VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

Outsource PfeileDie Auslagerung der IT bietet Unternehmen Chancen, birgt jedoch auch hohe Risiken, insbesondere bezüglich der Einhaltung des Datenschutzes und der Datensicherheit. Eine detaillierte Vertragsgestaltung hilft, die bestehenden Risiken zu beherrschen.

IT-Outsourcing, also die Auslagerung der firmeneigenen IT an ein externes Unternehmen, ist in Zeiten der Digitalisierung ein immer wichtigeres Thema. Viele Unternehmer nutzen bereits die Leistungen von Outsourcing-Anbietern, um eigene Kapazitäten auf das Kerngeschäft zu fokussieren, die IT aber trotzdem effizient betreiben und ausschöpfen zu können. Teilleistungen wie die Auslagerung von Datenbeständen in die Cloud oder die Vernichtung von Datenträgern fallen ebenso hierunter wie die vollständige Übernahme der Rechenzentrumsfunktionen. Bereits bei der Auswahl des Dienstleisters muss besonders sorgfältig vorgegangen werden, denn Risiken können hier schnell zu einer Geschäftsbedrohung werden, warnt die Treuhand Weser-Ems Unternehmensberatung.

„Mit der Auslagerung der IT gibt das Unternehmen die betroffene Datenverarbeitung weitgehend aus der Hand und eröffnet einem Dienstleister Zugang zu sensiblen Daten wie Kunden- und Projektinformationen oder Geschäftsgeheimnissen“, gibt Phillip Reck, Unternehmensberater und zertifizierter Datenschutzbeauftragter, zu bedenken. Dabei seien Datendiebstahl und die Verletzung von Datenschutzbestimmungen mögliche Risiken. Geht es um sensible firmeninterne oder personenbezogene Daten, sollte der Unternehmer nur einen vertrauensvollen Dienstleister beauftragen, der nachweislich über die entsprechende Erfahrung und Infrastruktur verfügt, um die Unternehmensanforderungen auf der Grundlage von verbindlichen Vereinbarungen nachhaltig erfüllen zu können.

Rechte und Pflichten regeln

Die Höhe des Risikos hängt neben der Sensibilität der Daten auch von Art und Umfang der ausgelagerten Leistung ab. Während bei einer datenschutzrechtlichen Auftragsdatenverarbeitung der Dienstleister in einer Art Hilfsfunktion für den Unternehmer agiert, übernimmt er bei einer sogenannten Funktionsübertragung weitergehende Aufgaben. Erstere orientiert sich an der Weisungsgebundenheit des Auftragnehmers und umfasst zum Beispiel die Bereitstellung, Wartung und Pflege einer IT-Infrastruktur sowie die Backup-Speicherung oder die Datenträgervernichtung. Letztere geht über Hilfstätigkeiten bzw. dv-technische Unterstützungen hinaus und betrifft extern in Anspruch genommene fachlich-intellektuelle Tätigkeiten von Spezialisten wie beispielsweise die qualifizierte Lohn- und Finanzbuchhaltung durch einen Steuerberater.

Es ist wichtig zu beachten, dass Unternehmen, welche im Rahmen der Auftragsdatenverarbeitung ihre IT auslagern, weiterhin für die ordnungs-gemäße Datenverarbeitung und die Einhaltung der Datenschutzvorschriften verantwortlich sind. Es sollten daher in einem Vertrag die Rechte und Pflichten der beteiligten Unternehmen geregelt werden. Der Umfang und der Detailgrad einzelner Regelungen sind von dem jeweiligen Unternehmen und dem notwendigem Schutz- und Kontrollbedarf abhängig. Um spätere Streitigkeiten und kostspielige Ergänzungen zu vermeiden, sollten Leistungen so vereinbart werden, dass sie den Bedarf des Unternehmens decken.

Entsprechend den jeweiligen technischen, rechtlichen und betriebswirtschaftlichen Anforderungen sollten Unternehmen Gegenstand und Umfang der Leistung präzise beschreiben. „Auch Nutzungs- und Kontrollrechte des Unternehmens, der Einsatz von Subunternehmern, künftige Anpassungen an neue Anforderungen, Kündigungsrechte und geeignete Mess- und Prüfverfahren zur Leistungskontrolle sollten im Vertrag detailliert geregelt sein“, rät Phillip Reck.

Vertragsgestaltung mit dem IT-Dienstleister – was Unternehmer bedenken müssen:

  • Gegenstand und Umfang der zu erbringenden Leistungen klar definieren
  • Nutzungsrechte und Schutz des geistigen Eigentums regeln
  • Umfassende Prüfungs- und Kontrollrechte für das Unternehmen einräumen
  • Bei Einsatz von Subunternehmern ein Mitspracherecht für den Auftraggeber festlegen
  • Das Umsetzen neuer Anforderungen ermöglichen, insbesondere bei neuen gesetzlichen Bestimmungen
  • Kündigungs- und Sonderkündigungsrechte klar regeln
  • Regelmäßige Berichterstattung des Outsourcing-Anbieters an den Auftraggeber festschreiben

Phillip Reck

 

Autor: Phillip Reck, Unternehmensberater und zertifizierter Datenschutzbeauftragter bei der Treuhand Weser-Ems Unternehmensberatung

 

 

GRID LIST
Matthias Stauch

DSGVO: personenbezogene Daten nur verschlüsselt übermitteln

Die DSGVO fordert Unternehmen dazu auf personenbezogene Daten zu schützen. Welche…
Datenschutz Superheld

Was macht einen guten Datenschutzbeauftragen aus?

Ist die IT-Infrastruktur technisch sicher und rechtssicher aufgebaut, haben Unternehmer…
Happy man with EU-Flag

DSGVO als Chance begreifen und Performance steigern

Etwas über einen Monat ist die DSGVO nun in Kraft und soll dafür sorgen, besonderes…
DSGVO

Herausforderung DSGVO: Beim Datenschutz den Durchblick haben

Die Datenschutz-Grundverordnung (DSGVO) ist in diesen Tagen omnipräsent. Seit dem…
Tb W190 H80 Crop Int Ac00bc491e29650606797a7a168b27ab

Datenaustausch und -archivierung in Zeiten der DSGVO

Nun ist es doch tatsächlich so weit: Die allseits gefürchtete…
Gérard Bauer

Bietet die DSGVO Cyberkriminellen eine Möglichkeit, sich besser zu verstecken?

Mit dem Ziel den Schutz und die Sicherheit von Daten deutlich zu verbessern, ist die…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security