Pro-Liberis digitalisiert GRC-Management

Die Pro-Liberis gGmbH hat sich für das SAVISCON GRC-COCKPIT entschieden, um ihr GRC-Management zu digitalisieren. „Gute Qualität ist unser höchstes Ziel. Mit unseren Kindertagesstätten übernehmen wir Verantwortung für Kinder und Familien. Deswegen ist es für uns ein sinnvoller Schritt, unsere Managementsysteme zu digitalisieren und einrichtungsübergreifend mit einer Datenbasis zu arbeiten. Das reduziert die Fehleranfälligkeit“, erklärt Peer Giemsch, geschäftsführender Gesellschafter der Pro-Liberis gGmbH.

Hinweisgeberschutzsystem: Vertraulichkeit wahren und geschützte Kommunikationswege bereitstellen

Digital und DSGVO-konform

Von Uwe Straßberger, Director Marketing & Sales bei der SAVISCON GmbH

Am 16. Dezember dieses Jahres läuft für die Bundesrepublik die Frist zur Umsetzung der EU-Whistleblower-Richtline 2019/1937 ab. Diese Richtlinie, die den besseren Schutz von Whistleblowern vorschreibt, ist bereits seit dem 16. Dezember 2019 in Kraft getreten. Da der Referentenentwurf des Bundesministeriums der Justiz über die Vorgaben der EU-Richtlinie hinausgeht, konnten sich die Koalitionspartner bisher noch nicht auf ein entsprechendes Gesetz verständigen. Doch auch wenn das Gesetzgebungsverfahren derzeit stillsteht, ist zu erwarten, dass das Gesetz Mitte Dezember 2021 in Kraft treten wird. Unternehmen mit mehr als 249 Mitarbeitern sind somit ab dem Stichtag 17. Dezember 2021 verpflichtet, ein entsprechendes Hinweisgebersystem zur Verfügung zu stellen. Gleiches gilt auch für Kommunen mit mehr als 10.000 Einwohnern.

Mehr Details und weitere Fakten hierzu finden Sie auch in unserem Blog-Beitrag Hinweisgeberschutzgesetz vom 6. Mai 2021.

Welche Anforderungen sind zu erfüllen?

Der Referentenentwurf für das nationale, deutsche Gesetz definiert unter anderem diese wesentlichen Anforderungen:

  • Betreuung durch unabhängige und qualifizierte Personen
  • Uneingeschränkter Zugang für alle Beschäftigten
  • Dokumentation der eingehenden Meldungen
  • Schutz der Vertraulichkeit und Anonymität sowie Beachtung des Datenschutzes
  • Eingangsbestätigung innerhalb von sieben Tagen
  • Innerhalb von drei Monaten: Mitteilung der ergriffenen (Folge-)Maßnahmen

Mit E-Mail, Telefon und Post sollten dem Whistleblower/Hinweisgeber auch weiterhin die herkömmlichen Medien für seinen Hinweis zur Verfügung stehen. Auch eine von der Organisation bestellte (externe) Ombudsperson oder die vorgesetzte Person im Unternehmen, die für ein persönliches Gespräch zur Verfügung stehen, können Teil des Hinweisgebersystems sein. Im Hinblick auf die anonyme Kommunikation, die das Gesetz zum Schutz des Whistleblowers fordert, sind diese Wege jedoch nahezu ungeeignet, bzw. erschweren die geforderte anonyme Kommunikation erheblich. Wie soll die zuständige Person einer Organisation eine Person erreichen, von der sie weder eine E-Mail-Adresse, eine Telefonnummer oder sogar eine Anschrift hat?

Um also die gesetzlich vorgeschriebenen Punkte, wie durchgängige Betreuung oder termingerechte Mitteilungen dennoch zu erfüllen, bliebe lediglich die Veröffentlichung des Vorgangs im Intranet, auf der Homepage der Organisation oder, wie in derzeit gängigen Systemen beschrieben, die Veröffentlichung in einer Zeitung. Damit würde jedoch die Anonymität und insbesondere die Vertraulichkeit nicht mehr komplett gewährleistet werden können, da sich unbeteiligte Dritte, aufgrund der veröffentlichten Details ein Bild von dem Vorgang machen könnten.

