Datenschutz- und IT-Sicherheitskonzept

Ergänzend zu den Datenschutzmaßnahmen legt das IT-Sicherheitskonzept dar, wie der Bieter die digitalen Systeme und Geräte absichert, die bei der Leistungserbringung zum Einsatz kommen.

• Sichere Plattformen und Verschlüsselung: Alle eingesetzten digitalen Werkzeuge (z.B. Software für Vorfallmeldungen, Apps für Wächterrundgänge, elektronische Zutrittssysteme oder Video-Management-Systeme) sollten mit starken Sicherheitsmechanismen wie Verschlüsselung arbeiten, um Daten sowohl bei der Übertragung als auch in Speicherung zu schützen. Jegliche Übermittlung sensibler Daten (etwa Live-Überwachungsbilder oder digitale Einsatzberichte) muss verschlüsselt erfolgen (HTTPS/TLS), um ein Mitlesen durch Unbefugte zu verhindern. Ebenso sollten Datenbanken oder Speichermedien, die personenbezogene Daten enthalten (z.B. Videoarchive oder Besucherdatenbanken), entweder verschlüsselt oder zumindest strikt zugriffsbeschränkt sein. Der Anbieter sollte klarstellen, dass er bewährte, sichere Softwarelösungen nutzt – z.B. ein Wächterkontrollsystem, das auf einer „hochsicheren Plattform“ basiert, mit durchgehender Verschlüsselung und unsichtbar gespeicherten Passwörtern. Der Einsatz moderner Verschlüsselungs- und Pseudonymisierungstechniken ist eine Grundvoraussetzung gemäß der DSGVO für angemessene Datensicherheit.

• Zugriffskontrolle und Authentifizierung: Ein striktes Berechtigungsmanagement ist unerlässlich. Das Konzept sollte beschreiben, wie der Anbieter rollenbasierte Zugriffskontrollen in seinen Systemen umsetzt – sodass jeder Benutzer (Wachmann, Objektleiter etc.) nur die Informationen einsehen kann, die er für seine Aufgabe benötigt. Sämtliche Konten müssen durch starke Authentifizierungsverfahren geschützt sein. Dazu zählen die Durchsetzung von sicheren Passwörtern (mit Richtlinien zu Komplexität und regelmäßiger Änderung) und idealerweise Zwei-Faktor-Authentifizierung (2FA) für den Zugang zu sensiblen Systemen oder Daten. Durch die Anforderung eines zweiten Faktors (z.B. eines Codes auf dem Handy oder eines Hardware-Tokens) wird das Risiko unbefugten Zugriffs stark reduziert, selbst falls Passwörter kompromittiert würden. Der Bieter sollte außerdem erwähnen, dass Konten personifiziert (keine gemeinsamen Logins) und Verfahren zum sofortigen Entzug von Zugriffsrechten vorhanden sind, wenn Mitarbeiter ausscheiden oder sie nicht mehr benötigen. Insgesamt gilt: Nur befugtes Personal darf Zugriff auf personenbezogene Daten haben, und jeder Zugriff sollte protokolliert werden, um Nachvollziehbarkeit sicherzustellen.

• Geräte- und Endgerätesicherheit: Sicherheitskräfte und -mitarbeiter nutzen häufig mobile Geräte (Smartphones, Tablets) oder Laptops, um ihre Aufgaben zu erledigen (z.B. Berichte zu erfassen oder Anweisungen abzurufen). Das IT-Sicherheitskonzept muss sicherstellen, dass alle solche Endgeräte abgesichert sind. Vom Unternehmen bereitgestellte Geräte sollten mit aktueller Antiviren-Software ausgestattet und vollständig verschlüsselt sein, um die Daten darauf bei Verlust des Geräts zu schützen. Es sollte eine Richtlinie zum Management mobiler Geräte geben – z.B. die Möglichkeit, ein verlorenes Gerät aus der Ferne zu löschen (Remote Wipe), sowie die Vorgabe, dass Geräte nach kurzer Inaktivität automatisch gesperrt werden (Passwort oder biometrische Sperre). Falls Wachleute eine Mobile App verwenden, muss diese eine eigene Benutzeranmeldung erfordern und darf keine sensiblen Daten unverschlüsselt auf dem Telefon speichern. Darüber hinaus spielt Netzwerksicherheit eine Rolle: Alle vor Ort genutzten Netzwerke oder Cloud-Systeme müssen durch Firewalls und Monitoring geschützt sein. Der Anbieter sollte regelmäßige Scans auf Sicherheitslücken in seinen Systemen durchführen und sensible Daten vom öffentlichen Netz abschirmen. Physische IT-Komponenten (z.B. Server in der Sicherheitszentrale) sollten ebenfalls in gesicherten Räumen stehen. Zusammengefasst sollte der Bieter einen mehrschichtigen Schutz für alle Endgeräte und die gesamte IT-Infrastruktur vorsehen.

