Datenschutz für IT-Dienstleister

Praxisnahe Umsetzung seit 2013

Ihr Branchenexperte für Datenschutz und Informationssicherheit

Datenschutz für IT-Dienstleister

Finden Sie mehr als 10 Themen, die im Datenschutz für IT-Dienstleister beachtet werden müssen.

Kostenloses Erstgespräch
Mehr erfahren
Der Umgang mit sensiblen Daten ist für IT-Dienst­leister tägliche Praxis. Ob diese immer im Einklang mit den daten­schutz­rechtlichen Vorgaben umgesetzt werden, ist auf­grund des meist untypischen Rechts­gebietes oft unklar. Das Daten­schutz­recht entwickelt sich sehr dynamisch. Überwiegend unbekannt bei IT-Dienst­leistern ist, dass der Daten­schutz nicht nur rechtliche Anford­erungen, sondern auch umfangreiche Anford­erungen im Bereich der Informations­sicherheit mit sich bringt.
Niehoff-Systemberatung Matthias Niehoff

Ich berate diverse IT-Dienstleister im
Datenschutz­ und der Informationssicherheit 

Die große Heraus­forderung beim Daten­schutz bedeutet auch für IT-Dienstleister, immer auf dem Laufenden zu bleiben. Es gibt fast wöchentlich neue Urteile, Einschätz­ungen, Handlungs­empfehlungen und Fach­berichte von Aufsichts­behörden und Datenschutz­beauftragten.

Diese Veränder­ungen können gegebenenfalls Aus­wirkungen auf Ihr Unternehmen haben. Nur durch einen Experten im Datenschutz ist es möglich, die gesetzlichen Vorgaben zeitnah und fach­gerecht umzusetzen.

Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.

Inhalte

Kontaktaufnahme

Haben Sie keine internen Ressourcen für diesen Bereich zur Verfügung, steht Ihnen Niehoff-Systemberatung zur Seite. Mit einer lösungs­orientierten und ganz­heit­lichen Anwendung der Datenschutz­gesetze und der Informations­sicherheit.

Passende praxis­nahe Lösungen und die Gestaltung von datenschutz­konformen und sicheren Prozessen – bei risiko­basierten Ansätzen – erhalten Sie von mir für Ihr Unternehmen.

  • Maßgeschneiderte Lösungen
  • Über 20 Jahre Berufserfahrung
  • Pragmatische und schnelle Umsetzung

Sie benötigen ein Angebot für ein Projekt? Jetzt einfach anfragen.

Leistungen

So vielfältig der Daten­schutz auch ist – bei einer Ein­bindung in Ihrem Unternehmen unterstütze ich Sie als Datenschutz­beauf­tragter oder als Berater bei der Umsetzung Ihrer gesetz­lichen Pflichten.

Daten­schutz­berater DSGVO

Mit einer modernen Beratung im Bereich Daten­­schutz und Informations­sicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um.

Mehr erfahren

Daten­schutz­beauftragter DSGVO

Als externer Datenschutz­­­beauftragter bietet ich Ihnen einen Rund-um-Support nach den gesetz­lichen Vorgaben. Nutzen Sie vom ersten Tag an meine lang­jährige Erfahrung.

Mehr erfahren

Infor­mations­sicher­heits­beauf­tragter

Ich berate Sie in allen Bereichen der Informations­­sicherheit. Schützen Sie Ihre Daten vor den Gefähr­dungen dieser Zeit nach dem Stand der Technik.

Mehr erfahren

Datenschutz-Schulungen DSGVO

Praxisnahe Schulungen im Datenschutz sind unerlässlich. Ich biete passende Präsenz­-Veranstaltungen, Webinare und E-Learning-Kurse.

