Zum Inhalt springen Zur Navigation springen
Prozesse im Vertragsmanagement

Prozesse im Vertragsmanagement

Artikel von Dr. Datenschutz·14. September 2021

Nicht selten ist der Prozess des Vertrags- bzw. Dienstleistermanagements in den Unternehmen nicht einheitlich geregelt oder so unübersichtlich, dass mit einem Dienstleister zu viele Verträge abgeschlossen werden oder der Abschluss auch manches Mal vergessen wird. Daher ist es unerlässlich, einen strukturierten Prozess mit klaren Zuständigkeiten zu etablieren. Wir zeigen Punkte auf, die bei der Ausarbeitung des Prozesses helfen können.

Zuständigkeiten – Oft übersehen, aber grundlegend

Eine klare Zuweisung von Zuständigkeiten fehlt oftmals. Die Folgen sind meist Unklarheiten und Verzögerungen im Ablauf.

  • Wer darf eigentlich Verträge unterschreiben? Gibt es eine zentrale Stelle oder liegt die Zuständigkeit in den Fachabteilungen?
  • Wer beurteilt, ob bspw. ein Auftragsverarbeitungsvertrag abgeschlossen werden muss oder nicht? Erfolgt die Einordnung durch bestimmte Mitarbeiter in den Fachabteilungen (und werden sie in dem Fall ausreichend geschult) oder gibt es ein Datenschutzteam, das zuständig ist?
  • Wer behält den Überblick über eingesetzte Dienstleister und abgeschlossene Verträge?
  • Wo findet die Aufbewahrung der Verträge statt?

Diese Fragen sollte man im Vorfeld klären.

Prozess „neuer Dienstleister“

In der Regel macht es Sinn, im Unternehmen zentral eine Dienstleisterliste zu führen. Sobald eine neue Dienstleistung in Auftrag gegeben werden soll, ist dies der entsprechenden Stelle zu melden. Hierfür kann ein einheitliches „Meldeformular“ genutzt werden. Mit dem Meldeformular werden bereits die relevantesten Fragen gestellt und vom Meldenden beantwortet.

  • Welcher Dienstleister soll eingesetzt werden?
  • Welche Dienstleistung wird eingekauft?
  • Erhält der Dienstleister (Zugang) zu personenbezogenen Daten, wenn ja, zu welchen?
  • Besteht ein Drittlandsbezug?

Die meldende Person/Fachabteilung erhält dann die Rückmeldung, ob das Unternehmen den Dienstleister bereits einsetzt und die erforderlichen Verträge und dokumentierten Dienstleisterüberprüfungen bereits vorliegen oder, ob diese noch durchgeführt bzw. abgeschlossen werden müssen. Sind die Fachbereiche selbst dafür verantwortlich, müssen sie ihre Ergebnisse und die Verträge nach Abschluss an die zentrale Stelle übermitteln, damit die Unterlagen dort abgelegt werden können.

Bestehende Vertragsverhältnisse beleuchten

Der Prozess hilft nur in der Zukunft weiter, nämlich dann, wenn neue Dienstleister hinzukommen. Es ist aber oftmals sinnvoll, sich auch einmal mit den bereits bestehenden Vertragsbeziehungen zu beschäftigen, wenn das Thema „datenschutzrechtliche Verträge“ vertieft wird. Es ist erforderlich, sich einen Überblick über die im Unternehmen bereits eingesetzten Dienstleister zu verschaffen. Dafür ist eine Abfrage in den Fachbereichen vorzunehmen, welche Dienstleister eingesetzt werden. Eine weitere Möglichkeit kann sein, sich einmal die Kreditorenliste anzuschauen.

Schnittstellen zu anderen Prozessen

Jedenfalls die Kategorien der Empfänger sind sowohl im Verzeichnis der Verarbeitungstätigkeiten als auch den Datenschutzinformationen zu nennen. Kommt also ein neuer Dienstleister als Empfänger hinzu, müssen auch diese Dokumente gegebenenfalls angepasst werden. Diese Schnittstellen sollte der Prozess berücksichtigen.

Beim Einsatz von Auftragsverarbeitern kommt es aber noch auf etwas mehr an. Wenn der ganze Prozess rund um den Abschluss von Verträgen geregelt ist, muss das Unternehmen auch noch darauf achten, dass die Auswahl des Auftragsverarbeiters gewissenhaft erfolgt. Es muss also eine Auftragskontrolle durchgeführt werden. Auch dies kann in einer Richtlinie bzw. Prozessbeschreibung festgehalten werden – welche Grundvoraussetzungen ein Dienstleister eigentlich erfüllen muss, damit er den Anforderungen genügt. Und auch während des laufenden Vertragsverhältnisses muss sich das Unternehmen immer mal wieder davon überzeugen, dass sich daran nichts geändert hat und der Dienstleister die versprochenen Maßnahmen auch tatsächlich umsetzt. Zu der Frage, wie oft eine solche Kontrolle durchgeführt werden muss, macht die DSGVO keine konkreten Aussagen. Oftmals ist es empfehlenswert, nach einem Jahr wieder eine kurze Überprüfung vorzunehmen, wobei sich auch längere Intervalle rechtfertigen lassen oder kürzere Intervalle erforderlich sind, je nach Risiko der Datenverarbeitung.

Documentation is the key

Und natürlich wie immer ganz wichtig: Dokumentieren! Insbesondere im Bereich des Dienstleistermanagements bietet sich der Einsatz einer Datenschutzmanagement-Software an. Dies bietet unter anderem den Vorteil, dass alle datenschutzrechtlich relevanten Unterlagen, insbesondere Verträge, an einem Ort aufbewahrt und archiviert werden können. Wenn man dann noch die Dienstleisterüberprüfungen in der Software dokumentieren kann, sollte nichts schief gehen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.