• Wartung, Updates und Tests: Cybersicherheit erfordert laufende Pflege. Die Ausschreibung sollte Praktiken verlangen wie regelmäßige Software-Aktualisierungen und -Patches für alle Systeme. Der Bieter sollte bestätigen, dass ein Patch-Management-Prozess existiert, um Sicherheitsupdates zeitnah einzuspielen (z.B. umgehend Installation kritischer Betriebssystem-Patches und Aktualisierung von Anwendungen, sobald Schwachstellen bekannt und behoben sind). Der Einsatz aktueller Softwareversionen verringert das Risiko bekannter Exploits. Das Konzept sollte auch regelmäßige Sicherheitsüberprüfungen erwähnen – etwa Schwachstellenscans oder Penetrationstests, die an Netzwerken/Applikationen durchgeführt werden, um etwaige Lücken proaktiv aufzudecken. Gefundene Probleme müssen zeitnah behoben werden. Zudem ist eine regelmäßige Überprüfung der Benutzerberechtigungen vorgesehen (um Konten oder Zugriffsrechte, die nicht mehr benötigt werden, zu entfernen). Die Einhaltung anerkannter Sicherheitsstandards kann ein starkes Indiz für ein ausgereiftes Sicherheitsprogramm sein; daher sollten Bieter relevante Zertifizierungen oder Rahmenwerke anführen, denen sie folgen (z.B. ISO/IEC 27001 für Informationssicherheits-Management oder branchenspezifische Programme). In der Tat fragen Ausschreibungen oft ausdrücklich nach Zertifizierungen – z.B. einem international anerkannten Standard wie *ISO 27001 oder staatlich unterstützten Cyber-Security-Programmen als Beleg für eine solide Sicherheitsstrategie. Durch die Kombination all dieser Maßnahmen – Verschlüsselung, strikte Zugriffskontrollen, Endgeräteschutz, kontinuierliche Updates und ggf. zertifizierte Rahmenwerke – zeigt der Anbieter, dass seine IT-Umgebung für die Dienstleistung gegen Cyber-Bedrohungen gewappnet ist.

Bei der Angebotserstellung sollte der Bieter ein formelles Datenschutz- und IT-Sicherheitskonzept ausarbeiten.

• Überblick über Richtlinien und Verantwortlichkeiten: Zu Beginn sollte ein Überblick über die internen Datenschutz- und Sicherheitsrichtlinien des Unternehmens stehen. Der Bieter sollte zusammenfassen, wie der Datenschutz in seiner Organisation gesteuert wird – z.B. Hinweis auf vorhandene Datenschutzrichtlinien, IT-Nutzungsrichtlinien, Verfahren zum Umgang mit Sicherheitsvorfällen etc. – und wie diese mit der DSGVO in Einklang stehen. Das Konzept sollte die Personen bzw. Rollen benennen, die für die Einhaltung der Vorschriften zuständig sind, etwa den Datenschutzbeauftragten oder einen vergleichbaren Verantwortlichen, inklusive Kontaktdaten. Dies zeigt, dass klare Verantwortlichkeiten definiert sind. Ebenso sollte der Anbieter erwähnen, ob es ein Datenschutzgremium gibt oder regelmäßige interne Audits stattfinden. Im Wesentlichen wird damit belegt, dass das Unternehmen einen strukturierten Ansatz beim Datenschutz verfolgt (und nicht bloß improvisiert). Ein Hinweis wie „Wir haben in unserem Team ausdrücklich Datenschutzverantwortlichkeiten zugewiesen und führen detaillierte Dokumentationen aller Datenverarbeitungen“ verdeutlicht, dass man sich der Rechenschaftspflicht der DSGVO bewusst ist. Dies signalisiert dem Auftraggeber, dass die Geschäftsführung des Bieters Datenschutz und Sicherheit von oben herab ernst nimmt.

• DSGVO-Maßnahmen und Rechtskonformität: Das Konzept muss konkrete Maßnahmen beschreiben, die die Einhaltung der DSGVO und einschlägiger Gesetze sicherstellen. Dazu gehört die Angabe der Rechtsgrundlage für jede Art von personenbezogener Datenverarbeitung, die im Service erfolgt (beispielsweise kann die Verarbeitung von Videoüberwachungsbildern auf berechtigten Interessen beruhen, während biometrische Zugangsdaten eine Einwilligung erfordern – der Anbieter sollte klar ausführen, was jeweils zutrifft). Ebenfalls sollte der Anbieter darlegen, wie er zentrale DSGVO-Praktiken umsetzt: z.B. wie Einwilligungen – falls nötig – eingeholt und verwaltet werden, wie er die erhobenen Daten auf das notwendige Maß beschränkt (Datenminimierung) und wie Datenschutz durch Technik und Voreinstellungen in seinen Systemen berücksichtigt wird. Eine überzeugende Darstellung liefert hier eine Liste der technischen und organisatorischen Maßnahmen (TOM), die das Unternehmen eingeführt hat – also eine Zusammenfassung der Sicherheitsvorkehrungen und Prozesse (Zugriffsbeschränkungen, Verschlüsselung, Backup-Routinen etc.), mit denen es personenbezogene Daten schützt. Das Konzept sollte prüfungsbereit sein, d.h. falls der Auftraggeber oder eine Behörde Nachweise der Compliance verlangen, hat der Anbieter sie parat. Dazu gehört u.a. das Führen eines Verzeichnisses der Verarbeitungstätigkeiten (gemäß Art. 30 DSGVO), die Durchführung von Datenschutz-Folgenabschätzungen (DSFA) für risikobehaftete Verarbeitungen wie etwa umfangreiche Videoüberwachung, sowie Protokolle über etwaige vergangene Datenschutzvorfälle und getroffene Abhilfemaßnahmen. Indem diese Punkte aufgeführt werden, überzeugt der Bieter den Auftraggeber, dass er auf Kontrollen vorbereitet ist. Beispielsweise könnte im Konzept stehen: „Wir führen ein detailliertes Verzeichnis aller von uns verarbeiteten Daten inkl. Zweck, Speicherort und Aufbewahrungsdauer und haben für unseren Videoüberwachungsdienst eine Datenschutz-Folgenabschätzung durchgeführt“ – untermauert durch interne Dokumente, die auf Nachfrage vorgelegt werden können. Sämtliche beschriebenen Maßnahmen sollten auf die DSGVO-Anforderungen referenzierbar sein, um sicherzustellen, dass nichts ausgelassen wurde.

