TÜV SÜD DSI: rechtliche Regelungen für Auftragsdatenverarbeitung

Werden personenbezogene Daten im Auftrag für ein anderes Unternehmen verarbeitet, spricht das Bundesdatenschutzgesetz (BDSG) von der Auftragsdatenverarbeitung. Es verpflichtet den Auftraggeber, einen Vertrag mit dem Dienstleister zu schließen und diesen regelmäßig und wiederholt hinsichtlich der getroffenen technischen sowie organisatorischen Maßnahmen zum Datenschutz zu prüfen. Die Ergebnisse des Datenschutzindikators (DSI) von TÜV SÜD und LMU München zeigen aber, dass 41 Prozent der Befragten keine entsprechenden Verträge abgeschlossen haben und nur gut ein Drittel (36 Prozent) regelmäßig kontrolliert, ob ihre externen Dienstleister die Datenschutzpflichten einhalten.

Mit der neuen europäischen Datenschutz-Grundverordnung („EU-DSGVO“) müssen Betriebe künftig umdenken, da aus der bekannten Auftragsdatenverarbeitung die „Auftragsverarbeitung“ wird. Viele der bisher gültigen Anforderungen finden sich auch in der neuen Gesetzgebung wieder, neu ist aber die ausdrückliche Forderung nach Garantien auf Seiten des Dienstleisters, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden. Zudem kann der bislang schriftlich abzuschließende Vertrag zukünftig auch elektronisch geschlossen werden. Der gesetzliche Anforderungskatalog an inhaltliche Regelungen fordert dabei über das bisherige Maß in Deutschland hinausgehende inhaltliche Absprachen.

Die EU-DSGVO schafft daneben eine „neue Form“ der arbeitsteiligen Zusammenarbeit zweier verantwortlicher Stellen. Zukünftig können zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen und sind dann gemeinsam Verantwortliche. Die Vereinbarung muss in transparenter Form erfolgen und Auskunft darüber geben, welche verantwortliche Stelle welche Aufgabe hat. Dabei muss vor allem auf die Informationspflichten sowie die Rechte der betroffenen Endkunden eingegangen werden.

Unternehmen sollten vor diesem Hintergrund die bestehenden Verträge überprüfen und an die neuen Anforderungen anpassen. Vielleicht stellt auch die gemeinschaftliche Zusammenarbeit die für beide Seiten bessere Alternative dar. Auf Nummer sicher gehen Unternehmen mit ihren Dienstleistern für die Auftragsverarbeitung, wenn sie sich an Zertifikaten wie „TÜV SÜD Zertifizierte Auftragsdatenverarbeitung“ orientieren. Damit weisen Betriebe nach, dass ihre technischen und organisatorischen Maßnahmen zum Datenschutz geeignet und angemessen sind.

Der TÜV SÜD DSI wurde im Juli 2014 von der TÜV SÜD Sec-IT GmbH, unterstützt durch die LMU München, vorgestellt. Unternehmen, die selbst prüfen möchten, wie gut sie in Sachen Datenschutz aufgestellt sind und an welchen Stellen Verbesserungspotenzial besteht, können am TÜV SÜD DSI online  teilnehmen (siehe 1. Link). Die aktuelle Trendfrage „Versenden Sie vertrauliche Informationen unverschlüsselt per E-Mail?“ kann unabhängig von der Selbsteinschätzung beantwortet werden.

Weitere Informationen zum Thema Datenschutz und Datensicherheit erhalten Interessenten unter dem 2. Link oder unter der kostenlosen Rufnummer 0800/5791-5005.