IT-Outsourcing: Datenschutz Anforderungen für IT-Dienstleister (EU-DSGVO)

Wir beantworten Ihre Fragen zur EU-Datenschutzverordnung im Zusammenhang mit dem IT-Outsourcing

IT Beratung und Digitale TransformationUPDATED ON Oktober 15, 2021

Cover image for blog on DSGVO rules and considerations around IT outsourcing and software entwicklung unternehmen

Als Dienstleister für das IT-Outsourcing von Teams aus Softwareentwicklern und anderen IT-Spezialisten an Standorten in Osteuropa, einschließlich EU-Mitgliedstaaten sowie Ländern außerhalb der EU, ist uns die Einhaltung der DSGVO ein wichtiges Anliegen. Die Einhaltung der DSGVO ist auch für unsere hauptsächlich in der EU ansässigen Kunden ein enorm wichtiges Thema.

Die Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 in Kraft ist, zielt auf die Vereinheitlichung des Datenschutzes für Einzelpersonen in der Europäischen Union ab. In diesem Artikel geben wir Ihnen einen Überblick über alle wichtigen Änderungen und Verpflichtungen, die Sie beim Outsourcing Ihrer nächsten Software- oder IT-Projekte beachten sollten.

IT-Dienstleistungen und Softwareentwicklungsprojekte beinhalten oft den Zugriff auf und die Übertragung von Daten. Als solche unterliegen diese oft der Datenschutz-Grundverordnung und müssen entsprechend geprüft werden. Manchmal bedeutet dies, dass die IT-Spezialisten, die an diesen Projekten arbeiten, und ihre Arbeitgeber in der EU ansässig sein müssen. Möglicherweise müssen die Systeme und Infrastrukturen sorgfältig auf die Einhaltung der DSGVO ausgerichtet werden.

Für Organisationen, die mit IT-Outsourcing-Unternehmen zusammenarbeiten, die oft Spezialisten in und außerhalb der EU beschäftigen, ist es wichtig, die Regeln der Allgemeinen Datenschutzverordnung zu verstehen. Diese Vorschriften legen fest, wer unter welchen Bedingungen und in welcher Rolle oder Funktion an ihren Softwareentwicklungs- und anderen IT-Projekten arbeiten darf.

Dieser Artikel soll Ihnen ein umfassendes Verständnis der Datenschutz-Grundverordnung vermitteln, die Ihre Wahl des IT-Outsourcing-Dienstleisters und die Art und Weise, wie Sie mit ihm zusammenarbeiten, beeinflussen kann. Außerdem haben wir eine umfassende Liste mit häufig gestellten Fragen zu IT-Dienstleistern und zum Outsourcing der Softwareentwicklung zusammengestellt.

Keine der unten aufgeführten Fragen sollte als Rechtsberatung betrachtet werden, für die wir nicht qualifiziert sind. Es handelt sich lediglich um einen einführenden Überblick, und Sie sollten sich bei Fragen zur Datenschutz-Grundverordnung (DSGVO), die Sie zu IT-Outsourcing-Themen haben, an einen qualifizierten Rechtsbeistand wenden.

Können wir Ihnen bei Ihrem nächsten Softwareentwicklungsprojekt helfen?

Flexible Modelle für Ihre Bedürfnisse!

Was ist die Datenschutz-Grundverordnung DSGVO?

Eine Datenschutzreform wurde vom Europäischen Parlament bereits im März 2014 verabschiedet, bevor der vollständige Gesetzestext zur Datenschutz-Grundverordnung (DSGVO), dann die aus dem Jahre 1995 veraltete Datenschutzrichtlinie 95/46/EG ersetzte. Die Datenschutz-Grundverordnung (DSGVO) gilt daher ab dem 25. Mai 2018 für alle Unternehmen, die personenbezogene Daten von in der EU ansässigen Personen erheben, speichern oder verarbeiten.

Was bedeutet die DSGVO für mein Unternehmen?