Mehr erfahren

Datenschutzberatung für IT-Dienstleister

Aufsichtsbehörden auditieren immer wieder anlasslos Unternehmen, die täglich mit sensiblen Daten zu tun haben. Typische Angriffsflächen sind:

Termin buchen
datenschutz-fuer-it-dienstleister2
Foto: Marvin Meyer @ unsplash.com
  • Direkte Betreuung
  • Fokus im norddeutschen Raum
  • Zeitnah verfügbar, auch vor Ort

Kundenstimmen

Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.

Interner DSB aus Hamburg

IT Grosshandel

Mit einer hohen datenschutz­rechtlichen, organisatorischen und sicherheits­relevanten Kompetenz hat Herr Niehoff unser Unter­nehmen schnell und mit außer­ordentlicher Unter­stützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.

Geschäftsführer aus Hamburg

Testexperten KLE GmbH

Wir hatten die Herausforderung, dass wir nach der Erstellung & Umsetzungen der DSGVO-Richtlinien eine ernsthafte Prüfung im Bereich der DSGVO brauchten. Herr Niehoff hat uns das Ganze sehr gut erläutert und super unterstützt. Wir möchten uns an dieser Stelle für die hervorragende Zusammenarbeit bedanken!

Chief Digital Officer aus Lüneburg

Öffentliche Verwaltung

Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.

Sekretariat

Rechtsanwaltskanzlei

Außerdem hat unsere Bearbeit­erin unserer Homepage Ihre Anweisungen sehr gelobt! Sie schreibt: „Kompliment an dieser Stelle an ihren Datenschutz­beauftragten, ich habe selten so fundierte Anweisungen bekommen, bei denen ich zu 100% mitgehe.“ Auch ich kann Ihnen an dieser Stelle mitteilen, dass sie mir sehr verständlich aufzeigen, was ich im Datenschutzdschungel nach und nach alles bearbeiten muss. Danke dafür! 😊

Fachkunde

Die Gestaltung einer datenschutz­konformen Organisation verbessert sofort die Sicher­heit Ihres Unter­nehmens. Lassen Sie uns deshalb jetzt über Ihre laufenden oder zukünftigen Pro­jekte sprechen und die Umsetz­ung unter Einhaltung aller datenschutzrechtlichen Bestimmungen planen.

Im Laufe der Jahre habe ich mir ein fundiertes Wissen im Bereich des Datenschutzes und der Informationssicherheit angeeignet. Eine permanente Weiterbildung ist für mich selbstverständlich. Ich halte meine Mandanten auf dem neuesten Stand.

  • Zertifizierter Datenschutz­beauftragter (TÜV)
  • Zertifizierter IT-Grundschutz­praktiker
  • Diplom-Ingenieur (FH) Systemanalyse
  • Über 20 Jahre Berufs­erfahrung
  • Pragmatische und schnelle Umsetzung
fachkundenachweis-niehoff (Benutzerdefiniert)

Rund um den IT-Dienstleister

Bietet der IT-Dienstleister Cloud- oder SAAS-Lösungen (Software-as-a-Service) an, entwickelt Apps oder Webseiten oder installiert und betreibt er IT-Systeme für seine Kunden, werden üblicherweise personenbezogene Daten des Kunden (z. B. deren Kunden oder Beschäftigte) verarbeitet.

Die Datenschutz-Aufsichtsbehörden in Deutschland fassen den Begriff der „Verarbeitung personenbezogener Daten“ durch den IT-Dienstleister recht weit. Eine Verarbeitung ist bereits anzunehmen, wenn die Einsichtnahme auf personenbezogene Daten im Rahmen von Prüfungen oder Wartung nicht ausgeschlossen werden kann.

Der IT-Dienstleister haftet für Verfehlungen im Datenschutz entsprechend der gesetzlichen Vorgaben mit dem Verantwortlichen gleichermaßen. Bereits bei einer fehlerhaften oder fehlenden Auftrags­verarbeitungs­vereinbarung mit dem Kunden haftet der IT-Dienstleister gleichermaßen. Um nicht in den Haftungsfall zu geraten, muss auch der IT-Dienstleister auf eine klare Abgrenzung der Verantwortlichkeit im Aufgaben­gebiet drängen, um Missver­ständnisse zu verhindern.

Datenschutz-fuer-it-dienstleister3
Foto: Thomas Jensen @ unsplash.com

Beispiel: Ihr Unternehmen installiert und betreibt für Ihre Kunden diverse IT-Systeme, wie z. B. Firewall oder Laptop. Bei einem Cyberangriff werden sämtliche Daten verschlüsselt und Ihr Kunde hat einen hohen finanziellen Verlust. Das Forensik-Unternehmen stellt abschließend fest, dass die IT-Systeme Ihres Kunden nicht genügend gehärtet waren, d.h. die IT-Systeme sind nicht angemessen, wirksam und nach dem Stand der Technik installiert bzw. betrieben worden. Hier stellt sich dann die Frage, ob das Unternehmen nicht eine Regressforderung stellen wird. Können Sie nachweisen, dass Sie Ihre Arbeit fachgerecht durchgeführt haben?

  • Beratungen und Schulungen
  • Dokumentation durch Checklisten, Leit- und Richtlinien
  • Moderation von Zusammenkünften von Unternehmen mit Behörden oder Betroffenen

Die Bitkom e.V. hat Unterlagen für Mitgliedsunternehmen Anfang 2018 zur Verfügung gestellt. Sind diese auch richtig etabliert worden und noch aktuell?

Im Tagesbetrieb stellt sich daher die Frage: Arbeiten wir als IT-Dienstleister eigentlich in diesem Bereich noch gesetzeskonform?

Termin buchen

Typische Datenschutzthemen beim IT-Dienstleister

Bei IT-Dienstleistern sind typischerweise folgende Themen zu beachten und müssen jährlich auf Aktualität und Gesetzeskonformität geprüft werden.

  • Verzeichnis der Verarbeitungstätigkeiten
  • Verpflichtungserklärungen für Beschäftigte – auch Freiberufler
  • Prozesse für die Umsetzung der Betroffenenrechte im Unternehmen oder für Kunden
  • Gesetzeskonforme Gestaltung der Online-Auftritte
  • Schulungen für Beschäftigte und Ehrenamtliche
  • Übermittlung von Daten in Drittländer
  • Umsetzung und Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung der Sicherheit der Verarbeitung (TOMs) und regelmäßige Prüfung der Wirksamkeit
  • Personalverwaltung
  • Prozess für die Handhabung von (möglichen) Datenschutzverletzungen im Unternehmen oder für Kunden
  • Vertragsmanagement mit Kunden und (Unter-)Auftragsverarbeitern
  • Fachgerechte Gestaltung der Installation von Endgeräten, Servern und sonstige IT-Systemen gem. dem Stand der Technik und den Vorgaben des Datenschutzes
  • Risikobewertung der Verarbeitungstätigkeiten
  • Regelmäßige Prüfung der eigenen IT-Systeme
  • u. v. m.

Als lokaler Datenschutzexperte bringe ich Ihren Datenschutz im Unternehmen voran. Nach der Sichtung der bestehenden Unterlagen erhalten Sie einen detaillierten und priorisierten Maßnahmenplan, der als Basis für die Zusammenarbeit gilt.

Kostenloses Erstgespräch

Check-up für Ihr IT-Unternehmen

Sie möchten wissen, wo Ihr Unternehmen in puncto Datenschutz und Daten­sicherheit steht? Dann buchen Sie meine Beratung und Kontrolle und erfahren Sie, wo es Handlungs­bedarf gibt und wo Sie bereits gesetzes­konform alle Vorgaben der Datenschutz-Grundverordnung umsetzen.

Ob alteingesessenes Unternehmen mit mehreren Standorten, Freelancer oder Neugründung – ich berate IT-Dienstleister in den norddeutschen Bundesländern vor Ort oder auch per Videokonferenz.

