FAQ – Datenschutz

Woran erkenne ich, ob ein Dienstleister datenschutzkonform handelt?

Ohne Prüfung des Dienstleisters kann die Datenschutzkonformität nicht beurteilt werden, da sie nach außen hin unsichtbar ist. Es gibt keine Kennzahl, aus der auf das Einhalten von Datenschutzgesetzen geschlossen werden kann. Ein renommierter Konzern mit langer Firmengeschichte kann genauso viele Datenschutzverstöße vorweisen, wie ein unbekanntes Start-up mit 2 Mitarbeitern. Oft wird auch davon ausgegangen, dass Dienstleister automatisch die für ihr Angebot einschlägigen Datenschutzgesetze einhalten. Die Praxis zeigt jedoch ein anderes Bild. Viele Dienstleister erbringen die Leistung, wie sie beauftragt wurde ohne dabei die datenschutzrechtlichen Vorgaben umzusetzen oder den Auftraggeber auf datenschutzrechtliche Pflichten hinzuweisen. Nicht selten fehlt es den Dienstleistern auch an Know-how im Bereich des Datenschutzes, sodass selbst konkrete Anweisungen des Auftraggebers nicht umgesetzt werden können.

Das Bundesdatenschutzgesetz verlangt daher, dass Unternehmen ihre Dienstleister vor Beauftragung auf ihre Datenschutzkonformität hin kontrollieren müssen (§11 Abs. 2). Dies sollten die Unternehmen auch aus Eigeninteresse tun, um Ärger durch die Beauftragung nicht datenschutzkonformer Dienstleister zu vermeiden. Denn es kann eine Geldbuße in Höhe von bis zu 50.000 Euro verhängt werden, wenn keine Kontrolle vor der Auftragsvergabe durchgeführt wird. Mit dem Inkrafttreten der europäischen Datenschutzgrundverordnung im Jahr 2018 wird dieser Bußgeldrahmen noch drastisch erhöht werden. So können zukünftig Geldbußen in Höhe von bis zu 10.000.000 Euro oder 2% des weltweiten Umsatzes verhängt werden, wenn bei der Beauftragung von Dienstleistern datenschutzrechtliche Vorgaben nicht beachtet werden. . Doch so eine Kontrolle ist aufwendig, da

  • sie während der Vertragslaufzeit regelmäßig wiederholt werden muss (§ 11 Abs. 2 S. 4 BDSG),
  • meist eine Überprüfung vor Ort erfordert und
  • sie dokumentiert werden muss (§ 11 Abs. 2 S. 5 BDSG).

Eine Kontrolle führt auch nicht immer zu dem gewünschten Ergebnis. Werden hierbei datenschutzrechtliche Mängel festgestellt, darf der Dienstleister nicht beauftragt werden und der ganze Beschaffungsprozess inklusive der Kontrolle geht mit einem neuen Dienstleister von vorne los. Alternativ könnte der Dienstleister die Mängel auch beseitigen lassen, was in der Praxis jedoch nicht selten verweigert wird oder zu höheren Kosten und einer zeitlichen Verzögerung führt.

Dieser Ärger kann jedoch vermieden werden, indem man zertifizierte Unternehmen auswählt. Außerdem wird so auch das Bußgeldrisiko minimiert. Infrage kommen hier die Datenschutzzertifikate DS-BvD-GDD-01, Datenschutz-Gütesiegel Schleswig-Holstein und das Gütesiegel Datenschutz M-V. Die Zertifizierung nach DS-BvD-GDD-01 wurde speziell für Dienstleister einer Auftragsdatenverarbeitung entwickelt und bescheinigt die Einhaltung des zugrunde liegenden Datenschutzstandards. Für die nötige Transparenz sorgen der öffentlich zugängliche Standard und der öffentliche Prüfbericht der zertifizierten Unternehmen. So wird ein hohes Datenschutzniveau auch ohne aufwendige Kontrollen sichtbar.

Kontakt / Angebot

Jetzt Angebot anfordern:
Das Erstgespräch ist kostenlos!
Tel +49 (0)211.960 823 80
info@xamit.de

Xamit News

Endspurt oder heiße Luft?

Weiterlesen

Pressespiegel

Permanenter Beratungsbedarf. Was die Buchbranche über IT-Sicherheit wissen muss. Der Datenschutzexperte Niels Lepperhoff im
boersenblatt.net

Weiterlesen

Xamit Datenschutz FAQ

Welche Unterschiede bestehen zwischen der Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz?

Zur Antwort