Das Finden des richtigen Dienstleisters ist oft keine leichte Aufgabe, da neben den geschäftlichen und organisatorischen Aspekten auch regulatorische Nuancen zu berücksichtigen sind – insbesondere bei der Verarbeitung personenbezogener Daten mit Hilfe des Dienstleisters. Die EU-Datenschutzgrundverordnung (DSGVO) legt besonderen Wert auf die Sicherheit der Verarbeitung personenbezogener Daten und kann bei der Auswahl eines Diensteanbieters nicht außer Acht gelassen werden. Im Folgenden finden Sie einige wichtigen Punkte, die Sie bei einer Auswahl beachten sollten und welche helfen die Anforderungen der DSGVO in Ihrem Unternehmen zu erfüllen.
Ist eine ISO 27001-Zertifizierung vorhanden?
Ein gültiges ISO 27001-Zertifikat kann zwar nicht als Nachweis dafür interpretiert werden, dass eine Organisation alle Sicherheitsmaßnahmen im Sinne von Artikel 32 der DSGVO umgesetzt hat. Das Vorhandensein eines solchen Zertifikats zeigt jedoch, dass sich die Organisation aktiv auf den Schutz und das Risiko von Informationen konzentriert. Artikel 32 der DSGVO und ISO 27001 haben eine relativ hohe Gemeinsamkeit, insbesondere im Hinblick auf organisatorische Sicherheitsmaßnahmen. Beispielsweise kann man sicher sein, dass in einer ISO 27001-konformen Organisation Kundendaten von entwicklungsbezogenen Daten getrennt sind, die Zugriffsrechte der Mitarbeiter werden regelmäßig überprüft und auf Kundendaten kann nur im Intranet der Organisation zugegriffen werden.
Welche Backup-Prozesse sind implementiert?
Die Art und Weise, wie die Organisation die Kontinuität ihrer Geschäftstätigkeit steuert, sollte gründlich untersucht werden. Organisationen mit gut organisierten Sicherungsprozessen haben das Ziel, die Wiederherstellungszeit (d. H. Wie schnell sie Daten aus Sicherungen wiederherstellen können) und den Datenverlust (oder die maximale Datenmenge, die während der Wiederherstellung verloren gehen kann) zu minimieren. Ein sehr guter Dienstleister sichert Daten, sobald sie in das System eingehen und stellt so einen minimalen Datenverlust sicher. Außerdem verfügt er über eine Sicherungsinfrastruktur mit Sicherungsdaten, auf die im Falle eines schweren Unfalls umgehend zugegriffen werden kann und testet die Backup-Systeme und die damit verbundenen Prozesse ständig.
Gibt es einen Spezialisten für Datenschutz in dem Unternehmen?
Um sich ein Bild von der Bedeutung des Datenschutzes in einer Organisation zu machen, ist es sinnvoll zu prüfen, wer für den Datenschutz in der Organisation verantwortlich ist und wie die interne Struktur organisiert ist. Befindet sich der Datenschutzbeauftragte in einer Organisationsstruktur, in der er grundsätzlich die Überwachungsverantwortung über seinen Vorgesetzten oder eine Person in der übergelagerten Hierarchieebene hat, sollte klargestellt werden, ob ein potenzieller Interessenkonflikt vorliegt. Durch ein gutes Governance-Framework bleiben die Datenschutzrollen innerhalb des Unternehmens unabhängig. Es ist sogar noch besser, wenn der Verwaltungsrat, der Betriebsrat oder ein anderes oberes Organ der Organisation direkt über Datenschutzfragen informiert ist.
Benutzt das Unternehmen einen Subunternehmer und wenn ja, welchen?
Oft sind Dienstleistungsanbieter nicht in der Lage, ihren Dienst ohne die Einbeziehung von Subunternehmern zu erbringen. Daher muss genauer untersucht werden, wie diese mit dem Datenschutz umgehen und wie sie für Verstöße gegen die Datenschutzbestimmungen bei Zwischenfällen haftbar gemacht werden. Ein angemessener Dienstleister wird alle von ihm verwendeten Subunternehmen offenlegen und bestätigen, dass sie GDPR-konforme Datenverarbeitungsverträge abgeschlossen haben. Darüber hinaus führt ein guter Dienstleister eine gründliche Prüfung des Datenschutzes und der Cybersicherheit durch, bevor er mit einem Subunternehmen zusammenarbeitet und bezieht keine Subunternehmen ein, die Verdacht erregen. Ein sehr guter Dienstleister tut all das und hat auch keine Angst, bei einem schwerwiegenden Verstoß die Arbeit mit einem bestimmten Subunternehmen einzustellen.
Welche Mitarbeiter haben Zugriff auf unsere Daten und auf welcher Basis haben sie Zugriff?