Wünschen Sie eine zweite Meinung zum Thema Datenschutz und Daten­sicherheit bei einem besteh­endem Vertrag (mit einem externen Daten­schutz­berater)? Auch hier helfe ich Ihnen mit meiner Dienst­leist­ung in Form einer umfass­enden Über­prüfung.

Datenschutzberatung, Datenschutzbeauftragter oder Experte für Informationssicherheit?

Ganz nach Ihren Wünschen werde ich für Ihr Unternehmen als Datenschutz­beauf­tragter DSGVO sowie externer Infor­mations­sicherheitsbeauf­tragter tätig oder führe (einmalig sowie auf Wunsch regelmäßig) Daten­schutz­beratungen in Norddeutschland durch.

Mit meiner über 20-jährigen Berufs­erfahr­ung bringe ich viel Wissen als unab­hängiger Datenschutz­berater ein, von dem Sie vom ersten Tag an profitieren. Als IT-Grundschutzexperte unterstütze ich Sie auch bei der Umsetzung der Informationssicherheit, wenn Sie anspruchsvolle Kunden betreuen oder KRITIS-Unternehmen gewinnen wollen.

Haben Sie nach einer von mir durchge­führten Beratung Interesse an einer längeren Zusammen­arbeit in Form eines externen Datenschutz- bzw. Infor­mations­schutz­beauf­tragten, können wir dieses gerne fest­legen. 

Haben Sie Interesse an einer längeren Zusammen­arbeit in Form eines externen Datenschutz- bzw. Infor­mations­schutz­beauf­tragten, können wir dieses gerne fest­legen. Ich biete verschiedene Leistungspakete an.

Binden Sie mich früh und umfass­end in die datenschutzrelevanten Themen in Ihrem Betrieb ein. So stellen Sie sicher, dass die Verarbeitung von personen­bezogenen und geschäfts­krit­ischen Daten stets unter Einhaltung sämtlicher dafür vorge­sehenen gesetz­lichen Richt­linien statt­findet.

Termin buchen

Leistungspakete Datenschutz

Ich biete verschiedene Leistungs­pakete zum Thema Daten­schutz und Infor­mations­sicher­heit an. Ein Do-it-Your­self-Ser­vice für kleinere Unternehmen, ein Komfort­paket mit umfang­reichen Dienst­leistungen und ein Premium-Paket für eine Rund-um-die-Uhr-Betreu­ung.
Bei sämt­lichen Paketen ist mein Daten­schutz­portal inklu­sive. Damit können Sie Ihren Nach­weis­pflichten zum Daten­schutz einfach und bequem nach­kommen.
Sie haben Fragen zu den Paketen oder möchten ein kosten­loses Erst­gespräch in Anspruch nehmen? Kein Problem – buchen Sie einfach einen Termin.
datenschutz preise niehoff-systemberatung

Budget

Unternehmen bis 20 Beschäftigte
ab 150 EUR pro Monat, monatlich kündbar
  •  
Mehr Informationen

Komfort

Unternehmen ab 20 Beschäftigte
ab 250 EUR pro Monat, jährlich kündbar
  •  
Mehr Informationen
Angesagt

Premium

Unternehmen ab 50 Beschäftigte
ab 500 EUR pro Monat, 2 Jahre Bindung
  •  
Mehr Informationen

Häufig gestellte Fragen

IT-Dienstleister müssen sämtliche Vorgaben des Datenschutzes beachten, wenn sie personenbezogene Daten des eigenen Unternehmens oder von Kunden verarbeiten.

Die Nutzung dieser Informationen ist in der Regel zur Erfüllung der Verträge zulässig, wie z. B. für den operativen Betrieb, Wartungs­tätigkeiten vor Ort oder bei einer Fern­wartung von IT-Systemen. Doch es gibt noch diverse weitere Verarbeitungs­tätigkeiten, bei denen die Datenschutzgrundsätze und weitere Vorgaben der DSGVO beachtet werden müssen.

Fragen und Antworten zum Datenschutz für IT-Dienstleister

Generell ist es aus vertraglichen Gründen notwendig, dass IT-Dienstleister Einblick in personenbezogene Daten nehmen. Dies ist je nach Zugriffsrecht auch nicht anders möglich. Sofern dies nicht erwünscht ist, muss der Kunde des IT-Dienstleisters Maßnahmen ergreifen, dass der Zugriff nicht oder nur unter Aufsicht erfolgt.

Üblicherweise ist der IT-Dienstleister sowohl Verantwortlicher für die Verarbeitung der eigenen Daten und Auftragsverarbeiter, wenn personenbezogene Daten des Kunden verarbeitet werden.

Wenn IT-Dienstleister eigene Dienstleister auf beauftragen und diese personenbezogene Daten im Kern verarbeiten, dann müssen Sie diverse Punkte beachten.

Neben dem Abschluss einer Auftragsverarbeitungsvereinbarung  müssen Sie den Auftragsverarbeiter auf Eignung vorab und dann regelmäßig prüfen. Dies müssen Sie gegenüber den Aufsichtsbehörden auch nachweisen können. Dieses Thema ist recht umfangreich, wird aber gerne vernachlässigt.

Typische Auftragsverarbeiter sind

  • - Betreiber oder Lieferant von Software (Fernwartung oder / und Hosting)
  • - Externe Personalverwaltung oder Lohnbuchhaltung
  • - IT-Support
  • - Betrieb oder Support Telekommunikationsanlage
  • - Betrieb von Online-Bewerbungssystemen
  • - Hosting oder Betreuung der Online-Auftritte
  • - E-Mail-Newsletter-Service
  • - Sonstige Cloud-Dienste (z. B. Office 365 von Microsoft)
  • - Callcenter
  • - Datensicherung / Archivierung
  • - Papier- oder Datenträgerentsorgung
  • - Consulting
  • - E-Mail- oder Spamdienst
  • -Online-Dienste, z.B. Analysetools auf der Webseite oder in der App

Keine Auftragsverarbeiter sind z. B. 

  • - Telekommunikationsdienstleister (nur Transport von Daten)
  • - Vermieter von Räumen in einem Rechenzentrum (Co-Location)
  • - reine Hardwarewartung ohne Zugriffsmöglichkeiten auf die Daten der IT-Systeme

Sollten Sie unsicher sein bei der Bestimmung des Sachverhaltes, nehmen Sie gerne Kontakt mir auf.

In aller Regel ist eine Bestellung eines Datenschutzbeauftragten (DSB) durchzuführen, wenn mindestens 2o Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut werden.  Es gibt noch ein paar Ausnahmen, wann eine Bestellung regelmäßig erfolgen muss, wie z. B. bei

  • - der Verarbeitung besonders schützenswerter Daten, die auch eine Datenschutz-Folgenabschätzung notwendig machen.
  • - der geschäftsmäßigen Übermittlung personenbezogener Daten oder
  • - der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung

Eine Pflicht zur Bestellung eines Datenschutzbeauftragten könnte sich also daraus ergeben, dass eine Kerntätigkeit des IT-Dienstleisters eine risikoreiche Datenverarbeitung darstellt, die aufgrund Art, Umfang und/oder Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht.

Dies gilt übrigens auch, wenn der IT-Dienstleister als Auftragsverarbeiter für Kunden aktiv wird, der die oben genannten Daten verarbeitet.

Das hängt sicherlich vom Einzelfall ab. Im Rahmen der Vertragsvereinbarung sollte klar geregelt werden, wer für die Umsetzung von IT-Systemen, wie z. B. ein PC-Arbeitsplatz mit Windows 365, Browser und Virenschutz aus datenschutzrechtlicher Sicht zuständig ist. Dies ist notwendig, um Missverständnisse vorzubeugen, insbesondere, wenn es aufgrund von z. B. nicht fachgerechten Installationen zu einer Datenschutzverletzung kommt.

Hier gilt: Bleiben Sie transparent bei Ihren Aktivitäten.

Bei Wartungs- und Supporttätigkeiten werden IT-Dienstleister regelmäßig im Auftrag des Auftraggebers weisungsgebunden tätig.

Für eine solche Verarbeitung (Einblick = Offenlegung durch Übermittlung) im Auftrag ist der Abschluss eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO gesetzlich verpflichtend.

Der Auftraggeber ist verpflichtet, den IT-Dienstleister vorab und dann regelmäßig auf Eignung zu prüfen. Hier sollten IT-Dienstleister, die den Datenschutz ernst nehmen, bereits sinnvollerweise ein Paket für die Kunden bereithalten. Sinnvolle Inhalte sind

  • - Vorlage der Vertraulichkeitsvereinbarungen
  • - anonymisierte Nachweise der Teilnahme Schulungen der Beschäftigten inkl. der Schulungsinhalte und Datum
  • - Datenschutz- oder Informationssicherheitskonzept
  • Leit- und Richtlinien und Anweisungen im Umgang mit personenbezogenen oder sonstigen Daten
  • Prozessbeschreibungen im Umgang mit den Rechten der Betroffenen (z. B. bei Auskunft von betroffenen Personen oder Datenschutzverletzungen)
  • - ggf. Prüfnachweise und Unterlagen von eingesetzten Unterauftragsverarbeitern
  • - Vorlagen für Löschanweisungen des Auftraggebers
  • - Bestellurkunde des Datenschutzbeauftragten DSGVO einschl. Fachkundenachweise
  • - Letzter Prüfbericht des Datenschutzbeauftragten einschl. der Prüfgegenstände und Datum 

Eine konkrete Abgrenzung gibt es nicht. Der IT-Dienstleister muss sich jeden Einzelfall anschauen und entscheiden, ob zur Abdeckung von Spezialaufgaben oder bei hohem Arbeitsaufkommen mit weiteren IT-Dienstleistern eine  Auftragsverarbeitungsvereinbarung oder eine Geheimhaltungsvereinbarung erforderlich ist.

Dazu erhalten Sie hier ein paar Indizien:

Der unterbeauftragte IT-Dienstleister ist regelmäßig ein weiterer Auftragsverarbeiter / Unterauftragsverarbeiter:

  •  - wählt Ort und Zeit selbst.
  • - setzt festgelegte Arbeiten mit seiner eigenen Hard- und Software um, ggf. auch mit Zugang/Zugriff auf IT-Systeme des IT-Dienstleisters (z.B. Wartung / Support)
  • - hat eigene Beschäftigte
  • - hat ein eigenes Büro und Infrastruktur
  • - eine AV-Vereinbarung  ist notwendig
  • - ein eigenes Sicherheitskonzept ist notwendig
  • - Eignungsprüfungen sind vorab und regelmäßig auf Eignung gem. dem höchsten Risiko der Verarbeitung erforderlich.

Der unterbeauftragte IT-Dienstleister ist regelmäßig ein Freiberufler:

  • - arbeitet „wie ein(e) eigene(r)  Mitarbeiter:in"
  • in den Geschäftsräumen des IT-Dienstleisters
  • - mit der Hard- und Software des IT-Dienstleisters oder des Kunden
  • - arbeitet zu festen Arbeitszeiten
  • - wird von dem IT-Dienstleister selbst  geschult
  • - der Abschluss einer Vertraulichkeitsvereinbarung ist erforderlich
  • - Prüfung der Selbständigkeit notwendig
  • - Kontrolle gem. Standard-Konzept für eigene Beschäftigte ist erforderlich 

Kontakt

  • Direkte Betreuung
  • BERATUNG DIVERSER IT-DIENSTLEISTER, AUCH KRITIS-DIENSTLEISTER GEM. IT-GRUNDSCHUTZ
  • Zeitnah verfügbar

Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Projekt sprechen.

Termin buchen 04181 / 212 9718
kontakt-niehoff-systemberatung