IT Consultants – IT Strategien und IT Prozessberatung für den Mittelstand
Strategien & Business Development – Consultant für Unternehmensstrategien
Auf der Agenda der deutschen Unternehmen steht die Auftragsdatenverarbeitung aufgrund des novellierten § 11 Bundesdatenschutzgesetz (BDSG) sowie das sich damit vertraut machen. Allerdings mangelt es noch an einer uniformen Vorgehensweise zur risikoorientierten Bewertung der Auftragsdatenverarbeitung und dem Einsatz anerkannter Prüfungsstandards mit einer transparenten Berichterstattung. Das zeigt eine Befragung von rund 150 Unternehmen aus dem Finanzdienstleistungsbereich und ihren IT-Dienstleistern zum Status quo in Bezug auf Wahrnehmung, Bearbeitung und Überprüfung der gestiegenen Anforderungen an die Auftragsdatenverarbeitung nach der Novellierung des § 11 BDSG.
Keine Risikobewertung für Auftragsdatenverhältnisse
Die meisten Unternehmen haben bereits Aktivitäten zur Erfüllung der gewachsenen Anforderungen an die Auftragsdatenverarbeitung erstellt, aber rund 30 Prozent führen derzeit keine Risikobewertung für Auftragsdatenverhältnisse durch – obwohl die Maßnahme als Voraussetzung für eine effiziente Umsetzung der gesetzlichen Anforderungen betrachtet werden kann. Ebenfalls großer Handlungsbedarf besteht in der gesetzlich geforderten Überprüfung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen. Nur 6,5 Prozent der Befragten nutzen Prüfungsberichte nach anerkannten Prüfungsstandards, mit denen eine Überprüfung und Vergleichbarkeit der Berichte möglich ist, zur Kontrolle der Datenschutzbestimmungen ein.
Unternehmen müssen Datenschutz gezielter angehen
Gesamtergebnis der Studie ist, dass die Auftragsdatenverarbeitung in Unternehmen unabhängig von den drohenden Prüfungen durch die Datenschutzbehörde, gezielter angegangen werden muss. Das zunehmende Outsourcing von Datenverarbeitungstätigkeiten ist für die Unternehmen und vor allem für die Finanzdienstleister sehr risikoreich. Gerade nach den zahlreichen Datenskandalen mit häufig begleitendem Reputationsschaden kann kein Unternehmen mehr Datenschutz ignorieren. Die notwendige Sicherheit lässt sich hier nur durch eine transparente Überprüfung und Berichterstattung über die Einhaltung der gesetzlichen Bestimmungen gewährleisten.