Anforderungen zur Auftragsverarbeitung nach der neuen DSGVO

Mit der Datenschutzgrundverordnung (DSGVO) tritt die das neue europäische Datenschutzrecht auch in Deutschland in Kraft. Viele der DSGVO-Anforderungen sind deutschen Unternehmen schon bekannt. Denn im europäischen Vergleich war das bisher gültige BDSG bereits sehr umfassend. Insbesondere die Anforderungen zur Auftragsverarbeitung (im BDSG Auftragsdatenverarbeitung) bleiben auch im neuen Datenschutzrecht erhalten. Neu sind jedoch die möglichen Konsequenzen für Unternehmen bei nicht Beachtung oder Verstoß.

Kern der Auftragsverarbeitung ist die Verantwortung des Unternehmens für die Sicherheit der personenbezogenen Daten, wenn diese „im Auftrag“ verarbeitet werden. In der Praxis sind damit Fälle beschrieben, in denen Dienstleister, Outsourcing-Partner oder Lieferanten personenbezogene Daten eines Unternehmens verarbeiten. Um die Anforderungen zur Auftragsverarbeitung zu erfüllen, muss ein Unternehmen ein wirksames System zur Identifikation und Prüfung von Lieferanten im Einsatz haben. Natürlich sollten diese Prozesse kosteneffizient erfolgen und vor allem die Zusammenarbeit mit Partnern nicht verzögern.

In diesem Webinar möchten wir aufzeigen, wie ein pragmatisches und wirksames System aufgesetzt werden kann, welches die DSGVO-Anforderungen zur Auftragsverarbeitung erfüllt. Vorab können Sie mit der kostenlosen Gap-Analyse zur DSGVO den aktuellen Stand Ihrer Datenschutzorganisation ermitteln. Das Gesetz betrifft nicht nur Unternehmen, die personenbezogene Daten von Kunden verarbeiten, sondern auch solche, die personenbezogene Daten außerhalb der EU exportieren. Alyne bietet Ihnen daher eine kostenlose Gap-Analyse, um Ihre Datenschutz-Prozesse und Ihr DSGVO Management zu bewerten. Sie erhalten nach Anmeldung zum Webinar eine unverbindliche Einladung von Alyne, an der Analyse teilzunehmen.

Wir stellen Ihnen die gezeigte Präsentation sowie die Antworten auf die Fragen aus dem Webinar gerne zur Verfügung. Falls Sie das Webinar verpasst haben, können Sie sich hier außerdem die Aufzeichnung ansehen:

Referent & Moderator

Karl Viertel, CEO, AlyneReferent:

Karl Viertel ist der CEO und Gründer von Alyne. Er verantwortet Alynes Vertriebsaktivitäten sowie die Entwicklung und Pflege der Control Statement und Risikobibliotheken.
Vor der Gründung von Alyne lieferte er Lösungen für IT-Sicherheit, Risikomanagement und Governance an führende Unternehmen in Europa, Amerika und Asien als Director bei Deloitte & Touche in München und Melbourne. Er begann seine Karriere mit der Umsetzung komplexer IT-Programme für europäische Banken bei Accenture.
Karl Viertel ist Absolvent der Universität Regensburg mit einem Diplom der Wirtschaftsinformatik.

Moderator:Salvatore Saporito, LexisNexis

Salvatore Saporito ist Teamleiter Europa Risk & Compliance und seit 2003 bei der LexisNexis GmbH. Er studierte an der Universität zu Köln Wirtschaftswissenschaften (Betriebswirtschaftslehre) mit dem Abschluss Diplom-Kaufmann. Er ist Mitglied im Deutschen Institut für Compliance (DICO), dem Berufsverband der Compliance Manager (BCM), in der DGI Fachgruppe Compliance sowie im österreichischen Compliance Praxis Netzwerk. Salvatore Saporito ist regelmäßig Referent zum Thema Geschäftspartnerüberprüfung.

Ihre Fragen aus dem Webinar beantwortet von Karl Viertel und Salvatore Saporito

Wir haben für Sie die Fragen und Antworten aus unserem Webinar zusammengefasst. Bei weiteren Anfragen, können Sie gerne mit uns Kontakt aufnehmen.


Ist es nicht unrealistisch zu sagen, dass ein Business-Bereich in Banken seine Lieferanten selbst aussucht?

Karl Viertel: Unserer Erfahrung nach unterscheiden sich die Prozesse für die Lieferantenauswahl von Institut zu Institut. Wir haben tatsächlich viele Beispiele gesehen, wo ein Fachbereich den Bedarf nach Zusammenarbeit mit einem Lieferanten anmeldet und weitere Abteilungen (Einkauf, Datenschutz, IT, IT-Sicherheit) diese anbahnt. Aus unserer Sicht muss die Zielsetzung sein, den Aufwand für die Anbahnung durch Automatisierung zu minimieren  – unabhängig davon wer den Lieferanten auswählt. Datenschutz und IT-Sicherheit sollten den Prozess nach Möglichkeit nicht verzögern.

Wie ist der Status in Bezug auf die Vorbereitung auf die Lieferantenüberprüfung nach der neuen DSGVO?

Karl Viertel: Wie die kurze Stichprobe im Webinar gezeigt hat, sind die meisten Unternehmen mit einer manuellen Lösung auf die Lieferantenprüfung vorbereitet. Das ist vermutlich recht repräsentativ. Die Kostenreduktion durch Automatisierung im laufenden Betrieb wird aber sicherlich ein Ziel für die kommenden Wochen und Monate sein.

