Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

Outsource PfeileDie Auslagerung der IT bietet Unternehmen Chancen, birgt jedoch auch hohe Risiken, insbesondere bezüglich der Einhaltung des Datenschutzes und der Datensicherheit. Eine detaillierte Vertragsgestaltung hilft, die bestehenden Risiken zu beherrschen.

IT-Outsourcing, also die Auslagerung der firmeneigenen IT an ein externes Unternehmen, ist in Zeiten der Digitalisierung ein immer wichtigeres Thema. Viele Unternehmer nutzen bereits die Leistungen von Outsourcing-Anbietern, um eigene Kapazitäten auf das Kerngeschäft zu fokussieren, die IT aber trotzdem effizient betreiben und ausschöpfen zu können. Teilleistungen wie die Auslagerung von Datenbeständen in die Cloud oder die Vernichtung von Datenträgern fallen ebenso hierunter wie die vollständige Übernahme der Rechenzentrumsfunktionen. Bereits bei der Auswahl des Dienstleisters muss besonders sorgfältig vorgegangen werden, denn Risiken können hier schnell zu einer Geschäftsbedrohung werden, warnt die Treuhand Weser-Ems Unternehmensberatung.

„Mit der Auslagerung der IT gibt das Unternehmen die betroffene Datenverarbeitung weitgehend aus der Hand und eröffnet einem Dienstleister Zugang zu sensiblen Daten wie Kunden- und Projektinformationen oder Geschäftsgeheimnissen“, gibt Phillip Reck, Unternehmensberater und zertifizierter Datenschutzbeauftragter, zu bedenken. Dabei seien Datendiebstahl und die Verletzung von Datenschutzbestimmungen mögliche Risiken. Geht es um sensible firmeninterne oder personenbezogene Daten, sollte der Unternehmer nur einen vertrauensvollen Dienstleister beauftragen, der nachweislich über die entsprechende Erfahrung und Infrastruktur verfügt, um die Unternehmensanforderungen auf der Grundlage von verbindlichen Vereinbarungen nachhaltig erfüllen zu können.

Rechte und Pflichten regeln

Die Höhe des Risikos hängt neben der Sensibilität der Daten auch von Art und Umfang der ausgelagerten Leistung ab. Während bei einer datenschutzrechtlichen Auftragsdatenverarbeitung der Dienstleister in einer Art Hilfsfunktion für den Unternehmer agiert, übernimmt er bei einer sogenannten Funktionsübertragung weitergehende Aufgaben. Erstere orientiert sich an der Weisungsgebundenheit des Auftragnehmers und umfasst zum Beispiel die Bereitstellung, Wartung und Pflege einer IT-Infrastruktur sowie die Backup-Speicherung oder die Datenträgervernichtung. Letztere geht über Hilfstätigkeiten bzw. dv-technische Unterstützungen hinaus und betrifft extern in Anspruch genommene fachlich-intellektuelle Tätigkeiten von Spezialisten wie beispielsweise die qualifizierte Lohn- und Finanzbuchhaltung durch einen Steuerberater.

Es ist wichtig zu beachten, dass Unternehmen, welche im Rahmen der Auftragsdatenverarbeitung ihre IT auslagern, weiterhin für die ordnungs-gemäße Datenverarbeitung und die Einhaltung der Datenschutzvorschriften verantwortlich sind. Es sollten daher in einem Vertrag die Rechte und Pflichten der beteiligten Unternehmen geregelt werden. Der Umfang und der Detailgrad einzelner Regelungen sind von dem jeweiligen Unternehmen und dem notwendigem Schutz- und Kontrollbedarf abhängig. Um spätere Streitigkeiten und kostspielige Ergänzungen zu vermeiden, sollten Leistungen so vereinbart werden, dass sie den Bedarf des Unternehmens decken.

Entsprechend den jeweiligen technischen, rechtlichen und betriebswirtschaftlichen Anforderungen sollten Unternehmen Gegenstand und Umfang der Leistung präzise beschreiben. „Auch Nutzungs- und Kontrollrechte des Unternehmens, der Einsatz von Subunternehmern, künftige Anpassungen an neue Anforderungen, Kündigungsrechte und geeignete Mess- und Prüfverfahren zur Leistungskontrolle sollten im Vertrag detailliert geregelt sein“, rät Phillip Reck.

Vertragsgestaltung mit dem IT-Dienstleister – was Unternehmer bedenken müssen:

  • Gegenstand und Umfang der zu erbringenden Leistungen klar definieren
  • Nutzungsrechte und Schutz des geistigen Eigentums regeln
  • Umfassende Prüfungs- und Kontrollrechte für das Unternehmen einräumen
  • Bei Einsatz von Subunternehmern ein Mitspracherecht für den Auftraggeber festlegen
  • Das Umsetzen neuer Anforderungen ermöglichen, insbesondere bei neuen gesetzlichen Bestimmungen
  • Kündigungs- und Sonderkündigungsrechte klar regeln
  • Regelmäßige Berichterstattung des Outsourcing-Anbieters an den Auftraggeber festschreiben

Phillip Reck

 

Autor: Phillip Reck, Unternehmensberater und zertifizierter Datenschutzbeauftragter bei der Treuhand Weser-Ems Unternehmensberatung

 

 

GRID LIST
Tb W190 H80 Crop Int 658f818261677ec748ec3fc0e8dcad3c

Große Dateimengen sicher per E-Mail auf die Reise schicken

Die Freude auf die bevorstehende Reise ist groß. Doch was packe ich in meinen Koffer?…
Smarte News aus der IT-Welt