Werden Sie in nur 12 Wochen NIS2 audit-ready! Erfahren Sie mehr darüber, wie wir Sie im Bereich NIS2 unterstützen können→
Setzen Sie KI in Ergebnisse umBauen Sie Ihre KI-orientierten Teams auf →

Die Anforderungen der DSGVO im IT-Outsourcing – ein praktischer Leitfaden

Alles, was Sie wissen müssen, um Ihr Unternehmen vor möglichen Verstößen gegen Datenschutz- und Privatsphärengesetze im Rahmen von IT-Outsourcing-Partnerschaften zu schützen

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung des EU-Rechts zum Datenschutz und zur Privatsphäre für alle Personen innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR). Sie regelt auch die Übermittlung personenbezogener Daten außerhalb der EU und des EWR.

Die DSGVO verstehen und ihre Auswirkungen auf IT-Outsourcing-Beziehungen

Bei der Entwicklung und Wartung von IT-Systemen, Infrastruktur, Datenbanken und Software kann es zur Verarbeitung und Übermittlung von Daten kommen, die unter die Bestimmungen der DSGVO fallen. Daher müssen Organisationen, deren IT-Funktionen Auswirkungen auf die DSGVO haben, die einzuhaltenden Vorschriften und Verfahren kennen.

Unternehmen, die mit externen IT-Outsourcing-Anbietern zusammenarbeiten, die IT-Aufgaben übernehmen, auf die die DSGVO Anwendung findet, tragen die zusätzliche Verantwortung dafür, sicherzustellen, dass ihre Anbieter ihre Arbeit DSGVO-konform ausführen. Die Folgen einer Nichtbeachtung können äußerst schwerwiegend sein.

Beispiele für Verstöße gegen die DSGVO im Zusammenhang mit IT-Outsourcing und deren Folgen

  • Im Jahr 2019 verhängte das Bundesamt für Datenschutz (BfDI) gegen H&M eine Geldbuße in Höhe von 35,3 Millionen Euro wegen einer Datenschutzverletzung, bei der die personenbezogenen Daten von über 2 Millionen Kunden offengelegt wurden. Die Datenschutzverletzung wurde durch mangelnde Absicherung von Systemen verursacht, die im Zuge der Übernahme eines IT-Outsourcing-Anbieters übernommen worden waren.
  • Im Jahr 2020 verhängte die französische Datenschutzbehörde (CNIL) gegen Google eine Geldstrafe in Höhe von 100 Millionen Euro wegen eines Verstoßes gegen die Transparenzvorschriften der DSGVO. Die CNIL stellte fest, dass Google den Nutzern keine klaren und umfassenden Informationen über seine Datenverarbeitungsaktivitäten im Rahmen seiner Outsourcing-Vereinbarungen mit Drittanbietern zur Verfügung gestellt hatte.
  • Im Jahr 2020 verhängte die ICO gegen den Royal Free NHS Trust eine Geldstrafe in Höhe von 180.000 £ wegen einer Datenschutzverletzung, durch die die personenbezogenen Daten von über 1,7 Millionen Patienten offengelegt wurden. Die Datenschutzverletzung wurde durch mangelnde Absicherung von Systemen verursacht, die im Zuge der Übernahme eines IT-Outsourcing-Anbieters übernommen worden waren.

Diese Beispiele verdeutlichen, wie wichtig es ist, die Einhaltung der DSGVO durch Ihren IT-Outsourcing-Partner sorgfältig zu prüfen und geeignete Sicherheitsvorkehrungen zum Schutz personenbezogener Daten in Ihren IT-Outsourcing-Vereinbarungen zu treffen, unabhängig davon, wo sich Ihr Unternehmen befindet.

