Speichert Ihr Unternehmen Kundendaten in einer Cloud? Haben Sie eine externe Buchhaltung über ein Lohnbüro? Dann wissen Sie bereits, dass Sie einen Vertrag zur Auftragsverarbeitung („AV-Vertrag“) mit dem Dienstleister abschließen müssen. Als Anlage zu diesem AV-Vertrag erhalten Sie die technischen und organisatorischen Maßnahmen („TOM“) des Dienstleisters, damit Sie prüfen können, ob Ihnen das Schutzniveau für die Datensicherheit ausreicht. Denn als Auftraggeber bleiben Sie „Verantwortlicher“ für die Verarbeitung der Daten, auch wenn diese faktisch bei „einem anderen“ verarbeitet werden.
Regelmäßige Kontrollen des Auftragnehmers erforderlich
Um dieser Verantwortung auch gerecht werden zu können, sollten Sie die vom Dienstleister gebotenen TOM in regelmäßigen Abständen kontrollieren und diese Kontrollen auch dokumentieren. Zwar können Sie sich vom Dienstleister auch Zertifizierungen oder Testate von externen Kontrolleuren vorlegen lassen. Allerdings wird in einigen Fällen fraglich sein, ob diese Zertifizierungen eine echte Vor-Ort-Kontrolle ersetzen können. Deshalb ist es dringend ratsam in regelmäßigen Abständen eine Vor-Ort-Kontrolle beim Dienstleister durchzuführen, um Ihrer Pflicht aus Art. 28 Abs. 1 DSGVO nachzukommen. Die „Regelmäßigkeit“ der Kontrollen hängt davon ab, wie „risikobehaftet“ die Verarbeitung der Daten durch den Dienstleister für den Betroffenen ist.
Zielbestimmung und Vorbereitung eines Kontrolltermins beim Dienstleister
Damit ein solcher Kontrolltermin beim Dienstleister auch sinnvoll gestaltet wird, ist es zunächst erforderlich, zu bestimmen, was genau Inhalt der Auftragskontrolle sein soll. Hierzu sollten Sie sich die TOM des Dienstleisters im Vorfeld noch einmal genau ansehen. Zudem sind in der Vorbereitung seitens des Auftraggebers meist Fragebögen zu entwickeln, mit deren Hilfe der Vor-Ort-Termin beim Dienstleister strukturiert durchgeführt werden kann. Des Weiteren ist neben der Terminfindung eine verantwortliche Person des Dienstleisters zu benennen, mit der die Auftragskontrolle durchgeführt wird.
Inhaltliche Durchführung des Kontrolltermins
Die tatsächliche Kontrolle vor Ort kann sich im Wesentlichen an den TOM des Auftragnehmers orientieren. Dies bedeutet, dass Sie all jene Maßnahmen überprüfen können, die der Dienstleister Ihnen im Vorfeld mit seinen TOM zugesichert hat. Natürlich ist hierbei seitens des Auftragnehmers darauf zu achten, dass Sie keinen Einblick in Daten von anderen Kunden des Dienstleisters erhalten. Beispielsweise können Sie folgende Punkte überprüfen, wenn diese vom Auftragnehmer angegeben wurden:
• Einhaltung der „Clean-Desk-Policy“ an den Arbeitsplätzen beim Dienstleister
• Formaler Prozess zur Entsorgung von Papiermüll, auf dem personenbezogene Daten stehen
• Tatsächliche Sicherung des Serverraums
• Vorliegen von Backup-Konzepten, Passwortrichtlinien
• Prozess zum Mobile-Device-Management
• Führen eines Schlüsselbuches
Erstellung eines Kontrollberichtes und Nachbesserungsforderungen
Nachdem Sie den Vor-Ort-Termin beim Auftragnehmer abgeschlossen haben, sollten Sie einen umfassenden Bericht erstellen, in dem Sie die vom Dienstleister vorgegebenen Maßnahmen den tatsächlich vorgefundenen Maßnahmen gegenüberstellen. Sie sollten den Dienstleister unter Fristsetzung auffordern, all jene Maßnahmen nachzubessern, die Sie als unzureichend vorgefunden haben. Gegebenenfalls ist nach einigen Wochen ein erneuter Kontrolltermin beim Dienstleister erforderlich.
Kein Kommentar