Die Befragungsergebnisse des TÜV-SÜD-Datenschutzindikators (DSI) weisen darauf hin, dass sich viele Unternehmen unzureichend mit der Sicherheit personenbezogener Daten auseinandersetzen, wenn sie deren Verarbeitung an externe Auftragnehmer weitergeben. So überprüfen und dokumentieren beispielsweise nur 23 Prozent der Befragten die gesetzlich geforderte Einhaltung der Datenschutzpflichten bei ihren Dienstleistern. Um ihnen die Orientierung zu erleichtern und den Schutz personenbezogener Daten zu verbessern, bietet TÜV SÜD nun eine Zertifizierung für Auftragnehmer von Auftragsdatenverarbeitungen an.
Werden personenbezogene Daten durch einen Dienstleister im Auftrag erhoben oder verarbeitet, müssen dessen Auftraggeber gemäß § 11 Bundesdatenschutzgesetz regelmäßig die Einhaltung technischer und organisatorischer Maßnahmen zum Datenschutz beim Dienstleister prüfen und bewerten. Das neue Prüfzeichen von TÜV SÜD „Zertifizierte Auftragsdatenverarbeitung“ erleichtert diese Pflicht. Die Zertifizierung richtet sich zum Beispiel an Marketing-Agenturen, Lettershops, Hosting- oder Cloudhosting- sowie Backup- oder Datensicherungsdienstleister, Dienstleister für Datenträgervernichtung oder für Lohn- und Gehaltsabrechnung, Anbieter von CRM- oder Kundenverwaltungssystemen sowie Service- oder Callcenter.
Bundesdatenschutzgesetz gibt Anforderungen bei der Auftragsdatenverarbeitung vor
„Die Anforderungen bei der Prüfung und Bewertung der Auftragsdatenverarbeitungen orientieren sich am Bundesdatenschutzgesetz, übertreffen dessen Anforderungen jedoch“, erklärt Florian Labitzke, Produktmanager Datenschutz bei der TÜV SÜD Sec-IT GmbH. „Bei den Auftragnehmern von Auftragsdatenverarbeitungen werden die Eignung und Angemessenheit von leistungs- und auftragsbezogenen Dokumentationen, allgemeinen Maßnahmen zum Datenschutz sowie technischen und organisatorischen Maßnahmen zum Datenschutz geprüft.“ Die Zertifizierung basiert auf einer Dokumentenprüfung und einem Audit vor Ort. Werden personenbezogene Daten im Rahmen von Auftragsdatenverarbeitungen elektronisch übermittelt oder anderweitig elektronisch bereitgestellt, kann darüber hinaus die Durchführung eines Schwachstellen-Scans erforderlich sein.
Der erste Kunde, der das TÜV-SÜD-Sec-IT-Prüfzeichen „Zertifizierte Auftragsdatenverarbeitung“ erhalten hat, ist die Infoniqa Payroll GmbH in Böblingen. Das Unternehmen, das sich auf Dienstleistungen im Bereich der Lohn- und Gehaltsabrechnung spezialisiert hat, erfüllt die Anforderungen des Standards und kann dies nun gegenüber seinen Auftraggebern durch Prüfzeichen und Zertifikat kommunizieren.
Weitere Informationen zur zertifizierten Auftragsdatenverarbeitung gibt es hier oder unter der kostenfreien Rufnummer 0800/5791-5005.