Und wohlgemerkt, es geht hier nicht darum, ein mögliches Ergebnis oder getroffene Maßnahmen bekanntzugeben. Erforderlich ist darüber hinaus, siehe oben, während des gesamten Prozesses die anonyme Kommunikation, um unter anderen sowohl die Eingangsbestätigung innerhalb der gesetzlichen Frist zu gewährleisten als auch die Betreuung der hinweisgebenden Person während des gesamten Prozesses sicherzustellen.

Anonyme Kommunikation – digital und DSGVO-konform

Die Lösung ist in diesen Tagen, wie so häufig, das Hinweisgebersystem digital aufzusetzen und im besten Fall in das Compliance-Management-System der Organisation zu integrieren.
Dabei sollte ein separater Kanal die uneingeschränkte, anonyme Kommunikation vom Eingang bis zur abschließenden Mitteilung an die hinweisgebende Person sicherstellen.

Screenshot Hinweisgeberoption aus dem SAVISCON GRC-COCKPIT

Im SAVISCON GRC-COCKPIT erhält die hinweisgebende Person direkt nach dem Absetzten des Hinweises einen QR-Code mit einer persönlichen PIN. Hierüber wird eine absolut anonyme Kommunikation mit den Verantwortlichen der Organisation sichergestellt.

Durch eine leichte Erreichbarkeit der Meldeplattform, etwa im Intranet oder auf der Homepage, sowie eine einfache Handhabung des Systems für die Hinweisgebenden sollten Hemmschwellen abgebaut und während des gesamten Prozesses eine vertrauliche Basis zum Austausch notwendiger Informationen geschaffen werden. Das Daten verschlüsselt übermittelt werden müssen, versteht sich dabei schon fast von selbst.

Eine entsprechende Software sollte eine effiziente und direkte Fallbearbeitung vom Eingang des Hinweises über die Würdigung bis zur Einleitung entsprechender Maßnahmen im angeschlossenen Compliance-Management-System ermöglichen.

Mittels einer geeigneten Software, in die Unternehmen idealerweise weitere Managementsysteme, wie das Qualitäts- oder Umwelt-Management integrieren oder anbinden können, werden die bearbeitenden Personen automatisch an einzuhaltende Fristen erinnert und können Termine für Wiedervorlagen setzten.

Hinweisgebersystem als Teil einer Compliance-Management-Software

Mit unserer Compliance-Management-Software, dem SAVISCON GRC-COCKPIT, halten Unternehmen zusammen, was zusammengehört und integrieren ihr Hinweisgebersystem in das

Ihrer Organisation oder Kommune. Die oben genannten Anforderungen erfüllt das GRC-COCKPIT in vollem Umfang. Dabei integriert sich der digitale Kanal nahtlos in die bereits etablierten anderen Kanäle, soweit vorhanden, wie das folgende Bild zeigt:

Grafik GRC-COCKPIT als Hinweisgebersystem

GRC-COCKPIT als Hinweisgebersystem

Sofern sich ein Hinweis nach einer Würdigung als relevant herausstellt, sind innerhalb einer Organisation zumeist mehrere Abteilungen (Organisationseinheiten) an den daraus resultierenden Maßnahmen und deren Überwachungen beteiligt. Auch hier bietet unsere Software erhebliche Vorteile durch Funktionen zur digitalen Zusammenarbeit. So werden nicht nur Medienbrüche vermieden, sondern die digitale Bearbeitung in einem System erzeugt maximale Transparenz und ermöglicht darüber hinaus eine deutliche Zeitersparnis.

Mit der Abbildung der oben genannten Managementsysteme zusammen mit dem Hinweisgebersystem in einer Anwendung verbessern Unternehmen nicht nur die Transparenz, sondern sie vermeiden auch eine unkoordinierte Anhäufung von IT-Anwendungen, in dem pro Managementsystem eine Spezialanwendung implementiert oder installiert wird und minimieren somit den Aufwand für die IT-Sicherheit und den Datenschutz.

Ganz am Schluss noch ein Hinweis aus der Praxis. Sollte es einmal zu einer gerichtlichen oder behördlichen Auseinandersetzung kommen, wirkt sich das Vorhandensein eines strukturierten und revisionssicheren CMS, in der die Abläufe zum konkreten Fall durchgängig dokumentiert sind, in der Regel positiv auf die Urteilsfindung in Bezug auf die Organisation aus.

Über den Autor:

Foto Uwe Straßberger
Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder uwe.strassberger@saviscon.de

Business Continuity Management: Was ist das?

BSI Standard 200-4: Ein weiteres Management-System?

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Anfang 2021 hat das Bundesamt für die Sicherheit in der Informationstechnik (BSI) den Community Draft (CD) des „Standards 200-4 Business Continuity Management (BCM)“ vorgestellt. Dieser Standard soll in der zweiten Jahreshälfte 2021 den bisher gültigen „Standard 100-4 Notfallmanagement“ ablösen. Doch was ist Business Continuity Management überhaupt? Müssen wir von vorne anfangen und ein neues Managementsystem aufsetzen? Das besprechen wir in diesem Blog-Beitrag:

Was ist Business Continuity Management?

Mit Business Continuity Management ist gemeint, dass gefährliche Situationen, die die Geschäftsfähigkeit von Unternehmen ganz oder teilweise beeinträchtigen können, bereits im Vorfeld identifiziert und antizipiert werden. Für den Fall eines Eintritts werden dann entsprechende Vorsorgestrategien und Maßnahmen entwickelt. So soll erreicht werden, dass die Geschäftsfähigkeit in Notfällen nicht zum Erliegen kommt, beziehungsweise schnellstmöglich wieder hergestellt werden kann, und das Unternehmen nicht durch das Ereignis gefährdet wird.

Wie startet man mit BCM?

Als erstes wird das Unternehmen analysiert und alle unternehmenskritischen Prozesse evaluiert. Diese wesentlichen Prozesse werden dann im nächsten Schritt in den Fokus genommen. In einem Risikoassessment muss evaluiert werden, welche Risiken es in Bezug auf diese Prozesse gibt, die potenziell existenzgefährdend sind. Es werden dann Vorsorge-Maßnahmen definiert, durch die das Unternehmen bereits im Vorhinein geschützt werden kann. Welche wesentlichen Risiken es für kleine und mittelständische Unternehmen gibt, haben wir bereits in einem anderen Blog-Beitrag behandelt: Wesentliche Risiken für kleine und mittelständische Unternehmen.

Im Grunde unterliegt das Business Continuity Management, wie alle gängigen Management-Systeme – auch dem Plan-Do-Act-Check-Zyklus (PDCA-Zyklus) und ist Teil eines kontinuierlichen Verbesserungsprozesses:

PDCA Grafik

Standard 100-4 vs. 200-4

Jetzt fragen Sie sich vielleicht: Ist meine bisherige Arbeit zum Standard 100-4 hinfällig? Nein, ist sie nicht! Denn das Notfallmanagement ist nach wie vor Teil des Business Continuity Managements. Oben haben wir von Vorsorgemaßnahmen (proaktiv) gesprochen. Doch tritt ein katastrophales Ereignis trotz allem ein, werden die Notfallmaßnahmen (reaktiv) ja trotzdem benötigt. Sie können alles bisher Erarbeitete also weiterverwenden und ergänzen. Der weiterentwickelte Standard beschreibt, wie die Synergien zwischen ISMS und BCMS sowie Krisenmanagement optimal genutzt und wo Schnittstellen sinnvoll eingebaut werden können.

Stufenmodell BSI Standard 200-4

Der Standard 200-4 ist ein Stufenmodell mit unterschiedlichen Vorgehensweisen. So kann jede Institution, je nach Art, Größe und Branche, den passenden Einstieg wählen:

Reaktiv-BCMS

Das Reaktive-BCMS ist vor allem für Unternehmen geeignet, die als Ziel haben, besonders für mögliche Notfälle gewappnet zu sein und schnell reagieren zu können. Dabei greifen die Unternehmen auf bereits vorhandene Sicherheits- und Vorsorgemaßnahmen zurück und setzen sich nur mit ausgewählten, zeitkritischen Unternehmensprozessen auseinander. Andere BCM-Maßnahmen werden beim Reaktiv-BCM vorerst zurückgestellt, weil die Analyse im ersten Schritt zu aufwändig wäre. Dies wird dann beim Wechsel in das Aufbau- bzw. Standard-BCMS nachgeholt. Dieser Wechsel ist nötig, denn das Reaktiv-BCMS stellt nur einen stark vereinfachten Einstieg dar und muss zum Aufbau bzw. Standard-BCMS weiterentwickelt werden.

