Pra­xis­na­he Umset­zung seit 2013

Ihr Bran­chen­ex­per­te für Daten­schutz und Informationssicherheit

Daten­schutz für IT-Dienstleister

Fin­den Sie mehr als 10 The­men, die im Daten­schutz für IT-Dienst­leis­ter beach­tet wer­den müssen.

Der Umgang mit sen­si­blen Daten ist für IT-Diens­t­­leis­ter täg­li­che Pra­xis. Ob die­se immer im Ein­klang mit den daten­schutz­rechtlichen Vor­ga­ben umge­setzt wer­den, ist auf­grund des meist unty­pi­schen Rechts­gebietes oft unklar. Das Daten­schutz­recht ent­wi­ckelt sich sehr dyna­misch. Über­wie­gend unbe­kannt bei IT-Diens­t­­leis­tern ist, dass der Daten­schutz nicht nur recht­li­che Anford­erungen, son­dern auch umfang­rei­che Anford­erungen im Bereich der Informations­sicherheit mit sich bringt. 
Niehoff-Systemberatung Matthias Niehoff

Ich bera­te diver­se IT-Dienst­leis­ter im
Datenschutz­ und der Informationssicherheit 

Die gro­ße Heraus­forderung beim Daten­schutz bedeu­tet auch für IT-Dienst­leis­ter, immer auf dem Lau­fen­den zu blei­ben. Es gibt fast wöchent­lich neue Urtei­le, Einschätz­ungen, Handlungs­empfehlungen und Fach­berichte von Aufsichts­behörden und Datenschutzbeauftragten.

Die­se Veränder­ungen kön­nen gege­be­nen­falls Aus­wirkungen auf Ihr Unter­neh­men haben. Nur durch einen Exper­ten im Daten­schutz ist es mög­lich, die gesetz­li­chen Vor­ga­ben zeit­nah und fach­gerecht umzusetzen.

Die­se Infor­ma­tio­nen stel­len kei­ne Rechts­be­ra­tung dar, son­dern geben Anre­gun­gen zur Umset­zung. Für eine pass­ge­naue Umset­zung neh­men Sie ger­ne Kon­takt auf.

Haben Sie kei­ne inter­nen Res­sour­cen für die­sen Bereich zur Ver­fü­gung, steht Ihnen Nie­hoff-Sys­tem­be­ra­tung zur Sei­te. Mit einer lösungs­orientierten und ganz­heit­lichen Anwen­dung der Datenschutz­gesetze und der Informationssicherheit.

Pas­sen­de praxis­nahe Lösun­gen und die Gestal­tung von datenschutz­konformen und siche­ren Pro­zes­sen — bei risiko­basierten Ansät­zen — erhal­ten Sie von mir für Ihr Unter­neh­men.

Sie benö­ti­gen ein Ange­bot für ein Pro­jekt? Jetzt ein­fach anfragen.

Leis­tun­gen

So viel­fäl­tig der Daten­schutz auch ist – bei einer Ein­bindung in Ihrem Unter­neh­men unter­stüt­ze ich Sie als Datenschutz­beauf­tragter oder als Bera­ter bei der Umset­zung Ihrer gesetz­lichen Pflichten. 

Daten­schutz­be­ra­tung für IT-Dienstleister

Auf­sichts­be­hör­den audi­tie­ren immer wie­der anlass­los Unter­neh­men, die täg­lich mit sen­si­blen Daten zu tun haben. Typi­sche Angriffs­flä­chen sind:

datenschutz-fuer-it-dienstleister2
Foto: Mar­vin Mey­er @ unsplash.com

Rund um den IT-Dienstleister

Bie­tet der IT-Dienst­leis­ter Cloud- oder SAAS-Lösun­gen (Soft­ware-as-a-Ser­vice) an, ent­wi­ckelt Apps oder Web­sei­ten oder instal­liert und betreibt er IT-Sys­te­me für sei­ne Kun­den, wer­den übli­cher­wei­se per­so­nen­be­zo­ge­ne Daten des Kun­den (z. B. deren Kun­den oder Beschäf­tig­te) verarbeitet.

