Praxisnahe Umsetzung seit 2013
Ihr Branchenexperte für Datenschutz und Informationssicherheit
Datenschutz für IT-Dienstleister
Finden Sie mehr als 10 Themen, die im Datenschutz für IT-Dienstleister beachtet werden müssen.
SIE WOLLEN DEN DATENSCHUTZ IN IHREM UNTERNEHMEN ZEITNAH UMSETZEN?
wo fängt man an?
Datenschutz ist ein komplexes und umfangreiches Thema. Das Internet ist voll mit Vorlagen, Checklisten, Orientierungshilfen, Gerichtsurteilen oder Beiträgen.
Doch wo fängt man an, den Datenschutz im Unternehmen umzusetzen? Eine echte Herausforderung für jedes Unternehmen.
Wer soll es machen?
Jemanden zu finden, um die Vorgaben des Datenschutzes im Unternehmen zu erfüllen, ist nicht einfach. IT- und Prozesskenntnisse und eine Datenschutzaffinität sind notwendig. Die zuständige Person muss immer auf dem Laufenden bleiben und vielleicht sogar den Datenschutz in Teilzeit umsetzen. Eine Zerreißprobe für jeden internen Datenschutzbeauftragten, allen Anforderungen gerecht zu werden.
Wie geht es praxisnah?
Diverse Rechtsanwälte oder Datenschutzbeauftragte bieten keine praxisnahen Lösungen, um zeitnah den Datenschutz im Unternehmen umzusetzen. Es werden Vorlagen genutzt, die nicht auf das Unternehmen passen. So können Sie die Anforderungen nicht erfüllen. Geld und Aufwand werden vergeudet. Jede Dokumentation für ein Unternehmen ist eine Maßanfertigung. Engagieren Sie einen Datenschutz-Praktiker.
Die große Herausforderung beim Datenschutz bedeutet auch für IT-Dienstleister, immer auf dem Laufenden zu bleiben. Es gibt fast wöchentlich neue Urteile, Einschätzungen, Handlungsempfehlungen und Fachberichte von Aufsichtsbehörden und Datenschutzbeauftragten.
Diese Veränderungen können gegebenenfalls Auswirkungen auf Ihr Unternehmen haben. Nur durch einen Experten im Datenschutz ist es möglich, die gesetzlichen Vorgaben zeitnah und fachgerecht umzusetzen.
Die Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine für Sie passende Umsetzung nehmen Sie gerne Kontakt auf.
Inhalte
Datenschutz und Informationssicherheit
Praxisnahe Lösungen für Ihr Unternehmen
Wir machen das zusammen!
Datenschutzberatung für IT-Dienstleister
Aufsichtsbehörden und sicherheitsbewusste Kunden schauen sich auch bei IT-Dienstleistern an, ob die gesetzlichen Pflichten der DSGVO eingehalten worden sind. Typische Angriffsflächen sind:
- Fehlerhafte Gestaltung von Online-Auftritten
- Fehlende Anweisungen und Richtlinien im Umgang mit personenbezogenen Daten der Kunden
- Einbindung von Auftragsverarbeitern
- Beauftragung von IT-Dienstleistern als Auftragsverarbeiter
- Durchführung von Direktmarketingmaßnahmen
- Fehlende Geschäftsprozesse zur Dokumentation von Weisungen
- Fehlende Verpflichtung zur Geheimhaltung im Bereich Fernmeldegeheimnissen und von Berufsgeheimnisträgern
Der IT-Dienstleister haftet für Verfehlungen im Datenschutz entsprechend der gesetzlichen Vorgaben mit dem Verantwortlichen gleichermaßen. Bereits bei einer fehlerhaften oder fehlenden Auftragsverarbeitungsvereinbarung mit dem Kunden haftet der IT-Dienstleister gleichermaßen. Um nicht in den Haftungsfall zu geraten, muss auch der IT-Dienstleister auf eine klare Abgrenzung der Verantwortlichkeit im Aufgabengebiet drängen, um Missverständnisse zu verhindern.
Im Alltag stellt sich daher die Frage: Arbeiten wir als IT-Dienstleister in diesem Bereich gesetzeskonform?
Rund um den Datenschutz für IT-Dienstleister
Bietet der IT-Dienstleister Cloud- oder SAAS-Lösungen (Software-as-a-Service) an, entwickelt Apps oder Webseiten oder installiert und betreibt er IT-Systeme für seine Kunden, werden üblicherweise personenbezogene Daten des Kunden (z. B. deren Kunden oder Beschäftigte) verarbeitet.
Die Datenschutz-Aufsichtsbehörden in Deutschland fassen den Begriff der “Verarbeitung personenbezogener Daten” durch den IT-Dienstleister recht weit. Eine Verarbeitung ist bereits anzunehmen, wenn die Einsichtnahme auf personenbezogene Daten im Rahmen von Prüfungen oder Wartung nicht ausgeschlossen werden kann.
Beispiel: Ihr Unternehmen installiert und betreibt für Ihre Kunden diverse IT-Systeme, wie z. B. Firewall oder Laptop. Bei einem Cyberangriff werden sämtliche Daten verschlüsselt und Ihr Kunde hat einen hohen finanziellen Verlust. Das Forensik-Unternehmen stellt abschließend fest, dass die IT-Systeme Ihres Kunden nicht genügend gehärtet waren, d.h. die IT-Systeme sind nicht angemessen, wirksam und nach dem Stand der Technik installiert bzw. betrieben worden. Hier stellt sich dann die Frage, ob das Unternehmen nicht eine Regressforderung stellen wird. Können Sie nachweisen, dass Sie Ihre Arbeit fachgerecht durchgeführt haben?
Typische Aufgabenstellungen im Datenschutz für IT-Unternehmen
Bei jedem IT-Dienstleister sind typischerweise folgende Themen zu beachten und müssen jährlich auf Aktualität und Gesetzeskonformität geprüft werden.
- Verzeichnis der Verarbeitungstätigkeiten
- Verpflichtungserklärungen für Beschäftigte – auch Freiberufler
- Prozesse für die Umsetzung der Betroffenenrechte im Unternehmen oder für Kunden
- Gesetzeskonforme Gestaltung der Online-Auftritte
- Schulungen für Beschäftigte und Ehrenamtliche
- Übermittlung von Daten in Drittländer
- Umsetzung und Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung der Sicherheit der Verarbeitung (TOMs) und regelmäßige Prüfung der Wirksamkeit
- Personalverwaltung
- Prozess für die Handhabung von (möglichen) Datenschutzverletzungen im Unternehmen oder für Kunden
- Vertragsmanagement mit Kunden und (Unter-)Auftragsverarbeitern
- Fachgerechte Gestaltung der Installation von Endgeräten, Servern und sonstige IT-Systemen gem. dem Stand der Technik und den Vorgaben des Datenschutzes
- Risikobewertung der Verarbeitungstätigkeiten
- Regelmäßige Prüfung der eigenen IT-Systeme
- u. v. m.
Check-up für Ihr IT-Unternehmen
Sie möchten wissen, wo Ihr Unternehmen in puncto Datenschutz und Datensicherheit steht? Dann buchen Sie meine Beratung und Kontrolle und erfahren Sie, wo es Handlungsbedarf gibt und wo Sie bereits gesetzeskonform alle Vorgaben der Datenschutz-Grundverordnung umsetzen.
Ob alteingesessenes Unternehmen mit mehreren Standorten, Freelancer oder Neugründung — ich berate IT-Dienstleister in den norddeutschen Bundesländern vor Ort oder auch per Videokonferenz.
Wünschen Sie eine zweite Meinung zum Thema Datenschutz und Datensicherheit bei einem bestehendem Vertrag (mit einem externen Datenschutzberater) oder Ausübung durch einen interne Beschäftigte? Auch hier helfe ich Ihnen mit meiner Dienstleistung in Form einer umfassenden Überprüfung.
Wünschen Sie eine zweite Meinung zum Thema Datenschutz und Datensicherheit bei einem bestehendem Vertrag (mit einem externen Datenschutzberater)? Auch hier helfe ich Ihnen mit meiner Dienstleistung in Form einer umfassenden Überprüfung.
