Privacy Program Rezertifizierung Onboarding Prozesse

Die DSGVO schreibt keine feste Frist für die Rezertifizierung vor, verlangt aber eine regelmäßige Überprüfung der technischen und organisatorischen Maßnahmen (Art.

28 Abs.

3 lit. h DSGVO). In der Praxis empfehlen Aufsichtsbehörden einen jährlichen Rezertifizierungszyklus für Auftragsverarbeiter mit hohem Risiko. Für Dienstleister mit geringerem Risiko reichen Intervalle von zwei bis drei Jahren. ADVISORI unterstützt bei der Risikoklassifizierung und der Festlegung angemessener Prüfzyklen für Ihr gesamtes Dienstleister-Portfolio.

Ein strukturiertes Datenschutz-Onboarding umfasst mehrere Pflichtschritte: Zunächst die Datenschutz-Due-Diligence mit Prüfung der technischen und organisatorischen Maßnahmen des Dienstleisters. Dann folgt die Risikobewertung zur Einstufung des Verarbeitungsrisikos. Im dritten Schritt wird der Auftragsverarbeitungsvertrag (AVV) nach Art.

28 DSGVO geschlossen. Abschließend werden die Dokumentation im Verzeichnis der Verarbeitungstätigkeiten und die Integration ins laufende Monitoring-System sichergestellt. ADVISORI begleitet jeden dieser Schritte mit standardisierten Checklisten und Vorlagen.

Ohne regelmäßige Rezertifizierung können sich erhebliche Compliance-Risiken aufbauen: Veraltete technische Maßnahmen beim Dienstleister bleiben unentdeckt, Änderungen in der Verarbeitungspraxis werden nicht erfasst, und Unterauftragnehmer werden ohne Kenntnis eingebunden. Im Ernstfall drohen Bußgelder nach Art.

83 DSGVO von bis zu

10 Millionen Euro oder

2 % des Jahresumsatzes. Dazu kommen Haftungsrisiken gegenüber Betroffenen und mögliche Reputationsschäden. ADVISORI hilft, diese Lücken durch systematische Überwachungsprozesse zu schließen.

Bei großen Dienstleister-Portfolios ist eine risikobasierte Priorisierung entscheidend: Hoch-Risiko-Verarbeiter werden jährlich geprüft, mittlere Risiken alle zwei Jahre, geringe Risiken alle drei Jahre. Automatisierte Erinnerungssysteme stellen sicher, dass keine Fristen versäumt werden. Standardisierte Fragebögen und Self-Assessment-Tools reduzieren den manuellen Aufwand. ADVISORI entwickelt für jedes Portfolio maßgeschneiderte Workflows mit automatisierten Eskalationsprozessen und zentraler Dokumentation.

Die Dokumentation umfasst: aktuelle Auftragsverarbeitungsverträge, Nachweise über technische und organisatorische Maßnahmen des Dienstleisters, Ergebnisse der Risikobewertung, Prüfprotokolle und Checklisten, Korrespondenz zu festgestellten Mängeln, Maßnahmenpläne und deren Umsetzungsnachweis. Für das Onboarding kommen Due-Diligence-Berichte, die Eintragung im Verarbeitungsverzeichnis und die initiale Freigabe hinzu. ADVISORI stellt sicher, dass alle Dokumente audit-sicher archiviert werden.

Die Erstprüfung beim Onboarding ist umfassender und prüft die grundsätzliche Eignung des Dienstleisters. Die Rezertifizierung konzentriert sich auf Veränderungen seit der letzten Prüfung: neue Unterauftragnehmer, geänderte Verarbeitungsprozesse, aktualisierte TOM und aufgetretene Sicherheitsvorfälle. Beide Prozesse erfordern eine Risikobewertung, aber der Fokus verschiebt sich bei der Rezertifizierung auf die Veränderungskontrolle. ADVISORI gestaltet beide Prüfungen so, dass sie aufeinander aufbauen und einen lückenlosen Audit-Trail bilden.

Aufsichtsbehörden prüfen vor allem die Nachweispflicht: Gibt es ein vollständiges Verzeichnis aller Auftragsverarbeiter? Liegen aktuelle AVV vor? Wurden regelmäßige Kontrollen durchgeführt und dokumentiert? Wie wird mit Unterauftragnehmern umgegangen? Wurde bei Datenschutzverstößen korrekt reagiert? ADVISORI bereitet Unternehmen gezielt auf solche Prüfungen vor, indem alle Prozesse dokumentiert und die Nachweisführung systematisiert wird.