Brain-Media.de/Compliance-Lexikon/Auftragsverarbeitung/Praxis
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Praxis

Auftragsverarbeitung – Praxis

Auftragsverarbeitung ist im Datenschutz-Audit einer der haeufigsten Befundpunkte -- nicht weil das Konzept unbekannt ist, sondern weil die Umsetzung systematisch lueckenhaft ist: fehlende AVVs, veraltete Verzeichnisse, ungepruefte Unterauftragsverarbeiter. Was Auditoren und Behoerden wirklich pruefen, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung von Auftragsverarbeitung fragt der Auditor nicht nach dem Vorhandensein eines AVV-Musters, sondern nach dem vollstaendigen Inventar aller Auftragsverarbeiter und dem Nachweis gueltiger Vertraege. Das BAM-Objekt CROSS-AV-01 definiert im Evidence-Feld, was konkret vorgelegt werden muss.

BAM-Objekt · Praxis CROSS-AV-01
Gap-CheckLiegt ein datierter, vollstaendiger Nachweis der Wirksamkeit vor?
RemediationDokumentierter Prozess mit Eigentuemerverantwortung und Aktualisierungsnachweis
EvidenceDatiertes Protokoll oder Systemauszug mit Zeitstempel, Scope und Verantwortlichem -- mindestens jaehrlich.

Haeufige Fehler

  • Kein vollstaendiges Verzeichnis aller Auftragsverarbeiter
  • AVVs vorhanden, aber nicht aktuell (Dienstleisterwechsel nicht nachgezogen)
  • Unterauftragsverarbeiter nicht genehmigt oder bekannt
  • US-Dienstleister ohne aktuelle Standardvertragsklauseln

Praxis-Tipp

Fuer Auftragsverarbeitung gilt: Ein AVV mit Microsoft fuer Microsoft 365 ist heute Standard -- fehlt er, ist das kein Detailfehler, sondern ein kritischer Befund. Die Liste aller eingesetzten SaaS-Dienste mit AVV-Status ist die Grundlage jeder DSGVO-Audit-Vorbereitung.

Umsetzung Schritt fuer Schritt

Erster Schritt: Vollstaendiges Inventar aller Dienstleister anlegen, die personenbezogene Daten verarbeiten -- nicht nur IT-Dienstleister, sondern auch Buchhaltung, HR, Marketing, Druckdienstleister. Zweiter Schritt: Fuer jeden Dienstleister pruefen: AVV vorhanden? Aktuell? Vollstaendig? Dritter Schritt: Fehlende AVVs einfordern -- Dienstleister, die keinen AVV bereitstellen, duerfen keine personenbezogenen Daten verarbeiten. Vierter Schritt: Drittlandsuebermittlungen identifizieren und mit Standardvertragsklauseln absichern. Fuenfter Schritt: Verzeichnis der Auftragsverarbeiter jaehrlich aktualisieren.

Evidence-Anforderungen im Audit

Der Auditor erwartet: ein datiertes Verzeichnis aller Auftragsverarbeiter, alle abgeschlossenen AVVs im Original oder als Kopie, Nachweis der Pruefung der Unterauftragsverarbeiter, bei US-Dienstleistern die aktuellen Standardvertragsklauseln (SCCs) und ggf. ein Transfer Impact Assessment (TIA).

Naechster Schritt

NIS-2-Stresstest starten

Kostenloser Compliance-Stresstest auf Basis der BAM-Objekte -- unverbindlich, 20 Minuten.

Die strategische Einordnung -- warum Auftragsverarbeitung langfristig mehr als ein Compliance-Pflichtprogramm ist -- findet sich auf Ebene 3.

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper