Neues Datenschutzsiegel und neuer Datenschutzstandard für Auftragsdatenverarbeiter. Dr. Niels Lepperhoff Geschäftsführer

Größe: px

Ab Seite anzeigen:

Download "Neues Datenschutzsiegel und neuer Datenschutzstandard für Auftragsdatenverarbeiter. Dr. Niels Lepperhoff Geschäftsführer"

Franz Vogt
vor 6 Jahren
Abrufe

1 Neues Datenschutzsiegel und neuer Datenschutzstandard für Auftragsdatenverarbeiter Dr. Niels Lepperhoff Geschäftsführer 1

2 Auftragsdatenverarbeitung heute Ein gutes Datenschutzniveau ist unsichtbar. Kontrollpflicht = Herausforderung für Auftraggeber Wie kontrolliere ich? Wer soll kontrollieren? Was kontrolliere ich? Beispiel 24 Auftragnehmer Kontrollzyklus: 2 Jahre Kontrolldauer: 0,5 Personentage bei Fragenbogenkontrolle Min. Aufwand pro Jahr: 6 Personentage Auftragnehmer Wie erfülle ich Kontrollwünsche unterschiedlicher Auftraggeber? Wie schützte ich meine Betriebsgeheimnisse vor Auftraggebern? Wer übernimmt die Kosten? 2

3 Mission Kontrolltätigkeiten ersetzen Ziel Datenschutzkonformität sichtbar machen Siegel soll Kontrolltätigkeiten ersetzen Rahmenbedingung Gesetzliche Regelung zu Reduktion von Kontrollpflichten durch Siegel existiert nicht Lösung: Nutzung von Siegeln im Kontrollermessen des Auftraggebers Unabhängigkeit des Auditors Fachkunde des Auditors Offenlegung des Prüfberichts Voraussetzung für Akzeptanz als Kontrollhandlung im Ermessen des Auftraggebers 3

5 5 Die Akteure Autoren des Datenschutzstandards DS-BvD-GDD-01 Bilden Auditoren aus Gesellschafter der Vergibt das Datenschutzsiegel Zertifiziert Auditoren

6 6 Erfüllung der Anforderungen 1/2 Anforderung: Unabhängigkeit des Auditors Vertragliche Regelung zur wirtschaftlichen Unabhängigkeit der Auditoren vom zu prüfenden Unternehmen Vergangene 24 Monate Zukünftige 12 Monate Multi-Augenprinzip: Prüfung des Auditberichts im Zertifizierungsausschuss Mitglieder im Zertifizierungsausschuss sind wirtschaftlich unabhängig vom zu prüfenden Unternehmen Anforderung: Fachkunde des Auditors Fundierte Ausbildung als Datenschutzbeauftragter Berufserfahrung als Datenschutzbeauftragter oder Mitarbeiter im Datenschutz Fortbildung oder Berufserfahrung als Auditor Fortbildung und Prüfung im Standard DS-BvD-GDD-01

7 7 Erfüllung der Anforderungen 2/2 Anforderung: Offenlegung des Prüfberichts Prüfungsgrundlage = öffentlich zugänglicher Standard DS-BvD-GDD-01 Prüfbericht veröffentlicht im Internet (ohne Betriebsgeheimnisse) Was wurde geprüft? Wie wurde geprüft? Was ist das Ergebnis?

9 DS-BvD-GDD-01: Auftragnehmer hilft Auftraggeber bei Pflichterfüllung 9

11 Module beschreiben Leistungserbringung Leistung Herstellung Output-management Auftragsmanage-ment Input-management Erbringun g Leistungsbeschrei-bung Angebot Vertrag 11

12 Module beschreiben Konzepte und Überwachung IT-Sicherheitskonzept Auftragsmanage-ment IT-Sicherheitsmanage-ment Daten-schutzmanage-ment Überwach ungssysteme Daten-schutzkonzept Schutzkonzepte 12

13 13 Beispiel: Modul Datenschutz-Managementsystem Schutzziele Verpflichtung des Auftragnehmers die Einhaltung von Datenschutzbestimmungen sicherzustellen Kehrseite für Haftung des Auftraggebers Vorgaben / Anforderungen (Beispiele) Bestellung eines Datenschutzbeauftragten Fachkunde Ressourcenausstattung Stichprobenkontrolle ausgewählter Prozesse und angebotene Leistung auf Datenschutzkonformität Prozess zur Kontrolle von Unterauftragnehmern Anforderungen (Beispiele) Nachweis der Kontrolltätigkeiten

LDI NRW befürwortet Gesamtkonzeption aus Standard und Zertifizierungsablauf Ulrich Lepper Tenor: Mit dem Standard wird Unternehmen für die Auftragsdatenverarbeitung ein klar

Ich bin von dem Modell, von der theoretischen Konzeption überzeugt ( ) Ziel ist eine Lösung nicht nur auf Landes- sondern auf Bundesebene zu finden.

14 LDI NRW befürwortet Gesamtkonzeption aus Standard und Zertifizierungsablauf Ulrich Lepper Tenor: Mit dem Standard wird Unternehmen für die Auftragsdatenverarbeitung ein klar nachvollziehbarer und datenschutz-rechtlich korrekter Rahmen gegeben. Ich bin von dem Modell, von der theoretischen Konzeption überzeugt ( ) Ziel ist eine Lösung nicht nur auf Landes- sondern auf Bundesebene zu finden. Ich bin überzeugt, dass die Erfahrungen, die wir hier mit dem Modell und im offenen Diskurs machen werden, Einfluss auf die Gesetzgebung haben werden. Ausführlich: Inhalt/Modellprojekt_zum_Datenschutzaudit_startet/Modellprojekt_zum_ Datenschutzaudit_startet.php Quelle: BvD-News 2/

Ähnliche Dokumente

Datenschutzzertifizierung für Auftragsdatenverarbeitung - Nutzen für Auftraggeber und Auftragnehmer. Dr. Niels Lepperhoff (Geschäftsführer)

Datenschutzzertifizierung für Auftragsdatenverarbeitung - Nutzen für Auftraggeber und Auftragnehmer Dr. Niels Lepperhoff (Geschäftsführer) 1 Auftragsdatenverarbeitung = Quell stetiger Konfusion Auftraggeber