Datenschutz: Sensible Daten rechtssicher outsourcen oder in die Cloud auslagern

PrintMailRate-it
Sensible Daten rechtssicher outsourcen
von Dr. Christiane Bierekoven
 
Es ist die entscheidende Hürde, die ein Unternehmen meistern muss, wenn es seine IT outsourcen oder in die Cloud auslagern will: Das Know-how, das es in die Hände von Fremd­dienstleistern legt, muss sicher sein. For­schungs- und Entwicklungsdaten dürfen beim IT-Outsourcing bzw. der Auslagerung in die Cloud nicht in falsche Hände geraten – wichtiges Betriebs-Know-how darf nicht dem Konkurrenten ins Postfach flattern.

     

    Die ausgelagerten Daten bewegen sich rund um den Globus

    Die Zeiten, in denen es reichte, den Schlüssel zu den sensiblen Aktenordnern nur in ausgewählte Hände zu geben, sind lange vorbei. Heute bewegen sich Daten in der Cloud in Sekundenschnelle rund um den Globus. Sie vor unbefugter Verwendung zu schützen, fordert alle Unternehmen, die Leistungen an Drittanbieter auslagern.

     

    Outsourcing-Verträge müssen die Datenbewegungen abbilden und sichern

    Die Aufgabe von IT-Rechtspezialisten ist es, die Vertragsbeziehungen mit den Outsourcing-Anbietern so zu gestalten, dass die Daten sicher sind – egal wo und wie der Anbieter die Daten speichert.

            

    Zunächst muss festgestellt werden: Welche sensiblen Daten sollen überhaupt ausgelagert werden bzw. auf welche Daten dürfen die Drittanbieter infolge des Outsourcings oder des Cloud-Services zugreifen?

     

    Das Vermögen eines Unternehmens: Know-how sowie Forschungs- und Entwicklungsdaten

    2 Bereiche sind besonders wichtig:
    • zum einen die Forschungs- und Entwicklungsdaten,
    • zum anderen die sonstigen Unternehmensgeheimnisse, strategische Pläne, Schutzrechte oder sensible Kunden- und sonstige personenbezogene Daten.

            

    Dies sind die Assets, mit denen Unternehmen ihr Geld verdienen. Ihr Schutz ist oberste Pflicht und damit die entscheidende Herausforderung für die betreffenden Vertragswerke.

           

    Je nachdem, in welcher Konstellation das Unternehmen den Drittanbieter einsetzt, ergeben sich unterschiedliche Anforderungen an die Sicherheit der Daten.

     

    Klassisches Outsourcing oder Auslagerung in die Cloud?

    • Möglichkeit eins ist das klassische Outsourcing: Die Rechenzentren werden extern von einem Drittanbieter betrieben. Der Anbieter erbringt Mail- oder Speicherdienstleistungen, speziell auf den Kunden zugeschnitten.
    • Möglichkeit zwei sind die sogenannten Managed Services: Externe Dienstleister erbringen ihre IT-Dienstleistungen via Fernzugriff (sog. remote access) über das Internet. Sie speichern Daten in privaten Clouds oder Virtual Private Networks, also internetzugänglichen Netzwerken, auf welche aber nur Unternehmen und Drittanbieter Zugriff haben.
    • Möglichkeit drei sind die (echten) Public Cloud-Services: Ausgelagerte Anwendungen und Daten und Dienstleistungen werden in der Cloud gespeichert. Datenspeicher und Software werden bei Anbietern gemietet, deren Serverparks in USA, China, Indien oder an einem beliebigen Ort der Welt liegen können.

     

    Outsourcing-Dienstleister beschäftigen häufig Subunternehmer

    Hier kommt die dritte Herausforderung für die outsourcenden Unternehmen ins Spiel: die vielschichtige Struktur der IT-Anbieter.