• Sichere Verwaltung von CCTV-Daten und sensiblen Informationen: Angesichts der Bedeutung von Überwachungstechnik in Sicherheitsdiensten sollte das Konzept ausdrücklich behandeln, wie CCTV-Aufzeichnungen und ähnliche Daten gehandhabt werden. Der Bieter muss die Schutzvorkehrungen rund um Videoüberwachungsdaten beschreiben – z.B. dass Live-Feeds und Aufzeichnungen in gesicherten, verschlüsselten Speichern oder in einer streng kontrollierten Umgebung abgelegt werden (damit niemand Aufnahmen kopieren oder sichten kann, der dazu nicht berechtigt ist). Es sollte aufgeführt werden, wer Zugang zu den Aufnahmen erhält (etwa nur bestimmte Führungskräfte des Sicherheitsdienstes oder benannte Vertreter des Auftraggebers, und dass jeder Zugriff protokolliert wird) und dass dieser Zugang passwortgeschützt und regelmäßig überprüft ist. Des Weiteren muss die Aufbewahrungsdauer für CCTV-Aufzeichnungen in Übereinstimmung mit datenschutzrechtlichen Empfehlungen festgelegt sein (oft ein angemessener Zeitraum wie 30 Tage, sofern nicht ein Vorfall eine längere Aufbewahrung erfordert). Das Konzept sollte darlegen, dass nach Ablauf der Frist das Material sicher gelöscht oder überschrieben wird – und wie dieser Löschvorgang nachvollzogen wird. Für andere verarbeitete personenbezogene Daten (Gästelisten, Ereignisprotokolle mit personenbezogenen Details, Kennzeichenerfassungen etc.) ist ebenso Transparenz gefordert: Wie lange werden diese Daten aufbewahrt und in welcher Form, und wann bzw. wie werden sie gemäß Löschkonzept beseitigt. Der Bieter sollte auch besondere Schutzmaßnahmen erwähnen: z.B. falls Bodycams eingesetzt werden, ob deren Aufnahmen auf dem Gerät verschlüsselt und nur über sichere Kanäle hochgeladen werden; oder wenn ein cloudbasiertes Wächterkontrollsystem genutzt wird, ob persönliche Daten darin standardmäßig maskiert oder pseudonymisiert sind, wenn sie nicht benötigt werden. Außerdem kann die Einhaltung lokaler Vorschriften zur Videoüberwachung erwähnt werden (wie das Anbringen von Hinweisschildern und die Möglichkeit für Personen, Auskunft über sie betreffende Aufnahmen zu erhalten), was unterstreicht, dass die Verfahren des Anbieters rechtlich sauber sind. Durch die Abdeckung all dieser Aspekte erkennt der Auftraggeber, dass der Bieter Überwachungs- und Personaldaten kontrolliert, sicher und gesetzeskonform über den gesamten Leistungszeitraum handhaben wird.

