Outsourcing Journal

Independent ICT service business insights since 2010

Home Business Datenschutz: Compliance-Risiko IT-Outsourcing

[vc_row][vc_column][vc_column_text]Die EU-Datenschutzgrundverordnung gilt ab dem 25.05.2018. Sie bringt neue und teilweise deutlich erhöhte Anforderungen an den Schutz personenbezogener Daten mit.

Neben der Androhung von millionenschweren Bußgeldern in Verbindung mit neuen Bußgeldtatbeständen, muss auch die Rechtmäßigkeit vieler heute etablierter Lösungen und bereits bestehender Verträge in Frage gestellt werden. Führen die neuen gesetzlichen Regelungen zu erheblichen Risiken für Unternehmen und Outsourcing-Dienstleister?

Die Nutzung von externen IT-Ressourcen, die Auslagerung von IT-Services oder ganzen IT-Abteilungen ist heute für viele Unternehmen genauso selbstverständlich geworden wie der Abschluss eines Rahmenvertrages mit einer Telefongesellschaft.

Die Motivation hierfür ist vielfältig: Kostenoptimierung, Reduzierung des eigenen Personals, höhere Anforderungen an die Qualität der IT-Services, mehr Flexibilität u. s. w. Zuletzt gibt es da auch noch den allgemeinen Trend möglichst viel in „die Cloud” zu verschieben.

Datenschutz-Compliance beim IT-Outsourcing heute

IT ist heute selten ohne Einsatz personenbezogener Daten (§ 3 Abs. 1 BDSG) denkbar. Im Rahmen des IT-Outsourcings sind das häufig Daten über Mitarbeiter und Kunden. Ein regelmäßiger Begleiter des IT-Outsourcings ist daher der Datenschutz. Die gesetzlichen Anforderungen zum Datenschutz in Deutschland erfordern, dass Unternehmen geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten treffen.

Beim Einsatz von IT-Dienstleistern gehört zu den Maßnahmen der Abschluss einer speziellen
Datenschutzvereinbarung (Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG). Diese ist erforderlich, wenn die Zusammenarbeit mit einem IT-Dienstleister mit der Erhebung oder Verwendung von personenbezogenen Daten einhergeht. Hierzu gehört beispielsweise der ausgelagerte Betrieb eines IT-Helpdesks oder eines Onlineshops. Eine solche Vereinbarung
ist auch erforderlich, wenn nicht sicher ausgeschlossen werden kann, dass der Dienstleister mit personenbezogene Daten des Unternehmens zufällig in Kontakt kommt, beispielsweise mit Daten von Mitarbeitern oder Kunden bei der Wartung von IT-Systemen in einem ausgelagerten Rechenzentrum.

Ohne ADV-Vertrag kann schon allein die Auslagerung des Betriebs eines eigenen E-Mail- und Kalender-Servers oder eines Cloud-Speichers zu einem bußgeldbewehrten Verstoß gegen das Bundesdatenschutzgesetz (BDSG) werden.

In vielen Fällen ist der ADV-Vertrag die einzige praktikable Möglichkeit, um den Einsatz eines IT-Dienstleisters datenschutzrechtlich zu legitimieren. Ist ein gültiger ADV-Vertrag geschlossen, wird der IT-Dienstleister datenschutzrechtlich als Teil des beauftragenden Unternehmens angesehen – vergleichbar mit einer internen Fachabteilung. Somit trägt im Außenverhältnis der Auftraggeber die datenschutzrechtliche Verantwortung. Erfolgt beispielsweise eine Datenpanne nicht beim Auftraggeber selber, sondern bei seinem Dienstleister, so bleibt der Auftraggeber dennoch weiter verantwortlich und haftet direkt gegenüber den Betroffenen. Es obliegt dann dem Auftraggeber seinen Dienstleister im Innenverhältnis in Regress zu nehmen.

Das BDSG sieht bei der Anwendung von ADV-Verträgen eine Einschränkung auf Auftragnehmer innerhalb der europäischen Union oder des europäischen Wirtschaftsraums vor. Diese Einschränkung wird in Fachkreisen stark kritisiert, da sie nicht dem geltendes EU-Recht entsprechen soll. Nach der dem heutigen BDSG zugrunde liegende EU-Richtlinie 95/46/EG ist eine solche Beschränkung nicht vorgesehen. Mit der DSGVO wird dieser Umstand klargestellt. Auch dort ist keine derartige Beschränkung vorhanden.

Die EU-Datenschutz-Grundverordnung (DSGVO)

Die DSGVO ist das Ergebnis eines jahrelangen Bemühens der europäischen Mitgliedsstaaten, einen europaweit einheitlichen Datenschutz zu schaffen. Die DSGVO wurde am 14. April 2016 durch das EU-Parlament beschlossen. Nach Ablauf einer zweijährigen Übergangsfrist gelten die neuen gesetzlichen Bestimmungen zum Stichtag 25.05.2018. Unternehmen müssen alle
neuen gesetzlichen Bestimmung bis zu diesem Stichtag umgesetzt haben.

