Lässt sich der Datenschutz an IT-Outsourcing-Partner delegieren?

Albert Einstein behauptete, dass jede Ordnung der erste Schritt auf dem Weg in neuerliches Chaos sei. In Anbetracht der Folgen des Inkrafttretens der europäischen Datenschutz-Grundverordnung hat er ein weiteres Mal Recht behalten. Durch Vereine, Wettbewerber und Kunden getriebene Klagewellen, neue Erpressungsarten seitens Cyber-Kriminellen (Non-Compliance-Erpressung) oder auch einfach aus Angst geschwärzte Kindergartenfotos. Die EU-DSGVO hat bisher mehr Chaos als Ordnung geschaffen. Unternehmen tun sich recht schwer damit, sich in dem juristischen Wirrwarr zurechtfinden. Schenkt man aktuellen Studien Vertrauen, so sind nur 20% der US-, EU- und UK-Unternehmen DSGVO-compliant. In der Schweiz dürfte dieser Anteil wohl kaum höher sein, obwohl sich das in Revision befindende Schweizer Datenschutzgesetz stark an den europäischen Richtlinien orientiert.

Outsourcing-Vertragswerk genau prüfen

Vor dem Hintergrund zunehmender Nutzung von Cloud-, Hosting-, Managed-IT und anderer in diesem Zusammenhang stehender Services (z.B. Newsletter, Data Analytics) stellt sich oft die Frage, wer den Datenschutz gemäss aktuell geltenden Gesetzen sicherzustellen und zu verantworten hat. Viele Unternehmen glauben, das Risiko samt der IT an den Outsourcingpartner ausgelagert zu haben. Schliesslich verpflichtet sich dieser vertraglich zur Gewährleistung der Sicherheit oder Verfügbarkeit von Daten. Wer jedoch einen detaillierten Blick in die Vertragsbedingungen riskiert, wird ernüchternd feststellen, dass sich die Haftung der Dienstleister zumeist nur auf Grobfahrlässigkeit und Vorsatz beschränkt. Die Enthaftung ist nachvollziehbar. Denn wieso sollte ein IT-Dienstleister z.B. für die Nachlässigkeit und gegebenenfalls fehlende Sensibilisierung der Mitarbeitenden seiner Kunden und damit ihr Cyber-Restrisiko, welches sich trotz aller präventiven und reaktiven Vorkehrungen einstellen könnte, haften?

Neue Datenschutzbestimmungen benennen den "Verantwortlichen" klar

Die Schweizer und EU-Datenschutzgesetze regeln die Risikotragung eindeutig, indem sie die juristische oder natürliche Person, die Daten erhebt und über ihren Verarbeitungszweck entscheidet, als "Verantwortlicher" definieren. Dieser hat bei der Auslagerung von Datenverarbeitungsprozessen von Gesetzes wegen sicherzustellen, dass der Dienstleister bzw. Auftragsverarbeiter geeignete technische und organisatorische Massnahmen zum Datenschutz und zur Datensicherheit getroffen hat. Somit haftet stets der Verantwortliche gegenüber den betroffenen Personen für allfällige Datenschutzverletzungen und hat auch den vorgesehenen Meldepflichten nachzukommen. Ebenso entbindet die Auslagerung den Verantwortlichen nicht von der Pflicht, einen geeigneten Datenschutz zu organisieren und zu garantieren.

Unmittelbar verbunden mit der Auslagerung ist die Pflicht zur transparenten Information über den Verarbeitungszweck der Daten. In diesem Kontext müssen die betroffenen Personen von dem Verantwortlichen nicht nur über den eindeutigen Zweck der Datenverarbeitung informiert werden, sondern auch über die Weitergabe ihrer Daten an den Auftragsverarbeiter (z.B. in Form einer Datenschutzrichtlinie). Zuletzt liegt es auch in der Verantwortung der Unternehmen, die Zweckbindung auf Seiten ihrer Outsourcingpartner sicherzustellen.

Die letzte Meile des Cyberschutzes zu Ende gehen

Schweizer Unternehmen, die IT-Outsourcing-Dienstleistungen beanspruchen, sind also gut beraten, die Datenschutz- und Sicherheitsstandards ihrer Outsourcingpartner abzuklären, umfassende Auftragsdatenbearbeitungsverträge abzuschliessen und vor allem auch alles vorzukehren, um als Unternehmen selbst den neuen gesetzlichen Vorhaben zu entsprechen. Dies unabhängig davon, ob sie bereits der EU-DSGVO oder dem bald revidierten Schweizer Datenschutzgesetz unterliegen. 

Am Thema Outsourcing wird es noch einmal deutlich, dass der IT-Risikomanagementprozess ganzheitlich gestaltet wird und neben IT-Security, Datenschutz und Business Continuity Management bzw. Krisenmanagement auch den bedarfsgerechten Transfer des Cyber-Restrisikos umfasst. Funk kann Unternehmen insbesondere bei dieser letzten Meile strukturiert und effizient unterstützen.


Ihr Ansprechpartner

Max Keller

Risk Management Consultant
Telefon +41 58 311 05 51

Empfehlen


Funk CyberSecure

Modulare Versicherungslösung für Cyber-Risiken