Die Daten­schutz-Auf­sichts­be­hör­den in Deutsch­land fas­sen den Begriff der “Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten” durch den IT-Dienst­leis­ter recht weit. Eine Ver­ar­bei­tung ist bereits anzu­neh­men, wenn die Ein­sicht­nah­me auf per­so­nen­be­zo­ge­ne Daten im Rah­men von Prü­fun­gen oder War­tung nicht aus­ge­schlos­sen wer­den kann.

Der IT-Dienst­leis­ter haf­tet für Ver­feh­lun­gen im Daten­schutz ent­spre­chend der gesetz­li­chen Vor­ga­ben mit dem Ver­ant­wort­li­chen glei­cher­ma­ßen. Bereits bei einer feh­ler­haf­ten oder feh­len­den Auftrags­verarbeitungs­vereinbarung mit dem Kun­den haf­tet der IT-Dienst­leis­ter glei­cher­ma­ßen. Um nicht in den Haf­tungs­fall zu gera­ten, muss auch der IT-Dienst­leis­ter auf eine kla­re Abgren­zung der Ver­ant­wort­lich­keit im Aufgaben­gebiet drän­gen, um Missver­ständnisse zu verhindern.

Datenschutz-fuer-it-dienstleister3
Foto: Tho­mas Jen­sen @ unsplash.com

Bei­spiel: Ihr Unter­neh­men instal­liert und betreibt für Ihre Kun­den diver­se IT-Sys­te­me, wie z. B. Fire­wall oder Lap­top. Bei einem Cyber­an­griff wer­den sämt­li­che Daten ver­schlüs­selt und Ihr Kun­de hat einen hohen finan­zi­el­len Ver­lust. Das Foren­sik-Unter­neh­men stellt abschlie­ßend fest, dass die IT-Sys­te­me Ihres Kun­den nicht genü­gend gehär­tet waren, d.h. die IT-Sys­te­me sind nicht ange­mes­sen, wirk­sam und nach dem Stand der Tech­nik instal­liert bzw. betrie­ben wor­den. Hier stellt sich dann die Fra­ge, ob das Unter­neh­men nicht eine Regress­for­de­rung stel­len wird. Kön­nen Sie nach­wei­sen, dass Sie Ihre Arbeit fach­ge­recht durch­ge­führt haben?

Die Bit­kom e.V. hat Unter­la­gen für Mit­glieds­un­ter­neh­men Anfang 2018 zur Ver­fü­gung gestellt. Sind die­se auch rich­tig eta­bliert wor­den und noch aktuell?

Im Tages­be­trieb stellt sich daher die Fra­ge: Arbei­ten wir als IT-Dienst­leis­ter eigent­lich in die­sem Bereich noch gesetzeskonform?

Typi­sche Daten­schutz­the­men beim IT-Dienstleister

Bei IT-Dienst­leis­tern sind typi­scher­wei­se fol­gen­de The­men zu beach­ten und müs­sen jähr­lich auf Aktua­li­tät und Geset­zes­kon­for­mi­tät geprüft werden.

Als loka­ler Daten­schutz­ex­per­te brin­ge ich Ihren Daten­schutz im Unter­neh­men vor­an. Nach der Sich­tung der bestehen­den Unter­la­gen erhal­ten Sie einen detail­lier­ten und prio­ri­sier­ten Maß­nah­men­plan, der als Basis für die Zusam­men­ar­beit gilt.

Check-up für Ihr IT-Unternehmen

Sie möch­ten wis­sen, wo Ihr Unter­neh­men in punc­to Daten­schutz und Daten­sicherheit steht? Dann buchen Sie mei­ne Bera­tung und Kon­trol­le und erfah­ren Sie, wo es Handlungs­bedarf gibt und wo Sie bereits gesetzes­konform alle Vor­ga­ben der Daten­schutz-Grund­ver­ord­nung umsetzen.