Zusammenfassend halten wir fest:

  • dient als vereinfachter Einstieg
  • Notfallbewältigung wird ermöglicht
  • Fokus liegt auf den „überlebensnotwendigen“, zeitkritischen Geschäftsprozessen

Aufbau-BCMS

Auch das Aufbau-BCMS steht für den Schutz von zeitkritischen Geschäftsprozessen und Assets eines Unternehmens. Hierbei wird zunächst der Prozessumfang eines Geltungsbereiches näher analysiert und innerhalb des BCM abgesichert. Vorteil gegenüber dem Standard-BCMS: Die Unternehmen können ihre zeitlichen- und personellen Ressourcen schrittweise festlegen und nach dem ersten Zyklus mit den gewonnenen Erfahrungen anpassen und verbessern. Unternehmen, die über geringe Erfahrungswerte verfügen und ihr BCMS schrittweise sowie risikoorientiert aufbauen wollen, sind mit dem Aufbau-BCMS gut beraten.

Zusammenfassend halten wir fest:

  • erleichtert den Übergang zum Standard-BCMS
  • Formalisierung der Methodik
  • zusätzliche Geschäftsprozesse werden betrachtet

Standard-BCMS (mit ISO 22301:2019 kompatibel)

Beim Standard-BCMS werden alle Geschäftsprozesse analysiert, die im Geltungsbereich des BCM liegen. Das entspricht laut BSI einem vollständigen und angemessenen BCMS und wird allen Stakeholdern gerecht. Mit Einführung des Standard-BCMS werden alle zeitkritischen Geschäftsprozesse entsprechend des Ausfallrisikos mittels Vorsorge- und Notfallmaßnahmen abgesichert. Wenn ein Unternehmen diesen Status erreicht hat, kann es sich für die Zertifizierung nach ISO-Standard 22301 qualifizieren.

Zusammenfassend halten wir fest:

  • Empfehlung vom BSI für alle Institutionen
  • vollständiges BCM
  • ISO 22301 kompatibel
  • Untersuchung aller Geschäftsprozess

Reicht mein ISMS noch aus?

Laut BSI reicht ein reguläres Informationssicherheits-Management-System (ISMS) nicht mehr aus. Ein Business Continuity Management-System (BCMS) gehe tiefer, da es beschreibt, wie der Geschäftsbetrieb, falls er ausgefallen ist, so schnell wie möglich wieder aufgenommen werden kann. Daher müsse es als ein weiteres, korrespondierendes Management-System eingeführt werden.

Wir empfehlen im Sinne der Digitalisierung, dass sich Unternehmen beim Neuaufbau Ihres BCM (oder generell eines jeden Management Systems) direkt für eine Umsetzung in einer geeigneten Software entscheiden, die alle Management-Systeme abbilden kann und die einzelnen Risiken und Maßnahmen sinnvoll miteinander verbindet.

Genau das machen wir im SAVISCON GRC-COCKPIT. So können die Risiken und Gegenmaßnahmen auch abteilungsübergreifend und Management-System übergreifend durchgängig und effizient erfasst werden. Alle notwendigen Informationen sind in konsolidierter Form im System vorhanden. Im Übrigen wird durch die Dokumentation im GRC-COCKPIT auch der jeweilige Audit-Prozess pro Management-System wesentlich effizienter abgewickelt werden können.

Grafik Management-Systeme

Die Management-Systeme eines Unternehmens.

Wann erscheint die finale Fassung des Standard 200-4?

Bis Juni 2021 konnte der Community Draft kommentiert werden. Im Nachgang werden die Kommentare eingearbeitet und die Veröffentlichung des finalen Standards ist für die zweite Jahreshälfte geplant. Ein genaues Datum steht nicht fest, da man den Umfang des Anwender-Feedbacks nicht einschätzen kann. Sobald der Standard 200-4 vom BSI offiziell herausgegeben wird, werden wir Sie hier informieren.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446

Quellen:

BSI-Webseite: BSI-Standard 200-4

Community Draft BSI-Standard 200-4

Compliance-Falle: Geschenke und Einladungen

Was ist erlaubt und was nicht?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Was bisher geschah: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Compliance-Management.

