Für die Übertragung von IT-Funktionen an externe IT-Dienstleister:innen sind ein IT-Vertrag und die Einhaltung des Datenschutzes unerlässlich.
Nicht jede:r Verantwortliche betreibt direkt eine eigene IT-Abteilung, entweder es wird eine IT-Firma hinzugezogen oder komplett mit den IT-Dienstleistungen beauftragt.
Doch ein IT-Vertrag muss strukturiert und organisiert sein.
Das BSI empfiehlt dabei folgende Vorgehensweise:
- Strategische Planung
- Definition des wesentlichen Sicherheitskonzepts
- Auswahl des IT-Dienstleisters
- Vertragsgestaltung
- Erstellung eines Sicherheitskonzepts
- Migrationsphase
- Planung und Sicherstellung des laufenden Betriebs
IT-Vertrag
Aus rechtlicher Sicht steht die Vertragsgestaltung im Vordergrund.
Je nach Umfang, Art und Begebenheiten der geplanten IT-Dienstleistungen ergeben sich verschiedene Gestaltungsmöglichkeiten des Vertrags.
Hier kann keineswegs ein für alle passendes Standardmodell empfohlen werden.
Dies erschwert auch die rechtliche Klassifizierung des Vertragstyps. Meistens kann aufgrund der Komplexität eine Mischung aus Dienst‑, Miet‑, Kauf- und Werkvertrag angenommen werden.
Dies führt dazu, dass viele Fragen, die das Gesetz sonst zu den einzelnen Vertragstypen regelt, nun im Vertrag selbst zu regeln sind, damit es nicht zu einem Rätselraten kommt, welche gesetzliche Regelung anwendbar ist.
Als erstes sollte der Vertragsgegenstand festgehalten werden. Dazu gehört zunächst einmal eine allgemeine Leistungsbeschreibung.
Diese beinhaltet, was genau der externe IT-Dienstleister leisten soll, die Vergütung, das eingesetzte Personal und wie die Haftung, mögliche Sanktionen und Schadenersatzzahlungen geregelt sind.
Es ist wichtig, sorgfältig vorzugehen, um alle Eventualitäten hinsichtlich des zukünftigen Bezugs von Leistungen festzuhalten.
Die Leistungen können vom Betrieb ganzer Rechenzentren zur reinen Softwareinstallation am Arbeitsplatz reichen.
Auch Regelungen zu einem Einbezug von Subunternehmern durch Dienstleister:innen sind in Betracht zu ziehen. Dies wird auch im Hinblick auf die Weitergabe von Daten an Subunternehmer:innen relevant.
In sog. Service-Level Agreements (SLAs) muss zudem festgelegt sein, wie lange die Dienstleister:innen erreichbar ist, wie viel Personal sie aufwenden, wie viel Speicherplatz sie zur Verfügung stellen oder wie Kommunikation und Support ablaufen.
Es empfiehlt sich des Weiteren Regelungen zur Leistungskontrolle einzufügen.
So kann eine Dokumentationspflicht für die Vertragsparteien insbesondere im Fall einer Leistungsstörung von Bedeutung sein.
Ist die gesamte Leistung stetig kontrolliert, dann lassen sich auch Fehler leichter finden und beheben.
Dazu gehören auch Monitoring und Reporting.
Der oder die Auftraggeber:in sollte also Regelungen zur Nachverfolgung der Leistungserbringung treffen, während Auftragnehmer:innen regelmäßig Bericht über ihre Tätigkeit erstatten sollten.
Hinzu kommt, dass im Falle eines Rücktritts vom Vertrag oder bei regulärer Beendigung nach Ablauf der Vertragszeit zu regeln ist, wie die Weiterverwendung der vom Dienstleistenden im Rahmen der Geschäftsbeziehung eingesetzten Tools, Anleitungen, Skripte und Prozeduren nach Beendigung der Vertragsbeziehung erfolgt .
Außerdem sind Fragen betreffend der Übernahme von bereits bestehenden Verträgen des Dienstleistenden mit Dritten zu klären.
Hier kommt häufig das Urheberrecht ins Spiel.
Nicht unterschätzt werden sollte zudem das Risiko der Offenlegung von sensiblen Informationen wie Geschäftsgeheimnissen.
Schließlich kommt die IT mit allem in Berührung, was innerhalb des Unternehmens über das Internet kommuniziert und gespeichert ist.
Damit Geschäftsgeheimnisse ausreichend geschützt sind, sollten sog. Non-Disclosure-Agreements (NDAs) abgeschlossen sein.
Darunter sind Verschwiegenheitserklärungen zu verstehen, die Dienstleister:innen verpflichten, Stillschweigen über Betriebsinformationen zu wahren.
Das ist nicht nur im Interesse der Auftraggeber:innen, sondern auch der Dienstleister:innen, die sich bei der Verletzung von Geschäftsgeheimnissen den Konsequenzen des Geschäftsgeheimnisgesetzes (GeschGehG) ausgesetzt sehen.
Datenschutz
Daten und andere vertrauliche Informationen sind heutzutage kaum noch auf Papier geschrieben und im Schrank gelagert, stattdessen sind diese im IT-System erfasst.
Dies schließt die Kenntnisnahme durch externe IT-Dienstleister:innen automatisch mit ein.
Die Anforderungen von Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) müssen daher eingehalten werden.
Innerhalb der IT-Struktur werden fast immer personenbezogene Daten wie Mitarbeiterdaten oder Kundendaten betroffen sein. Verarbeitet das IT-Unternehmen diese Daten (z.B. Abspeichern auf den eigenen Servern bzw. in der Cloud), dann greifen die Anforderungen und Verpflichtungen von DSGVO und BDSG ein.
Um herauszufinden, welche Anforderungen und Pflichten aus DSGVO und BDSG eingreifen, ist es beim IT-Vertrag besonders wichtig, zwei Fragen zu beantworten:
1. Liegt eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit vor?
Auftragsverarbeitung
Der Unterschied zwischen Auftragsverarbeitung und gemeinsamer Verantwortung liegt darin, dass bei einer Auftragsverarbeitung der oder die IT-Dienstleister:in nur als weisungsgebundener Gehilfe die Datenverarbeitung durchführt. Er ist also quasi nur der verlängerte Arm, der Auftraggebende hingegen bleibt „Herr:in der Daten“.
Konsequenz ist, dass Auftraggeber:innen auch für den Datenschutz verantwortlich sind und nicht die IT-Dienstleister:innen.
Diese Konstellation bildet den Regelfall und hierfür ist ein sog. Auftragsverarbeitungsvertrag (AVV) abzuschliessen.
Im Rahmen dessen dürfen die Daten nur zweckgebunden und nach Weisung des Auftraggebenden verarbeitet werden.
Verstößt der oder die Auftragsverarbeitende gegen diese Weisung, dann ist er oder sie selbst verantwortlich.
Dem Auftraggebenden obliegt die Pflicht, den Auftragsverarbeitenden sorgfältig auszuwählen, insbesondere in Hinblick auf die Garantie von ausreichenden technischen und organisatorischen Maßnahmen. Auch bei der Auftragsverarbeitung dürfen Auftragnehmer:innen Subunternehmer:innen einschalten, allerdings bedarf es dazu der Zustimmung der Auftraggeber:innen.
Zudem treffen den oder die Auftragnehmende:n Dokumentationspflichten sowie Meldepflichten bei Datenpannen.
Gemeinsame Verantwortlichkeit
Bei der gemeinsamen Verantwortung sind IT-Dienstleistende im Gegensatz dazu für den Datenschutz genauso verantwortlich wie entsprechende Auftraggeber:innen.