           

    Früher waren beim Outsourcing die Vertragsbeziehungen zwischen dem outsourcenden Unternehmen und seinem Dienstleister übersichtlicher, der Einsatz etwaiger Subunternehmer überschaubar. Mittlerweile sind immer mehr Subunternehmer involviert, ihre Zahl wird zunehmend unübersichtlicher. Ist der Anbieter ein Konzern oder Unternehmensverbund, sind Konzerntöchter oder andere Unternehmensteile beteiligt.

     

    Der Vertrag muss die Daten auch bei Weitergabe an fremde Dritte schützen

    Hauptelement des Vertrags ist der Rahmenvertrag:
    • Er enthält das Leistungsverzeichnis,
    • regelt die Verantwortung, die Pflichten, die Gewährleistung und die Haftung.
    • Konkretisiert wird er durch die Leistungsscheine, die die einzelnen technischen und organisatorischen Fragen klären.

     


    Das entscheidende Element für den Schutz des Know-hows sind die Geheimhaltungsvereinbarungen:
    • Die Geheimhaltung beginnt im Stadium der Vertragsverhandlungen mit den Non Disclosure Agreements (= NDA).
    • Sie stellen sicher, dass während der Verhandlungen gewonnene Erkenntnisse nicht verwendet werden dürfen.

     

    Geheimhaltungsvorschriften sind der Sicherheitsschlüssel beim IT-Outsourcing

    Kommt es zum Vertrag, werden im Rahmenvertrag die eigentlichen Geheimhaltungsvorschriften geregelt. Sie enthalten eine Definition, welche Daten als vertraulich gelten, und eine Klarstellung, dass der Dienstleister sie nur zur Erbringung der vereinbarten Leistungen speichern darf.

           

    Außerdem enthalten sie die Verpflichtung des Dienstleisters, auch seine Mitarbeiter zur Geheimhaltung anzuhalten sowie das Verbot der Weitergabe von Daten an fremde Dritte.

            

    Dabei müssen Unternehmen sich bereits jetzt auf Folgendes einstellen:

    Die am 5.7.2016 in Kraft getretene Richtlinie (EU) 2016/943 vom 8.6.2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen besagt:  

           

    Ansprüche wegen der Verletzung von vertraulichen Informationen können nur noch dann gerichtlich geltend gemacht und durchgesetzt werden, wenn nachweisbar ist, dass in der Vergangenheit angemessene Maßnahmen zu deren Geheimhaltung getroffen wurden.

           

    Deshalb ist bei den vertraglichen Vereinbarungen bei Cloud-Services oder dem Outsourcing darauf zu achten, dass solche Maßnahmen vom Cloud- oder Outsourcing-Anbieter getroffen werden. Dies ist zudem zu dokumentieren. Ebenso sollten Kontrollrechte vereinbart werden.

     

    Weitergabe der Daten an Dritte muss streng geregelt werden

    Hier wird es spätestens dann knifflig, wenn der Anbieter ein Konzern ist oder einen Konzern als Subunternehmer beschäftigt. Das ist zum Beispiel der Fall, wenn ein deutscher IT-Outsourcinganbieter als Subunternehmer Microsoft beschäftigt. Dann liegt auf der Seite des Vertragspartners eine Konzernstruktur vor, innerhalb derer die Daten gesichert werden müssen.

     

    Den Begriff des fremden Dritten richtig definieren

    Hier gilt es, den Begriff des Dritten richtig zu definieren. Beispielsweise sollte man klarstellen, dass andere Konzern­unter­nehmen schon als fremde Dritte gelten und die Weitergabe von Daten an sie zumindest unter einen Zustimmungsvorbehalt gestellt werden sollte.

           

    Zudem sind die Geheim­haltungs­ver­pflichtungen weiterzugeben. Wegen der neuen Richtlinie vom 5.7.2016 empfiehlt es sich zudem, die Verpflichtungen zur Absicherung der Daten an diese Konzerngesellschaften vertraglich weiterzugeben, dies zu dokumentieren und auch hier Kontrollrechte zu vereinbaren.

           

    Das Problem der Zustimmungsvorbehalte und der Verbote ist offensichtlich: Der Dienstleister kann nicht mehr so flexibel reagieren, wie es im Interesse des auslagernden Unternehmens nötig wäre. Er kann beispielsweise freie Serverkapazitäten eines Subunternehmers nicht ausnutzen, weil er dazu erst die Zustimmung des Auftraggebers einholen müsste.

     

    Datenweitergabe nur, wenn das Unternehmen keinen Widerspruch einlegt

    Eine Widerspruchklausel in den Verträgen sorgt dafür, dass der Outsourcing- oder Cloud-Anbieter die Daten zwar verschieben darf – er muss den Auftraggeber aber rechtzeitig informieren, damit dieser, falls gewünscht, Widerspruch erheben kann. Falls kein Widerspruch kommt, ist der Dienstleister frei, die Daten dahin zu verschieben, wo es nötig ist. Für die Weitergabe personenbezogener Daten sieht die neue Datenschutz­grundverordnung (DSGVO) dies nunmehr bei der Auftragsdatenverarbeitung in Art. 29 (2) so vor.

    Die Herausforderung besteht darin, die Beweglichkeit und Flexibilität der Datenbewegung beim Kunden in den Verträgen abzubilden und zugleich das Know-how garantiert abzusichern.

     

    Daten nur in verschlüsselter Form weitergeben

    Eine weitere Möglichkeit, die Daten zu schützen: Der fremde Dritte darf die zu wartende Daten nur in verschlüsselter Form erhalten. Greift dann etwa der Managed Service Provider per Fernzugriff auf den Rechner des Unternehmens zu, sieht er keine Klardaten und kann deshalb auch keine Geheimnisse verraten. Hinsichtlich des Schutzes vertraulicher Informationen nach der neuen Richtlinie dürfte dies künftig zwingend erforderlich sein.

     

    Sanktionen müssen wirksam sein

    Ebenfalls geregelt werden müssen die Sanktionen, denn ohne Sanktion keine wirksamen Verbote. Hier sind Vertrags­strafen das richtige Mittel. Wichtig ist, dass sie sich am möglichen Schaden des Unternehmens orientieren. Das Gute an ihnen: Sie sind verschuldungs­­unabhängig. Es reicht, den Verstoß nachzuweisen, dann werden sie fällig. Damit sind Vertrags­strafenregelungen den Schadensersatzansprüchen überlegen, denn Schadenersatz­ansprüche erfordern den Nachweis eines Verschuldens.

     

    Exit: Am Anfang schon das mögliche Ende planen

    Last but not least benötigen die Outsourcingverträge vernünftige Exit-Regeln. Sehr wichtig bei einer Kündigung sind die Übergangsregeln: Denn auch während eine Vertrags­beziehung beendigt wird, braucht der Kunde Unter­stützungs­leistungen. Sonst stünde er hilflos da, solange er noch keinen neuen Partner gefunden oder er die IT-Leistungen noch nicht auf einen neuen Anbieter übergeleitet hat.

           

    Übrigens sollten solche heiklen Dinge gleich zu Beginn geregelt werden, wenn beide Partner guten Willens und bereit sind, in den Vertrag einzusteigen. Denn nur, wenn alles geregelt ist, kann das Unternehmen bei einem IT-Outsourcing – egal in welcher Konstellation – sich sicher sein: Seine sensiblen Daten sind auch in unvorher­gesehenen Situationen sicher geschützt.
     

    zuletzt aktualisiert am 23.11.2016

Kontakt

Contact Person Picture

Johannes Marco Holz, LL.M.

Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter (GDDcert.EU), Master of Laws Rechtsinformatik (Universität Passau)

Partner

+49 911 9193 1511

Anfrage senden

Profil

Wir beraten Sie gern!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu