Folge 18: IT-Dienstleister anforderungsgerecht beauftragen -- nur wie?

.

In diesem Podcast sprechen Frank Stiegler und Manon Goo (Geschäftsführer der Dembach Goo Informatik GmbH & Co. KG aus Köln, deren externer Datenschutzbeauftragter Frank ist) über rechtliche Anforderungen bei der Beauftragung von IT-Dienstleistern:

  • welche es wo gibt,
  • wie man sie erkennt und
  • wie man sie frühzeitig berücksichtigt,

um unnötige Aufwand und Ärger zu vermeiden.

01:22: Vorstellung DG-i

02:45: Wie entwickeln sich IT-Dienstleistungen?

Manon gibt einen Überblick über den Wandel in der IT-Dienstleistungsbranche. Der Dienstleister liefert zunehmend nicht nur Infrastruktur für den Auftraggeber, sondern immer mehr auch die Leistungen, die Kernteil des Verkauften Produktes sind. Damit steigen die Anforderungen an Datensicherheit und den Schutz der betroffenen Personen.

10:25: Vertragliche Anforderungen -- und wie man sie erkennt

In diesem Bereich beleuchten wir Aspekte bzw. Bereiche, an die man bei der Beauftragung von IT-Dienstleistungen denken sollte, die über das "einfache Kistenschieben" hinaus gehen. Wenn diese oder andere Sektoren betroffen sind, sollte der Dienstleister das nicht nur mitgeteilt bekommen, sondern im Einzelfall auch entsprechend belehrt werden (z. B. im Fall des § 203 StGB).

13:50: Datenschutz

Klassiker der betroffenen Personen sind Endkunden (des Auftraggebers) und Mitarbeiter. Regelmäßig liegt hier eine Verarbeitung im Auftrag (derzeit noch nach § 11 BDSG, ab dem 25.05.2018 nach Art. 28 DSGVO) vor, und die muss von einer entsprechenden Vereinbarung über Auftragsdatenverarbeitung ("ADVV") begleitet werden. Wir sprechen über die Umgehung des juristischen Begriffs "Dritter", wie die ADVV abzuschließen ist und wie sie das Datenschutzkernstück der Datenverarbeitung bildet. Tipp für sorgfältige Planer: ADVV können im Zeitverlauf angepasst werden und werden das gerade im IT-Bereich oft auch, schon um getroffene Maßnahmen der technischen Entwicklung anzupassen.

17:20: Technische und organisatorische Maßnahmen (TOM)

Das "Wie-Kernstück" des Datenschutzes bzw. je nach Anforderung auch der Datensicherheit. Wichtig und von manchen übersehen: Auch und vor allem die Subunternehmer des jeweiligen Auftragnehmers müssen TOM-mäßig ordnungsgemäß eingebunden sein; denn es ist der Aufsichtsbehörde egal, an welcher Stelle der ADVV-Kette der Bruch stattgefunden hat.

19:00: Betroffenenrechte

Die Betroffenenrechte nach Art. 12 ff. DSGVO (z. B. Rechte auf Anfrage, Berichtigung, Löschung, Beschwerde) müssen einerseits von Software, andererseits von der Systemarchitektur berücksichtigt worden sein. Dieser Punkt ist kritisch: Wenn Unternehmen solche Anfragen zukünftig nicht einfach beantworten können -- vor allem bei einer weit verteilten Infrastruktur --, bedeutet das gleichzeitig ein erhebliches Bußgeldrisiko und kaum überschaubaren Personalaufwand.

20:48: Meldepflicht bei Datenschutzverstößen

Der neue Art. 33 DSGVO hat die verantwortliche Stelle 72 Stunden Zeit, um einen Verstoß an die zuständige Datenschutzaufsichtsbehörde zu melden. Wir sprechen darüber, wie man an Sicherheits- und Schutzanforderungen vernünftig herangeht, um einerseits nicht die Augen vor Risiken zu verschließen, sich andererseits aber auch nicht vor allen noch so unwahrscheinlichen Eventualitäten mit unverhältnismäßig teuren/aufwändigen Maßnahmen zu schützen. Außerdem beleuchten wir, was in eine Art. 33-Meldung gehört.

26:05: Aufbewahrungspflichten nach AO/HGB

Im Handelsrecht (v. a. in § 257 HGB) und in § 147 Abgabenordnung sind Aufbewahrungspflichten normiert, die gegebenenfalls auch der IT-Dienstleister berücksichtigen muss, wenn er bestimmte Arten von Unterlagen verwaltet. Sonst besteht das Risiko, z. B. bei einem Hack wichtige Dokumente zu verlieren. Wir sprechen auch darüber, in welchem Verhältnis diese Aufbewahrungspflichten zu datenschutzrechtlichen Betroffenenrechten (z. B. auf Löschung) stehen.