Das hat zur Konsequenz, dass die Datenverarbeitung auch einer eigenständigen Rechtsgrundlage unterliegen muss.
Beispielsweise können Auftraggeber:innen den IT-Dienstleister:innen die Daten nur weitergeben, wenn dafür eine eigenständige Rechtsgrundlage gegeben ist.
Es reicht nicht aus, wenn beispielsweise eine Einwilligung zur Datenverarbeitung nur durch eine:n Auftraggeber:in vorliegt und sie keine Weitergabe an den IT-Dienstleister beinhaltet.
So müssen auch die Betroffenenrechte durch beide wahrgenommen werden.
Wer genau was macht, muss dazu vertraglich vereinbart werden.
2. Werden die Daten innerhalb oder außerhalb der EU verarbeitet?
Die zweite Unterscheidung betrifft die Frage, wo sich der oder die IT-Dienstleistende befindet.
Befindet er/sie sich in der EU, dann wird von einem angemessenen Datenschutzniveau ausgegangen.
Beim IT-Outsourcing ist es jedoch häufig der Fall, dass das Outsourcing in Länder außerhalb der EU vorgenommen wird, wie z.B. in die USA oder auch nach Indien.
Die Datenschutz-Grundverordnung (DSGVO) besagt, dass auch bei der Übermittlung von Daten in Drittländer Datenschutz sichergestellt sein muss.
Insbesondere finden auch die Regelungen zur Auftragsverarbeitung Anwendung.
Ob die Datenübermittlung in die Drittstaaten zulässig ist, richtet sich nach zwei Voraussetzungen:
Gibt es eine Rechtsgrundlage, die die Übermittlung legitimiert?
Hier ist zu fragen, ob eine Übermittlung der Daten an sich überhaupt zulässig ist, beispielsweise aufgrund berechtigter Interessen.
Dieser Prüfungspunkt wird also unabhängig davon beurteilt, ob die Übermittlung innerhalb Deutschlands, der EU oder in ein Drittland vorgenommen wird.
Hier ist bei einer Auftragsverarbeitung oder gemeinsamen Verantwortung zu prüfen, ob die jeweiligen Voraussetzungen eingehalten wurden.
Sind die spezifischen Vorgaben zum Drittlandtransfer eingehalten?
Hier wird dem Umstand Rechnung getragen, dass sich der Empfänger außerhalb der EU befindet.
Die Übermittlung personenbezogener Daten darf dann nach der DSGVO nur erfolgen, wenn die Europäische Kommission festgestellt hat, dass das entsprechende Drittland ein angemessenes Datenschutzniveau bietet.
Liegt eine solche Feststellung nicht vor, dann dürfen die Daten nur ins Ausland übermittelt werden, wenn Garantien zum Schutz der Daten aufgestellt und vereinbart werden.
Dazu kann der/die Verantwortliche u.a. auf Standarddatenschutzklauseln zurückgreifen, die von der Kommission erlassen wurden oder auch individuelle Vertragsklauseln mit der datenempfangenden Stelle vereinbaren.
Auch wenn dergleichen nicht gegeben ist, statuiert die Datenschutz-Grundverordnung (DSGVO) weitere Ausnahmen, nach denen der Datentransfer in Drittländer doch noch klappen kann, z.B. durch eine ausdrückliche Einwilligung der betroffenen Person oder wenn es zur Erfüllung eines Vertrags zwischen den Verantwortlichen und der betroffenen Person erforderlich ist.
Wichtig ist eine optimale Vorbereitung
Die Gestaltung eines IT-Vertrages erfordert eine optimale Vorbereitung.
Verschiedene Rechtsgebiete müssen abhängig von dem konkreten Sachverhalt erfasst und eingehalten werden, wie beispielsweise Datenschutzrecht, Vergaberecht, Kartellrecht, Arbeitsrecht und Urheberrecht.
Also lassen Sie sich gut beraten.
