41.000 Software-Entwickler fehlen derzeit in Deutschland - so Berechnungen des Hightech-Branchenverbands BITKOM. Der akute Fachkräftemangel steigert die Nachfrage nach externen Dienstleistern: Eine Techconsult-Studie kommt zu dem Ergebnis, dass bereits jedes dritte deutsche Unternehmen mit Outsourcing-Partnern zusammen arbeitet, von denen viele im nicht-europäischen Ausland sitzen.
Unternehmen, die Dienstleistern Zugriff auf personenbezogene Daten ermöglichen - sei es von Endkunden, Mitarbeitern oder sonstigen Personen -, müssen sich mit den rechtlichen Rahmenbedingungen hinsichtlich des Schutzes dieser Daten auseinandersetzen. In Deutschland greift das Bundesdatenschutzgesetz (BSDG), innerhalb der EU die Europäische Datenschutzrichtlinie. Die Zusammenarbeit mit Dienstleistern und Unterauftragnehmern außerhalb der EU gestaltet sich rechtlich hingegen weitaus komplexer.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Rechtsrahmen
Wenn ein Unternehmen mit Sitz in Deutschland oder einem anderen EU-Staat Kunden-, Mitarbeiter- oder andere personenbezogene Daten von einem Dienstleister speichern, nutzen oder verarbeiten lässt, muss das Unternehmen ein "angemessenes Datenschutzniveau" beim Dienstleister sicherstellen. Dies gilt auch dann, wenn der Dienstleister nur Zugriff auf die Daten des Unternehmens erhält, die eigentlichen Daten aber im Unternehmen verbleiben.
Die Sicherstellung eines "angemessenen Datenschutzniveaus" ist im Bundesdatenschutzgesetz definiert, das die EU-Datenschutzrichtlinie umsetzt. Wenn ein angemessenes Datenschutzniveau nicht sichergestellt werden kann, drohen Maßnahmen der Aufsichtsbehörde und Bußgelder. Die Verarbeitung, Übertragung oder der Zugriff auf Daten durch den Dienstleister ist dann nicht zulässig.
Länder der EU gelten aufgrund der einheitlichen Gesetzgebung per se als "sichere" Länder im Sinne des Datenschutzes. Der Gesetzgeber spricht von einem angemessenen Datenschutzniveau in diesen Ländern und legt lediglich vertragliche Mindestanforderungen zwischen Auftraggeber und Dienstleister hinsichtlich der Auftragsdatenverarbeitung fest.
Außerhalb Europas
Für Dienstleister außerhalb der EU, speziell also auch in den für das Outsourcing von Softwareentwicklung relevanten Nearshore-Regionen, gilt ein "angemessenes Datenschutzniveau" nur dann, wenn zwischen Unternehmen und Dienstleister ein Vertrag mit den "Standardklauseln für Auftragsdatenverarbeitung" der EU-Kommission abgeschlossen wird.
Ist ein Zugriff auf personenbezogene Daten (also Daten von Kunden, Mitarbeitern oder Dritten) durch den Dienstleister definitiv ausgeschlossen (indem beispielsweise Entwicklungs- und Produktionsumgebungen technisch getrennt, in der Testumgebung nur extra angelegte Testdaten verwendet oder im Monitoring lediglich Daten wie Verfügbarkeit, Latenzen, Speicherauslastung etc. überwacht werden), so besteht keine Auftragsdatenverarbeitung und damit im Prinzip keine Notwendigkeit für die beschriebenen Maßnahmen.
Dennoch kann deren Berücksichtigung bei der Vertragsgestaltung zwischen Unternehmen und Dienstleister auch in diesen Fällen sinnvoll sein - um für ein späteres Setup vertraglich bereits vorbereitet zu sein und um den Dienstleister zu sensibilisieren. Zudem müssen der zu Grunde liegende Dienstleistungsvertrag sowie die Vereinbarung zur Auftragsdatenverarbeitung entsprechend abgestimmt werden, damit sich keine Widersprüche ergeben.
Verantwortlich für die Einhaltung der Vorschriften ist in jedem Fall der Auftraggeber. Dem Auftraggeber obliegt eine umfassende Prüf- und Dokumentationspflicht, sowohl vor als auch nach Vertragsabschluss.
Auftragsdatenverarbeitung
Für Dienstleister innerhalb der EU legt §11 BDSG die Mindestanforderungen an die vertragliche Gestaltung der Auftragsdatenverarbeitung fest. Unter Auftragsdatenverarbeitung versteht man die weisungsgebundene Datenverarbeitung durch Externe, bei der die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt. Auftragsdatenverarbeitung liegt auch dann vor, wenn ein Unternehmen beispielsweise ein externes Rechenzentrum nutzt oder externe Programmierer Zugriff auf die Daten des Unternehmens haben oder ein solcher Zugriff zumindest nicht ausgeschlossen werden kann.
Die folgende (nicht abschließende) Aufzählung stellt Beispiele für Auftragsdatenverarbeitung dar, wie sie im Rahmen von Softwareentwicklung auftreten können:
Wenn eine erstellte Applikation/Software durch den Dienstleister realitätsnah getestet wird und sich auf der Test- oder Produktionsumgebung "echte" Kundendaten befinden.
Wenn die Entwickler oder Systemadministratoren des Dienstleisters Zugriff auf Datenbanken haben, in denen personenbezogene Daten gespeichert sind, auf die direkt zugegriffen werden kann.
Wenn Anforderungsbeschreibungen oder Dokumentationen Datensätze oder Screenshots, die personenbezogene Daten zeigen, beigefügt werden.
Wenn im Rahmen des IT-Betriebes, des Monitorings oder des Supports Zugriff auf personenbezogene Daten besteht.
Wenn der Dienstleister Administrations- und Supportaufgaben übernimmt und bspw. für bestimmte Tools Mitarbeiter-Zugänge (Logins) verwaltet.
Wenn der Dienstleister über Remote-Login Zugriff auf personenbezogene Daten erhält.