Die Datenschutz-Grundverordnung (DSGVO) besagt das Unternehmen strenger kontrollieren sollen, wie Daten gespeichert und verwendet werden. Dies dient dem Schutz des Rechts auf Privatsphäre jedes Einzelnen in der Europäischen Union. Das bedeutet das IT-Infrastruktur, Software, Systeme und Prozesse auf geltende DSGVO Regelungen geprüft werden müssen. Nun einige Schritte, die Sie als Unternehmen tun können:

  • Informieren Sie alle Mitarbeiter über die DSGVO-Vorschriften.
  • Sensibilisieren Sie Ihre Mitarbeiter und schulen Sie sie regelmäßig, auch Beschäftigte in Home-Office.
  • Bewerten/Dokumentieren Sie, welche personenbezogenen Daten Sie besitzen.
  • Organisieren Sie bei Bedarf ein Informationsaudit.
  • Überprüfen Sie die DSGVO-Bestimmungen/Prozesse, um Geldstrafen zu vermeiden.

Was sind personenbezogene Daten?

Informationen, die sich auf Personen beziehen die identifiziert oder identifizierbar sind, gelten als „personenbezogene Daten”. Darunter versteht man insbesondere Name, Telefonnummer, Standortdaten oder Online-Kennungen wie IP-Adresse und Cookies. Sogennante „sensible“ personenbezogene Daten sind beispielsweise ethnische Herkunft, politische oder religiöse Überzeugungen sowie Mitgliedschaften oder genetische/biometrische Daten. Jegliche Information, die eine Identifizierung der Person ermöglicht.

IT-Outsourcing: Datenschutz für IT-Dienstleister

Jegliche Art von Informationen ob Mitarbeiter-, Kundendaten oder andere vertrauliche Informationen werden mittlerweile in die Unternehmensinterne IT-Struktur gespeichert. Damit ist die Kenntnisnahme des beauftragten IT-Dienstleisters für das Softwareentwicklungs-Projekt anzunehmen. Sobald die IT-Infrastruktur an externe Softwareentwicklungs-Unternehmen übergeben wird, sind für gewöhnlich personenbezogene Daten wie Mitarbeiter- oder Kundendaten betroffen.

Verarbeitet das IT-Dienstleistungsunternehmen die Daten muss sich dieses an die Verpflichtungen der DSGVO halten, das gilt auch wenn diese Daten auf eigene Server oder der Cloud gespeichert werden. Der Rahmen der Anforderungen und Verpflichtungen zur Einhaltung der DSGVO sollten mit IT-Dienstleistern für Softwareentwicklung vorab geklärt werden. Die wohl wichtigsten Fragen sind:

  • Wer trägt die Verantwortung zur Einhaltung der DSGVO?
  • Werden die Daten innerhalb oder außerhalb der EU verarbeitet?

1.    IT-Outsourcing: Wer ist für die DSGVO verantwortlich?

Als „Verantwortlicher“ für die Einhaltung der DSGVO gilt die Person, Einrichtung oder Organisation, die über den Zweck und die Mittel zur Verarbeitung der personenbezogenen Daten entscheidet. Dementsprechend ist zu klären, ob eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit mit dem IT-Dienstleister vorliegt.

Bei einer Auftragsverarbeitung gilt der Softwareentwicklungs-Dienstleister als Unterstützer und wird dadurch nur als verlängerter Arm des Auftraggebers angesehen. Somit bleibt die Verantwortung der DSGVO beim Auftraggeber des Projekts, welche den Regelfall widerspiegelt. Infolgedessen muss nun ein Auftragsverarbeitungsvertrag (AVV) aufgesetzt werden. Demnach darf der beauftrage IT-Dienstleister des Softwareentwicklungs-Projekts, Daten nur zweckgebunden und nach Weisung des Auftraggebers verwenden. Sobald der Dienstleister dagegen verstößt, übernimmt dieser die volle Verantwortung.

Bei einer Einigung auf gemeinsamer Verantwortlichkeit ist der Outsourcing-Dienstleister für die Einhaltung der DSGVO genauso verpflichtet wie der Auftraggeber des Softwareentwicklungs-Projekts. Das bedeutet allerdings auch das eine Rechtsgrundlage geschaffen werden muss, da eine alleinige Einwilligung der Datenverarbeitung vom Auftraggeber nicht ausreicht. Denn auch die Rechte der Betroffenen müssen von beiden Seiten berücksichtig werden, außerdem sollte Vertraglich klargestellt werden wer was genau macht.

