Das Unternehmerportal der Berliner Volksbank
Arbeiten

Outsourcing: Zu wenig Kontrolle bei externer Auftragsdatenverarbeitung

FOTONACHWEIS

© kentoh - Fotolia.com

Bei vielen Unternehmen wird ein Teil der Datenverarbeitung ausgelagert, um Ressourcen zu sparen. Doch damit geben sie nicht die Verantwortung für diese Daten ab.

Darüber informiert TÜV SÜD. Demnach bleiben Unternehmen als Auftraggeber bei Auftragsdatenverarbeitungen für Verfehlungen ihrer Dienstleister vollumfänglich verantwortlich und haftbar.

Die Befragungsergebnisse des TÜV SÜD Datenschutzindikators (DSI) lassen jedoch den Schluss zu, dass sich nicht alle Betriebe dieser Verantwortung tatsächlich bewusst sind.

Verträge sind Pflicht und Absicherung

Laut der Umfrage schließen nur 42 Prozent der Unternehmen einen entsprechenden Vertrag zur Auftragsdatenverarbeitung mit jedem Auftragnehmer, der in ihrem Auftrag personenbezogene Daten verarbeitet oder an den IT-Systemen Wartungen vornimmt.

Das Bundesdatenschutzgesetz (BDSG) verpflichtet Unternehmen jedoch dazu, solche Verträge abzuschließen, da sie als Auftraggeber auch weiterhin für die Sicherheit der Daten verantwortlich sind und Schadenersatzansprüche sowie Bußgelder an sie gerichtet werden.

„Diese Verträge sind für die Firmen eine wichtige Absicherung“, erklärt Rainer Seidlitz, Prokurist bei der TÜV SÜD Sec-IT GmbH. „Darin verpflichten sie ihre Auftragnehmer, entsprechend ihren Vorgaben mit den personenbezogenen Daten umzugehen.“

Außerdem könne ein Bußgeld von bis zu 50.000 Euro fällig werden, wenn kein Vertrag zur Auftragsdatenverarbeitung vorhanden ist oder dieser nicht richtig, nicht vollständig oder nicht in der vom BDSG vorgeschriebenen Weise abgeschlossen ist, so Seidlitz.

Unternehmen prüfen Arbeit der Dienstleister kaum

Noch gravierender sei, dass mit 23 Prozent nicht einmal ein Drittel der Unternehmen die Dienstleister regelmäßig auf die Einhaltung der Datenschutzpflichten überprüft und dies dokumentiert.

Ohne diese Prüfung können Unternehmen laut TÜV SÜD nicht einschätzen, ob die personenbezogenen Daten beim Auftragnehmer tatsächlich gut aufgehoben sind.

„Die Auftragsdatenverarbeitung darf ein Unternehmen erst erteilen, wenn der Dienstleister die geforderten technischen und organisatorischen Maßnahmen zum Datenschutz erfüllt und nachhaltig aufrechterhalten kann“, erläutert Rainer Seidlitz.

Das müsse vor der Auftragserteilung und anschließend in regelmäßigen Abständen geprüft werden – entweder vor Ort oder durch eine entsprechend aussagekräftige Dokumentation, so Seidlitz.

Am Prüfverfahren teilnehmen

Unternehmen, die selbst prüfen möchten, wie gut sie in Sachen Datenschutz aufgestellt sind und an welchen Stellen Verbesserungspotenzial besteht, können am TÜV SÜD DSI unter www.tuev-sued.de/datenschutzindikator teilnehmen.

Weitere Informationen zu den Themen Datenschutz und Datensicherheit erhalten Interessenten unter www.tuev-sued.de/sec-it oder unter der kostenlosen Rufnummer 0800/5791-5005.