[datensicherheit.de, 25.09.2019] Der verbraucherzentrale Bundesverband (vzbv) fordert in einer aktuellen Stellungnahme, „dass telefonisch angebahnte Verträge, mit denen Verbraucherinnen und Verbraucher dauerhafte Verpflichtungen eingehen, künftig in Textform bestätigt werden müssen“. Zusammen mit anderen Maßnahmen könnte so unerlaubte Telefonwerbung endlich wirksam eingedämmt werden.

Energie-, Telekommunikations- und Versicherungsverträge, Presseabonnements u.a.

Alle telefonisch angebahnten Verträge über Dauerschuldverhältnisse müssten künftig in Textform bestätigt werden – erst dann dürften sie wirksam werden. Das sollte für am Telefon abgeschlossene Energie- und Telekommunikationsverträge gelten, aber auch für Versicherungen, Presseabonnements und andere Verträge.

Energielieferantenwechsel

Bei Verträgen zum Energielieferantenwechsel sollten die beteiligten Stellen das Wechselverfahren erst nach Vorlage der Bestätigung in Textform starten dürfen.

Bereits im März 2019 angekündigter Gesetzentwurf

Die Bundesregierung müsse handeln und den bereits im März 2019 angekündigten Gesetzentwurf für faire Verbraucherverträge nun zügig vorlegen.

E-Privacy-Verordnung

Wenn die E-Privacy-Verordnung in Kraft tritt, werde damit auf europäischer Ebene abschließend geregelt, ob Telefonanrufe zu Werbezwecken nur mit einer entsprechenden Einwilligung des Verbrauchers zulässig sind. Die gegenwärtige Beschlusslage des Europäischen Parlaments wolle Werbeanrufe jedoch schon dann zulassen, wenn der Verbraucher nicht ausdrücklich widersprochen hat. Die Bundesregierung müsse daher in den weiteren Verhandlungen auf dem Einwilligungserfordernis bestehen.

Anbieter-Rufnummer übermitteln

Außerdem müsse die Bundesregierung in den Verhandlungen zur E-Privacy-Verordnung darauf hinarbeiten, dass Anbieter ihre Rufnummer übermitteln und eindeutig auf den werblichen Charakter ihres Anrufs hinweisen müssten.

Computergestützte Anrufe verbieten

Computergestützte Anrufe (predictive dialing) müssten verboten werden. Für Verbraucher hätten solche Anrufe keinen Mehrwert. Die erfassten Beschwerden zeigten, „dass es ein Ärgernis für Verbraucher ist, wenn das Telefon bei hundert Verbrauchern gleichzeitig klingelt und nur bei dem, der als erster abhebt, tatsächlich ein Gespräch zu Stande kommt“.

Weitere Informationen zum Thema:

verbraucherzentrale Bundesverband, 20.09.2019
SCHLUSS MIT UNERLAUBTER TELEFONWERBUNG / Maßnahmen zur wirksamen Bekämpfung unerlaubter Telefonwerbung und untergeschobenen Verträgen

datensicherheit.de, 22.10.2010
Dreister Missbrauch von Telefonnummern und Identitäten: Telefonwerbung für angebliche Schutzlisten und Glücksspiele

datensicherheit.de, 12.08.2009
Telefonwerbung: Unseriöse Unternehmen weichen auf ausländische Anschlüsse aus

Lieferantenaudits bei IT-Dienstleistern

Von unseren Gastautoren Robert Kuhlig und Thomas Neeff

[datensicherheit.de, 17.02.2014] Im IT-Dienstleistungsbereich ist die vollständige oder teilweise Vergabe von Dienstleistungen üblich. Unternehmen versprechen sich davon eine Konzentration auf ihre Kernkompetenzen, indem sie einzelne Elemente der IT-Wertschöpfungskette – beispielsweise den Rechenzentrumsbetrieb oder ganze Services wie z.B. die Rechnungsarchivierung – an spezialisierte Dienstleister vergeben. Auch Kostenvorteile werden als Grund für solche Auftragsvergaben angeführt.

Kann man Verantwortung auslagern?

In Bezug auf die Verantwortung für das Handeln der jeweiligen Dienstleister ist die Meinung weit verbreitet, dass der Dienstleister neben der operativen Durchführung der Dienstleistung auch vollumfänglich die Verantwortung vor allem für die Sicherheit der Informationen hinsichtlich der ausgelagerten Dienstleistung übernimmt. Dies trifft jedoch nicht zu; grundsätzlich verbleibt die Verantwortung für die Datenverarbeitung immer beim Auftraggeber, denn Verantwortung kann nicht ausgelagert werden. Begründungen und Argumente hierfür finden sich in praktisch allen regulatorischen und gesetzlichen Vorgaben (einige Beispiele: Bundesdatenschutzgesetzt für die Verarbeitung personenbezogene Daten, Kreditwesengesetz für die Auslagerung im Banken- und Finanzdienstleistungsumfeld,  Regularien der US-amerikanischen FDA (Food & Drug Administration)), in denen auf die Auslagerung von IT-Dienstleistungen Bezug genommen wird.

Praxistipp: Lassen Sie sich bereits bei der Auftragsvergabe ein regelmäßiges Recht zur Auditierung der Abläufe beim Dienstleister schriftlich zusichern und definieren Sie Kriterien, nach denen in regelmäßigen Abständen (zeitliche Komponente) und bei außerordentlichen Ereignissen (z.B. Service Level Verletzungen, Security Incidents, Veränderung der Services) Überprüfungen durch Audits durchgeführt werden sollen.

Rechtfertigung für einen Lieferantaudit

Grundsätzlich obliegt es daher dem Auftraggeber einer Dienstleistung, sich regelmäßig in angemessenen Abständen, bei Bedarf und mittels entsprechender Vorgehensweisen – zum Beispiel mittels eines risikobasierten Ansatzes – von der Ordnungsmäßigkeit (so wie vereinbart) der Abläufe beim Dienstleister zu überzeugen. Das kann mittels qualifizierter Nachweise von Dritten erfolgen, indem beispielsweise eine sach- und fachkundige Partei Überprüfungs-Audits beim Dienstleister durchführt. Solchen Audits liegt oft ein konkreter Anlass zu Grunde, wobei grundsätzlich in einschlägigen Normen wie der IT Service Management-Norm ISO20000 oder auch der IT Security Management Normenreihe ISO27000 eine solche regelmäßige Überprüfung gefordert wird. Die Erfüllung dieser Forderung sichert nicht nur die Qualität und Sicherheit der eingekauften IT-Dienstleistung, sondern hilft auch, das Verhältnis zwischen Kunde und Lieferant langfristig zu erhalten und auf ein für beide Parteien akzeptiertes Niveau zu heben.

Vorgehen beim Audit

Im Rahmen eines Lieferanten-Audits erfolgen Prüfungshandlungen üblicherweise sowohl auf Seiten des Auftraggebers als auch beim Auftragnehmer einer IT-Dienstleistung. Auf Seiten des Auftraggebers wird mindestens überprüft, welche Vorgaben (Lieferanten Policy) für die Aussteuerung des Lieferantenverhältnisses vorhanden sind und ob beispielsweise die IT-Sicherheitsvorgaben für Lieferanten den eigenen Vorschriften entsprechen. Bei der Überprüfung des Lieferanten, die den Hauptumfang der Prüfungshandlungen darstellt, dreht sich die Untersuchung schwerpunktmäßig um die Frage, ob die Vereinbarungen hinsichtlich der Dienstgüte (Service Level – SL) eingehalten werden. Dabei wird im Bereich IT-Sicherheit meist intensiver geprüft als in den anderen Disziplinen. Ebenso ist es möglich, besondere Schwerpunkte aus branchenspezifischen Anforderungen und spezielle in den SLA vereinbarte Aspekte mit in die Analyse einzubeziehen.

Was wird nach einem Audit geliefert?

Die Untersuchungsergebnisse werden in einem Audit Report festgehalten. Dieses Dokument zeigt nicht nur die beim Audit gemachten Beobachtungen auf, sondern gibt auch konkrete Empfehlungen anhand eines priorisierten Maßnahmenkataloges , wie und in welcher Reihenfolge die identifizierten Punkte einer Lösung zugeführt werden müssen. Auf Basis dieser Dokumente können Auftraggeber und Dienstleister gemeinsam die Abarbeitung der Themen planen, welche dann im Rahmen von Nachbetrachtungen erneut überprüft werden.

Praxistipp: Ein qualifizierter Audit Report stellt einen angemessenen Nachweis dar, mit dem sich die Verantwortung des Auftraggebers (auslagerndes Unternehmen) für die Datenverarbeitung gegenüber Dritten nachweisen lässt. Insbesondere im Fall von Uneinigkeiten zwischen den Parteien und etwaigen folgenden Auseinandersetzungen hinsichtlich des Auftragsgegenstands ist ein solches Dokument ein hilfreiches Beweisstück von erheblicher Aussagekraft.

Ist ein Lieferanten Audit rentabel?

Meist ergibt sich durch ein solches extern durchgeführtes Lieferanten-Audit ein erhebliches Verbesserungspotential in der Zusammenarbeit zwischen Auftraggeber und Auftragnehmer. Darüber hinaus liegen die Vorteile auch kostenseitig auf der Hand: Die Ausgaben für eine solche externe Auditierung sind, verglichen mit dem Wert eines IT-Dienstleistungsvertrags, meist sehr gering. In der Mehrzahl der Fälle ergibt sich aus einem solchen Audit ein erhebliches Kostensenkungspotential, weil

1. Entweder festgestellt wird, dass eine vertraglich zugesicherte Leistung nicht oder nicht in der vereinbarten Dienstgüte geliefert wird und daher Rückforderungen möglich sind oder
2. ein Leistungsumfang bezogen wird, der gar nicht notwendig ist – (Teil)Kündigung möglich je nach Vertragslaufzeit bzw. Umwidmung

Fazit:

Auf Basis des Ergebnisberichts lassen sich kurz-, mittel- und langfristige  Optimierungsmaßnahmen hinsichtlich der Gestaltung der Lieferantenbeziehung aufsetzen. Als positiver Effekt lässt sich eine steigende Servicequalität bei sinkenden Kosten beobachten.
Praxistipp: Steuern Sie Ihre externen Dienstleister auch unterjährig, indem Sie regelmäßige Service Review Meetings durchführen und aktiv die Beziehung zum Dienstleister gestalten. Im Rahmen solcher Service Review Meetings sollten die vereinbarten Service Level Agreements besprochen und Kennzahlen der Betrachtungsperiode gemeinsam besprochen werden. Auch der Status der bereits vereinbarten Verbesserungsmaßnahmen sollte Gegenstand des Meetings sein

Die Autoren:

© mITSM

Robert Kuhlig

Robert Kuhlig ist Gründer und Geschäftsführer des mITSM Munich Institute for IT Service Management und Experte auf den Gebieten IT Service- und Security Management.

© mITSM

Thomas Neeff ist IT Management-Experte und beschäftigt sich seit mehreren Jahren mit den Themen IT Service Management, Security Management und Datenschutz.

Das mITSM bietet Schulungen in ITIL, ISO27000, ISO20000 und COBIT an und berät Firmen in allen Fragen rund um Service- und Security Management. Zum Leistungsumfang gehört auch die Durchführung aller Arten von IT-Audits, sowohl intern bei Kunden als auch bei deren Dienstleistern.

Weitere Informationen zum Thema:

mITSM MUNICH INSTITUTE FOR IT SERVICE MANAGEMENT
Lieferantenaudit bei IT Dienstleistern

