Sie sind auf Seite 1von 40

Eine Veröffentlichung des ISACA Germany Chapter e.V.

ISACA-Leitfaden
ISACA-Leitfaden

Auftragsdatenverarbeitung unter Berücksichtigung von Standards

ISACA Germany Chapter e.V. ISACA-Leitfaden Auftragsdatenverarbeitung unter Berücksichtigung von Standards dpunkt. verlag

dpunkt. verlag

2

Prüfleitfaden Auftragsdatenverarbeitung

Die Autoren dieses Prüfleitfadens sind:

Dr. Aleksandra Sowa, ITCM, Deutsche Telekom AG

Christian Funk, CISA, bDSB Schufa Holding AG

Michael Trinkle, CISA, GaVI mbH

Michael Morgenthaler, CISA, CISM, CIPP/IT, SAP AG

Claus Baumgarten, CISA, bDSB NORDMILCH

Knut Haufe, CISA, CISM, CGEIT, CRISC, CISSP, ISO 27001 Auditor (TÜV und BSI) | PMP, IS-Revisor (BSI), Geprüfter Datenschutz- beauftragter (SGS TÜV), PERSICON Consultancy GmbH

Andreas H. Schmidt, CISA, zert. DSB TÜV SÜD, Flughafen Köln/Bonn GmbH

Michael Neuy, CISA, CIA, CISM, CRISC, CP ONR 49003, ISMS Auditor (IRCA), GEZ Gebühreneinzugszentrale

Der finale Entwurf des Prüfleitfadens wurde rezensiert (Review) durch:

Klaus-Dieter Krause, CMC, CISA, CISM, DSB, MBCI, compliance-net GmbH

Dipl.-Ing./M.Sc. Markus Bittner, CISM, CGEIT, ITGM, ITIL Service Manager, bDSB (GDD cert.), Straight Advisors Ltd. & Co. KG

Markus Gaulke, CISA, CISM, CGEIT, CRISC, PMP, KPMG AG Wirtschaftsprüfungsgesellschaft

Das Wort zum Geleit schrieb freundlicherweise

Peter Schaar, Bundesbeauftragter für Datenschutz und Informationsfreiheit

Lektorat: Vanessa Wittmer Copy-Editing: Ursula Zimpfer, Herrenberg Satz & Herstellung: Birgit Bäuerlein Umschlaggestaltung: Helmut Kraus, www.exclam.de Druck & Bindung: Wörmann PRODUCTION CONSULT, Heidelberg

Copyright © 2011 ISACA Germany Chapter e.V. Postfach 18 03 99 60084 Frankfurt

Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des ISACA Germany Chapter e.V. urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Ver- wendung in elektronischen Systemen. Es wird darauf hingewiesen, dass die im Leitfaden verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbe- zeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen. Alle Angaben und Programme in diesem Leitfaden wurden mit größter Sorgfalt kontrolliert. Weder Autor noch ISACA Germany Chapter e.V. sowie der Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Leitfadens stehen.

unter Berücksichtigung von Standards

1

ISACA-Prüfleitfaden Auftragsdatenverarbeitung unter Berücksichtigung von Standards

Inhaltsübersicht

Geleitwort

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

2

Vorwort

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

3

Definitionen

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

3

1.

Formale Aspekte

 

5

1.1 Auftragsdatenverarbeitung Ja/Nein

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

5

1.2 Vertragliche Grundlage

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

5

1.3 Organisatorische Grundlagen

 

7

2.