29:47: Anforderungen an Finanzinstitute

Banken betreiben oft so genannte kritische Infrastrukturen, womit sie Vorkehrungen nach § 8a BSIG treffen müssen. Aber selbst wenn eine Bank keine kritische Infrastruktur betreibt, unterliegt sie in Deutschland der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und muss beim Einsatz vor allem externer IT-Dienstleister eine Reihe von Vorschriften beachten, z. B. die MaRisk (aktuell in der Fassung von 09/2017, also die Mindestanforderungen an das Risikomanagement, die die Konkretisierung des § 25a KWG darstellen) und die BAIT (aktueller Stand: 09.11.2017).

33:03: § 203 StGB

Diese Vorschrift ist einschlägig für die Auslagerung von "Geheimnissen" bestimmter Berufsträger, z. B. Anwälten, Ärzten und Krankenversicherern. Die Novelle (etwas klobig "Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen" genannt) ist hier abrufbar und war schon Thema der Legal Bits 14. In diesen Berufen müssen die Geheimnisträger ihre Auftragnehmer entsprechend belehren und vertraglich verpflichten. Der Geheimniskreis wird damit sozusagen auf die IT-Dienstleister erweitert, aber damit können die sich zukünftig selbst strafbar machen, wenn sie Geheimnisse nicht ausreichend vor dem Zugriff unberechtigter Personen schützen. Bei entsprechendem Vorsatz macht sich damit auch und insbesondere der ausführende Mitarbeiter strafbar.

25:45: Governance-Anforderungen

Hier spielen die internen Anforderungen von (vor allem größeren) Unternehmen eine wesentliche Rolle. Auftragnehmer müssen entsprechend verpflichtet und möglichst frühzeitig über diese Anforderungen informiert werden, damit z. B. Themen wie Revisionssicherheit nicht unnötige Risiken oder Hektik verursachen.

37:24: Haftungs- und Leistungsdelta

Nicht nur im Bereich der Haftung, sondern auch schon bei Leistungsversprechen ist es wichtig, dass es durch die Beauftragung eines IT-Dienstleisters nicht dazu kommt, dass der Dienstleister dem Auftraggeber nicht weniger zusagt als der Auftraggeber seinen Kunden und sonstigen Geschäftskontakten. Vor allem bei einer Mehrheit von Auftragnehmern können sich hier erhebliche Kluften bilden.

39:26: Problemfälle

39:30: Spam-Mitteilung: Wie findet man das Datenleck?

41:25: Durchsuchungsbeschluss, Beschlagnahme durch StA

44:00: Audits von Auftraggebern

Wir thematisieren hier auch das Problem von Audits bei shared infrastructure (wenn also mehrere Unternehmen Daten auf derselben IT-Infrastruktur haben, die natürlich logisch getrennt sein sollte) und wie man so etwas realisiert, nämlich über einen zur Verschwiegenheit verpflichteten Wirtschaftsprüfer bzw. Forensiker.

46:05 Maßnahmen zur Minderung der Risiken

  1. Es ist (logischerweise) immer hilfreich, bei der Auswahl und Beauftragung des IT-Dienstleisters von jemandem begleitet zu werden, der die Rechtshürden im jeweiligen Bereich kennt.
  2. Möglichst früh (am besten schon vor der Auswahl) in Erfahrung bringen, welche Erfahrungen der Dienstleister hat, und dem Dienstleister die eigenen Ziele mitteilen! Nur so kann er einschätzen, was dafür notwendig ist.
  3. Minimierung von Datenerhebungen: gar nicht erst erhobene Daten müssen nicht gesichert werden. Manon führt als Beispiel Zahlungsdiensteanbieter an, die vor einigen Jahren noch am Ende der Datenverarbeitungskette standen, heute dagegen regelmäßig Zahlungsdaten direkt erheben und (z. B.) dem Shop-Betreiber nur noch mitteilen, dass/ob eine Zahlung erfolgreich abgewickelt wurde.

53:00 Fazit

  • Man sollte IT-Dienstleister von sorgfältig aussuchen und nach Möglichkeit jemanden mit Erfahrung im gewünschten Feld beauftragen.
  • Wenn man die Rechtslage nicht kennt: sachkundigen Rat einholen!
  • Anforderungen frühzeitig diskutieren, da nachträgliche Änderungen unverhältnismäßig aufwändig sind!
  • Die Expertise des Dienstleisters ist auch wichtig, um die beste Abwägung zwischen "von Anfang an alles einfordern" und "einfach erst mal anfangen" zu finden. So erkennt man frühzeitig Hürden, muss sich aber nicht vor allen Eventualitäten schützen.

56:30 Tschüß!

Hinterlasst Kommentare, schickt eine E-Mail oder twittert an @legal_bits, @neuernick oder @ra_stiegler!

Die Einsprecher kommen wie immer von Sarah Nakic aus Köln.

© Stiegler Legal