Als Anbieter von Nearshore-IT-Outsourcing-Dienstleistungen ist uns die Einhaltung der europäischen Datenschutzgrundverordnung (DSGVO) ein wichtiges Anliegen. Auch für unsere überwiegend in der EU ansässigen Kunden ist die Einhaltung der DSGVO ein wichtiges Thema.
Die DSGVO, die seit dem 25. Mai 2018 in Kraft ist, soll den Datenschutze für Einzelpersonen in der Europäischen Union vereinheitlichen. In diesem Artikel geben wir Ihnen einen Überblick über alle wichtigen Änderungen und Verpflichtungen, die Sie beim Outsourcing Ihrer nächsten Software- oder IT-Projekte beachten sollten.
IT-Dienstleistungen und Softwareentwicklungsprojekte beinhalten oft den Zugriff auf und die Übertragung von Daten und können somit der DSGVO unterliegen. Manchmal bedeutet das, dass sowohl Arbeitgeber als auch in Projekten arbeitende IT-Spezialisten in der EU ansässig sein müssen. In jedem Fall müssen der DSGVO unterliegende Systeme und Infrastrukturen sorgfältig aufgebaut werden.
Für Organisationen, die mit IT-Outsourcing-Unternehmen zusammenarbeiten, und oft Spezialisten inner- und außerhalb der EU beschäftigen, ist es wichtig, die Regeln der DSGVO zu verstehen. Die DSGVO legt nämlich fest, wer unter welchen Bedingungen und in welcher Rolle oder Funktion an ihren Softwareentwicklungs- und IT-Projekten arbeiten darf.
Dieser Artikel soll Ihnen ein umfassendes Verständnis der Datenschutz-Grundverordnung vermitteln und Ihre Wahl des IT-Outsourcing-Dienstleisters und der Art der Zusammenarbeit positiv beeinflussen. Außerdem haben wir eine umfassende Liste mit FAQs zu IT-Dienstleistern sowie zum Outsourcing der Softwareentwicklung im Bezug zur DSGVO zusammengestellt.
Weitere praktische Tipps zum Schutz Ihres Unternehmens vor potenziellen DSGVO-Verstößen durch einen IT-Outsourcing-Partner (einschließlich einer Checkliste zur Einschätzung seiner Einhaltung der
DSGVO, was in den Dienstleistungsvertrag aufgenommen werden sollte, wie Sie die Einhaltung des Vertrags überwachen und wie Sie sich im Falle einer Datenverletzung verhalten) können Sie in diesem Artikel nachlesen:
Überblick über die Anforderungen der EU-DSGVO beim IT-Outsourcing
Keine der folgenden Punkte sollte als Rechtsberatung betrachtet werden, für die wir nicht qualifiziert sind. Es handelt sich lediglich um einen einführenden Überblick. Bei Fragen zur DSGVO im Bezug zu IT-Outsourcing-Themen sollten Sie sich an einen qualifizierten Rechtsberater wenden.
Was ist die Datenschutz-Grundverordnung DSGVO?
Eine Datenschutzreform wurde vom Europäischen Parlament bereits im März 2014 verabschiedet, bevor der vollständige Gesetzestext zur Datenschutz-Grundverordnung (DSGVO), dann die aus dem Jahre 1995 veraltete Datenschutzrichtlinie 95/46/EG ersetzte. Die Datenschutz-Grundverordnung (DSGVO) gilt daher ab dem 25. Mai 2018 für alle Unternehmen, die personenbezogene Daten von in der EU ansässigen Personen erheben, speichern oder verarbeiten.
Was bedeutet die DSGVO für mein Unternehmen?
Die Datenschutz-Grundverordnung (DSGVO) besagt das Unternehmen strenger kontrollieren sollen, wie Daten gespeichert und verwendet werden. Dies dient dem Schutz des Rechts auf Privatsphäre jedes Einzelnen in der Europäischen Union. Das bedeutet das IT-Infrastruktur, Software, Systeme und Prozesse auf geltende DSGVO Regelungen geprüft werden müssen. Nun einige Schritte, die Sie als Unternehmen tun können:
- Informieren Sie alle Mitarbeiter über die DSGVO-Vorschriften.
- Sensibilisieren Sie Ihre Mitarbeiter und schulen Sie sie regelmäßig, auch Beschäftigte in Home-Office.
- Bewerten/Dokumentieren Sie, welche personenbezogenen Daten Sie besitzen.
- Organisieren Sie bei Bedarf ein Informationsaudit.
- Überprüfen Sie die DSGVO-Bestimmungen/Prozesse, um Geldstrafen zu vermeiden.
Was sind personenbezogene Daten?
Informationen, die sich auf identifizierten oder identifizierbaren Personen beziehen, gelten als „personenbezogene Daten”. Darunter versteht man insbesondere Name, Telefonnummer, Standortdaten oder Online-Kennungen wie IP-Adresse und Cookies. Sogennante „sensible“ personenbezogene Daten sind beispielsweise ethnische Herkunft, politische oder religiöse Überzeugungen sowie Mitgliedschaften oder genetische/biometrische Daten. Jegliche Information, die eine Identifizierung der Person ermöglicht.
IT-Outsourcing: Datenschutz für IT-Dienstleister
Jegliche Art von Informationen ob Mitarbeiter-, Kundendaten oder andere vertrauliche Informationen werden mittlerweile in die Unternehmensinterne IT-Struktur gespeichert. Damit ist die Kenntnisnahme des beauftragten IT-Dienstleisters für das Softwareentwicklungs-Projekt anzunehmen. Sobald die IT-Infrastruktur an externe Softwareentwicklungs-Unternehmen übergeben wird, sind für gewöhnlich personenbezogene Daten wie Mitarbeiter- oder Kundendaten betroffen.
Verarbeitet das IT-Dienstleistungsunternehmen die Daten muss sich dieses an die Verpflichtungen der DSGVO halten, das gilt auch wenn diese nur Daten auf eigene Server oder deren Cloud speichert. Der Rahmen der Anforderungen und Verpflichtungen zur Einhaltung der DSGVO sollten mit IT-Dienstleistern für Softwareentwicklung vorab geklärt werden. Die wohl wichtigsten Fragen sind:
- Wer trägt die Verantwortung zur Einhaltung der DSGVO?
- Werden die Daten innerhalb oder außerhalb der EU verarbeitet?
1. IT-Outsourcing: Wer ist für die DSGVO verantwortlich?
Als „Verantwortlicher“ für die Einhaltung der DSGVO gilt die Person, Einrichtung oder Organisation, die über den Zweck und die Mittel zur Verarbeitung der personenbezogenen Daten entscheidet. Dementsprechend ist zu klären, ob eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit mit dem IT-Dienstleister vorliegt.
Bei einer Auftragsverarbeitung gilt der Softwareentwicklungs-Dienstleister als Unterstützer und wird dadurch nur als verlängerter Arm des Auftraggebers angesehen. Somit bleibt die Verantwortung der DSGVO beim Auftraggeber des Projekts, welche den Regelfall widerspiegelt. Infolgedessen muss nun ein Auftragsverarbeitungsvertrag (AVV) aufgesetzt werden. Demnach darf der beauftrage IT-Dienstleister des Softwareentwicklungs-Projekts, Daten nur zweckgebunden und nach Weisung des Auftraggebers verwenden. Sobald der Dienstleister dagegen verstößt, übernimmt dieser die volle Verantwortung.
Bei einer Einigung auf gemeinsamer Verantwortlichkeit ist der Outsourcing-Dienstleister für die Einhaltung der DSGVO genauso verpflichtet wie der Auftraggeber des Softwareentwicklungs-Projekts. Das bedeutet allerdings auch das eine Rechtsgrundlage geschaffen werden muss, da eine alleinige Einwilligung der Datenverarbeitung vom Auftraggeber nicht ausreicht. Denn auch die Rechte der Betroffenen müssen von beiden Seiten berücksichtig werden und dazu sollte Vertraglich klargestellt werden wer was genau macht.
