Studie. Auftragsdatenverarbeitung

Transkript

1 Studie Financial ServICES Auftragsdatenverarbeitung

2 Inhalt 1 Vorwort 3 2 Management Summary 4 3 Ergebnisse im Einzelnen Anzahl der Auftragsdatenverarbeitungsverhältnisse 6 Exkurs: Funktionsübertragung versus Auftragsdatenverarbeitung Bewusstsein über gestiegene Verantwortung Richtlinien und Vorgaben zur Auftragsdatenverarbeitung Inventar, Risikobewertung und Vertragsanpassung Überprüfung der technischen und organisatorischen Maßnahmen 11 Exkurs: ISAE Aktivität der Datenschutzbehörden Zeithorizont bis zur Erfüllung der Anforderungen Datenschutzniveau 16 4 Fazit und Ausblick 18

3 Auftragsdatenverarbeitung 3 1 Vorwort Vertrauen ist gut, Kontrolle ist eine Pflicht dieses abgeänderte Sprichwort wird vom Gesetzgeber bei der Auftragsdatenverarbeitung seit 2009 wörtlich genommen. Im September 2009 wurde der 11 des Bundesdatenschutzgesetzes novelliert und dadurch vor allem die Verantwortung der Auftraggeber bei der Auftragsdatenverarbeitung verschärft. Das Thema Auftragsdatenverarbeitung hat in den letzten Jahren bei den Unternehmen zunehmend an Bedeutung gewonnen insbesondere durch die verbesserten technischen Möglichkeiten und das dadurch wachsende Angebot zur Auslagerung von Datenverarbeitungstätigkeiten. Als augenfällige Beispiele seien die Fernwartung von Hardware und Software, das Outsourcing der Datenarchivierung und -vernichtung oder ganzer Rechenzentren, der Betrieb von Anwendungen und nicht zuletzt das Cloud Computing genannt. Nach den zahlreichen Datenskandalen und der öffentlichen Diskussion über den Umgang mit personenbezogenen Daten kann es sich kein Unternehmen mehr leisten, das Thema Datenschutz zu ignorieren. Zu hoch wären der Reputationsschaden und die damit einhergehenden Auswirkungen auf den Geschäftserfolg. Die Unternehmen stehen somit vor großen Herausforderungen und müssen folgende Fragen beantworten: Wie setzen wir in unserem Unternehmen die nunmehr bestehenden gesetzlichen Anforderungen bei der Auftragsdatenverarbeitung um? Wie aktiv sind die Datenschutzbehörden in Bezug auf dieses Thema? Wie werden die technischen und organisatorischen Maßnahmen bei der Auftragsdatenverarbeitung überprüft? Welche Pflichten hat der Datenschutzbeauftragte in diesem Kontext? Diese aktuellen Fragen haben KPMG im Herbst 2011 dazu bewogen, eine Studie zur Auftragsdatenverarbeitung durchzuführen. Im Rahmen dieser Untersuchung wurden eine Vielzahl von in Deutschland ansässigen Unternehmen aus dem Bereich Finanzdienstleistungen und deren IT-Dienstleister danach befragt, welchen Stand die Umsetzung der Vorschriften in ihren Unternehmen bereits erreicht hat. Die vorliegende Studie gibt einen umfassenden Überblick über die Wahrnehmung, die Bearbeitung und die Überprüfung der gestiegenen Anforderungen an die Auftragsdatenverarbeitung. Wir wünschen Ihnen eine anregende und informative Lektüre und bedanken uns bei allen Teilnehmern der Studie für ihre hohe Auskunftsbereitschaft. Dr. Robert Gutsche Mitglied des Vorstands Leiter Consulting Günter Kapitza Partner Financial Services

4 4 Auftragsdatenverarbeitung 2 Management Summary 11 Abs. 2 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. Nach der Novellierung des 11 Bundesdatenschutzgesetz (BDSG) im September 2009 müssen sich die Auftraggeber von Datenverarbeitungsaufgaben nun vor Beginn der Verarbeitung und anschließend regelmäßig von den technischen sowie organisatorischen Datenschutzmaßnahmen bei ihren Auftragnehmern überzeugen und das Ergebnis der Überprüfung dokumentieren. Ebenfalls Bestandteil der Novellierung ist ein verschärfter Bußgeldkatalog, der nun erhebliche Geldbußen vorsieht, sollte der Auftraggeber sich nicht ausreichend von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt haben. Diese Novellierung und die zunehmenden Auslagerungsmöglichkeiten von Datenverarbeitungstätigkeiten auf Dritte waren Anlass dafür, eine Studie zu diesem Thema unter einer Vielzahl von in Deutschland ansässigen Unternehmen aus dem Finanzdienstleistungsbereich und deren IT-Dienstleistern durchzuführen. Die Erhebung erfolgte im Herbst 2011 größtenteils durch telefonische sowie schriftliche Befragung der Datenschutzbeauftragten, wobei Auftraggeber und Auftragnehmer separat befragt wurden. Insgesamt wertete KPMG im Rahmen der Studie 152 Fragebögen aus, die von Unternehmen aus den Branchen Banken, Versicherungen, Leasinggesellschaften, Inkasso-Unternehmen, Fondsanbieter, Zahlungsabwickler und Börsen sowie von deren IT-Dienstleistern beantwortet wurden.

5 Auftragsdatenverarbeitung 5 Als Ergebnis der Studie ergeben sich zusammenfassend drei Kernaussagen: 1. Aktivitäten begonnen, aber zu wenig risikoorientiert Bei fast allen befragten Unternehmen ist die Auftragsdatenverarbeitung inzwischen thematisiert und die Datenschutzbeauftragten sind mit den Inhalten des 11 BDSG vertraut. Viele dieser Unternehmen haben bereits ein Inventar der Auftragsdatenverarbeitungsverhältnisse erstellt, einen Großteil der betroffenen Verträge angepasst und eine Richtlinie zur Auftragsdatenverarbeitung verfasst. Größere Defizite ergaben sich jedoch bei der Risikobewertung. Eine Risikobewertung der identifizierten Vertragsverhältnisse haben lediglich rund 30 Prozent der befragten Unternehmen vorgenommen. Diese Maßnahme ist jedoch Voraussetzung für eine effiziente Umsetzung der gesetzlichen Anforderungen. 2. Geforderte Überprüfung findet uneinheitlich statt Der Gesetzgeber fordert, die Einhaltung der technischen und organisatorischen Datenschutzmaßnahmen zu überprüfen, ohne jedoch die Art und Häufigkeit der dazu notwendigen Kontrollen näher zu spezifizieren. Sie müssen sich aus der Risikosituation ergeben, die mit der Auftragsdatenverarbeitung einhergeht. In der Praxis haben sich verschiedene Verfahren etabliert, die von Vor-Ort-Prüfungen über Dokumentenreviews bis hin zu einfachen Abfragen reichen. Teilweise werden auch externe Firmen beauftragt, den Datenschutz zu prüfen und darüber Bericht zu erstatten. Diese Berichte sind bislang jedoch höchst individuell gestaltet, da ihnen keine nachvollziehbaren Standards zugrunde liegen. Prüfungsberichte nach anerkannten Prüfungsstandards (unter anderem ISAE 3000, IDW PS 951) wurden erst in 6,5 Prozent der Unternehmen eingesetzt. Somit können sich die meisten Auftraggeber nicht allein auf die vorhandenen Berichte oder Zertifikate verlassen und müssen sich ergänzend von den bei den Auftragnehmern etablierten Maßnahmen überzeugen. 3. Geringe Aktivitäten durch die Datenschutzbehörden Die Datenschutzbehörden haben bei den befragten Unternehmen seit Novellierung des BDSG in der Regel noch keine Datenschutzprüfungen durchgeführt. Sie stehen aber mit vielen Unternehmen in aktivem Austausch. Aufgrund der Umstrukturierungsmaßnahmen und der angekündigten Personalaufstockung bei den Behörden erwartet knapp ein Viertel der befragten Datenschutzbeauftragten in den nächsten zwei Jahren jedoch eine Prüfung. Als Gesamtergebnis der Studie lässt sich festhalten, dass die Unternehmen unabhängig von den drohenden Prüfungen durch die Datenschutzbehörde das Thema Auftragsdatenverarbeitung noch gezielter angehen müssen. Wer Reputationsschäden mit gravierenden Auswirkungen auf den Geschäftserfolg vermeiden will, muss die Auftragsdatenverarbeitung risikoorientiert klassifizieren und darf sich bei sensiblen Auftragsdatenverarbeitungsverhältnissen nicht ausschließlich auf Aussagen des Auftragnehmers verlassen. Auch im Datenschutz müssen transparente Standards für die notwendige Sicherheit in der Zusammenarbeit zwischen Unternehmen sorgen. Hier bietet sich der internationale Prüfungsstandard ISAE 3000 an, der den Anforderungen der Auftragsdatenverarbeitung angepasst werden kann. Ein auf dieser Basis erstellter Prüfungsbericht stellt die konkreten Datenschutzmaßnahmen und ihre Überprüfung nachvollziehbar dar und bescheinigt die Angemessenheit des datenschutzrelevanten internen Kontrollsystems.

