Bernd Rehbein Datenschutzberatung Logo

IT-Ver­trag und der Datenschutz

Für die Über­tra­gung von IT-Funk­tio­nen an exter­ne IT-Dienstleister:innen sind ein IT-Ver­trag und die Ein­hal­tung des Daten­schut­zes unerlässlich.

Nicht jede:r Ver­ant­wort­li­che betreibt direkt eine eige­ne IT-Abtei­lung, ent­we­der es wird eine IT-Fir­ma hin­zu­ge­zo­gen oder kom­plett mit den IT-Dienst­leis­tun­gen beauftragt.

Doch ein IT-Ver­trag muss struk­tu­riert und orga­ni­siert sein.

Das BSI emp­fiehlt dabei fol­gen­de Vorgehensweise:

  • Stra­te­gi­sche Planung
  • Defi­ni­ti­on des wesent­li­chen Sicherheitskonzepts
  • Aus­wahl des IT-Dienstleisters
  • Ver­trags­ge­stal­tung
  • Erstel­lung eines Sicherheitskonzepts
  • Migra­ti­ons­pha­se
  • Pla­nung und Sicher­stel­lung des lau­fen­den Betriebs

IT-Ver­trag

Aus recht­li­cher Sicht steht die Ver­trags­ge­stal­tung im Vordergrund.

Je nach Umfang, Art und Bege­ben­hei­ten der geplan­ten IT-Dienst­leis­tun­gen erge­ben sich ver­schie­de­ne Gestal­tungs­mög­lich­kei­ten des Vertrags.

Hier kann kei­nes­wegs ein für alle pas­sen­des Stan­dard­mo­dell emp­foh­len werden.

Dies erschwert auch die recht­li­che Klas­si­fi­zie­rung des Ver­trags­typs. Meis­tens kann auf­grund der Kom­ple­xi­tät eine Mischung aus Dienst‑, Miet‑, Kauf- und Werk­ver­trag ange­nom­men werden.

Dies führt dazu, dass vie­le Fra­gen, die das Gesetz sonst zu den ein­zel­nen Ver­trags­ty­pen regelt, nun im Ver­trag selbst zu regeln sind, damit es nicht zu einem Rät­sel­ra­ten kommt, wel­che gesetz­li­che Rege­lung anwend­bar ist.

Als ers­tes soll­te der Ver­trags­ge­gen­stand fest­ge­hal­ten wer­den. Dazu gehört zunächst ein­mal eine all­ge­mei­ne Leistungsbeschreibung.

Die­se beinhal­tet, was genau der exter­ne IT-Dienst­leis­ter leis­ten soll, die Ver­gü­tung, das ein­ge­setz­te Per­so­nal und wie die Haf­tung, mög­li­che Sank­tio­nen und Scha­den­er­satz­zah­lun­gen gere­gelt sind.

Es ist wich­tig, sorg­fäl­tig vor­zu­ge­hen, um alle Even­tua­li­tä­ten hin­sicht­lich des zukünf­ti­gen Bezugs von Leis­tun­gen festzuhalten.

Die Leis­tun­gen kön­nen vom Betrieb gan­zer Rechen­zen­tren zur rei­nen Soft­ware­instal­la­ti­on am Arbeits­platz reichen.

Auch Rege­lun­gen zu einem Ein­be­zug von Sub­un­ter­neh­mern durch Dienstleister:innen sind in Betracht zu zie­hen. Dies wird auch im Hin­blick auf die Wei­ter­ga­be von Daten an Subunternehmer:innen relevant.

In sog. Ser­vice-Level Agree­ments (SLAs) muss zudem fest­ge­legt sein, wie lan­ge die Dienstleister:innen erreich­bar ist, wie viel Per­so­nal sie auf­wen­den, wie viel Spei­cher­platz sie zur Ver­fü­gung stel­len oder wie Kom­mu­ni­ka­ti­on und Sup­port ablaufen.

