Auftragsverarbeiter überprüfen

Die DSGVO verlangt von Verantwortlichen (Geschäftsführern, Vorständen etc.) nicht nur die sorgfältige Auswahl der Dienstleister, sondern auch die regelmäßige Kontrolle der vertraglich vereinbarten Zusagen und Leistungen.

Neben der strengen Prüfung des AV-Vertrages müssen auch die Auftragsverarbeiter selbst auf die Existenz hinreichender Garantien überprüft werden. Demzufolge müssen die technischen und organisatorischen Maßnahmen (TOM) regelmäßig einer Prüfung unterzogen werden. Bei diesen Auditierungen überprüfe ich in der Regel folgende Punkte:

Inhaltliche AV-Prüfung

1. Organisatorische Maßnahmen

  • Existenz eines Datenschutzmanagementsystems
  • Dokumentierte Prozesse für Betroffenenrechte (z. B. Auskunft, Löschung)
  • Verfahren für Auftragskontrolle (z. B. Auftragsannahme nur nach Weisung)
  • Risikoanalysen und Datenschutz-Folgenabschätzungen vorhanden

2. Technische Maßnahmen

  • Verschlüsselung der Daten bei Speicherung und Übertragung
  • Authentifizierungsverfahren (z. B. Zwei-Faktor-Authentifizierung)
  • Zugriffsrechte nach dem Need-to-know-Prinzip
  • Regelmäßige Aktualisierung und Patching von Software-Systemen
  • Protokollierung von Zugriffen und Änderungen an Daten
  • Sichere Löschung/Schreddern von Datenträgern und Altgeräten

3. Physische Sicherheit

  • Zutrittskontrollen zu Serverräumen (z. B. Chipkarte, Schließsysteme)
  • Kameraüberwachung oder andere Überwachungsmaßnahmen bei sensiblen Bereichen
  • Schutzmaßnahmen gegen Brand, Wasser, Stromausfall etc.

4. Umgang mit Störungen und Vorfällen

  • Notfall- und Wiederanlaufpläne vorhanden (Disaster Recovery)
  • Meldeprozesse für Datenschutzvorfälle implementiert
  • Regelmäßige Tests der Notfallpläne

5. Schulungen und Sensibilisierung

  • Pflichtschulungen für alle Mitarbeitenden
  • Wiederholungsschulungen in regelmäßigen Abständen
  • Awareness-Programme (z. B. Phishing-Simulationen)

Häufigkeit der Überprüfung

Eine gesetzlich geregelte Vorgabe hinsichtlich Häufigkeit eines Audits existiert nicht. Die Datenschutzaufsichten beurteilen das vorliegende Risiko im Falle einer Prüfung und ich gehe erfahrungsgemäß davon aus, dass bei der Verarbeitung personenbezogener Daten das Audit spätestens nach zwei Jahren erforderlich ist, bei der Verarbeitung von personenbezogenen Daten nach Art. 9 DSGVO nach bereits einem Jahr. Prüfungszyklen von mehr als drei Jahren sollten tatsächlich gut begründet sein.

Ein Preisbeilspiel für ein Audit finden Sie hier.