Externer Datenschutz für IT-Dienstleister

Praxisnahe Umsetzung seit 2013

Ihr Branchenexperte für Datenschutz und Informationssicherheit

Datenschutz für IT-Dienstleister

Finden Sie mehr als 10 Themen, die im Datenschutz für IT-Dienstleister beachtet werden müssen.

Home » Datenschutz für IT-Dienstleister

Der Umgang mit sensiblen Daten ist für IT-Dienstleister tägliche Praxis. Ob diese immer im Einklang mit den datenschutzrechtlichen Vorgaben umgesetzt werden, ist aufgrund des meist untypischen Rechtsgebietes oft unklar. Das Datenschutzrecht entwickelt sich sehr dynamisch. Überwiegend unbekannt bei IT-Dienstleistern ist, dass der Datenschutz nicht nur rechtliche Anforderungen, sondern auch umfangreiche Anforderungen im Bereich der Informationssicherheit mit sich bringt.

Ich berate diverse IT-Dienstleister im
Datenschutz und der Informationssicherheit

Die große Herausforderung beim Datenschutz bedeutet auch für IT-Dienstleister, immer auf dem Laufenden zu bleiben. Es gibt fast wöchentlich neue Urteile, Einschätzungen, Handlungsempfehlungen und Fachberichte von Aufsichtsbehörden und Datenschutzbeauftragten.

Diese Veränderungen können gegebenenfalls Auswirkungen auf Ihr Unternehmen haben. Nur durch einen Experten im Datenschutz ist es möglich, die gesetzlichen Vorgaben zeitnah und fachgerecht umzusetzen.

Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.

Kontaktaufnahme

Haben Sie keine internen Ressourcen für diesen Bereich zur Verfügung, steht Ihnen Niehoff-Systemberatung zur Seite. Mit einer lösungsorientierten und ganzheitlichen Anwendung der Datenschutzgesetze und der Informationssicherheit.

Passende praxisnahe Lösungen und die Gestaltung von datenschutzkonformen und sicheren Prozessen — bei risikobasierten Ansätzen — erhalten Sie von mir für Ihr Unternehmen.

Sie benötigen ein Angebot für ein Projekt? Jetzt einfach anfragen.

Leistungen

So vielfältig der Datenschutz auch ist – bei einer Einbindung in Ihrem Unternehmen unterstütze ich Sie als Datenschutzbeauftragter oder als Berater bei der Umsetzung Ihrer gesetzlichen Pflichten.

Datenschutzberatung für IT-Dienstleister

Aufsichtsbehörden auditieren immer wieder anlasslos Unternehmen, die täglich mit sensiblen Daten zu tun haben. Typische Angriffsflächen sind:

Fehlerhafte Gestaltung von Online-Auftritten
Fehlende Anweisungen und Richtlinien im Umgang mit personenbezogenen Daten der Kunden
Einbindung von Auftragsverarbeitern
Beauftragung von IT-Dienstleistern als Auftragsverarbeiter
Durchführung von Direktmarketingmaßnahmen
Fehlende Geschäftsprozesse zur Dokumentation von Weisungen
Fehlende Verpflichtung zur Geheimhaltung im Bereich Fernmeldegeheimnissen und von Berufsgeheimnisträgern

Rund um den IT-Dienstleister

Bietet der IT-Dienstleister Cloud- oder SAAS-Lösungen (Software-as-a-Service) an, entwickelt Apps oder Webseiten oder installiert und betreibt er IT-Systeme für seine Kunden, werden üblicherweise personenbezogene Daten des Kunden (z. B. deren Kunden oder Beschäftigte) verarbeitet.

Die Datenschutz-Aufsichtsbehörden in Deutschland fassen den Begriff der “Verarbeitung personenbezogener Daten” durch den IT-Dienstleister recht weit. Eine Verarbeitung ist bereits anzunehmen, wenn die Einsichtnahme auf personenbezogene Daten im Rahmen von Prüfungen oder Wartung nicht ausgeschlossen werden kann.

Der IT-Dienstleister haftet für Verfehlungen im Datenschutz entsprechend der gesetzlichen Vorgaben mit dem Verantwortlichen gleichermaßen. Bereits bei einer fehlerhaften oder fehlenden Auftragsverarbeitungsvereinbarung mit dem Kunden haftet der IT-Dienstleister gleichermaßen. Um nicht in den Haftungsfall zu geraten, muss auch der IT-Dienstleister auf eine klare Abgrenzung der Verantwortlichkeit im Aufgabengebiet drängen, um Missverständnisse zu verhindern.

Beispiel: Ihr Unternehmen installiert und betreibt für Ihre Kunden diverse IT-Systeme, wie z. B. Firewall oder Laptop. Bei einem Cyberangriff werden sämtliche Daten verschlüsselt und Ihr Kunde hat einen hohen finanziellen Verlust. Das Forensik-Unternehmen stellt abschließend fest, dass die IT-Systeme Ihres Kunden nicht genügend gehärtet waren, d.h. die IT-Systeme sind nicht angemessen, wirksam und nach dem Stand der Technik installiert bzw. betrieben worden. Hier stellt sich dann die Frage, ob das Unternehmen nicht eine Regressforderung stellen wird. Können Sie nachweisen, dass Sie Ihre Arbeit fachgerecht durchgeführt haben?

Die Bitkom e.V. hat Unterlagen für Mitgliedsunternehmen Anfang 2018 zur Verfügung gestellt. Sind diese auch richtig etabliert worden und noch aktuell?

Im Tagesbetrieb stellt sich daher die Frage: Arbeiten wir als IT-Dienstleister eigentlich in diesem Bereich noch gesetzeskonform?

Typische Datenschutzthemen beim IT-Dienstleister

Bei IT-Dienstleistern sind typischerweise folgende Themen zu beachten und müssen jährlich auf Aktualität und Gesetzeskonformität geprüft werden.

Verzeichnis der Verarbeitungstätigkeiten
Verpflichtungserklärungen für Beschäftigte – auch Freiberufler
Prozesse für die Umsetzung der Betroffenenrechte im Unternehmen oder für Kunden
Gesetzeskonforme Gestaltung der Online-Auftritte
Schulungen für Beschäftigte und Ehrenamtliche
Übermittlung von Daten in Drittländer
Umsetzung und Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung der Sicherheit der Verarbeitung (TOMs) und regelmäßige Prüfung der Wirksamkeit

Personalverwaltung
Prozess für die Handhabung von (möglichen) Datenschutzverletzungen im Unternehmen oder für Kunden
Vertragsmanagement mit Kunden und (Unter-)Auftragsverarbeitern
Fachgerechte Gestaltung der Installation von Endgeräten, Servern und sonstige IT-Systemen gem. dem Stand der Technik und den Vorgaben des Datenschutzes
Risikobewertung der Verarbeitungstätigkeiten
Regelmäßige Prüfung der eigenen IT-Systeme
u. v. m.

Als lokaler Datenschutzexperte bringe ich Ihren Datenschutz im Unternehmen voran. Nach der Sichtung der bestehenden Unterlagen erhalten Sie einen detaillierten und priorisierten Maßnahmenplan, der als Basis für die Zusammenarbeit gilt.

Check-up für Ihr IT-Unternehmen

Sie möchten wissen, wo Ihr Unternehmen in puncto Datenschutz und Datensicherheit steht? Dann buchen Sie meine Beratung und Kontrolle und erfahren Sie, wo es Handlungsbedarf gibt und wo Sie bereits gesetzeskonform alle Vorgaben der Datenschutz-Grundverordnung umsetzen.

Ob alteingesessenes Unternehmen mit mehreren Standorten, Freelancer oder Neugründung — ich berate IT-Dienstleister in den norddeutschen Bundesländern vor Ort oder auch per Videokonferenz.

