05.04.2018 von

DSGVO: Was Sie beim Outsourcing von Daten beachten müssen

Die Verarbeitung von Daten wird immer komplexer, immer mehr Unternehmen setzen deshalb auf Outsourcing. In unserem Videoblog beleuchten wir, wie die Datenschutz-Grundverordnung die Unterstützung durch externe Dienstleister sieht.  

Florian Unterberger (Pressesprecher Baker McKenzie Wien) im Gespräch mit Lukas Feiler. Der Leiter des Teams für IT-Recht bei Baker McKenzie in Wien ist Autor folgender Bücher zur Datenschutz-Grundverordnung: 

 

Fragen zum Thema Outsourcing an externe Dienstleister (Fragen 70-75)

Outsourcing: Wer Zugriff hat, muss unterschreiben

Florian Unterberger: Angenommen, ich beauftrage einen Dienstleister damit, irgendein IT-System zu programmieren oder zu warten. Der Dienstleister ist aber nicht für die Datenpflege zuständig, sondern nur für den Programmiercode im Hintergrund oder die Funktionsfähigkeit der Hardware. Der Dienstleister versichert mir zudem, dass er nie auf diese Daten zugreift. Genügt das?

Lukas Feiler: Nein, leider nicht. Allein die Tatsache, dass er die Möglichkeit hat, auf die Daten zuzugreifen, macht ihn zu einem Auftragsverarbeiter im Sinne der DSGVO und macht es notwendig, eine entsprechende Auftragsverarbeitervereinbarung abzuschließen.

Herausforderung Outsourcing in die USA

Nach den auch medial intensiven Diskussionen über Safe Harbor und dann den Privacy-Shield muss man sich natürlich die Frage stellen: Was tut man, wenn man Daten über den großen Teich ausgelagert hat – in Amerika lagert, dort der Dienstleister sitzt, der diese Daten verwaltet, sie in der Cloud abgelegt sind – was sagt die DSGVO zu diesem Thema?

Lukas Feiler: Grundsätzlich sind zusätzliche Maßnahmen erforderlich, weil in den Vereinigten Staaten kein angemessenes Datenschutzniveau besteht. Zur Lösung des Problems gibt es zwei Ansätze: Entweder ist der US-amerikanische Dienstleister nach Privacy-Shield selbst zertifiziert, das heißt, man findet den Namen des Dienstleisters auf privacyshield.gov entsprechend aufgelistet.

Variante zwei, man schließt mit dem US-amerikanischen Dienstleister sogenannte Standardvertragsklauseln. Das sind Vertragsmuster, die die Europäische Kommission veröffentlicht hat und die, wenn sie so wollen, das europäische Datenschutzrecht in Vertragsform gegossen haben. Mit einem entsprechenden Vertrag darf man dann ebenso die Daten nach Amerika exportieren.

Warnpflicht des Dienstleisters

Vielleicht zum Schluss noch der Blick auf die andere Seite: Wir stellen uns vor, ein Auftragsverarbeiter bekommt plötzlich von seinem Auftraggeber eine Anweisung, etwas zu tun, was nach der Datenschutzgrundverordnung illegal ist. Was muss der Dienstleister dann tun?

Lukas Feiler: Die Verordnung sieht tatsächlich eine Warnpflicht vor, das heißt  ein Auftragsverarbeiter muss, wenn er eine nach seinem Dafürhalten rechtswidrige Anweisung vom Verantwortlichen erhält, warnen. Er muss sagen: Lieber Verantwortlicher, das ist meines Erachtens rechtswidrig. Erst, wenn dann der Verantwortliche sagt: Sehe ich anders oder ist mir gleichgültig, bitte trotzdem ausführen, dann muss der Auftragsverarbeiter das tun, was man ihm anschafft. Das ist Kern dessen, was ihn zum Auftragsverarbeiter macht, auf Anweisung hin zu handeln.

Weitere Fragen zum Thema Outsourcing an externe Dienstleister

Diese Fragen stammen aus dem Kapitel „Outsourcing“ aus dem neuen Buch von Lukas Feiler und Bernhard Horn. Die weiteren Fragen dieses Kapitels lauten:

  • Muss der Verantwortliche mit jedem Dienstleister einen Vertrag abschließen? Wie muss dieser aussehen?
  • Darf sich ein Auftragsverarbeiter vertraglich vorbehalten, Sub-Auftragsverarbeiter einzusetzen?
  • Sind Abweichungen von den Standardvertragsklauseln zulässig oder sogar notwendig?

Praktische Umsetzung der DSGVO in 12 Schritten

Zur Videoserie „Die DSGVO in der Praxis“

Dieses Video ist Teil einer mehrteiligen Serie, in der Lukas Feiler praktische Tipps gibt, wie Unternehmen die Datenschutz-Grundverordnung in der Praxis umsetzen können:

Diese Videoserie beruht auf dem neuen Buch von Lukas Feiler und Bernhard Horn: „Umsetzung der DSGVO in der Praxis – Fragen, Antworten, Muster“

Einführung in die Datenschutz-Grundverordnung

Für eine grundsätzliche Einführung in das Thema Datenschutz-Grundverordnung empfehlen wir Ihnen unsere erste Videoserie zur DSGVO:

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.