Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist eine Verordnung des EU-Rechts über den Datenschutz und den Schutz der Privatsphäre für alle Personen innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR). Sie regelt auch den Export personenbezogener Daten in Länder außerhalb der EU und des EWR.
Die DSGVO und ihre Auswirkungen auf IT-Outsourcing-Beziehungen verstehen
IT-Systeme, Infrastruktur, Datenbanken sowie Softwareentwicklung und -wartung können die Verarbeitung und Übermittlung von Daten beinhalten, die unter die DSGVO fallen. Organisationen, deren IT-Funktionen Auswirkungen auf die Datenschutz-Grundverordnung haben, müssen sich daher der einzuhaltenden Regeln und Verfahren bewusst sein.
Organisationen, die mit externen IT-Outsourcing-Anbietern zusammenarbeiten, für deren IT-Funktionen die DSGVO relevant ist, müssen zusätzlich sicherstellen, dass ihr Anbieter die Arbeit DSGVO-konform ausführt. Die Folgen einer Nichtbeachtung können äußerst schwerwiegend sein.
Beispiele für DSGVO-Verstöße im Zusammenhang mit IT-Outsourcing und deren Folgen
- 2019 verhängte die deutsche Bundesdatenschutzbehörde (BfDI) eine Geldstrafe in Höhe von 35,3 Millionen Euro gegen H&M wegen einer Datenschutzverletzung, bei der die persönlichen Daten von über 2 Millionen Kunden offengelegt wurden. Bei der Übernahme eines IT-Outsourcing-Anbieters war dessen mangelnde Systemsicherheit mit übernommen worden.
- Im Jahr 2020 verhängte die französische Datenschutzbehörde (CNIL) gegen Google eine Geldstrafe in Höhe von 100 Millionen Euro wegen eines Verstoßes gegen die Transparenzanforderungen der DSGVO. Die CNIL stellte fest, dass Google den Nutzern keine klaren und umfassenden Informationen über seine Datenverarbeitungstätigkeiten im Rahmen seiner Outsourcing-Vereinbarungen mit Drittanbietern zur Verfügung gestellt hat.
- Im Jahr 2020 verhängte die britische Datenschutzbehörde (ICO) gegen den Royal Free NHS Trust eine Geldstrafe in Höhe von 180.000 Pfund wegen einer Datenschutzverletzung, bei der personenbezogene Daten von über 1,7 Millionen Patienten offengelegt wurden. Genau wie im Beispiel von H&M war die mangelnde Systemsicherheit eines IT-Outsourcing-Anbieters übernommen worden.
Diese Beispiele zeigen, wie wichtig es ist, die Einhaltung der Datenschutzgrundverordnung durch Ihren IT-Outsourcing-Partner sorgfältig zu prüfen. Unabhängig davon, wo Ihr Unternehmen sich befindet sollten Sie geeignete Maßnahmen zum Schutz personenbezogener Daten in Ihren IT-Outsourcing-Vereinbarungen implementieren.
Als Endkunde eines IT-Outsourcing-Anbieters sollten Sie die folgenden Punkte zur DSGVO im Hinterkopf behalten und darauf vorbereitet sein:
- Beurteilung der Bereitschaft zur Einhaltung der DSGVO Ihres IT-Outsourcing-Partners
- Implementierung der DSGVO-Anforderungen in Ihrem IT-Outsourcing-Vertrag
- Überwachung der DSGVO-Einhaltung in Ihrer IT-Outsourcing-Beziehung
- Umgang mit DSGVO-Verstößen in Ihrer IT-Outsourcing-Vereinbarung
Mehr Informationen über die DSGVO und IT-Outsourcing sowie die wichtigsten FAQs zu diesem Thema können Sie im folgenden Artikel nachlesen:
IT-Outsourcing: Datenschutz-Anforderungen für IT-Dienstleister (EU-DSGVO)
Einschätzung der Bereitschaft zur Einhaltung der DSGVO Ihres IT-Outsourcing-Partners – eine Checkliste
Auf folgende Dinge sollten Unternehmen bei IT-Outsourcing-Anbietern achten, die der DSGVO unterliegende Daten verarbeiten oder Zugriff darauf haben:
DSGVO-Konformität
Der IT-Outsourcing-Anbieter sollte nachweisen können, dass er die DSGVO einhält und geeignete Maßnahmen zum Schutz personenbezogener Daten ergriffen hat. Dies kann Datenschutz durch Design und Voreinstellungen, Datensicherheitsmaßnahmen und Datenschutzverletzungen umfassen.
Vereinbarungen zur Datenverarbeitung
Der IT-Outsourcing-Anbieter sollte über eine schriftliche Vereinbarung verfügen, in der die Aufgaben und Zuständigkeiten der einzelnen Parteien im Hinblick auf die Einhaltung der DSGVO festgelegt sind. Diese Vereinbarung sollte Klauseln zum Datenschutz durch Design und Voreinstellungen, zu Datensicherheitsmaßnahmen und zu Datenschutzverletzungen enthalten.
Datenschutzbeauftragter (DSB)
Wenn die Verarbeitung personenbezogener Daten die Haupttätigkeit des IT-Outsourcing-Anbieters ist, muss er möglicherweise einen Datenschutzbeauftragten ernennen, der die Einhaltung der DSGVO überwacht.
Rechte der betroffenen Personen
Der IT-Outsourcing-Anbieter sollte die Rechte der betroffenen Personen respektieren, z. B. das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer personenbezogenen Daten.
Datenübermittlung
Wenn der IT-Outsourcing-Anbieter personenbezogene Daten in Länder außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) überträgt, sollte er sicherstellen, dass geeignete Schutzmaßnahmen zum Schutz der Daten vorhanden sind, z. B. Standard-Datenschutzklauseln oder verbindliche Unternehmensregeln.
Datenschutz-Folgenabschätzung (DSFA)
Sie sollten eine Datenschutz-Folgenabschätzung durchführen, um potenzielle Risiken für die Rechte und Freiheiten natürlicher Personen, die sich aus der Verarbeitung personenbezogener Daten im Rahmen Ihrer IT-Outsourcing-Vereinbarungen ergeben, zu ermitteln und zu reduzieren.
Müssen mein IT-Outsourcing-Anbieter und meine Spezialisten in der EU ansässig sein, um der DSGVO zu entsprechen?
Nein, IT-Dienstleister, die sich außerhalb der Europäischen Union (EU) befinden, können an IT-Infrastruktur- und Softwareentwicklungsprojekten arbeiten, die der DSGVO unterliegen. Organisationen, die ihre IT-Funktionen an einen Drittanbieter außerhalb der Europäischen Union (EU) auslagern, müssen jedoch sicherstellen, dass für die personenbezogenen Daten das gleiche Datenschutzniveau gilt, wie es bei einer Verarbeitung innerhalb der EU erforderlich wäre.
Um beim Outsourcing von IT-Funktionen in Länder außerhalb der EU die Einhaltung der DSGVO zu gewährleisten, sollten Organisationen die folgenden Faktoren berücksichtigen:
Datenschutzvereinbarung: Organisationen sollten einen schriftlichen Vertrag mit dem externen Dienstleister abschließen, der Bestimmungen zum Datenschutz und zur Datensicherheit enthält. Darin sollten alle Anforderungen an den Dienstleister enthalten sein, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen.
Datenübertragungsmechanismen: Organisationen sollten sicherstellen, dass sie über einen gültigen rechtlichen Mechanismus für die Übermittlung personenbezogener Daten in Länder außerhalb der EU verfügen, wie z. B. Standardvertragsklauseln (Standard Contractual Clauses, SCC) oder verbindliche Unternehmensregeln (Binding Corporate Rules, BCR).
Ort der Datenverarbeitung: Organisationen sollten sicherstellen, dass personenbezogene Daten nur in Ländern verarbeitet werden, die ein angemessenes Datenschutzniveau bieten. Die EU hat festgelegt, dass bestimmte Länder ein angemessenes Schutzniveau bieten, andere dagegen nicht.
Datensicherheit: Organisationen sollten sicherstellen, dass der Drittanbieter über geeignete technische und organisatorische Maßnahmen verfügt, um personenbezogene Daten vor unbefugtem Zugriff, unbefugter Nutzung oder Offenlegung zu schützen. Dazu können Maßnahmen wie Verschlüsselung und sichere Datenspeicherung gehören.
Datenverletzungen: Organisationen sollten über einen Plan verfügen, um auf Datenschutzverletzungen zu reagieren, einschließlich Verfahren für die Benachrichtigung und Meldung an die zuständigen Behörden.
Aufsichtsbehörde: Organisationen sollten bereit sein, mit der zuständigen Aufsichtsbehörde zusammenzuarbeiten und alle Informationen zur Verfügung zu stellen, die für die Einhaltung der Datenschutz-Grundverordnung erforderlich sind.
Durch Berücksichtigung der eben genannten Punkte – zusätzlich zu den bereits für jeden IT-Outsourcing-Partner (EU oder Nicht-EU) geltenden Überlegungen – können Unternehmen sicherstellen, dass ihre IT-Outsourcing-Vereinbarungen mit Nicht-EU-Anbietern DSGVO-konform sind.
Implementierung der DSGVO-Anforderungen in Ihrem IT-Outsourcing-Vertrag
Die oben genannten Überlegungen sollten auch in einem IT-Outsourcing-Vertrag zur Umsetzung der DSGVO-Anforderungen geregelt werden. Folgende Punkte sollte der Vertrag beinhalten:
- Definition der Rollen und Verantwortlichkeiten aller Parteien in Bezug auf den Datenschutz: Der Vertrag sollte die Rollen und Verantwortlichkeiten sowohl des Anbieters als auch des Kunden in Bezug auf die Verarbeitung personenbezogener Daten klar festlegen. Dazu gehören auch die Sicherheitsmaßnahmen, die der Anbieter umsetzen muss, sowie die Aufgaben und Pflichten des Kunden in Bezug auf den Datenschutz.
- Spezifizierung der zu verarbeitenden personenbezogenen Daten: Der Vertrag sollte die Arten von personenbezogenen Daten, die verarbeitet werden, sowie den Zweck, für den sie verwendet werden, klar umreißen. Dazu gehören auch alle sensiblen personenbezogenen Daten wie Daten über die rassische oder ethnische Herkunft, politische Meinungen oder Gesundheitsdaten.
- Festlegung der Datenübertragungsmechanismen: Wenn personenbezogene Daten in Länder außerhalb der EU übertragen werden, sollte der Vertrag den rechtlichen Mechanismus festlegen, der gewährleistet, dass die Daten DSGVO-konform übertragen werden.
- Maßnahmen zur Datensicherheit: Der Vertrag sollte Bestimmungen zur Datensicherheit enthalten, einschließlich der technischen und organisatorischen Maßnahmen, die der Anbieter ergreifen wird, um personenbezogene Daten vor unbefugtem Zugriff, unbefugter Nutzung oder Offenlegung zu schützen.
- Bestimmungen zu Datenverletzungen: Der Vertrag sollte den Ablauf festlegen, der im Falle einer Datenverletzung befolgt wird, einschließlich der Melde- und Berichtspflichten.
- Rechte der betroffenen Personen: Der Vertrag sollte Bestimmungen über den Umgang mit Rechten der betroffenen Personen enthalten, z. B. das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten.
- Zusammenarbeit mit den Aufsichtsbehörden: Der Vertrag sollte Bestimmungen über die Zusammenarbeit mit der zuständigen Aufsichtsbehörde enthalten, einschließlich der Bereitstellung von Informationen, um die Einhaltung der Datenschutz-Grundverordnung sicherzustellen.
Dies sind nur einige der wichtigsten Überlegungen zur Umsetzung der DSGVO-Anforderungen in einem IT-Outsourcing-Vertrag. Eine rechtliche Beratung ist immer empfehlenswert, um die Übereinstimmung des Vertrages mit allen für Ihr Unternehmen und externe IT-Anbieter geltenden Datenschutzbestimmungen sicherzustellen.
Überwachung der Einhaltung der DSGVO in Ihrer IT-Outsourcing-Beziehung
Der Endkunde ist letztendlich für die Einhaltung der DSGVO durch Drittanbieter verantwortlich. Er muss deshalb die kontinuierliche Einhaltung der vertraglich festgelegten Anforderungen und Prozesse durch regelmäßige Überwachung sicherzustellen.
Regelmäßige Berichte und Prüfungen sollten die Datenschutzrichtlinien und -verfahren des Dienstleisters, die Datensicherheitsmaßnahmen, die Datenverarbeitungsaktivitäten, die Datenübertragungsmechanismen, den Reaktionsplan bei Datenschutzverletzungen und die Fähigkeit zur Unterstützung bei der Ausübung der Rechte betroffener Personen überprüfen.
Eine konsequente Überwachung der Einhaltung der DSGVO durch den Dienstleister kann dazu beitragen, potenzielle Probleme bei der Einhaltung der Vorschriften rechtzeitig zu erkennen und geeignete Maßnahmen zu ergreifen, um sie zu beheben.
Umgang mit DSGVO-Verstößen in Ihrer IT-Outsourcing-Vereinbarung
Wie sollten Sie mit Verstößen gegen den Vertrag umgehen, die bei regelmäßigen Berichten und Prüfungen des Drittanbieters festgestellt werden? Sie sollten in einem solchen Fall immer qualifizierten Rechtsrat einholen. Es gibt jedoch einige allgemeine Best-Practice-Maßnahmen, die bei Feststellung eines Verstoßes ergriffen werden sollten:
Reagieren Sie schnell
Die Zeit ist von entscheidender Bedeutung, wenn es um den Umgang mit einem Verstoß gegen die DSGVO geht. Es ist wichtig, die Verletzung so schnell wie möglich zu erkennen und zu beheben, um den potenziellen Schaden für die betroffenen Personen zu minimieren.
Untersuchen Sie den Verstoß
Führen Sie eine gründliche Untersuchung durch, um die Ursache des Verstoßes und das Ausmaß des Schadens zu ermitteln. Dies kann die Zusammenarbeit mit dem Dienstanbieter beinhalten, um die Ursache der Verletzung zu ermitteln und Maßnahmen zu ergreifen, um eine erneute Verletzung zu verhindern.
Benachrichtigen Sie die Aufsichtsbehörde
Organisationen sind verpflichtet, die zuständige Aufsichtsbehörde unverzüglich und nach Möglichkeit spätestens 72 Stunden nach Bekanntwerden eines Verstoßes gegen die DSGVO zu benachrichtigen. Die Benachrichtigung sollte Einzelheiten über die Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen sowie die getroffenen oder geplanten Maßnahmen zur Behebung der Verletzung enthalten.
Zusammenarbeit mit der Aufsichtsbehörde
Organisationen sollten bei der Untersuchung eines Verstoßes gegen die DSGVO umfassend mit der zuständigen Aufsichtsbehörde zusammenarbeiten. Dazu gehört auch die Bereitstellung aller angeforderten Informationen oder Unterstützung.
Betroffene Personen benachrichtigen
Je nach Art und Schwere des Verstoßes können Organisationen auch verpflichtet sein, die betroffenen Personen über den Verstoß zu informieren. Dies sollte klar und transparent ohne unangemessene Verzögerung geschehen.
Überprüfung und Aktualisierung von Richtlinien und Verfahren
Es ist wichtig, nach einem Verstoß gegen die DSGVO die Richtlinien und Verfahren zu überprüfen und zu aktualisieren, um sicherzustellen, dass ähnliche Vorfälle in Zukunft nicht mehr vorkommen. Dies kann die Implementierung zusätzlicher Sicherheitsmaßnahmen oder die Überprüfung und Aktualisierung bestehender Richtlinien und Verfahren beinhalten.
K&C – Ihr DSGVO-konformer IT-Outsourcing-Partner
K&C verfügt über langjährige Erfahrungen bei der Bereitstellung von DSGVO-konformen IT-Outsourcing-Dienstleistungen. Zahlreiche Partnerschaften und Projekte, die Daten unter dem Rechtsrahmen der DSGVO beinhalteten, machen uns zu Experten auf diesem Gebiet.
Wenn Sie bei der Auswahl eines IT-Outsourcing-Partners besonderen Wert auf die Einhaltung der DSGVO legen, sind Sie bei uns in guten Händen. Nehmen Sie Kontakt zu uns auf, wir helfen Ihnen gerne weiter!