• Vorfallsmanagement und Meldeprozesse bei Datenpannen: Ein wichtiger Bestandteil des Konzepts ist, wie das Unternehmen mit Sicherheitsvorfällen oder Datenschutzverletzungen umgeht. Trotz aller Prävention kann es zu Zwischenfällen kommen, und der Auftraggeber möchte die Gewissheit, dass der Bieter schnell und effektiv reagieren kann. Das Konzept sollte den Notfall- bzw. Incident-Response-Plan des Anbieters skizzieren – zum Beispiel mit dem Hinweis, dass es ein internes Team oder festgelegte Abläufe zur Bewältigung von Cybervorfällen und Datenpannen gibt. Es sollte die Schritte der Vorfallbehandlung beschreiben: Erkennung, Eindämmung (z.B. betroffene Systeme isolieren), Beseitigung der Ursache (z.B. Malware entfernen), Wiederherstellung und forensische Untersuchung. Besonders wichtig ist ein Abschnitt über Meldewege. Da der Auftraggeber (als Verantwortlicher) im Falle einer personenbezogenen Datenpanne innerhalb von 72 Stunden die Aufsichtsbehörde benachrichtigen muss, verlangt er vertraglich, dass der Dienstleister ihn unverzüglich im Falle irgendeiner Datenpanne in den Systemen des Dienstleisters informiert. Der Bieter sollte sich zu einer sehr kurzen Reaktionszeit verpflichten (z.B. Meldung an den Auftraggeber binnen 24 Stunden nach Entdeckung einer Datenpanne), damit der Auftraggeber seinerseits gesetzliche Fristen einhalten kann. Im Konzept könnte etwa formuliert sein: „Sollte ein Verdacht auf eine Datenschutzverletzung bestehen, alarmieren wir den benannten Ansprechpartner des Auftraggebers innerhalb von 24 Stunden und liefern Details zum Vorfall und zu ergriffenen Gegenmaßnahmen“, in Anlehnung an die DSGVO-Vorgaben zur Meldung von Verletzungen. Darüber hinaus sollte der Bieter erwähnen, dass er ein Pannen-Logbuch führt und bei Untersuchungen oder Ursachenermittlungen voll kooperiert. Er kann darlegen, welche Erfahrungen er ggf. mit dem Management von Datenschutzvorfällen hat oder dass ein Desaster-Recovery-Plan existiert. Ein klar beschriebenes Ablaufschema für Datenpannen (interne Eskalation, Benachrichtigung des Auftraggebers, evtl. Behördenerstattung) im Konzept würde die Bereitschaft veranschaulichen. Ebenso kann ausgeführt werden, wie der Anbieter den Auftraggeber bei der Information betroffener Personen unterstützt, falls eine Verletzung schwerwiegend ist – er bietet also die nötige Hilfe gemäß DSGVO an. Diese Ausführungen gewährleisten dem Auftraggeber, dass im Ernstfall der Anbieter schnell und transparent handelt, um Schaden einzudämmen.

• Zertifizierungen und Standards (optional): Abschließend erhöht es die Glaubwürdigkeit des Angebots, wenn der Bieter auf einschlägige Zertifizierungen oder Standards verweist, denen er folgt. Beispielsweise ist die Einhaltung von ISO/IEC 27001 (dem internationalen Standard für Informationssicherheits-Management) ein starkes Zeichen dafür, dass das Unternehmen strukturierte Sicherheitsprozesse implementiert hat. Bestimmte Branchen oder Regionen haben eigene Standards wie TISAX (für die Automobilindustrie relevante Sicherheitsbewertung) oder den BSI IT-Grundschutz-Katalog (ein umfassendes IT-Sicherheitsrahmenwerk des deutschen Bundesamts für Sicherheit in der Informationstechnik). Falls der Sicherheitsanbieter nachweislich nach solchen Normen zertifiziert oder auditiert ist (oder sich in Zertifizierung befindet), sollte dies angegeben werden. Zertifikate liefern unabhängige Bestätigung der Sicherheitsvorkehrungen des Anbieters. Aber auch ohne formale Zertifizierung kann der Anbieter erwähnen, dass er sich an Best Practices etablierter Standards orientiert (z.B. „unsere Richtlinien basieren auf den Controls der ISO 27001“ oder „wir folgen dem BSI-Grundschutz-Kompendium bei der Netzwerksicherheit“). Ebenso können Mitgliedschaften in branchenbezogenen Datenschutz-Kodizes oder Gütesiegel erwähnt werden. Diese optionalen Angaben können einen Bieter hervorheben, da sie zeigen, dass er nicht nur Behauptungen über Sicherheit aufstellt, sondern diese auch extern prüfen ließ oder nach anerkannten Vorgaben umsetzt.

Durch die Aufnahme all dieser Komponenten stellt das Datenschutz- und IT-Sicherheitskonzept des Bieters ein vollständiges Bild dar. Es lässt keine Unklarheiten offen, wie personenbezogene und sensible Daten gehandhabt, geschützt, überwacht und – im Problemfall – behandelt werden. Dies gibt dem Auftraggeber die Sicherheit, dass eine Vergabe des Auftrags keine unvertretbaren Datenschutz- oder Cyberrisiken mit sich bringt.

Um sicherzustellen, dass die genannten Punkte tatsächlich adressiert werden, fordert der Auftraggeber im Rahmen der Ausschreibung ausdrücklich die Vorlage eines formalen Datenschutz- und IT-Sicherheitskonzepts als Bestandteil des Angebots.

• Formalisierte Konzepterläuterung: Ein schriftliches Dokument (mit entsprechendem Titel), das alle oben genannten Aspekte abdeckt. Dieses muss klar gegliedert und gut nachvollziehbar sein, sodass die Bewerter schnell überprüfen können, ob alle geforderten Punkte (Richtlinien, DSGVO-Maßnahmen, IT-Sicherheit, Incident Response etc.) enthalten sind. Es handelt sich gewissermaßen um ein Compliance-Dossier als Anhang zum Angebot. Das Dokument sollte professionell und formal formuliert sein (da es möglicherweise Bestandteil des Vertrages wird) und auf die spezifischen Dienstleistungsinhalte der Ausschreibung zugeschnitten sein. Bieter, die derartige Unterlagen intern bereits vorhalten, sind im Vorteil, da sie das Konzept zügig erstellen können. Es ist – wie auch Datenschutzberater anraten – sinnvoll, dies vor der Angebotseinreichung fertigzustellen, da man sonst Gefahr läuft, kurz vor dem Abgabetermin in Zeitnot zu geraten, um Änderungen umzusetzen.

• Benennung von Personal und Anlaufstellen: Im Angebot muss eindeutig benannt werden, wer im Unternehmen des Bieters für Datenschutz- und IT-Sicherheitsfragen rund um den Auftrag verantwortlich sein wird. Beispielsweise sind der Name und die Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden) bzw. der Person, die diese Funktion wahrnimmt, anzugeben, ebenso der IT-Sicherheitsverantwortliche oder -leiter, der die Systempflege überwacht. So weiß der Auftraggeber, mit wem er in Compliance-Fragen kommunizieren kann. Zudem sollte der Bieter bestätigen, dass sämtliches Personal, das dem Auftrag zugeordnet wird, geschult und sensibilisiert im Umgang mit Datenschutz und IT-Sicherheit ist. Nachweise für solche Schulungen oder Fachkenntnisse können beigefügt werden – z.B. Beschreibungen der internen Trainingsprogramme oder Teilnahmezertifikate, falls Mitarbeiter an Kursen teilgenommen haben. Verfügt das Team über relevante Zertifikate (z.B. Certified Information Privacy Professional, IT-Security-Zertifizierungen etc.), sollten diese aufgeführt werden, um die Kompetenz zu unterstreichen. Kurz: Der Auftraggeber soll erkennen, dass das Team, das seinen Auftrag betreut, vom ersten Tag an fachkundig und sensibilisiert in diesen Belangen ist.

• Beschreibung der Systeme und Hilfsmittel: Der Konzeptteil der Angebotsunterlagen sollte auflisten, welche Technologien und Systeme der Bieter bei der Leistungserbringung einzusetzen plant – mit Fokus auf diejenigen, die personenbezogene Daten verarbeiten. Beispielsweise sollte der Bieter, wenn er eine bestimmte Software für digitale Berichte oder eine Online-Plattform für die Wachkoordination nutzt, diese benennen und die Sicherheitsmerkmale kurz darstellen. Erfolgen Berichte über ein sicheres Webportal? Gibt es eine mobile App und wurde diese auf Sicherheit getestet? Wird CCTV-Hardware oder Cloudspeicher eingesetzt – wenn ja, welche Lösungen (besonders wenn dies sicherheitsrelevant ist, etwa Cloud vs. lokaler Server)? Durch Transparenz hinsichtlich der Tools ermöglicht es der Bieter dem Auftraggeber, eventuelle Risiken oder Kompatibilitätsfragen einzuschätzen. Zugleich sollte der Bieter versichern, dass jedes genannte Tool datenschutzkonform betrieben wird (z.B. „Unsere Vorfall-Reporting-Software überträgt Daten ausschließlich verschlüsselt und ist DSGVO-konform entwickelt“). Zusätzlich ist jedwede Integration mit Systemen des Auftraggebers anzusprechen – etwa wenn erwartet wird, dass der Sicherheitsdienstleister vorhandene Systeme des Auftraggebers nutzt (z.B. das bestehende Video-Management-System des Kunden), so sollte der Bieter dies explizit bestätigen und versichern, dass er dies sicher und gemäß Vorgaben tun wird. Die rechtlichen Grundlagen der Datenverarbeitung sind ebenfalls den jeweiligen Systemen zuzuordnen: z.B. „Die Verarbeitung von Besucherdaten im Besuchermanagement-System erfolgt auf Grundlage des berechtigten Interesses des Verantwortlichen an der Sicherheit des Standorts.“ Eine solche Abbildung der Datenflüsse und Zwecke innerhalb der Angebotsdokumentation zeigt ein tiefes Verständnis der Compliance-Erfordernisse.