Kleine Geschenke sind doch ok – oder?

Kleine Geschenke erhalten die Freundschaft – heißt es so schön. Obwohl wir noch ein kleines Unternehmen sind und die Anzahl an Geschenken und Einladungen bisher überschaubar sind, wollen wir uns trotzdem aus Compliance-Sicht diesem Thema widmen. Die Bekämpfung von Korruption (Bestechung, Bestechlichkeit, Vorteilsgewährung, Vorteilsannahme) ist schließlich einer der wichtigsten Punkte aus dem Compliance-Management. So stellen sich also auch bei uns im Unternehmen folgende Fragen: wo fängt der Verdacht auf Korruption eigentlich an, was darf ich annehmen und was nicht?

Früher war es Gang und Gäbe: eine Essenseinladung in ein 3-Sterne-Lokal, VIP-Karten für ein Fußballspiel oder Vergünstigungen beim nächsten Einkauf. Heutzutage nicht mehr dran zu denken, da in vielen Unternehmen strenge Regeln gegen Korruption herrschen und das ist auch gut so. Kein Unternehmen möchte in den Verdacht der Bestechlichkeit geraten (Reputationsverlust), geschweige denn eine Geldstrafe oder sogar Freiheitsstrafe riskieren. Deshalb finden sich gerade in größeren Firmen Compliance-Richtlinien, die den Umgang mit Geschenken und Einladungen regeln und so die Mitarbeiter unterstützen, sich regelkonform zu verhalten. Aber auch ohne Richtlinie sollte jedem Mitarbeiter klar sein, dass er zu gesetzestreuem Verhalten verpflichtet ist. Es darf auf keinen Fall der Anschein entstehen, dass durch Geschenke persönliche Vorteile genutzt werden. Bei Verstoß droht dem Mitarbeiter die fristlose Kündigung. Um gar nicht erst in die Gefahr zu kommen, ist für uns als SAVISCON GmbH klar, dass wir eine interne Compliance-Richtlinie (Verhaltensrichtlinie) festlegen. Diese ist gerade innerhalb des laufenden Projektes in Arbeit.

Was ist erlaubt und was ist tabu?

Da es keine gesetzliche Regelung für die Grenze zwischen einer netten Aufmerksamkeit und einem Bestechungsversuch gibt, können neben festgelegten Wertgrenzen auch folgende Kriterien zur Beurteilung angewandt werden:

Zeitpunkt: Geschenke und Einladungen sollten in keinem engen zeitlichen Zusammenhang mit laufenden oder bevorstehenden Vertragsabschlüssen stehen.

Häufigkeit: Zuwendungen sollten sich nicht häufen und in einem angemessenen Maße stattfinden.

Angemessenheit: Ebenso ist es ein Unterschied, ob eine Essenseinladung zum Italiener um die Ecke stattfindet oder in ein nobles 3-Sterne-Restaurant. Allerdings kann es hier auch erlaubte Schwankungen geben, je nach hierarchischer Stellung der beteiligten Personen. Zuwendungen unter Geschäftsführern dürfen durchaus eine etwas höhere Wertkategorie erreichen.

Welche Wertgrenze sollte festgelegt werden?

In vielen Unternehmen wird die Grenze von 35,- € angewandt, denn bis zu dieser Grenze sind Geschenke an Geschäftspartner steuerlich absetzbar. Es können auch individuelle Wertgrenzen vereinbart werden (ggf. mit Genehmigung durch Vorgesetzte) – die Entscheidung liegt beim Unternehmen. Es gibt aber auch durchaus Firmen, die keinerlei Zuwendungen zulassen und ein komplettes Verbot in ihren Compliance-Richtlinien aussprechen. Auch Grundsätze wie diese können hilfreich sein:

Sinnbild Kugelschreiber als Geschenk = compliancekonform?

