FAQ: Outsourcing

Starke Verflechtungen prägen unser Geschäftsleben. So werden immer öfter Services an Externe ausgelagert. Von der Lohnabrechnung über Cloud- und weitere IT-Dienstleistungen bis hin zum Outsourcing von Entwicklungsarbeiten. Hierbei ist ein gewisses Vertrauen in den Dienstleister erforderlich. Dieses „Vertrauen“ sollte natürlich nicht nur auf Basis eines „guten Bauchgefühls“ bestehen, sondern durch Informationen und Aktivitäten objektiviert werden.

Des Weiteren werden Vereinbarungen mit dem Dienstleister und Überprüfungen durch Normen (beispielsweise ISO 27001/-02 oder TISAX) und durch Gesetze gefordert (siehe Kasten). Die Datenschutzgrundverordnung (DSGVO) fordert zudem eine Rechenschaftspflicht ein, so dass das Outsourcing dokumentiert werden muss. Nachfolgend wollen wir daher Empfehlungen für die unterschiedlichen Phasen einer Beauftragung eines Auftragnehmers darstellen und zeigen, dass dies auch pragmatisch umgesetzt werden kann:

    Kategorisierung der Dienstleistung

    Zur einerseits angemessenen sowie andererseits gesetzes-/normenkonformen Umsetzung der Anforderungen ist eine Kategorisierung der externen Datenverarbeitung im Hinblick auf die Kritikalität vorzunehmen. Die Kritikalität ist von verschiedenen Faktoren abhängig:

    • Umfang und Sensibilität der Daten
    • Abhängigkeit vom Prozess/Geschäftsprozess
    • Ort der Leistungsausführung (z. B. innerhalb oder außerhalb der EU)
    • Spezielle Anforderungen des Gesetzgebers
    • Vorgaben von Auftraggebern
    • etc.

    Die Zuordnung zu einer Kritikalitätsklasse kann außerdem durch weitere – auch externe – Faktoren (z. B. mögliche Beschwerdepotenziale, öffentliche Diskussionen über die Zuverlässigkeit des Dienstleisters) beeinflusst und verändert werden.

    Die Kategorisierung von Dienstleistern ist aufwändig und bürokratisch? Der Vorteil einer solchen Vorgehensweise ist, dass Sie nicht jeden Dienstleister unter strengen Auflagen prüfen, beauftragen und auditieren müssen. Vielmehr müssen Sie dies nur bei den wirklich "kritischen".

    Erstellung eines Lastenhefts

    Neben den eigentlichen Fach-Anforderungen sollten in das Lastenheft klare Vorgaben an die Informationssicherheit und den Datenschutz einfließen. Das Anforderungsniveau ist hierbei von der o.g. Kritikalität stark abhängig.

    Auswahl eines geeigneten Dienstleisters

    Neben der Qualität des Dienstleisters im Hinblick auf die Ausführung der Leistungserbringung und Dienstleistung im engeren Sinne, sind die datenschutzrechtlichen und informationssicherheitstechnischen Maßnahmen zu prüfen.

    Der Dienstleister sollte Referenzen für ähnliche Outsourcing-Vorhaben aufweisen können. Ferner ist der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Ein Nachweis kann unterschiedlich erfolgen:

    • Nachweis eines Zertifikats gemäß ISO 27001: Dieses Zertifikat sollte aber durch den Informationssicherheits- und/oder Datenschutzbeauftragten mindestens im Hinblick auf den Scope dahingehend geprüft werden, ob es auf die Dienstleistung passt [näheres hierzu bei unserer Zertifizierungsschwester UIMCert].
    • Prüfung anhand durch den Dienstleister auszufüllenden Selbstauskunftsbogens [Beispiel innerhalb unseres Online-Formular-Centers; geschützter Bereich]: Die Nutzung eines Bogens sollte aber nur bei niedriger und in bestimmten Fällen bei mittlerer Kritikalität verwendet werden.
    • Durchführung eines Audits: Dies kann in Kombination mit einem Selbstauskunftsbogen oder ohne diesen durchgeführt werden. Neben der eigenständigen Durchführung kann dies auch durch einen „Profi“ (wie z. B. unserer Zertifizierungsschwester UIMCert; externer Link) durchgeführt werden.

    Diese Prüfungen sollten bei allen Dienstleistern durchgeführt werden, die in der engeren Auswahl sind. