Diese Checkliste ist ein operatives Instrument zur Bewertung des Datenschutzniveaus eines externen Dienstleisters, bevor diesem die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen übertragen wird. Die Fragen decken die technischen, organisatorischen und regulatorischen Aspekte ab, die von der DSGVO gefordert werden, mit besonderem Augenmerk auf Art. 28 bezüglich der Auftragsverarbeiter. Eine strukturierte Analyse des Dienstleisters ist ein integraler Bestandteil eines Risikobewertungsprozesses (Risk Assessment), der auch die durch die Lieferkette eingeführten Risiken berücksichtigt.
Anweisungen für den Dienstleister. Dieses Dokument ist eine Vorlage für eine Datenschutz-Due-Diligence, die der Verantwortliche dem externen Dienstleister vor der Formalisierung des Vertragsverhältnisses vorlegt. Füllen Sie für jeden Punkt die Spalte Antwort mit den erforderlichen Informationen aus. Wo mit «Falls ja, bitte angeben» oder ähnlichen Formulierungen gekennzeichnet, geben Sie die Details nur bei einer bejahenden Antwort an. Unvollständige oder fehlende Antworten werden als Risikofaktoren für die Bewertung betrachtet.
[Callforaction-RA]
1. Verarbeitete Daten
| Punkt / Frage | Antwort |
|---|---|
| Welche Verarbeitungen werden vom Dienstleister im Auftrag des Verantwortlichen durchgeführt? |
2. Mit der Verarbeitung betraute Personen
| Punkt / Frage | Antwort |
|---|---|
| Wurde eine Liste der mit der Verarbeitung betrauten Personen erstellt? | |
| Wurden die Personen auf der Liste formell ernannt? | |
| Wird die Liste mindestens jährlich überprüft? | |
| Wurde ein Schulungsprogramm für die Mitarbeiter erstellt, mit Sitzungen durch qualifiziertes Personal und/oder Schulungsmaterial, das jedem Mitarbeiter ausgehändigt wurde? |
3. Unterauftragnehmer
| Punkt / Frage | Antwort |
|---|---|
| Werden für die im Auftrag des Verantwortlichen durchgeführte Verarbeitung Unterauftragnehmer einbezogen? | Falls ja, geben Sie für jeden Unterauftragnehmer den Firmennamen, die übertragene Verarbeitung, das Land, in das die Daten übertragen werden könnten, und die Rechtmäßigkeit einer etwaigen Übermittlung in Drittländer an. |
4. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
| Punkt / Frage | Antwort |
|---|---|
| Werden interne Richtlinien und Maßnahmen angewendet, die den Grundsätzen des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen entsprechen? | Falls ja, bitte die ergriffenen Maßnahmen angeben |
5. Verzeichnis von Verarbeitungstätigkeiten
| Punkt / Frage | Antwort |
|---|---|
| Führt der Dienstleister ein Verzeichnis von Kategorien von Verarbeitungstätigkeiten als Auftragsverarbeiter für die im Auftrag des Verantwortlichen durchgeführten Verarbeitungen (Art. 30 Abs. 2 DSGVO)? | |
| Wurde ein Verzeichnis von Verarbeitungstätigkeiten als Verantwortlicher erstellt (Art. 30 Abs. 1 DSGVO)? |
6. Management von Verletzungen des Schutzes personenbezogener Daten
| Punkt / Frage | Antwort |
|---|---|
| Ist im Falle einer Verletzung des Schutzes personenbezogener Daten, die Daten betrifft, die im Auftrag des Verantwortlichen verarbeitet werden, ein Verfahren zur Benachrichtigung des Verantwortlichen vorgesehen? | Falls ja, bitte eine kurze Beschreibung dazu |
7. Risikobewertung zum Datenschutz
| Punkt / Frage | Antwort |
|---|---|
