IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Transformation World
19.10.17 - 20.10.17
In Heidelberg

Outsource PfeileDie Auslagerung der IT bietet Unternehmen Chancen, birgt jedoch auch hohe Risiken, insbesondere bezüglich der Einhaltung des Datenschutzes und der Datensicherheit. Eine detaillierte Vertragsgestaltung hilft, die bestehenden Risiken zu beherrschen.

IT-Outsourcing, also die Auslagerung der firmeneigenen IT an ein externes Unternehmen, ist in Zeiten der Digitalisierung ein immer wichtigeres Thema. Viele Unternehmer nutzen bereits die Leistungen von Outsourcing-Anbietern, um eigene Kapazitäten auf das Kerngeschäft zu fokussieren, die IT aber trotzdem effizient betreiben und ausschöpfen zu können. Teilleistungen wie die Auslagerung von Datenbeständen in die Cloud oder die Vernichtung von Datenträgern fallen ebenso hierunter wie die vollständige Übernahme der Rechenzentrumsfunktionen. Bereits bei der Auswahl des Dienstleisters muss besonders sorgfältig vorgegangen werden, denn Risiken können hier schnell zu einer Geschäftsbedrohung werden, warnt die Treuhand Weser-Ems Unternehmensberatung.

„Mit der Auslagerung der IT gibt das Unternehmen die betroffene Datenverarbeitung weitgehend aus der Hand und eröffnet einem Dienstleister Zugang zu sensiblen Daten wie Kunden- und Projektinformationen oder Geschäftsgeheimnissen“, gibt Phillip Reck, Unternehmensberater und zertifizierter Datenschutzbeauftragter, zu bedenken. Dabei seien Datendiebstahl und die Verletzung von Datenschutzbestimmungen mögliche Risiken. Geht es um sensible firmeninterne oder personenbezogene Daten, sollte der Unternehmer nur einen vertrauensvollen Dienstleister beauftragen, der nachweislich über die entsprechende Erfahrung und Infrastruktur verfügt, um die Unternehmensanforderungen auf der Grundlage von verbindlichen Vereinbarungen nachhaltig erfüllen zu können.

Rechte und Pflichten regeln

Die Höhe des Risikos hängt neben der Sensibilität der Daten auch von Art und Umfang der ausgelagerten Leistung ab. Während bei einer datenschutzrechtlichen Auftragsdatenverarbeitung der Dienstleister in einer Art Hilfsfunktion für den Unternehmer agiert, übernimmt er bei einer sogenannten Funktionsübertragung weitergehende Aufgaben. Erstere orientiert sich an der Weisungsgebundenheit des Auftragnehmers und umfasst zum Beispiel die Bereitstellung, Wartung und Pflege einer IT-Infrastruktur sowie die Backup-Speicherung oder die Datenträgervernichtung. Letztere geht über Hilfstätigkeiten bzw. dv-technische Unterstützungen hinaus und betrifft extern in Anspruch genommene fachlich-intellektuelle Tätigkeiten von Spezialisten wie beispielsweise die qualifizierte Lohn- und Finanzbuchhaltung durch einen Steuerberater.

Es ist wichtig zu beachten, dass Unternehmen, welche im Rahmen der Auftragsdatenverarbeitung ihre IT auslagern, weiterhin für die ordnungs-gemäße Datenverarbeitung und die Einhaltung der Datenschutzvorschriften verantwortlich sind. Es sollten daher in einem Vertrag die Rechte und Pflichten der beteiligten Unternehmen geregelt werden. Der Umfang und der Detailgrad einzelner Regelungen sind von dem jeweiligen Unternehmen und dem notwendigem Schutz- und Kontrollbedarf abhängig. Um spätere Streitigkeiten und kostspielige Ergänzungen zu vermeiden, sollten Leistungen so vereinbart werden, dass sie den Bedarf des Unternehmens decken.

Entsprechend den jeweiligen technischen, rechtlichen und betriebswirtschaftlichen Anforderungen sollten Unternehmen Gegenstand und Umfang der Leistung präzise beschreiben. „Auch Nutzungs- und Kontrollrechte des Unternehmens, der Einsatz von Subunternehmern, künftige Anpassungen an neue Anforderungen, Kündigungsrechte und geeignete Mess- und Prüfverfahren zur Leistungskontrolle sollten im Vertrag detailliert geregelt sein“, rät Phillip Reck.

Vertragsgestaltung mit dem IT-Dienstleister – was Unternehmer bedenken müssen:

  • Gegenstand und Umfang der zu erbringenden Leistungen klar definieren
  • Nutzungsrechte und Schutz des geistigen Eigentums regeln
  • Umfassende Prüfungs- und Kontrollrechte für das Unternehmen einräumen
  • Bei Einsatz von Subunternehmern ein Mitspracherecht für den Auftraggeber festlegen
  • Das Umsetzen neuer Anforderungen ermöglichen, insbesondere bei neuen gesetzlichen Bestimmungen
  • Kündigungs- und Sonderkündigungsrechte klar regeln
  • Regelmäßige Berichterstattung des Outsourcing-Anbieters an den Auftraggeber festschreiben

Phillip Reck

 

Autor: Phillip Reck, Unternehmensberater und zertifizierter Datenschutzbeauftragter bei der Treuhand Weser-Ems Unternehmensberatung

 

 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet