Sowohl die DSGVO als auch die ISO 27701 sehen vor, dass ein Unternehmen sich um das Thema Auftragnehmer-Management zu kümmern hat. Unabhängig davon, sollte jedes Unternehmen ein Interesse daran haben, nur zuverlässige Dienstleister einzusetzen. Die Zuverlässigkeit kann durch vertragliche Maßnahmen sowie durch Dienstleisterkontrollen bestimmt werden.
Der Inhalt im Überblick
- Welche Vorgaben hat die DSGVO im Bereich Auftragnehmer-Management?
- Welche Vorgaben hat die ISO 27701 im Bereich Auftragnehmer- Management?
- Die Hürden in der Praxis
- Kann der Prozess Auftragnehmer-Management in das bestehende ISMS integriert werden?
- Dienstleisterkontrollen und -bewertung nach ISO 9001
- Aufbau eines Auftragnehmer-Managements empfehlenswert
Welche Vorgaben hat die DSGVO im Bereich Auftragnehmer-Management?
Bei der Einbindung neuer Dienstleister hat der Verantwortliche die Vorgaben des Art. 28 DSGVO zu beachten, soweit es sich bei dem Dienstleister um einen Auftragsverarbeiter handelt.
Art. 28 Abs. 1 DSGVO erfordert, dass der Verantwortliche nur solche Auftragnehmer mit einer Leistung beauftragt, die „hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen“ (TOM) vorliegen, um den Anforderungen der DSGVO zu genügen und den Schutz der Rechte der Betroffenen zu gewährleisten. Diese Anforderung führt dazu, dass neue Dienstleister grundsätzlich bereits vor der Beauftragung zu prüfen sind.
Des Weiteren soll der Verantwortliche seine Auftragsverarbeiter während der Vertragslaufzeit kontrollieren, um die Umsetzung der datenschutzrechtlichen und vertraglichen Pflichten zu überprüfen. Erst vor kurzem haben wir zu diesem Thema in unserem Blog berichtet, sodass hier nur auf die wichtigsten Punkte hingewiesen wird:
- Nachweise über die Erfüllung der Pflichten nach der DSGVO, z. B. Auditbeichte, Zertifikate
- Ermöglichung der Überprüfungen, einschließlich Inspektionen: Der Vertrag zur Auftragsverarbeitung muss eine Klausel enthalten, die es dem Verantwortlichen gestattet, den Auftragsverarbeiter zu kontrollieren, und der Auftragsverarbeiter soll dazu sogar aktiv beitragen.
Weder zu der konkreten Durchführung von Dienstleisterkontrollen noch zu Kosten dieser Kontrollen trifft die DSGVO eine Aussage.
Welche Vorgaben hat die ISO 27701 im Bereich Auftragnehmer- Management?
Die ISO 27701 verweist hier zunächst auf ISO 27002:2013 15.1.1 (in ISO 27002:2023 ist das Thema in den Kapiteln 5.19 bis 5.22 behandelt) und der dort beschriebenen Maßnahmen, Anleitungen zur Umsetzung und sonstigen Informationen. Lediglich hinsichtlich der Behandlung von Sicherheit in Lieferantenbeziehungen gibt es eine zusätzliche Anforderung:
„Die Organisation sollte in Verträgen mit Lieferanten festlegen, ob personenbezogene Daten verarbeitet werden und welche technischen und organisatorischen Mindestmaßnamen der Lieferant erfüllen muss, damit die Organisation ihren Verpflichtungen zur Informationssicherheit und zum Schutz der personenbezogenen Daten nachkommen kann.“
Außerdem sollte vertraglich klar geregelt werden, wie die Verantwortlichkeiten zwischen der Organisation, ihren Partnern sowie anderen Beteiligten unter Berücksichtigung der Art der verarbeiteten personenbezogenen Daten zugewiesen werden sowie festgelegt werden, dass die entsprechenden personenbezogenen Daten nur auf Anweisung der Organisation hin verarbeitet werden. Das dürfte einigen bereits aus der DSGVO sehr bekannt vorkommen.
Darüber hinaus sollten die Lieferantendienstleistungen überwacht und überprüft werden, wobei die in ISO 27002:2013 Kapitel 15.2.1 (in ISO 27002:2023 Kapitel 5.22) angegebenen Maßnahmen, Anleitungen zur Umsetzung sowie sonstige Informationen gelten.
Auch hier dürfte unter Umständen auffallen, dass durchaus eine Ähnlichkeit zu den Vorgaben aus der DSGVO besteht.
Weitere Maßnahmen sind in Anhang A (7.2.6) und B (8.2.1) der ISO 27701 zu finden.
Anforderungen an PII-Beauftragten (Verantwortlicher)
Der Kapitel 7.2.6 in Anhang A zu ISO 27701 sieht noch mal ausdrücklich vor, dass die Organisation Verträge mit PII-Verarbeitern – also Auftragsverarbeiter i. S. d. DSGVO – abzuschließen hat.
Dieser Vertrag zwischen der Organisation und dem Auftragsverarbeiter, der im Namen Organisation personenbezogene Daten verarbeitet (PII-Verarbeiter), sollte den Auftragsverarbeiter verpflichten, die entsprechenden Maßnahmen nach Anhang B umzusetzen, wobei der Prozess der Risikobewertung der Informationssicherheit und der Umfang der Verarbeitung von personenbezogenen Daten durch den Auftragsverarbeiter zu berücksichtigen sind.
Die Organisation hat im Rahmen der Umsetzung der Vorgaben aus den ISO-Normen die Möglichkeit, bestimmte Maßnahmen für sich auszuschließen bzw. für nicht anwendbar zu erklären. Bei den Maßnahmen aus den Anhängen A und B der ISO 27701 sollte davon mäßig bis gar nicht Gebrauch gemacht werden.
Vielmehr ist zu empfehlen, alle in Anhang B aufgeführten Maßnahmen als relevant anzunehmen und zu regeln (z. B. für den hypothetischen Fall, dass personenbezogenen Daten in die sog. unsichere Länder übermittelt werden könnten, auch wenn dies aktuell weder stattfindet noch geplant ist). Wenn die Organisation jedoch beschließt, vom Auftragnehmer nicht zu verlangen, eine Maßnahme aus Anhang B umzusetzen, sollte dieser Ausschluss gut begründet werden (siehe Kapitel 5.4.1.3).
In Kapitel 7.2.7 des Anhang A findet das Thema „Gemeinsamer PII-Verarbeiter“ (wiederum ggf. bereits aus der DSGVO bekannt) seinen Anklang.
Anforderungen an PII-Verarbeiter (Auftragsverarbeiter)
In Kapitel 8.5.7 des Anhanges A zu ISO 27701 sind die Maßnahmen beschrieben, die bei der Einschaltung eines Unterauftragnehmers zu erfüllen sind.
Auch hier steht der Abschluss eines Vertrages im Vordergrund. Des Weiteren darf ein Unterauftragnehmer nur eingesetzt werden, wenn der Auftraggeber hierfür die Genehmigung erteilt hat.
Die Hürden in der Praxis
In der Praxis stellt wohl das größte Problem dar, dass die Dienstleister nicht vor dem Einsatz aus der Sicht des Datenschutzes geprüft werden können, da die Datenschutzbeauftragten (DSB) darüber nicht informiert werden. Daher sollte in jeder internen Datenschutzschulung das Thema „Meldung eines Dienstleisters zur Datenschutzprüfung“ prominent platziert sein.
Dabei reicht für die erste Meldung eine kurze Notiz mit folgenden Inhalten aus:
- Name des Unternehmens, Kontaktdaten
- Dienstleistungsbeschreibung
- Erhebt oder nutzt der Dienstleister personenbezogenen Daten?
Anhand dieser Informationen kann die erste Prüfung durchgeführt werden, ob mit dem Dienstleister ein Auftragsverarbeitungsvertrag (AVV) oder eine Verschwiegenheitsvereinbarung (NDA) abzuschießen ist. Außerdem können die DSB die technischen und organisatorischen Maßnahmen, die bei dem Dienstleister zum Schutz der personenbezogenen Daten eingesetzt werden, entweder selbst bewerten oder dann durch die IT bzw. Informationssicherheitsbeauftragten überprüfen lassen.
Diese Prozessbeschreibung dient dazu, den Handlungsablauf zu beschreiben, wie die Dienstleister bei den DSB zur datenschutzrechtlichen Prüfung vor der finalen Beauftragung gemeldet werden müssen, um die gesetzlichen und eigenen unternehmerischen Vorgaben an den Datenschutz zu gewährleisten. Dieser Prozess findet in der Regel seine Anwendung im Bereich der Bestellung bzw. Beauftragung von Dienstleistern und Dienstleistungen in allen Unternehmensbereichen.
Kann der Prozess Auftragnehmer-Management in das bestehende ISMS integriert werden?
Auch ISO 27001 sieht vor, dass die Organisation die Dienstleister zu überprüfen hat. Zu der Verflechtung von ISO 27011 sowie der Art. 32 DSGVO haben wir bereits berichtet.
Hat eine Organisation bei sich ein ISMS nach ISO 27001 implementiert, ist es praktisch, das Thema der Dienstleisterbeauftragung und -kontrolle nach ISO-Normen mit der Datenschutzprüfung nach der DSGVO zu verknüpfen und damit die Synergien, die es gibt, maximal zu nutzen.
Dienstleisterkontrollen und -bewertung nach ISO 9001
Neben der anfänglichen Prüfung des Dienstleisters vor dem Einsatz muss der Verantwortliche bzw. die Organisation die Dienstleister in regelmäßigen Abständen kontrollieren und aus der Sicht der ISO 9001 bewerten. Hier lohnt sich ein Blick in ISO 9001 Kapitel 8.4.1 und 8.4.2 oder ein Gespräch mit dem Qualitätsbeauftragten.
Aufbau eines Auftragnehmer-Managements empfehlenswert
Möchte ein Unternehmen sicherstellen, dass nur zuverlässige und qualifizierte Auftragnehmer eingesetzt werden, ist die Einführung eines Auftragnehmer-Managements unerlässlich. Zumal die DSGVO dem Verantwortlichen diese Verpflichtung auch auferlegt. Die ISO-Normen können beim Aufbau des Managementsystems bzw. des Prozesses zum Einsatz und Prüfung von Dienstleistern durchaus als Anleitung herangezogen werden, unabhängig davon, ob eine Zertifizierung angestrebt wird.
In unserem nächsten Blogbeitrag der Reihe „Datenschutz-Zertifizierung nach ISO 27701“ widmen wir uns dem Thema „Risikobegriff & Risikobehandlung“.