Es emp­fiehlt sich des Wei­te­ren Rege­lun­gen zur Leis­tungs­kon­trol­le einzufügen. 

So kann eine Doku­men­ta­ti­ons­pflicht für die Ver­trags­par­tei­en ins­be­son­de­re im Fall einer Leis­tungs­stö­rung von Bedeu­tung sein. 

Ist die gesam­te Leis­tung ste­tig kon­trol­liert, dann las­sen sich auch Feh­ler leich­ter fin­den und beheben.

Dazu gehö­ren auch Moni­to­ring und Reporting.

Der oder die Auftraggeber:in soll­te also Rege­lun­gen zur Nach­ver­fol­gung der Leis­tungs­er­brin­gung tref­fen, wäh­rend Auftragnehmer:innen regel­mä­ßig Bericht über ihre Tätig­keit erstat­ten sollten.

Hin­zu kommt, dass im Fal­le eines Rück­tritts vom Ver­trag oder bei regu­lä­rer Been­di­gung nach Ablauf der Ver­trags­zeit zu regeln ist, wie die Wei­ter­ver­wen­dung der vom Dienst­leis­ten­den im Rah­men der Geschäfts­be­zie­hung ein­ge­setz­ten Tools, Anlei­tun­gen, Skrip­te und Pro­ze­du­ren nach Been­di­gung der Ver­trags­be­zie­hung erfolgt .

Außer­dem sind Fra­gen betref­fend der Über­nah­me von bereits bestehen­den Ver­trä­gen des Dienst­leis­ten­den mit Drit­ten zu klären. 

Hier kommt häu­fig das Urhe­ber­recht ins Spiel.

Nicht unter­schätzt wer­den soll­te zudem das Risi­ko der Offen­le­gung von sen­si­blen Infor­ma­tio­nen wie Geschäftsgeheimnissen. 

Schließ­lich kommt die IT mit allem in Berüh­rung, was inner­halb des Unter­neh­mens über das Inter­net kom­mu­ni­ziert und gespei­chert ist.

Damit Geschäfts­ge­heim­nis­se aus­rei­chend geschützt sind, soll­ten sog. Non-Dis­clo­sure-Agree­ments (NDAs) abge­schlos­sen sein. 

Dar­un­ter sind Ver­schwie­gen­heits­er­klä­run­gen zu ver­ste­hen, die Dienstleister:innen ver­pflich­ten, Still­schwei­gen über Betriebs­in­for­ma­tio­nen zu wahren.

Das ist nicht nur im Inter­es­se der Auftraggeber:innen, son­dern auch der Dienstleister:innen, die sich bei der Ver­let­zung von Geschäfts­ge­heim­nis­sen den Kon­se­quen­zen des Geschäfts­ge­heim­nis­ge­set­zes (GeschGehG) aus­ge­setzt sehen.

Daten­schutz

Daten und ande­re ver­trau­li­che Infor­ma­tio­nen sind heut­zu­ta­ge kaum noch auf Papier geschrie­ben und im Schrank gela­gert, statt­des­sen sind die­se im IT-Sys­tem erfasst. 

Dies schließt die Kennt­nis­nah­me durch exter­ne IT-Dienstleister:innen auto­ma­tisch mit ein.

Die Anfor­de­run­gen von Daten­schutz-Grund­ver­ord­nung (DSGVO) und Bun­des­da­ten­schutz­ge­setz (BDSG) müs­sen daher ein­ge­hal­ten werden.

Inner­halb der IT-Struk­tur wer­den fast immer per­so­nen­be­zo­ge­ne Daten wie Mit­ar­bei­ter­da­ten oder Kun­den­da­ten betrof­fen sein. Ver­ar­bei­tet das IT-Unter­neh­men die­se Daten (z.B. Abspei­chern auf den eige­nen Ser­vern bzw. in der Cloud), dann grei­fen die Anfor­de­run­gen und Ver­pflich­tun­gen von DSGVO und BDSG ein.

Um her­aus­zu­fin­den, wel­che Anfor­de­run­gen und Pflich­ten aus DSGVO und BDSG ein­grei­fen, ist es beim IT-Ver­trag beson­ders wich­tig, zwei Fra­gen zu beantworten:

1. Liegt eine Auf­trags­ver­ar­bei­tung oder eine gemein­sa­me Ver­ant­wort­lich­keit vor?

Auf­trags­ver­ar­bei­tung

Der Unter­schied zwi­schen Auf­trags­ver­ar­bei­tung und gemein­sa­mer Ver­ant­wor­tung liegt dar­in, dass bei einer Auf­trags­ver­ar­bei­tung der oder die IT-Dienstleister:in nur als wei­sungs­ge­bun­de­ner Gehil­fe die Daten­ver­ar­bei­tung durch­führt. Er ist also qua­si nur der ver­län­ger­te Arm, der Auf­trag­ge­ben­de hin­ge­gen bleibt „Herr:in der Daten“.

Kon­se­quenz ist, dass Auftraggeber:innen auch für den Daten­schutz ver­ant­wort­lich sind und nicht die IT-Dienstleister:innen.

Die­se Kon­stel­la­ti­on bil­det den Regel­fall und hier­für ist ein sog. Auf­trags­ver­ar­bei­tungs­ver­trag (AVV) abzuschliessen.

Im Rah­men des­sen dür­fen die Daten nur zweck­ge­bun­den und nach Wei­sung des Auf­trag­ge­ben­den ver­ar­bei­tet werden.

Ver­stößt der oder die Auf­trags­ver­ar­bei­ten­de gegen die­se Wei­sung, dann ist er oder sie selbst verantwortlich.

Dem Auf­trag­ge­ben­den obliegt die Pflicht, den Auf­trags­ver­ar­bei­ten­den sorg­fäl­tig aus­zu­wäh­len, ins­be­son­de­re in Hin­blick auf die Garan­tie von aus­rei­chen­den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men. Auch bei der Auf­trags­ver­ar­bei­tung dür­fen Auftragnehmer:innen Subunternehmer:innen ein­schal­ten, aller­dings bedarf es dazu der Zustim­mung der Auftraggeber:innen.

Zudem tref­fen den oder die Auftragnehmende:n Doku­men­ta­ti­ons­pflich­ten sowie Mel­de­pflich­ten bei Datenpannen.

Gemein­sa­me Verantwortlichkeit

Bei der gemein­sa­men Ver­ant­wor­tung sind IT-Dienst­leis­ten­de im Gegen­satz dazu für den Daten­schutz genau­so ver­ant­wort­lich wie ent­spre­chen­de Auftraggeber:innen.

Das hat zur Kon­se­quenz, dass die Daten­ver­ar­bei­tung auch einer eigen­stän­di­gen Rechts­grund­la­ge unter­lie­gen muss.

Bei­spiels­wei­se kön­nen Auftraggeber:innen den IT-Dienstleister:innen die Daten nur wei­ter­ge­ben, wenn dafür eine eigen­stän­di­ge Rechts­grund­la­ge gege­ben ist.

Es reicht nicht aus, wenn bei­spiels­wei­se eine Ein­wil­li­gung zur Daten­ver­ar­bei­tung nur durch eine:n Auftraggeber:in vor­liegt und sie kei­ne Wei­ter­ga­be an den IT-Dienst­leis­ter beinhaltet.

So müs­sen auch die Betrof­fe­nen­rech­te durch bei­de wahr­ge­nom­men werden.

Wer genau was macht, muss dazu ver­trag­lich ver­ein­bart werden.

2. Wer­den die Daten inner­halb oder außer­halb der EU verarbeitet?

Die zwei­te Unter­schei­dung betrifft die Fra­ge, wo sich der oder die IT-Dienst­leis­ten­de befindet.

