Die gute alte Zeit, als man seinen Dienstleistern noch blind vertrauen konnte, ist spätestens seit Mai 2018 endgültig vorbei. Dank der DSGVO und ihrer Artikel 28 und 32 müssen Unternehmen ihre Auftragsverarbeiter nun so gründlich unter die Lupe nehmen, als würden sie ihnen ihre Kronjuwelen anvertrauen. Und seien wir ehrlich – in Zeiten digitaler Transformation sind Daten tatsächlich die neuen Kronjuwelen.
Das große Prüfungs-Karussell: Einmal ist keinmal
Artikel 28 DSGVO macht es in Verbindung mit Artikel 32 DSGVO kristallklar: Eine einmalige Prüfung — gerade des Sicherheitsniveaus eines Dienstleisters — bei Vertragsabschluss reicht nicht mehr aus. Stattdessen erwartet der Gesetzgeber ein wahres Prüfungs-Karussell aus erstmaliger Due Diligence und wiederkehrenden Kontrollen. Die Zeiten, in denen man einen Auftragsverarbeitungsvertrag (AVV) unterschrieben und sich dann entspannt zurückgelehnt hat, sind definitiv vorbei.
Die erstmalige Prüfung: Der große Gesundheitscheck
Bei der ersten Begegnung mit einem potentiellen Auftragsverarbeiter gleicht die Prüfung einem medizinischen Rundum-Check. Technische und organisatorische Maßnahmen (TOMs) müssen bewertet, ergänzende Zertifikate geprüft und die gesamte Subdienstleister-Kette durchleuchtet werden. Als ob das nicht genug wäre, verlangt Artikel 32 DSGVO auch noch, dass das Sicherheitsniveau „angemessen” sein muss – ein Gummibegriff, der Juristen und Datenschutzbeauftragte gleichermaßen ins Schwitzen bringt.
Wiederkehrende Prüfungen: Die Never-Ending Story
Aber damit nicht genug: Die DSGVO verlangt regelmäßige Wiederholungsprüfungen (Artikel 32 Absatz 1 Buchstabe d DSGVO). Schließlich könnte sich ja zwischen den Audits etwas geändert haben – neue Subdienstleister, veraltete Zertifikate oder schlimmstenfalls ein Datenschutzvorfall. Die Kontrollpflicht wird dadurch zu einer kontinuierlichen Aufgabe, die etwa so entspannend ist wie ein Dauerlauf im Hamsterrad.
“… ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.”
Die Standards-Sammlung: ISO 27001 und BSI IT-Grundschutz als Rettungsanker und Unterstützung
Glücklicherweise sind datenschutzrechtliche Anforderungen nicht die einzigen Spielregeln im Markt. Standards wie ISO 27001 und der BSI IT-Grundschutz haben schon lange erkannt, dass Lieferantenmanagement und Sicherheit in der Wertschöpfungskette essentiell sind. Diese Normen verlangen systematische Bewertungen, regelmäßige Audits und dokumentierte Risikomanagement-Prozesse – völlig unabhängig davon, ob personenbezogene Daten im Spiel sind oder nicht. Was liegt also näher, als sich derer Mechanismen zu bedienen? Genau. Nichts.
So bietet beispielsweise der IT-Grundschutz nicht nur in seinen Bausteinen
ausreichend Maßnahmen und Anforderungen zur Absicherung seiner Lieferantenkette (supply chain), die am Ende auch stets dem Datenschutz zugute kommen. Doch auch in zahlreichen anderen Bausteinen werden Lieferanten und Dienstleister konkretisiert bzw. berücksichtigt. So befasst sich der Baustein DER.4 Notfallmanagement u.a. mit den notwendigen Vorkehrungen bei Ausfall eines Dienstleisters / Lieferanten.
Und das Schöne: Die BSI Norm ist vollkommen kostenfrei. Man zahlt nicht mal mit seinen persönlichen Daten. Das freut doch des Datenschützers Herz. Und man muss das Rad nicht noch mal neu erfinden. Ein Einstieg kann auch unsere Checkliste zur TOM-Prüfung hier aus dem Blog sein. Betonung liegt auf “Einstieg” 🙂
Die Realität der Umsetzung: Mission Impossible für viele Organisationen
Die Theorie klingt ja ganz nett, aber die Praxis zeigt ein ernüchterndes Bild. Die größten Herausforderungen bei der DSGVO-Umsetzung sind hausgemacht: Zeitmangel führt die Hitliste an, gefolgt von Personalmangel und fehlendem Know-how. Ergänzt durchaus von mangelndem Interesse 😉
Das überrascht nicht wirklich. Wer soll denn auch neben dem Tagesgeschäft noch komplexe Datenschutzaudits durchführen? Die meisten Organisationen haben bereits Schwierigkeiten, ihre eigenen Datenschutzprozesse im Griff zu behalten, geschweige denn die ihrer Dienstleister systematisch zu überwachen.
Der Ausweg: Externe Expertise als Gamechanger
Hier kommt die Lösung ins Spiel, die viele Organisationen möglicherweise zunächst scheuen: der externe Datenschutzbeauftragte oder Datenschutz-Berater wie die a.s.k. Datenschutz e.K..
Die Vorteile liegen auf der Hand:
- Objektive Bewertung ohne Betriebsblindheit: Ein externer Experte sieht Probleme, die intern oft übersehen werden. Keine Rücksichtnahme auf interne Befindlichkeiten oder politische Spielchen – nur objektive, fachlich fundierte Bewertungen.
- Umfassendes Know-how aus erster Hand: Während sich interne Mitarbeiter das Datenschutzwissen mühsam aneignen müssen, bringen externe Berater jahrelange Erfahrung und aktuelles Fachwissen mit. Sie kennen die neuesten Entwicklungen, Gerichtsurteile und Best Practices aus verschiedensten Branchen.
- Kosteneffizienz: Die Kosten für einen externen Datenschutzbeauftragten sind planbar und oft günstiger als die Vollzeitbeschäftigung eines internen Experten. Ganz zu schweigen von den möglichen Bußgeldern bei fehlerhafter Umsetzung.
- Keine Interessenskonflikte: Ein externer DSB kann unbefangen prüfen und bewerten, ohne Rücksicht auf interne Hierarchien oder Abteilungsinteressen nehmen zu müssen.
Denn seien wir ehrlich: Lieber einmal richtig prüfen lassen, als später teure Bußgelder zahlen oder – noch schlimmer – das Vertrauen der Kunden und Bürger zu verlieren. In einer Welt, in der Daten das neue Gold sind, sollte man deren Schutz nicht dem Zufall überlassen.
Hahn IT Services, Schwaig
No responses yet