Kontakt

Es prüfe, wer sich ewig bindet

Nina Kill M. Sc.

Veröffentlicht am 06.05.2021 von Nina Kill M. Sc.

Prüfgemeinschaften als effizienter Weg der Dienstleisterprüfung

Egal ob KRITIS, die Datenschutzgrundverordnung, das Sozialgesetzbuch oder auch die Norm ISO 27001 – sie alle haben eines gemeinsam: Sie machen die Prüfung von AV-Dienstleistern zwingend erforderlich. Gerade in diesem Kontext eine enorme organisatorische, personelle und finanzielle Herausforderung.

Mit Dienstleister-Audits verhält es sich ähnlich wie generell mit den Themen Datenschutz und Informationssicherheit: Erst wenn Unternehmen gesetzlich dazu verpflichtet sind, beginnen sie aktiv zu werden. Häufig zu spät – denn genau das ist der falsche Ansatz. „Betrachten wir die funktionelle Besetzung des Informationssicherheitsbeauftragten (ISB)“, erläutert Professor Doktor Thomas Jäschke, Initiator der Prüfgemeinschaft. „Die Pflicht zur Bestellung eines ISB ist nicht konkret im Gesetz aufgeführt, sondern eher transitiv.“ Krankenhäuser, die zu den sogenannten KRITIS-Einrichtungen gehören, sind verpflichtet ein Managementsystem für Informationssicherheit (ISMS) aufzubauen und damit auch einen Verantwortlichen für das Thema zu benennen. Diese Rolle kann nur der Informationssicherheitsbeauftragte (ISB) abbilden.

„Der Dienstleisterprüfung nimmt man sich häufig zu spät an.“

Prof. Dr. Thomas Jäschke, Vorstand der DATATREE AG

Wie funktioniert die Dienstleisterprüfung?

Homogene Arten von Unternehmen haben teilweise die gleichen Dienstleister, die Sie im Rahmen der gesetzlichen Bestimmungen, wie DSGVO, ISO27001 oder dem Sozialgesetzbuch prüfen müssen. Nur so kann sichergestellt sein, dass die besonderen Anforderungen an die Verarbeitung und den Umgang im Rahmen eines Risikomanagements Rechnung getragen wird.