Datenschutzrechtliche Standard-Situationen Schritt für Schritt meistern: Dabei unterstützen die ESCHE Datenschutz-Checklisten.
Outsourcing, insbesondere IT-Outsourcing, führt fast immer auch zu einer Weitergabe personenbezogener Daten an den Dienstleister. Die frühzeitige Berücksichtigung des Datenschutzes verhindert, dass das Outsourcing-Projekt an unerkannten Datenschutzhindernissen scheitert.
Phase 1: Vorbereitung der Outsourcingmaßnahme
- Prüfung, der mit dem Outsourcing verbundenen Datenverarbeitungsprozesse, insbesondere der Weitergabe personenbezogener Daten an den Dienstleister
- Prüfung, ob ein betrieblicher Datenschutzbeauftragter zu bestellen ist und ggf. Bestellung eines betrieblichen Datenschutzbeauftragten
- Einbindung des betrieblichen Datenschutzbeauftragten
- Rechtliche Prüfung der Zulässigkeit der Datenweitergabe, insbesondere:
- Beachtung strafbewehrter Vertraulichkeitspflichten
- Klärung der Frage, ob Daten in Staaten ohne angemessenes Datenschutzniveau transferiert werden; wenn ja: Sicherstellung eines angemessenen Datenschutzniveaus beim Empfänger (z. B. durch EU-Standardvertragsklauseln)
- Abgrenzung Auftragsdatenverarbeitung/Funktionsübertragung (Praxishinweis: Was im Inland eine Auftragsdatenverarbeitung ist, kann bei einem Auftragnehmer im Drittland eine Funktionsübertragung sein)
- Im Fall einer Auftragsdatenverarbeitung:
- Gestaltung eines Auftragsdatenverarbeitungsvertrages
- Ermittlung des etwaigen Einsatzes von Unterauftragnehmern durch den Dienstleister und ggf. Vertragsprüfung und –gestaltung
- Vorabkontrolle der Einhaltung der technischen und organisatorischen Maßnahmen zur Datensicherheit beim Auftragnehmer
- Im Fall der Funktionsübertragung:
- Prüfung, ob für die Übermittlung eine ausreichende Rechtsgrundlage besteht (dabei: besondere Berücksichtigung der etwaigen Verarbeitung besonderer Arten personenbezogener Daten)
- Gestaltung datenschutzrechtlicher Regelungen im Rahmen eines Funktionsübertragungsvertrags, welche ggf. Voraussetzung rechtmäßigen Übermittlung personenbezogener Daten ist
- Ggf. Einwilligungserklärungen der betroffenen Personen gestalten
- Vertragliche Regelung eines Exitmanagements (z.B. Rückübertragung von Daten oder Möglichkeit der Fortführung von Vertragsleistungen für einen bestimmten Zeitraum)
- Verpflichtung der Mitarbeiter des Dienstleisters auf das Datengeheimnis
- Implementierung eines Risikomanagements für Datenverluste, Hackerangriffe etc.
- Ggf. Versicherungsschutz (Cyberangriffe etc.)
- Ggf. weitere rechtliche Prüfungen, z. B. steuer- oder arbeitsrechtliche Aspekte
- Ggf. Anpassung des Verfahrensverzeichnisses
Phase 2: Durchführung der Outsourcingmaßnahme
- Durchführung der jeweiligen vertraglichen Regelungen-Erfüllung gesetzlich vorgeschriebener und vertraglich vereinbarter Kontrollpflichten bei Auftragnehmern und ggf. deren Unterauftragnehmern (insbesondere Prüfung und Anpassung der technischen und organisatorischen Maßnahme zur Datensicherheit)
- Dokumentation der Kontrollmaßnahmen
- Ggf. Prüfung in Bezug auf zusätzlich zu begründende Unterauftragsverhältnisse des Dienstleisters
Phase 3: Beendigung der Outsourcingmaßnahme
- Exitmanagement, insbesondere
- Sichere Rückübertragung personenbezogener Daten organisieren
- Rückgabe überlassener Datenträger
- Beendigung von Verträgen (Auftragsdatenverarbeitung, Funktionsübertragung)
- Löschung der personenbezogene Daten beim Dienstleister prüfen und ggf. durchsetzen
Autoren: Dr. Frank Bongers und Dr. Karsten Krupna