Datenschutzaudit

Im Artikel 28 Datenschutzgrundverordnung (DSGVO)  zur Auftragsverarbeitung wird sichtbar, das die für Verarbeitung Verantwortliche (verantwortliche Stelle, Auftraggeber) ihre Auftragsverarbeiter mit hinreichenden Garantien auszuwählen haben, die

  • seine technischen und organisatorischen Maßnahmen im Einklang mit der DSGVO durchgeführt werden sowie
  • Rechte der Betroffenen durch geeignete Sicherheitsmaßnahmen geschützt werden.

Der Artikel 28 enthält die konkreten Anforderungen an Auftragsverarbeiter, so unter anderem:

  • die Sicherstellung einer weisungsmäßigen Auftragsausführung
  • die Ermöglichung einer Überprüfung der getroffenen und vereinbarten Maßnahmen durch den Auftraggeber
  • den Nachweis zur Einhaltung der gesetzlichen Vorgaben
  • die Unterstützung des Auftraggebers bei der Wahrung von Rechten der Betroffenen
    (Information, Auskunft, Berichtigung, Löschung, Datenpartabilität, Widerspruch)
  • das Vorhalten unterstützender Maßnahmen bei Sicherheitsvorfällen und hierbei erforderliche Meldepflichten gegenüber Aufsichtsbehörden und Betroffenen
  • Vereinbarung zur Kontrolle der technisch-organisatorischer Maßnahmen bei Subunternehmern
  • verpflichtende Maßnahmen nach Vertragsbeendigung, wie Datenlöschung oder Rückgabe

sowie neu hinzukommende Verpflichtungen wie

  • die Risikobewertung der technisch-organisatorischen Maßnahmen nach Stand der Technik (Artikel 32) auf Basis einer vorherigen Risikoabschätzung sowie
  • Durchführung von der Datenschutz-Folgenabschätzung (Artikel 35)
  • Meldeprozess einer Datenschutzverletzung (Artikel 33,34)
  • Prozess zum Erfüllen Rechte der Betroffnen (Artikel 15 ff)
  • Verpflichtung auf die Vertraulichkeit

Ein Datenschutzstandard als Prüfgrundlage einer Zertifizierung sollte konform auch mit einer neuen europäischen Vorgabe stattfinden. Das ist allerdings Zukunftsmusik.

Das Vertrauen und die Bestärkung bestehender Pflichten auf Seiten des Auftragsverarbeiters machen die Einführung standardisierter Maßnahmen, Prozesse und Kontrollen auf Seiten des Dienstleisters im Sinne des Datenschutzstandards  damit umso notwendiger.

Siegel-50P

Wie beraten oder auditieren Ihr Unternehmen zur Zertifizierung nach diesem Standard, der von der Initiative Mittelstand mit dem Innovationspreis „Best of 2015“ im Bereich Qualitätsmanagement verleihen wurde.

Auch führen wir mit Ihnen CHECK-28 durch, ein einfaches, aber wirksames Audit zur Auftragsverarbeitung durch. Die Auditierung wird ausschließlich durch unabhängige Datenschutzbeauftragte vom Fachverband externe Datenschutzbeauftragte e.V. durchgeführt.