[datensicherheit.de, 14.02.2011] Der erfolgreiche Berliner Volksentscheid vom 13. Februar 2011 zur Offenlegung der Verträge und Nebenabreden beim Teilverkauf der Berliner Wasserbetriebe ist nach Auffassung des Informationsfreiheitsbeauftragten des Bundes, Peter Schaar, ein „großartiger Impuls für mehr Transparenz“:
Die Bedeutung dieses erfolgreichen Volksentscheides gehe weit über die Hauptstadt hinaus; auch die Bundesregierung und der Bundestag sollten sich dieses Ergebnis zu Herzen nehmen und daraus lernen, so Schaar. Die Offenlegung von Verträgen zwischen Staat und Unternehmen gehöre jetzt auf die Tagesordnung. Dabei dürften die sogenannten Betriebs- und Geschäftsgeheimnisse nicht länger als Transparenz-Sperre für Bürgerinformation wirken. Fiskalische und wirtschaftliche Interessen seien nicht per se stärker als das öffentliche Informationsinteresse. Deshalb sollte der Zugangsanspruch zu Informationen nach dem seit fünf Jahren geltenden Informationsfreiheitsgesetz des Bundes deutlich erweitert werden. Der Zugang zu staatlichen Informationen sei unverzichtbar, insbesondere wenn die Öffentliche Hand sich privater Unternehmen zur Erfüllung ihrer Aufgaben bedient. Die rechtlichen und tatsächlichen Möglichkeiten zum Zugang zu diesen Informationen sollten verbessert werden.
Schaar hält es außerdem für erforderlich, dass die Behörden wichtige Informationen, wie Verträge mit Privaten, von sich aus im Internet veröffentlichen. Dies sei eine „Bringschuld“ der Öffentlichen Hand.

Weitere Informationen zum Thema:

Berliner Wassertisch
Gesetzentwurf durch Volksentscheid angenommen / Mitteilung der Landeswahlleiterin vom 13. Februar 2011

[datensicherheit.de, 24.06.2010] Die verbraucherzentrale Baden-Württemberg warnt vor gesetzeswidrigen, unerbetenen Anrufen, wie z.B. „Herzlichen Glückwunsch, Sie haben 5.000 Euro gewonnen – es ist der erste Preis in unserem Gewinnspiel! Sagen Sie uns, wohin wir die 5.000 Euro überweisen können?“ Verbraucherbeschwerden zu solchen unerlaubten Werbeanrufen werden jetzt auf ihrer Website gesammelt:
Mit vertrauenerweckender Stimme versprächen Call-Center-Agenten Gewinne und horchten Verbraucher am Telefon aus. Gleich zwölf unseriöse Gewinnspiel-Unternehmen hätten regelmäßig vom Konto einer Rentnerin abgebucht – insgesamt mehr als 2.400 Euro. Täglich erhalte die Verbraucherzentrale eine Vielzahl von Beschwerden – das im August 2009 in Kraft getretene Gesetz zur Bekämpfung unerlaubter Telefonwerbung entpuppe sich als „Papiertiger“. Verbraucher würden nach wie vor gesetzeswidrig belästigt und hätten in der Folge häufig großen Aufwand, sich gegen angeblich geschlossene Verträge, unerlaubte Lastschriften oder die Nutzung ihrer Daten zu wehren.
Um zu belegen, dass die gesetzlichen Regeln zur Telefonwerbung nicht ausreichten, sammelt die Verbraucherzentrale über ihre Website Schilderungen von betroffenen Verbrauchern.

Weitere Informationen zum Thema:

verbraucherzentrale Baden-Württemberg
Aktion gegen belästigende Telefonwerbung: Verbraucherzentrale sammelt Beschwerden

verbraucherzentrale Baden-Württemberg
Zum Beschwerdeformular

[datensicherheit.de, 11.03.2010] Die Verbraucherzentrale Rheinland-Pfalz hat eine Warnung vor ungewollten Anrufen einer angeblichen „Verbraucherzentrale“ herausgegeben:
Die Anrufer würden sich als Mitarbeiter der Verbraucherzentrale ausgeben und versuchen, arglosen Menschen einen äußerst fragwürdigen Schutz vor „dubiosen Anrufen“ anzubieten. Der Preise für diesen fragwürdigen Service liege zwischen 39 und 68 Euro.
Aufgrund zahlreicher Anfragen von Betroffenen weist die Verbraucherzentrale ausdrücklich darauf hin, dass sie nie unaufgefordert und ohne entsprechendes Einverständnis telefonisch Kontakt mit Verbrauchern aufnehme und schon gar nicht telefonisch Verträge anbiete. Sie empfiehlt, am Telefon keine persönlichen Daten wie Telefonnummer oder gar Kontoverbindung preiszugeben und nicht an telefonischen Gewinnspielen teilzunehmen.

Weitere Informationen zum Thema:

verbraucherzentrale Rheinland-Pfalz, 10.03.2010
Verbraucherzentrale warnt vor unerbetenen Anrufen im Namen der „Verbraucherzentrale“ – keine persönlichen Daten preis geben