz (Leiter der Datenschutz-Zertifizierungsstelle der UIMCert GmbH) berichtet. Diese verbessert die Akzeptanz der Befragung und Ergebnisse; auch beim Dienstleister selbst.

Ein zusätzlicher Vorteil ist, dass solche Auditierungen auch koordiniert werden können, indem weitere Kunden des Dienstleisters angesprochen und von einer gemeinsamen Auditierung überzeugt werden. Der Dienstleister hat somit nur ein Audit zu „ertragen“ und die verschiedenen Auftraggeber können die Kosten und Aufwände aufteilen, so dass erhebliche Kosteneinsparungen möglich sind.
Das Ergebnis sollte nicht nur ein Status-Quo-Bericht sein, sondern auch ein Maßnahmenkatalog mit Vorgaben an den Dienstleister zur Verbesserung enthalten. Dies verbessert nicht nur den Datenschutz, sondern oftmals auch allgemein die Qualität der Dienstleistung.

Dienstleister selbst könnten dabei sogar noch einen Schritt weitergehen und sich zertifizieren oder testieren lassen. So kann ein Gütesiegel, wie beispielsweise das von der UIMCert, einen hohen Qualitätsstandard proaktiv gegenüber (potentiellen) Kunden dokumentieren. Dies ist nicht nur eine vertrauensbildende Maßnahme, sondern kann auch Kunden-Audits ersetzen oder zumindest reduzieren.