Unabhängig davon, ob eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit für das Softwareentwicklungs-Projekt vorliegt, es ist wichtig sich bewusst zu machen das die Einhaltung eine gemeinsame Verantwortung ist. Dementsprechend sollten Sie Ihr Fachwissen sowie Tools und Prozesse im Unternehmen prüfen und auf Grundlage der daraus folgenden Erkenntnisse Änderungen vornehmen.
2. IT-Outsourcing: Datenverarbeitung außerhalb der EU
Es ist wichtig zu wissen, wo der Outsourcing-Dienstleister ansässig ist. Wenn das Softwareentwicklung Unternehmen in der EU ansässig ist, ist eine Zusammenarbeit unkompliziert. In einer Zeit in der viel ortsunabhängige Arbeit geleistet wird können Verantwortliche, Auftragnehmern und Beschäftigte außerhalb des Betriebs nur schwer beaufsichtigen. Dennoch müssen geeignete Maßnahmen zum Datenschutz und zur Datensicherheit umgesetzt werden. Dies gilt für jeden Mitarbeiter der Daten verarbeitet oder speichert, ganz unabhängig vom geografischen Aufenthaltsort der Beschäftigten.
Sobald der IT-Dienstleister (der Empfänger der Daten) sich außerhalb der EU befindet, müssen spezifische Vorgaben zum Drittlandtransfer eingehalten werden. Sobald das der Fall ist, dürfen die Daten auch in Drittländer außerhalb der EU übertragen werden. Dieses Drittland muss jedoch ein für die Europäische Kommission ausreichendes Datenschutzniveau bieten. Wenn dies nicht der Fall ist, sind ausreichend Garantien zum Schutz der Daten erforderlich.
Unternehmen die nicht in der EU ansässig sind und mit personenbezogenen Daten von EU-Bürgern arbeiten sind außerdem verpflichtet eine in der EU ansässige natürliche oder juristische Person als Vertreter schriftlich zu benennen (es gibt Ausnahmefälle).
Bußgelder vermeiden – Was können Unternehmen tun?
Die DSGVO-Vorschriften sollten bereits in der Planungsphase des Projekts berücksichtigt werden, wobei es hilfreich ist, einen erfahrenen IT-Dienstleister als Partner zu haben, der mit den DSGVO-Vorschriften und potenziellen Risiken vertraut ist. Das ist besonders wichtig da eine Verletzung der DSGVO Verordnung mit Geldbußen bei schwerem Verstoß von bis zu 20 Mio. Euro geahndet werden können.
In diesem Jahr hatte beispielweise das Unternehmen „CAIXABANK, S.A.“ gegen Artikel 6, 13 und 14 der DSGVO aufgrund von „Übermittlung personenbezogener Daten ohne Einwilligung“ verstoßen und musste ein Bußgeld von satten 6 Mio. Euro zahlen.
Unternehmen müssen ihren Datenschutz ernst nehmen und die digitale Infrastruktur DSGVO-konform gestalten. Laut Definition braucht das Unternehmen für jegliche Art von Datenübermittlung, -speicherung, und -verarbeitung eine wirksame Einwilligung aller betroffenen Personen. Der gesamte Umgang mit Daten sollte sehr genau mit professioneller Rechtsberatung diskutiert werden. Es zeigt sich das Datenschutzbehörden immer strenger und aufmerksamer werden, wenn es um Verstöße der DSGVO geht. Um Fehler im Datenschutz auch beim Outsourcing der Softwareentwicklung zu vermeiden, sollten Sie nur mit geeigneten IT-Dienstleistern zusammenarbeiten, die über ausreichende (datenschutzrechtliche) Kenntnisse verfügen.
FAQ – DSGVO im Kontext von IT-Outsourcing
Darf das IT-Outsourcing-Unternehmen die personenbezogenen Daten außerhalb der EU verarbeiten? Ist die Datenübermittlung in Drittländer zulässig?