Als Endkunde eines IT-Outsourcing-Anbieters sollten Sie einige Aspekte der DSGVO beachten und darauf vorbereitet sein:

  • Beurteilung der DSGVO-Konformität Ihres IT-Outsourcing-Partners
  • Umsetzung der DSGVO-Anforderungen in Ihrem IT-Outsourcing-Vertrag
  • Überwachung der DSGVO-Konformität in Ihrer IT-Outsourcing-Beziehung
  • Umgang mit Verstößen gegen die DSGVO im Rahmen Ihrer IT-Outsourcing-Vereinbarung

Weitere Informationen zur DSGVO im Zusammenhang mit IT-Outsourcing finden Sie in diesem Artikel, der die wichtigsten häufig gestellten Fragen zu diesem Thema behandelt –

Datenschutzanforderungen für IT-Dienstleister (EU-DSGVO): Antworten auf Ihre Fragen zur EU-Datenschutz-Grundverordnung im Zusammenhang mit Nearshore-Outsourcing.

Überprüfung der DSGVO-Konformität Ihres IT-Outsourcing-Partners – eine Checkliste

Hier ist eine Checkliste mit Punkten, auf die eine Organisation bei einem IT-Outsourcing-Anbieter achten sollte, der Daten verarbeitet, verwaltet oder Zugriff auf Daten hat, die der Datenschutz-Grundverordnung (DSGVO) unterliegen:

Einhaltung der DSGVO

Der IT-Outsourcing-Anbieter sollte nachweisen können, dass er die DSGVO einhält und geeignete Maßnahmen zum Schutz personenbezogener Daten umgesetzt hat. Dazu können der eingebaute Datenschutz (Data Protection by Design) und der standardmäßige Datenschutz (Data Protection by Default), Maßnahmen zur Datensicherheit sowie Vorkehrungen für den Fall von Datenschutzverletzungen gehören.

Verträge über die Auftragsverarbeitung

Der IT-Outsourcing-Anbieter sollte über eine schriftliche Vereinbarung verfügen, in der die Rollen und Verantwortlichkeiten jeder Partei im Hinblick auf die Einhaltung der DSGVO festgelegt sind. Diese Vereinbarung sollte Bestimmungen zu Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, zu Datensicherheitsmaßnahmen sowie zu Datenschutzverletzungen enthalten.

Datenschutzbeauftragter (DSB)

Wenn die Verarbeitung personenbezogener Daten die Hauptgeschäftstätigkeit des IT-Outsourcing-Anbieters darstellt, kann es erforderlich sein, einen Datenschutzbeauftragten zu benennen, der die Einhaltung der DSGVO überwacht.

Rechte der betroffenen Personen

Der IT-Outsourcing-Anbieter sollte die Rechte der betroffenen Personen achten, wie beispielsweise das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer personenbezogenen Daten.

Datenübertragungen

Wenn der IT-Outsourcing-Anbieter personenbezogene Daten außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) übermittelt, sollte er sicherstellen, dass angemessene Schutzmaßnahmen zum Schutz der Daten getroffen werden, wie beispielsweise Standarddatenschutzklauseln oder verbindliche Unternehmensregeln.

Datenschutz-Folgenabschätzung (DPIA)

Sie sollten eine Datenschutz-Folgenabschätzung durchführen, um potenzielle Risiken für die Rechte und Freiheiten von Personen zu ermitteln und zu mindern, die sich aus der Verarbeitung personenbezogener Daten im Rahmen Ihrer IT-Outsourcing-Vereinbarungen ergeben.

[totb title=„Können wir Ihnen bei Ihrem nächsten Softwareentwicklungsprojekt helfen?“ subtitle=„Flexible Modelle, die genau auf Ihre Bedürfnisse zugeschnitten sind!“ buttonlink=„https://kruschecompany.com/service/software-development-company/“ buttonlabel=„Kontaktieren Sie uns!“][/totb]

Müssen mein IT-Outsourcing-Anbieter und meine IT-Spezialisten ihren Sitz innerhalb der EU haben, um die DSGVO einzuhalten?

Nein, externe Fachkräfte mit Sitz außerhalb der Europäischen Union (EU) können an Projekten im Bereich IT-Infrastruktur und Softwareentwicklung mitwirken, die der Datenschutz-Grundverordnung (DSGVO) entsprechen müssen. Unternehmen, die ihre IT-Funktionen an einen externen Dienstleister außerhalb der Europäischen Union (EU) auslagern, sind jedoch verpflichtet, sicherzustellen, dass für die personenbezogenen Daten dasselbe Datenschutzniveau gilt, wie es erforderlich wäre, wenn die Verarbeitung innerhalb der EU erfolgen würde.

Um bei der Auslagerung von IT-Funktionen außerhalb der EU die Einhaltung der DSGVO zu gewährleisten, sollten Unternehmen die folgenden Faktoren berücksichtigen:

Datenschutzvereinbarung: Organisationen sollten einen schriftlichen Vertrag mit dem externen Dienstleister abschließen, der Bestimmungen zum Datenschutz und zur Datensicherheit enthält. Dieser sollte auch die Verpflichtung des Dienstleisters umfassen, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen.

Mechanismen für die Datenübermittlung: Organisationen sollten sicherstellen, dass sie über einen gültigen rechtlichen Mechanismus für die Übermittlung personenbezogener Daten außerhalb der EU verfügen, wie beispielsweise Standardvertragsklauseln (SCC) oder verbindliche Unternehmensregeln (BCR).

Ort der Datenverarbeitung: Organisationen sollten sicherstellen, dass personenbezogene Daten nur in Ländern verarbeitet werden, die ein angemessenes Datenschutzniveau gewährleisten. Die EU hat festgestellt, dass bestimmte Länder ein angemessenes Schutzniveau bieten, andere hingegen nicht.

Datensicherheit: Organisationen sollten sicherstellen, dass der externe Dienstleister über geeignete technische und organisatorische Maßnahmen verfügt, um personenbezogene Daten vor unbefugtem Zugriff, unbefugter Nutzung oder unbefugter Weitergabe zu schützen. Dazu können Maßnahmen wie Verschlüsselung und sichere Datenspeicherung gehören.

Datenschutzverletzungen: Unternehmen sollten über einen Plan für den Umgang mit Datenschutzverletzungen verfügen, einschließlich Verfahren zur Benachrichtigung und Meldung an die zuständigen Behörden.

Aufsichtsbehörde: Organisationen sollten bereit sein, mit der zuständigen Aufsichtsbehörde zusammenzuarbeiten und alle Informationen bereitzustellen, die zur Gewährleistung der Einhaltung der DSGVO erforderlich sind.

Wenn Unternehmen diese zusätzlichen Aspekte sowie die bereits für jeden IT-Outsourcing-Partner behandelten Punkte berücksichtigen – unabhängig davon, ob die IT-Funktionen in der EU angesiedelt sind –, können sie sicherstellen, dass ihre IT-Outsourcing-Vereinbarungen mit Anbietern außerhalb der EU den Anforderungen der DSGVO entsprechen.

Umsetzung der DSGVO-Anforderungen in Ihrem IT-Outsourcing-Vertrag

Die oben genannten Überlegungen sollten auch in einem IT-Outsourcing-Vertrag festgehalten werden, der die Umsetzung der DSGVO-Anforderungen vorsieht. Ihr Vertrag wird in den meisten Fällen:

  • Legen Sie die datenschutzrechtlichen Rollen und Verantwortlichkeiten jeder Partei fest. Der Vertrag sollte die Rollen und Verantwortlichkeiten sowohl des Anbieters als auch des Kunden in Bezug auf die Verarbeitung personenbezogener Daten klar definieren. Dies sollte die Sicherheitsmaßnahmen umfassen, zu deren Umsetzung der Anbieter verpflichtet ist, sowie die Pflichten und Verpflichtungen des Kunden im Hinblick auf den Datenschutz.
  • Geben Sie an, welche personenbezogenen Daten verarbeitet werden sollen. Der Vertrag sollte klar darlegen, welche Arten von personenbezogenen Daten verarbeitet werden und zu welchem Zweck sie verwendet werden. Dies sollte auch sensible personenbezogene Daten umfassen, wie beispielsweise Daten zur rassischen oder ethnischen Herkunft, zu politischen Meinungen oder zu gesundheitlichen Daten.
  • Legen Sie die Mechanismen für die Datenübermittlung fest. Sollten personenbezogene Daten außerhalb der EU übermittelt werden, sollte der Vertrag den rechtlichen Mechanismus festlegen, mit dem sichergestellt wird, dass die Datenübermittlung im Einklang mit den Anforderungen der DSGVO erfolgt.
  • Beschreiben Sie die Maßnahmen zur Datensicherheit. Der Vertrag sollte Bestimmungen zur Datensicherheit enthalten, einschließlich der technischen und organisatorischen Maßnahmen, die der Anbieter ergreift, um personenbezogene Daten vor unbefugtem Zugriff, unbefugter Nutzung oder unbefugter Weitergabe zu schützen.
  • Es sollten Bestimmungen zu Datenschutzverletzungen aufgenommen werden. Der Vertrag sollte die Verfahren festlegen, die im Falle einer Datenschutzverletzung zu befolgen sind, einschließlich der Benachrichtigungs- und Meldepflichten.
  • Legen Sie die Rechte der betroffenen Personen fest. Der Vertrag sollte Bestimmungen zur Ausübung der Rechte der betroffenen Personen enthalten, wie beispielsweise das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten.
  • Die Zusammenarbeit mit den Aufsichtsbehörden ist zu regeln. Der Vertrag sollte Bestimmungen zur Zusammenarbeit mit der zuständigen Aufsichtsbehörde enthalten, einschließlich der Bereitstellung von Informationen, um die Einhaltung der DSGVO sicherzustellen.

Es ist wichtig zu beachten, dass dies nur einige der wichtigsten Aspekte sind, die bei der Umsetzung der DSGVO-Anforderungen in einem IT-Outsourcing-Vertrag zu berücksichtigen sind. Es ist stets ratsam, rechtlichen Rat einzuholen, um sicherzustellen, dass der Vertrag allen einschlägigen Datenschutzbestimmungen entspricht, die für Ihr Unternehmen und die an einen Drittanbieter ausgelagerten IT-Funktionen gelten.

Überwachung der DSGVO-Konformität in Ihrer IT-Outsourcing-Beziehung

Da letztlich der Endkunde für die Einhaltung der DSGVO durch externe Auftragnehmer verantwortlich ist, müssen die vertraglich festgelegten Anforderungen und Prozesse überwacht werden, um deren fortlaufende Einhaltung sicherzustellen.

Es sollten regelmäßige Überprüfungen und Audits der Datenschutzrichtlinien und -verfahren des Dienstleisters, seiner Datensicherheitsmaßnahmen, seiner Datenverarbeitungsaktivitäten, seiner Mechanismen zur Datenübermittlung, seines Plans zur Reaktion auf Datenschutzverletzungen sowie seiner Fähigkeit, bei der Ausübung der Rechte betroffener Personen zu unterstützen, durchgeführt werden.

Eine kontinuierliche Überwachung der Einhaltung der DSGVO durch den Dienstleister kann dazu beitragen, potenzielle Compliance-Probleme zu erkennen und geeignete Maßnahmen zu deren Behebung zu ergreifen.

Umgang mit Verstößen gegen die DSGVO im Rahmen Ihrer IT-Outsourcing-Vereinbarung

Wie sollte vorgegangen werden, wenn bei regelmäßigen Überprüfungen und Audits der laufenden DSGVO-Konformität des Dienstleisters Vertragsverletzungen festgestellt werden? In einem solchen Fall sollten Sie stets qualifizierten Rechtsbeistand einholen. Es gibt jedoch einige allgemeine bewährte Vorgehensweisen, deren Umsetzung bei Feststellung einer Vertragsverletzung zu erwarten wäre:

Reagieren Sie schnell

Bei der Bewältigung eines Verstoßes gegen die DSGVO kommt es auf schnelles Handeln an. Es ist wichtig, den Verstoß so schnell wie möglich zu erkennen und zu beheben, um den potenziellen Schaden für die betroffenen Personen so gering wie möglich zu halten.

