Datenschutz & Datensicherheit
Mehr Sicherheit für Sie und Ihre Kunden

Datenschutz und insbesondere Informationssicherheit sind Themenfelder mit stark zunehmenden Präsenzen und Prioritäten in allen Branchen und Unternehmensgrößen. Durch immer komplexere Systeme und größere Netzwerke, sowie der steigenden Automatisierung wird ein hohes Maß an IT Sicherheit und Datenschutz am Markt und durch verschiedene andere Institutionen gefordert.

Besonders der Gesetzgeber geht hier voran und verpflichtet alle Unternehmen, die in einer Auftragsverarbeitung vertraglich involviert sind, ihre gegenseitig vereinbarten Datenschutz- und Informationssicherheitsmaßnahmen regelmäßig durch eine geeignete Stelle zu kontrollieren.

Die Rechtsgrundlage dafür ist eindeutig!

In Art 28 (3) h der Datenschutzgrundverordnung wird die Kontrollpflicht des Auftraggebers einer Auftragsverarbeitung gegenüber dem Auftragnehmer wie folgt beschrieben:

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf Grundlage eines Vertrages oder eines anderen Rechtsinstrumentes nach dem Unionsrecht oder dem Recht der Mitgliedsstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Das Problem der Umsetzbarkeit:

Eine gegenseitig verpflichtende Kontrolle der vereinbarten Maßnahmen ist richtig und sinnvoll, aber praktikabel und wirtschaftlich umsetzbar ist sie kaum. Theorie und Praxis klaffen hier weit auseinander.

Um dem Anspruch einer regelmäßigen Kontrolle zu entsprechen, müsste jeder Auftragnehmer einer Auftragsverarbeitung mindestens einmal im Jahr durch seinen Auftraggeber, auf Einhaltung und Verbesserung der vereinbarten Datenschutzmaßnahmen, überprüft werden.

Dies würde z.B. bei IT-Dienstleistern, die in der Regel ausschließlich als Auftragnehmer tätig sind, schlicht in einem „Audit-Tourismus“ enden, bei dem jeden Tag ein weiterer Kunde eine Kontrolle durchführt und dadurch die Produktivität und Reaktionszeit des Dienstleisters enorm einschränkt.

Zudem fehlt es oft an der Kapazität des Auftraggebers, überhaupt eine regelmäßige Kontrolle durchzuführen zu können.

Die Lösung:

Nur ein regelmäßiges Audit, für alle Anfragen.

Vetter Consulting bietet Ihrem Unternehmen ein Auditkonzept zur Überprüfung und zum Nachweis Ihrer technisch-organisatorischen Maßnahmen zum Datenschutz an. Sie haben die Wahl zwischen zwei verschiedenen Audits unterschiedlicher Größe, je nachdem wie nachhaltig Sie dieses Thema behandeln möchten.

Der Aufbau des Auditkonzeptes folgt grundsätzlich dem Zweck, ein angemessenes aber auch finanziell überschaubares Verfahren im Unternehmen zu etablieren, welches dazu dient alle gesetzlichen Anforderungen zu erfüllen, Bußgelder zu umgehen und das Vertrauen Ihrer Kunden und Mitarbeiter, in Ihr Unternehmen, zu stärken.

Durch einen einmalig etablierten Status Quo, der regelmäßig auf seine Beständigkeit und Verbesserung geprüft wird, werden Auftraggeber und Auftragnehmer beiderseits entlastet. Darüber hinaus erzeugt diese Form der Transparenz einen enormen Wettbewerbsvorteil, da es sich um eine vorverlagerte vertrauensbildende Maßnahme gegenüber Interessenten und Behörden handelt.

Die Lösung:

Nur ein regelmäßiges Audit, für alle Anfragen.

Vetter Consulting bietet Ihrem Unternehmen ein Auditkonzept zur Überprüfung und zum Nachweis Ihrer technisch-organisatorischen Maßnahmen zum Datenschutz an. Sie haben die Wahl zwischen zwei verschiedenen Audits unterschiedlicher Größe, je nachdem wie nachhaltig Sie dieses Thema behandeln möchten.

Der Aufbau des Auditkonzeptes folgt grundsätzlich dem Zweck, ein angemessenes aber auch finanziell überschaubares Verfahren im Unternehmen zu etablieren, welches dazu dient alle gesetzlichen Anforderungen zu erfüllen, Bußgelder zu umgehen und das Vertrauen Ihrer Kunden und Mitarbeiter, in Ihr Unternehmen, zu stärken.

Durch einen einmalig etablierten Status Quo, der regelmäßig auf seine Beständigkeit und Verbesserung geprüft wird, werden Auftraggeber und Auftragnehmer beiderseits entlastet. Darüber hinaus erzeugt diese Form der Transparenz einen enormen Wettbewerbsvorteil, da es sich um eine vorverlagerte vertrauensbildende Maßnahme gegenüber Interessenten und Behörden handelt.

Das Informationssicherheits-Audit

Diese Form des Audits dient der Überprüfung Ihrer Informationssicherheitsmaßnahmen oder des gesamten Informationssicherheitsmanagementsystems (ISMS), sofern vorhanden. Dabei werden die Vorgaben der Norm ISO/IEC 27001 zu Grunde gelegt und eine GAP-Analyse im Vorfeld, zur genauen Umfangsbestimmung des Audits, durchgeführt.

Die Größe und Komplexität eines ISMS-Audits kann durch einen einzelnen Auditor nicht abgedeckt werden, es handelt sich daher stets um eine Teamaufgabe, bestehend aus mindestens einem Auditor und einem technischen Experten aus dem Bereich IT.

Bei einer Anfrage zu diesem Audit engagieren Sie daher stets mindestens zwei Personen.

Welche Audits stehen zur Verfügung und welche Kriterien sind für die Wahl des Audits entscheidend?

Hier kommt es zunächst darauf an, in welcher Rolle Ihr Unternehmen tätig ist (Auftraggeber und/oder Auftragnehmer einer Auftragsverarbeitung gem. Art 28 DSGVO) und wie intensiv Sie den Stand des Datenschutzes bzw. der Informationssicherheit in Ihrem oder einem verpartnerten Unternehmen entsprechend den Rechtsnormen prüfen müssen.

ist geeignet für:

  • Auftraggeber einer Auftragsverarbeitung gem. Art. 28 DSGVO, die der gesetzlichen Kontrollpflicht zur Überprüfung der Datenschutzmaßnahmen beim Auftragnehmer unterliegen. Wiederholung spätestens nach 18 Monaten um der gesetzlichen Kontrollpflicht zu entsprechen.
  • Unternehmen zur Analyse des eigenen Datensicherheitskonzeptes in Bezug auf den Datenschutz gem. DSGVO und BDSG n.F.. Wiederholung nicht zwingend vorgeschrieben
  • Dauer des Audits: 3 – 4h, + Auswertung und Erstellung Audit Report (extern, 2-3h)
  • Kosten: Angebotsstellung nach unverbindlichem Vorgespräch

geeignet für:

  • Auftragnehmer einer Auftragsverarbeitung gem. Art. 28 DSGVO, im Rahmen des Nachweises ihrer tauglichen Dienstleistereigenschaften in Bezug zu die technisch-organisatorischen Maßnahmen zur Datensicherheit und zum Datenschutz. Insbesondere geeignet für Unternehmen mit einem großen Volumen an Auftragsverarbeitungsverhältnissen. Das erhaltene Testat kann zur Erfüllung der Kontrollpflicht des Auftraggebers der Auftragsverarbeitung herangezogen werden, die eigene Vor-Ort-Kontrolle entfällt. Zur Erhaltung des Testates ist eine Wiederholung spätestens nach 12 Monaten erforderlich.
  • notwendige Innen- und Lieferantenaudits (auch bei bestehender Zertifizierung eines ISMS gem. ISO 27001 / 27002)
  • Unternehmen aller Branchen, die vertrauliche Daten Be- oder Verarbeiten
  • Dauer des Audits: ca. 6 – 8h + Auswertung und Erstellung Audit Report (extern, 3-4h)
  • Erhalt eines Testates, bei erfolgreichem Abschluss des Audits

  • Kosten: Angebotsstellung nach unverbindlichem Vorgespräch

ist geeignet für:

  • Unternehmen zur Analyse des eigenen Informationssicherheitskonzeptes insbesondere als notwendiges Innenaudit in Vorbereitung auf eine Zertifizierung ISMS gem. ISO/IEC 27001. (Feststellung des Näherungswertes zur ISO 27001)
  • Unternehmen/Betreiber kritischer Infrastrukturen (z.B. Stromversorger, Provider, Wasserversorger) als Vorbereitungsaudit folgend den Rechtsnormen des IT Sicherheitsgesetztes
  • Dauer des Audits: Skalierung frei wählbar, der Zeitaufwand richtet sich nach der Anzahl der gewählten Sicherheitsthemen des Anhangs A, ISMS/ISO 27001
  • Kosten: Angebotsstellung nach unverbindlichem Vorgespräch

Aufwand und Kosten

Die Größe und Dauer der angebotenen Audits ist abhängig von der Anzahl der von Ihnen ausgewählten Fragengebiete und wird in Tagessätzen abgerechnet. Die
oben angegebenen Zeitwerte sind erfahrungsgemäße Schätzwerte, die einen optimalen Verlauf eines Audits voraussetzen.

Zur genauen Einschätzung des Aufwandes findet in jedem Fall ein unverbindliches Erstgespräch vor Ort und eine anschließende Angebotserstellung statt.