Auftragsverarbeitung: Auftragskontrolle in der Praxis

Für einen Auftragnehmer ist es sinnvoll, selbst tätig zu werden statt auf Prüfungen durch den Auftraggeber zu warten. Erfahren Sie, wie Sie als Auftragnehmer am besten an die Auftragskontrolle herangehen.

Haben Sie Mut zur Auftragskontrolle in der Praxis. Denn wer frühzeitig selbst prüft, wie eine Kontrolle durch den Auftraggeber ausfallen würde, erlebt keine bösen Überraschungen.

Auftragskontrolle? Das gibt es doch gar nicht mehr in der Datenschutz-Grundverordnung (DS-GVO)!“ So könnte manch Datenschutzbeauftragter (DSB) denken, wenn er diesen Beitrag liest. Das stimmt jedoch nur teilweise.

Auftragskontrolle in der DS-GVO

Erfahrene DSB kennen die Auftragskontrolle noch aus dem alten Bundesdatenschutzgesetz. Sie verpflichtete dazu, personenbezogene Daten im Auftrag nur entsprechend den Weisungen des Auftraggebers zu verarbeiten. In der DS-GVO hingegen taucht der Begriff so nicht mehr auf. Hier heißt es aber in den Anforderungen an die Auftragsverarbeitung (AV): Ein Auftragnehmer muss dem Verantwortlichen alle Nachweise dafür zur Verfügung stellen, dass er die Anforderungen an die AV einhält und ihm Überprüfungen ermöglichen. Indirekt lässt sich darin die bisherige Auftragskontrolle erkennen.

Was tue ich also als Auftragnehmer, um meinem Auftraggeber zu beweisen, dass ich den Auftrag gemäß seinen Vorgaben durchführe?

Wie eine Kontrolle vorbereiten?

Quellen zur Vorbereitung sind

1. Inhalte der AVV

Die AVV enthält eine Vielzahl vertraglicher Vorgaben, die Auftragnehmer zu erfüllen haben. Nutzen Sie diese Punkte für Ihre spätere Prüfung, z.B.:

  • Haben wir Lösch- oder Korrekturaufträge wie vorgegeben umgesetzt?
  • Ist der damals kommunizierte Datenschutzbeauftragte noch aktiv?
  • Haben wir neue Subunternehmer? Wurden hierfür die definierten Vorgaben umgesetzt (z.B. Information des Auftraggebers)?
  • Sind alle Beschäftigten, auch neue, auf Vertraulichkeit verpflichtet?
  • Gab es Anfragen einer Aufsichtsbehörde oder Sicherheitsvorfälle, bei denen wir den Auftraggeber hätten informieren müssen?
  • Gab es Anfragen von Betroffenen, die wir an den Auftraggeber hätten weiterleiten müssen?
  • Erfolgten interne Kontrollen zur Auftragsdurchführung?

Zusätzlich sind spezielle Prüfinhalte denkbar: Darf ein Softwaredienstleister als Auftragnehmer die Fernwartung nur innerhalb eines bestimmten Zeitfensters durchführen, so kann auch dies ein Prüfinhalt sein.

2. Inhalte der TOMs

Ein fester Bestandteil der AVV sind die TOMs. Die dort definierten Schutzmaßnahmen lassen sich Punkt für Punkt als Prüfinhalte übernehmen. Haben Auftraggeber und Auftragnehmer z.B. bestimmte Passwortvorgaben vereinbart, so lässt sich etwa bei einer Windows-Domäne die Konfiguration der Gruppenrichtlinie daraufhin prüfen, ob sie die Vorgaben für alle Benutzer erzwingt.

3. Erteilte Weisungen

Eine erteilte Weisung kann z.B. die Aufforderung sein, den Datensatz eines Kunden zu ändern. Häufig finden sich dokumentierte Weisungen und ihre Umsetzung in E-Mails oder in Einträgen in CRM- bzw. Ticket-Systemen. Sofern diese Weisungen vollständig erfasst wurden, prüfen Sie, wie die Kollegen die Vorgaben umgesetzt haben.

