Als Anbieter von Nearshore-IT-Outsourcing-Dienstleistungen ist uns die Einhaltung der europäischen Datenschutzgrundverordnung (DSGVO) ein wichtiges Anliegen. Auch für unsere überwiegend in der EU ansässigen Kunden ist die Einhaltung der DSGVO ein wichtiges Thema.
Die DSGVO, die seit dem 25. Mai 2018 in Kraft ist, soll den Datenschutze für Einzelpersonen in der Europäischen Union vereinheitlichen. In diesem Artikel geben wir Ihnen einen Überblick über alle wichtigen Änderungen und Verpflichtungen, die Sie beim Outsourcing Ihrer nächsten Software- oder IT-Projekte beachten sollten.
IT-Dienstleistungen und Softwareentwicklungsprojekte beinhalten oft den Zugriff auf und die Übertragung von Daten und können somit der DSGVO unterliegen. Manchmal bedeutet das, dass sowohl Arbeitgeber als auch in Projekten arbeitende IT-Spezialisten in der EU ansässig sein müssen. In jedem Fall müssen der DSGVO unterliegende Systeme und Infrastrukturen sorgfältig aufgebaut werden.
Für Organisationen, die mit IT-Outsourcing-Unternehmen zusammenarbeiten, und oft Spezialisten inner- und außerhalb der EU beschäftigen, ist es wichtig, die Regeln der DSGVO zu verstehen. Die DSGVO legt nämlich fest, wer unter welchen Bedingungen und in welcher Rolle oder Funktion an ihren Softwareentwicklungs- und IT-Projekten arbeiten darf.
Dieser Artikel soll Ihnen ein umfassendes Verständnis der Datenschutz-Grundverordnung vermitteln und Ihre Wahl des IT-Outsourcing-Dienstleisters und der Art der Zusammenarbeit positiv beeinflussen. Außerdem haben wir eine umfassende Liste mit FAQs zu IT-Dienstleistern sowie zum Outsourcing der Softwareentwicklung im Bezug zur DSGVO zusammengestellt.
Weitere praktische Tipps zum Schutz Ihres Unternehmens vor potenziellen DSGVO-Verstößen durch einen IT-Outsourcing-Partner (einschließlich einer Checkliste zur Einschätzung seiner Einhaltung der
DSGVO, was in den Dienstleistungsvertrag aufgenommen werden sollte, wie Sie die Einhaltung des Vertrags überwachen und wie Sie sich im Falle einer Datenverletzung verhalten) können Sie in diesem Artikel nachlesen:
Überblick über die Anforderungen der EU-DSGVO beim IT-Outsourcing
Keine der folgenden Punkte sollte als Rechtsberatung betrachtet werden, für die wir nicht qualifiziert sind. Es handelt sich lediglich um einen einführenden Überblick. Bei Fragen zur DSGVO im Bezug zu IT-Outsourcing-Themen sollten Sie sich an einen qualifizierten Rechtsberater wenden.
Können wir Ihnen bei Ihrem nächsten Softwareentwicklungsprojekt helfen?
Flexible Modelle für Ihre Bedürfnisse!
Eine Datenschutzreform wurde vom Europäischen Parlament bereits im März 2014 verabschiedet, bevor der vollständige Gesetzestext zur Datenschutz-Grundverordnung (DSGVO), dann die aus dem Jahre 1995 veraltete Datenschutzrichtlinie 95/46/EG ersetzte. Die Datenschutz-Grundverordnung (DSGVO) gilt daher ab dem 25. Mai 2018 für alle Unternehmen, die personenbezogene Daten von in der EU ansässigen Personen erheben, speichern oder verarbeiten.
Die Datenschutz-Grundverordnung (DSGVO) besagt das Unternehmen strenger kontrollieren sollen, wie Daten gespeichert und verwendet werden. Dies dient dem Schutz des Rechts auf Privatsphäre jedes Einzelnen in der Europäischen Union. Das bedeutet das IT-Infrastruktur, Software, Systeme und Prozesse auf geltende DSGVO Regelungen geprüft werden müssen. Nun einige Schritte, die Sie als Unternehmen tun können:
Informationen, die sich auf identifizierten oder identifizierbaren Personen beziehen, gelten als „personenbezogene Daten”. Darunter versteht man insbesondere Name, Telefonnummer, Standortdaten oder Online-Kennungen wie IP-Adresse und Cookies. Sogennante „sensible“ personenbezogene Daten sind beispielsweise ethnische Herkunft, politische oder religiöse Überzeugungen sowie Mitgliedschaften oder genetische/biometrische Daten. Jegliche Information, die eine Identifizierung der Person ermöglicht.
Jegliche Art von Informationen ob Mitarbeiter-, Kundendaten oder andere vertrauliche Informationen werden mittlerweile in die Unternehmensinterne IT-Struktur gespeichert. Damit ist die Kenntnisnahme des beauftragten IT-Dienstleisters für das Softwareentwicklungs-Projekt anzunehmen. Sobald die IT-Infrastruktur an externe Softwareentwicklungs-Unternehmen übergeben wird, sind für gewöhnlich personenbezogene Daten wie Mitarbeiter- oder Kundendaten betroffen.
Verarbeitet das IT-Dienstleistungsunternehmen die Daten muss sich dieses an die Verpflichtungen der DSGVO halten, das gilt auch wenn diese nur Daten auf eigene Server oder deren Cloud speichert. Der Rahmen der Anforderungen und Verpflichtungen zur Einhaltung der DSGVO sollten mit IT-Dienstleistern für Softwareentwicklung vorab geklärt werden. Die wohl wichtigsten Fragen sind:
Als „Verantwortlicher“ für die Einhaltung der DSGVO gilt die Person, Einrichtung oder Organisation, die über den Zweck und die Mittel zur Verarbeitung der personenbezogenen Daten entscheidet. Dementsprechend ist zu klären, ob eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit mit dem IT-Dienstleister vorliegt.
Bei einer Auftragsverarbeitung gilt der Softwareentwicklungs-Dienstleister als Unterstützer und wird dadurch nur als verlängerter Arm des Auftraggebers angesehen. Somit bleibt die Verantwortung der DSGVO beim Auftraggeber des Projekts, welche den Regelfall widerspiegelt. Infolgedessen muss nun ein Auftragsverarbeitungsvertrag (AVV) aufgesetzt werden. Demnach darf der beauftrage IT-Dienstleister des Softwareentwicklungs-Projekts, Daten nur zweckgebunden und nach Weisung des Auftraggebers verwenden. Sobald der Dienstleister dagegen verstößt, übernimmt dieser die volle Verantwortung.
Bei einer Einigung auf gemeinsamer Verantwortlichkeit ist der Outsourcing-Dienstleister für die Einhaltung der DSGVO genauso verpflichtet wie der Auftraggeber des Softwareentwicklungs-Projekts. Das bedeutet allerdings auch das eine Rechtsgrundlage geschaffen werden muss, da eine alleinige Einwilligung der Datenverarbeitung vom Auftraggeber nicht ausreicht. Denn auch die Rechte der Betroffenen müssen von beiden Seiten berücksichtig werden und dazu sollte Vertraglich klargestellt werden wer was genau macht.
Unabhängig davon, ob eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit für das Softwareentwicklungs-Projekt vorliegt, es ist wichtig sich bewusst zu machen das die Einhaltung eine gemeinsame Verantwortung ist. Dementsprechend sollten Sie Ihr Fachwissen sowie Tools und Prozesse im Unternehmen prüfen und auf Grundlage der daraus folgenden Erkenntnisse Änderungen vornehmen.
Es ist wichtig zu wissen, wo der Outsourcing-Dienstleister ansässig ist. Wenn das Softwareentwicklung Unternehmen in der EU ansässig ist, ist eine Zusammenarbeit unkompliziert. In einer Zeit in der viel ortsunabhängige Arbeit geleistet wird können Verantwortliche, Auftragnehmern und Beschäftigte außerhalb des Betriebs nur schwer beaufsichtigen. Dennoch müssen geeignete Maßnahmen zum Datenschutz und zur Datensicherheit umgesetzt werden. Dies gilt für jeden Mitarbeiter der Daten verarbeitet oder speichert, ganz unabhängig vom geografischen Aufenthaltsort der Beschäftigten.
Sobald der IT-Dienstleister (der Empfänger der Daten) sich außerhalb der EU befindet, müssen spezifische Vorgaben zum Drittlandtransfer eingehalten werden. Sobald das der Fall ist, dürfen die Daten auch in Drittländer außerhalb der EU übertragen werden. Dieses Drittland muss jedoch ein für die Europäische Kommission ausreichendes Datenschutzniveau bieten. Wenn dies nicht der Fall ist, sind ausreichend Garantien zum Schutz der Daten erforderlich.
Unternehmen die nicht in der EU ansässig sind und mit personenbezogenen Daten von EU-Bürgern arbeiten sind außerdem verpflichtet eine in der EU ansässige natürliche oder juristische Person als Vertreter schriftlich zu benennen (es gibt Ausnahmefälle).
Die DSGVO-Vorschriften sollten bereits in der Planungsphase des Projekts berücksichtigt werden, wobei es hilfreich ist, einen erfahrenen IT-Dienstleister als Partner zu haben, der mit den DSGVO-Vorschriften und potenziellen Risiken vertraut ist. Das ist besonders wichtig da eine Verletzung der DSGVO Verordnung mit Geldbußen bei schwerem Verstoß von bis zu 20 Mio. Euro geahndet werden können.
In diesem Jahr hatte beispielweise das Unternehmen „CAIXABANK, S.A.“ gegen Artikel 6, 13 und 14 der DSGVO aufgrund von „Übermittlung personenbezogener Daten ohne Einwilligung“ verstoßen und musste ein Bußgeld von satten 6 Mio. Euro zahlen.
Unternehmen müssen ihren Datenschutz ernst nehmen und die digitale Infrastruktur DSGVO-konform gestalten. Laut Definition braucht das Unternehmen für jegliche Art von Datenübermittlung, -speicherung, und -verarbeitung eine wirksame Einwilligung aller betroffenen Personen. Der gesamte Umgang mit Daten sollte sehr genau mit professioneller Rechtsberatung diskutiert werden. Es zeigt sich das Datenschutzbehörden immer strenger und aufmerksamer werden, wenn es um Verstöße der DSGVO geht. Um Fehler im Datenschutz auch beim Outsourcing der Softwareentwicklung zu vermeiden, sollten Sie nur mit geeigneten IT-Dienstleistern zusammenarbeiten, die über ausreichende (datenschutzrechtliche) Kenntnisse verfügen.
Wir setzen Ihr nächstes Softwareprojekt datenschutzkonform um.
Bringen Sie Ihr nächstes IT-Projekt in Schwung!
K&C - Wir schaffen innovative Tech-Lösungen seit über 20 Jahren.
Kontaktieren Sie uns, um Ihre individuellen Bedürfnisse oder Ihr nächstes Projekt zu diskutieren.