DATENSCHUTZBERATUNG, DATENSCHUTZBEAUFTRAGTER ODER EXPERTE FÜR INFORMATIONSSICHERHEIT?
Ganz nach Ihren Wünschen werde ich für Ihr Unternehmen als Datenschutzbeauftragter DSGVO sowie externer Informationssicherheitsbeauftragter tätig oder führe (einmalig sowie auf Wunsch regelmäßig) Datenschutzberatungen in Nord-Deutschland durch.
Mit meiner über 20-jährigen Berufserfahrung bringe ich viel Wissen als unabhängiger Datenschutzberater ein, von dem Sie vom ersten Tag an profitieren. Als IT-Grundschutzexperte unterstütze ich Sie auch bei der Umsetzung der Informationssicherheit, wenn Sie anspruchsvolle Kunden betreuen oder KRITIS-Unternehmen gewinnen wollen.
Haben Sie nach einer von mir durchgeführten Beratung Interesse an einer längeren Zusammenarbeit in Form eines externen Datenschutz- bzw. Informationsschutzbeauftragten, können wir dieses gerne festlegen.
Mit meiner über 20jährigen Berufserfahrung bringe ich viel Wissen als unabhängiger Datenschutzberater ein, von dem Sie vom ersten Tag an profitieren.
Binden Sie mir früh und umfassend in die datenschutzrelevanten Themen in Ihrem Unternehmen ein. So stellen Sie sicher, dass die Verarbeitung von personenbezogenen und geschäftskritischen Daten stets unter Einhaltung sämtlicher dafür vorgesehenen gesetzlichen Richtlinien stattfindet.
Häufig gestellte Fragen von IT-Dienstleistern
IT-Dienstleister müssen sämtliche Vorgaben des Datenschutzes beachten, wenn sie personenbezogene Daten des eigenen Unternehmens oder von Kunden verarbeiten.
Die Nutzung dieser Informationen ist in der Regel zur Erfüllung der Verträge zulässig, wie z. B. für den operativen Betrieb, Wartungstätigkeiten vor Ort oder bei einer Fernwartung von IT-Systemen. Doch es gibt noch diverse weitere Verarbeitungstätigkeiten, bei denen die Datenschutzgrundsätze und weitere Vorgaben der DSGVO beachtet werden müssen.
Generell ist es aus vertraglichen Gründen notwendig, dass IT-Dienstleister Einblick in personenbezogene Daten nehmen. Dies ist je nach Zugriffsrecht auch nicht anders möglich. Sofern dies nicht erwünscht ist, muss der Kunde des IT-Dienstleisters Maßnahmen ergreifen, dass der Zugriff nicht oder nur unter Aufsicht erfolgt.
Üblicherweise ist der IT-Dienstleister sowohl Verantwortlicher für die Verarbeitung der eigenen Daten und Auftragsverarbeiter, wenn personenbezogene Daten des Kunden verarbeitet werden.
Wenn IT-Dienstleister eigene Dienstleister auf beauftragen und diese personenbezogene Daten im Kern verarbeiten, dann müssen Sie diverse Punkte beachten.
Neben dem Abschluss einer Auftragsverarbeitungsvereinbarung müssen Sie den Auftragsverarbeiter auf Eignung vorab und dann regelmäßig prüfen. Dies müssen Sie gegenüber den Aufsichtsbehörden auch nachweisen können. Dieses Thema ist recht umfangreich, wird aber gerne vernachlässigt.
Typische Auftragsverarbeiter sind
- - Betreiber oder Lieferant von Software (Fernwartung oder / und Hosting)
- - Externe Personalverwaltung oder Lohnbuchhaltung
- - IT-Support
- - Betrieb oder Support Telekommunikationsanlage
- - Betrieb von Online-Bewerbungssystemen
- - Hosting oder Betreuung der Online-Auftritte
- - E‑Mail-Newsletter-Service
- - Sonstige Cloud-Dienste (z. B. Office 365 von Microsoft)
- - Callcenter
- - Datensicherung / Archivierung
- - Papier- oder Datenträgerentsorgung
- - Consulting
- - E‑Mail- oder Spamdienst
- -Online-Dienste, z.B. Analysetools auf der Webseite oder in der App
Keine Auftragsverarbeiter sind z. B.
- - Telekommunikationsdienstleister (nur Transport von Daten)
- - Vermieter von Räumen in einem Rechenzentrum (Co-Location)
- - reine Hardwarewartung ohne Zugriffsmöglichkeiten auf die Daten der IT-Systeme
Sollten Sie unsicher sein bei der Bestimmung des Sachverhaltes, nehmen Sie gerne Kontakt mir auf.
In aller Regel ist eine Bestellung eines Datenschutzbeauftragten (DSB) durchzuführen, wenn mindestens 2o Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut werden. Es gibt noch ein paar Ausnahmen, wann eine Bestellung regelmäßig erfolgen muss, wie z. B. bei
- - der Verarbeitung besonders schützenswerter Daten, die auch eine Datenschutz-Folgenabschätzung notwendig machen.
- - der geschäftsmäßigen Übermittlung personenbezogener Daten oder
- - der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung
Eine Pflicht zur Bestellung eines Datenschutzbeauftragten könnte sich also daraus ergeben, dass eine Kerntätigkeit des IT-Dienstleisters eine risikoreiche Datenverarbeitung darstellt, die aufgrund Art, Umfang und/oder Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht.
Dies gilt übrigens auch, wenn der IT-Dienstleister als Auftragsverarbeiter für Kunden aktiv wird, der die oben genannten Daten verarbeitet.
Das hängt sicherlich vom Einzelfall ab. Im Rahmen der Vertragsvereinbarung sollte klar geregelt werden, wer für die Umsetzung von IT-Systemen, wie z. B. ein PC-Arbeitsplatz mit Windows 365, Browser und Virenschutz aus datenschutzrechtlicher Sicht zuständig ist. Dies ist notwendig, um Missverständnisse vorzubeugen, insbesondere, wenn es aufgrund von z. B. nicht fachgerechten Installationen zu einer Datenschutzverletzung kommt.
Hier gilt: Bleiben Sie transparent bei Ihren Aktivitäten.
Bei Wartungs- und Supporttätigkeiten werden IT-Dienstleister regelmäßig im Auftrag des Auftraggebers weisungsgebunden tätig.
Für eine solche Verarbeitung (Einblick = Offenlegung durch Übermittlung) im Auftrag ist der Abschluss eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO gesetzlich verpflichtend.
Der Auftraggeber ist verpflichtet, den IT-Dienstleister vorab und dann regelmäßig auf Eignung zu prüfen. Hier sollten IT-Dienstleister, die den Datenschutz ernst nehmen, bereits sinnvollerweise ein Paket für die Kunden bereithalten. Sinnvolle Inhalte sind
- - Vorlage der Vertraulichkeitsvereinbarungen
- - anonymisierte Nachweise der Teilnahme Schulungen der Beschäftigten inkl. der Schulungsinhalte und Datum
- - Datenschutz- oder Informationssicherheitskonzept
- Leit- und Richtlinien und Anweisungen im Umgang mit personenbezogenen oder sonstigen Daten
- Prozessbeschreibungen im Umgang mit den Rechten der Betroffenen (z. B. bei Auskunft von betroffenen Personen oder Datenschutzverletzungen)
- - ggf. Prüfnachweise und Unterlagen von eingesetzten Unterauftragsverarbeitern
- - Vorlagen für Löschanweisungen des Auftraggebers
- - Bestellurkunde des Datenschutzbeauftragten DSGVO einschl. Fachkundenachweise
- - Letzter Prüfbericht des Datenschutzbeauftragten einschl. der Prüfgegenstände und Datum
Eine konkrete Abgrenzung gibt es nicht. Der IT-Dienstleister muss sich jeden Einzelfall anschauen und entscheiden, ob zur Abdeckung von Spezialaufgaben oder bei hohem Arbeitsaufkommen mit weiteren IT-Dienstleistern eine Auftragsverarbeitungsvereinbarung oder eine Geheimhaltungsvereinbarung erforderlich ist.