6 6 Auftragsdatenverarbeitung 3 Ergebnisse im Einzelnen 3.1 Anzahl der Auftragsdatenverarbeitungsverhältnisse Datenarchivierung und -vernichtung, Lohnbuchhaltung und Personalwesen, Fernwartung von Hardware und Software, Infrastruktur- und Anwendungsbetrieb sind Beispiele für Prozesse, in denen personenbezogene Daten verarbeitet werden, die aber immer häufiger ausgelagert sind. Unsere Eingangsfrage richtete sich daher auf die Anzahl der Auftragsdatenverarbeitungsverhältnisse der teilnehmenden Finanzunternehmen. Von den befragten Unternehmen gaben über die Hälfte (55 Prozent) an, mehr als 10 Auftragsdatenverarbeitungsverhältnisse vereinbart zu haben. Darunter befanden sich viele Unternehmen mit weit mehr als 100 solchen Verträgen, die höchste Anzahl lag bei 950. Die Menge der Auftragsdatenverarbeitungsverhältnisse korrelierte stark mit der Größe der Unternehmen: Je höher der Umsatz beziehungsweise die Bilanzsumme, desto größer die durchschnittliche Zahl solcher Auftragsverhältnisse. (Abbildung 1) In den Interviews mit den Datenschutzbeauftragten wurde deutlich, dass die Unternehmen zum Teil Schwierigkeiten haben, die Vielzahl der Auftragsdatenverarbeitungsverhältnisse vollständig zu erfassen und damit die Grundlage für die Umsetzung der gesetzlichen Anforderungen zu schaffen. In einigen Fällen gaben die Datenschutzbeauftragten an, dass eine zusätzliche Herausforderung in der Unterscheidung zwischen Funktionsübertragung und Auftragsdatenverarbeitung besteht, vor allem dann, wenn eine Vielzahl von Prozessen ausgelagert ist. Einige Datenschutzbeauftragte gingen in diesen Fällen auch proaktiv auf die Datenschutzbeauftragten ihrer Dienstleister zu, um ein gemeinsames Verständnis über die Klassifizierung zu gewinnen. Abbildung 1 Anzahl der Auftragsdatenverarbeitungsverhältnisse bis 2 3 bis 10 Mehr als 10 Exkurs: Funktionsübertragung versus Auftragsdatenverarbeitung Funktionsübertragung und Auftragsdatenverarbeitung werden häufig verwechselt. Hilfestellung gibt die nachfolgende Auflistung der typischen Merkmale: Typische Merkmale für Funktionsübertragung Nutzungsrechte an den Daten werden übertragen Der Auftragnehmer/Dienstleister ist nicht an Weisungen des Auftraggebers gebunden und kann selbst entscheiden, was mit den Daten geschieht Der Auftragnehmer/Dienstleister handelt in eigenem Namen 38 Typische Merkmale für Auftragsdatenverarbeitung Nutzungsrechte an den Daten werden nicht übertragen Auftragnehmer unterliegt der Weisung (Vertrag), was mit den Daten geschehen soll, dabei ist ihm die Nutzung der Daten zu eigenen Zwecken untersagt Auftragnehmer handelt nicht in eigenem Namen

7 Auftragsdatenverarbeitung Bewusstsein über gestiegene Verantwortung Nach 11 BDSG gilt, dass sich der Auftraggeber vor Beginn der Datenverarbeitung und danach regelmäßig davon überzeugen muss, dass der Auftragnehmer technische und organisatorische Datenschutzmaßnahmen getroffen hat und sie auch einhält. Darüber hinaus ist das Ergebnis zu dokumentieren. Die Änderung des 11 des BDSG gilt seit Inkrafttreten der zweiten Datenschutznovelle am 1. September 2009 und nimmt vor allem die Auftraggeber in die Pflicht. Neben den Mindestvertragsbestandteilen, die nach dem Willen des Gesetzgebers künftig einzuhalten sind, besteht hierin die zentrale neue Anforderung bei der Auftragsdatenverarbeitung. Ein wichtiger Untersuchungsgegenstand war daher, ob die Datenschutzbeauftragten über diese Änderungen informiert und mit dem Thema ausreichend vertraut sind. Das Ergebnis fällt deutlich aus: Fast allen Datenschutzbeauftragten (99 Prozent) ist die Novellierung des 11 BDSG bekannt. Damit sind sie sich auch ihrer gestiegenen Verantwortung bei der Auftragsdatenverarbeitung bewusst. Viele Datenschutzbeauftragte erläuterten, dass sie sich direkt nach der Novellierung im Jahr 2009 aktiv mit dem Thema auseinandergesetzt und mit der Umsetzung der Anforderungen begonnen hätten. (Abbildung 2) 3.3 Richtlinien und Vorgaben zur Auftragsdatenverarbeitung Die unternehmensinterne Umsetzung der Anforderungen des 11 BDSG sollte über interne Richtlinien/Vorgaben (oder auch Verfahrensbeschreibungen, Arbeitsanweisungen) erfolgen, in denen ein einheitlicher Prozess festgeschrieben wird. In diesen Richtlinien sollte klar geregelt sein, wie mit Auftragsdatenverarbeitungsverhältnissen zu verfahren ist. Viele Datenschutzbeauftragte wurden schon aktiv und in 87 Prozent der Unternehmen sind bereits Richtlinien/Vorgaben zu diesem Thema erstellt und etabliert. (Abbildung 3) Somit besteht bei sehr vielen Unternehmen bereits eine solide Basis für den Umgang mit Auftragsdatenverarbeitungsverhältnissen. Nicht untersucht wurde allerdings die Frage, wie diese Richtlinien umgesetzt werden, wie sie im Unternehmen integriert sind und wie sie ausgestaltet wurden. Abbildung 2 Bekanntheit 11 BDSG Abbildung 3 Bestehen Richtlinien/Vorgaben zur Auftragsdatenverarbeitung? Ja Nein In Bearbeitung 99 Ja Nein Vage bekannt 87

8 8 Auftragsdatenverarbeitung 3.4 Inventar, Risikobewertung und Vertragsanpassung Die erste konkrete Umsetzungsmaßnahme, um einen strukturierten Überblick zu erhalten, ist die Aufnahme und Dokumentation der Auftragsdatenverarbeitungsverhältnisse in einem Inventar. Aus diesem Grund wurde in der Untersuchung erhoben, bei wie vielen Unternehmen bereits solche Inventare bestehen und wer für die Erstellung verantwortlich war. Abbildung 4 Ist bereits ein Inventar erstellt? Auch hier wurden viele Unternehmen bereits aktiv und haben ein Inventar erstellt. Bei über der Hälfte (57 Prozent) der Befragten ist es bereits vollständig, bei rund einem Drittel ist das Verzeichnis noch in Bearbeitung (35 Prozent). Somit haben sich die meisten Unternehmen bereits einen ersten Überblick über ihre Auftragsdatenverarbeitungsverhältnisse verschafft. Nur 6 Prozent der Umfrageteilnehmer haben die Inventarisierung noch nicht in Angriff genommen. (Abbildung 4) Auf die Folgefrage nach der Zuständigkeit für die Erstellung dieser Inventare gab es unterschiedliche Antworten. Vermutet wurde, dass diese Aufgabe überwiegend vom Datenschutzbeauftragten wahrgenommen wird oder er zumindest aktiv daran beteiligt ist, da er bereits über tief gehende Kenntnisse über die Verarbeitung personenbezogener Daten im Unternehmen verfügt Ja Nein In Bearbeitung Die Ergebnisse zeigen jedoch, dass Unternehmen diese Aufgabe sehr unterschiedlich verteilen. Oft wird die Inventarisierung durch die Datenschutzbeauftragten der Unternehmen initiiert und durchgeführt. Häufig kooperieren die Datenschutzbeauftragten aber auch mit den Fachbereichen oder der Rechtsabteilung, da oft nur sie über das fachliche Wissen und den Überblick über viele Prozesse verfügen und damit eindeutig bestimmen können, welche Auftragsdatenverarbeitungsverhältnisse im Unternehmen bestehen. In rund 17 Prozent der befragten Unternehmen war der Datenschutzbeauftragte auch gänzlich von diesem Prozess ausgeschlossen und das Inventar wurde allein von den Fachbereichen und/oder der Rechtsabteilung erstellt. (Abbildung 5) Abbildung 5 Verantwortlichkeit für das Erstellen des Inventars Rechtsabteilung und Fachbereich 1,28 Datenschutzbeauftragter, Rechtsabteilung und Fachbereich 6,41 Datenschutzbeauftragter und Rechtsabteilung Datenschutzbeauftragter und Fachbereich Rechtsabteilung Fachbereich 3,85 14,10 3,85 11,54 Datenschutzbeauftragter 58,

9 Auftragsdatenverarbeitung 9 Mit dem Inventar verschaffen sich viele Unternehmen eine Übersicht über Anzahl und Art ihrer Auftragsdatenverarbeitungsverhältnisse. Ein reines Inventar über alle diese Vertragsverhältnisse ist aber in der Regel nicht ausreichend, um die Anforderungen des 11 BDSG effizient umzusetzen. Das Inventar sollte auch die notwendigen Angaben für eine Risikobewertung der einzelnen Auftragsdatenverarbeitungsverhältnisse enthalten, da die Verträge nicht nur angepasst werden müssen, sondern auch die Verpflichtung besteht, die Einhaltung der technischen und organisatorischen Maßnahmen zu überprüfen. In der Praxis werden dazu meist Merkmale wie Sensibilität der Daten oder die Marktdurchdringung und Markterfahrung des Dienstleisters herangezogen. Aber auch subjektive Einschätzungen über das Datenschutzniveau des Dienstleisters können eine wichtige Rolle spielen. Anhand der Risikobewertung des einzelnen Auftragsverhältnisses kann dann die geeignete Methode und Frequenz gewählt werden, mit der überprüft wird, ob die Datenschutzmaßnahmen angemessen sind und auch eingehalten werden. Die Hälfte aller befragten Unternehmen führt bereits eine Risikobewertung durch, wohingegen bei 25 Prozent aller befragten Unternehmen zum Zeitpunkt der Umfrage noch keine Risikobewertung für Auftragsdatenverarbeitungsverhältnisse stattfand. An dieser Stelle ist daher noch viel Effizienzpotenzial zu heben, da nur eine risikoorientierte Betrachtung die Festlegung angemessener Überprüfungsmaßnahmen für die Datenschutzvorkehrungen erlaubt. (Abbildung 6) Abbildung 6 Erfolgte eine Risikobewertung? Ja Nein In Bearbeitung Abbildung 7 Verantwortlichkeit für die Risikobewertung Rechtsabteilung und Fachbereich 0 Datenschutzbeauftragter, Rechtsabteilung und Fachbereich 4,92 Datenschutzbeauftragter und Rechtsabteilung 0 Datenschutzbeauftragter und Fachbereich 21,31 Rechtsabteilung 0 Fachbereich 21,31 Datenschutzbeauftragter 52,