Befin­det er/sie sich in der EU, dann wird von einem ange­mes­se­nen Daten­schutz­ni­veau ausgegangen.

Beim IT-Out­sour­cing ist es jedoch häu­fig der Fall, dass das Out­sour­cing in Län­der außer­halb der EU vor­ge­nom­men wird, wie z.B. in die USA oder auch nach Indien.

Die Daten­schutz-Grund­ver­ord­nung (DSGVO) besagt, dass auch bei der Über­mitt­lung von Daten in Dritt­län­der Daten­schutz sicher­ge­stellt sein muss.

Ins­be­son­de­re fin­den auch die Rege­lun­gen zur Auf­trags­ver­ar­bei­tung Anwendung.

Ob die Daten­über­mitt­lung in die Dritt­staa­ten zuläs­sig ist, rich­tet sich nach zwei Voraussetzungen:

Gibt es eine Rechts­grund­la­ge, die die Über­mitt­lung legitimiert?

Hier ist zu fra­gen, ob eine Über­mitt­lung der Daten an sich über­haupt zuläs­sig ist, bei­spiels­wei­se auf­grund berech­tig­ter Interessen.

Die­ser Prü­fungs­punkt wird also unab­hän­gig davon beur­teilt, ob die Über­mitt­lung inner­halb Deutsch­lands, der EU oder in ein Dritt­land vor­ge­nom­men wird.

Hier ist bei einer Auf­trags­ver­ar­bei­tung oder gemein­sa­men Ver­ant­wor­tung zu prü­fen, ob die jewei­li­gen Vor­aus­set­zun­gen ein­ge­hal­ten wurden.

Sind die spe­zi­fi­schen Vor­ga­ben zum Dritt­land­trans­fer eingehalten?

Hier wird dem Umstand Rech­nung getra­gen, dass sich der Emp­fän­ger außer­halb der EU befindet.

Die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten darf dann nach der DSGVO nur erfol­gen, wenn die Euro­päi­sche Kom­mis­si­on fest­ge­stellt hat, dass das ent­spre­chen­de Dritt­land ein ange­mes­se­nes Daten­schutz­ni­veau bietet.

Liegt eine sol­che Fest­stel­lung nicht vor, dann dür­fen die Daten nur ins Aus­land über­mit­telt wer­den, wenn Garan­tien zum Schutz der Daten auf­ge­stellt und ver­ein­bart werden.

Dazu kann der/die Ver­ant­wort­li­che u.a. auf Stan­dard­da­ten­schutz­klau­seln zurück­grei­fen, die von der Kom­mis­si­on erlas­sen wur­den oder auch indi­vi­du­el­le Ver­trags­klau­seln mit der daten­emp­fan­gen­den Stel­le vereinbaren.

Auch wenn der­glei­chen nicht gege­ben ist, sta­tu­iert die Daten­schutz-Grund­ver­ord­nung (DSGVO) wei­te­re Aus­nah­men, nach denen der Daten­trans­fer in Dritt­län­der doch noch klap­pen kann, z.B. durch eine aus­drück­li­che Ein­wil­li­gung der betrof­fe­nen Per­son oder wenn es zur Erfül­lung eines Ver­trags zwi­schen den Ver­ant­wort­li­chen und der betrof­fe­nen Per­son erfor­der­lich ist.

Wich­tig ist eine opti­ma­le Vorbereitung

Die Gestal­tung eines IT-Ver­tra­ges erfor­dert eine opti­ma­le Vorbereitung.

Ver­schie­de­ne Rechts­ge­bie­te müs­sen abhän­gig von dem kon­kre­ten Sach­ver­halt erfasst und ein­ge­hal­ten wer­den, wie bei­spiels­wei­se Daten­schutz­recht, Ver­ga­be­recht, Kar­tell­recht, Arbeits­recht und Urheberrecht.

Also las­sen Sie sich gut beraten.

Add Comment