Die Bestimmungen einer EU-Verordnung müssen nicht in das jeweilige Landesrecht umgesetzt werden und gelten damit in Deutschland und den übrigen Mitgliedsstaaten unmittelbar zum angegebenen Stichtag.

IT-Outsourcing unter der neuen EU-Datenschutz-Grundverordnung (DSGVO)

Die DSGVO stellt für alle europäischen Mitgliedsstaaten wesentliche Anforderungen an die Sicherheit der Verarbeitung personenbezogener Daten. Erstmals werden für die Festlegung von Maßnahmen Schutzziele wie „Vertraulichkeit, Integrität, Verfügbarkeit” (Art. 32 Abs. 1 Lit. b DSGVO) ähnlich den Vorgaben der ISO 27001 in den Gesetzestext aufgenommen. Hierbei sind der Stand der Technik und die Implementierungskosten in Verbindung mit „der Interschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos” (Art. 32 Abs. 1 S. 1 DSGVO) zu berücksichtigen.

Sowohl bereits bestehende als auch in Planung befindliche IT-Outsourcing-Lösungen sind daher in Hinblick auf die getroffenen organisatorischen und technischen Maßnahmen zu prüfen. Hierbei ist besonders zu beachten, dass die Maßnahmen in Bezug auf die zu erwartenden Risiken objektiv wirksam und aktuell sind.

Nachweispflichten

Die DSGVO verlangt, dass Verfahren etabliert werden, mit denen regelmäßig eine „Überprüfung, Bewertung und Evaluierung der Wirksamkeit” (Art. 32 Abs. 1 Lit. d DSGVO) der
getroffenen Schutzmaßnahmen sichergestellt werden kann. Darüber hinaus ist die Erfüllung
der Schutzanforderungen auch nachzuweisen. Mit diesen Anforderungen sollte das Thema
Zertifizierung näher betrachtet werden.

Als gängige Zertifizierungen im Bereich IT-Sicherheit gelten die ISO 27001 oder die IT Grundschutz-Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI). Beide Standards gelten aufgrund des Implementierungsaufwands bei kleinen und mittelständischen Unternehmen als eher unattraktiv.

Seit 2015 gibt es als Einstiegsmöglichkeit den Standard VdS 3473 „Cyber-Security für kleine und mittlere Unternehmen (KMU)”.

Dieser bietet auch kleineren Unternehmen die Möglichkeit Maßnahmen zur IT-Sicherheit nach einem anerkannten Standard einzuführen und sich unabhängig zertifizieren zu lassen.

Die Umsetzung der VdS 3473 ist deutlich weniger aufwändig, sie deckt dafür aber auch nur einen Teil der größeren Standards ab. Unternehmen die nach VdS 3473 zertifiziert sind, können dieses als Basis nutzen, um ihre Maßnahmen nach ISO 27001 zu erweitern und zertifizieren zu lassen.

Unabhängig davon werden in Art. 42 DSGVO datenschutzspezifischen Zertifizierungsverfahren angesprochen. Der Gesetzgeber möchte hier die Einführung unabhängiger Verfahren zum
Nachweis der Einhaltung der DSGVO für spezifische Verarbeitungen anregen (ErwGr. 100 zu Art. 42 DSGVO). Art. 42 beschreibt generelle Anforderungen an solche Zertifizierungsver-fahren. Aktuell stehen solche Verfahren aber noch nicht konkret zur Verfügung.

Neue Rahmenbedingungen für Verträge

Das aus dem BDSG bekannte Modell der Auftragsdatenverarbeitung bleibt auch unter der DSGVO in wesentlichen Teilen bestehen. Die DSGVO bezeichnet dieses als Auftragsverar-beitung. Der Abschluss von Verträgen zur Auftragsverarbeitung bleibt somit weiter möglich – allerdings mit einigen deutlichen Veränderungen.

Die für IT-Dienstleister bisher bequeme Haftungslage verändert sich deutlich.

Grundsätzlich haften der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter (IT-Dienstleister) gegenüber den Betroffenen gesamtschuldnerisch. Somit können Betroffene im Fall eines Datenschutzverstoßes rechtliche Ansprüche auch direkt gegenüber dem IT-Dienstleister geltend machen. Aufgrund dieser Regelung und den unter der DSGVO deutlich erhöhten Informationspflichten, ist anzunehmen, dass zukünftig IT-Dienstleister die im Auftrag
tätig sind gegenüber den Betroffenen offengelegt werden müssen.

Bestehende ADV-Verträge und dem entsprechende Vertragsvorlagen müssen rechtzeitig vor dem 25. Mai 2018 geprüft und gegebenenfalls überarbeitetet werden. Diese Überprüfung ist sowohl aus Sicht der Auftraggeber als auch für die IT-Dienstleister wichtig, um bei allen Beteiligten Risiken zu vermeiden. Ein Überarbeitungsbedarf ergibt sich in jedem Fall alleine dadurch, dass in den Verträgen aufgeführte Verweise zum BDSG nicht mehr zutreffend sein werden.

Da sich die aktuellen und zukünftigen gesetzlichen Vorgaben in ihrer konkreten Formulierung unterscheiden, kann dadurch ebenfalls ein Anpassungsbedarf entstehen um die gesetzlichen Mindeststandards weiter zu erfüllen. Auch können sowohl die Mitwirkungspflichten als auch die Dokumentationen der technischen und organisatorischen Maßnahmen in einigen Fällen nicht mehr den neuen Anforderungen entsprechen.

Werden im Rahmen des IT-Outsourcings nach dem 25. Mai 2018 personenbezogene Daten verarbeitet, zu denen im Vorfeld die Betroffenen eine Einwilligungserklärung abgegeben haben, so sind auch diese Einwilligungserklärungen unbedingt auf Konformität zur DSGVO zu überprüfen. Es ergeben sich neue rechtliche Anforderungen an eine Einwilligungserklärung bei deren Fehlen die Erklärung spätestens zum 25. Mai 2018 unwirksam werden kann.

Maßnahmen zur Durchsetzung

Die Höhe der Bußgelder nach BDSG liegt heute je nach Tatbestand im Bereich von bis zu 50.000 EUR oder bis zu 300.000 EUR pro Einzelfall (§ 43 Abs. 3 BDSG). Diese Bußgelder
können schmerzhaft sein, sind aber in der Praxis selten in einer existenziell bedeutsamen
Höhe. Der Hessische Datenschutzbeauftragte berichtet beispielsweise für 2015 von 16
Bußgelder in Höhe von 14.200 EUR und von 2 Bußgeldern in Höhe von 2.500 EUR für 2016.

Die DSGVO sieht Bußgelder im Bereich von bis zu 10.000.000 EUR (Art. 83 Abs. 4 DSGVO)
oder bis zu 20.000.000 EUR (Art. 83 Abs. 5 DSGVO) bzw. bis zu 2% oder bis zu 4% des weltweit erzielten Jahresumsatzes vor – je nach dem welcher Betrag höher ausfällt. „Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen […] wirksam, verhältnismäßig und abschreckend ist.” (Art. 83 Abs. 1 DSGVO) Für Datenschutz-Insider wird noch weiter interessant bleiben, wofür zukünftig die von den Aufsichtsbehörden erhobenen Bußgelder verwendet werden.

In drei einfachen Schritten zu weniger Risiko

Die DSGVO bringt, teilweise wesentlich veränderte, gesetzliche Rahmenbedingungen zum Datenschutz für das IT-Outsourcing mit sich. Risiken für Auftraggeber und IT-Dienstleister
bestehen durchaus – allerdings vermutlich mehr durch Abwarten, als durch eine sachlich-inhaltliche Auseinandersetzung mit dem Thema.

„No one shall be subjected to arbitrary interference with his privacy, family, home, or correspondence.”
The Universal Declaration of Human Rights

Drei Schritte für IT-Dienstleister

Schritt 1: Kundendaten

Fehlende oder unwirksame ADV-Verträge können zu einer unzulässigen Datenverarbeitung in Ihrer Verantwortlichkeit führen – das ist ein  Bußgeldtatbestand. Prüfen Sie, welche Daten Ihres Auftraggebers Sie verarbeiten oder mit denen Sie potenziell bei Ihrer Tätigkeiten in Kontakt kommen können. Wenn Sie Zugriff auf personenbezogene Daten haben, ist wahrscheinlich ein ADV-Vertrag erforderlich. Wenn Sie diesen bereits vereinbart haben, dann sollte er auf Wirksamkeit und Konformität zur DSGVO überprüft werden.

Schritt 2: Technische und organisatorische Maßnahmen (TOM)

Es ist Ihre Aufgabe, die Daten Ihres Auftraggebers angemessen zu schützen. Welche Schutzmaßnahmen haben Sie vertraglich zugesagt und sind diese real vorhanden? Prüfen Sie alle technischen und organisatorischen Maßnahmen auf Wirksamkeit und Aktualität. Stellen Sie fest, ob eine Zertifizierung für Sie in Frage kommt. Übermittelt Ihnen Ihr Auftraggeber
seine Daten auch auf einem sicheren Weg (z. B. angemessen verschlüsselt)? Weisen Sie Ihren Auftraggeber auf eventuell vorhandene Datenschutzverstöße wie eine unsichere Weitergabe von Daten seinerseits sofort hin.

Schritt 3: Datenschutz-Dokumentation

Bisher ergeben sich für Sie als Auftragsverarbeiter geringere Dokumentationspflichten. Das ist jetzt anders. Erstellen Sie ein Verzeichnis zu allen Kategorien von Auftragsverarbeitungen. Die Inhalte sind in Art. 30 Abs. 2 DSGVO beschrieben. Beachten Sie, dass auch Ihre Auftraggeber
ein Verzeichnis führen müssen. Stimmen Sie sich mit Ihren Auftraggebern ab, so dass die
Verzeichnisse inhaltlich nicht wesentlich voneinander abweichen. Die Erstellung einer Datenschutz-Folgenabschätzungen ist ggf. Aufgabe Ihres Auftraggebers. Prüfen Sie aber als Dienstleister dennoch, ob Sie Ihren Auftraggeber hier unterstützen können.

Drei Schritte für Auftraggeber

Schritt 1: Verträge

Überprüfen Sie alle bestehenden IT-Dienstleistungsverträge in denen der Dienstleister potenziell oder tatsächlich Kontakt zu personenbezogenen Daten aus Ihrem Unternehmen hat. Gibt es einen zusätzlichen ADV-Vertrag, dann lassen Sie diesen prüfen und überarbeiten. Haben Sie noch keinen ADV-Vertrag geschlossen, dann ist jetzt die richtige Gelegenheit, das nachzuholen. Die Übermittlung personenbezogener Daten an den Dienstleister kann sonst widerrechtlich sein und stellt dann einen eigenen, mindestens bußgeldpflichtigen Tatbestand
dar. Vermeiden Sie bei neuen ADV-Verträgen veraltete Vertragsvorlagen.

Schritt 2: Technische und organisatorische Maßnahmen (TOM)

Welche Maßnahmen zum Schutz Ihrer Daten haben Sie mit Ihrem IT-Dienstleister vereinbart? Fragen Sie Ihren IT-Dienstleister nach seiner aktuellen Dokumentation der technischen und organisatorischen Maßnahmen zum Datenschutz und geeigneten Umsetzungsnachweisen. Prüfen Sie, ob die Maßnahmen Ihres IT-Dienstleisters – aber auch Ihre eigenen Maßnahmen – dem Stand der Technik entsprechen und einen objektiv wirksamen Schutz darstellen. Richten
Sie sich nach gängigen Standards (ISO 27001, BSI Grundschutz, VdS 3473) und prüfen Sie die Möglichkeit einer Zertifizierung.

Schritt 3: Datenschutz-Dokumentation

Eine Datenschutz-Dokumentation ist der einfachste (wenn auch nicht unabhängige) Weg, um die von Ihnen veranlassten Maßnahmen nachzuweisen. Die nach heutigem Recht erforderliche Dokumentation ist eine gute Grundlage. Lassen Sie diese um die Anforderungen aus der DSGVO ergänzen (beispielsweise das Verzeichnis der Verarbeitungen und die Datenschutz-
Folgenabschätzung).

This article was published in the Outsourcing Journal Special Edition. For more interesting articles, download the Special Edition here:

[/vc_column_text][vc_btn title=”Download (free)” color=”primary” size=”sm” link=”url:https%3A%2F%2Fwww.outsourcing-verband.org%2Fdownloads%2Funderneath-your-sourcing-success-download%2F|||”][vc_separator][/vc_column][/vc_row][vc_row][vc_column width=”1/4″][vc_single_image image=”4875″][/vc_column][vc_column width=”3/4″][vc_column_text]Der Autor: Thomas Rosin seit 1998 erfolgreich in der IT-Branche tätig und verfügt über umfassende Erfahrungen im ITK-Umfeld, u. a. durch seine Tätigkeiten als Leiter verschiedener IT-Bereiche und als selbstständiger Berater. Thomas Rosin hat sich auf Unternehmens-datenschutz und IT-Sicherheit spezialisiert. Er entwickelt aus den
komplexen Anforderungen an Compliance, Technik und Mitarbeiter praktikable und sichere Lösung für Unternehmen. „Mir ist wichtig, dass Datenschutz nicht nur als Pflicht, sondern als Chance aufgefasst wird, ein Unternehmen voranzubringen.” „If life deals you lemons make lemonade!” Aktuell unterstützt er als Datenschutz-Experte mittelständische Unternehmen bei der Umstellung auf die DSGVO. Darüber hinaus begleitet er Projekte zur Optimierung und Zertifizierung der IT-Sicherheit.
Web: https://www.thomasrosin.de
Email: tr@thomasrosin.de

[/vc_column_text][/vc_column][/vc_row]

 

 

 

514 views