| Wurde eine Risikobewertung für Prozesse mit hohem Risiko durchgeführt, bei denen personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden? |
8. Sicherheit der Verarbeitung
| Punkt / Frage | Antwort |
|---|---|
| Sind technische und organisatorische Maßnahmen vorgesehen, die dem Risiko für die im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten angemessen sind? | Falls ja, beschreiben Sie die ergriffenen Maßnahmen |
9. Datenverarbeitung auf Papierunterlagen
| Punkt / Frage | Antwort |
|---|---|
| Wurden den Mitarbeitern schriftliche Anweisungen für die Kontrolle und Aufbewahrung von Akten und Dokumenten erteilt, die personenbezogene Daten enthalten, welche im Auftrag des Verantwortlichen verarbeitet werden? | |
| Werden Akten mit besonderen Kategorien personenbezogener Daten oder strafrechtlichen Daten so aufbewahrt, dass der Zugriff durch Unbefugte verhindert wird, und nach Abschluss der Vorgänge zurückgegeben? | |
| Gibt es ein Zugangskontrollsystem für die physischen Räumlichkeiten (Büros, Lager, Technikräume)? | |
| Existiert ein Identifikationsregister für Personen, die Zugang zu Archiven mit besonderen oder strafrechtlichen Daten haben, insbesondere außerhalb der Arbeitszeit? |
10. Datenverarbeitung mit elektronischen Mitteln
| Punkt / Frage | Antwort |
|---|---|
| Sind die verwendeten Computer mit einem lokalen Netzwerk verbunden? Falls ja, ist das Netzwerk mit dem Internet verbunden? | Falls ja, bitte angeben |
| Wurden Richtlinien für die Nutzung von IT-Geräten verabschiedet? | |
| Werden für die Datenverarbeitung mobile Geräte (Notebooks, Smartphones, Tablets) verwendet? Falls ja, gibt es spezifische Richtlinien für diese Geräte? | Falls ja, bitte angeben |
| Ist ein Backup-Verfahren mit mindestens wöchentlicher Frequenz vorgesehen? | |
| Werden Wechseldatenträger, die Kopien der Daten enthalten, in verschlossenen Archiven oder mit Systemen aufbewahrt, die unbefugten Zugriff verhindern? | |
| Werden Backup-Medien vernichtet oder neu formatiert, wenn sie nicht mehr verwendet werden? | |
| Wurden Verfahren zur Wiederherstellung der Verfügbarkeit von Daten und Systemen eingeführt? | |
| Wird die Systemwartung an Dritte vergeben? Falls ja, gibt es ein aktualisiertes Register der Beauftragten mit Angabe der durchgeführten Eingriffe? | Falls ja, bitte angeben |
| Geben Sie die Sicherheitsmaßnahmen an, die für die im Auftrag des Verantwortlichen durchgeführte Datenverarbeitung mittels elektronischer Mittel getroffen wurden. |
11. IT-Authentifizierungssystem
| Punkt / Frage | Antwort |
|---|---|
| Verfügen die Benutzer über persönliche Authentifizierungsdaten (Benutzername und Passwort) für den Zugriff auf die Systeme? | |
| Sind die Passwörter eindeutig für jeden Benutzer und nur dem Betroffenen bekannt? | |
| Wurden den Beauftragten schriftliche Anweisungen zur Gewährleistung der Geheimhaltung der Zugangsdaten und zur Aufbewahrung der ausschließlich genutzten Geräte gegeben? | |
| Beschreiben Sie die Eigenschaften der Passwörter (Mindestlänge, Komplexität, Ablauf). | |
| Werden die Passwörter bei der ersten Verwendung geändert und mindestens alle sechs Monate (alle drei Monate bei besonderen Daten) erneuert? | |
| Ist ein Verfahren zur Deaktivierung der Zugangsdaten vorgesehen, wenn ein Beauftragter das Zugangsrecht verliert? | |