Praxisteil

 

8

2.1 Dokumentenstudium

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

8

2.2 Zutrittskontrolle

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

9

2.3 Zugangskontrolle

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

10

2.4 Zugriffskontrolle

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

11

2.5 Weitergabekontrolle

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

12

2.6 Eingabekontrolle

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

13

2.7 Verfügbarkeitskontrolle

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

13

2.8 Trennungskontrolle

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

14

2.9 Auftragskontrolle

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

14

2.10 Organisationskontrollen

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

15

2.11 Sonstige Fragen

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

16

3. Dokumentation/Bewertung

 

17

4. Mapping der Anforderungen des §11 BDSG zu bekannten Standards

 

17

 

4.1

BDSG und COBIT

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

17

4.2

BDSG und BSI IT-Grundschutz

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

25

4.3

BDSG und ISO 27001

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

30

Anhang

 

A

Text des §11 BDSG in der Fassung vom 01.09.2009

 

35

2

ISACA-Prüfleitfaden Auftragsdatenverarbeitung

Geleitwort

Liebe Leserinnen und Leser,

die Auslagerung und Vergabe von Leistungen an spezia- lisierte Dritte gehört mittlerweile zum Alltagsgeschäft in Unternehmen und öffentlichen Stellen. Dies gilt auch und besonders im IT-Bereich. Bei dem IT-Outsourcing kann es sich – rechtlich gesehen – um Auftragsdatenverarbei- tung nach §11 BDSG oder um eine Funktionsübertra- gung handeln.

In beiden Fallkonstellationen kommt es darauf an, sowohl den Datenschutz als auch die IT-Datensicherheit ohne Einschränkungen zu gewährleisten, denn der Auf- traggeber kann sich auch beim Outsourcing seiner Ver- antwortung für den Umgang mit Daten nicht entledigen. Auch wenn die Vorgaben von §11 BDSG formal nicht für die Funktionsübertragung gelten, sollten dessen Anforderungen deshalb auch in diesem Fall beherzigt werden.

§11 BDSG hat im vergangenen Jahr umfangreiche Ände- rungen erfahren. Der Gesetzgeber hat hiermit auf die Defizite bei der praktischen Umsetzung der gesetzlichen Vorgaben reagiert. Die Vorschrift regelt nun explizit, wel- chen Anforderungen die Ausgestaltung des Datenverar- beitungsauftrags zwingend genügen muss. Daneben hat der Gesetzgeber die Kontrollpflichten des Auftraggebers dahingehend konkretisiert, dass der Auftraggeber die Einhaltung der technischen und organisatorischen Maß- nahmen schon vor Beginn und sodann regelmäßig über-

prüfen muss. Auftraggeber werden in Zukunft besonde- res Augenmerk auf die Einhaltung dieser Vorgaben legen müssen, da in §43 Absatz 1 Nummer 2b BDSG ein Buß- geldtatbestand speziell für Pflichtverletzungen bei der Auftragsdatenverarbeitung geschaffen wurde.

Besondere Sorgfalt ist dann angebracht, wenn das Out- sourcing in »Drittländer« außerhalb des Europäischen Wirtschaftsraums erfolgen soll. Ein solches Vorhaben ist nur zulässig, wenn beim Vertragspartner ein angemesse- nes Datenschutzniveau im Sinne der EG-Datenschutz- richtlinie gewährleistet wird. Dies gilt in verstärkter Weise bei verteilten Anwendungen, die unter dem Begriff »Cloud Computing« subsumiert werden.

Liebe Leserinnen und Leser, mit dem Prüfleitfaden gibt Ihnen die ISACA ein hilfreiches Dokument an die Hand, bei dessen Anwendung und praktischer Umsetzung ich Ihnen viel Spaß und Erfolg wünsche. Allerdings darf dabei nicht vergessen werden, dass eine schematische Abarbeitung der darin enthaltenen Prüffragen nicht aus- reicht und letztlich die konkrete Konstellation berück- sichtigt werden muss.

Peter Schaar

Bundesbeauftragter für Datenschutz und Informationsfreiheit

unter Berücksichtigung von Standards

3

Vorwort

Im Rahmen der Änderung des Bundesdatenschutzgeset- zes vom 14.08.2009 wurde §11 BDSG sowohl umfang- reich um eine detaillierte Aufstellung der vertraglich fest- zulegenden Fakten als auch um eine (wiederkehrende) Prüfpflicht für den Auftraggeber/die verantwortliche Stelle (Text des §11 BDSG siehe Anlage A) erweitert.

Ob und welche Prüfungen im Detail durchzuführen sind, hängt davon ab, ob es sich bei den durchgeführten ausge- lagerten Tätigkeiten um Auftragsdatenverarbeitung (ADV) handelt.

Dieser Leitfaden wurde als Praxishilfe durch die Fach- gruppe Datenschutz des ISACA Germany Chapter e.V. (www.isaca.de) erstellt und soll Unternehmen, öffent- lichen Stellen und Dienstleistern sowie speziell auch den Mitarbeitern aus den Bereichen Interne Revision, IT-

Definitionen

Auftragsdatenverarbeitung

Wenn ein Unternehmen personenbezogene Daten, für die es selbst »Verantwortliche Stelle« (i.S.d.G.) ist, durch eine andere Stelle außerhalb des Unternehmens (aber gegebenenfalls auch innerhalb des Konzerns/Unterneh- mensverbundes) unter bestimmten Rahmenbedingungen erheben, verarbeiten oder nutzen lässt, so handelt es sich dabei um Auftragsdatenverarbeitung (ADV). Bei der ADV erfolgt keine Datenüberlassung, d.h., der Auftrag- geber bleibt Herr der Daten und somit verantwortlich für die korrekte Einhaltung der Regelungen. Es wird ledig- lich eine (Teil-)Funktion des eigentlichen Verfahrens aus- gelagert, nicht jedoch das Verfahren selbst. Der Auftrag- nehmer erhält keine Befugnis zur Verwendung der Daten zu eigenen Zwecken, noch wird er verantwortliche Stelle und er muss sich strikt an die schriftlichen Weisungen des Auftraggebers halten, die aufgrund eines schriftlichen Vertrages zu geben sind. Weitere Kriterien, die eine Auf- tragsdatenverarbeitung charakterisieren:

Dem Auftragnehmer fehlt die Entscheidungsbefugnis über die Daten.

Es besteht ein ausdrückliches Nutzungsverbot für die personenbezogenen Daten über die Beauftragung hin- aus.

Sicherheit und Datenschutz eine Übersicht über die rele- vanten Themengebiete und die Abgrenzungen der daten- schutzrechtlich erforderlichen Prüfung geben. Die fall- weise Ausgestaltung der Prüfung dabei natürlich risiko- orientiert anzulegen und richtet sich nach den jeweils vorgefundenen Gegebenheiten in Bezug auf das Kontroll- umfeld, die betroffenen Arten von Daten, Art und Orte der Verarbeitung sowie die konkreten Vertragsbeziehun- gen.

Neben der Darstellung der vom BDSG geforderten Prüf- kriterien wird auch ein Mapping auf etablierte Standards zur Verfügung gestellt, das es dem Prüfer erleichtert, red- undante Prüfungen zu minimieren, sofern er bereits un- abhängig zum Datenschutz eine Prüfung gegen COBIT, BSI IT-Grundschutz oder ISO 27xxx durchführt.

Die durch den Auftragnehmer durchgeführte Verar- beitung wird nur und ausschließlich durch die verant- wortliche Stelle nach außen hin vertreten.

Darüber hinaus sind die Regelungen des §11 (1)-(4) zur Auftragsdatenverarbeitung auch anzuwenden, wenn im Rahmen von Wartungsarbeiten, z.B. via Fernwartung, der Zugriff auf personenbezogene Daten des Auftragge- bers nicht ausgeschlossen werden kann.

Auftragnehmer/Auftraggeber: Der Auftragnehmer (AN) erhebt, verarbeitet oder nutzt Daten nur im Rahmen des Auftrages und der Weisungen des Auftraggebers (AG).