Unabhängig davon, ob eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit für das Softwareentwicklungs-Projekt vorliegt, es ist wichtig sich bewusst zu machen das die Einhaltung eine gemeinsame Verantwortung ist. Dementsprechend sollten Sie Ihr Fachwissen sowie Tools und Prozesse im Unternehmen prüfen und auf Grundlage der daraus folgenden Erkenntnisse Änderungen vornehmen.

2.    IT-Outsourcing: Datenverarbeitung außerhalb der EU

Es ist wichtig zu wissen, wo der Outsourcing-Dienstleister ansässig ist. Wenn das Softwareentwicklung Unternehmen in der EU ansässig ist eine Zusammenarbeit unkompliziert. In einer Zeit in der viel Remote Arbeit geleistet wird können Verantwortliche, Auftragnehmern und Beschäftigte außerhalb des Betriebs nur schwer beaufsichtigen. Dennoch müssen geeignete Maßnahmen zum Datenschutz und zur Datensicherheit umgesetzt werden. Dies gilt für jeden Mitarbeiter der Daten verarbeitet oder speichert, ganz unabhängig vom geografischen Aufenthaltsort der Beschäftigten.

Sobald der IT-Dienstleister (der Empfänger der Daten) sich außerhalb der EU befindet, müssen spezifische Vorgaben zum Drittlandtransfer eingehalten werden. Sobald das der Fall ist, dürfen die Daten auch in Drittländer außerhalb der EU übertragen werden. Dieses Drittland muss jedoch ein für die Europäische Kommission ausreichendes Datenschutzniveau bieten. Wenn dies nicht der Fall ist, sind ausreichend Garantien zum Schutz der Daten erforderlich.

Unternehmen die nicht in der EU ansässig sind und mit personenbezogenen Daten von EU-Bürgern arbeiten sind außerdem verpflichtet eine in der EU ansässige natürliche oder juristische Person als Vertreter schriftlich zu benennen (in Ausnahmefällen nicht).

Bußgelder vermeiden – Was können Unternehmen tun?

Die DSGVO-Vorschriften sollten bereits in der Planungsphase des Projekts berücksichtigt werden, wobei es hilfreich ist, einen erfahrenen IT-Dienstleister als Partner zu haben, der mit den DSGVO-Vorschriften und potenziellen Risiken vertraut ist. Das ist besonders wichtig da eine Verletzung der DSGVO Verordnung mit Geldbußen bei schwerem Verstoß von bis zu 20 Mio. Euro geahndet werden können.

In diesem Jahr hatte beispielweise das Unternehmen „CAIXABANK, S.A.“ gegen Artikel 6, 13 und 14 der DSGVO aufgrund von „Übermittlung personenbezogener Daten ohne Einwilligung“ verstoßen und musste ein Bußgeld von satten 6 Mio. Euro zahlen.

Unternehmen müssen ihren Datenschutz ernst nehmen und die digitale Infrastruktur DSGVO-konform gestalten. Laut Definition braucht das Unternehmen für jegliche Art von Datenübermittlung, -speicherung, und -verarbeitung eine wirksame Einwilligung aller betroffenen Personen. Der gesamte Umgang mit Daten sollte sehr genau mit professioneller Rechtsberatung diskutiert werden. Es zeigt sich das Datenschutzbehörden immer strenger und aufmerksamer werden, wenn es um Verstöße der DSGVO geht. Um Fehler im Datenschutz auch beim Outsourcing der Softwareentwicklung zu vermeiden, sollten Sie nur mit geeigneten IT-Dienstleistern zusammenarbeiten, die über ausreichende (datenschutzrechtliche) Kenntnisse verfügen.

Wir setzen Ihr nächstes Softwareprojekt datenschutzkonform um.

Bringen Sie Ihr nächstes IT-Projekt in Schwung!

FAQ – DSGVO im Kontext von IT-Outsourcing

Darf das IT-Outsourcing-Unternehmen die personenbezogenen Daten außerhalb der EU verarbeiten? Ist die Datenübermittlung in Drittländer zulässig?

  • Alle in der EU ansässigen Unternehmen müssen die Datenschutz-Grundverordnung einhalten, sobald diese personenbezogene Daten verwenden. Unabhängig, ob die Verarbeitung der Daten in der EU stattfindet oder nicht.
  • Sobald der Empfänger der Daten (das Unternehmen) außerhalb der EU liegt, müssen in erster Linie spezifische Anforderungen für die Übermittlung in Drittländer erfüllt werden – mehr dazu im Artikel.

Gibt es eine Überwachungspflicht?

  • Für IT-Outsourcing-Projekte wird eine Regelung zur Leistungsüberwachung empfohlen. Auch wenn keine Überwachungspflicht besteht, ist es sinnvoll, das Softwareentwicklungsprojekt zu dokumentieren bzw. zu überwachen, insbesondere im Falle einer Leistungsstörung.

Darf der IT-Dienstleister Subunternehmen beauftragen?

  • Der Outsourcing-Dienstleister der Softwareentwicklung darf im Falle der Auftragsverarbeitung Unterauftragnehmer einsetzen, solange er die Zustimmung des Auftraggebers hat.

Besteht eine Meldepflicht?

  • Der IT-Outsourcing Partner hat Datenpannen eine Dokumentations- und Meldepflicht vorzunehmen. Es ist festzustellen, was genau passiert ist und wie schwerwiegend die Auswirkungen tatsächlich sind.

Gibt es eine Dokumentationspflicht?

  • Der IT-Outsourcing-Partner hat die Pflicht, Datenverletzungen zu dokumentieren und zu melden. Dabei sollte festgestellt werden, was genau passiert ist und wie schwerwiegend die Auswirkungen tatsächlich sind.

Was passiert bei Datenpannen?

  • Datenpannen oder auch „Data Breaches“ sind Vorfälle, bei denen Unbefugte auf personenbezogene Daten zugreifen können, z.B. aufgrund von Fehlern oder Versäumnissen.
  • Bei Datenpannen ist der IT-Dienstleister Ihres Softwareprojekts verpflichtet, diese zu dokumentieren und zu melden. Die Inhalte, die an eine Datenschutzbehörde gemeldet werden müssen, sind in der DSGVO genau definiert.

Gelten die gleichen Regeln für öffentliche Einrichtungen?

  • Der Fokus auf den Datenschutz ist in öffentlichen Einrichtungen besonders hoch. Dort ist oft nicht nur die europäische Datenschutz-Grundverordnung (EU-DSGVO) zu beachten, sondern auch die nationalen (BDSG) oder regionalen Datenschutzrichtlinien.
  • Öffentliche Stellen sollten die geltenden Regeln für die Verarbeitung personenbezogener Daten in der Behörde auf ihre Rechtmäßigkeit hin überprüfen.

Ist eine Datenweitergabe notwendig? Welche Daten werden weitergegeben?

  • Jede Art von Information, ob Mitarbeiter- oder Kundendaten, wird in der Regel nicht mehr auf Papier in Ordnern, sondern in der unternehmensinternen IT-Infrastruktur gespeichert. Bei der Beauftragung eines IT-Dienstleisters mit der Entwicklung von Software muss davon ausgegangen werden, dass dies bekannt ist.

Auftragsverarbeitung – Wer ist für die Einhaltung der DSGVO verantwortlich?

  • Unabhängig davon, ob es sich um eine Auftragsverarbeitung oder um eine gemeinsame Verantwortung für das Softwareentwicklungsprojekt handelt, ist es wichtig, sich bewusst zu machen, dass die Einhaltung der Vorschriften eine gemeinsame Verantwortung ist.

Habe ich ein erhöhtes Risiko, wenn Daten außerhalb der EU verarbeitet werden?

  • Solange der IT-Dienstleister einen hohen Datenschutzstandard hat, stellt die Anwesenheit seiner Mitarbeiter in Drittländern gewöhnlich kein erhöhtes Risiko dar.

K&C - Wir schaffen innovative Tech-Lösungen seit über 20 Jahren.

Kontaktieren Sie uns, um Ihre individuellen Bedürfnisse oder Ihr nächstes Projekt zu diskutieren.

Related Service

Kubernetes Beratung | K&C – Ihre Multi-Cloud-Experten

Read more >