| Wurden Anweisungen erteilt, das elektronische Gerät während der Verarbeitungssitzung nicht unbeaufsichtigt und zugänglich zu lassen? | |
| Gibt es bei längerer Abwesenheit des Beauftragten oder bei dringenden Systemeingriffen schriftliche Bestimmungen, die festlegen, wie der Verantwortliche auf Daten und Instrumente zugreifen kann? | Falls ja, bitte angeben |
| Existiert eine Kopie der Authentifizierungsdaten, die schriftlich einem verantwortlichen Verwahrer anvertraut wurde, mit der Verpflichtung, den Beauftragten unverzüglich über erfolgte Zugriffe zu informieren? |
12. Systemadministratoren
| Punkt / Frage | Antwort |
|---|---|
| Wurden die Systemadministratoren hinsichtlich Erfahrung, Fähigkeiten und Zuverlässigkeit bewertet und schriftlich unter Angabe der Tätigkeitsbereiche ernannt? | |
| Werden die Identifikationsdaten der Systemadministratoren und die Liste der zugewiesenen Funktionen in einem aktualisierten Dokument aufbewahrt? | |
| Wird die Arbeit der Administratoren mindestens jährlich überprüft, um die Einhaltung der vorgesehenen Sicherheitsmaßnahmen zu kontrollieren? | |
| Wird eine Protokollierung der logischen Zugriffe (Access Log) durch die Systemadministratoren durchgeführt? | |
| Werden die Protokollierungen der Zugriffsprotokolle aufbewahrt und dem Verantwortlichen ständig zur Verfügung gehalten? |
13. Richtlinien und Verfahren
| Punkt / Frage | Antwort |
|---|---|
| Gibt es eine Richtlinie, die den Plan zur Reaktion auf IT-Vorfälle beschreibt? | Falls ja, bitte Nachweis erbringen |
| Gibt es ein Verfahren zur Entsorgung und zum Recycling von Geräten, das auf anwendbaren Standards basiert? | |
| Sind Verfahren zur Ausübung der Rechte der betroffenen Personen gemäß DSGVO (Zugang, Berichtigung, Löschung usw.) in Bezug auf die dem Dienstleister übertragenen Verarbeitungen definiert? | |
| Listen Sie die verfügbaren Verfahren auf. |
14. Datenschutzbeauftragter (DSB)
| Punkt / Frage | Antwort |
|---|---|
| Hat Ihr Unternehmen einen DSB ernannt? | Falls ja, Name und Kontaktdaten angeben |
15. Datenübermittlung
| Punkt / Frage | Antwort |
|---|---|
| Wird Ihr Unternehmen Daten außerhalb der Hauptniederlassung im Auftrag des Verantwortlichen verarbeiten? | |
| Falls ja, wird der Prozess in Übereinstimmung mit den DSGVO-Anforderungen verwaltet? | Falls ja, bitte angeben |
| In welchen Rechenzentren werden die Daten gespeichert? Geben Sie an: a) ob sie Eigentum des Dienstleisters oder Dritter sind; b) ob sie sich in EU- oder Nicht-EU-Ländern befinden. | |
| Geben Sie bei einer Übermittlung in Nicht-EU-Länder an, welche Länder betroffen sind und welche Rechtsgrundlage für die Übermittlung besteht (Art. 44 DSGVO). | Falls zutreffend, bitte angeben |
| Erbringt Ihr Unternehmen für die geleistete Dienstleistung Cloud-Dienste? | |
| Falls ja, wird der Prozess in Übereinstimmung mit den DSGVO-Anforderungen und dem Dekalog zum Cloud Computing der italienischen Datenschutzbehörde verwaltet? | Falls ja, bitte angeben |
| Welche Sicherheitsmaßnahmen ergreift der Dienstleister zum Schutz der Daten in der Cloud? | |
| Wer ist der tatsächliche Anbieter des erworbenen Cloud-Dienstes? Handelt es sich um ein einzelnes Unternehmen oder ein Konsortium? | |
| Ist es bei einer Unterbrechung der Internetverbindung möglich, die Dienste ohne Cloud-Zugriff weiter zu nutzen? | |
