Praxisnahe Umsetzung seit 2013
Ihr Branchenexperte für Datenschutz und Informationssicherheit
Datenschutz für IT-Dienstleister
Finden Sie mehr als 10 Themen, die im Datenschutz für IT-Dienstleister beachtet werden müssen.
Home » Datenschutz für IT-Dienstleister

Ich berate diverse IT-Dienstleister im
Datenschutz und der Informationssicherheit
Die große Herausforderung beim Datenschutz bedeutet auch für IT-Dienstleister, immer auf dem Laufenden zu bleiben. Es gibt fast wöchentlich neue Urteile, Einschätzungen, Handlungsempfehlungen und Fachberichte von Aufsichtsbehörden und Datenschutzbeauftragten.
Diese Veränderungen können gegebenenfalls Auswirkungen auf Ihr Unternehmen haben. Nur durch einen Experten im Datenschutz ist es möglich, die gesetzlichen Vorgaben zeitnah und fachgerecht umzusetzen.
Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.
Inhalte
Haben Sie keine internen Ressourcen für diesen Bereich zur Verfügung, steht Ihnen Niehoff-Systemberatung zur Seite. Mit einer lösungsorientierten und ganzheitlichen Anwendung der Datenschutzgesetze und der Informationssicherheit.
Passende praxisnahe Lösungen und die Gestaltung von datenschutzkonformen und sicheren Prozessen — bei risikobasierten Ansätzen — erhalten Sie von mir für Ihr Unternehmen.
- Maßgeschneiderte Lösungen
- Über 20 Jahre Berufserfahrung
- Pragmatische und schnelle Umsetzung
Sie benötigen ein Angebot für ein Projekt? Jetzt einfach anfragen.
Leistungen
Datenschutzberatung für IT-Dienstleister
Aufsichtsbehörden auditieren immer wieder anlasslos Unternehmen, die täglich mit sensiblen Daten zu tun haben. Typische Angriffsflächen sind:
- Fehlerhafte Gestaltung von Online-Auftritten
- Fehlende Anweisungen und Richtlinien im Umgang mit personenbezogenen Daten der Kunden
- Einbindung von Auftragsverarbeitern
- Beauftragung von IT-Dienstleistern als Auftragsverarbeiter
- Durchführung von Direktmarketingmaßnahmen
- Fehlende Geschäftsprozesse zur Dokumentation von Weisungen
- Fehlende Verpflichtung zur Geheimhaltung im Bereich Fernmeldegeheimnissen und von Berufsgeheimnisträgern

- Direkte Betreuung
- Fokus im norddeutschen Raum
- Zeitnah verfügbar, auch vor Ort
Rund um den IT-Dienstleister
Bietet der IT-Dienstleister Cloud- oder SAAS-Lösungen (Software-as-a-Service) an, entwickelt Apps oder Webseiten oder installiert und betreibt er IT-Systeme für seine Kunden, werden üblicherweise personenbezogene Daten des Kunden (z. B. deren Kunden oder Beschäftigte) verarbeitet.
Die Datenschutz-Aufsichtsbehörden in Deutschland fassen den Begriff der “Verarbeitung personenbezogener Daten” durch den IT-Dienstleister recht weit. Eine Verarbeitung ist bereits anzunehmen, wenn die Einsichtnahme auf personenbezogene Daten im Rahmen von Prüfungen oder Wartung nicht ausgeschlossen werden kann.
Der IT-Dienstleister haftet für Verfehlungen im Datenschutz entsprechend der gesetzlichen Vorgaben mit dem Verantwortlichen gleichermaßen. Bereits bei einer fehlerhaften oder fehlenden Auftragsverarbeitungsvereinbarung mit dem Kunden haftet der IT-Dienstleister gleichermaßen. Um nicht in den Haftungsfall zu geraten, muss auch der IT-Dienstleister auf eine klare Abgrenzung der Verantwortlichkeit im Aufgabengebiet drängen, um Missverständnisse zu verhindern.

Beispiel: Ihr Unternehmen installiert und betreibt für Ihre Kunden diverse IT-Systeme, wie z. B. Firewall oder Laptop. Bei einem Cyberangriff werden sämtliche Daten verschlüsselt und Ihr Kunde hat einen hohen finanziellen Verlust. Das Forensik-Unternehmen stellt abschließend fest, dass die IT-Systeme Ihres Kunden nicht genügend gehärtet waren, d.h. die IT-Systeme sind nicht angemessen, wirksam und nach dem Stand der Technik installiert bzw. betrieben worden. Hier stellt sich dann die Frage, ob das Unternehmen nicht eine Regressforderung stellen wird. Können Sie nachweisen, dass Sie Ihre Arbeit fachgerecht durchgeführt haben?
- Beratungen und Schulungen
- Dokumentation durch Checklisten, Leit- und Richtlinien
- Moderation von Zusammenkünften von Unternehmen mit Behörden oder Betroffenen
Die Bitkom e.V. hat Unterlagen für Mitgliedsunternehmen Anfang 2018 zur Verfügung gestellt. Sind diese auch richtig etabliert worden und noch aktuell?
Im Tagesbetrieb stellt sich daher die Frage: Arbeiten wir als IT-Dienstleister eigentlich in diesem Bereich noch gesetzeskonform?
Typische Datenschutzthemen beim IT-Dienstleister
Bei IT-Dienstleistern sind typischerweise folgende Themen zu beachten und müssen jährlich auf Aktualität und Gesetzeskonformität geprüft werden.
- Verzeichnis der Verarbeitungstätigkeiten
- Verpflichtungserklärungen für Beschäftigte – auch Freiberufler
- Prozesse für die Umsetzung der Betroffenenrechte im Unternehmen oder für Kunden
- Gesetzeskonforme Gestaltung der Online-Auftritte
- Schulungen für Beschäftigte und Ehrenamtliche
- Übermittlung von Daten in Drittländer
- Umsetzung und Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung der Sicherheit der Verarbeitung (TOMs) und regelmäßige Prüfung der Wirksamkeit
- Personalverwaltung
- Prozess für die Handhabung von (möglichen) Datenschutzverletzungen im Unternehmen oder für Kunden
- Vertragsmanagement mit Kunden und (Unter-)Auftragsverarbeitern
- Fachgerechte Gestaltung der Installation von Endgeräten, Servern und sonstige IT-Systemen gem. dem Stand der Technik und den Vorgaben des Datenschutzes
- Risikobewertung der Verarbeitungstätigkeiten
- Regelmäßige Prüfung der eigenen IT-Systeme
- u. v. m.
Als lokaler Datenschutzexperte bringe ich Ihren Datenschutz im Unternehmen voran. Nach der Sichtung der bestehenden Unterlagen erhalten Sie einen detaillierten und priorisierten Maßnahmenplan, der als Basis für die Zusammenarbeit gilt.
Check-up für Ihr IT-Unternehmen
Sie möchten wissen, wo Ihr Unternehmen in puncto Datenschutz und Datensicherheit steht? Dann buchen Sie meine Beratung und Kontrolle und erfahren Sie, wo es Handlungsbedarf gibt und wo Sie bereits gesetzeskonform alle Vorgaben der Datenschutz-Grundverordnung umsetzen.
Ob alteingesessenes Unternehmen mit mehreren Standorten, Freelancer oder Neugründung — ich berate IT-Dienstleister in den norddeutschen Bundesländern vor Ort oder auch per Videokonferenz.
Wünschen Sie eine zweite Meinung zum Thema Datenschutz und Datensicherheit bei einem bestehendem Vertrag (mit einem externen Datenschutzberater)? Auch hier helfe ich Ihnen mit meiner Dienstleistung in Form einer umfassenden Überprüfung.
Datenschutzberatung, Datenschutzbeauftragter oder Experte für Informationssicherheit?
Ganz nach Ihren Wünschen werde ich für Ihr Unternehmen als Datenschutzbeauftragter DSGVO sowie externer Informationssicherheitsbeauftragter tätig oder führe (einmalig sowie auf Wunsch regelmäßig) Datenschutzberatungen in Norddeutschland durch.
Mit meiner über 20-jährigen Berufserfahrung bringe ich viel Wissen als unabhängiger Datenschutzberater ein, von dem Sie vom ersten Tag an profitieren. Als IT-Grundschutzexperte unterstütze ich Sie auch bei der Umsetzung der Informationssicherheit, wenn Sie anspruchsvolle Kunden betreuen oder KRITIS-Unternehmen gewinnen wollen.
Haben Sie nach einer von mir durchgeführten Beratung Interesse an einer längeren Zusammenarbeit in Form eines externen Datenschutz- bzw. Informationsschutzbeauftragten, können wir dieses gerne festlegen.
Haben Sie Interesse an einer längeren Zusammenarbeit in Form eines externen Datenschutz- bzw. Informationsschutzbeauftragten, können wir dieses gerne festlegen. Ich biete verschiedene Leistungspakete an.
Binden Sie mich früh und umfassend in die datenschutzrelevanten Themen in Ihrem Betrieb ein. So stellen Sie sicher, dass die Verarbeitung von personenbezogenen und geschäftskritischen Daten stets unter Einhaltung sämtlicher dafür vorgesehenen gesetzlichen Richtlinien stattfindet.
Preise Datenschutz und Informationssicherheit
Ich biete individuelle Lösungen für Unternehmen, denen Datenschutz und Informationssicherheit wichtig sind. Gern nehme ich mir Zeit für eine persönliche Beratung und fertige Ihnen unverbindlich und kostenlos ein für Sie zugeschnittenes Angebot an. Ich bevorzuge Unternehmen, die den Datenschutz und die Informationssicherheit umsetzen wollen. Wenn Sie eine Beratung von der Stange zu geringen Kosten bevorzugen, passen wir nicht zusammen. Ich biete maßgeschneiderte Lösungen für hohe Ansprüche.
Bestandsaufnahme
ab 1.680 €
Externer Berater
140 € / Stunde
Externer Beauftragter
ab 370 € / Monat
Audit Videoüberwachung
ab 800 €
Paket Website Audit DSGVO
ab 200 €
Schulungen
Auf Anfrage
Häufig gestellte Fragen
IT-Dienstleister müssen sämtliche Vorgaben des Datenschutzes beachten, wenn sie personenbezogene Daten des eigenen Unternehmens oder von Kunden verarbeiten.
Die Nutzung dieser Informationen ist in der Regel zur Erfüllung der Verträge zulässig, wie z. B. für den operativen Betrieb, Wartungstätigkeiten vor Ort oder bei einer Fernwartung von IT-Systemen. Doch es gibt noch diverse weitere Verarbeitungstätigkeiten, bei denen die Datenschutzgrundsätze und weitere Vorgaben der DSGVO beachtet werden müssen.
Fragen und Antworten zum Datenschutz für IT-Dienstleister
Generell ist es aus vertraglichen Gründen notwendig, dass IT-Dienstleister Einblick in personenbezogene Daten nehmen. Dies ist je nach Zugriffsrecht auch nicht anders möglich. Sofern dies nicht erwünscht ist, muss der Kunde des IT-Dienstleisters Maßnahmen ergreifen, dass der Zugriff nicht oder nur unter Aufsicht erfolgt.
Üblicherweise ist der IT-Dienstleister sowohl Verantwortlicher für die Verarbeitung der eigenen Daten und Auftragsverarbeiter, wenn personenbezogene Daten des Kunden verarbeitet werden.
Wenn IT-Dienstleister eigene Dienstleister auf beauftragen und diese personenbezogene Daten im Kern verarbeiten, dann müssen Sie diverse Punkte beachten.
Neben dem Abschluss einer Auftragsverarbeitungsvereinbarung müssen Sie den Auftragsverarbeiter auf Eignung vorab und dann regelmäßig prüfen. Dies müssen Sie gegenüber den Aufsichtsbehörden auch nachweisen können. Dieses Thema ist recht umfangreich, wird aber gerne vernachlässigt.
Typische Auftragsverarbeiter sind
- - Betreiber oder Lieferant von Software (Fernwartung oder / und Hosting)
- - Externe Personalverwaltung oder Lohnbuchhaltung
- - IT-Support
- - Betrieb oder Support Telekommunikationsanlage
- - Betrieb von Online-Bewerbungssystemen
- - Hosting oder Betreuung der Online-Auftritte
- - E‑Mail-Newsletter-Service
- - Sonstige Cloud-Dienste (z. B. Office 365 von Microsoft)
- - Callcenter
- - Datensicherung / Archivierung
- - Papier- oder Datenträgerentsorgung
- - Consulting
- - E‑Mail- oder Spamdienst
- -Online-Dienste, z.B. Analysetools auf der Webseite oder in der App
Keine Auftragsverarbeiter sind z. B.
- - Telekommunikationsdienstleister (nur Transport von Daten)
- - Vermieter von Räumen in einem Rechenzentrum (Co-Location)
- - reine Hardwarewartung ohne Zugriffsmöglichkeiten auf die Daten der IT-Systeme
Sollten Sie unsicher sein bei der Bestimmung des Sachverhaltes, nehmen Sie gerne Kontakt mir auf.
In aller Regel ist eine Bestellung eines Datenschutzbeauftragten (DSB) durchzuführen, wenn mindestens 2o Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut werden. Es gibt noch ein paar Ausnahmen, wann eine Bestellung regelmäßig erfolgen muss, wie z. B. bei
- - der Verarbeitung besonders schützenswerter Daten, die auch eine Datenschutz-Folgenabschätzung notwendig machen.
- - der geschäftsmäßigen Übermittlung personenbezogener Daten oder
- - der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung
Eine Pflicht zur Bestellung eines Datenschutzbeauftragten könnte sich also daraus ergeben, dass eine Kerntätigkeit des IT-Dienstleisters eine risikoreiche Datenverarbeitung darstellt, die aufgrund Art, Umfang und/oder Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht.
Dies gilt übrigens auch, wenn der IT-Dienstleister als Auftragsverarbeiter für Kunden aktiv wird, der die oben genannten Daten verarbeitet.
Das hängt sicherlich vom Einzelfall ab. Im Rahmen der Vertragsvereinbarung sollte klar geregelt werden, wer für die Umsetzung von IT-Systemen, wie z. B. ein PC-Arbeitsplatz mit Windows 365, Browser und Virenschutz aus datenschutzrechtlicher Sicht zuständig ist. Dies ist notwendig, um Missverständnisse vorzubeugen, insbesondere, wenn es aufgrund von z. B. nicht fachgerechten Installationen zu einer Datenschutzverletzung kommt.
Hier gilt: Bleiben Sie transparent bei Ihren Aktivitäten.
Bei Wartungs- und Supporttätigkeiten werden IT-Dienstleister regelmäßig im Auftrag des Auftraggebers weisungsgebunden tätig.
Für eine solche Verarbeitung (Einblick = Offenlegung durch Übermittlung) im Auftrag ist der Abschluss eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO gesetzlich verpflichtend.
Der Auftraggeber ist verpflichtet, den IT-Dienstleister vorab und dann regelmäßig auf Eignung zu prüfen. Hier sollten IT-Dienstleister, die den Datenschutz ernst nehmen, bereits sinnvollerweise ein Paket für die Kunden bereithalten. Sinnvolle Inhalte sind
- - Vorlage der Vertraulichkeitsvereinbarungen
- - anonymisierte Nachweise der Teilnahme Schulungen der Beschäftigten inkl. der Schulungsinhalte und Datum
- - Datenschutz- oder Informationssicherheitskonzept
- Leit- und Richtlinien und Anweisungen im Umgang mit personenbezogenen oder sonstigen Daten
- Prozessbeschreibungen im Umgang mit den Rechten der Betroffenen (z. B. bei Auskunft von betroffenen Personen oder Datenschutzverletzungen)
- - ggf. Prüfnachweise und Unterlagen von eingesetzten Unterauftragsverarbeitern
- - Vorlagen für Löschanweisungen des Auftraggebers
- - Bestellurkunde des Datenschutzbeauftragten DSGVO einschl. Fachkundenachweise
- - Letzter Prüfbericht des Datenschutzbeauftragten einschl. der Prüfgegenstände und Datum
Eine konkrete Abgrenzung gibt es nicht. Der IT-Dienstleister muss sich jeden Einzelfall anschauen und entscheiden, ob zur Abdeckung von Spezialaufgaben oder bei hohem Arbeitsaufkommen mit weiteren IT-Dienstleistern eine Auftragsverarbeitungsvereinbarung oder eine Geheimhaltungsvereinbarung erforderlich ist.
Dazu erhalten Sie hier ein paar Indizien:
Der unterbeauftragte IT-Dienstleister ist regelmäßig ein weiterer Auftragsverarbeiter / Unterauftragsverarbeiter:
- — wählt Ort und Zeit selbst.
- - setzt festgelegte Arbeiten mit seiner eigenen Hard- und Software um, ggf. auch mit Zugang/Zugriff auf IT-Systeme des IT-Dienstleisters (z.B. Wartung / Support)
- - hat eigene Beschäftigte
- - hat ein eigenes Büro und Infrastruktur
- - eine AV-Vereinbarung ist notwendig
- - ein eigenes Sicherheitskonzept ist notwendig
- - Eignungsprüfungen sind vorab und regelmäßig auf Eignung gem. dem höchsten Risiko der Verarbeitung erforderlich.
Der unterbeauftragte IT-Dienstleister ist regelmäßig ein Freiberufler:
- - arbeitet „wie ein(e) eigene® Mitarbeiter:in”
- in den Geschäftsräumen des IT-Dienstleisters
- - mit der Hard- und Software des IT-Dienstleisters oder des Kunden
- - arbeitet zu festen Arbeitszeiten
- - wird von dem IT-Dienstleister selbst geschult
- - der Abschluss einer Vertraulichkeitsvereinbarung ist erforderlich
- - Prüfung der Selbständigkeit notwendig
- - Kontrolle gem. Standard-Konzept für eigene Beschäftigte ist erforderlich
Kontakt
- Direkte Betreuung
- BERATUNG DIVERSER IT-DIENSTLEISTER, AUCH KRITIS-DIENSTLEISTER GEM. IT-GRUNDSCHUTZ
- Zeitnah verfügbar
Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Projekt sprechen.