Datenträger: sind Medien, die in der Lage sind, Informa- tionen zu speichern. Gängige Datenträger sind pa- piergebunden (Dokumente), chemisch-optisch (Film), opto-elektronisch (CD, DVD), magnetisch (Festplat- te, Band) oder halbleitergebunden (SD-Karte, USB- Stick). Datenträger können einmal beschreibbar sein (WORM, Write Once Read More), wie z.B. Papier, Mikrofilm oder CD-R oder mehrfach beschreibbar/ löschbar, wie z.B. Festplatten, SD-Karten oder CD- RW.

4

ISACA-Prüfleitfaden Auftragsdatenverarbeitung

Dritter: ist jede Person oder Stelle außerhalb der verant- wortlichen Stelle. Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezo- gene Daten im Auftrag erheben, verarbeiten oder nutzen.

Drittlandtransfer: Sofern Daten außerhalb des Europäi- schen Wirtschaftsraums (EWR) transferiert werden sollen, spricht man vom Drittlandtransfer. Hierzu legt der Gesetzgeber Erlaubnistatbestände fest, die es einem Unternehmen erst ermöglichen, personenbezo- gene Daten zu transferieren (z.B. anerkannte Dritt- staaten, Safe-Harbor-Vereinbarung oder Standard- vertragsklauseln). Das Unternehmen bleibt aber auch in diesem Fall Herr der Daten und muss die prinzipi- elle Rechtmäßigkeit der Transfers sicherstellen.

Empfänger: ist jede Person oder Stelle, die Daten erhält.

Funktionsübertragung: Für den Begriff »Funktionsüber- tragung« gibt es keine gesetzliche Definition und §11 BDSG gilt hier nicht. Eine Funktionsübertragung findet dann statt, wenn nicht nur die Verarbeitung von Daten, sondern auch die Aufgabe/das Verfahren, zu dessen Erfüllung die Datenverarbeitung notwendig ist, mit »recht- licher Zuständigkeit« vollumfänglich und mit allen Verantwortlichkeiten an eine dritte Stelle abgegeben wird. Damit geht einher, dass die Daten dazu an den Auftragnehmer übermittelt werden. Dabei gehen auch alle Pflichten für den Schutz der personenbezo-

genen Daten auf den Auftragnehmer über, er wird Herr der Daten.

»Herr der Daten«: ist derjenige, der die rechtliche Ver- antwortung für die Verarbeitung der Daten hat – im Gesetzestext des BDSG als die »verantwortliche Stelle« bezeichnet. Sie erteilt schriftliche Anweisun- gen zur Durchführung des Auftrages.

Personenbezogene Daten: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Ver- hältnisse einer bestimmten oder bestimmbaren natür- lichen Person.

Sub-Auftragnehmer: Sofern der Auftragnehmer weitere eigene Dienstleister zur Erbringung der Leistung ein- schaltet, spricht man von Sub-Auftragnehmern (Unterauftragsverhältnisse). Eine Beauftragung von Sub-Auftragnehmern durch den AN ist im Vertrag zu regeln. Im Einzelfall muss der AN beim AG hierzu eine schriftliche Zustimmung einholen.

Übergebene/überlassene Daten/-träger mit Daten: Über- gebene/überlassene Daten/-träger sowie sämtliche hiervon gefertigte Kopien oder Reproduktionen ver- bleiben im Eigentum des AG. Diese sind sorgfältig zu verwahren, sodass sie Dritten nicht zugänglich sind. Eine datenschutzkonforme Vernichtung von Daten- träger, Test- und Ausschussmaterial wird ggf. im Ein- zelfall beauftragt.

