Die Verantwortung von Unternehmen: Kontrolle von Auftragsverarbeitern und Lieferanten

von Nadja-Maria

In einer zunehmend arbeitsteiligen Welt stehen Unternehmen vor der Herausforderung, nicht nur die eigenen internen Prozesse sicher zu gestalten, sondern auch die Kontrollpflichten bei der Zusammenarbeit mit externen Partnern zu erfüllen.

In einer zunehmend arbeitsteiligen Welt stehen Unternehmen vor der Herausforderung, nicht nur die eigenen internen Prozesse sicher zu gestalten, sondern auch die Kontrollpflichten bei der Zusammenarbeit mit externen Partnern zu erfüllen. Die Anforderungen an Datenschutz und Informationssicherheit machen die strenge Kontrolle von Zulieferern und Dienstleistern unabdingbar.

Zwei besonders relevante Aspekte dabei sind die Verpflichtungen nach Art. 28 DSGVO zur Überwachung von Auftragsverarbeitern und die umfassenden Prüfungen im Rahmen der Lieferantenkontrolle in der Informationssicherheit.

Prüfung von Auftragsverarbeitern gemäß Art. 28 DSGVO

Nach der Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen sicherstellen, dass Auftragsverarbeiter, also externe Dienstleister, die personenbezogene Daten im Auftrag verarbeiten, den strengen gesetzlichen Vorgaben entsprechen. Konkret bedeutet dies, dass Auftragsverarbeiter über alle Phasen der Zusammenarbeit hinweg kontrolliert werden müssen:

  • Sorgfältige Auswahl: Vor der Beauftragung müssen Unternehmen prüfen, ob der potenzielle Dienstleister über ein angemessenes Datenschutzniveau verfügt.
  • Vertragsgestaltung: Entsprechend den Vorgaben der Datenschutz-Grundverordnung muss mit jedem Auftragsverarbeiter ein Vertrag nach Art. 28 Abs. 3 DSGVO geschlossen werden.
  • Regelmäßige Kontrollen: Unternehmen müssen sicherstellen, dass der Auftragsverarbeiter während der gesamten Vertragslaufzeit die Datenschutzstandards einhält.

Verpflichtung zur Lieferantenkontrolle aus der Informationssicherheit

Auch im Bereich der Informationssicherheit ergibt sich für Unternehmen die Notwendigkeit, die eigenen Lieferanten und Partnerunternehmen zu kontrollieren. Etablierte Standards zur Informationssicherheit geben dabei folgende Maßnahmen vor:

  • Risikoanalyse: Unternehmen müssen bewerten, welche Risiken mit der Einbindung eines bestimmten Lieferanten verbunden sind. Dies schließt die Prüfung der Sicherheitsmaßnahmen und -richtlinien des Lieferanten ein.
  • Vertragliche Vereinbarungen: Ähnlich wie bei der Auftragsverarbeitung sollten klare Vereinbarungen getroffen werden, die sicherstellen, dass Lieferanten strenge Sicherheitsstandards einhalten.
  • Kontinuierliche Prüfung: Die tatsächliche Einhaltung aller Vorgaben durch den Dienstleister muss regelmäßig überprüft werden.

Umsetzung in der Praxis

Die regelmäßige Prüfung von Dienstleistern stellt Unternehmen vor erhebliche Herausforderungen. Zum einen ist der Prüfungsprozess ressourcenintensiv, da regelmäßige Audits, Überprüfungen von Sicherheitsmaßnahmen und die Dokumentation von Vorgaben Zeit und Fachwissen erfordern. Zum anderen müssen aufgrund der dynamischen Entwicklung der Compliance-Anforderungen bestehende Verträge und Sicherheitsmaßnahmen stetig aktualisiert werden.

Schritt zur Digitalisierung

Auch in diesem Bereich kann die Digitalisierung Unternehmen spürbar entlasten beziehungsweise die Umsetzung der gesetzlichen Vorgaben erst ermöglichen. Durch eine Umstellung auf digitale Kontrollen in Form von Self-Assessments der Dienstleister lassen sich Prozesse rund um die Prüfung und Überwachung effizienter gestalten.

Selbstauskünfte von Dienstleistern bieten Unternehmen eine effiziente Möglichkeit, relevante Informationen zur Einhaltung von Compliance- und Sicherheitsanforderungen zu erhalten. Auf diese Weise können standardisierte Informationen zu Zertifizierungen, Datenschutzmaßnahmen und Sicherheitsrichtlinien direkt von den Dienstleistern erhoben werden, ohne dass aufwendige Vor-Ort-Audits erforderlich sind. Dies spart nicht nur Zeit und Ressourcen, sondern fördert auch eine transparentere und vertrauensvollere Zusammenarbeit. Durch strukturierte Fragebögen können Unternehmen gezielt Risiken identifizieren und bewerten. Zudem bieten Selbstauskünfte eine Grundlage für die kontinuierliche Überwachung, da Aktualisierungen regelmäßig eingefordert werden können. Diese Praxis schafft eine Balance zwischen Kontrollaufwand und Effizienz und erhöht gleichzeitig die Nachvollziehbarkeit und Dokumentationsqualität im Prüfprozess.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

/assets/images/t/Nadja-22bmdatj0e84j29.png
Nadja-Maria

Nadja-Maria leitet unser Inhouse-Juristen-Team. Sie studierte an der Universität Passau Rechtswissenschaften mit anschließendem Referendariat sowie erstem und zweitem Staatsexamen. Ihr Spezialgebiet ist Datenschutzrecht. Ihr fundiertes Wissen hält sie jederzeit aktuell. Für unsere Kunden und unser Team hat sie so immer einen Rat für eine passgenaue Lösung parat.