10 10 Auftragsdatenverarbeitung Eine weitere Frage war, wer im Unternehmen das Risiko der einzelnen Auftragsdatenverarbeitungsverhältnisse einschätzt und bewertet. Übernehmen diese Aufgabe die Fachverantwortlichen oder liegt die Zuständigkeit zentral beim Datenschutzbeauftragten? Es zeigte sich, dass die Risikobewertung in den meisten Fällen bisher allein durch den Datenschutzbeauftragten (52,46 Prozent) erfolgte. Dieses Ergebnis war naheliegend, da der Datenschutzbeauftragte oftmals auch die Inventarisierung der Auftragsdatenverarbeitungsverhältnisse zentral vornahm oder sie zumindest mitbegleitete. So konnte die Risikobewertung gleichzeitig mit der Inventarisierung vorgenommen werden. Gelegentlich übernahm diese Aufgabe auch der Fachbereich allein (21,31 Prozent). Die optimale Konstellation der Risikobewertung als Gemeinschaftsprodukt zwischen Datenschutzbeauftragtem und Fachbereich und/oder Rechtsabteilung war mit insgesamt nur gut einem Viertel aller Fälle (26,23 Prozent) noch nicht die Regel. (Abbildung 7) Da sich die Studie nicht nur auf die Überprüfung der Einhaltung der technischen und organisatorischen Maßnahmen des 11 BDSG, sondern auch auf die notwendigen Vertragsanpassungen bei der Auftragsdatenverarbeitung bezog, wurde darüber hinaus erhoben, wie viele Unternehmen ihre Verträge zur Auftragsdatenverarbeitung entsprechend 11 BDSG bereits angepasst haben. Das Ergebnis fiel dabei deutlich aus: Die große Mehrheit der Unternehmen hat die Verträge mit den Auftragnehmern bereits angepasst (67 Prozent) oder passte sie zum Zeitpunkt der Befragung gerade an (28 Prozent). (Abbildung 8) Auch hier wurde nachgefragt, wer für die Anpassung verantwortlich war beziehungsweise ist. Bei knapp der Hälfte der Unternehmen war tatsächlich der Datenschutzbeauftragte der Verantwortliche für die Vertragsanpassungen. Oftmals wurde diese Aufgabe in enger Kooperation zwischen dem Datenschutzbeauftragten und den Fachbereichen/der Rechtsabteilung bearbeitet. (Abbildung 9) Insgesamt ist zu erkennen, dass die befragten Unternehmen und vor allem deren Datenschutzbeauftragte die Änderungen des 11 BDSG aufgenommen haben und sich aktiv um die Erstellung von Anweisungen und Inventaren sowie die notwendigen Vertragsanpassungen kümmern. Optimierungsbedarf besteht vor allem bei der Risikobewertung und der Zusammenarbeit zwischen Datenschutzbeauftragten, Fachbereichen und Rechtsabteilungen. Abbildung 8 Sind die Verträge bereits angepasst? Ja Nein In Bearbeitung

11 Auftragsdatenverarbeitung 11 Geschäftsleitung/Vorstand Rechtsabteilung und Fachbereich Datenschutzbeauftragter, Rechtsabteilung und Fachbereich Datenschutzbeauftragter und Rechtsabteilung 1,95 1,95 3,48 9,91 Datenschutzbeauftragter und Fachbereich Rechtsabteilung 12,99 13,03 Fachbereich 34,93 Datenschutzbeauftragter 21, Abbildung 9 Verantwortlichkeit bei Vertragsanpassung 3.5 Überprüfung der technischen und organisatorischen Maßnahmen Ein zentraler Teil der Studie beschäftigte sich mit dem methodischen Ansatz, wie sich die Unternehmen von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen und das Ergebnis dokumentieren. Am häufigsten wurden bislang einfache Techniken eingesetzt, darunter Fragebögen (21 Prozent), die vom Auftragnehmer auszufüllen sind, und das Einholen der Richtlinien/ Vorgaben, die beim Dienstleister gelten (25 Prozent). Danach folgten Vor-Ort-Prüfungen mit 17 Prozent der Nennungen sowie das Anfordern von Prüfungsberichten der internen Revision (14 Prozent). Weiterhin wurden teilweise von Externen erstellte Prüfungsberichte eingeholt (11 Prozent). Sie wurden von unterschiedlichen Organisationen verfasst, beruhten aber häufig nicht auf allgemein zugänglichen Standards wie beispielsweise ISO Berichte von unabhängigen Prüfern, die sich an anerkannten Prüfungsstandards orientieren (zum Beispiel ISAE 3000 oder IDW PS 951), wurden zum Erhebungszeitpunkt erst in 6 Prozent aller Fälle genutzt. Obwohl die nach diesen Standards erstellten Berichte durch ihre Unabhängigkeit und hohe Aussagekraft als verlässlichste Nachweise anzusehen sind, setzen viele Unternehmen noch auf weniger unabhängige Überprüfungsverfahren. In wenigen Fällen (3 Prozent) fand bisher sogar überhaupt noch keine Prüfung der technischen und organisatorischen Maßnahmen statt. (Abbildung 10)

