dienstleister.Checkup

Der Gesetzgeber hat mit dieser Prüfanforderung etwas verbindlich festgelegt, was ohnehin dringend zu empfehlen ist: Beim Outsourcing sollte der Dienstleister im Hinblick auf Umsetzung vertraglicher Forderungen strukturiert überprüft werden. Schließlich heißt es „Vertrauen ist gut, Kontrolle ist besser!“

Mit Hilfe unseres Dienstleister-Auditierungs-Tools, welches technisch auf Basis des bewährten UTAB entwickelt wurde, haben Sie ein Praxis-erprobtes Tool zur Hand, mit dem Sie sich strukturiert, einfach und effizient von der Einhaltung der geforderten Maßnahmen beim Dienstleister überzeugen können (etablierte Checkliste zur Prüfung). Ferner werden automatisch Maßnahmen vorgeschlagen, die der Dienstleister in vorgegebener Frist umsetzen sollte (kontinuierlicher Verbesserungsprozess). Auch eine kontinuierliche Trendanalyse oder ein Benchmarking im Rahmen der Ausschreibung ist möglich.

Durch das Dienstleister-Auditierungs-Tool sind Sie in der Lage, den Dienstleister nach den Vorgaben der DSGVO zu auditieren; sei es im Rahmen des Auswahlverfahrens oder der (regelmäßigen) Auditierung! Mit Hilfe der einfachen Berichterstellung kann auch der Dokumentationspflicht nachgekommen werden.

Der Gesetzgeber hat keine klare Festlegung vorgenommen und dies bewusst offen gehalten. Vielmehr sollte dies in Abhängigkeit von Umfang, Komplexität und „Brisanz“ der Auftragsverarbeitung gemeinsam mit dem Datenschutzbeauftragten in einem Audit-Konzept festgelegt werden (u. U. innerhalb des Datenschutzhandbuchs).

Die gesetzliche Anforderung bezieht sich ausschließlich auf Dienstleister im Sinne der Auftragsverarbeitung (Artikel 28 DSGVO). Davon abzugrenzen ist zum einen die Funktionsübertragung, bei der der Dienstleister zur „verantwortlichen Stelle“ der Datenverarbeitung wird, und zum anderen jene Dienstleistung, wo der Auftragnehmer keine Möglichkeit hat, auf personenbezogene Daten zuzugreifen.

Hierbei gilt zu beachten, dass eine Auftragsverarbeitung nicht nur dann vorliegt, wenn die personenbezogenen Daten (ob Kundendaten, Personaldaten etc.) "aktiv" durch den Dienstleister verarbeitet werden (wie z. B. Lohnabrechnung, Lettershop oder elektronische Archivierung), sondern auch dann, wenn ein Zugriff durch den Auftragnehmer auf personenbezogene Daten nicht auszuschließen ist (z. B. Hard- und Software-Wartung sowie -Support oder Rechenzentrum).

Auch der Dienstleister selbst kann das Tool und die Vorgehensweise für eigene Zwecke nutzen. Sei es, um die eigene Organisation dahingehend zu überprüfen, ob bspw. ausreichende technische und organisatorische Maßnahmen ergriffen wurden. (Ggf. ist dann auch der datenschutz.Checkup für Sie interessant.) Er wird dann dazu befähigt, etwaig erforderliche Gegenmaßnahmen zu ergreifen. Grundsätzlich sollte stets auch ein Datenschutzkonzept vorhanden sein.

Mit Hilfe des Tools kann sich ein Dienstleister aber auch auf ein etwaiges Kunden-Audit vorbereiten. Ergänzend kann das Tool auch dafür genutzt werden, um anhand des Berichts bereits proaktiv die Kunden über die Datenschutzmaßnahmen im eigenen Hause zu informieren. Hierbei zeigt sich der auf Best-Practice-Basis etablierte Fragenkatalog des Dienstleister-Auditierungs-Tools als vorteilhaft in der Argumentation gegenüber Kunden. Auch kann ein internes Audit die Grundlage für eine Testierung oder Gütesiegelung/Zertifizierung sein. (Informieren Sie sich bei unserem Schwesterunternehmen UIMCert GmbH.)