Sind Kugelschreiber als Geschenk in Ordnung? Foto von Jess Bailey Designs von Pexels

  • Werbeartikel (Kugelschreiber, Kalender etc.) sind in der Regel erlaubt
  • Keine Geschenke / Einladungen an Privatadressen
  • Keine Gutscheine oder Geldgeschenke
  • Keine Zuwendungen im Rahmen einer Vertragsanbahnung

Zusätzliche Vorsicht bei Amtsträgern

Amtsträger wie Richter, Notare, Beamte und Mitarbeiter der öffentlichen Verwaltung dürfen lt. § 331 ff. StGB überhaupt keine Zuwendungen annehmen. Selbst die Einladung zum Kaffee könnte problematisch gesehen werden. Von daher ist bei Amtsträgern zusätzliche Vorsicht geboten und es ist ratsam hier lieber komplett auf Geschenke und Einladungen zu verzichten.

Transparenz und Dokumentation

Werden Zuwendungen in einem bestimmten Rahmen zugelassen, sollte dies auch transparent dokumentiert werden. In der Praxis hat sich hier das Führen von Listen durchgesetzt, in denen alle Geschenke eingetragen werden. Gerade zu Weihnachten werden oft Kalender, besondere Weine, Präsentkörbe, etc. verschenkt. So kann durch den Compliance-Verantwortlichen kontrolliert werden, ob die Geschenke und Einladungen im erlaubten Rahmen bleiben. Genehmigungspflichtige Geschenke können dort ebenso dokumentiert werden wie wertvolle Geschenke, die abgelehnt wurden.

Compliance-Kultur und Schulung

Um eine gute Compliance-Kultur im Unternehmen aufzubauen, muss diese auch von allen gelebt werden. Deshalb ist es wichtig, dass sich auch Geschäftsführung und Management an Compliance-Richtlinien halten und diese offen und transparent vorleben. Außerdem sollten Mitarbeiter bei diesem sensiblen Thema umfassend geschult und aufgeklärt werden. Nur wenn allen klar ist, welche Art von Zuwendungen erlaubt und welche nicht erlaubt sind, kann entsprechend gehandelt und ein Missbrauch ausgeschlossen werden.

Aus der Praxis

Wir sind gerade dabei, unsere Compliance-Richtlinien weiter aufzubauen. Neben der „Annahme von Geschenken und Einladungen“ werden hier auch Themen wie Diskriminierung, Verschwiegenheit, Datenschutz, etc. geregelt sein. Die finale Richtlinie wird dann durch unseren Geschäftsführer verabschiedet, anschließend an alle Mitarbeiter kommuniziert und zentral abgelegt. Ebenso wird es eine Schulung für alle Mitarbeiter geben. Sie sehen: da ist noch viel zu tun. Los geht’s!

Wie ist die Annahme von Geschenken und Einladungen bei Ihnen geregelt?

…to be continued:

Hier die Zusammenfassung der wichtigsten Erkenntnisse zum Thema „Annahme von Geschenken und Einladungen“:

  • auch kleine Unternehmen wie wir sollten sich dazu Gedanken machen
  • es ist hilfreich, das gewünschte Verhalten in Compliance-Richtlinien festzuhalten
  • umso klarer Wertgrenzen und Regeln formuliert sind, desto besser
  • Compliance muss in allen Ebenen (vor)gelebt werden
  • Mitarbeiter sollten umfassend geschult werden

Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Risiko-Management.

Über die Autorin:

Porträtfoto Karin Slezer

Karin Selzer ist als Compliance- und Datenschutz Consultant, sowie interne Datenschutzbeauftragte bei der SAVISCON GmbH tätig.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

Der Auftragsverarbeitungs-Vertrag (AVV)

Was ist der AVV und was muss rein?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

In diesem Blog-Beitrag sehen wir uns in unserem internen Projekt Datenschutz aus der Reihe GRC@SAVISCON (hier geht’s zum initialen Blog-Beitrag) den AV-Vertrag (Auftragsverarbeitungsvertrag) genauer an. Ein AV-Vertrag ist ein Vertrag über die Auftragsverarbeitung, der immer dann abgeschlossen werden muss, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden. Ganz neu ist das Thema nicht, denn im Bundesdatenschutzgesetz (BDSG) war das Dokument als ADV-Vertrag (Auftragsdatenverarbeitungs-Vertrag) bekannt.

Was hat sich durch die Einführung der EU-Datenschutz-Grundverordnung geändert?