12 12 Auftragsdatenverarbeitung Abbildung 10 Mittel zur Überprüfung der technischen und organisatorischen Maßnahmen Fragebogen Richtlinie Vor-Ort-Prüfung Prüfungsbericht der internen Revision Prüfung durch Externe Prüfung nach anerkanntem Prüfungsstandard Sonstige Findet nicht statt Das Studienergebnis wirft die Frage auf, ob das Einholen von Richtlinien und Fragebögen allein bei Datenschutzvorfällen oder Prüfungen durch die Datenschutzbehörde als ausreichend angesehen werden kann. Vor allem bei der Verarbeitung von sensiblen personenbezogenen Daten, wie Angaben über Steuerklasse, Familienstand, biometrische Daten, Vermögen (Kontostand, Wertpapierbesitz etc.), bis hin zu besonders schutzwürdigen personenbezogenen Daten, wie politischen Einstellungen, ethnischer Herkunft, Zugehörigkeit zu Organisationen und Verbänden, Angaben zur körperlichen Verfassung von Personen etc., wird eine rein dokumentenbasierte Überprüfung in der Regel nicht ausreichend sein. Es empfiehlt sich daher, die Methode der Überprüfung risikoorientiert zu definieren. Neben den Auftraggebern wurden in der Studie auch die Dienstleister (also im Sinne des BDSG die Auftragnehmer) danach befragt, wie viele Auftraggeber sich bei Ihnen von der Einhaltung der technischen und organisatorischen Datenschutzmaßnahmen überzeugen. Exkurs: ISAE 3000 Viele Unternehmen kennen den amerikanischen Prüfungsstandard SAS 70 und seinen internationalen Nachfolger ISAE Der ISAE 3402 basiert auf dem allgemeinen internationalen Prüfungsstandard ISAE Beide wurden von der internationalen Wirtschaftsprüfervereinigung IFAC (International Federation of Accountants) herausgegeben. Während der ISAE 3402 nur auf das für die Finanzberichterstattung maßgebliche interne Kontrollsystem ( as it relates to financial reporting ) angewandt werden darf, bietet der ISAE 3000 ( Assurance Engagements Other Than Audits or Reviews of Historical Financial Information ) einen internationalen Rahmen für die Prüfung von Informationen, die für die Finanzberichterstattung nicht relevant sind, und kann somit auch auf das interne Kontrollsystem hinsichtlich der Compliance zu Gesetzen und regulatorischen Anforderungen angewandt werden. Auf den 11 BDSG bezogen würde eine Prüfung sowohl die Angemessenheit des datenschutzrelevanten Kontrollumfelds als auch die Angemessenheit und Wirksamkeit der technischen und organisatorischen Maßnahmen umfassen. Erst beide Aspekte zusammen ergeben eine nachhaltige Aussage über die Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen. Über das Ergebnis der Prüfung nach ISAE 3000 wird ein Prüfungsbericht (Assurance Report) sowie eine Bescheinigung (Conclusion) erstellt. In der Bescheinigung wird im positiven Fall bestätigt, dass auf Basis der im Prüfungsbericht ausführlich beschriebenen Prüfungshandlungen Aufbau und Implementierung des geprüften datenschutzrelevanten internen Kontrollsystems angemessen und wirksam sind, um im Rahmen der Auftragsdatenverarbeitung die Einhaltung angemessener technisch-organisatorischer Sicherheitsmaßnahmen gemäß der Anlage zu 9 Satz 1 BDSG sicherzustellen.

13 Auftragsdatenverarbeitung bis 100 Prozent 1,54 1,54 9,23 50 bis 75 Prozent 13,85 25 bis 50 Prozent 27,69 0 bis 25 Prozent 46, Abbildung 11 Wie viele der Auftraggeber stellen Auskunftsgesuche über technische und organisatorische Maßnahmen? Das Ergebnis ist rund zwei Jahre nach der Novellierung des BDSG im September 2009 sehr ernüchternd: 46,15 Prozent der Datenschutzbeauftragten von Auftragnehmern gaben an, dass weniger als 25 Prozent ihrer Kunden bis dato Anfragen zum Status der technischen und organisatorischen Maßnahmen bei der Auftragsdatenverarbeitung gestellt haben. Rechnet man das zweite Quartil dazu, ergibt sich, dass in rund 74 Prozent aller Fälle weniger als die Hälfte der Auftraggeber bei den Auftragnehmern Auskunftsgesuche über deren technische und organisatorische Maßnahmen stellten. (Abbildung 11) Das Ergebnis lässt vermuten, dass viele Auftraggeber ihrer Pflicht zur regelmäßigen Überprüfung der Datenschutzvorkehrungen noch nicht nachkommen. Aus diesem Grund wurde ebenfalls erhoben, ob die Datenschutzbeauftragten der Dienstleister erwarten, dass die Anzahl der Auskunftsgesuche ihrer Auftraggeber in den nächsten zwei Jahren steigen wird. Hier rechnet eine knappe Mehrheit der befragten Datenschutzbeauftragten mit einem Anstieg der Anfragen. (Abbildung 12) Abbildung 12 Rechnen Sie mit einem Anstieg der Auskunftsgesuche? Ja Nein

14 14 Auftragsdatenverarbeitung Geschäftsleitung/Vorstand Rechtsabteilung und Fachbereich Datenschutzbeauftragter, Rechtsabteilung und Fachbereich Datenschutzbeauftragter und Rechtsabteilung 1,36 1,95 0,77 1,95 Datenschutzbeauftragter und Fachbereich 26,20 Rechtsabteilung 0 Fachbereich 36,11 Datenschutzbeauftragter 31, Abbildung 13 Verantwortlichkeit bei der Überprüfung der technischen und organisatorischen Maßnahmen Abschließend wurden die Studienteilnehmer danach befragt, wer in ihrem Unternehmen dafür verantwortlich ist, die Einhaltung der technischen und organisatorischen Maßnahmen bei der Auftragsdatenverarbeitung zu überprüfen. Auch hier ergab sich wiederum eine Aufgabenteilung zwischen Fachbereich und Datenschutzbeauftragten. Die Rechtsabteilungen der Unternehmen sind in der Praxis fast nie für die Überprüfungen verantwortlich. (Abbildung 13) Insgesamt ist festzustellen, dass die Unternehmen die Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen noch sehr unterschiedlich prüfen. 3.6 Aktivität der Datenschutzbehörden Die Aufsichtsbehörde kontrolliert die Ausführung des Bundesdatenschutzgesetzes sowie anderer Vorschriften über den Datenschutz. Der nicht öffentliche Bereich fällt dabei in die Zuständigkeit der Datenschutzaufsichtsbehörden der Länder. Für die vorliegende Studie wurden die Datenschutzbeauftragten der Unternehmen auch danach befragt, wie häufig die Behörden in ihren Unternehmen aktiv geworden sind. Zitat eines befragten Datenschutzbeauftragten: Wissen Sie, wie oft man, gerechnet auf die Zahl der Angestellten bei der Landesdatenschutzbehörde, mit einer Prüfung in unserem Bundesland rechnen kann? Antwort: Alle Jahre. Dieses sehr plakative Zitat wird durch die Studie bestätigt. 93 Prozent der befragten Unternehmen gaben an, dass in den letzten drei Jahren keine Prüfung durch die Datenschutzbehörden stattgefunden hat. Zwar stehen viele Datenschutzbeauftragte auskunftsgemäß in engem Kontakt mit den Behörden, zu einer Prüfung kommt es jedoch nur selten. Und wenn, dann in den meisten Fällen nur anlassbezogen. (Abbildung 14)

15 Auftragsdatenverarbeitung 15 Abbildung 14 Gab es in den letzten drei Jahren Prüfungen durch die Datenschutzbehörde? Zeithorizont bis zur Erfüllung der Anforderungen Die zweite Datenschutznovelle wurde am 1. September 2009 in Kraft gesetzt. Seitdem gilt ein veränderter 11 BDSG, der explizit regelt, welche Anforderungen die vertragliche Ausgestaltung einer Auftragsdatenverarbeitung zwingend erfüllen muss und welche spezifischen Kontrollpflichten dem Auftraggeber auferlegt sind. 93 Ja Nein Nachdem sich viele Unternehmen noch mit der Umsetzung der Anforderungen beschäftigen, stellt sich die Frage, wann die Datenschutzbeauftragten die Anforderungen voraussichtlich vollständig erfüllen werden. Diese Frage wurde nach den beiden Aspekten Anpassung der Verträge zur Auftragsdatenverarbeitung und Überprüfung der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen differenziert. Viele Datenschutzbehörden planen jedoch die Anzahl ihrer Mitarbeiter zu erhöhen, sodass in Zukunft mehr Prüfungskapazität bereitstehen könnte. Immerhin rechnet knapp ein Viertel der befragten Datenschutzbeauftragten in den nächsten zwei Jahren mit einer Prüfung. (Abbildung 15) Die Hälfte der befragten Datenschutzbeauftragten geht davon aus, im Verlauf des Jahres 2012 alle Verträge entsprechend dem gesetzlichen Festlegungskatalog angepasst zu haben und somit die erste wesentliche Anforderung aus der Novellierung des BDSG an die Auftragsdatenverarbeitung zu erfüllen. (Abbildung 16) Abbildung 15 Erwarten die Datenschutzbeauftragten Prüfungen in den nächsten zwei Jahren? Abbildung 16 Wann planen die Unternehmen alle Verträge angepasst zu haben? Bereits umgesetzt Ja Nein Nach 2013

16 16 Auftragsdatenverarbeitung Bei der zweiten zentralen Anforderung, der Überprüfung der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen, ergibt sich ein vermeintlich positiveres Bild. Hier denkt die Mehrheit (63 Prozent) der Datenschutzbeauftragten, dass sich ihr Unternehmen bereits 2012 bei allen Auftragnehmern von der Einhaltung der Datenschutzmaßnahmen überzeugen wird. Zum Erhebungszeitpunkt gaben jedoch erst 20 Prozent der Befragten an, die technischen und organisatorischen Maßnahmen bereits vollständig überprüft zu haben. (Abbildung 17) Da der Gesetzgeber anders als bei den Vertragsinhalten die Methodik nicht vorgegeben hat, mit der die Einhaltung der technischen und organisatorischen Maßnahmen zu überprüfen ist, wundert diese optimistische Einschätzung nicht. Schließlich findet die Kontrolle in beinahe der Hälfte aller Fälle lediglich auf Basis einer vom Auftragnehmer selbst erstellten Dokumentation statt, die sich naturgemäß schneller einholen lässt als die für Vertragsänderungen notwendigen Unterschriften. 3.8 Datenschutzniveau Darüber hinaus wurde erfragt, wie die Datenschutzbeauftragten subjektiv das Datenschutzniveau ihrer Dienstleister (als Auftraggeber) beziehungsweise ihrer Unternehmen (als Auftragnehmer) einschätzen. Rund drei Viertel der befragten Datenschutzbeauftragten (76 Prozent) schätzten das Datenschutzniveau ihrer Dienstleister beziehungsweise ihrer Unternehmen als hoch ein. Ihre Einschätzung wurde in den Interviews oftmals dadurch begründet, dass es sich bei den Auftragnehmern um große und bekannte Unternehmen handele, bei denen von einem hohen Datenschutzniveau ausgegangen werden könne. Weiterhin sei die Finanzdienstleistungsbranche eine stark regulierte Branche, in der das Sicherheitsniveau allgemein als hoch einzustufen sei. (Abbildung 18) Abbildung 17 Wann planen die Unternehmen sich von den technischen und organisatorischen Maßnahmen überzeugt zu haben? Abbildung 18 Eingeschätztes Datenschutzniveau Bereits umgesetzt Später als Hoch Durchschnittlich Gering