• Nachweise für Maßnahmen und Compliance: Oft werden Bieter aufgefordert, nicht nur Compliance zu versprechen, sondern sie auch zu belegen oder zu demonstrieren. Daher kann die Ausschreibung verlangen, dem Angebot Anlagen oder Belege beizufügen, wie z.B.: Kopien der Datenschutzrichtlinie des Bieters, Auszüge aus dem Mitarbeiterhandbuch zum Thema Datensicherheit, Vorlagen von Verarbeitungsverzeichnissen oder Screenshots von Sicherheitseinstellungen (soweit ohne vertrauliche Details möglich). Zwar wäre die komplette interne Dokumentation zu umfangreich, doch das Bereitstellen exemplarischer Ausschnitte oder Zusammenfassungen kann hilfreich sein. Der Bieter könnte z.B. eine einseitige Übersicht seiner Technischen und Organisatorischen Maßnahmen (TOM) beilegen, die er zum Schutz von Daten umgesetzt hat, oder eine Management-Zusammenfassung eines jüngsten internen Audits. Falls das Unternehmen externe Prüfungen oder Bewertungen durchgeführt hat (z.B. Penetrationstest-Berichte, ISO-27001-Auditberichte), kann eine kurze Erwähnung oder ein Zertifikat als Anhang überzeugen. Schulungsnachweise könnten beigefügt werden, um zu zeigen, dass alle aktuellen Sicherheitsmitarbeiter in den letzten 12 Monaten an Datenschutzschulungen teilgenommen haben. Außerdem, wenn Subunternehmer oder Drittanbieter eingebunden werden (etwa ein Unterauftragnehmer für Sicherheitspersonal oder ein Cloud-Dienstleister für Videodaten), muss der Bieter darlegen, dass diese ebenfalls hohe Standards einhalten. Typischerweise geschieht dies durch den Hinweis, dass Subunternehmer an gleichwertige vertragliche Verpflichtungen und Schutzmaßnahmen gebunden sind. Der Bieter könnte z.B. ausführen: „Alle Unterauftragnehmer sind durch Auftragsverarbeitungsverträge gebunden und müssen unsere Sicherheitsvorgaben einhalten“. In manchen Fällen kann die Vorlage eines Musters des Subunternehmer-Datenschutzvertrags oder einer Konformitätserklärung dieser Partner die Glaubwürdigkeit erhöhen.

• Auftragsverarbeitungsvertrag (AVV) und vertragliche Abstimmung: Da ein formeller Auftragsverarbeitungsvertrag gemäß DSGVO immer erforderlich ist, wenn ein externer Dienstleister personenbezogene Daten verarbeitet, bitten manche Auftraggeber die Bieter, einen Muster-AVV vorzulegen oder die Bereitschaft zur Übernahme der eigenen AVV-Bedingungen zu bestätigen. Der Bieter sollte die Akzeptanz solcher Bedingungen signalisieren und kann sogar proaktiv einen eigenen Entwurf eines AVV zum Angebot hinzufügen, der die Datenschutz- und Sicherheitsverpflichtungen in vertragsfähiger Form umschreibt. Dies zeugt von Proaktivität und Verständnis der rechtlichen Anforderungen. Zusätzlich sollten Bieter bestätigen, dass sie bereit sind, jegliche weiteren Sicherheits- oder Vertraulichkeitsvereinbarungen des Auftraggebers zu unterzeichnen. Hat der Auftraggeber z.B. eine etablierte Plattform oder bestimmte Sicherheitsvorgaben (vielleicht verlangt er, dass der Dienstleister sein firmeneigenes Meldesystem nutzt), sollte der Bieter dies explizit anerkennen und seine Kompatibilität versichern. Ein Beispiel: „Wir sind darauf vorbereitet, das vorhandene Videoverwaltungssystem des Kunden zu nutzen, und werden alle Sicherheitskonfigurationen und Nutzerprotokolle des Auftraggebers einhalten.“ Durch die Abdeckung dieser Punkte gibt der Bieter dem Auftraggeber alles an die Hand, was zur Bewertung seines Compliance-Status nötig ist, und ebnet den Weg für einen zügigen Übergang in die Vertragsverhandlung mit den notwendigen rechtlichen Schutzmechanismen.

Bei der Prüfung der Angebote bewertet der Auftraggeber das Datenschutz- und IT-Sicherheitskonzept zusammen mit anderen Faktoren. Typischerweise wird dazu eine Bewertungsmatrix eingesetzt.

Jede dieser Kategorien kann gemäß den Prioritäten des Auftraggebers gewichtet werden (beispielsweise könnten DSGVO-Compliance und IT-Sicherheit aufgrund ihrer Bedeutung stärker gewichtet sein). Das Ziel des Bieters sollte es sein, in jeder Dimension zu überzeugen – nicht nur, um Punktabzüge zu vermeiden, sondern weil diese Kriterien in ihrer Gesamtheit anzeigen, wie vertrauenswürdig und professionell der Dienst erbracht werden wird. In einem engen Vergaberennen kann ein sorgfältig ausgearbeitetes und konsequent umgesetztes Datenschutz- und IT-Sicherheitskonzept ein entscheidender Vorteil sein, der den Zuschlag zugunsten des Bieters ausfallen lässt.

Nach der Vergabe des Auftrags werden die im Angebot gemachten Datenschutz- und IT-Sicherheitszusagen üblicherweise durch Vertragsklauseln verbindlich festgeschrieben.

