Database Reference
In-Depth Information
Auftraggeber in diesem speziellen Auftrag an den Auftragnehmer stellt. Entsprechend den
Ausführungen in Abschn. 2.2.3 sind dies nicht nur Vorschriften des BDSG, auch ander-
weitige Anforderungen haben Einfluss auf die hier aufgestellten Vorgaben (z.B. wenn das
Unternehmen Anforderungen seiner eigenen Kunden an seine Dienstleister weitergibt).
Eventuell bedeutet dies, dass vorhandene Musterverträge für diesen speziellen Auftrag
abgewandelt werden müssen.
Diese Vorgehensweise ist deshalb sinnvoll, da so alle Dienstleister bereits zu diesem
frühen Zeitpunkt abschätzen können, ob sie den Anforderungen gerecht werden können.
Das Unternehmen sollte seine Datenschutzvorgaben auch nicht später in Verhandlungs-
gesprächen opfern, sondern vielmehr an dieser Stelle den interessierten Dienstleistern mit
offenen Karten entgegentreten und die eigenen Ansprüche an den Datenschutz kommu-
nizieren. Nur Dienstleister, die diese Vorgaben vorbehaltlos akzeptieren, bleiben in der
Auswahl. Erstellt und verwaltet werden die Musterverträge in der Regel von der Rechtsab-
teilung unter enger Einbeziehung von Datenschutzexperten, die direkte Kommunikation
mit den Dienstleister kann aber auch weiterhin über die Einkaufsabteilung erfolgen.
5.2.7.5.3 Stufe3-Selbstbewertungund-auswertung
Anschließend werden die Dienstleister aufgefordert, ihr eigenes Datenschutzniveau selbst
zu bewerten. Die Bewertungskriterien gibt hierbei der Auftraggeber vor. Dafür lassen sich
zumindestalsGrundlageauchdieAudit-Checklistenheranziehen, diedasdenAuftragver-
gebende Unternehmen selbst für die internen Audits verwendet (siehe Abschn. 5.2.9.1.1).
In erster Linie werden hier jedoch analog den Anforderungen aus § 11 die TOMs des
Dienstleisters erfragt, die Angemessenheitsbewertung erfolgt dann durch die Datenschutz-
experten des Auftraggebers. Je nach Art und Umfang der Selbstbewertung lassen sich die
Ergebnisse nicht nur in „bestanden“ oder „nicht bestanden“ unterteilen, sondern auch dar-
über hinaus eine Rangliste aller Dienstleister erstellen, die ein Mindestniveau vorweisen
können.
SAP
In Bezug auf SAP wird diese Tätigkeit vom Security & Data Protection Office vorge-
nommen, welches auf diese Weise Daten über die Eignung von Dienstleistern bei Bedarf
den einzelnen Geschäftsbereichen und dem Einkauf zur Verfügung stellen kann. Tech-
nisch erfolgt dieser Schritt über ein mehrsprachiges Online-Tool, mit dem Eingabe
und Auswertung effizient ausgestaltet sind. Zu den Fragen im Tool gibt es begriffli-
che Erläuterungen, auch um Missverständnissen im internationalen Sprachgebrauch
vorzugreifen. Neben einfachen Ja/Nein-Antwortmöglichkeiten besteht für den Dienst-
leister zudem die Möglichkeit, über weitere zusätzliche Angaben seine Auswahl und die
Angemessenheit seiner TOMs zu erläutern.
5.2.7.5.4 Stufe4 -Audit
In Stufe 4 findet ein Audit besonders kritischer Dienstleister statt. Während alle Dienst-
leister grundsätzlich mit dem Abschluss der Stufe 3 qualifiziert sind, werden Lieferanten,
Search WWH ::
Custom Search