Das Verhältnis zwischen Auftraggeber und Auftragnehmer wird schärfer ausgestaltet. Insbesondere durch die Rechenschaftspflicht wird man als verantwortliche Stelle deutlich stärker in die Pflicht genommen. Nach Art. 26 DS-GVO gibt es nun auch „Gemeinsame Verantwortliche“. Neu ist auch die gemeinsame Haftung von Auftraggeber und Auftragnehmer bei Datenschutzverstößen mit Schadenersatzansprüchen (Art. 82 DS-GVO).

Was passiert mit bereits bestehenden ADV-Verträgen auf Grundlage des BDSG?

Diese sollten neu verhandelt und neu abgeschlossen werden. Zumindest ist dies die datenschutzkonformere und damit sicherere Lösung. Ansonsten besteht auch die Möglichkeit alte ADV-Verträge durch Ergänzungsverträge an die neue gesetzliche Grundlage anzupassen. Das kann allerdings mit hohem manuellen Aufwand verbunden sein, wenn die ADV-Verträge nicht standardisiert, sondern sehr individuell gestaltet wurden.

Deckblatt eines Vertrags zur Auftragsverarbeitung

Auszug aus SAVISCON Muster AV-Vertrag

Inhalt eines AV-Vertrages

Folgende Bestandteile (Mindestanforderungen) muss ein AV-Vertrag lt. DS-GVO haben, um die einzelnen Rechte und Pflichten von Auftraggeber und Auftragnehmer bei der Auftragsverarbeitung zu regeln (Art. 28 DS-GVO):

  • Angaben zu Auftraggeber, Auftragnehmer und Vertreter innerhalb der EU
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Pflichten und Rechte des Verantwortlichen (z. B. Kontrollrecht)
  • Pflichten des Auftragsverarbeiters (z. B. Rückgabe bzw. Löschung personenbezogener Daten nach Auftragsende, Beschäftigung von Subunternehmer, Unterstützung bei Betroffenenanfragen und bei der Meldepflicht von Datenschutzverletzungen)
  • Sicherstellung von technischen und organisatorischen Maßnahmen (TOM)

Die Auflistung der technischen und organisatorischen Maßnahmen erfolgt üblicherweise in einer separaten Anlage zum AV-Vertrag und ist ebenfalls von beiden Parteien zu unterschreiben.

Screenshot: Auszug aus SAVISCON Muster Anlage 1 TOM

Auszug aus SAVISCON Muster Anlage 1 TOM

Woran erkenne ich einen Auftragsverarbeiter?

Ein „Auftragsverarbeiter“ ist eine natürliche oder eine juristische Person (Unternehmen), eine Behörde, eine Einrichtung oder eine andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Ein Auftragsverarbeiter bestimmt weder den Zweck noch die Mittel der Datenverarbeitung, dies obliegt ausschließlich dem Auftraggeber (Verantwortlicher). Allerdings darf der Auftragnehmer durchaus geeignete technische und organisatorische Schutzmaßnahmen selbst auswählen. Folgende Kriterien deutet auf eine Auftragsverarbeitung hin:

Der Auftragnehmer

  • hat keine Entscheidungsbefugnis über die Daten
  • verfolgt keinen eigenen Geschäftszweck bezüglich der personenbezogenen Daten
  • unterliegt einem Nutzungsverbot der zu verarbeitenden Daten
  • steht in keiner vertraglichen Beziehung zu den Betroffenen
  • ist nach außen hin nicht für die Datenverarbeitung verantwortlich, sondern der Auftraggeber

Klassische Auftragsverarbeiter sind z. B.

  • IT-Dienstleister, Hosting-Anbieter (Webseite)
  • Anbieter für Daten- und Aktenvernichtung (Datenschutztonne)
  • Externer Lettershop (Mailings)

Wann ist kein AV-Vertrag notwendig?

Eine einfach Frage, auf die es aber leider keine einfache pauschale Antwort gibt. Denn hier sind die einzelnen Aufsichtsbehörden und auch die Datenschutzkonferenz (DSK) nicht immer einer Meinung und es gibt immer mal wieder unterschiedliche Auslegungen.