• Prüf- und Kontrollrechte: Der Vertrag wird dem Auftraggeber das Recht einräumen, Audits der Datenschutz- und Sicherheitspraktiken des Sicherheitsdienstleisters durchzuführen – entweder regelmäßig oder anlassbezogen. Nach DSGVO müssen Verantwortliche sicherstellen können, dass ihre Auftragsverarbeiter compliant sind, daher wird vom Anbieter erwartet, dass er Klauseln akzeptiert, die dem Auftraggeber (oder einem beauftragten Prüfer) erlauben, Verfahren zu inspizieren, Nachweise anzufordern und ggf. Vor-Ort-Prüfungen der relevanten Betriebsabläufe vorzunehmen. Beispielsweise könnte der Auftraggeber jährliche Berichte über Zugriffe auf CCTV-Daten verlangen oder unangekündigt prüfen, wie Vorfallberichte gespeichert und gelöscht werden. Der Anbieter muss bereit sein, uneingeschränkt zu kooperieren und alle Informationen bereitzustellen, die benötigt werden, um die Vertragstreue nachzuweisen. Ferner wird der Vertrag vermutlich regelmäßige Berichterstattung zu bestimmten Aspekten vorschreiben – z.B. die Bestätigung, dass sämtliches Personal jährlich an vorgeschriebenen Schulungen teilgenommen hat, oder eine Zusammenfassung eventueller eingegangener Betroffenenanfragen. Ebenfalls verpflichtend ist meist, dass der Anbieter bei behördlichen Überprüfungen unterstützt, falls die Einrichtungen oder Systeme des Auftraggebers (die vom Dienstleister betrieben werden) von einer Aufsichtsbehörde auditiert werden. Ein weiterer vertraglicher Punkt ist der Umgang mit Daten nach Vertragsende: Vereinbart wird, dass der Dienstleister bei Beendigung des Vertrags sämtliche personenbezogenen Daten des Auftraggebers entweder zurückgibt oder sicher löscht und dies bestätigt, damit keine Daten ohne Berechtigung zurückbehalten werden.

• Meldung von Sicherheitsvorfällen und Kooperation: Wie bereits beschrieben, wird ein schneller Meldeweg für Vorfälle vertraglich festgelegt. Der Dienstleister muss sich verpflichten, den Auftraggeber unverzüglich – in der Regel sofort oder binnen 24 Stunden – über jegliche tatsächliche oder vermutete Verletzung des Schutzes personenbezogener Daten oder sonstige sicherheitsrelevante Zwischenfälle zu informieren. Diese Pflicht im Vertrag spiegelt die regulatorischen Erfordernisse wider (der Auftraggeber als Verantwortlicher hat 72 Stunden Zeit, um bei der Aufsichtsbehörde Meldung zu machen, daher muss der Verarbeiter den Verantwortlichen deutlich vor Ablauf dieser Frist unterrichten). Im Vertrag wird detailliert, welche Informationen der Anbieter in so einem Fall liefern muss (Art des Vorfalls, betroffene Daten, bereits ergriffene Maßnahmen etc.). Außerdem wird ein gemeinsames Vorgehen umrissen: Der Dienstleister muss den Vorfall untersuchen, die Ursache beheben und weitere Schäden verhindern, während er den Auftraggeber fortlaufend informiert. Beide Parteien werden möglicherweise in der Pflicht stehen, bei schweren Vorfällen die Kommunikation an die Öffentlichkeit oder die Information betroffener Personen abzustimmen, wie es gesetzlich gefordert ist. Der Vertrag könnte auch verlangen, dass der Anbieter einen formalisierten Notfallplan für solche Fälle vorhält und ggf. an gemeinsamen Notfalltests mit dem Auftraggeber teilnimmt. Durch diese vertraglichen Regelungen stellt der Auftraggeber sicher, dass im Falle eines Vorfalls ein strukturiertes Vorgehen gewährleistet ist und der Dienstleister für Transparenz und schnelles Handeln sorgt.

• Durchsetzung und Sanktionen: Um die Bedeutung der Compliance zu unterstreichen, enthalten Verträge oft Sanktionsklauseln im Zusammenhang mit Datenschutzverstößen. Beispielsweise kann der Vertrag finanzielle Sanktionen vorsehen (Schadensersatzpauschalen oder Vertragsstrafen), falls der Dienstleister gegen Datenschutzpflichten verstößt oder eine nachweisbare Panne aufgrund von Fahrlässigkeit eintritt. Während Aufsichtsbehörden bei DSGVO-Verstößen Geldbußen verhängen können, möchte der Auftraggeber unter Umständen auch direkt kompensiert werden bzw. Anreize zur schnellen Reaktion vertraglich festlegen. In gravierenden Fällen wird der Vertrag das Recht vorsehen, Leistungen auszusetzen oder den Vertrag fristlos zu kündigen, wenn der Dienstleister wesentliche Datenschutz- oder Sicherheitsauflagen verletzt (z.B. wiederholt vorgeschriebene Maßnahmen unterlässt oder schwerwiegende Vorfälle verursacht). Solche Klauseln schaffen einen starken geschäftlichen Anreiz für den Dienstleister, seine Zusagen einzuhalten. Der Vertrag wird möglicherweise auch verlangen, dass der Anbieter eine Cyber-Versicherung unterhält oder für bestimmte Vorfälle die Haftung übernimmt. Darüber hinaus könnte fortgesetzte Nichtbeachtung zu Verpflichtungen führen, auf eigene Kosten nachzubessern – z.B. Finanzierung von externen Forensik-Untersuchungen oder Bereitstellung von Kreditüberwachungsservices für Betroffene im Fall eines Datenlecks. All diese Bestimmungen dienen dem Schutz der Interessen des Auftraggebers und motivieren den Dienstleister, wachsam zu bleiben. Aus Sicht des Dienstleisters ist es daher essentiell, dass er die im Angebot gemachten Zusagen in der Praxis erfüllt, da der Vertrag sie einklagbar macht – jede Diskrepanz zwischen Angebot und tatsächlicher Umsetzung könnte rechtliche und finanzielle Folgen haben.

