Magazin
DSGVO IT-Dienstleister

DSGVO IT-Dienstleister

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
IT-Dienstleister verarbeiten im Rahmen Ihrer Tätigkeit regelmäßig personenbezogene Daten – sei es das Speichern bei Cloud-Dienstleistungen, Einsichtnahme im Zuge des technischen Supports oder das Auslesen und Auswerten von Daten durch spezialisierte Software. Durch den Zugriff auf personenbezogene Daten, den IT-Dienstleister so erhalten, spielt der Datenschutz und die Umsetzung der DSGVO für IT-Dienstleister eine ganz besondere Rolle. Wir erklären Ihnen, was es zu beachten gibt.
DSGVO IT-Dienstleister
Die wichtigsten Erkenntnisse
  • Datenschutz für IT-Dienstleister ist essentiell für die Umsetzung der DSGVO.
  • Externer Datenschutzbeauftragter wird für IT-Dienstleister empfohlen.
  • Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ist gesetzlich verpflichtend.
  • Technische und organisatorische Maßnahmen müssen ergriffen werden.
  • Datenschutzsoftware Proliance 360 unterstützt bei der Umsetzung der DSGVO.

DSGVO für IT-Dienstleister

Software-as-a-Service (SaaS-Lösungen), Cloud-Lösungen oder Apps – IT-Dienstleister setzen oftmals die IT- und Softwarestruktur für andere Unternehmen um. Regelmäßig werden hierbei personenbezogene Daten im Auftrag dieser Unternehmen durch den IT-Dienstleister verarbeitet. Diese fallen unter die Datenschutzgrundverordnung DSGVO. Die deutschen Aufsichtsbehörden fassen die Verarbeitung personenbezogener Daten durch einen IT-Dienstleister außerordentlich weit. So ist bereits dann eine Verarbeitung anzunehmen, wenn die Einsichtnahme auf personenbezogene Daten (etwa auf Mitarbeiter- oder Kundendaten) im Rahmen von Prüfungen oder Wartung nicht ausgeschlossen werden kann. Diese Einsichtnahme kann in der Praxis also nur selten ausgeschlossen werden.

Gerade im Rahmen von Support- und Wartungstätigkeiten wird der IT-Dienstleister regelmäßig im Auftrag des anderen Unternehmens weisungsgebunden tätig. Für eine solche Verarbeitung im Auftrag ist der Abschluss eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO gesetzlich verpflichtend.

Doch es gibt noch weit mehr, was Sie als IT-Dienstleister hinsichtlich des Datenschutzes beachten müssen. Hier spielt auch der Wartungsvertrag eine große Rolle.

Externer Datenschutzbeauftragter für IT-Dienstleister

Gerade für IT-Dienstleister empfiehlt sich ein externer Datenschutzbeauftragter, denn hier fallen viele personenbezogene Daten unterschiedlichster Unternehmen an. Um diese zu schützen, braucht es spezielle vertragliche Regelungen, es müssen spezielle technische und organisatorische Maßnahmen ergriffen werden und vieles mehr. Um hier gewappnet zu sein, hilft ein externer Datenschutzbeauftragter, der beim Datenschutz-Management in Ihrem Unternehmen den Überblick behält. Ein externer Datenschutzbeauftragter steht Ihnen dabei mit Hilfestellungen und Rat zur Seite – außerdem berichtet er über seine Einschätzung von Risiken beim Umgang mit personenbezogenen Daten in der Firma an die Geschäftsleitung und hilft so, teure Datenschutzverstöße zu vermeiden. Zudem sind Unternehmen gesetzlich verpflichtet, nur mit Auftragsverarbeitern zusammenzuarbeiten, die datenschutzrechtlich-adäquat aufgestellt sind. Ein Datenschutzbeauftragter ist daher ein nicht zu unterschätzender Wettbewerbsfaktor.

Rechtliche Grundlage: DSGVO für IT-Dienstleister – Worauf müssen IT-Dienstleister durch die DSGVO beim Datenschutz achten?

