Externe Dienstleister richtig beauftragen (Auftragsverarbeitung)
Diese Checkliste hilft Ihnen dabei, externe Dienstleister datenschutzkonform zu beauftragen und zu überwachen. Egal ob Cloud-Anbieter, IT-Support oder Reinigungsfirma - hier erfahren Sie, worauf Sie achten müssen, um rechtlich auf der sicheren Seite zu stehen.
Fortschritt
0 von 0 Fragen beantwortetBewertung
0 von 400 Punkte 1 Dienstleister-Auswahl - Den Richtigen finden
Haben Sie ein festes Verfahren, wie Sie neue Dienstleister auswählen und prüfen?
• Stellen Sie jedem Anbieter die gleichen Datenschutz-Fragen • Lassen Sie sich Referenzen und Zertifikate zeigen • Prüfen Sie: Wie ernst nimmt der Anbieter Sicherheit und Datenschutz? • Bewerten Sie das Risiko: Wie sensibel sind die Daten, die dieser Anbieter bekommt?
Prüfen Sie, wo die Server stehen und ob Ihre Daten in unsichere Länder wandern?
• Bevorzugen Sie Anbieter mit Servern in Europa (EU/EWR) • Falls Daten ins Ausland: Prüfen Sie, ob das Land als sicher gilt • Bewerten Sie die Risiken für Ihre Daten bei Auslandstransfers • Bestehen Sie auf starke Verschlüsselung, besonders bei Daten außerhalb der EU
Kann der Dienstleister beweisen, dass er Ihre Daten angemessen schützt?
• Hat der Anbieter anerkannte Sicherheitszertifikate (wie ISO 27001)? • Lässt er regelmäßig seine Sicherheit von Experten testen? • Kann er Ihre Daten wiederherstellen, wenn etwas schiefgeht? • Kontrolliert und protokolliert er, wer auf Ihre Daten zugreift?
Erfahren Sie schnell und ehrlich, wenn beim Dienstleister etwas schiefgeht?
• Vereinbaren Sie vertraglich: Bei Problemen müssen Sie sofort informiert werden • Der Anbieter muss Sie binnen 72 Stunden über Datenpannen benachrichtigen • Klären Sie: Wie erreichen Sie sich in Notfällen? • Bestehen Sie darauf: Was hat der Anbieter aus vergangenen Problemen gelernt?
2 Der richtige Vertrag - Was rein muss
Enthält Ihr Datenschutzvertrag alle wichtigen Punkte, die das Gesetz verlangt?
• Beschreiben Sie: Welche Art von Daten bekommt der Dienstleister? • Definieren Sie: Wie muss der Anbieter Ihre Daten schützen? • Regeln Sie: Was darf der Dienstleister und was nicht? • Vereinbaren Sie: Wobei muss der Anbieter Ihnen helfen (z.B. bei Anfragen von Kunden)?
Sind Unterauftragsverhältnisse geregelt (Genehmigung, Liste, Wechsel)?
• Vorabgenehmigung od. generelle Genehmigung mit Widerspruch • Transparente Liste • Info bei Änderungen • Flow-down-Klauseln
Gibt es Audit-/Inspektionsrechte und Nachweise?
• Auditklauseln • Reports/Attestierungen • Remote/Onsite Audits • Abstellmaßnahmen
Sind Exit, Rückgabe und Löschung nach Vertragsende klar geregelt?
• Exportformate • Fristen/Löschbestätigungen • Unterstützung beim Wechsel • Backups/Protokolle
3 Betrieb und Überwachung
Werden regelmäßige Reviews/Rezertifizierungen durchgeführt?
• Jahresreview • Update von TOMs • Findings-Tracking • Management-Freigabe
Existiert ein Incident-Handling mit klaren Eskalationswegen?
• Kontaktketten • Reaktionszeiten • Testübungen • Kommunikationsleitfäden
Sind Datenminimierung/Zweckbindung im Betrieb sichergestellt?
• Least Data • Konfigurationsrichtlinien • Logging auf Maß • Konformitätschecks
Gibt es KPIs/Reports zur Dienstleisterleistung und -sicherheit?
• SLAs/OLAs • Security KPIs • Trendanalysen • Vorstand/Management-Reporting
4 Dokumentation und Transparenz
Werden AVVs, Unterauftragnehmerlisten und Prüfberichte zentral dokumentiert?
• Versionierung • Zugriffssteuerung • Änderungsprotokolle • Revisionssichere Ablage
Ist die Datenschutzerklärung hinsichtlich Empfängern/Dienstleistern aktuell?
• Kategorien von Empfängern • Drittlandtransfers • Rechtsgrundlagen • Widerrufs-/Widerspruchsinformationen
Gibt es ein Schulungsprogramm für Verantwortliche/Prozesseigner?
• Regelmäßige Trainings • Onboarding • Wissensdatenbank • Prüfungen/Tests
Ist ein konsistentes Namens-/Kategorienschema für Dienstleister etabliert?
• Eindeutige IDs • Kategorien/Tags • Lebenszyklus-Status • Reporting-Fähigkeit
Ergebnis
Sie haben 0 von 0 Fragen beantwortet.
Gesamtpunktzahl
0 / 400
0%
Compliance-Level
—
Noch nicht ermittelt
Bewertungsskala
Ausgezeichnet - Sie haben alle wichtigen Verträge und kontrollieren Ihre Dienstleister regelmäßig. So sollte es sein!
Gut - Die wichtigsten Dinge sind geregelt. Mit einigen Verbesserungen werden Sie noch sicherer.
Verbesserung nötig - Ihnen fehlen wichtige Sicherheitsmaßnahmen oder Vertragsklauseln. Handeln Sie zeitnah!
Kritisch - Sie haben keine ordentlichen Datenschutzverträge oder kontrollieren Ihre Dienstleister nicht. Das kann teuer werden!
🎉 Glückwunsch! Sie haben alle Fragen beantwortet.
⚠️ Achtung: Einige Pflichtfragen wurden nicht optimal beantwortet. Dies kann zu erheblichen DSGVO-Risiken führen.