Wünschen Sie eine zweite Meinung zum Thema Datenschutz und Datensicherheit bei einem bestehendem Vertrag (mit einem externen Datenschutzberater)? Auch hier helfe ich Ihnen mit meiner Dienstleistung in Form einer umfassenden Überprüfung.

Datenschutzberatung, Datenschutzbeauftragter oder Experte für Informationssicherheit?

Ganz nach Ihren Wünschen werde ich für Ihr Unternehmen als Datenschutzbeauftragter DSGVO sowie externer Informationssicherheitsbeauftragter tätig oder führe (einmalig sowie auf Wunsch regelmäßig) Datenschutzberatungen in Norddeutschland durch.

Mit meiner über 20-jährigen Berufserfahrung bringe ich viel Wissen als unabhängiger Datenschutzberater ein, von dem Sie vom ersten Tag an profitieren. Als IT-Grundschutzexperte unterstütze ich Sie auch bei der Umsetzung der Informationssicherheit, wenn Sie anspruchsvolle Kunden betreuen oder KRITIS-Unternehmen gewinnen wollen.

Haben Sie nach einer von mir durchgeführten Beratung Interesse an einer längeren Zusammenarbeit in Form eines externen Datenschutz- bzw. Informationsschutzbeauftragten, können wir dieses gerne festlegen.

Haben Sie Interesse an einer längeren Zusammenarbeit in Form eines externen Datenschutz- bzw. Informationsschutzbeauftragten, können wir dieses gerne festlegen. Ich biete verschiedene Leistungspakete an.

Binden Sie mich früh und umfassend in die datenschutzrelevanten Themen in Ihrem Betrieb ein. So stellen Sie sicher, dass die Verarbeitung von personenbezogenen und geschäftskritischen Daten stets unter Einhaltung sämtlicher dafür vorgesehenen gesetzlichen Richtlinien stattfindet.

Preise Datenschutz und Informationssicherheit

Ich biete individuelle Lösungen für Unternehmen, denen Datenschutz und Informationssicherheit wichtig sind. Gern nehme ich mir Zeit für eine persönliche Beratung und fertige Ihnen unverbindlich und kostenlos ein für Sie zugeschnittenes Angebot an. Ich bevorzuge Unternehmen, die den Datenschutz und die Informationssicherheit umsetzen wollen. Wenn Sie eine Beratung von der Stange zu geringen Kosten bevorzugen, passen wir nicht zusammen. Ich biete maßgeschneiderte Lösungen für hohe Ansprüche.

Bestandsaufnahme

ab 1.680 €

Externer Berater

140 € / Stunde

Externer Beauftragter

ab 370 € / Monat

Audit Videoüberwachung

ab 800 €

Paket Website Audit DSGVO

ab 200 €

Schulungen

Auf Anfrage

Häufig gestellte Fragen

IT-Dienstleister müssen sämtliche Vorgaben des Datenschutzes beachten, wenn sie personenbezogene Daten des eigenen Unternehmens oder von Kunden verarbeiten.

Die Nutzung dieser Informationen ist in der Regel zur Erfüllung der Verträge zulässig, wie z. B. für den operativen Betrieb, Wartungstätigkeiten vor Ort oder bei einer Fernwartung von IT-Systemen. Doch es gibt noch diverse weitere Verarbeitungstätigkeiten, bei denen die Datenschutzgrundsätze und weitere Vorgaben der DSGVO beachtet werden müssen.

Fragen und Antworten zum Datenschutz für IT-Dienstleister

Welche Daten darf ein IT-Dienstleister einsehen?

Generell ist es aus vertraglichen Gründen notwendig, dass IT-Dienstleister Einblick in personenbezogene Daten nehmen. Dies ist je nach Zugriffsrecht auch nicht anders möglich. Sofern dies nicht erwünscht ist, muss der Kunde des IT-Dienstleisters Maßnahmen ergreifen, dass der Zugriff nicht oder nur unter Aufsicht erfolgt.

Ist der IT-Dienstleister ein Verantwortlicher oder ein Auftragsverarbeiter?

Üblicherweise ist der IT-Dienstleister sowohl Verantwortlicher für die Verarbeitung der eigenen Daten und Auftragsverarbeiter, wenn personenbezogene Daten des Kunden verarbeitet werden.

Wass muss bei der Einbindung weiterer Auftragsverarbeiter beachtet werden?

Wenn IT-Dienstleister eigene Dienstleister auf beauftragen und diese personenbezogene Daten im Kern verarbeiten, dann müssen Sie diverse Punkte beachten.

Neben dem Abschluss einer Auftragsverarbeitungsvereinbarung müssen Sie den Auftragsverarbeiter auf Eignung vorab und dann regelmäßig prüfen. Dies müssen Sie gegenüber den Aufsichtsbehörden auch nachweisen können. Dieses Thema ist recht umfangreich, wird aber gerne vernachlässigt.

Typische Auftragsverarbeiter sind

- Betreiber oder Lieferant von Software (Fernwartung oder / und Hosting)
- Externe Personalverwaltung oder Lohnbuchhaltung
- IT-Support
- Betrieb oder Support Telekommunikationsanlage
- Betrieb von Online-Bewerbungssystemen
- Hosting oder Betreuung der Online-Auftritte
- E‑Mail-Newsletter-Service
- Sonstige Cloud-Dienste (z. B. Office 365 von Microsoft)
- Callcenter
- Datensicherung / Archivierung
- Papier- oder Datenträgerentsorgung
- Consulting
- E‑Mail- oder Spamdienst
-Online-Dienste, z.B. Analysetools auf der Webseite oder in der App

Keine Auftragsverarbeiter sind z. B.

- Telekommunikationsdienstleister (nur Transport von Daten)
- Vermieter von Räumen in einem Rechenzentrum (Co-Location)
- reine Hardwarewartung ohne Zugriffsmöglichkeiten auf die Daten der IT-Systeme

Sollten Sie unsicher sein bei der Bestimmung des Sachverhaltes, nehmen Sie gerne Kontakt mir auf.

Benötigen IT-Dienstleister einen Datenschutzbeauftragten?

In aller Regel ist eine Bestellung eines Datenschutzbeauftragten (DSB) durchzuführen, wenn mindestens 2o Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut werden. Es gibt noch ein paar Ausnahmen, wann eine Bestellung regelmäßig erfolgen muss, wie z. B. bei

- der Verarbeitung besonders schützenswerter Daten, die auch eine Datenschutz-Folgenabschätzung notwendig machen.
- der geschäftsmäßigen Übermittlung personenbezogener Daten oder
- der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung

Eine Pflicht zur Bestellung eines Datenschutzbeauftragten könnte sich also daraus ergeben, dass eine Kerntätigkeit des IT-Dienstleisters eine risikoreiche Datenverarbeitung darstellt, die aufgrund Art, Umfang und/oder Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht.

Dies gilt übrigens auch, wenn der IT-Dienstleister als Auftragsverarbeiter für Kunden aktiv wird, der die oben genannten Daten verarbeitet.

Ist ein IT-Dienstleister haftbar zu machen, wenn z. B. IT-Systeme nicht datenschutzkonform installiert werden?

Das hängt sicherlich vom Einzelfall ab. Im Rahmen der Vertragsvereinbarung sollte klar geregelt werden, wer für die Umsetzung von IT-Systemen, wie z. B. ein PC-Arbeitsplatz mit Windows 365, Browser und Virenschutz aus datenschutzrechtlicher Sicht zuständig ist. Dies ist notwendig, um Missverständnisse vorzubeugen, insbesondere, wenn es aufgrund von z. B. nicht fachgerechten Installationen zu einer Datenschutzverletzung kommt.