4. Auftragserbringung

Bei der Auftragserbringung geht es darum, die Leistung der AVV konkret umzusetzen. Ist z.B. die Entsorgung von Unterlagen oder Datenträgern der Leistungsinhalt als Auftragnehmer, so lässt sich prüfen, inwiefern der vorgegebene Auftrag korrekt umgesetzt wurde. Werden Ablaufbeschreibungen wie definiert in die Praxis umgesetzt? Halten sich die Beschäftigten an definierte Prozesse? Führen die Kollegen Wartungsvorgänge wie vorgegeben durch und protokollieren sie sie?

Wie die Kontrolle durchführen?

Die Summe der einzelnen Prüfpunkte aus den genannten Quellen ergibt eine Liste an Prüf- oder Auditinhalten. Diese Liste lässt sich allerdings nur bestmöglich überprüfen, wenn Sie hierfür die richtigen Teilnehmer finden. Das können je nach Thema Ansprechpartner der Fachbereiche, der IT-Administration oder der Verwaltung sein. Sie können die Vorbereitung gezielt unterstützen, indem Sie die Prüfinhalte vorab kommunizieren.

In der Praxis hat es sich bewährt, den zeitlichen Ablauf und die Gegenstände der Prüfungen im Vorhinein mit den Beteiligten abzustimmen. So kommen Sie schneller vorwärts und sparen kostbare Zeit!

Am Tag der Auftragskontrolle prüfen Sie gemeinsam mit den Teilnehmern die vorher identifizierten Prüfinhalte. Gleichen Sie dabei die Anforderungen (Soll-Situation) mit der Umsetzung (Ist-Situation) ab. Sofern es zeitlich möglich ist, können Sie eine erste Bewertung der Kriterien bereits unmittelbar im Termin vornehmen. Geht das zeitlich nicht, so bewerten Sie die Ergebnisse nach Abschluss der Kontrolle.

Wie die Ergebnisse aufbereiten?

Nach der Kontrolle erfolgt die Bewertung. Sofern einzelne Punkte unklar sind oder Nachweise für eine eindeutige Bewertung fehlen, so fragen Sie zeitnah beim jeweiligen Ansprechpartner nach. Mit den weiteren Informationen sollte eine abschließende Bewertung möglich sein. Als Ergebnis liegt eine vollständige Prüfbewertung vor. Sie fasst die Vorgehensweise und die Ergebnisse der Prüfung zusammen.

Anhand dieser Bewertung lässt sich ein kompakter Prüfbericht als Nachweis an die Auftraggeber sowie für interne Adressaten erstellen. Ob ein Auftragnehmer die komplette Dokumentation übermittelt, liegt in seinem eigenen Ermessen. Abweichungen müssen kommuniziert werden, am besten gemeinsam mit Maßnahmen, die die Abweichung zukünftig korrigieren oder bereits abgestellt haben.

Fazit: besser selbst vorab prüfen

Eine kontinuierliche, am besten jährliche Kontrolle, wie man als Auftragnehmer seine Vorgaben erfüllt, hat mehrere Vorteile:

  • Der Auftragnehmer weist kontinuierlich nach, dass er die Rechenschaftspflichten der DS-GVO erfüllt, besonders die Vorgaben, die aufgrund von AVV mit Auftraggebern gelten.
  • Der Auftragnehmer gewinnt wertvolle Hinweise, um das Datenschutzniveau zu verbessern. Er erkennt schnell Abweichungen von vertraglichen Vorgaben und kann sie sofort beheben.
  • Proaktives Handeln ermöglicht die Auftragskontrolle in der Praxis zu einem selbstgewählten Zeitpunkt. Das vermeidet Hektik, wenn der Auftraggeber zu einem ungünstigen Zeitpunkt vor der Tür steht.

Praxis-Tipp: Wissen Sie nicht, wie Sie einen einzelnen Punkt prüfen, so fragen Sie das IT-Administrationspersonal. Das ist besser, als wenn Sie wahrend einer realen Prüfung durch den Auftraggeber auf Rückfragen nicht antworten können.

Autor: Julian Häcker

Dieser Fachbeitrag ist initial in der Datenschutz PRAXIS 04/20 erschienen bzw. kann auch über das Abo bezogen werden. Die Veröffentlichung hier erfolgt mit freundlicher Genehmigung des WEKA-Verlags.

Bild von mohamed Hassan auf Pixabay

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.