Am Bahnhof 2, 36037 Fulda +49 (0)171-2020800 Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.

Datenschutz

Dienstleisterprüfung

Dienstleister, Cloud-Anbieter und externe Partner können erhebliche Auswirkungen auf Datenschutz, Informationssicherheit und Unternehmensprozesse haben.

Viele Unternehmen nutzen externe Dienstleister für IT, Cloud, Hosting, Support, Personalverwaltung, Marketing, Software, Abrechnung, Aktenvernichtung oder Sicherheitsdienste. Dabei werden häufig personenbezogene Daten, vertrauliche Informationen oder geschäftskritische Prozesse berührt.

SITsolutions unterstützt Unternehmen dabei, Dienstleister strukturiert zu prüfen, Risiken nachvollziehbar zu bewerten und erforderliche Nachweise sauber zu dokumentieren.

Warum Dienstleisterprüfung wichtig ist

Ein Dienstleister kann vertraglich eingebunden sein, aber dennoch Risiken verursachen. Dazu zählen unklare Datenflüsse, fehlende technische und organisatorische Maßnahmen, unzureichende Unterauftragnehmerinformationen, unklare Löschprozesse, Supportzugriffe, internationale Datenübermittlungen oder fehlende Sicherheitsnachweise.

Eine strukturierte Dienstleisterprüfung hilft, solche Risiken vor der Beauftragung oder im laufenden Betrieb zu erkennen und angemessen zu behandeln. Gleichzeitig entsteht eine nachvollziehbare Entscheidungsgrundlage für Datenschutz, Informationssicherheit, Einkauf, IT und Geschäftsleitung.

  • Bewertung datenschutzrechtlicher Anforderungen
  • Prüfung technischer und organisatorischer Schutzmaßnahmen
  • Einordnung von Informationssicherheitsrisiken
  • Bewertung von Unterauftragnehmern und Datenstandorten
  • Nachweis der sorgfältigen Auswahl und Kontrolle
  • Grundlage für Freigabe, Nachbesserung oder Ablehnung eines Dienstleisters

Typische Dienstleister

Besonders relevant sind Dienstleister, die Zugriff auf personenbezogene Daten, vertrauliche Informationen, IT-Systeme oder geschäftskritische Prozesse erhalten.

IT-Dienstleister

Managed Services, Support, Fernwartung, Hosting, Backup, Monitoring, Security-Dienste und Administrationsleistungen sind häufig besonders prüfungsrelevant.

Cloud- und SaaS-Anbieter

Cloud-Dienste, Fachanwendungen, Kollaborationstools, CRM, HR-Systeme oder E-Learning-Plattformen verarbeiten regelmäßig personenbezogene oder vertrauliche Daten.

HR, Marketing und Verwaltung

Lohnabrechnung, Bewerbermanagement, Newsletterdienste, Umfragetools, Zahlungsdienste oder externe Verwaltungsleistungen betreffen häufig sensible Unternehmensprozesse.

Entsorgung und physische Dienstleistungen

Aktenvernichtung, Datenträgervernichtung, Geräteservice, Gebäudedienstleistungen oder Zutrittsdienste können ebenfalls Datenschutz- und Sicherheitsfragen auslösen.

Was geprüft werden sollte

Die Prüfung richtet sich nach Art der Leistung, Datenkategorien, Zugriffsmöglichkeiten, Kritikalität des Dienstleisters und bestehenden vertraglichen Anforderungen.

  • Welche Daten, Systeme oder Prozesse sind betroffen?
  • Liegt eine Auftragsverarbeitung oder eine andere Rollenverteilung vor?
  • Welche technischen und organisatorischen Maßnahmen bestehen?
  • Welche Unterauftragnehmer werden eingesetzt?
  • Wo werden Daten verarbeitet oder gespeichert?
  • Welche Support- und Fernzugriffe sind möglich?
  • Welche Nachweise, Zertifikate oder Prüfberichte liegen vor?
  • Wie werden Daten gelöscht, zurückgegeben oder archiviert?
  • Wie unterstützt der Dienstleister bei Vorfällen, Betroffenenrechten oder Audits?
  • Welche Risiken bestehen bei Ausfall, Datenverlust oder Anbieterwechsel?

Leistungen von SITsolutions

SITsolutions unterstützt bei der risikoorientierten Prüfung von Dienstleistern und der nachvollziehbaren Dokumentation der Ergebnisse. Dabei werden Datenschutz und Informationssicherheit gemeinsam betrachtet, soweit dies für die Leistung relevant ist.

  • Prüfung neuer Dienstleister vor Beauftragung
  • Bewertung bestehender Dienstleister und Cloud-Dienste
  • Prüfung von Auftragsverarbeitungsverträgen und Datenschutzunterlagen
  • Bewertung technischer und organisatorischer Maßnahmen
  • Einordnung von Sicherheitsnachweisen, Zertifikaten und Prüfberichten
  • Bewertung von Unterauftragnehmern und internationalen Datenübermittlungen
  • Erstellung von Prüfvermerken und Entscheidungsvorlagen
  • Aufbau einer Dienstleisterübersicht oder eines Dienstleisterregisters
  • Unterstützung bei Nachforderungen an Dienstleister
  • Regelmäßige Überprüfung kritischer Dienstleister

Datenschutzbewertung

Es wird geprüft, ob personenbezogene Daten verarbeitet werden, welche Rollenverteilung besteht und welche vertraglichen sowie organisatorischen Anforderungen daraus entstehen.

Dazu gehören Auftragsverarbeitung, Informationspflichten, Datenübermittlungen und Unterstützungsleistungen des Dienstleisters.

Sicherheitsbewertung

Bei IT-, Cloud- oder sicherheitsrelevanten Dienstleistern wird geprüft, ob angemessene Schutzmaßnahmen bestehen und ob Risiken für Vertraulichkeit, Integrität oder Verfügbarkeit erkennbar sind.

Dabei werden auch Zugriffe, Nachweise, Berechtigungen und Betriebsprozesse betrachtet.

Vertrags- und Nachweisprüfung

Verträge, Anlagen, TOMs, Unterauftragnehmerlisten, Zertifikate, Auditberichte oder Selbstauskünfte werden auf Vollständigkeit und Plausibilität geprüft.

Fehlende Unterlagen können gezielt nachgefordert werden.

Freigabe und Maßnahmen

Die Ergebnisse werden so dokumentiert, dass eine Entscheidung möglich ist: Freigabe, Freigabe mit Auflagen, Nachforderung weiterer Unterlagen oder Ablehnung.

Dadurch wird der Auswahl- und Kontrollprozess nachvollziehbar.

Dienstleisterprüfung im laufenden Betrieb

Die Prüfung eines Dienstleisters endet nicht mit der erstmaligen Beauftragung. Leistungen, Unterauftragnehmer, Datenstandorte, Sicherheitsmaßnahmen und Vertragsgrundlagen können sich ändern. Kritische Dienstleister sollten deshalb regelmäßig überprüft werden.

SITsolutions unterstützt beim Aufbau eines angemessenen Prüfzyklus. Dabei wird berücksichtigt, wie kritisch der Dienstleister ist, welche Daten verarbeitet werden und welche Auswirkungen ein Ausfall oder Sicherheitsvorfall hätte.

  • Risikoklassifizierung von Dienstleistern
  • Regelmäßige Überprüfung kritischer Anbieter
  • Aktualisierung von Verträgen und Unterlagen
  • Nachverfolgung offener Maßnahmen
  • Dokumentation von Änderungen und Freigaben
  • Einbindung in Datenschutz-, Informationssicherheits- oder Compliance-Prozesse

Typische Ergebnisse

Je nach Umfang entstehen konkrete Unterlagen, die intern genutzt und bei Kundenanforderungen, Audits oder Datenschutzprüfungen vorgelegt werden können.

  • Dienstleisterbewertung oder Prüfvermerk
  • Bewertung der Datenschutzrolle und Vertragsgrundlage
  • Bewertung technischer und organisatorischer Maßnahmen
  • Übersicht offener Nachforderungen
  • Risikoeinschätzung zur Beauftragung
  • Empfehlung zur Freigabe oder Nachbesserung
  • Dienstleister- oder AV-Verzeichnis
  • Prüfplan für kritische Dienstleister

Vorgehensweise

1. Einordnen

Leistung, Daten, Systeme, Rollenverteilung, Kritikalität und vorhandene Unterlagen werden aufgenommen.

2. Prüfen

Verträge, TOMs, Nachweise, Unterauftragnehmer, Datenstandorte und Sicherheitsmaßnahmen werden bewertet.

3. Bewerten

Risiken, Lücken, Nachforderungen und mögliche Auflagen werden nachvollziehbar dokumentiert.

4. Entscheiden

Die Ergebnisse werden als Grundlage für Freigabe, Nachforderung, Nachbesserung oder Ablehnung aufbereitet.

Dienstleister strukturiert prüfen

Sie möchten neue Dienstleister bewerten, bestehende Anbieter überprüfen oder Ihre Dienstleisterdokumentation sauber strukturieren?

In einem ersten Gespräch lässt sich klären, welche Dienstleister relevant sind, welche Unterlagen vorliegen und wie die Prüfung sinnvoll aufgebaut werden kann.

Kontakt aufnehmen

Kontakt

Sie möchten wissen, ob wir zueinander passen? Dann lassen Sie uns sprechen – das Erstgespräch ist selbstverständlich kostenlos.

Eigene e-Learning Plattform SITacademy

AdobeStock 139919069

Manche Themen brauchen Wiederholung – unsere E-Learning-Plattform liefert sie strukturiert, verständlich und genau dann, wenn sie gebraucht wird.