Ob alt­ein­ge­ses­se­nes Unter­neh­men mit meh­re­ren Stand­or­ten, Free­lan­cer oder Neu­grün­dung — ich bera­te IT-Dienst­leis­ter in den nord­deutschen Bun­des­län­dern vor Ort oder auch per Videokonferenz.

Wün­schen Sie eine zwei­te Mei­nung zum The­ma Daten­schutz und Daten­sicherheit bei einem besteh­endem Ver­trag (mit einem exter­nen Daten­schutz­berater)? Auch hier hel­fe ich Ihnen mit mei­ner Dienst­leist­ung in Form einer umfass­enden Überprüfung.

Daten­schutz­be­ra­tung, Daten­schutz­be­auf­trag­ter oder Exper­te für Informationssicherheit?

Ganz nach Ihren Wün­schen wer­de ich für Ihr Unter­neh­men als Datenschutz­beauf­tragter DSGVO sowie exter­ner Infor­mations­sicherheitsbeauf­tragter tätig oder füh­re (ein­ma­lig sowie auf Wunsch regel­mä­ßig) Daten­schutz­beratungen in Nord­deutsch­land durch.

Mit mei­ner über 20-jäh­ri­gen Berufs­erfahr­ung brin­ge ich viel Wis­sen als unab­hängiger Datenschutz­berater ein, von dem Sie vom ers­ten Tag an pro­fi­tie­ren. Als IT-Grund­schutz­ex­per­te unter­stüt­ze ich Sie auch bei der Umset­zung der Infor­ma­ti­ons­si­cher­heit, wenn Sie anspruchs­vol­le Kun­den betreu­en oder KRI­TIS-Unter­neh­men gewin­nen wollen.

Haben Sie nach einer von mir durchge­führten Bera­tung Inter­es­se an einer län­ge­ren Zusammen­arbeit in Form eines exter­nen Daten­schutz- bzw. Infor­mations­schutz­beauf­tragten, kön­nen wir die­ses ger­ne festlegen. 

Haben Sie Inter­es­se an einer län­ge­ren Zusammen­arbeit in Form eines exter­nen Daten­schutz- bzw. Infor­mations­schutz­beauf­tragten, kön­nen wir die­ses ger­ne fest­legen. Ich bie­te ver­schie­de­ne Leis­tungs­pa­ke­te an.

Bin­den Sie mich früh und umfass­end in die daten­schutz­re­le­van­ten The­men in Ihrem Betrieb ein. So stel­len Sie sicher, dass die Ver­ar­bei­tung von personen­bezogenen und geschäfts­krit­ischen Daten stets unter Ein­hal­tung sämt­li­cher dafür vorge­sehenen gesetz­lichen Richt­linien stattfindet.

Prei­se Daten­schutz und Informationssicherheit

Ich bie­te indi­vi­du­el­le Lösun­gen für Unter­neh­men, denen Daten­schutz und Infor­ma­ti­ons­si­cher­heit wich­tig sind. Gern neh­me ich mir Zeit für eine per­sön­li­che Bera­tung und fer­ti­ge Ihnen unver­bind­lich und kos­ten­los ein für Sie zuge­schnit­te­nes Ange­bot an. Ich bevor­zu­ge Unter­neh­men, die den Daten­schutz und die Infor­ma­ti­ons­si­cher­heit umset­zen wol­len. Wenn Sie eine Bera­tung von der Stan­ge zu gerin­gen Kos­ten bevor­zu­gen, pas­sen wir nicht zusam­men. Ich bie­te maß­ge­schnei­der­te Lösun­gen für hohe Ansprüche.

datenschutz preise niehoff-systemberatung

Bestands­auf­nah­me

ab 1.680 €

Exter­ner Berater

140 € / Stunde

Exter­ner Beauftragter 

ab 370 € / Monat

Audit Video­über­wa­chung

ab 800 €

Paket Web­site Audit DSGVO

ab 200 €

Schu­lun­gen

Auf Anfra­ge

Häu­fig gestell­te Fragen

IT-Dienst­leis­ter müs­sen sämt­li­che Vor­ga­ben des Daten­schut­zes beach­ten, wenn sie per­so­nen­be­zo­ge­ne Daten des eige­nen Unter­neh­mens oder von Kun­den verarbeiten.

Die Nut­zung die­ser Infor­ma­tio­nen ist in der Regel zur Erfül­lung der Ver­trä­ge zuläs­sig, wie z. B. für den ope­ra­ti­ven Betrieb, Wartungs­tätigkeiten vor Ort oder bei einer Fern­wartung von IT-Sys­te­men. Doch es gibt noch diver­se wei­te­re Verarbeitungs­tätigkeiten, bei denen die Daten­schutz­grund­sät­ze und wei­te­re Vor­ga­ben der DSGVO beach­tet wer­den müssen.

Fra­gen und Ant­wor­ten zum Daten­schutz für IT-Dienstleister

Gene­rell ist es aus ver­trag­li­chen Grün­den not­wen­dig, dass IT-Dienst­leis­ter Ein­blick in per­so­nen­be­zo­ge­ne Daten neh­men. Dies ist je nach Zugriffs­recht auch nicht anders mög­lich. Sofern dies nicht erwünscht ist, muss der Kun­de des IT-Dienst­leis­ters Maß­nah­men ergrei­fen, dass der Zugriff nicht oder nur unter Auf­sicht erfolgt.

Übli­cher­wei­se ist der IT-Dienst­leis­ter sowohl Ver­ant­wort­li­cher für die Ver­ar­bei­tung der eige­nen Daten und Auf­trags­ver­ar­bei­ter, wenn per­so­nen­be­zo­ge­ne Daten des Kun­den ver­ar­bei­tet werden.

Wenn IT-Dienst­leis­ter eige­ne Dienst­leis­ter auf beauf­tra­gen und die­se per­so­nen­be­zo­ge­ne Daten im Kern ver­ar­bei­ten, dann müs­sen Sie diver­se Punk­te beachten.

Neben dem Abschluss einer Auf­trags­ver­ar­bei­tungs­ver­ein­ba­rung  müs­sen Sie den Auf­trags­ver­ar­bei­ter auf Eig­nung vor­ab und dann regel­mä­ßig prü­fen. Dies müs­sen Sie gegen­über den Auf­sichts­be­hör­den auch nach­wei­sen kön­nen. Die­ses The­ma ist recht umfang­reich, wird aber ger­ne vernachlässigt.

Typi­sche Auf­trags­ver­ar­bei­ter sind

  • - Betrei­ber oder Lie­fe­rant von Soft­ware (Fern­war­tung oder / und Hosting)
  • - Exter­ne Per­so­nal­ver­wal­tung oder Lohnbuchhaltung
  • - IT-Sup­port
  • - Betrieb oder Sup­port Telekommunikationsanlage
  • - Betrieb von Online-Bewerbungssystemen
  • - Hos­ting oder Betreu­ung der Online-Auftritte
  • - E‑Mail-News­let­ter-Ser­vice
  • - Sons­ti­ge Cloud-Diens­te (z. B. Office 365 von Microsoft)
  • - Call­cen­ter
  • - Daten­si­che­rung / Archivierung
  • - Papier- oder Datenträgerentsorgung
  • - Con­sul­ting
  • - E‑Mail- oder Spamdienst
  • -Online-Diens­te, z.B. Ana­ly­se­tools auf der Web­sei­te oder in der App

Kei­ne Auf­trags­ver­ar­bei­ter sind z. B. 

  • - Tele­kom­mu­ni­ka­ti­ons­dienst­leis­ter (nur Trans­port von Daten)
  • - Ver­mie­ter von Räu­men in einem Rechen­zen­trum (Co-Loca­ti­on)
  • - rei­ne Hard­ware­war­tung ohne Zugriffs­mög­lich­kei­ten auf die Daten der IT-Systeme

Soll­ten Sie unsi­cher sein bei der Bestim­mung des Sach­ver­hal­tes, neh­men Sie ger­ne Kon­takt mir auf.

In aller Regel ist eine Bestel­lung eines Daten­schutz­be­auf­trag­ten (DSB) durch­zu­füh­ren, wenn min­des­tens 2o Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten betraut wer­den.  Es gibt noch ein paar Aus­nah­men, wann eine Bestel­lung regel­mä­ßig erfol­gen muss, wie z. B. bei

  • - der Ver­ar­bei­tung beson­ders schüt­zens­wer­ter Daten, die auch eine Daten­schutz-Fol­gen­ab­schät­zung not­wen­dig machen.
  • - der geschäfts­mä­ßi­gen Über­mitt­lung per­so­nen­be­zo­ge­ner Daten oder
  • - der anony­mi­sier­ten Über­mitt­lung oder für Zwe­cke der Markt- oder Meinungsforschung

Eine Pflicht zur Bestel­lung eines Daten­schutz­be­auf­trag­ten könn­te sich also dar­aus erge­ben, dass eine Kern­tä­tig­keit des IT-Dienst­leis­ters eine risi­ko­rei­che Daten­ver­ar­bei­tung dar­stellt, die auf­grund Art, Umfang und/oder Zwe­cke eine umfang­rei­che regel­mä­ßi­ge und sys­te­ma­ti­sche Über­wa­chung von betrof­fe­nen Per­so­nen erfor­der­lich macht.

Dies gilt übri­gens auch, wenn der IT-Dienst­leis­ter als Auf­trags­ver­ar­bei­ter für Kun­den aktiv wird, der die oben genann­ten Daten verarbeitet.

Das hängt sicher­lich vom Ein­zel­fall ab. Im Rah­men der Ver­trags­ver­ein­ba­rung soll­te klar gere­gelt wer­den, wer für die Umset­zung von IT-Sys­te­men, wie z. B. ein PC-Arbeits­platz mit Win­dows 365, Brow­ser und Viren­schutz aus daten­schutz­recht­li­cher Sicht zustän­dig ist. Dies ist not­wen­dig, um Miss­ver­ständ­nis­se vor­zu­beu­gen, ins­be­son­de­re, wenn es auf­grund von z. B. nicht fach­ge­rech­ten Instal­la­tio­nen zu einer Daten­schutz­ver­let­zung kommt.

Hier gilt: Blei­ben Sie trans­pa­rent bei Ihren Aktivitäten.

Bei War­tungs- und Sup­port­tä­tig­kei­ten wer­den IT-Dienst­leis­ter regel­mä­ßig im Auf­trag des Auf­trag­ge­bers wei­sungs­ge­bun­den tätig.

Für eine sol­che Ver­ar­bei­tung (Ein­blick = Offen­le­gung durch Über­mitt­lung) im Auf­trag ist der Abschluss eines Auf­trags­ver­ar­bei­tungs­ver­tra­ges gemäß Art. 28 DSGVO gesetz­lich verpflichtend.

Der Auf­trag­ge­ber ist ver­pflich­tet, den IT-Dienst­leis­ter vor­ab und dann regel­mä­ßig auf Eig­nung zu prü­fen. Hier soll­ten IT-Dienst­leis­ter, die den Daten­schutz ernst neh­men, bereits sinn­vol­ler­wei­se ein Paket für die Kun­den bereit­hal­ten. Sinn­vol­le Inhal­te sind

  • - Vor­la­ge der Vertraulichkeitsvereinbarungen
  • - anony­mi­sier­te Nach­wei­se der Teil­nah­me Schu­lun­gen der Beschäf­tig­ten inkl. der Schu­lungs­in­hal­te und Datum
  • - Daten­schutz- oder Informationssicherheitskonzept
  • Leit- und Richt­li­ni­en und Anwei­sun­gen im Umgang mit per­so­nen­be­zo­ge­nen oder sons­ti­gen Daten
  • Pro­zess­be­schrei­bun­gen im Umgang mit den Rech­ten der Betrof­fe­nen (z. B. bei Aus­kunft von betrof­fe­nen Per­so­nen oder Datenschutzverletzungen)
  • - ggf. Prüf­nach­wei­se und Unter­la­gen von ein­ge­setz­ten Unterauftragsverarbeitern
  • - Vor­la­gen für Lösch­an­wei­sun­gen des Auftraggebers
  • - Bestel­l­ur­kun­de des Daten­schutz­be­auf­trag­ten DSGVO einschl. Fachkundenachweise
  • - Letz­ter Prüf­be­richt des Daten­schutz­be­auf­trag­ten einschl. der Prüf­ge­gen­stän­de und Datum 

Eine kon­kre­te Abgren­zung gibt es nicht. Der IT-Dienst­leis­ter muss sich jeden Ein­zel­fall anschau­en und ent­schei­den, ob zur Abde­ckung von Spe­zi­al­auf­ga­ben oder bei hohem Arbeits­auf­kom­men mit wei­te­ren IT-Dienst­leis­tern eine  Auf­trags­ver­ar­bei­tungs­ver­ein­ba­rung oder eine Geheim­hal­tungs­ver­ein­ba­rung erfor­der­lich ist.

Dazu erhal­ten Sie hier ein paar Indizien:

Der unter­be­auf­trag­te IT-Dienst­leis­ter ist regel­mä­ßig ein wei­te­rer Auf­trags­ver­ar­bei­ter / Unterauftragsverarbeiter:

  •  — wählt Ort und Zeit selbst.
  • - setzt fest­ge­leg­te Arbei­ten mit sei­ner eige­nen Hard- und Soft­ware um, ggf. auch mit Zugang/Zugriff auf IT-Sys­te­me des IT-Dienst­leis­ters (z.B. War­tung / Support)
  • - hat eige­ne Beschäftigte
  • - hat ein eige­nes Büro und Infrastruktur
  • - eine AV-Ver­ein­ba­rung  ist notwendig
  • - ein eige­nes Sicher­heits­kon­zept ist notwendig
  • - Eig­nungsprüfun­gen sind vor­ab und regel­mä­ßig auf Eig­nung gem. dem höchs­ten Risi­ko der Ver­ar­bei­tung erforderlich.

Der unter­be­auf­trag­te IT-Dienst­leis­ter ist regel­mä­ßig ein Freiberufler:

  • - arbei­tet „wie ein(e) eige­ne®  Mitarbeiter:in”
  • in den Geschäfts­räu­men des IT-Dienstleisters
  • - mit der Hard- und Soft­ware des IT-Dienst­leis­ters oder des Kunden
  • - arbei­tet zu fes­ten Arbeitszeiten
  • - wird von dem IT-Dienst­leis­ter selbst  geschult
  • - der Abschluss einer Ver­trau­lich­keits­ver­ein­ba­rung ist erforderlich
  • - Prü­fung der Selb­stän­dig­keit notwendig
  • - Kon­trol­le gem. Stan­dard-Kon­zept für eige­ne Beschäf­tig­te ist erfor­der­lich 

Kon­takt

Buchen Sie ein kos­ten­frei­es Erst­ge­spräch und las­sen Sie uns über Ihr Pro­jekt sprechen.

kontakt-niehoff-systemberatung