Datensicherheit und Outsourcing unter einem Hut?

Gerade kleine und mittelständische Unternehmen stehen vor einem Dilemma: Zum einen haben sie oftmals nicht die Ressourcen und das Know How, eigenständig IT-Systeme sicher zu betreiben. Daher werden Services an einen externen „Profi“ ausgelagert. Auf der anderen Seite wissen sie dann nicht mehr, ob der beauftragte Dienstleister auch sicher und gesetzeskonform arbeitet. Dann kommen auf den Auftraggeber verschiedene gesetzliche Anforderungen zu, wenn „[…] ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.“. Hierbei handelt es sich um eine personenbezogene Datenverarbeitung im Auftrag gemäß § 11 BDSG (der inhaltlich in analoger Form mittlerweile auch in vielen Landes-Datenschutzgesetzen enthalten ist). Hierbei wird oft auch vergessen, dass im Datenschutzrecht kein Konzern-Privileg existiert. Daher müssen die gesetzlichen Anforderungen auch dann berücksichtigt werden, wenn beispielsweise die Muttergesellschaft oder eine Dienstleistungstochter diese Aufgaben übernimmt. Neben klar definierten Punkten, die vertraglich geregelt sein müssen, was aus der Erfahrung der UIMC oft vergessen wird, ist auch eine (regelmäßige) Kontrolle des Dienstleisters erforderlich. Dies wird regelmäßig aus bloßer Unkenntnis, sehr häufig aber auch deswegen vergessen, weil Unklarheit über die Art und der Weise der Kontrolle besteht. Im Mittelstand fehlen zudem oft auch Know How und Ressourcen für eine solche Auditierung. Im Rahmen des regelmäßigen Überprüfens ist seitens des Gesetzgebers keine starre Frist (wie z. B. jährlich) vorgesehen; vielmehr ist dies in Abhängigkeit der Größe, Komplexität und „Brisanz“ der Auftrags-Datenverarbeitung durchzuführen. Es muss auch nicht zwingend eine Überprüfung vor Ort und/oder in Person stattfinden, vielmehr kann es auch ein Testat eines Sachverständigen bzw. ein Zertifikat sein, um die Umsetzung der Anforderungen nachzuweisen. Beides sollte stets durch den betrieblichen oder behördlichen Datenschutzbeauftragten beurteilt werden. Audit-Tools, wie beispielsweise das Dienstleister-Auditierungs-Tool der UIMC, bieten dem Auftraggeber nicht nur einen etablierten und standardisierten Fragenkatalog, sondern auch eine effiziente Prüf- und Dokumentationsmöglichkeit. Darüber hinaus bietet es den Dienstleistern selbst auch die Möglichkeit, dies in Form eines Selbst-Checks durchzuführen und die Ergebnisse den Kunden proaktiv (auch im Sinne einer vertrauensbildenden Maßnahme) zur Verfügung zu stellen. Im Rahmen des „informativen Tags der offenen Tür: Datenschutz mit Best Practice“ werden seitens erfahrener Referenten der UIMC am 21.06.2012 bei Vorträgen die rechtlichen Anforderungen und typischen Schwierigkeiten, Probleme und besonderen Anforderungen dargestellt. Hierbei sollen Beispiele aus der Praxis angeführt werden, wie diese Vorgaben des Gesetzgebers pragmatisch umgesetzt werden können/sollen. Auch die Möglichkeit und die Vorteile einer etwaigen Zertifizierung und weitere Datenschutzthemen können an diesem Tage diskutiert werden. Die Veranstaltung ist kostenfrei.