Verantwortliche Stelle: ist jede Person oder Stelle, die per- sonenbezogene Daten für sich selbst erhebt, verarbei- tet oder nutzt oder dies durch andere im Auftrag vor- nehmen lässt.

unter Berücksichtigung von Standards

5

1. Formale Aspekte

1.1 Auftragsdatenverarbeitung Ja/Nein

Vor Beginn einer Prüfung der Auftragsdatenverarbeitung (ADV) ist zunächst zu klären, ob es sich bei der zu unter- suchenden Abwicklung um eine Auftragsdatenverarbei- tung oder um eine sog. Funktionsübertragung handelt. Der Begriff der Funktionsübertragung ist nicht eindeutig gesetzlich definiert, sondern resultiert aus der Auslegung des BDSG. Bei einer Funktionsübertragung ist der Dienstleister hinsichtlich des Umgangs mit den jeweiligen Daten weisungsfrei. Er ist »Herr der Daten«, die Einhal- tung der Vorschriften des BDSG obliegt ihm eigenverant- wortlich. Eine Funktionsübertragung kann z.B. im Falle des Outsourcings einer Personalstelle vorliegen, wobei

der Dienstleister für das komplette Personalmanagement verantwortlich ist.

Handelt es sich dagegen um eine Auftragsdatenverarbei- tung behält der Auftraggeber die Entscheidungsbefugnis über die Daten. Eine genaue Beurteilung muss immer bezogen auf den Einzelfall vorgenommen werden. Im Folgenden sind daher Fragestellungen aufgeführt, die eine Abgrenzung der Begrifflichkeiten ermöglichen und – sofern die Fragen 1.1.1 – 1.1.3 mit »Ja« beantwortet werden oder ein Sachverhalt nach 1.1.4 vorliegt – auf eine ADV hindeuten:

Nr.

Frage

1.1.1

Verarbeitet der Auftragnehmer (im Folgenden »AN« genannt) personenbezogene Daten, für die der Auftraggeber (im Folgenden »AG« genannt) rechtlich verantwortlich ist?

1.1.2

Erfolgt die Verarbeitung der Daten durch den AN vollständig weisungsgebunden?

1.1.3

Fehlt dem AN die Entscheidungsbefugnis über die Verwendung der Daten?

1.1.4

Bestehen Wartungsverträge, bei denen der Zugriff auf personenbezogene Daten des Auftraggebers nicht ausgeschlossen werden kann?

1.2 Vertragliche Grundlage

Die zentrale rechtliche Grundlage für die »Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten im Auftrag« bildet §11 BDSG. Im Zuge der zum 01.09.2009 in Kraft getretenen Novelle des BDSG wurde diese Bestimmung um eine Reihe von inhaltlichen Min- destanforderungen erweitert. In der alten Fassung war bereits eine sorgfältige (»unter Berücksichtigung der von ihm getroffenen technischen und organisatorischen Maß- nahmen«) Auswahl des Dienstleisters gefordert. Hin- sichtlich der vertraglichen Ausgestaltung beschränkte sich das BDSG lediglich auf die allgemeine Forderung nach einer schriftlichen Auftragserteilung. Nach neuer Fassung sind u.a. Auftragsgegenstand, Dauer, Art der Daten, technische und organisatorische Maßnahmen sowie Unterauftragsverhältnisse des Auftragnehmers zu beschreiben. Als formale Voraussetzung für eine Prüfung

durch den Auftraggeber ist hier §11, Abs. 2 Satz 7 zu nennen, da dieser die Festlegung der »Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragsnehmers« fordert. Eine eindeutige Regelung dieses Punktes ist somit im Falle einer Prüfung wesentlich zur Gewährleistung des Zugangs zu allen relevanten Informationen bzw. Doku- menten des Auftragnehmers.

Zusammenfassend ist festzustellen, dass bei Abschluss von Neuverträgen (z.B. im Rahmen eines Auswahlpro- zesses für einen Dienstleister) gewährleistet sein muss, dass die Verträge den formalen Anforderungen des §11 BDSG entsprechen. Soweit noch nicht erfolgt, sind Ver- träge, die vor dem 01.09.2009 geschlossen wurden, ggf. anzupassen (kein Schutz von Altverträgen).

6

ISACA-Prüfleitfaden Auftragsdatenverarbeitung

Nr.

Frage

COBIT

BSI

ISO

Referenz zu den Mappings aus Kapitel 4

4.1

4.2

4.3

1.2.1

Was ist der Gegenstand des Auftrags?

