IT-Sicherheit Auftragsdatenverarbeitung: Rechtlich oft falsch umgesetzt - Industrie.de

IT-Sicherheit

Auftragsdatenverarbeitung: Rechtlich oft falsch umgesetzt

EU-Datenschutz-Grundverordnung: Rechtliche Vorgaben zur Auftragsdatenverarbeitung werden teilweise ignoriert. Foto: Tuningfotojournal / Fotolia
Anzeige
Die Verarbeitung personenbezogener Daten durch externe Dienstanbieter (Auftragsdatenverarbeitung) ist rechtlich klar geregelt: Insbesondere muss eine vertragliche Grundlage bestehen und der Auftraggeber den Auftragnehmer regelmäßig hinsichtlich der getroffenen Vereinbarungen zum Datenschutz prüfen. Doch laut einer aktuellen Studie des TÜV SÜD geschieht dies viel zu selten.

Die Ergebnisse des Datenschutzindikators (DSI) von TÜV SÜD und der Ludwig-Maximilian-Universität München zeigen, dass 41 % der Befragten keine entsprechenden Verträge abgeschlossen haben und nur gut ein Drittel (36 %) regelmäßig kontrolliert, ob ihre externen Dienstleister die Datenschutzpflichten einhalten.

Neuregelung zwingt zum Handeln
Mit der neuen europäischen Datenschutz-Grundverordnung („EU-DSGVO“) müssen Betriebe künftig umdenken, da aus der bekannten Auftragsdatenverarbeitung die „Auftragsverarbeitung“ wird. Viele der bisher gültigen Anforderungen finden sich auch in der neuen Gesetzgebung wieder, neu ist aber die ausdrückliche Forderung nach Garantien auf Seiten des Dienstleisters, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden. Zudem kann der bislang schriftlich abzuschließende Vertrag zukünftig auch elektronisch geschlossen werden. Der gesetzliche Anforderungskatalog an inhaltliche Regelungen fordert dabei über das bisherige Maß in Deutschland hinausgehende inhaltliche Absprachen.
Die EU-DSGVO schafft daneben eine „neue Form“ der arbeitsteiligen Zusammenarbeit zweier verantwortlicher Stellen: Zukünftig können zwei oder mehr Verantwortliche gemeinsam die Zwecke bzw. die Mittel zur Verarbeitung festlegen und sind dann gemeinsam Verantwortliche. Die Vereinbarung muss in transparenter Form erfolgen und Auskunft darüber geben, welche verantwortliche Stelle welche Aufgabe hat. Dabei muss vor allem auf die Informationspflichten sowie die Rechte der betroffenen Endkunden eingegangen werden.
Unternehmen sollten vor diesem Hintergrund die bestehenden Verträge überprüfen und an die neuen Anforderungen anpassen. Vielleicht stellt auch die gemeinschaftliche Zusammenarbeit die für beide Seiten bessere Alternative dar. Auf Nummer sicher gehen Unternehmen mit ihren Dienstleistern für die Auftragsverarbeitung, wenn sie sich an Zertifikaten wie „TÜV SÜD Zertifizierte Auftragsdatenverarbeitung“ orientieren. Damit weisen Betriebe nach, dass ihre technischen und organisatorischen Maßnahmen zum Datenschutz geeignet und angemessen sind.
Über den Datenschutzindikator
Der TÜV SÜD DSI wurde im Juli 2014 von der TÜV SÜD Sec-IT GmbH, unterstützt durch die Ludwig-Maximilian-Universität München (LMU), vorgestellt. Unternehmen, die selbst prüfen möchten, wie gut sie in Sachen Datenschutz aufgestellt sind und an welchen Stellen Verbesserungspotenzial besteht, können am DSI unter dem angegebenen Link teilnehmen.
Carolin Eckert ist bei der TÜV SÜD AG in München zuständig für die Unternehmenskommunikation.
Anzeige

Konradin Industrie

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de