Hier gilt: Bleiben Sie transparent bei Ihren Aktivitäten.

Muss mit jedem Kunden eine Auftragsverarbeitungsvereinbarung geschlossen werden?

Bei Wartungs- und Supporttätigkeiten werden IT-Dienstleister regelmäßig im Auftrag des Auftraggebers weisungsgebunden tätig.

Für eine solche Verarbeitung (Einblick = Offenlegung durch Übermittlung) im Auftrag ist der Abschluss eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO gesetzlich verpflichtend.

Der Auftraggeber ist verpflichtet, den IT-Dienstleister vorab und dann regelmäßig auf Eignung zu prüfen. Hier sollten IT-Dienstleister, die den Datenschutz ernst nehmen, bereits sinnvollerweise ein Paket für die Kunden bereithalten. Sinnvolle Inhalte sind

- Vorlage der Vertraulichkeitsvereinbarungen
- anonymisierte Nachweise der Teilnahme Schulungen der Beschäftigten inkl. der Schulungsinhalte und Datum
- Datenschutz- oder Informationssicherheitskonzept
Leit- und Richtlinien und Anweisungen im Umgang mit personenbezogenen oder sonstigen Daten
Prozessbeschreibungen im Umgang mit den Rechten der Betroffenen (z. B. bei Auskunft von betroffenen Personen oder Datenschutzverletzungen)
- ggf. Prüfnachweise und Unterlagen von eingesetzten Unterauftragsverarbeitern
- Vorlagen für Löschanweisungen des Auftraggebers
- Bestellurkunde des Datenschutzbeauftragten DSGVO einschl. Fachkundenachweise
- Letzter Prüfbericht des Datenschutzbeauftragten einschl. der Prüfgegenstände und Datum

Gibt es eine Abgrenzung zwischen Unterauftragsverarbeiter und Freelancer?

Eine konkrete Abgrenzung gibt es nicht. Der IT-Dienstleister muss sich jeden Einzelfall anschauen und entscheiden, ob zur Abdeckung von Spezialaufgaben oder bei hohem Arbeitsaufkommen mit weiteren IT-Dienstleistern eine Auftragsverarbeitungsvereinbarung oder eine Geheimhaltungsvereinbarung erforderlich ist.

Dazu erhalten Sie hier ein paar Indizien:

Der unterbeauftragte IT-Dienstleister ist regelmäßig ein weiterer Auftragsverarbeiter / Unterauftragsverarbeiter:

— wählt Ort und Zeit selbst.
- setzt festgelegte Arbeiten mit seiner eigenen Hard- und Software um, ggf. auch mit Zugang/Zugriff auf IT-Systeme des IT-Dienstleisters (z.B. Wartung / Support)
- hat eigene Beschäftigte
- hat ein eigenes Büro und Infrastruktur
- eine AV-Vereinbarung ist notwendig
- ein eigenes Sicherheitskonzept ist notwendig
- Eignungsprüfungen sind vorab und regelmäßig auf Eignung gem. dem höchsten Risiko der Verarbeitung erforderlich.

Der unterbeauftragte IT-Dienstleister ist regelmäßig ein Freiberufler:

- arbeitet „wie ein(e) eigene® Mitarbeiter:in”
in den Geschäftsräumen des IT-Dienstleisters
- mit der Hard- und Software des IT-Dienstleisters oder des Kunden
- arbeitet zu festen Arbeitszeiten
- wird von dem IT-Dienstleister selbst geschult
- der Abschluss einer Vertraulichkeitsvereinbarung ist erforderlich
- Prüfung der Selbständigkeit notwendig
- Kontrolle gem. Standard-Konzept für eigene Beschäftigte ist erforderlich

Kontakt

Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Projekt sprechen.

Datenschutz für IT-Dienstleister

Inhalte