- Alle in der EU ansässigen Unternehmen müssen sobald diese personenbezogene Daten verwenden die Datenschutz-Grundverordnung einhalten. Unabhängig, ob die Verarbeitung der Daten in der EU stattfindet oder nicht.
- Sobald der Empfänger der Daten (das IT-Outsourcing-Unternehmen) außerhalb der EU liegt, müssen in erster Linie spezifische Anforderungen für die Übermittlung in Drittländer erfüllt werden – mehr dazu im Artikel.
Gibt es eine Überwachungspflicht?
- Für IT-Outsourcing-Projekte wird eine Regelung zur Leistungsüberwachung empfehlenswert. Auch wenn keine Überwachungspflicht besteht, ist es sinnvoll, das Softwareentwicklungsprojekt zu dokumentieren bzw. zu überwachen, insbesondere für den Fall einer Leistungsstörung.
Darf der IT-Dienstleister Subunternehmen beauftragen?
- Der Outsourcing-Dienstleister der Softwareentwicklung darf im Falle der Auftragsverarbeitung Unterauftragnehmer einsetzen, solange er die Zustimmung des Auftraggebers hat.
Besteht eine Meldepflicht?
- Der IT-Outsourcing Partner hat bei Datenpannen eine Dokumentations- und Meldepflicht vorzunehmen. Es ist festzustellen, was genau passiert ist und wie schwerwiegend die Auswirkungen tatsächlich sind.
Gibt es eine Dokumentationspflicht?
- Der IT-Outsourcing-Partner hat die Pflicht, Datenverletzungen zu dokumentieren und zu melden. Dabei sollte festgestellt werden, was genau passiert ist und wie schwerwiegend die Auswirkungen tatsächlich sind.
Was passiert bei Datenpannen?
- Datenpannen oder auch „Data Breaches“ sind Vorfälle, bei denen Unbefugte auf personenbezogene Daten zugreifen können, z.B. aufgrund von Fehlern oder Versäumnissen.
- Bei Datenpannen ist der IT-Dienstleister Ihres Softwareprojekts verpflichtet, diese zu dokumentieren und zu melden. Die Inhalte, die an eine Datenschutzbehörde gemeldet werden müssen, sind in der DSGVO genau definiert.
Gelten die gleichen Regeln für öffentliche Einrichtungen?
- Der Fokus auf den Datenschutz ist in öffentlichen Einrichtungen besonders hoch. Dort ist oft nicht nur die europäische Datenschutz-Grundverordnung (EU-DSGVO) zu beachten, sondern auch die nationalen (BDSG) oder regionalen Datenschutzrichtlinien.
- Öffentliche Stellen sollten die geltenden Regeln für die Verarbeitung personenbezogener Daten mit der Behörde auf ihre Rechtmäßigkeit hin überprüfen.
Ist eine Datenweitergabe notwendig? Welche Daten werden weitergegeben?
- Jede Art von Information, ob Mitarbeiter- oder Kundendaten, wird in der Regel nicht mehr auf Papier in Ordnern, sondern in der unternehmensinternen IT-Infrastruktur gespeichert. Bei der Beauftragung eines IT-Dienstleisters mit der Entwicklung von Software muss davon ausgegangen werden, dass einige dieser Daten bekannt werden.
Auftragsverarbeitung – Wer ist für die Einhaltung der DSGVO verantwortlich?
- Unabhängig davon, ob es sich um eine Auftragsverarbeitung oder um eine gemeinsame Verantwortung für das Softwareentwicklungsprojekt handelt, ist es wichtig, sich bewusst zu machen, dass die Einhaltung der Vorschriften eine gemeinsame Verantwortung ist.
Habe ich ein erhöhtes Risiko, wenn Daten außerhalb der EU verarbeitet werden?
- Solange der IT-Dienstleister einen hohen Datenschutzstandard hat, stellt die Anwesenheit seiner Mitarbeiter in Drittländern gewöhnlich kein erhöhtes Risiko dar.