Beitrag

ACP IT Solutions erhält ISO 27001-Zertifizierung Mo 23.03.2015

Zertifizierte Auftragsdatenverarbeitung

Auftragsdatenverarbeiter führen ihre Dienstleistung für ihre Kunden „im Auftrag“ durch – etwa beim Hosting oder beim Cloud Computing, beim Newsletterversand und in Lettershops, in Callcentern oder beim IT-Support und der Fernwartung. Der Auftraggeber bleibt datenschutz-rechtlich verantwortlich und muss gemäß §11 Bundesdatenschutzgesetz (BDSG) seine Dienstleister kontrollieren. Daneben verpflichten auch zahlreiche Landes- und Spezialgesetze Unternehmen und öffentliche Stellen zur Kontrolle von Dienstleistern, die im Auftrag personenbezogene Daten verarbeiten oder darauf zugreifen können.

 

Diese Regelung im BDSG – 2009 eingeführt - hat dazu geführt, dass die Datenschutzbeauftragten der Unternehmen ihre Dienstleister regelmäßig überprüfen, sei es durch Fragebögen oder Vor-Ort-Besichtigungen. Oder durch die Anerkennung eines entsprechenden Zertifikates zur Auftragsdatenverarbeitung. Diese Zertifikate sind inzwischen allgemein anerkannt.

Das Szenario stellt sich wie folgt dar:

  • Der Dienstleister lässt sich von einer unabhängigen Stelle überprüfen.
  • Eine Zertifizierungsstelle zeichnet den Dienstleister mit einem Zertifikat zur Auftragsdatenverarbeitung aus, wenn die Anforderungen von §11 BDSG erfüllt sind.
  • Die Auftraggeber können ihre Auftragskontrolle nun auf die Prüfung dieses Zertifikates beschränken, d.h. auf die Prüfung: Wer hat dieses Zertifikat auf welcher Grundlage erstellt und ist es gültig?

Die Vorteile:

  • Marketing: Zeigen Sie ganz offen, dass Sie den Datenschutz ernst nehmen und Ihre Dienstleistung in Sachen Datenschutz vorbildlich aufgestellt haben.
  • Haftung: Reduzieren Sie Unwägbarkeiten.
  • Prüfaufwand: Reduzieren Sie die externe Prüfung durch Ihre Kunden bei sich, wenn diese Ihr Zertifikat zur Auftragsdatenverarbeitung anerkennen.

Stichwort „Anerkennung“:

  • Es gibt kein „offizielles“ Zertifikat zur Auftragsdatenverarbeitung.
  • Wir – die datenschutz cert GmbH als Datenschutz-Zertifizierungsstelle – haben einen Kriterienkatalog mit Prüf- und Zertifizierungsschema erarbeitet, um die Anforderungen von §11 BDSG prüfen und zertifizieren zu können.
  • Wir sind bei der Deutschen Akkreditierungsstelle (DAkkS) als Zertifizierungsstelle für Managementsysteme akkreditiert. D.h. wir dürfen international anerkannte Zertifikate für ISO/IEC 27001:2013 oder ISO/IEC 20000-1 erteilen.
  • Dieses mit der DAkkS abgestimmte Zertifizierungsschema wenden wir im Rahmen einer Selbstverpflichtung auch für unsere Zertifikate zur Auftragsdatenverarbeitung an.
  • Demzufolge sind unsere §11-Zertifikate drei Jahre gültig und erfordern jährliche Überwachungsaudits.

Wie hoch ist der Aufwand?

  • Der Aufwand für die Erst-Zertifizierung inkl. Auditierung hängt vom Umfang Ihrer Dienstleistung und der Anzahl der Standorte ab.
  • Typischerweise rechnen wir mit 5-6 Arbeitstagen für die Erst-Begutachtung inkl. Zertifizierung.
  • Wünschen Sie ein konkretes Zertifikat? Zögern Sie nicht, uns anzusprechen!

Weitere Informationen finden Sie hier. Hier gibt es auch den Kriterienkatalog zum Download. Sowie unsere Zertifikatsliste, in der dann auch Ihr Zertifikat zur Auftragsdatenverarbeitung verzeichnet sein wird – wenn Sie es wünschen.

 

 

 

 

 

 

Von Dr. Sönke Maseberg in der Rubrik cert News