• Es gilt: Nach der Auftragsvergabe ist das Datenschutz- und IT-Sicherheitskonzept nicht einfach Makulatur, sondern wird zu einem lebendigen Bestandteil der Vertragsführung. Der Auftraggeber erhält Rechte, die Compliance zu überprüfen und über Vorfälle informiert zu werden, und hat bei Verstößen Handhaben für Konsequenzen. Der Dienstleister wiederum geht eine Partnerschaft ein, in der Transparenz und die Einhaltung der vereinbarten Schutzmaßnahmen obligatorisch sind. Dieser fortwährende Fokus auf Compliance stellt sicher, dass Datenschutz und Sicherheit über die gesamte Vertragslaufzeit hinweg im Mittelpunkt stehen – nicht nur als Versprechen im Vergabeverfahren.

Das heutige Verständnis eines Sicherheitsdienstleistungsvertrags geht über Wachpersonal und Kameras hinaus – es ist ebenso ein Datenschutz- und IT-Sicherheitsabkommen. In Zeiten digitaler Systeme und strenger Datenschutzgesetze ist ein robustes Datenschutz- und IT-Sicherheitsgerüst unverzichtbar für physische Sicherheitsdienste. Indem ein ausführliches Konzept bereits in der Ausschreibungsphase eingefordert wird, gibt der Auftraggeber die Richtung vor, dass der Schutz personenbezogener Daten oberste Priorität hat und keine bloße Formalität ist. Diese Anforderung schützt die rechtliche Stellung des Auftraggebers und stellt sicher, dass derjenige, dem sensible Sicherheitsdaten anvertraut werden, fähig ist, diese gegen Missbrauch oder Sicherheitsvorfälle zu verteidigen. Wenn ein Sicherheitsanbieter genau darlegen kann, wie er Gesetze einhält und die von ihm eingesetzte Technik absichert, zeugt das von Professionalität und einem Verständnis moderner Risiken, das in der heutigen Zeit unerlässlich ist. Es fördert auch Vertrauen: Der Auftraggeber kann beruhigt sicherheitsrelevante Aufgaben auslagern, im Wissen, dass es keine blinden Flecken bei der Datenverarbeitung gibt, und die Belegschaft sowie Besucher des Unternehmens wissen, dass mit ihren Informationen respektvoll und sicher umgegangen wird.

Zukünftig sollten ausschreibende Stellen dieses Datenschutz- und IT-Sicherheitskonzept als standardmäßigen Pflichtbestandteil bei allen Sicherheitsdienstleistungen etablieren, die den Umgang mit personenbezogenen Daten oder digitalen Systemen beinhalten. Es sollte in die technische Wertungsmatrix einfließen, sodass Anbieter nicht nur nach Preis und Leistungsfähigkeit, sondern auch nach ihrer Datenschutz- und Sicherheitskompetenz bewertet werden. Dies hebt das Branchenniveau an und belohnt Dienstleister, die in eine ordnungsgemäße Datenführung investieren. Zudem empfiehlt es sich, im Vertrag festzuhalten, dass das Konzept regelmäßig aktualisiert wird (beispielsweise muss der Dienstleister es jährlich oder nach erheblichen Zwischenfällen überprüfen und fortschreiben), damit die Schutzmaßnahmen mit neuen Bedrohungen und regulatorischen Änderungen Schritt halten. Letztlich sollten Datenschutz- und IT-Sicherheitsüberlegungen fest in die Leistungserbringung eingebettet sein – so grundlegend wie die Uniformen der Wachleute oder die Wartung der Kameras. Dieser Ansatz verwandelt eine potenzielle Schwachstelle (den externen Umgang mit sensiblen Daten) in einen verstärkten Bestandteil der Sicherheitsstrategie des Unternehmens. Wie auch der Europäische Datenschutzausschuss treffend feststellt, kann das Fehlen angemessener Sicherheit das Vertrauen untergraben und Unternehmen teuer zu stehen kommen, wohingegen ein starker Schutz sowohl den betroffenen Personen als auch den beteiligten Organisationen zugutekommt. Indem Datenschutz- und IT-Sicherheitsanforderungen als zentrale vertragliche Schutzmaßnahmen verankert werden, verpflichten sich Auftraggeber und Auftragnehmer gleichermaßen, höchste Standards einzuhalten – und gewährleisten so, dass Sicherheitsdienstleistungen im digitalen Zeitalter sicher, rechtskonform und im besten Interesse aller Beteiligten erbracht werden.