Datenschutz bei einem externen Dienstleister beinhaltet in der Regel andere Faktoren, als interner Datenschutz. Das gilt prinzipiell für alle externen Anbieter. Als IT-Dienstleister müssen bei der DSGVO insbesondere folgende Punkte beachtet werden:

  • Datenschutzerklärung: Bildet die Datenschutzerklärung auf Ihrer Website die neuste Rechtslage ab?
  • Risikoanalyse: Bevor Sie einen Auftrag umsetzen, müssen Sie (mithilfe Ihres Datenschutzbeauftragten) eine Risikoanalyse der Datenanwendung durchführen.
  • Auftragsverarbeitungsvertrag (AV-Vertrag): Oftmals sind Sie als IT-Dienstleister Auftragsverarbeiter im Sinne der DSGVO (Art. 4 Nr. 8 DSGVO). Dies macht den Abschluss eines Auftragsverarbeitungsvertrages erforderlich. Hierin wird der Umgang mit den von Ihnen verarbeiteten personenbezogenen Daten geregelt. Wichtig: Sie als Auftragsverarbeiter sind gegenüber dem Verantwortlichen nachweispflichtig!
  • Verzeichnis von Verarbeitungstätigkeiten: Als IT-Dienstleister verarbeiten Sie personenbezogene Daten. Diese Verarbeitungstätigkeiten müssen in einem Verzeichnis von Verarbeitungstätigkeiten (VVT) festgehalten werden.
  • Dokumentations- und Rechenschaftspflichten: Um den Nachweispflichten gegenüber Ihres Auftragsgebers, aber auch gegenüber dem Gesetzgeber nachzukommen, müssen Sie zwingend die Dokumentations- und Rechenschaftspflichten der DSGVO beachten. Bei einer Prüfung der Aufsichtsbehörde müssen diese Dokumentationen vorgelegt werden.
  • Technische und organisatorische Maßnahmen: Backups, Datenverschlüsselung, Daten-Pseudonymisierung und Anonymisierung und vieles mehr sieht die DSGVO zum Schutz der Rechte der betroffenen Personen vor. Also betroffene Personen gelten alle Personen, deren Daten verarbeitet werden. Ihre Auftraggeber sind verpflichtet, nur mit Unternehmen zusammenzuarbeiten, die über technische und organisatorische Sicherheitsmaßnahmen ein angemessenes Datenschutzniveau gewährleisten können. Die Identifikation und Implementierung geeigneter Maßnahmen ist für IT-Dienstleister essenziell – ein Datenschutzbeauftragter ist hier eine elementare Hilfe.
  • Datensicherheit: Datensicherheit vs. Datenschutz – der Unterschied liegt im Detail, beides muss aber von IT-Dienstleistern sichergestellt und umgesetzt werden.
  • Verschwiegenheitserklärung für Dienstleister: Als Dienstleister sollte man vor allem aufhorchen, wenn hochsensible oder innovative Daten verarbeitet werden. Prüfen Sie, auch für den Fall, dass Sie Sub-Unternehmer beschäftigten, ob Sie eine Verschwiegenheitserklärung benötigen!
  • Zertifizierungen: Art. 28 DSGVO fordert „hinreichende Garantien“ beim Auftragsverarbeiter. Dies ist ein unbestimmter Rechtsbegriff, dem Sie aber zum Beispiel durch bestimmte Zertifizierungen Ihrer Dienstleistungen, wie durch ISO 27001, entsprechen können.
  • Fernwartung: Fernwartungen sind ein sensibles Thema – denn hier haben Sie als IT-Dienstleister Zugriff und die Kontrolle auf Kundenrechner- und Daten. Hier sollten Sie Ihre Mitarbeiter schulen, damit diese im Vorfeld einer Fernwartung die Kunden zum Thema Screensharing briefen können.
  • Home-Office: Sie betreuen ein Unternehmen, in dem Home-Office an der Tagesordnung ist? Hier gelten natürlich alle bereits genannten Regeln – vom AV-Vertrag bis zur Verschlüsselung müssen Sie alle Vorgaben umsetzen und je nach Vertrag die Datensicherheit sicherstellen.

Unsere Leistungen im Überblick

Mit unserer Datenschutzsoftware Proliance 360 helfen wir Ihnen, Ihren Unternehmens-Datenschutz systematisch Schritt für Schritt umzusetzen. So setzen Sie die DSGVO für IT-Dienstleister sicher um!

