Der Datenschutz ist für IT-Dienstleister essenziell – wir helfen Ihnen bei der Umsetzung.
IT-Dienstleister verarbeiten im Rahmen Ihrer Tätigkeit regelmäßig personenbezogene Daten – sei es das Speichern bei Cloud-Dienstleistungen, Einsichtnahme im Zuge des technischen Supports oder das Auslesen und Auswerten von Daten durch spezialisierte Software. Durch den Zugriff auf personenbezogene Daten, den IT-Dienstleister so erhalten, spielt der Datenschutz und die Umsetzung der DSGVO für IT-Dienstleister eine ganz besondere Rolle. Wir erklären Ihnen, was es zu beachten gibt.
DSGVO für IT-Dienstleister
Software-as-a-Service (SaaS-Lösungen), Cloud-Lösungen oder Apps – IT-Dienstleister setzen oftmals die IT- und Softwarestruktur für andere Unternehmen um. Regelmäßig werden hierbei personenbezogene Daten im Auftrag dieser Unternehmen durch den IT-Dienstleister verarbeitet – und diese fallen unter die Datenschutzgrundverordnung DSGVO. Die deutschen Aufsichtsbehörden fassen die Verarbeitung personenbezogener Daten durch einen IT-Dienstleister außerordentlich weit. So ist bereits dann eine Verarbeitung anzunehmen, wenn die Einsichtnahme auf personenbezogene Daten (etwa auf Mitarbeiter- oder Kundendaten) im Rahmen von Prüfungen oder Wartung nicht ausgeschlossen werden kann. Ein solcher Ausschluss kann in den seltensten Fällen gewährleistet werden.
Gerade im Rahmen von Support- und Wartungstätigkeiten wird der IT-Dienstleister regelmäßig im Auftrag des anderen Unternehmens weisungsgebunden tätig. Für eine solche Verarbeitung im Auftrag ist der Abschluss eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO gesetzlich verpflichtend.
Doch es gibt noch weit mehr, was Sie als IT-Dienstleister hinsichtlich des Datenschutzes beachten müssen.
Externer Datenschutzbeauftragter für IT-Dienstleister
Gerade für IT-Dienstleister empfiehlt sich ein externer Datenschutzbeauftragter, denn hier fallen viele personenbezogene Daten unterschiedlichster Unternehmen an. Um diese zu schützen, braucht es spezielle vertragliche Regelungen, es müssen spezielle technische und organisatorische Maßnahmen ergriffen werden und vieles mehr. Um hier gewappnet zu sein, hilft ein externer Datenschutzbeauftragter, der beim Datenschutz-Management in Ihrem Unternehmen den Überblick behält. Ein externer Datenschutzbeauftragter steht Ihnen dabei mit Hilfestellungen und Rat zur Seite – außerdem berichtet er über seine Einschätzung von Risiken beim Umgang mit personenbezogenen Daten in der Firma an die Geschäftsleitung und hilft so, teure Datenschutzverstöße zu vermeiden. Zudem sind Unternehmen gesetzlich verpflichtet, nur mit Auftragsverarbeitern zusammenzuarbeiten, die datenschutzrechtlich-adäquat aufgestellt sind. Ein Datenschutzbeauftragter ist daher ein nicht zu unterschätzender Wettbewerbsfaktor.
Rechtliche Grundlage: DSGVO für IT-Dienstleister – Worauf müssen IT-Dienstleister durch die DSGVO beim Datenschutz achten?
Als IT-Dienstleister müssen Sie bei der DSGVO insbesondere folgende Punkte beachten:
- Datenschutzerklärung: Bildet die Datenschutzerklärung auf Ihrer Website die neuste Rechtslage ab?
- Risikoanalyse: Bevor Sie einen Auftrag umsetzen, müssen Sie (mit Hilfe eines Datenschutzbeauftragten) eine Risikoanalyse der Datenanwendung durchführen.