3

3

4

1.2.2

Was ist der Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung?

4

4

5

1.2.3

Welche Art von Daten werden verarbeitet?

4

4

5

1.2.4

Welcher Kreis von Betroffenen ist durch die Art der Daten bestimmt?

4

4

5

1.2.5

Wo führt der AN den Auftrag aus? D.h. an welchen Einsatzorten? (Anschrift, Etage, Raum- nummer, wichtig: Wo ist der Sitz und der/die Orte der Auftragsausführung)

5

2, 5

2

1.2.6

Welcher Art ist der Einsatzort? (z.B. Rechenzentrum, Büroraum)

2

2, 5

23

1.2.7

Wird der Auftrag im Ausland ausgeführt (wenn ja: EWR oder außerhalb des EWR, wenn Daten außerhalb EWR verarbeitet werden, sind besondere Hürden zu überwinden!)

 

211

 

1.2.8

Gibt es Unterauftragsverhältnisse?

2

8

9

1.2.9

Ist die Vertragsdauer geregelt?

8

3

8

1.2.10

Sind Sachverhalte wie z.B. Haftung, Vertragsstrafen, Vergütung etc. vertraglich geregelt?

3

2

8

1.2.11

In welcher Form hat der AG das Recht, Weisungen gegenüber dem AN vorzunehmen und ist dies vertraglich geregelt?

2

11, 14

12, 26

1.2.12

Ist vertraglich geregelt, dass der AN die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke kopiert oder Duplikate erstellt, ohne Wissen des AG?

11, 14

4, 5, 14

2, 24

1.2.13

Ist vertraglich geregelt, dass der AG den AN informiert, wenn Fehler oder Unregelmäßigkeiten bei einer Prüfung der Auftragsergebnisse festgestellt werden?

4

10

11

1.2.14

Ist vertraglich geregelt, dass alle Aufträge schriftlich erteilt werden?

10

5

2

1.2.15

Sind Vertraulichkeitsklauseln im Vertrag dokumentiert (z.B. Geschäftsgeheimnisse und Datensicherheitsmaßnahmen des AN)?

5

7, 14

1

1.2.16

Ist vertraglich geregelt, dass der AN den AG unverzüglich auf ggf. nicht gesetzeskonforme Weisungen durch den AG hinweisen muss?

7

14

11

1.2.17

Ist vertraglich geregelt, dass der AN damit einverstanden ist, dass der Auftraggeber – oder durch diesen beauftragte Dritte – jederzeit die Einhaltung der Vorschriften über den Daten- schutz und der vertraglichen Vereinbarungen im erforderlichen Umfang kontrollieren kann, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme?

10, 14

13, 9

10

1.2.18

Ist die Art und Weise der erlaubten Verarbeitung vertraglich geregelt (Stichwort Telearbeit, Datenverarbeitung in Privatwohnungen)?

9

5, 4

2

1.2.19

Ist vertraglich geregelt, dass nach Abschluss der vertraglichen Arbeiten durch den AN sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem AG auszuhändigen sind?

4

12

13

1.2.20

Ist vertraglich geregelt, dass die Datenträger des AN nach Abschluss der vertraglichen Arbeiten physisch zu löschen sind?

6, 12

12

13

1.2.21

Ist vertraglich geregelt, dass Test- und Ausschussmaterial nach Abschluss der vertraglichen Arbeiten unverzüglich zu vernichten oder dem AG auszuhändigen ist?

12

12

13

1.2.22

Ist vertraglich geregelt, dass die Löschung bzw. Vernichtung durch den AN dem AG schriftlich zu bestätigen ist?

12

12

13

1.2.23

Ist die Beauftragung von Subunternehmern durch den AN vertraglich geregelt? Der AN hat in diesem Falle vertraglich sicherzustellen, dass die mit dem AG vereinbarten Regelungen auch gegenüber Subunternehmern gelten.

8

8

9

1.2.24

Sind die Mitarbeiter des AN auf das Datenschutzgeheimnis gemäß dem BDSG/relevanten LDSG verpflichtet?