| In welcher Zeit kann das System wiederhergestellt werden? Gibt es Kontinuitätspläne für wesentliche Dienste? | |
| In welchem Format werden die Daten bei einer Datenwiederherstellung bereitgestellt? | |
| Gibt es Vertraulichkeitsgarantien für den Fall, dass ein Wettbewerber dieselben Cloud-Dienste nutzt? | |
| In welchem Staat werden die Daten gespeichert? Ist es möglich, Server zu wählen, die ausschließlich auf nationalem Gebiet oder in der Europäischen Union stehen? | |
| Ist die verwendete Cloud-Technologie proprietär? Können die Daten problemlos zu anderen Anbietern exportiert werden? | |
| Garantiert der Dienstleister bei einer Verletzung oder einem Verlust von Daten einen Schadensersatz? |
16. Zertifizierungen
| Punkt / Frage | Antwort |
|---|---|
| Ist Ihr Unternehmen nach ISO/IEC 27001 zertifiziert oder besitzt es andere relevante Zertifizierungen im Bereich Informationssicherheit? | Falls ja, bitte die vorhandenen Zertifizierungen angeben |
17. Sichere Softwareentwicklung (falls zutreffend)
| Punkt / Frage | Antwort |
|---|---|
| Wurden die Leitlinien für die sichere Softwareentwicklung von AGID befolgt? | Falls ja, geben Sie die zuletzt angewendete Version an |
| Wurden andere Leitlinien für die sichere Entwicklung (z. B. OWASP) angewendet? | Falls ja, geben Sie an, welche und die Referenzversion |
18. Wesentliche Cybersicherheitskontrollen
| Punkt / Frage | Antwort |
|---|---|
| DORA-Anwendbarkeit: Ist Ihr Unternehmen im Finanz- oder Versicherungssektor tätig oder erbringt es IKT-Dienste (z. B. Cloud, Datenanalyse) für Unternehmen in diesen Sektoren? | |
| NIS-Anwendbarkeit: Ist Ihr Unternehmen in kritischen Sektoren (Verkehr, Banken, Finanzinfrastrukturen) gemäß der NIS-1-Richtlinie tätig oder als digitaler Anbieter, Abfallentsorger, Postdienstleister oder Forschungseinrichtung gemäß NIS 2? | |
| Inventar von Geräten und Software: Existiert ein Inventar der im Unternehmensumfeld verwendeten Systeme, Software, Geräte, Dienste und Anwendungen und wird dieses aktuell gehalten? | |
| Sind die Webdienste Dritter (soziale Netzwerke, Cloud, E-Mail usw.), bei denen man registriert ist, auf das unbedingt Notwendige beschränkt? | |
| Sind die Informationen, Daten und kritischen Systeme identifiziert, die vorrangig zu schützen sind? | |
| Wurde ein Ansprechpartner für die Koordination der Aktivitäten zur Verwaltung und zum Schutz von Informationen und IT-Systemen ernannt? | |
| Sind die für Ihre Organisation relevanten Cybersicherheitsvorschriften identifiziert und werden diese eingehalten? | |
| Schutz vor Malware: Sind alle Geräte, die dies zulassen, mit regelmäßig aktualisierter Antivirus-/Antimalware-Software ausgestattet? | |
| Passwort- und Kontoverwaltung: Sind die Passwörter für jedes Konto unterschiedlich, von angemessener Komplexität, und wird die Nutzung der Zwei-Faktor-Authentifizierung geprüft? | |
| Verfügt das für den Systemzugriff autorisierte Personal über persönliche, nicht geteilte Benutzerkonten? Werden nicht mehr verwendete Konten deaktiviert? | |
| Kann jeder Benutzer nur auf die Informationen und Systeme zugreifen, für die er zuständig ist (Prinzip der minimalen Berechtigung)? | |
| Schulung und Bewusstsein: Ist das Personal geschult und für Cybersicherheitsrisiken sowie die sichere Nutzung von Unternehmensmitteln sensibilisiert? | |
| Wird die Konfiguration von Systemen und Geräten von Fachpersonal verwaltet? Werden voreingestellte Zugangsdaten immer ersetzt? | |
| Werden regelmäßig Backups von kritischen Informationen und Daten durchgeführt? | |
| Netzwerkschutz: Sind Netzwerke und Systeme durch Firewalls oder andere Anti-Intrusions-Tools vor unbefugtem Zugriff geschützt? | |
| Werden im Falle eines Vorfalls (erkannter Angriff, Malware) die Sicherheitsverantwortlichen informiert und die Systeme von Fachpersonal gesichert? | |
| Ist die gesamte verwendete Software (einschließlich Firmware) auf dem neuesten Stand, der vom Hersteller empfohlen wird? Werden veraltete Geräte und Software außer Betrieb genommen? |
19. Nutzung von Künstlicher Intelligenz
| Punkt / Frage | Antwort |
|---|---|
| Verwenden Sie Algorithmen oder andere Formen von Künstlicher Intelligenz? | Falls ja, geben Sie an, in welchen Prozessen |
| Wenden Sie ein strukturiertes Modell für die Verwaltung und Überwachung von KI-Systemen an (AI Conformity Assessment)? | |
| Wurde eine Folgenabschätzung für Grundrechte (FRIA) durchgeführt? |
20. Data Act
| Punkt / Frage | Antwort |
|---|---|
| Sind Sie im Bereich IoT tätig oder produzieren/vertreiben Sie vernetzte Geräte, die Daten generieren? | |
| Verwenden Sie Privacy Preserving Technologies? | Falls ja, geben Sie an, welche |
21. Whistleblowing (Gesetzesdekret 24/2023)
| Punkt / Frage | Antwort |
|---|---|
| Unterliegt Ihr Unternehmen der Anwendung des Gesetzesdekrets 24/2023? | |
| Falls ja, wurden die vom Dekret vorgesehenen Verfahren eingeführt? | Falls ja, bitte angeben |
Nützliche weiterführende Informationen
- Risk Assessment — zur Strukturierung einer Risikobewertung, die externe Dienstleister und die Lieferkette einbezieht.
- DSGVO-Compliance — zur Überprüfung und Aufrechterhaltung der Einhaltung der europäischen Datenschutz-Grundverordnung.
- ISO/IEC 27001 Compliance — zur Implementierung oder Aufrechterhaltung eines zertifizierten Informationssicherheits-Managementsystems.
Häufig gestellte Fragen
- Wer muss diese Datenschutz-Due-Diligence-Checkliste ausfüllen?
- Die Checkliste ist für den externen Dienstleister bestimmt, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten wird. Der Dienstleister muss die Fragen beantworten und die geforderten Nachweise erbringen; der Verantwortliche nutzt sie, um das Konformitätsniveau vor der Formalisierung des Vertragsverhältnisses und der Ernennung zum Auftragsverarbeiter gemäß Art. 28 DSGVO zu bewerten.
- In welcher Phase des Auswahlprozesses sollte diese Due Diligence verwendet werden?
- Idealerweise vor der Unterzeichnung des Vertrags, während der Qualifizierungsphase des Dienstleisters. Es ist ratsam, sie regelmäßig – mindestens einmal jährlich – zu wiederholen, um zu überprüfen, ob der Dienstleister die erklärten Maßnahmen im Laufe der Zeit beibehält, gemäß den Bestimmungen von Art. 28 DSGVO.
- Was ist zu tun, wenn der Dienstleister einige Fragen nicht beantworten kann?
- Lücken in den Antworten sind selbst ein Indikator für Risiken. Der Verantwortliche muss die Schwere der Mängel im Verhältnis zur Art der verarbeiteten Daten bewerten und entscheiden, ob kompensatorische Maßnahmen ergriffen werden, ein Anpassungsplan mit festgelegten Fristen gefordert wird oder der Dienstleister von der Auswahl ausgeschlossen wird.
[Callforaction-RA-Footer]
Leave a Reply