Laut LDA Bayern stellt die Beauftragung mit fachlichen Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht, bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar. D. h. wenn ein Dienstleister z. B. die Wartung an der Stromzufuhr oder an der Kühlung übernimmt, spricht man nicht von einem Auftragsverarbeiter (keine Verarbeitung personenbezogener Daten) und es ist kein AV-Vertrag notwendig.

Wird aber ein IT-Dienstleister, der sich z. B. per Fernwartung (IT-Support) auf den Rechner aufschalten kann und dabei Zugriff auf personenbezogene Daten haben könnte, als Auftragsverarbeiter gesehen. Sie sehen, es ist eine genaue Betrachtung des Dienstleisters und der Art der Verarbeitung notwendig.

Hier einige Beispiele aus der FAQ-Liste des LDA Bayern wann keine Auftragsverarbeitung vorliegt:

a) Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen z. B.

  • Berufsgeheimnisträger (Ärzte, Steuerberater, Rechtsanwälte, Wirtschaftsprüfer)
  • Inkassobüros mit Forderungsübertragung
  • Bankinstitute für den Geldtransfer
  • Postdienste für den Brief- oder Pakettransport
  • Matching-Dienste (z. B. Personalvermittler)

b) im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftrag zielt auf eine andere Tätigkeit z. B.

  • vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten
  • Sachverständige zur Begutachtung eines Kfz-Schadens
  • Personenbeförderung, Krankentransportleistungen
  • Bewachungsdienstleistungen
  • Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen

Muster AV-Verträge

Um einen datenschutzkonformen AV-Vertrag zu erstellen, müssen Sie das Rad aber nicht neu erfinden. Hier gibt es sehr gute Vorlagen, die auf jeden Fall eine gute Basis darstellen und an Ihr Unternehmen und Ihre Auftragsverarbeiter angepasst werden können:

Aktuell aus unserer Praxis

Wir arbeiten mehrmals im Jahr mit einer Telemarketing-Agentur zusammen, die für uns im Anschluss an Mailings Adressen abtelefoniert, um Beratungstermine zu vereinbaren oder Informationsmaterial zu versenden. Hier werden ganz klar personenbezogene Daten nach Weisung von uns als Auftraggeber verarbeitet. Zusätzlich zu den jeweiligen Einzelaufträgen (Hauptverträge) gibt es einen AV-Vertrag zwischen beiden Parteien, der so lange gültig sein wird, wie die Geschäftsbeziehung aktiv ist.
Den Abschluss haben wir natürlich auch in unserem GRC-COCKPIT dokumentiert, in dem wir eine Maßnahme dazu angelegt und mit dem erfassten Partner (Telemarketing-Agentur) verknüpft haben. So können wir auf Knopfdruck überprüfen, ob es sich bei dem Partner um einen Auftragsverarbeiter (Dienstleister) handelt und ob hier ein gültiger AV-Vertrag vorliegt. Denn dieser wird ebenfalls verknüpft bzw. fest als Anhang hinterlegt.
Sollte es neue Vorgaben der Datenschutzbehörden geben, können wir aus dem GRC-COCKPIT heraus eine Liste an Auftragsverarbeitern erstellen und so weitere Maßnahmen (z. B. AV-Vertrag aktualisieren) erzeugen und bis zum Abschluss überwachen. Natürlich handelt es sich bei diesem Prozess um einen Verarbeitungsprozess nach Art. 30 DS-GVO. Wie man ein solches Verzeichnis von Verarbeitungstätigkeiten aufsetzt, haben wir bereits in einem vorherigen Blog-Beitrag erklärt: Zum Beitrag Verzeichnis von Verarbeitungstätigkeiten aufbauen

Screenshot AVV in GRC-COCKPIT

Auszug aus dem GRC-COCKPIT: Maßnahme AV-Vertrag abschließen.

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse zum Thema „AV-Vertrag“:

  • Alte ADV-Verträge am besten neu verhandeln und abschließen
  • Prüfen, bei welchen Partnern es sich um Auftragsverarbeiter handelt
  • Wenn möglich Muster AV-Verträge verwenden
  • Übersichtliche Dokumentation der Partner / Auftragsverarbeiter inkl. AV-Verträge

Im nächsten Blog-Beitrag am 16. September, schauen wir wieder gemeinsam in das Projekt Compliance-Management.

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel