DSGVO IT-Dienstleister

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
IT-Dienstleister verarbeiten im Rahmen Ihrer Tätigkeit regelmäßig personenbezogene Daten – sei es das Speichern bei Cloud-Dienstleistungen, Einsichtnahme im Zuge des technischen Supports oder das Auslesen und Auswerten von Daten durch spezialisierte Software. Durch den Zugriff auf personenbezogene Daten, den IT-Dienstleister so erhalten, spielt der Datenschutz und die Umsetzung der DSGVO für IT-Dienstleister eine ganz besondere Rolle. Wir erklären Ihnen, was es zu beachten gibt.
DSGVO IT-Dienstleister
Die wichtigsten Erkenntnisse
  • Datenschutz für IT-Dienstleister ist essentiell für die Umsetzung der DSGVO.
  • Externer Datenschutzbeauftragter wird für IT-Dienstleister empfohlen.
  • Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ist gesetzlich verpflichtend.
  • Technische und organisatorische Maßnahmen müssen ergriffen werden.
  • Datenschutzsoftware Proliance 360 unterstützt bei der Umsetzung der DSGVO.

DSGVO für IT-Dienstleister

Software-as-a-Service (SaaS-Lösungen), Cloud-Lösungen oder Apps – IT-Dienstleister setzen oftmals die IT- und Softwarestruktur für andere Unternehmen um. Regelmäßig werden hierbei personenbezogene Daten im Auftrag dieser Unternehmen durch den IT-Dienstleister verarbeitet. Diese fallen unter die Datenschutzgrundverordnung DSGVO. Die deutschen Aufsichtsbehörden fassen die Verarbeitung personenbezogener Daten durch einen IT-Dienstleister außerordentlich weit. So ist bereits dann eine Verarbeitung anzunehmen, wenn die Einsichtnahme auf personenbezogene Daten (etwa auf Mitarbeiter- oder Kundendaten) im Rahmen von Prüfungen oder Wartung nicht ausgeschlossen werden kann. Diese Einsichtnahme kann in der Praxis also nur selten ausgeschlossen werden.

Gerade im Rahmen von Support- und Wartungstätigkeiten wird der IT-Dienstleister regelmäßig im Auftrag des anderen Unternehmens weisungsgebunden tätig. Für eine solche Verarbeitung im Auftrag ist der Abschluss eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO gesetzlich verpflichtend.

Doch es gibt noch weit mehr, was Sie als IT-Dienstleister hinsichtlich des Datenschutzes beachten müssen. Hier spielt auch der Wartungsvertrag eine große Rolle.

Externer Datenschutzbeauftragter für IT-Dienstleister

Gerade für IT-Dienstleister empfiehlt sich ein externer Datenschutzbeauftragter, denn hier fallen viele personenbezogene Daten unterschiedlichster Unternehmen an. Um diese zu schützen, braucht es spezielle vertragliche Regelungen, es müssen spezielle technische und organisatorische Maßnahmen ergriffen werden und vieles mehr. Um hier gewappnet zu sein, hilft ein externer Datenschutzbeauftragter, der beim Datenschutz-Management in Ihrem Unternehmen den Überblick behält. Ein externer Datenschutzbeauftragter steht Ihnen dabei mit Hilfestellungen und Rat zur Seite – außerdem berichtet er über seine Einschätzung von Risiken beim Umgang mit personenbezogenen Daten in der Firma an die Geschäftsleitung und hilft so, teure Datenschutzverstöße zu vermeiden. Zudem sind Unternehmen gesetzlich verpflichtet, nur mit Auftragsverarbeitern zusammenzuarbeiten, die datenschutzrechtlich-adäquat aufgestellt sind. Ein Datenschutzbeauftragter ist daher ein nicht zu unterschätzender Wettbewerbsfaktor.

Rechtliche Grundlage: DSGVO für IT-Dienstleister – Worauf müssen IT-Dienstleister durch die DSGVO beim Datenschutz achten?

Datenschutz bei einem externen Dienstleister beinhaltet in der Regel andere Faktoren, als interner Datenschutz. Das gilt prinzipiell für alle externen Anbieter. Als IT-Dienstleister müssen bei der DSGVO insbesondere folgende Punkte beachtet werden:

  • Datenschutzerklärung: Bildet die Datenschutzerklärung auf Ihrer Website die neuste Rechtslage ab?
  • Risikoanalyse: Bevor Sie einen Auftrag umsetzen, müssen Sie (mithilfe Ihres Datenschutzbeauftragten) eine Risikoanalyse der Datenanwendung durchführen.
  • Auftragsverarbeitungsvertrag (AV-Vertrag): Oftmals sind Sie als IT-Dienstleister Auftragsverarbeiter im Sinne der DSGVO (Art. 4 Nr. 8 DSGVO). Dies macht den Abschluss eines Auftragsverarbeitungsvertrages erforderlich. Hierin wird der Umgang mit den von Ihnen verarbeiteten personenbezogenen Daten geregelt. Wichtig: Sie als Auftragsverarbeiter sind gegenüber dem Verantwortlichen nachweispflichtig!
  • Verzeichnis von Verarbeitungstätigkeiten: Als IT-Dienstleister verarbeiten Sie personenbezogene Daten. Diese Verarbeitungstätigkeiten müssen in einem Verzeichnis von Verarbeitungstätigkeiten (VVT) festgehalten werden.
  • Dokumentations- und Rechenschaftspflichten: Um den Nachweispflichten gegenüber Ihres Auftragsgebers, aber auch gegenüber dem Gesetzgeber nachzukommen, müssen Sie zwingend die Dokumentations- und Rechenschaftspflichten der DSGVO beachten. Bei einer Prüfung der Aufsichtsbehörde müssen diese Dokumentationen vorgelegt werden.
  • Technische und organisatorische Maßnahmen: Backups, Datenverschlüsselung, Daten-Pseudonymisierung und Anonymisierung und vieles mehr sieht die DSGVO zum Schutz der Rechte der betroffenen Personen vor. Also betroffene Personen gelten alle Personen, deren Daten verarbeitet werden. Ihre Auftraggeber sind verpflichtet, nur mit Unternehmen zusammenzuarbeiten, die über technische und organisatorische Sicherheitsmaßnahmen ein angemessenes Datenschutzniveau gewährleisten können. Die Identifikation und Implementierung geeigneter Maßnahmen ist für IT-Dienstleister essenziell – ein Datenschutzbeauftragter ist hier eine elementare Hilfe.
  • Datensicherheit: Datensicherheit vs. Datenschutz – der Unterschied liegt im Detail, beides muss aber von IT-Dienstleistern sichergestellt und umgesetzt werden.
  • Verschwiegenheitserklärung für Dienstleister: Als Dienstleister sollte man vor allem aufhorchen, wenn hochsensible oder innovative Daten verarbeitet werden. Prüfen Sie, auch für den Fall, dass Sie Sub-Unternehmer beschäftigten, ob Sie eine Verschwiegenheitserklärung benötigen!
  • Zertifizierungen: Art. 28 DSGVO fordert „hinreichende Garantien“ beim Auftragsverarbeiter. Dies ist ein unbestimmter Rechtsbegriff, dem Sie aber zum Beispiel durch bestimmte Zertifizierungen Ihrer Dienstleistungen, wie durch ISO 27001, entsprechen können.
  • Fernwartung: Fernwartungen sind ein sensibles Thema – denn hier haben Sie als IT-Dienstleister Zugriff und die Kontrolle auf Kundenrechner- und Daten. Hier sollten Sie Ihre Mitarbeiter schulen, damit diese im Vorfeld einer Fernwartung die Kunden zum Thema Screensharing briefen können.
  • Home-Office: Sie betreuen ein Unternehmen, in dem Home-Office an der Tagesordnung ist? Hier gelten natürlich alle bereits genannten Regeln – vom AV-Vertrag bis zur Verschlüsselung müssen Sie alle Vorgaben umsetzen und je nach Vertrag die Datensicherheit sicherstellen.

Unsere Leistungen im Überblick

Mit unserer Datenschutzsoftware Proliance 360 helfen wir Ihnen, Ihren Unternehmens-Datenschutz systematisch Schritt für Schritt umzusetzen. So setzen Sie die DSGVO für IT-Dienstleister sicher um!

Die Schritte der Software Proliance 360 auf dem Weg zur Datenschutzkonformität umfassen dabei:

  1. Erfassen: Datenschutzbestandsaufnahme, Datenschutzaudit
  2. Analysieren: Risikoanalyse, Datenschutzmaßnahmenplan, Datenschutz Compliance
  3. Dokumentieren: Datenschutzerklärung Website, Datenschutzdokumentation, Technisch-Organisatorische Maßnahmen, Erstellung Verarbeitungsverzeichnis
  4. Verbessern: Datenschutz-Folgenabschätzung, Mitarbeiterschulung, Management Betroffenenanfragen, Auftragsverarbeitungsvertrag, Datenschutzverletzung, Expertenunterstützung, Externer Datenschutzbeauftragter, Datenschutzberatung, Datenschutzmanagement

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
-
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!