01
Jul
2015

Datenschutz und IT-Recht

Esche Datenschutz-Checkliste: Outsourcing

Dr. Frank Bongers

 

Datenschutzrechtliche Standard-Situationen Schritt für Schritt meistern: Dabei unterstützen die ESCHE Datenschutz-Checklisten.

Outsourcing, insbesondere IT-Outsourcing, führt fast immer auch zu einer Weitergabe personenbezogener Daten an den Dienstleister. Die frühzeitige Berücksichtigung des Datenschutzes verhindert, dass das Outsourcing-Projekt an unerkannten Datenschutzhindernissen scheitert.



Phase 1: Vorbereitung der Outsourcingmaßnahme

  • Prüfung, der mit dem Outsourcing verbundenen Datenverarbeitungsprozesse, insbesondere der Weitergabe personenbezogener Daten an den Dienstleister
  • Prüfung, ob ein betrieblicher Datenschutzbeauftragter zu bestellen ist und ggf. Bestellung eines betrieblichen Datenschutzbeauftragten
  • Einbindung des betrieblichen Datenschutzbeauftragten
  • Rechtliche Prüfung der Zulässigkeit der Datenweitergabe, insbesondere:

    • Beachtung strafbewehrter Vertraulichkeitspflichten
    • Klärung der Frage, ob Daten in Staaten ohne angemessenes Datenschutzniveau transferiert werden; wenn ja: Sicherstellung eines angemessenen Datenschutzniveaus beim Empfänger (z. B. durch EU-Standardvertragsklauseln)
    • Abgrenzung Auftragsdatenverarbeitung/Funktionsübertragung (Praxishinweis: Was im Inland eine Auftragsdatenverarbeitung ist, kann bei einem Auftragnehmer im Drittland eine Funktionsübertragung sein)
    • Im Fall einer Auftragsdatenverarbeitung:

      • Gestaltung eines Auftragsdatenverarbeitungsvertrages
      • Ermittlung des etwaigen Einsatzes von Unterauftragnehmern durch den Dienstleister und ggf. Vertragsprüfung und –gestaltung
      • Vorabkontrolle der Einhaltung der technischen und organisatorischen Maßnahmen zur Datensicherheit beim Auftragnehmer

    • Im Fall der Funktionsübertragung:

      • Prüfung, ob für die Übermittlung eine ausreichende Rechtsgrundlage besteht (dabei: besondere Berücksichtigung der etwaigen Verarbeitung besonderer Arten personenbezogener Daten)
      • Gestaltung datenschutzrechtlicher Regelungen im Rahmen eines Funktionsübertragungsvertrags, welche ggf. Voraussetzung rechtmäßigen Übermittlung personenbezogener Daten ist
      • Ggf. Einwilligungserklärungen der betroffenen Personen gestalten

  • Vertragliche Regelung eines Exitmanagements (z.B. Rückübertragung von Daten oder Möglichkeit der Fortführung von Vertragsleistungen für einen bestimmten Zeitraum)
  • Verpflichtung der Mitarbeiter des Dienstleisters auf das Datengeheimnis
  • Implementierung eines Risikomanagements für Datenverluste, Hackerangriffe etc.
  • Ggf. Versicherungsschutz (Cyberangriffe etc.)
  • Ggf. weitere rechtliche Prüfungen, z. B. steuer- oder arbeitsrechtliche Aspekte
  • Ggf. Anpassung des Verfahrensverzeichnisses


Phase 2: Durchführung der Outsourcingmaßnahme

  • Durchführung der jeweiligen vertraglichen Regelungen-Erfüllung gesetzlich vorgeschriebener und vertraglich vereinbarter Kontrollpflichten bei Auftragnehmern und ggf. deren Unterauftragnehmern (insbesondere Prüfung und Anpassung der technischen und organisatorischen Maßnahme zur Datensicherheit)
  • Dokumentation der Kontrollmaßnahmen
  • Ggf. Prüfung in Bezug auf zusätzlich zu begründende Unterauftragsverhältnisse des Dienstleisters

Phase 3: Beendigung der Outsourcingmaßnahme

  • Exitmanagement, insbesondere

    • Sichere Rückübertragung personenbezogener Daten organisieren
    • Rückgabe überlassener Datenträger
    • Beendigung von Verträgen (Auftragsdatenverarbeitung, Funktionsübertragung)

  • Löschung der personenbezogene Daten beim Dienstleister prüfen und ggf. durchsetzen


Autoren: Dr. Frank Bongers und Dr. Karsten Krupna

» zur Übersicht