FAQ: Outsourcing

Services an Externe auslagern

FAQ: Outsourcing

Starke Verflechtungen prägen unser Geschäftsleben. So werden immer öfter Services an Externe ausgelagert. Von der Lohnabrechnung über Cloud- und weitere IT-Dienstleistungen bis hin zum Outsourcing von Entwicklungsarbeiten. Hierbei ist ein gewisses Vertrauen in den Dienstleister erforderlich. Dieses „Vertrauen“ sollte natürlich nicht nur auf Basis eines „guten Bauchgefühls“ bestehen, sondern durch Informationen und Aktivitäten objektiviert werden.
Grafik zu Outsourcing

Des Weiteren werden Vereinbarungen mit dem Dienstleister und Überprüfungen durch Normen (beispielsweise ISO 27001/-02 oder TISAX) und durch Gesetze gefordert (siehe Kasten). Die Datenschutzgrundverordnung (DSGVO) fordert zudem eine Rechenschaftspflicht ein, so dass das Outsourcing dokumentiert werden muss.
Nachfolgend wollen wir daher Empfehlungen für die unterschiedlichen Phasen einer Beauftragung eines Auftragnehmers darstellen und zeigen, dass dies auch pragmatisch umgesetzt werden kann:

Ihr Ansprechpartner

Tim Hoffmann
Tim Hoffmann
Leiter Vertrieb / Marketing
Telefon: 0202 / 9467726-200

Der Auftragnehmer ist vor Beginn der Datenverarbeitung und sodann auch regelmäßig zu kontrollieren. Die Form, Intensität und Häufigkeit der Prüfung ist von der o. g. Kritikalität abhängig. Hierbei eignen sich in der Regel Mischformen aus Selbstauskunftsbogen und Vor-Ort-/Remote-Audits.

Neben den eigentlichen Fach-Anforderungen sollten in das Lastenheft klare Vorgaben an die Informationssicherheit und den Datenschutz einfließen. Das Anforderungsniveau ist hierbei von der o.g. Kritikalität stark abhängig.

Neben der Qualität des Dienstleisters im Hinblick auf die Ausführung der Leistungserbringung und Dienstleistung im engeren Sinne, sind die datenschutzrechtlichen und informationssicherheitstechnischen Maßnahmen zu prüfen.
Der Dienstleister sollte Referenzen für ähnliche Outsourcing-Vorhaben aufweisen können. Ferner ist der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Ein Nachweis kann unterschiedlich erfolgen:

  • Nachweis eines Zertifikats gemäß ISO 27001: Dieses Zertifikat sollte aber durch den Informationssicherheits- und/oder Datenschutzbeauftragten mindestens im Hinblick auf den Scope dahingehend geprüft werden, ob es auf die Dienstleistung passt [näheres hierzu bei unserer Zertifizierungsschwester UIMCert ].
  • Prüfung anhand durch den Dienstleister auszufüllenden Selbstauskunftsbogens [Beispiel innerhalb unseres Online-Formular-Centers; geschützter Bereich]: Die Nutzung eines Bogens sollte aber nur bei niedriger und in bestimmten Fällen bei mittlerer Kritikalität verwendet werden.
  • Durchführung eines Audits: Dies kann in Kombination mit einem Selbstauskunftsbogen oder ohne diesen durchgeführt werden. Neben der eigenständigen Durchführung kann dies auch durch einen „Profi“ (wie z. B. unserer Zertifizierungsschwester UIMCert; externer Link) durchgeführt werden.

Diese Prüfungen sollten bei allen Dienstleistern durchgeführt werden, die in der engeren Auswahl sind. Hierbei können die Ergebnisse im Sinne eines Benchmarks in die Entscheidungsfindung einfließen.

Der Dienstleister ist auf die Einhaltung der Sicherheitsanforderungen und/oder Datenschutzvorschriften zu verpflichten. Hierzu sollten Musterverträge vorhanden sein (Beispiele innerhalb unseres Online-Formular-Centers; geschützter Bereich]. Dies gilt für jegliche Arten von Dienstleistungen, bei denen vertrauliche Informationen oder personenbezogene Daten zur Kenntnis genommen werden können (unerheblich, ob Daten übermittelt, per Remote-Zugriff eingesehen oder im Rahmen des Leasings oder der Datenvernichtung zumindest theoretisch zur Kenntnis gelangen können). Verträge sind grundsätzlich vom Justiziariat, den Informationssicherheits- und/oder Datenschutzbeauftragten zu prüfen.

Hierbei sollten Sie auch beachten, dass bei der Beauftragung von Dienstleistern außerhalb der EU grundsätzlich auch zusätzliche Garantien im Datenschutz einzuhalten sind.

Der Auftragnehmer ist vor Beginn der Datenverarbeitung und sodann auch regelmäßig zu kontrollieren. Die Form, Intensität und Häufigkeit der Prüfung ist von der o. g. Kritikalität abhängig. Hierbei eignen sich in der Regel Mischformen aus Selbstauskunftsbogen und Vor-Ort-/Remote-Audits.

Sie sind selbst als Dienstleister tätig?

Dann sollten Sie auf o. g. Vorgehensweisen Ihrer (potentiellen) Kunden vorbereitet sein.

Weiterführende Informationen:

  • Kostenfreie web.eCollege-Seminare zum Outsourcing, zum Drittlandtransfer und den Standarddatenschutzklauseln (Sie haben die Webinare verpasst? Dann können Sie Zugang zu den Unterlagen und z. T. zu Aufzeichnungen erhalten.)
  • Fortbildungen; eignen Sie sich Fachwissen an
  • UIMCert: Lieferantenbewertung [externer Link]

Immer gut informiert

Newsletter

Bleiben Sie mit unserem Info-Brief auf dem Laufenden.

Abonnieren Sie den Newsletter und verpassen Sie keinen unserer Artikel.

Sie haben Fragen?

Sie benötigen Beratung zum Datenschutz, eine Schulung des Daten­schutz­­beauftragten der Firma oder einen externen Daten­schutz­beauftragten?

Melden Sie sich bei uns und lassen Sie sich unverbindlich und kostenfrei beraten.