Datenschutz

Leitfaden
Auftragsdatenverarbeitung unter Berücksichtigung von Standards

(2011)

Die Fachgruppe Datenschutz veröffentlichte im Mai den Leitfaden zur Prüfung Auftragsdatenverarbeitung:

Im Rahmen der Änderung des Bundesdatenschutzgesetzes vom 14.08.2009 wurde §11 BDSG sowohl umfangreich um eine detaillierte Aufstellung der vertraglich festzulegenden Fakten als auch um eine (wiederkehrende) Prüfpflicht für den Auftraggeber/die verantwortliche Stelle (Text des §11 BDSG siehe Anlage A) erweitert.

Ob und welche Prüfungen im Detail durchzuführen sind, hängt davon ab, ob es sich bei den durchgeführten ausgelagerten Tätigkeiten um Auftragsdatenverarbeitung (ADV) handelt.

Dieser Leitfaden wurde als Praxishilfe durch die Fachgruppe Datenschutz erstellt und soll Unternehmen, öffentlichen Stellen und Dienstleistern sowie speziell auch den Mitarbeitern aus den Bereichen Interne Revision, ITSicherheit und Datenschutz eine Übersicht über die relevanten Themengebiete und die Abgrenzungen der datenschutzrechtlich erforderlichen Prüfung geben. Die fallweise Ausgestaltung der Prüfung ist dabei natürlich risikoorientiert anzulegen und richtet sich nach den jeweils vorgefundenen Gegebenheiten in Bezug auf das Kontrollumfeld, die betroffenen Arten von Daten, Art und Orte der Verarbeitung sowie die konkreten Vertragsbeziehungen.

Neben der Darstellung der vom BDSG geforderten Prüfkriterien wird auch ein Mapping auf etablierte Standards zur Verfügung gestellt, das es dem Prüfer erleichtert, redundante Prüfungen zu minimieren, sofern er bereits unabhängig zum Datenschutz eine Prüfung gegen COBIT, BSI IT-Grundschutz oder ISO 27xxx durchführt.