Database Reference
In-Depth Information
welche mit besonders sensiblen Daten arbeiten oder auch Zugang zu Kundensystemen
haben, zusätzlich vor Ort auditiert. Werden dabei im Vergleich zur Selbstbewertung durch
den Dienstleister negative Abweichungen festgestellt, müssen entsprechende Maßnah-
men eingeleitet werden. In letzter Konsequenz kann der Lieferant nicht weiter beauftragt
werden und das Unternehmen muss sich um eine Alternative bemühen.
Für den Dienstleister-Audit gelten die allgemeinen Audit-Prinzipien (siehe Abschn.
5.2.8.1.2). Art und Umfang der Audits hängen an dieser Stelle zum einen von den Ver-
handlungspositionen der Parteien ab, zum anderen gilt nach den gesetzlichen Vorgaben
(§ 11) das Verhältnismäßigkeitsprinzip. Es muss also nicht zwingend ein Vor-Ort-Audit
durchgeführtwerden. ZudemwerdenvorallemKMUnichtinallenFällendieerforderliche
Marktmacht besitzen, um den Verhandlungspartner von der Notwendigkeit eines Vor-
Ort-Audits zu überzeugen. Eine Verhandlungsblockade kann über einen Kompromiss mit
Hilfe einer Abstufung des Dienstleister-Audits vermieden werden:
1. Zunächst wird ein Dokumenten-Audit (vgl. dazu Stage-1-Audit, Abschn. 5.2.11.2)
vorgenommen. Im Gegensatz zum Fragebogen wird hier in Ausschnitten in die Do-
kumentation eingesehen, die der Dienstleister selbst für seine interne Organisation
verwendet. Dies vermittelt meist einen guten Eindruck darüber, ob die Angaben des
Dienstleisters in der Selbstbewertung zutreffend sind. Gleichzeitig können die zur Ver-
fügung gestellten Dokumente für die Dauer der Geschäftsbeziehung aufbewahrt und als
Beweismittel bei späteren Problemen herangezogen werden. Mit dieser Zwischenstufe
können Blockaden in vielen Fällen aufgelöst werden und der Auftraggeber kommt auf
diese Weise trotzdem seinen gesetzlichen Pflichten nach.
2. Bestehen jedoch auch nach den Dokumenten-Audits noch Restzweifel, ist als ultima
ratio ein Vor-Ort-Audit durchzuführen. Dieser bietet zwar den besten Einblick in das
Datenschutzniveau des Dienstleisters, ist aber für beide Seiten mit hohen Aufwän-
den verbunden und kann wieder in einer Blockadesituation enden. Hier müssen beide
Vertragsparteien Prioritäten setzen und ihre Eskalationsprozesse ausführen (siehe so-
gleich). Für die Durchführung von Vor-Ort-Audits besteht zudem die Option, einen
(lokalen) externen Auditor zu beauftragen.
5.2.7.5.5 AnwendungaufbestehendeLieferantenbeziehungenundEskalation
Für bestehende Geschäftsbeziehungen kann der Prozess analog angewandt werden, wobei
eine Disqualifikation des Dienstleisters in Stufe 2-4 dann eine Reaktion des Unternehmens
erfordert. Eine solche könnte sein:
•
Neuverhandeln des Vertrages
•
Kündigung des Vertrages
•
Auslaufenlassen des Vertrages
•
Akzeptanz des Risikos, das sich aus einer nicht nachweisbaren Datenschutzkonformität
des Dienstleisters ergibt
Search WWH ::
Custom Search