Database Reference
In-Depth Information
sprechend den gesetzlichen Vorgaben durchgeführt und dokumentiert werden muss. Sie
ersetztnichtdieindiesemPraxisleitfadenbeschriebenenDSMS-Audits, dieeineBewertung
des gesamten Managementsystems bezwecken (siehe dazu Abschn. 5.2.9 ff.).
5.2.7.5 Überprüfung der Dienstleister
Obwohl bestehende Lieferantenbeziehungen bereits im Rahmen der Risikoanalyse berück-
sichtigt und entsprechend behandelt werden, verändert sich je nach Unternehmensgröße
und Geschäftsfeld die Situation der Lieferantenbeziehungen ständig. Beispiel: Die Ge-
schäftsleitung trifft die Entscheidung für das Outsourcen einer bestimmten Tätigkeit. Ein
Abwarten bis zur erneuten Vornahme der Risikoanalyse im Rahmen des jährlichen Zyklus
ist dabei im Hinblick auf die strengen gesetzlichen Vorschriften (§ 11 BDSG) nicht zu
rechtfertigen. Vielmehr ist das Unternehmen verpflichtet, einen geeigneten Prozess zur
vorherigen Überprüfung der Kandidaten für den Auftrag zu durchlaufen. Dazu kommt,
dass sich das Erfordernis einer Vornahme von Dienstleisterüberprüfungen in laufenden
Geschäftsbeziehungen nicht nach einem festen Jahreszyklus richtet, sondern nach den
individuellen Risiken aus der jeweiligen Geschäftsbeziehung und somit auch eine kon-
tinuierliche Tätigkeit ist. Spätestens wenn sich die Geschäftsbeziehungen häufig ändern
oder eine große Zahl an Dienstleistern zu überprüfen ist, steht das Unternehmen aus Ef-
fizienzgründen in der Pflicht, eine systematische Vorgehensweise bei der Auswahl und
Überwachung seiner Dienstleister zu wählen. SAP hat aus diesem Grunde ein gestuftes
Konzept entwickelt, welches sich in der Praxis im Umgang mit Hunderten von Dienstlei-
stern bewährt hat und daher an dieser Stelle vorgestellt wird. Dabei werden vier Stufen
befolgt, bevor ein Vertragsschluss erfolgen kann. Mit jeder Stufe verringert sich der
Kreis der potentiellen Dienstleister hin zu den aus Datenschutzperspektive geeigneten
Kandidaten (Abb.
5.21
).
DiesesKonzeptwurdebeiSAPbereits2010eingeführtundwirdnebendemDatenschutz
auch um andere Sicherheitsaspekte (Security SLAs) ergänzt. Auf diese Weise stellt es einen
wesentlichen Aspekt in der Due Diligence-Phase jedweder Outsourcing-Aktivität dar.
5.2.7.5.1 Stufe1-EinordnungalsADV
In einem ersten Schritt ist der Auftragsgegenstand darauf zu untersuchen, ob mit diesem
eine ADV einhergeht. Dies ist dann der Fall, wenn der Dienstleister mit der Erhebung,
Verarbeitung oder Nutzung von personenbezogenen Daten vom Unternehmen beauftragt
wird. Bei Bejahung einer ADV sind die Dienstleister zu erfassen, die sich um den Auftrag
bemühen. An dieser Stelle sollten sinnvollerweise auch die Voraussetzungen für das Vor-
liegen und die Abgrenzung zu einer Funktionsübertragung (FÜ) geprüft werden
21
[42]:
Bei dieser endet der Prozess hier mit einer Prüfung der Rechtmäßigkeitsvoraussetzungen
für eine Datenübermittlung (§ 28 BDSG).
21
Diese liegt im Wesentlichen dann vor, wenn der Geschäftspartner weisungsfrei agieren kann,
wobei die Zuordnung zu einer ADV bzw. FÜ im Einzelfall Probleme bereiten kann. Genaueres zur
Abgrenzung:
Simitis
, BDSG, § 11 Rn. 22 ff.
Search WWH ::
Custom Search