Zu wenig Kontrolle bei Auftragsdatenverarbeitung

Bei vielen Unternehmen wird ein Teil der Datenverarbeitung ausgelagert, um Ressourcen zu sparen. Doch damit geben sie nicht die Verantwortung für diese Daten ab. Als Auftraggeber bleiben sie bei Auftragsdatenverarbeitungen für Verfehlungen ihrer Dienstleister vollumfänglich verantwortlich und haftbar. Doch die Befragungsergebnisse aus dem TÜV SÜD Datenschutzindikator (DSI) lassen den Schluss zu, dass sich nicht alle Betriebe dieser Verantwortung tatsächlich bewusst sind.

Verträge abschließen

Nur 42 Prozent der beim DSI Befragten schließen mit jedem Auftragnehmer, der in ihrem Auftrag personenbezogene Daten verarbeitet oder an den IT-Systemen Wartungen vornimmt, einen entsprechenden Vertrag zur Auftragsdatenverarbeitung. Das Bundesdatenschutzgesetz (BDSG) verpflichtet Unternehmen jedoch dazu, solche Verträge abzuschließen, da sie als Auftraggeber auch weiterhin für die Sicherheit der Daten verantwortlich sind und Schadenersatzansprüche sowie Bußgelder an sie gerichtet werden.

»Diese Verträge sind für die Firmen eine wichtige Absicherung«, erklärt Rainer Seidlitz, Prokurist bei der TÜV SÜD Sec-IT GmbH. »Darin verpflichten sie ihre Auftragnehmer, entsprechend ihren Vorgaben mit den personenbezogenen Daten umzugehen. Außerdem kann ein Bußgeld von bis zu 50.000 Euro fällig werden, wenn kein Vertrag zur Auftragsdatenverarbeitung vorhanden ist oder dieser nicht richtig, nicht vollständig oder nicht in der vom BDSG vorgeschriebenen Weise abgeschlossen ist.«

Die Einhaltung der Datenschutzpflichten überprüfen

Noch gravierender ist, dass mit 23 Prozent nicht einmal ein Drittel der Befragten ihre externen Dienstleister regelmäßig auf die Einhaltung der Datenschutzpflichten überprüft und dies dokumentiert. Ohne diese Prüfung ist nicht einschätzbar, ob die personenbezogenen Daten beim Auftragnehmer tatsächlich gut aufgehoben sind. »Die Auftragsdatenverarbeitung darf ein Unternehmen erst erteilen, wenn der Dienstleister die geforderten technischen und organisatorischen Maßnahmen zum Datenschutz erfüllt und nachhaltig aufrechterhalten kann«, erläutert Rainer Seidlitz. »Dies muss natürlich vor der Auftragserteilung und anschließend in regelmäßigen Abständen geprüft werden – entweder vor Ort oder durch eine entsprechend aussagekräftige Dokumentation.«

grafik tüv süd dsi datenschutzindikator

[1] Der TÜV SÜD DSI wurde im Juli 2014 von der TÜV SÜD Sec-IT GmbH, unterstützt durch die Ludwig-Maximilians-Universität München, vorgestellt. Unternehmen, die selbst prüfen möchten, wie gut sie in Sachen Datenschutz aufgestellt sind und an welchen Stellen Verbesserungspotenzial besteht, können am TÜV SÜD DSI unter www.tuev-sued.de/datenschutzindikator teilnehmen.
Weitere Informationen zu den Themen Datenschutz und Datensicherheit erhalten Interessenten unter www.tuev-sued.de/sec-it oder unter der kostenlosen Rufnummer 0800/5791-5005.

Weitere Artikel zu