"TÜV Süd Datenschutzindikator" bemängelt Umgang mit Fremddaten
TÜV Süd: Zu wenig Kontrolle bei Auftragsdatenverarbeitung
Viele Unternehmen lagern einem Teil der Datenverarbeitung aus, um Ressourcen zu sparen. Doch damit geben sie nicht die Verantwortung für diese Daten ab. Als Auftraggeber bleiben sie bei Auftragsdatenverarbeitungen für Verfehlungen ihrer Dienstleister vollumfänglich verantwortlich und haftbar. Doch die Befragungsergebnisse aus dem "TÜV Süd Datenschutzindikator" (DSI) lassen den Schluss zu, dass sich nicht alle Betriebe dieser Verantwortung tatsächlich bewusst sind.
Nur 42 Prozent der beim DSI Befragten schließen mit jedem Auftragnehmer, der in ihrem Auftrag personenbezogene Daten verarbeitet oder an den IT-Systemen Wartungen vornimmt, einen entsprechenden Vertrag zur Auftragsdatenverarbeitung. Das Bundesdatenschutzgesetz (BDSG) verpflichtet Unternehmen jedoch dazu, solche Verträge abzuschließen, da sie als Auftraggeber auch weiterhin für die Sicherheit der Daten verantwortlich sind und Schadenersatzansprüche sowie Bußgelder an sie gerichtet werden.
„Diese Verträge sind für die Firmen eine wichtige Absicherung“, erklärt Rainer Seidlitz, Prokurist bei TÜV Süd Sec-IT. „Darin verpflichten sie ihre Auftragnehmer, entsprechend ihren Vorgaben mit den personenbezogenen Daten umzugehen. Außerdem kann ein Bußgeld von bis zu 50.000 Euro fällig werden, wenn kein Vertrag zur Auftragsdatenverarbeitung vorhanden ist oder dieser nicht richtig, nicht vollständig oder nicht in der vom BDSG vorgeschriebenen Weise abgeschlossen ist.“
Noch gravierender ist, dass mit 23 Prozent nicht einmal ein Drittel der Befragten ihre externen Dienstleister regelmäßig auf die Einhaltung der Datenschutzpflichten überprüft und dies dokumentiert. Ohne diese Prüfung ist nicht einschätzbar, ob die personenbezogenen Daten beim Auftragnehmer tatsächlich gut aufgehoben sind. „Die Auftragsdatenverarbeitung darf ein Unternehmen erst erteilen, wenn der Dienstleister die geforderten technischen und organisatorischen Maßnahmen zum Datenschutz erfüllt und nachhaltig aufrechterhalten kann“, erläutert Rainer Seidlitz. „Dies muss natürlich vor der Auftragserteilung und anschließend in regelmäßigen Abständen geprüft werden – entweder vor Ort oder durch eine entsprechend aussagekräftige Dokumentation.“
Unternehmen, die selbst prüfen wollen, wie gut sie in Sachen Datenschutz aufgestellt sind und an welchen Stellen Verbesserungspotenzial besteht, können am TÜV Süd DSI unter www.tuev-sued.de/datenschutzindikator teilnehmen.
Weitere Informationen zu den Themen Datenschutz und Datensicherheit erhalten Interessenten unter www.tuev-sued.de/sec-it.
Teletrust: IT-Sicherheitsgesetz nur ein erster Schritt
Tipps vom TÜV Süd zum IT-Sicherheitsgesetz
Experiment: Persönliche E-Mails, Online-Banking- und Social-Networking-Daten sind gefährdet
Lesen Sie mehr zum Thema
