Immer mehr Unternehmen nutzen die Möglichkeit des „Outsourcings“, um punktuell Dienstleistungen einzukaufen. Dies führt zum einen zu Kostensenkungen, zum anderen besitzt der Dienstleister die nötigen Fachkenntnisse, die dem Auftraggeber in den meisten Fällen fehlen. Wenn nun bei dieser Dienstleistung personenbezogene Daten betroffen sind, handelt es sich um eine sog. Auftragsdatenverarbeitung. Diese ist geregelt in § 11 BDSG und gibt sowohl dem Auftraggeber als auch dem Auftragnehmer zusätzliche Pflichten auf.

Ein mittelständisches, international agierendes Unternehmen, hat in verschiedenen Bereichen externe Dienstleister eingeschaltet, so u.a. im Bereich:

• (Fern-)Wartung von Software durch externe IT-Dienstleister
• Lohn- und Gehaltsabrechnung durch eine Steuerberatungskanzlei
• Lettershop - hier wurden Anschreiben von Kunden im Wege eines Standard-Anschreibens vorgenommen, woraufhin der Lettershop die Kundenadressen erhalten hat
• Einschaltung eines Callcenters zur Abfrage der Kundenzufriedenheit

Die Aufgabe von ds² bestand zum einen darin, die Verträge mit den Dienstleistern an die Bestimmungen des § 11 BDSG anzupassen, zum anderen die gesetzlich vorgeschriebene Überprüfung der Dienstleister zu organisieren und durchzuführen. Dabei stand eine wirtschaftliche und ergebnisorientierte Vorgehensweise im Vordergrund.

Auf Basis eines von ds² entwickelten Prüfungskataloges, welcher allen Dienstleistern zur Verfügung gestellt wurde, konnten diese ihre technischen und organisatorischen Maßnahmen (sog. TOMs) dokumentieren.

In diesem Prüfungskatalog wird beispielweise abgefragt, ob das Unternehmen über einen Datenschutzbeauftragten verfügt und ob die betroffenen Mitarbeiter auf das Datengeheimnis nach § 5 BDSG verpflichtet sind. Aber auch gesetzlich vorgeschriebene Maßnahmen zu Zugriffs-, Zutritts- oder Zugangskontrolle müssen erläutert werden.

Anhand der Ergebnisse wurde entschieden, ob die beschriebenen Maßnahmen ausreichend waren, um Datenschutz und Datensicherheit zu gewährleisten, oder ob weitere Überprüfungen erforderlich waren.

Mit Abschluss der Maßnahmen war sichergestellt, dass das Unternehmen alle datenschutzrechtlichen Vorgaben im Rahmen der Auftragsdatenverarbeitung mit der gebotenen Sorgfalt erfüllt hat. Der gesamte Ablauf wurde als Prozess im Managementhandbuch verankert und das Vertragsmanagement nach § 11 BDSG dem Einkauf zur laufenden Betreuung übergeben. So ist in Zukunft sichergestellt, dass bei jedem Neuvertrag im Bereich der Auftragsdatenverarbeitung nach diesen Vorgaben verfahren wird und damit der Auftraggeber als verantworliche Stelle gewährleistet, dass die Auftragsdatenverarbeitung vorschriftsgemäß erfolgt.

Falls Sie mehr über unsere Beispiele und Lösungen erfahren möchten, sprechen Sie uns gerne an.