Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Cover Cover Jetzt testen
Betriebsrat Checklisten Cookies Corona Drittland Homeoffice Hybrid Work Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 08/22

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat Checklisten Cookies Corona Drittland Homeoffice Hybrid Work Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen
Ratgeber
25. März 2020

DSGVO: Auftragskontrolle in der Praxis

DP+
DSGVO: Auftragskontrolle in der Praxis
Bild: iStock.com / AndreyPopov
0,00 (0)
drucken
Auftragsverarbeitung
Für einen Auftragnehmer ist es sinnvoll, selbst tätig zu werden, statt auf Prüfungen durch den Auftraggeber zu warten. Erfahren Sie, wie Sie als Auftragnehmer am besten an die Auftragskontrolle herangehen.

„Auftragskontrolle? Das gibt es doch gar nicht mehr in der Datenschutz-Grundverordnung (DSGVO)!“ So könnte manch Datenschutzbeauftragter (DSB) denken, wenn er diesen Beitrag liest. Das stimmt jedoch nur teilweise.

Auftragskontrolle in der DSGVO

Erfahrene DSB kennen die Auftragskontrolle noch aus dem alten Bundesdatenschutzgesetz. Sie verpflichtete dazu, personenbezogene Daten im Auftrag nur entsprechend den Weisungen des Auftraggebers zu verarbeiten.

In der DSGVO hingegen taucht der Begriff so nicht mehr auf. Hier heißt es aber in den Anforderungen an die Auftragsverarbeitung (AV): Ein Auftragnehmer muss dem Verantwortlichen alle Nachweise dafür zur Verfügung stellen, dass er die Anforderungen an die AV einhält, und ihm Überprüfungen ermöglichen.

Indirekt lässt sich darin die bisherige Auftragskontrolle erkennen.

Was tue ich also als Auftragnehmer, um meinem Auftraggeber zu beweisen, dass ich den Auftrag gemäß seinen Vorgaben durchführe?

Wie eine Auftragskontrolle vorbereiten?

Quellen zur Vorbereitung sind

  • die Inhalte der AV-Vereinbarung (AVV),
  • die vereinbarten technischen und organisatorischen Maßnahmen (TOMs),
  • erteilte Weisungen während der Auftragsdurchführung und
  • die generelle Auftragserbringung.

1. Inhalte der AVV

Die AVV enthält eine Vielzahl vertraglicher Vorgaben, die Auftragnehmer zu erfüllen haben. Nutzen Sie diese Punkte für Ihre spätere Prüfung, z.B.:

  • Haben wir Lösch- oder Korrekturaufträge wie vorgegeben umgesetzt?
  • Ist der damals kommunizierte Datenschutzbeauftragte noch aktiv?
  • Haben wir neue Subunternehmer? Wurden hierfür die definierten Vorgaben umgesetzt (z.B. Information des Auftraggebers)?
  • Sind alle Beschäftigten, auch neue, auf Vertraulichkeit verpflichtet?
  • Gab es Anfragen einer Aufsichtsbehörde oder Sicherheitsvorfälle, bei denen wir den Auftraggeber hätten informieren müssen?
  • Gab es Anfragen von Betroffenen, die wir an den Auftraggeber hätten weiterleiten müssen?
  • Erfolgten interne Kontrollen zur Auftragsdurchführung?

Zusätzlich sind spezielle Prüfinhalte denkbar: Darf ein Softwaredienstleister als Auftragnehmer die Fernwartung nur innerhalb eines bestimmten Zeitfensters durchführen, so kann auch dies ein Prüfinhalt sein.

2. Inhalte der TOMs

Ein fester Bestandteil der AVV sind die TOMs. Die dort definierten Schutzmaßnahmen lassen sich Punkt für Punkt als Prüfinhalte übernehmen.

Haben Auftraggeber und Auftragnehmer z.B. bestimmte Passwortvorgaben vereinbart, so lässt sich etwa bei einer Windows-Domäne die Konfiguration der Gruppenrichtlinie daraufhin prüfen, ob sie die Vorgaben für alle Benutzer erzwingt.

3. Erteilte Weisungen

Eine erteilte Weisung kann z.B. die Aufforderung sein, den Datensatz eines Kunden zu ändern.

Häufig finden sich dokumentierte Weisungen und ihre Umsetzung in E-Mails oder in Einträgen in CRM- bzw. Ticket-Systemen. Sofern diese Weisungen vollständig erfasst wurden, prüfen Sie, wie die Kollegen die Vorgaben umgesetzt haben.

4. Auftragserbringung

Bei der Auftragserbringung geht es darum, die Leistung der AVV konkret umzusetzen. Ist z.B. die Entsorgung von Unterlagen oder Datenträgern der Leistungsinhalt des Auftragnehmers, so lässt sich prüfen, inwiefern der vorgegebene Auftrag korrekt umgesetzt wurde.

Werden Ablaufbeschreibungen wie definiert in die Praxis umgesetzt? Halten sich die Beschäftigten an definierte Prozesse? Führen die Kollegen Wartungsvorgänge wie vorgegeben durch und protokollieren sie sie?

Wie die Auftragskontrolle durchführen?

Die Summe der einzelnen Prüfpunkte aus den genannten Quellen ergibt eine Liste an Prüf- oder Auditinhalten.

Diese Liste lässt sich allerdings nur bestmöglich überprüfen, wenn Sie hierfür die richtigen Teilnehmer finden. Das können je nach Thema Ansprechpartner der Fachbereiche, der IT-Administration oder der Verwaltung sein.

Sie können die Vorbereitung gezielt unterstützen, indem Sie die Prüfinhalte vorab kommunizieren.

In der Praxis hat es sich bewährt, den zeitlichen Ablauf und die Gegenstände der Prüfungen im Vorhinein mit den Beteiligten abzustimmen. So kommen Sie schneller vorwärts und sparen kostbare Zeit!

Am Tag der Auftragskontrolle prüfen Sie gemeinsam mit den Teilnehmern die vorher identifizierten Prüfinhalte. Gleichen Sie dabei die Anforderungen (Soll-Situation) mit der Umsetzung (Ist-Situation) ab.

Sofern es zeitlich möglich ist, können Sie eine erste Bewertung der Kriterien bereits unmittelbar im Termin vornehmen. Geht das zeitlich nicht, so bewerten Sie die Ergebnisse nach Abschluss der Kontrolle.

PRAXIS-TIPP: Wissen Sie nicht, wie Sie einen einzelnen Punkt prüfen, so fragen Sie das IT-Administrationspersonal.

Das ist besser, als wenn Sie während einer realen Prüfung durch den Auftraggeber auf Rückfragen nicht antworten können.

Wie die Ergebnisse aufbereiten?

Nach der Kontrolle erfolgt die Bewertung. Sofern einzelne Punkte unklar sind oder Nachweise für eine eindeutige Bewertung fehlen, so fragen Sie zeitnah beim jeweiligen Ansprechpartner nach.

Mit den weiteren Informationen sollte eine abschließende Bewertung möglich sein. Als Ergebnis liegt eine vollständige Prüfbewertung vor. Sie fasst die Vorgehensweise und die Ergebnisse der Prüfung zusammen.

Anhand dieser Bewertung lässt sich ein kompakter Prüfbericht als Nachweis an die Auftraggeber sowie für interne Adressaten erstellen. Ob ein Auftragnehmer die komplette Dokumentation übermittelt, liegt in seinem eigenen Ermessen.

Abweichungen müssen kommuniziert werden, am besten gemeinsam mit Maßnahmen, die die Abweichung zukünftig korrigieren oder bereits abgestellt haben.

Fazit: besser selbst vorab prüfen

Eine kontinuierliche, am besten jährliche Kontrolle, wie man als Auftragnehmer seine Vorgaben erfüllt, hat mehrere Vorteile:

  • Der Auftragnehmer weist kontinuierlich nach, dass er die Rechenschaftspflichten der DSGVO erfüllt, besonders die Vorgaben, die aufgrund von AVV mit Auftraggebern gelten.
  • Der Auftragnehmer gewinnt wertvolle Hinweise, um das Datenschutzniveau zu verbessern. Er erkennt schnell Abweichungen von vertraglichen Vorgaben und kann sie sofort beheben.
  • Proaktives Handeln ermöglicht die Auftragskontrolle zu einem selbst gewählten Zeitpunkt. Das vermeidet Hektik, wenn der Auftraggeber zu einem ungünstigen Zeitpunkt vor der Tür steht.

Julian Häcker

Julian Häcker
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Jetzt testen

Sie sind bereits Abonnentin oder Abonnent? Dann melden Sie sich bitte hier an.

Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Julian Häcker
Julian Häcker
Julian Häcker, Geschäftsführer der ENSECUR GmbH, löst als Datenschutzberater seit 2010 die Praxisherausforderungen im Datenschutzalltag von Unternehmen. Sein Antrieb: Datenschutz besser machen – damit die Digitalisierung datenschutzkonform gelingt.
zu den Kommentaren
Verwandte Beiträge
17. August 2022
Gratis
Das Streamen von Gemeinde- und Stadtratssitzungen ist grundsätzlich erlaubt. Vorab muss die Einwilligung aller Beteiligten eingeholt werden.
Bild: ATHVisions / iStock / Getty Images Plus

Livestream einer Gemeinderatssitzung: Das müssen Sie beachten

News
12. August 2022
Gratis
Videoüberwachung ist ein wichtiger Punkt im Tätigkeitsbericht der Berliner Datenschutzbeauftragten
Bild: iStock.com / pixinoo

Aufsichtsbehörden: Aktuelle Fälle aus dem Tätigkeitsbericht Berlin

Praxisbericht
Corona Drittland Tätigkeitsberichte TTDSG
09. August 2022
Gratis
Mobile Forensik erkennt Spuren von Angriffen auf Smartphones
Bild: iStock.com / id-work

Mobile Forensik: Angriffe datenschutzkonform aufklären

Hintergrund
IT-Sicherheit
09. August 2022
Gratis
Amazon will den Hersteller von Saugrobotern iRobot kaufen und damit auch Millionen Kundendaten. Datenschützer warnen vor Spionage!
Bild: eternalcreative / iStock / Getty Images Plus

Saugen, wischen, Daten sammeln: Saugroboter und Amazon

News
05. August 2022
DP+

EDSA warnt vor Datenübermittlungen nach Russland

Downloads
weitere Beiträge laden
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.