Datenschutzzertifizierung für Auftragsdatenverarbeitung - Nutzen für Auftraggeber und Auftragnehmer. Dr. Niels Lepperhoff (Geschäftsführer)

Größe: px

Ab Seite anzeigen:

Download "Datenschutzzertifizierung für Auftragsdatenverarbeitung - Nutzen für Auftraggeber und Auftragnehmer. Dr. Niels Lepperhoff (Geschäftsführer)"

Cathrin Beutel
vor 7 Jahren
Abrufe

1 Datenschutzzertifizierung für Auftragsdatenverarbeitung - Nutzen für Auftraggeber und Auftragnehmer Dr. Niels Lepperhoff (Geschäftsführer) 1

2 Auftragsdatenverarbeitung = Quell stetiger Konfusion Auftraggeber Auftragnehmer Datenschutzniveau der Auftragnehmer unsichtbar Überforderung Unsicherheit über Rechte und Pflichten Jeder Auftraggeber will etwas anderes Hohe Kosten für Mitwirkung bei Kontrollen Unsicherheit über Rechte und Pflichten 2

Unsicherheit über Rechte und Pflichten Jeder Auftraggeber will etwas

3 Datenschutzstandard DS-BvD-GDD-01 Download: dsz-audit.de Ziel Definition datenschutzkonforme Leistungserbringung Technologie- & branchenunabhängig Anwendungsbereich Auftragsdatenverarbeitung Formaler Adressat: Auftragnehmer Faktisch nutzbar: Auch Auftraggeber Wirkung Transparenz zwischen Auftraggeber und Auftragnehmer Auftragnehmer handelt proaktiv Wettbewerbsvorteil 3

Anwendungsbereich Auftragsdatenverarbeitung Formaler Adressat: Auftragnehmer Faktisch

4 Module beschreiben Leistungserbringung Angebot Vertrag Leistungsbeschreibung Leistung Herstellung Erbringung Outputmanagement Inputmanagement Auftragsmanagement 4

5 Beispiel: Modul Leistungsbeschreibung Beispiel: Pix Software Auswahlphase: Webseite Zielgruppe Interessierte Informationen Benötigt für Entscheidung über Kontaktaufnahme Vertragsphase: Vertrag Zielgruppe Potentielle Neukunden Informationen Alle benötigten für sorgfältige Auswahl nach 11 Abs. 2 S. 1 BDSG Vertragsschluss 5

Kontaktaufnahme Vertragsphase: Vertrag Zielgruppe Potentielle Neukunden

6 Inhalte des Bereichs für Kunden Inhalte Datenschutzkonzept Datenschutz Managementsystem IT-Sicherheitskonzept Strukturen Wichtigste Maßnahmen Vorteile Mitarbeiter der Kunden finden alle relevanten Informationen, z.b. Datenschutzbeauftragter Unterauftragnehmer Sicherheitsbeauftragter Sicherheitskonzept Entlastung des Supports 6

7 Module beschreiben Konzepte und Überwachung Datenschutzkonzept Schutzkonzepte IT- Sicherheitskonzept Überwachung Auftragsmanagement Datenschutzmanagement IT- Sicherheitsmanagement 7

8 Angemessenes Sicherheitsniveau? Die technischen und organisatorischen Maßnahmen im Wortlaut: Die Daten sind im geschlossenen Serverschrank bzw. im Serverraum gegen Außeneinwirkung (Diebstahl, Vandalismus) geschützt und werden regelmäßig per Backup gesichert. Ein Datenverlust ist nahezu ausgeschlossen. (Quelle: dem Autor bekannt) Ist die gesetzliche Anforderung erfüllt? 8

9 Sicherheitskonzept = Basis für Kontrolle des Auftragnehmers Transparenz der Maßnahmen Auftraggeber: Spiegelung gegen eigene Sicherheitsvorgaben Prüfkatalog für Kontrolle Teil des Prüfkatalogs für Kontrolle durch Auftraggeber Ziel: Einhaltung überprüfen Grundlage für Vertrauen Auftraggeber haftet für Taten des Auftragnehmers 9

für Kontrolle Teil des Prüfkatalogs für Kontrolle durch Auftraggeber Ziel:

10 Sicherheitsrisiko Auftragnehmer Dairy Queen (US- Schnellrestaurantkette) Gestohlen: Daten von Kredit- und Debitkarten Einbruch: Über Dienstleisterzugang Traget (US-Handelskette) Gestohlen: 40 Mio. Kreditkarten + 70 Mio. Kundendaten Einbruch: Über Zugang eines Facility- Dienstleisters 10

Einbruch: Über Dienstleisterzugang Traget (US-Handelskette) Gestohlen:

11 Vorteile des Datenschutzstandards DS-BvD-GDD-01 Wirkt universal für alle Auftragsdatenverarbeitungen Klar definierte Erwartungen an Auftragnehmer ermöglichen: pro-aktives handeln der Auftragnehmer effiziente Wahrnehmung der Kontrollpflichten durch die Auftraggeber Etablierung durch Verbreitung über die Träger: gegründet 1977 mehr als Mitglieder zumeist Unternehmen und deren DSB 27 Erfahrungsaustauschkreise bundesweit mit insgesamt über Teilnehmern Ausbildung von mehr als Datenschutzverantwortlichen in der GDD-Datenschutz-Akademie Gegründet 1989 Über 820 Mitglieder, davon über 302 Firmenmitglieder und über 120 registrierte externe DSB Zahlreiche Regionalgruppen bundesweit 204 freiwillige Selbstverpflichtungen auf das berufliche Leitbild des Datenschutzbeauftragten 11

400 Mitglieder zumeist Unternehmen und deren DSB 27 Erfahrungsaustauschkreise bundesweit mit insgesamt über 3.000 Teilnehmern Ausbildung von mehr als 10.

12 Auf den Punkt gebracht 12

13 Kontrollen in der Praxis Wer von Ihnen kontrolliert mind. alle 2 Jahre alle ADV- Dienstleiser vor Ort? 13

Konsequenzen bei unterlassener Kontrolle Haftung als Gesamtschuldner Trifft Geschäftsführer und Vorstandmitglieder bei Verletzung ihrer Sorgfaltspflicht ( 93 Abs. 2 AktG, 43 Abs.

14 Konsequenzen bei unterlassener Kontrolle Haftung als Gesamtschuldner Trifft Geschäftsführer und Vorstandmitglieder bei Verletzung ihrer Sorgfaltspflicht ( 93 Abs. 2 AktG, 43 Abs. 2 GmbH) Imageschaden Verlust von Kunden und sonstigen Geschäftspartnern Ordnungswidrigkeit Schadensersatz Fehlende Kontrolle: Geldbuße bis zu ( 43 Abs. 3 S. 1 i.v.m. Abs. 1 Nr. 2b BDSG) Gegen Inhaber bei unterlassenen Aufsichtsmaßnahmen ( 130 Abs. 1 OWiG) Schäden aus Datenschutzverstößen ( 7 BDSG) Plus übliche Schadensersatzpflichten (z.b. 280 Abs. 1, 823 BGB) 14

2 GmbH) Imageschaden Verlust von Kunden und sonstigen Geschäftspartnern Ordnungswidrigkeit Schadensersatz Fehlende Kontrolle: Geldbuße

15 Zertifizierung als stellvertretende Kontrolle nutzen Gesetzliche Grundlage Eigenes Kontrollermessen nach 11 Abs. 2 S. 5 BDSG Eigene Prüfhandlung Entspricht der Scope der eigenen Kontrolle? Decken Prüfkriterien eigene Kontrollhandlungen ab? Ist Prüfergebnis ausreichend? Lücken = selber kontrollieren Notwendige Voraussetzungen Prüfkriterien liegen vollständig vor (Normen, Standards) Aussagekräftiger Prüfbericht (Scope, Prüfungshandlungen, Ergebnisse) Unabhängiges Zertifizierungsverfahren 15

16 Vorteile für Auftraggeber Kosten senken Verzicht auf eigenes fachkundiges Audit- Personal Zertifizierungskosten trägt Auftragnehmer Zeit sparen Aufwand: Prüfung des Zertifikats Gespart: Vor-Ort-Kontrolle, Dokumentensichtung, Interviews usw. Auswahlkriterium bei Lieferantenauswahl Datenschutzniveau berücksichtigen Ersparnis: Schulung des Lieferanten in Sachen ADV 16

Gespart: Vor-Ort-Kontrolle, Dokumentensichtung, Interviews usw.

17 Vorteile für den Auftragnehmer Kosten sparen Weniger Audits durch Kunden Wettbewerbsvorteil Sichtbares Datenschutzniveau Überzeugende ADV-Unterlagen Sicherheit Leistungserbringung = geprüft datenschutzkonform 17

Datenschutzniveau Überzeugende ADV-Unterlagen

18 Zertifizierung nach DS-BvD-GDD-01 = hoher Aufwand? 100% 90% Zertifikat 80% 70% 60% 50% 40% 30% 20% 10% Gesetz Zu erfüllen unabhängig von Zertifizierung 0% Anforderungen + Vorgaben des DS-BvD-GDD-01 Erfüllung gesetzlicher Anforderungen Zusätzliche Anforderung Zertifizierung Berücksichtigt: alle Kernmodule 18

unabhängig von Zertifizierung 0% Anforderungen + Vorgaben des DS-BvD-GDD-01

19 Zertifizierung nach DS-BvD-GDD-01 = Planbar und sichtbar Planbare Kosten Erstprüfung: für Siegelerteilung + Kosten des Auditors für 64 Stunden (frei verhandelbar) Verlängerung: für Siegelerteilung + Kosten des Auditors für 24 Stunden (frei verhandelbar) Hohe Sichtbarkeit Verleihung eines Siegels Öffentliches Verzeichnis zertifizierter Unternehmen Vertrauen Initiative getragen von Datenschutzfachverbänden BvD e.v. und GDD e.v Befürwortung von Gesamtkonzeption aus Standard & Siegel durch Aufsichtsbehörde LDI NRW 19

000 für Siegelerteilung + Kosten des Auditors für 24 Stunden (frei verhandelbar) Hohe Sichtbarkeit Verleihung eines Siegels

20 Fazit: Statt 20

21 Lieber 21

Informationen & Kontakt Download des Datenschutzstandards DS-BvD-GDD-01 Alle Informationen zu Anträgen, Abläufen und Preisen www.dsz-audit.

22 Informationen & Kontakt Download des Datenschutzstandards DS-BvD-GDD-01 Alle Informationen zu Anträgen, Abläufen und Preisen DSZ Datenschutz Zertifizierungsgesellschaft mbh Für Unternehmen: 0228 / Für Auditoren: 030 / info@dsz-audit.de Dr. Niels Lepperhoff (Geschäftsführer der Datenschutz Zertifizierungsgesellschaft mbh) Direktkontakt über XAMIT Bewertungsgesellschaft mbh, 22

23 Die Akteure Organisieren Befürwortet die zugrunde liegende Gesamtkonzeption aus Standard und Zertifizierungsablauf* Projektgruppe Betreut Auditiert Beauftragt *Ausführlich: Modellprojekt_zum_Datenschutzaudit_startet/Modellprojekt_zum_Datenschutzaudit_startet.php + 23

Ähnliche Dokumente

Neues Datenschutzsiegel und neuer Datenschutzstandard für Auftragsdatenverarbeiter. Dr. Niels Lepperhoff Geschäftsführer

Neues Datenschutzsiegel und neuer Datenschutzstandard für Auftragsdatenverarbeiter Dr. Niels Lepperhoff Geschäftsführer 1 Auftragsdatenverarbeitung heute Ein gutes Datenschutzniveau ist unsichtbar. Kontrollpflicht