Datenschutz & Datensicherheit
Mehr Sicherheit für Sie und Ihre Kunden

Datenschutz und insbesondere Informationssicherheit sind Themenfelder mit stark zunehmenden Präsenzen und Prioritäten in allen Branchen und Unternehmensgrößen. Durch immer komplexere Systeme und größere Netzwerke, sowie der steigenden Automatisierung wird ein hohes Maß an IT Sicherheit und Datenschutz am Markt und durch verschiedene andere Institutionen gefordert.

Besonders der Gesetzgeber geht hier voran und verpflichtet alle Unternehmen, die in einer Auftragsverarbeitung vertraglich involviert sind, ihre gegenseitig vereinbarten Datenschutz- und Informationssicherheitsmaßnahmen regelmäßig durch eine geeignete Stelle zu kontrollieren.

Die Rechtsgrundlage dafür ist eindeutig!

In Art 28 (3) h der Datenschutzgrundverordnung wird die Kontrollpflicht des Auftraggebers einer Auftragsverarbeitung gegenüber dem Auftragnehmer wie folgt beschrieben:

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf Grundlage eines Vertrages oder eines anderen Rechtsinstrumentes nach dem Unionsrecht oder dem Recht der Mitgliedsstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Das Problem der Umsetzbarkeit:

Eine gegenseitig verpflichtende Kontrolle der vereinbarten Maßnahmen ist richtig und sinnvoll, aber praktikabel und wirtschaftlich umsetzbar ist sie kaum. Theorie und Praxis klaffen weit auseinander.

Um dem Anspruch einer regelmäßigen Kontrolle zu entsprechen, müsste jeder Auftraggeber einer Auftragsverarbeitung mindestens einmal im Jahr einen Prüfer beauftragen, die vereinbarten Sicherheitsmaßnahmen des Auftragnehmers, auf tatsächliche Umsetzung und durchgeführte Eigenkontrolle hin zu überprüfen. Dies würde z.B. bei IT-Dienstleistern, die ausschließlich als Auftragnehmer tätig sind, schlicht in einem „Audit-Tourismus“ enden und den Betriebsablauf entweder empfindlich stören oder sogar komplett lahmlegen.

Die Lösung:

Nur ein regelmäßiges Audit, für alle Anfragen.

Vetter Consulting bietet Unternehmen ein Auditkonzept mit verschiedenen Abstufungen zur Überprüfung und zum Nachweis der technisch-organisatorischen Maßnahmen zum Datenschutz und der Informationssicherheit an. Sie haben die Wahl zwischen drei verschiedenen Audits unterschiedlicher Größe. Welches Audit für Ihr Unternehmen am besten geeignet ist, hängt dabei entscheidend vom unmittelbaren Zweck und seiner Zielrichtung ab (siehe unten). Der Aufbau des Auditkonzeptes folgt grundsätzlich dem Zweck, ein für alle gesetzlichen Erfordernisse angemessenes aber auch wirtschaftlich überschaubares Verfahren, zur Überprüfung und Verbesserung der im Unternehmen angewendeten Datenschutz- und Informationssicherheitsmaßnahmen, zu etablieren. Es unterstützt dabei einerseits den Auftraggeber einer Auftragsverarbeitung in der Erfüllung seiner Kontrollpflicht gem. Art. 28 DSGVO und bietet andererseits eine große Entlastung für Unternehmen die ausschließlich oder im erheblichen Maße als Auftragnehmer einer Auftragsverarbeitung tätig sind. Dies gelingt durch ein umfassendes und messbares Prüfergebnis zum Nachweis der Erfüllung aller vereinbarten Erfordernisse, welches durch ein erhaltenes Testat allen Auftraggebern oder potentiellen Neukunden, sowie auf Ihrer Webseite, zur Verfügung gestellt werden kann.

Die Lösung:

Nur ein regelmäßiges Audit, für alle Anfragen.

Vetter Consulting bietet Unternehmen ein Auditkonzept mit verschiedenen Abstufungen zur Überprüfung und zum Nachweis der technisch-organisatorischen Maßnahmen zum Datenschutz und der Informationssicherheit an. Sie haben die Wahl zwischen drei verschiedenen Audits unterschiedlicher Größe. Welches Audit für Ihr Unternehmen am besten geeignet ist, hängt dabei entscheidend vom unmittelbaren Zweck und seiner Zielrichtung ab (siehe unten). Der Aufbau des Auditkonzeptes folgt grundsätzlich dem Zweck, ein für alle gesetzlichen Erfordernisse angemessenes aber auch wirtschaftlich überschaubares Verfahren, zur Überprüfung und Verbesserung der im Unternehmen angewendeten Datenschutz- und Informationssicherheitsmaßnahmen, zu etablieren. Es unterstützt dabei einerseits den Auftraggeber einer Auftragsverarbeitung in der Erfüllung seiner Kontrollpflicht gem. Art. 28 DSGVO und bietet andererseits eine große Entlastung für Unternehmen die ausschließlich oder im erheblichen Maße als Auftragnehmer einer Auftragsverarbeitung tätig sind. Dies gelingt durch ein umfassendes und messbares Prüfergebnis zum Nachweis der Erfüllung aller vereinbarten Erfordernisse, welches durch ein erhaltenes Testat allen Auftraggebern oder potentiellen Neukunden, sowie auf Ihrer Webseite, zur Verfügung gestellt werden kann.

Welche Audits stehen zur Verfügung und welche Kriterien sind für die Wahl des Audits entscheidend?

Hier kommt es zunächst darauf an, in welcher Rolle Ihr Unternehmen tätig ist (Auftraggeber und/oder Auftragnehmer einer Auftragsverarbeitung gem. Art 28 DSGVO) und wie intensiv Sie den Stand des Datenschutzes bzw. der Informationssicherheit in Ihrem oder einem verpartnerten Unternehmen entsprechend den Rechtsnormen prüfen müssen.

Das kleine Audit

ist geeignet für:

  • Auftraggeber einer Auftragsverarbeitung gem. Art. 28 DSGVO, die der gesetzlichen Kontrollpflicht zur Überprüfung der Datenschutzmaßnahmen beim Auftragnehmer unterliegen. Wiederholung spätestens nach 18 Monaten um der gesetzlichen Kontrollpflicht zu entsprechen.

  • Unternehmen zur Analyse des eigenen Datensicherheitskonzeptes in Bezug auf den Datenschutz gem. DSGVO und BDSG n.F.. Wiederholung nicht zwingend vorgeschrieben

  • Dauer des Audits: 3 – 4h, + Auswertung und Erstellung Audit Report (extern, 2-3h)

  • Kosten: Angebotsstellung nach unverbindlichem Vorgespräch

Das mittlere Audit (sog. Testataudit)

geeignet für:

  • Auftragnehmer einer Auftragsverarbeitung gem. Art. 28 DSGVO, im Rahmen des Nachweises ihrer tauglichen Dienstleistereigenschaften in Bezug zu die technisch-organisatorischen Maßnahmen zur Datensicherheit und zum Datenschutz. Insbesondere geeignet für Unternehmen mit einem großen Volumen an Auftragsverarbeitungsverhältnissen. Das erhaltene Testat kann zur Erfüllung der Kontrollpflicht des Auftraggebers der Auftragsverarbeitung herangezogen werden, die eigene Vor-Ort-Kontrolle entfällt. Zur Erhaltung des Testates ist eine Wiederholung spätestens nach 12 Monaten erforderlich.

  • notwendige Innen- und Lieferantenaudits (auch bei bestehender Zertifizierung eines ISMS gem. ISO 27001 / 27002)

  • Unternehmen aller Branchen, die vertrauliche Daten Be- oder Verarbeiten

  • Dauer des Audits: ca. 6 – 8h + Auswertung und Erstellung Audit Report (extern, 3-4h)

  • Erhalt eines Testates, bei erfolgreichem Abschluss des Audits

  • Kosten: Angebotsstellung nach unverbindlichem Vorgespräch

Das große Audit

ist geeignet für:

  • Unternehmen zur Analyse des eigenen Informationssicherheitskonzeptes insbesondere als notwendiges Innenaudit in Vorbereitung auf eine Zertifizierung ISMS gem. ISO/IEC 27001. (Feststellung des Näherungswertes zur ISO 27001)

  • Unternehmen/Betreiber kritischer Infrastrukturen (z.B. Stromversorger, Provider, Wasserversorger) als Vorbereitungsaudit folgend den Rechtsnormen des IT Sicherheitsgesetztes

  • Dauer des Audits: Skalierung frei wählbar, der Zeitaufwand richtet sich nach der Anzahl der gewählten Sicherheitsthemen des Anhangs A, ISMS/ISO 27001

  • Kosten: Angebotsstellung nach unverbindlichem Vorgespräch

Aufwand und Kosten

Die Größe und Dauer der angebotenen Audits ist abhängig von der Anzahl der von Ihnen ausgewählten Fragengebiete und wird in Tagessätzen abgerechnet. Die
oben angegebenen Zeitwerte sind erfahrungsgemäße Schätzwerte, die einen optimalen Verlauf eines Audits voraussetzen.

Zur genauen Einschätzung des Aufwandes findet in jedem Fall ein unverbindliches Erstgespräch vor Ort und eine anschließende Angebotserstellung statt.