Wie steht es um die Zielgruppe? Sind nicht die meisten mit dem Begriff RegTech noch überfordert?

Karl Viertel: Ich hoffe nicht. Der Begriff an sich sollte idealerweise auch nicht relevant sein. Unsere Zielsetzung als Anbieter muss sein, bestehende Prozesse durch Technologie zu automatisieren und Kosten zu reduzieren – und damit Komplexität für unsere Kunden zu reduzieren. Unternehmen haben mit RegTech die Chance, zu experimentieren und agil zu sein. Mit einer herkömmlichen ERP-Lösung kann man nicht experimentieren, mit einer Software as a Service schon. Diese Chance – mit geringem Risiko – sollten Sie nutzen.

Was passiert wenn ich nach Einführung der DSGVO so ein System zur Lieferanten- bzw. Geschäftspartnerüberprüfung nicht im Einsatz habe?

Karl Viertel: Vermutlich sehr wenig. Die Anforderung zur Lieferantenprüfung besteht ja im Rahmen der Auftragsdatenverarbeitung im aktuell noch gültigen BDSG. Die Aufsichtsbehörden für Datenschutz werden sicherlich nicht flächendeckend die Umsetzung dieser Anforderungen überprüfen können. Ein noch nicht zu bezifferndes Risiko besteht jedoch durch „Abmahn-Anwälte“, welche sich gerüchteweise auf DSGVO-Abmahnungen vorbereiten. Eine wirksame Lieferantenprüfung sollte für Sie für die Transparenz Ihres operativen Risikos wichtig sein – nicht nur aus Gründen der Compliance mit der DSGVO.

Welche sollten die nächsten Schritte vor Einführung der neuen Datenschutzgrundverordnung sein?

Karl Viertel: Eine Gap-Analyse ist sicherlich eine gute Maßnahme, um kurz vor Ende der Übergangsphase zur DSGVO zu prüfen, ob das eigene Unternehmen auf die Anforderungen gut vorbereitet ist.

Ist es zwingend erforderlich diese einmalige Information bezüglich der Einhaltung von GDPR an bestehende Kunden zu versenden? Oder eine entsprechende Notiz auf der Website zu schalten?

Karl Viertel: Wir bieten bei Alyne keine Rechtsberatung, aber ich halte viele dieser Emails für Aktionismus, wo es schwer fällt, eine direkte Anforderung im Gesetz zu finden. Die Grundlagen, das Einverständnis für die transparente Verarbeitung von Daten zu verwalten und personenbezogene Daten angemessen zu schützen sollten natürlich gegeben sein. Ob ein Pop-up auf Ihrer Webseite wesentlich dazu beiträgt wage ich zu bezweifeln.

Ab wann sollte man Ihrer Meinung nach – in Anbetracht des Risikolevels – Datenbanken nutzen?

Salvatore Saporito: Organisationen müssen Risiken entschärfen, indem sie mit der gebotenen Sorgfalt vorgehen, bevor sie mit Kunden, Partnern, Lieferanten oder Dritten interagieren oder bevor kostenintensive oder kritische Maßnahmen ergriffen werden. Dabei macht es keinen Unterschied, ob Sie neue Geschäftsbeziehungen aufnehmen, in neue Märkte expandieren, Bestandspartner überprüfen, den Emissionsprospekt für einen Börsengang erstellen, eine Sicherheitsüberprüfung Dritter durchführen oder Anlagemöglichkeiten evaluieren. Sie benötigen die korrekten Informationen und Einblicke, um risikoarme Entscheidungen treffen zu können.

Grundsätzlich sind Unternehmen basierend auf einer Reihe nationaler und internationaler Gesetze und Richtlinien zur Überprüfung von Geschäftspartnern verpflichtet. Dazu zählen zum Beispiel das Geldwäschegesetz und die EU-Geldwäscherichtlinie, die ordnungsgemäße Unternehmensorganisation nach AktG, GmbHG und OWiG, FATF-Empfehlungen, der UK Bribery Act, Foreign Corrupt Practices Act (FCPA), US Patriot Act und vieles mehr.

Die Notwendigkeit und Tiefe der Prüfung dieser Geschäftspartner ist von verschiedenen unternehmensindividuellen Faktoren abhängig. Dabei stehen Risikopotenzial der Geschäftspartner und der einzusetzende Ressourcenaufwand in direktem Verhältnis zueinander. Denn je höher das Risikopotenzial, desto höher sollte auch der Ressourcenaufwand sein.

Das sagten bisherige Teilnehmer über LexisNexis Webinare

Vielen Dank! Sehr guter Vortrag, gute Geschwindigkeit, angenehme Sachlichkeit.

Gutes Instrument für Weiterbildung.

Hohe Aktualität, guter Referent.

Sehr informativ und gutes Format.

Thema wurde gut strukturiert und verständlich angeboten.

Eine sehr gute Einrichtung! Vortrag war sehr aufschlussreich und hilfreich!

Praktische Form des 'Lernens' - Danke!

Sehr gute, zeitschonende und informative Art des Informationsaustausches - Danke und weiter so.

Kontaktieren Sie uns
Wir melden uns schnellstmöglich bei Ihnen zurück!
  • Haben Sie Fragen zum Thema oder an unseren Referenten?
  • Haben Sie Ideen oder Anregungen für zukünftige Webinarthemen?
  • Möchten Sie selbst in einem unserer Webinare über ein Thema referieren?

Wir freuen uns auf Ihre Kontaktaufnahme!