Die Schritte der Software Proliance 360 auf dem Weg zur Datenschutzkonformität umfassen dabei:

  1. Erfassen: Datenschutzbestandsaufnahme, Datenschutzaudit
  2. Analysieren: Risikoanalyse, Datenschutzmaßnahmenplan, Datenschutz Compliance
  3. Dokumentieren: Datenschutzerklärung Website, Datenschutzdokumentation, Technisch-Organisatorische Maßnahmen, Erstellung Verarbeitungsverzeichnis
  4. Verbessern: Datenschutz-Folgenabschätzung, Mitarbeiterschulung, Management Betroffenenanfragen, Auftragsverarbeitungsvertrag, Datenschutzverletzung, Expertenunterstützung, Externer Datenschutzbeauftragter, Datenschutzberatung, Datenschutzmanagement

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
DSGVO
Datensicherheit
Informationssicherheit
IT-Sicherheit
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Ausspähen von Daten gem. § 202a StGB: Straftaten durch Cyberangriffe weiter auf dem Vormarsch
20
.
09
.
2024
Ausspähen von Daten gem. § 202a StGB: Straftaten durch Cyberangriffe weiter auf dem Vormarsch
Das Ausspähen von Daten nach § 202a des Strafgesetzbuches ist zu einer der größten Bedrohungen für deutsche Unternehmen geworden. Experten mahnen zu mehr Investitionen in die Informationssicherheit.
Die Vorratsdatenspeicherung
14
.
10
.
2024
Die Vorratsdatenspeicherung
Werden personenbezogene Telekommunikationsdaten durch öffentliche Stellen oder in deren Auftrag gespeichert, ohne dass es dafür einen konkreten Anlass gibt, spricht man von Vorratsdatenspeicherung oder auch Mindestdatenspeicherung. Als Vorstufe der Telekommunikationsüberwachung gehört das Thema Vorratsdatenspeicherung zu den am meisten umstrittenen Bereichen des Datenschutzrechts. Mehrfach wurden entsprechende gesetzliche Vorschriften durch das Bundesverfassungsgericht und den Europäischen Gerichtshof kassiert.
Die 7 Grundsätze der DSGVO
01
.
08
.
2024
Die 7 Grundsätze der DSGVO
Die Datenschutz-Grundverordnung (DSGVO) ist seit ihrer Einführung im Mai 2018 ein zentrales Thema für Unternehmen in der EU. Ihre Grundsätze sind darauf ausgelegt, den Schutz personenbezogener Daten zu gewährleisten und das Vertrauen zwischen Unternehmen und ihren Kunden zu stärken. Für mittelständische Unternehmen ist es entscheidend, diese Grundsätze der DSGVO zu verstehen und umzusetzen, um rechtliche Risiken zu minimieren und sich einen Wettbewerbsvorteil zu sichern.
Presearch: Ist die dezentralisierte Suchmaschine datenschutzkonform?
28
.
03
.
2023
Presearch: Ist die dezentralisierte Suchmaschine datenschutzkonform?
Aufmerksame Besitzer eines neuen Android-Gerätes haben es vielleicht schon entdeckt: die Suchmaschine Presearch als Alternative zu Google. Auch wenn die Bekanntheit und ihr Marktanteil noch sehr gering sind, ist das Auftauchen von Presearch auf dem Smartphone Grund genug, dass wir uns diese Suchmaschine hinsichtlich Datenschutz genauer anschauen.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Unterschied zwischen Datenschutz und Informationssicherheit – Was Unternehmen wissen sollten
20
.
11
.
2024
Unterschied zwischen Datenschutz und Informationssicherheit – Was Unternehmen wissen sollten
Datenschutz und Informationssicherheit spielen eine zentrale Rolle, wenn es um den Schutz von analogen und digitalen Informationen im Unternehmen geht. Um beide Konzepte richtig umzusetzen, ist eine klare Trennung notwendig. Wir klären die Unterschiede und Gemeinsamkeiten und zeigen, wie Unternehmen sicher und rechtskonform arbeiten.
SOC-2-Reports: Was Unternehmen über den Audit wissen müssen
14
.
11
.
2024
SOC-2-Reports: Was Unternehmen über den Audit wissen müssen
Mit einem SOC-2-Report zeigen Sie, dass Ihr Unternehmen Kontrollen und Prozesse implementiert hat, um sensible Kundendaten zu schützen. Doch was genau ist ein SOC-2-Report? Welche Unternehmen benötigen ihn? Und wie läuft der Audit-Prozess ab?
ISO 27001 Controls: Eine Übersicht für Unternehmen
14
.
11
.
2024
ISO 27001 Controls: Eine Übersicht für Unternehmen
In einer Welt, in der Cyberangriffe immer häufiger und raffinierter werden, sind Informationssicherheit und Datenschutz für Unternehmen essenziell. Eine der anerkanntesten internationalen Normen in diesem Bereich ist die ISO 27001. Diese Norm hilft Unternehmen dabei, ein robustes Informationssicherheitsmanagementsystem (ISMS) zu etablieren, um sensible Daten zu schützen und regulatorische Anforderungen zu erfüllen.
SOC 2 vs. ISO 27001: Der richtige Sicherheitsstandard für Ihr Unternehmen
12
.
11
.
2024
SOC 2 vs. ISO 27001: Der richtige Sicherheitsstandard für Ihr Unternehmen
Sie möchten Ihre Informationssicherheit auf das nächste Level bringen und suchen einen Sicherheitsstandard, der Ihnen dabei hilft? Wir beleuchten Gemeinsamkeiten und Unterschiede zwischen SOC 2 und ISO 27001, damit Ihnen die Entscheidung leichter fällt.
datenschutz-Muster