- Auftragsverarbeitungsvertrag (AV-Vertrag): Oftmals sind Sie als IT-Dienstleister Auftragsverarbeiter im Sinne der DSGVO (Art. 4 Nr. 8 DSGVO). Dies macht den Abschluss eines Auftragsverarbeitungsvertrages erforderlich. Hierin wird der Umgang mit den von Ihnen verarbeiteten personenbezogenen Daten geregelt. Wichtig: Sie als Auftragsverarbeiter sind gegenüber dem Verantwortlichen nachweispflichtig!
- Verzeichnis von Verarbeitungstätigkeiten: Als IT-Dienstleister verarbeiten Sie personenbezogene Daten. Diese Verarbeitungstätigkeiten müssen in einem Verzeichnis von Verarbeitungstätigkeiten (VVT) festgehalten werden.
- Dokumentations- und Rechenschaftspflichten: Um den Nachweispflichten gegenüber Ihres Auftragsgebers, aber auch gegenüber dem Gesetzgeber nachzukommen, müssen Sie zwingend die Dokumentations- und Rechenschaftspflichten der DSGVO beachten. Sollte die Aufsichtsbehörde an Ihre Tür klopfen, müssen Sie diese Dokumentationen vorweisen können.
- Technische und organisatorische Maßnahmen: Backups, Datenverschlüsselung, Daten-Pseudonymisierung und Anonymisierung und vieles mehr sieht die DSGVO zum Schutz der Rechte der betroffenen Personen (deren Daten verarbeitet werden) vor. Ihre Auftraggeber sind verpflichtet, nur mit Unternehmen zusammenzuarbeiten, die über technische und organisatorische Sicherheitsmaßnahmen ein angemessenes Datenschutzniveau gewährleisten können. Die Identifikation und Implementierung geeigneter Maßnahmen ist für IT-Dienstleister essenziell – ein Datenschutzbeauftragter ist hier eine elementare Hilfe.
- Datensicherheit: Datensicherheit vs. Datenschutz – der Unterschied liegt im Detail, beides muss aber von IT-Dienstleistern sichergestellt und umgesetzt werden.
- Verschwiegenheitserklärung für Dienstleister: Sie befassen sich mit hoch sensiblen, teils innovativen Daten? Prüfen Sie, auch für den Fall, dass Sie Sub-Unternehmer beschäftigten, ob Sie eine Verschwiegenheitserklärung brauchen!
- Zertifizierungen: Art. 28 DSGVO fordert „hinreichende Garantien“ beim Auftragsverarbeiter. Dies ist ein unbestimmter Rechtsbegriff, dem Sie aber z.B. durch bestimmte Zertifizierungen Ihrer Dienstleistungen, wie durch ISO 27001, oder BSI-Grundschutz entsprechen können.
- Fernwartung: Fernwartungen sind ein sensibles Thema – denn hier haben Sie als IT-Dienstleister Zugriff und die Kontrolle auf Kundenlaptops- und Daten. Hier sollten Sie Ihre Mitarbeiter schulen, damit diese im Vorfeld einer Fernwartung die Kunden zum Thema Screensharing briefen können.
- Home-Office: Sie betreuen ein Unternehmen, in dem Home-Office an der Tagesordnung ist? Hier gelten natürlich alle bereits genannten Regeln – vom AV-Vertrag bis zur Verschlüsselung müssen Sie alle Vorgaben umsetzen und je nach Vertrag die Datensicherheit sicherstellen.
Wir haben zahlreiche Vorlagen und Muster, die Ihnen helfen die datenschutzrechtlichen Anforderungen an Sie als externer IT-Dienstleister umzusetzen. Im Besonderen könnten die folgenden Unterlagen für Sie relevant sein:
- AV-Vertrag
- Verarbeitungsverzeichnis (VVT)
- Protokollierung der technischen und organisatorischen Maßnahmen
- Dokumentations- und Rechenschaftspflichten
- Muster zur Bestellung des Datenschutzbeauftragten
- Zusatzvereinbarung für das Home-Office für Ihre eigenen Mitarbeiter
Gerne unterstützen wir Sie als externer Datenschutzbeauftragter.
Vereinbaren Sie hierfür eine unverbindliche Erstberatung!