17 Auftragsdatenverarbeitung 17 Diese Argumentation muss jedoch kritisch betrachtet werden: Auch bei bekannten und anderweitig regulierten Unternehmen kam es in der Vergangenheit immer wieder zu Datenschutzvorfällen. Allein auf die Bekanntheit und Größe der Unternehmen zu bauen, reicht daher nicht aus. Die gesetzlich geforderte Überprüfung, ob die beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen auch eingehalten werden, muss prozessual klar geregelt sein, um sich objektiv vom Datenschutzniveau bei den Auftragnehmern überzeugen zu können. In den meisten Fällen wurde das Management bisher nur einmal jährlich meist im Rahmen des von fast allen Datenschutzbeauftragten erstellten Datenschutzberichts über den Status der Abarbeitung der nunmehr bestehenden datenschutzrechtlichen Anforderungen informiert. In 40 Prozent der Unternehmen scheint das Interesse am Status der Auftragsdatenverarbeitung jedoch höher zu sein. Hier informierte der Datenschutzbeauftragte das Management bereits häufiger als einmal pro Jahr über die Auftragsdatenverarbeitungsverhältnisse. (Abbildung 19) Abschließend wurde erhoben, ob die Umsetzung der Anforderungen an die Auftragsdatenverarbeitung Chefsache ist und wie häufig die befragten Datenschutzbeauftragten ihr Management über die aktuelle Situation in der Auftragsdatenverarbeitung informieren. Abbildung 19 Wie häufig wird die Geschäftsleitung über Auftragsdatenverarbeitung informiert? mal pro Jahr 2-mal pro Jahr Mehr als 2-mal pro Jahr Noch nie Die Geschäftsleitung hat kein Interesse

18 18 Auftragsdatenverarbeitung 4 Fazit und Ausblick IT-Outsourcing, auch häufig unter Einbezug von personenbezogenen Daten, wird weiter zunehmen darin sind sich alle Experten einig. Konzentration auf das Kerngeschäft, Senkung der Fixkosten bei verbrauchsabhängiger Vergütung, Skalierbarkeit, Flexibilität, Business-Agilität sind bekannte und häufig auch valide Argumente für die Fortsetzung dieses Trends, der in den vergangenen Jahren durch die technischen Möglichkeiten der Vernetzung und komponentenbasierten Architekturen ermöglicht wurde. Als Reaktion auf die zunehmende Verarbeitung von personenbezogenen Daten außerhalb der Unternehmen und einigen Vorfällen in diesem Zusammenhang wurde im September 2009 der 11 des Bundesdatenschutzgesetzes novelliert und dadurch vor allem die Verantwortung der Auftraggeber bei der Auftragsdatenverarbeitung verschärft. Nahezu allen befragten Unternehmen war bewusst, dass sie nun stärker in die Pflicht genommen werden. Fast alle Befragten gaben an, bereits entsprechende Aktivitäten entwickelt zu haben, oder sie waren zum Zeitpunkt der Umfrage dabei, die Gesetzesanforderungen umzusetzen. Das ist ein erfreuliches Ergebnis und zeigt, dass sich die Unternehmen in der Finanzindustrie aktiv mit diesem sensiblen Thema auseinandersetzen. Folgende Fragen bleiben jedoch in Bezug auf den verschärften 11 BDSG offen: Wie soll sich der Auftraggeber von der Einhaltung der technischen und organisatorischen Maßnahmen überzeugen? Wie kann diese Anforderung bei der zunehmenden Zahl von Auftragsdatenverarbeitungsverhältnissen praktikabel umgesetzt werden? Die Studie zeigt auf, dass es weder eine einheitliche Vorgehensweise zur risikoorientierten Bewertung der Auftragsdatenverarbeitung gibt, noch ein einheitliches Verfahren, mit dem die Einhaltung und Angemessenheit der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überprüft wird. Insbesondere der in anderen Bereichen übliche Einsatz anerkannter Prüfungsstandards mit einer transparenten Berichterstattung ist nur in wenigen Fällen anzutreffen. Hier liegt die eigentliche Herausforderung für die Zukunft, um Unternehmen bei der Auslagerung ihrer Datenverarbeitungstätigkeiten an Dritte optimal vor Datenskandalen schützen zu können. Insbesondere bei der Auftragsdatenverarbeitung von personenbezogenen Daten mit hohem Schutzbedarf müssen Standards etabliert werden, die dem Auftraggeber ein ausreichendes Maß an Gewissheit verschaffen, dass der Auftragsdatenverarbeiter angemessene technische und organisatorische Maßnahmen getroffen hat und sie auch einhält. Ein Ansatz ist, transparente und von unabhängiger Seite erstellte Prüfungsberichte nach dem international anerkannten Standard ISAE 3000 zu verwenden, die inhaltlich sowohl das datenschutzrelevante interne Kontrollsystem als auch die technischen und organisatorischen Datenschutzmaßnahmen zum Beurteilungsgegenstand haben. Nur durch einen solchen Nachweis kann der Auftraggeber eine angemessene Sicherheit über die Eignung und nachhaltige Einhaltung der Sicherungsmaßnahmen zum Schutz der beim Auftragnehmer verarbeiteten Daten erhalten. Ein etablierter Standard wie der ISAE 3000 hätte zusätzlich das Potenzial, angesichts der bevorstehenden Vereinheitlichung des Datenschutzrechts durch die geplante Europäische Datenschutzverordnung international Anerkennung zu finden.

19

20 Kontakt KPMG AG Wirtschaftsprüfungsgesellschaft THE SQUAIRE Am Flughafen Frankfurt am Main Günter Kapitza Partner T gkapitza@kpmg.com Markus Gaulke Senior Manager T mgaulke@kpmg.com Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG- Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative ( KPMG International ), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG, das Logo und cutting through complexity sind eingetragene Markenzeichen von KPMG International Cooperative.