Kostenlose Materialien zum Thema

Bestellung eines Datenschutz­beauftragten nach DSGVO
Berufen Sie jetzt einfach und schnell einen Datenschutzexperten mit unserer Bestellurkunde.
Datenschutzerklärung für Bewerber
Unternehmen sind gesetzlich dazu verpflichtet, verschiedene Informationspflichten nach der DSGVO einzuhalten. Dazu zählt auch die Datenschutzinformationspflicht gegenüber Ihren Bewerbern. Dabei können Sie eine PDF-Datei in Ihrer Karriereseite oder in den jeweiligen Stellenausschreibungen für die Bewerber zur Verfügung stellen. Um Ihnen die Arbeit zu erleichtern, haben wir eine DSGVO-konforme Vorlage zur Datenschutzbelehrung für Bewerber erstellt. Damit können Sie die Datenschutzinformationspflicht für Bewerber jetzt mit geringerem Zeitaufwand und mehr Sicherheit umsetzen.
Vertraulichkeits- und Verschwiegenheits­erklärung Mitarbeiter
Alle Unternehmen die personenbezogene Daten verarbeiten müssen sicherstellen, dass Mitarbeiter und Dienstleister diese Daten vertraulich behandeln. Deshalb ist eine Verpflichtung auf Vertraulichkeit (auch „Vertraulichkeitserklärung“ genannt) notwendig. Um zu dokumentieren, dass die Mitarbeiter im Unternehmen sich dieser Pflicht bewusst sind, entsprechend geschult wurden, und wissen, worauf sie beim Umgang mit personenbezogenen Daten zu achten haben, sieht die DSGVO vor, dass die Mitarbeiter eine Vertraulichkeitserklärung unterschreiben. Dies ergibt sich aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO. Mit der Vertraulichkeitserklärung können Unternehmen nicht nur ihren Dokumentationspflichten gegenüber Betroffenen oder Aufsichtsbehörden nachkommen, sondern verringern auch die Gefahr einer unbeabsichtigten Datenschutzverletzung. Die Vertraulichkeitserklärung stärkt zudem das Vertrauen der Kunden oder Geschäftspartner in die datenschutzrechtlichen Praktiken des Unternehmens. Mit unserem juristisch geprüften Verschwiegenheitserklärung-Muster können Sie Ihren Mitarbeitern eine Vertraulichkeitserklärung zukommen und diese unterschreiben lassen. Falls Sie dieser Pflicht nicht nachkommen, können teure Abmahnungen die Folge sein.
Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!