Den Vorfall untersuchen

Führen Sie eine gründliche Untersuchung durch, um die Ursache des Vorfalls und das Ausmaß des Schadens zu ermitteln. Dazu kann es erforderlich sein, gemeinsam mit dem Dienstleister die eigentliche Ursache des Vorfalls zu ermitteln und Maßnahmen zu ergreifen, um eine Wiederholung zu verhindern.

Die Aufsichtsbehörde benachrichtigen

Unternehmen sind verpflichtet, der zuständigen Aufsichtsbehörde einen Verstoß gegen die DSGVO unverzüglich und, soweit möglich, spätestens 72 Stunden nach Bekanntwerden zu melden. Die Meldung sollte Angaben zur Art des Verstoßes, zu den Kategorien und der ungefähren Anzahl der betroffenen Personen sowie zu den getroffenen oder geplanten Maßnahmen zur Behebung des Verstoßes enthalten.

Mit der Aufsichtsbehörde zusammenarbeiten

Unternehmen sollten bei jeder Untersuchung eines Verstoßes gegen die DSGVO uneingeschränkt mit der zuständigen Aufsichtsbehörde zusammenarbeiten. Dies kann die Bereitstellung aller angeforderten Informationen oder die Gewährung von Unterstützung umfassen.

Betroffene Personen benachrichtigen

Je nach Art und Schwere des Verstoßes können Organisationen zudem verpflichtet sein, die betroffenen Personen über den Verstoß zu informieren. Dies sollte unverzüglich sowie klar und transparent erfolgen.

Richtlinien und Verfahren überprüfen und aktualisieren

Nach einem Verstoß gegen die DSGVO ist es wichtig, Richtlinien und Verfahren zu überprüfen und zu aktualisieren, um sicherzustellen, dass sich ähnliche Vorfälle in Zukunft nicht wiederholen. Dies kann die Einführung zusätzlicher Sicherheitsmaßnahmen oder die Überprüfung und Aktualisierung bestehender Richtlinien und Verfahren beinhalten.

K&C – Ihr DSGVO-konformer IT-Outsourcing-Partner

Bei K&C verfügen wir über umfangreiche Erfahrung in der Bereitstellung von DSGVO-konformen IT-Outsourcing-Dienstleistungen, die wir im Rahmen zahlreicher Partnerschaften und Projekte erworben haben, bei denen Daten im Geltungsbereich der DSGVO eine Rolle spielten.

Wenn die Einhaltung der DSGVO und die damit verbundene Compliance für Sie bei der Auswahl eines IT-Outsourcing-Partners eine zentrale Rolle spielen, sind Sie bei uns in guten Händen. Kontaktieren Sie uns, wir helfen Ihnen gerne weiter!

Empfohlene Blog-Beiträge

Alle anzeigen
Eine Checkliste zur Gewährleistung der Datensicherheit bei der Zusammenarbeit mit IT-Outsourcing-Partnern
Eine Checkliste zur Gewährleistung der Datensicherheit bei der Zusammenarbeit mit IT-Outsourcing-Partnern

Wenn Sie sich nicht selbst benachteiligen wollen, indem Sie das IT-Outsourcing nicht strategisch nutzen, müssen Sie Ihre IT-Sicherheit anpassen, um dem damit verbundenen zusätzlichen Risiko Rechnung zu tragen

 Welche Arten von IT-Outsourcing gibt es und warum sollten Sie Ihren Anbieter entsprechend Ihren spezifischen Anforderungen auswählen?
Welche Arten von IT-Outsourcing gibt es und warum sollten Sie Ihren Anbieter entsprechend Ihren spezifischen Anforderungen auswählen?

IT-Outsourcing gibt es in einer Vielzahl von Formen und Geschäftsmodellen, die vom Standort und der Vertragsart abhängen. Welche Form des IT-Outsourcings passt am besten zu den individuellen Anforderungen Ihres Unternehmens?

 Rust im Vergleich zu anderen Programmiersprachen: Wie schneiden sie im Vergleich ab?
Rust im Vergleich zu anderen Programmiersprachen: Wie schneiden sie im Vergleich ab?

Vergleichen Sie die Stärken von Rust mit denen von Go, C++, C, Python und Swift, um die perfekte Programmiersprache für Ihr Projekt zu finden.

 Anwendungsfälle für die Blockchain-Entwicklung in verschiedenen Branchen
Anwendungsfälle für die Blockchain-Entwicklung in verschiedenen Branchen

Die Blockchain-Technologie wird heute in verschiedenen Branchen eingesetzt – weit über ihren ursprünglichen Anwendungsbereich im Finanzwesen hinaus. Erfahren Sie, wie die Blockchain Wirtschaft, Regierungsführung und globale Effizienz verändert und warum Bereiche wie das Finanzwesen, das Gesundheitswesen oder sogar Wahlsysteme auf diese Technologie setzen.

 Unsere Richtlinien, Prozesse und Tools zur Cybersicherheit – denn sie sind entscheidend
Unsere Richtlinien, Prozesse und Tools zur Cybersicherheit – denn sie sind entscheidend

Wenn Sie mit externen Dienstleistern zusammenarbeiten, denen in irgendeiner Form Zugriff auf Ihre IT-Systeme gewährt wird, sind Sie verpflichtet, deren Richtlinien und Instrumente zur Cybersicherheit zu prüfen, zu genehmigen und zu überwachen. Untergraben Sie Ihre eigenen Bemühungen nicht, indem Sie zulassen, dass Gäste Türen und Fenster offen lassen!

 Was sind Personalvermittlungs- oder Personalverleihdienste, und wann und warum sollte man sie gegenüber der Einstellung eigener Mitarbeiter bevorzugen?
Was sind Personalvermittlungs- oder Personalverleihdienste, und wann und warum sollte man sie gegenüber der Einstellung eigener Mitarbeiter bevorzugen?

Personallösungen bieten strategische Flexibilität, eine effiziente Lösung für den Bedarf an Zeitarbeitskräften und projektbezogenen Mitarbeitern sowie Zugang zu Fachkräften in Nearshore-Märkten

 Gehalts- und Honorarspannen für internationale Rust-Entwickler – Deutschland, Schweiz, Großbritannien, Osteuropa, Indien und die USA
Gehalts- und Honorarspannen für internationale Rust-Entwickler – Deutschland, Schweiz, Großbritannien, Osteuropa, Indien und die USA

Rust ist die am zweitschnellsten wachsende Programmiersprache der Welt, und mittlerweile nutzen 12 % der Entwickler diese Low-Level-Sprache. Erfahren Sie, wie viel Rust-Entwickler verdienen oder wie hoch die Kosten für deren Einsatz über einen IT-Outsourcing-Partner auf verschiedenen internationalen Märkten für Tech-Fachkräfte sind.

 Warum Nearshoring funktioniert – unsere Erfahrungen aus erster Hand
Warum Nearshoring funktioniert – unsere Erfahrungen aus erster Hand

Entdecken Sie die wesentlichen Vorteile des Nearshoring im IT-Bereich – von Kosteneinsparungen über den Zugang zu qualifizierten Fachkräften bis hin zu einer höheren betrieblichen Flexibilität. Auf der Grundlage unserer eigenen Erfahrungen erläutern wir zudem, wie sich mögliche Herausforderungen beim Nearshoring bewältigen lassen.

 Statistiken und Fakten zur JavaScript-Entwicklung
Statistiken und Fakten zur JavaScript-Entwicklung

Statistiken und Fakten zu JavaScript-Entwicklern und deren demografischen Merkmalen, zur Nutzung von JavaScript und seinen Frameworks und Supersets sowie zu den Gehältern in diesem Bereich.

 Rust – Wofür wird diese Programmiersprache verwendet und welche Unternehmen setzen sie ein?
Rust – Wofür wird diese Programmiersprache verwendet und welche Unternehmen setzen sie ein?

Entdecken Sie die vielfältigen Anwendungsmöglichkeiten von Rust in den Bereichen Webentwicklung, Netzwerke, Spieledesign und mehr, und erfahren Sie, wie Unternehmen wie Microsoft und Dropbox damit sichere und effiziente Software entwickeln.

Alle anzeigen