Dazu erhalten Sie hier ein paar Indizien:
Der unterbeauftragte IT-Dienstleister ist regelmäßig ein weiterer Auftragsverarbeiter / Unterauftragsverarbeiter:
- — wählt Ort und Zeit selbst.
- - setzt festgelegte Arbeiten mit seiner eigenen Hard- und Software um, ggf. auch mit Zugang/Zugriff auf IT-Systeme des IT-Dienstleisters (z.B. Wartung / Support)
- - hat eigene Beschäftigte
- - hat ein eigenes Büro und Infrastruktur
- - eine AV-Vereinbarung ist notwendig
- - ein eigenes Sicherheitskonzept ist notwendig
- - Eignungsprüfungen sind vorab und regelmäßig auf Eignung gem. dem höchsten Risiko der Verarbeitung erforderlich.
Der unterbeauftragte IT-Dienstleister ist regelmäßig ein Freiberufler:
- - arbeitet „wie ein(e) eigene® Mitarbeiter:in”
- in den Geschäftsräumen des IT-Dienstleisters
- - mit der Hard- und Software des IT-Dienstleisters oder des Kunden
- - arbeitet zu festen Arbeitszeiten
- - wird von dem IT-Dienstleister selbst geschult
- - der Abschluss einer Vertraulichkeitsvereinbarung ist erforderlich
- - Prüfung der Selbständigkeit notwendig
- - Kontrolle gem. Standard-Konzept für eigene Beschäftigte ist erforderlich
Wenn Sie eine professionelle Unterstützung im Datenschutz suchen, sollten wir uns kennenlernen!
Finden Sie hier eine Auswahl von Dienstleistungen und Produkten.
Mit einen Klick auf die Schaltfläche erhalten Sie mehr Informationen
Datenschutzberater DSGVO
Mit einer modernen Beratung im Bereich Datenschutz und Informationssicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um. Ich biete stundenweise eine Datenschutzberatung von A‑Z.
Datenschutzbeauftragter DSGVO
Informationssicherheitsbeauftragter
Ich berate Sie in allen Bereichen der Informationssicherheit. Schützen Sie Ihre Daten vor den Gefährdungen dieser Zeit nach dem Stand der Technik nach bewährten Methoden. Erfüllen Sie die Anforderungen des IT-Grundschutzes?
Datenschutzkonforme Website
Benötigen Sie regelmäßige Reports über alle Websites inkl. Unterseiten, auch in englischer Sprache? Hätten Sie gerne eine aktive Information, wenn sich die Rechtslage ändert und Sie aktiv werden müssen. Ich biete praxisnahe Maßnahmen zur Optimierung!
Videoüberwachung DSGVO
Datenschutz-Schulungen DSGVO
Praxisnahe Schulungen im Datenschutz und in der Informationssicherheit sind für Unternehmen unerlässlich. Ich biete Präsenz-Veranstaltungen, Webinare und E‑Learning-Kurse an. Schulen Sie Ihre Beschäftigten zielgruppengenau und passend auf Ihr Unternehmen.
Preise Datenschutz und Informationssicherheit
Kundenstimmen
Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.
Mit einer hohen datenschutzrechtlichen, organisatorischen und sicherheitsrelevanten Kompetenz hat Herr Niehoff unser Unternehmen schnell und mit außerordentlicher Unterstützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.
Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.
Nach dem ersten Start haben wir schnell gemerkt, dass es ohne professionelle Hilfe nicht weitergeht. Herr Niehoff hat uns hier auf die richtige Spur gebracht und wir uns auch in Zukunft weiter unterstützen. Vielen Dank für die super schnelle Reaktion und Hilfe in der Krise! Wir freuen uns auch in Zukunft einen starken Partner an der Seite zu haben! Karsten Lorenzen, Geschäftsführer Testexperten KLE GmbH
Kontakt
- Direkte Betreuung
- BERATUNG DIVERSER IT-DIENSTLEISTER, AUCH KRITIS-DIENSTLEISTER GEM. IT-GRUNDSCHUTZ
- Zeitnah verfügbar
Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Projekt sprechen.
