< zurück zum Blog

Wie kann ein Auftraggeber seinen Auftragnehmer kontrollieren?

22.12.2020

Speichert Ihr Unternehmen Kundendaten in einer Cloud? Haben Sie eine externe Buchhaltung über ein Lohnbüro? Dann wissen Sie bereits, dass Sie einen Vertrag zur Auftragsverarbeitung („AV-Vertrag“) mit dem Dienstleister abschließen müssen. Als Anlage zu diesem AV-Vertrag erhalten Sie die technischen und organisatorischen Maßnahmen („TOM“) des Dienstleisters, damit Sie prüfen können, ob Ihnen das Schutzniveau für die Datensicherheit ausreicht. Denn als Auftraggeber bleiben Sie „Verantwortlicher“ für die Verarbeitung der Daten, auch wenn diese faktisch bei „einem anderen“ verarbeitet werden.

Regelmäßige Kontrollen des Auftragnehmers erforderlich

Um dieser Verantwortung auch gerecht werden zu können, sollten Sie die vom Dienstleister gebotenen TOM in regelmäßigen Abständen kontrollieren und diese Kontrollen auch dokumentieren. Zwar können Sie sich vom Dienstleister auch Zertifizierungen oder Testate von externen Kontrolleuren vorlegen lassen. Allerdings wird in einigen Fällen fraglich sein, ob diese Zertifizierungen eine echte Vor-Ort-Kontrolle ersetzen können. Deshalb ist es dringend ratsam in regelmäßigen Abständen eine Vor-Ort-Kontrolle beim Dienstleister durchzuführen, um Ihrer Pflicht aus Art. 28 Abs. 1 DSGVO nachzukommen. Die „Regelmäßigkeit“ der Kontrollen hängt davon ab, wie „risikobehaftet“ die Verarbeitung der Daten durch den Dienstleister für den Betroffenen ist.

Zielbestimmung und Vorbereitung eines Kontrolltermins beim Dienstleister

Damit ein solcher Kontrolltermin beim Dienstleister auch sinnvoll gestaltet wird, ist es zunächst erforderlich, zu bestimmen, was genau Inhalt der Auftragskontrolle sein soll. Hierzu sollten Sie sich die TOM des Dienstleisters im Vorfeld noch einmal genau ansehen. Zudem sind in der Vorbereitung seitens des Auftraggebers meist Fragebögen zu entwickeln, mit deren Hilfe der Vor-Ort-Termin beim Dienstleister strukturiert durchgeführt werden kann. Des Weiteren ist neben der Terminfindung eine verantwortliche Person des Dienstleisters zu benennen, mit der die Auftragskontrolle durchgeführt wird.

Inhaltliche Durchführung des Kontrolltermins

Die tatsächliche Kontrolle vor Ort kann sich im Wesentlichen an den TOM des Auftragnehmers orientieren. Dies bedeutet, dass Sie all jene Maßnahmen überprüfen können, die der Dienstleister Ihnen im Vorfeld mit seinen TOM zugesichert hat. Natürlich ist hierbei seitens des Auftragnehmers darauf zu achten, dass Sie keinen Einblick in Daten von anderen Kunden des Dienstleisters erhalten. Beispielsweise können Sie folgende Punkte überprüfen, wenn diese vom Auftragnehmer angegeben wurden:
• Einhaltung der „Clean-Desk-Policy“ an den Arbeitsplätzen beim Dienstleister
• Formaler Prozess zur Entsorgung von Papiermüll, auf dem personenbezogene Daten stehen
• Tatsächliche Sicherung des Serverraums
• Vorliegen von Backup-Konzepten, Passwortrichtlinien
• Prozess zum Mobile-Device-Management
• Führen eines Schlüsselbuches

Erstellung eines Kontrollberichtes und Nachbesserungsforderungen

Nachdem Sie den Vor-Ort-Termin beim Auftragnehmer abgeschlossen haben, sollten Sie einen umfassenden Bericht erstellen, in dem Sie die vom Dienstleister vorgegebenen Maßnahmen den tatsächlich vorgefundenen Maßnahmen gegenüberstellen. Sie sollten den Dienstleister unter Fristsetzung auffordern, all jene Maßnahmen nachzubessern, die Sie als unzureichend vorgefunden haben. Gegebenenfalls ist nach einigen Wochen ein erneuter Kontrolltermin beim Dienstleister erforderlich.

Zum Aktivieren der eingebetteten Karte bitte auf den Link klicken. Durch das Aktivieren werden Daten an den jeweiligen Anbieter übermittelt. Weitere Informationen können unserer Datenschutzerklärung entnommen werden

Inhalt anzeigen

Ihr direkter Kontakt zu uns

SiDIT GmbH
Langgasse 20
97261 Güntersleben

Bürozeiten:
Montag bis Freitag von 8-16 Uhr.