1, 5, 7

1, 7

1

1.2.25

Ist vertraglich geregelt, dass der AN Auskünfte an Dritte oder den Betroffenen nur nach vorheriger schriftlicher Zustimmung durch den AG erteilen darf?

5

5

2

1.2.26

Ist die genaue, qualifizierte Bezeichnung des Speicherungs- und des Verarbeitungsortes im Vertrag festgelegt?

5

5

2

1.2.27

Sind die Eigentumsverhältnisse an Soft- und Hardware geregelt?

5

5

6

1.2.28

Ist der »Eigentumsvorbehalt« des AN an gespeicherten Daten und maschinellen Ergebnissen bei Nichterfüllung des Vertrages durch den AG geregelt?

5

5

6

unter Berücksichtigung von Standards

7

Nr.

Frage

COBIT

BSI

ISO

Referenz zu den Mappings aus Kapitel 4

4.1

4.2

4.3

1.2.29

Sind die Weisungsberechtigten bei AG und AN geregelt?

5, 8, 11

5, 8, 11

1

1.2.30

Sind die Verantwortung, Art, schriftliche Bestätigung, Transportkontrolle sowie Protokollierung für den Datenträgertransport geregelt?

5

5

24

1.2.31

Ist die Prüfung der Richtigkeit der Ergebnisse durch den AG geregelt?

5

5

25

1.2.32

Sind Eskalationswege sowie entsprechende Sanktionen (z.B. Vertragsstrafen) für Vertrags- verletzungen und -störungen vereinbart?

3, 5

5

2, 11, 12

1.3 Organisatorische Grundlagen

Die Qualität des Auswahl- bzw. Prüfprozesses beim Auf- traggeber sowie die Qualität des Datenschutzkonzeptes beim Auftragnehmer hängen wesentlich von der diesbe- züglichen organisatorischen Ausgestaltung auf beiden Seiten ab. Die Voraussetzungen, die eine formelle Bestel- lung eines betrieblichen Datenschutzbeauftragten not- wendig machen, sind eindeutig definiert (§4f BDSG). Da das BDSG das rechtliche Fundament für die Auftragsda-

tenverarbeitung bildet, ist es folgerichtig, dass der Daten- schutzbeauftragte in den Auswahlprozess für einen Dienstleister bzw. in eine Prüfung eingebunden wird. Da- neben gibt es in vielen Unternehmen IT-/Informations- Sicherheitsbeauftragte bzw. IT-Revisionen, die als An- sprechpartner zu einzelnen Themen herangezogen wer- den sollten.

Nr.

Frage

COBIT

BSI

ISO

Referenz zu den Mappings aus Kapitel 4

4.1

4.2

4.3

1.3.1

Gibt es in der eigenen Organisation einen wirksam tätigen Beauftragten für die IT-/Informationssicherheit?

 

551

 

1.3.2

Gibt es in der eigenen Organisation (AG) einen Datenschutzbeauftragten (im Folgenden »DSB« genannt) im Sinne des BDSG?

 

5

20

1.3.3

Wurde beim AN ein DSB bestellt? Die Bestellung ist ein formeller Akt mit der Geschäftsführung und dem DSB.

 

551

 

1.3.4

Wurde der AN durch Überprüfung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt (§11 Abs. 2 Satz 1 BDSG/div. LDSG)?

 

521

 

1.3.5

War bei der Auswahlüberprüfung der auftragnehmende DSB aktiv eingebunden?

2

2

1

1.3.6

Gibt es beim AN einen Beauftragten für die IT-/Informationssicherheit?

2

 

1

1.3.7

Existieren Vertretungsregelungen für die DV-Verantwortlichen?

1

5

1

1.3.8

Ist eine IT-Revision bzw. interne Revision vorhanden?

1, 11

5

14, 30

1.3.9

Sind die Beauftragten für IT-/Informationssicherheit und Datenschutz des AN angemessen ausgebildet und verfügen sie über angemessenes fachliches Know-how und eine angemessene persönliche Eignung?

1, 5, 7, 10

5

1

1.3.10

Sind die Beauftragten für IT-/Informationssicherheit und Datenschutz des AN angemessen in die Organisationsstruktur eingebunden (als Stabsstelle zur Organisationsleitung)?

1, 5, 7, 10

5

1

1.3.11

Sind die Beauftragten für IT-/Informationssicherheit und Datenschutz des AN frei von Interessenkonflikten (bspw. Trennung von der Umsetzung von Maßnahmen)? Siehe auch Kapitel 2.10.

1, 5, 7, 10

5

1

1.3.12

Verfügen die Beauftragten für IT-/Informationssicherheit und Datenschutz des AN über angemessene Ressourcen zur Wahrnehmung ihrer Aufgabe?

1, 5, 7, 10

5

1

8

ISACA-Prüfleitfaden Auftragsdatenverarbeitung

2.

Praxisteil

Die Verarbeitung von personenbezogenen Daten im Auf- trag erfordert, dass der Auftraggeber sich »… vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen techni- schen und organisatorischen Maßnahmen« (§11 (3) BDSG) zu überzeugen hat. Diese Formulierung weist auf eine Vor-Ort-Prüfung hin; diese ist aber aufgrund des Gesetzestextes und auch nach der entsprechenden Litera- tur nicht zwingend erforderlich. Die nachfolgenden Prü- fungsschritte sind weitestgehend sowohl bei einer Vor- Ort-Prüfung als auch bei einer reinen Dokumentenprü- fung anwendbar. Zu beachten sind ggf. vorliegende Prüf- berichte Dritter (z.B. Wirtschaftsprüfer, ISO 27001- oder BSI-Auditoren, Datenschutz-Auditoren). Es sollte doku- mentiert werden, warum im Einzelfall eine Vor-Ort-Prü- fung unterlassen wurde.

2.1

Dokumentenstudium

Zentrale Grundlage für eine Prüfung sind alle Dokumen- tationen des Auftragnehmers, die zur Beurteilung der Wirksamkeit der getroffenen technischen und organisa- torischen Maßnahmen dienen können. Dies gilt sowohl für eine Erstprüfung als auch für die in §11 (3) BDSG geforderte regelmäßig wiederkehrende Kontrolle. Der Umfang der vorliegenden Dokumentationen, ihre Aktua- lität sowie eine erste grobe Beurteilung der inhaltlichen Qualität können als Indikatoren für das weitere Prü- fungsvorgehen dienen. Liegt z.B. eine differenzierte Beschreibung des Berechtigungskonzeptes mit aktuellen Benutzer- und Berechtigungszuordnungen vor, ist ein Verzicht auf substanzielle Prüfungshandlungen unter Umständen vertretbar, während ein offensichtlich veral- tetes oder »zu knapp gehaltenes« Dokument zur Zutritts- kontrolle eine Vor-Ort-Prüfung eher erforderlich macht. Ein »Patentrezept« kann an dieser Stelle nicht gegeben werden, da §11 (3) BDSG hier einen relativ breiten Ermessensspielraum bietet.

Nr.

Frage

COBIT

BSI

ISO

Referenz zu den Mappings aus Kapitel 4

4.1

4.2

4.3

2.1.1

Existiert ein Datensicherheitskonzept?

5

5

 

2.1.2

Existiert eine Dokumentation der umgesetzten technischen und organisatorischen Maßnahmen?

5

5

20

2.1.3

Existiert ein/e Verfahrensverzeichnis/übersicht des AN?

 

5

 

2.1.4

Existiert eine Dokumentation, in der die Zutrittskontrolle und die dafür umgesetzten Maßnahmen geregelt sind?

5

5

21

2.1.5

Existiert eine Dokumentation, in der die Zugangskontrolle und die dafür umgesetzten Maßnahmen geregelt sind?

5