Die Mitarbeiter des Dienstleisters sollten nicht ohne Grund Zugang zu Kundendaten haben. Jede Organisation definiert „gute Gründe“ unterschiedlich, daher ist es sinnvoll die Umstände anzugeben, unter denen solche Berechtigungen gewährt werden. Ein guter Dienstleister ist immer bereit, seinen Kunden Auskunft darüber zu geben, welche Mitarbeiter wann und warum Zugang zu ihren Daten erhalten haben. Ein sehr guter Dienstleister wird die Umstände des Zugriffs auf Kundendaten transparent machen, relevante Informationen unverzüglich weitergeben und in der Lage sein, seine internen Prozesse so zu organisieren, dass Eingriffe in die Privatsphäre des Kunden so gering wie möglich gehalten werden.
Gab es irgendwelche Datenlecks?
Für Dienstleistungsanbieter besteht die größte Herausforderung darin, die Sicherheit der Kundendaten zu gewährleisten. Es ist vernünftig zu untersuchen, wie dies in der Vergangenheit getan wurde und ob die Organisation zuvor direkt Datenlecks ausgesetzt war. Die Zusammenarbeit mit einer Organisation, bei der Datenlecks aufgetreten sind, ist möglicherweise nicht sofort ausgeschlossen. In diesem Fall muss der beroffene Dienstleister seine Kunden jedoch davon überzeugen, dass sie aus den Erfahrungen gelernt haben.
Kann die Servicefunktion mit eigenen aktuellen Daten gezeigt werden?
Jeder Mitarbeiter eines Dienstleisters sollte sich der Bedeutung des Datenschutzes bewusst sein und es liegt in der Verantwortung des Arbeitgebers, alle Mitarbeiter die mit personenbezogenen Daten in Kontakt kommen zu schulen. Wenn der Vertreter des Dienstleisters seine Bereitschaft zum Ausdruck bringt, den Dienst mit den zu verarbeitenden (personenbezogenen) Daten zu testen, bevor die entsprechenden Verträge geschlossen wurden, besteht Grund zur Annahme, dass die Schulung nicht sehr effektiv war.
Welche Funktionalitäten werden angeboten um den Datenschutz der Endbenutzer zu gewährleisten?
Informationen darüber, wie Kunden die Privatsphäre ihrer betroffenen Personen in der Software des Diensteanbieters schützen können, sind ebenso wichtig wie die Umsetzung geeigneter organisatorischer und technischer Sicherheitsmaßnahmen. Ein guter Dienstleister kann den Kunden bei der Beantwortung von Anfragen von betroffenen Personen unterstützen. Ein sehr guter Dienstleister bietet jedoch Tools an, mit denen die Kunden dies selbst erledigen können, wodurch die Reaktionszeit für Anfragen minimiert wird.
Werden Lösungen für die dauerhafte Löschung von Daten angeboten und wenn ja, welche?
In der Regel ist es bei Dienstleistungsanbietern üblich, Kundendaten so lange zu speichern, wie der Servicevertrag in Kraft ist. Viel hängt von der Art der erbrachten Dienstleistung ab und in den meisten Fällen ist ein solcher Bedarf gerechtfertigt. Es kann jedoch für den Kunden erforderlich sein, Daten zu löschen während er die Dienstleistung erbringt. Sehr gute Dienstleister haben dies bereits berücksichtigt und bieten den Kunden die Möglichkeit, Daten laufend selbständig zu löschen.
Können die Zugriffsrechte verschiedener Benutzer des Dienstes eingeschränkt werden und in welchem Umfang?
Die technischen und organisatorischen Maßnahmen des Diensteanbieters gemäß Artikel 32 der DSGVO können beeindruckend sein, reichen jedoch möglicherweise nicht aus, wenn die Software nicht unter Berücksichtigung des Datenschutzes des Endnutzers entwickelt wurde. Die Datenschutz- und Datensicherheitsfunktionen der Software sind nicht mehr wegzudenken und ein guter Dienstleister kann die gesetzlichen Anforderungen interpretieren, um die Kundenanforderungen zu erfüllen. Die Fokussierung auf die praktischen Aspekte der Softwareimplementierung, z. B. zu bewerten ob Endbenutzer Zugriff auf die für ihre Arbeit benötigte Mindestmenge an Daten haben, ist bei der Auswahl eines Dienstleisters gerechtfertigt.
Datenschutz ist eines unserer Grundrechte und ein wesentlicher Bestandteil unserer Menschlichkeit. Die Einbeziehung eines anderen Unternehmens ist zwangsläufig ein Risiko für den Verantwortlichen und solche Beziehungen können nur bestehen, wenn zwischen den Parteien Vertrauen und Transparenz besteht.
Wir bei Fleet Complete ermutigen alle gegenwärtigen und zukünftigen Kunden, den Datenschutz zur Kenntnis zu nehmen, da nur so beiden Parteien der Schutz der Grundrechte des Einzelnen gewährleistet werden kann. Bei Fragen können Sie sich gerne an uns wenden.
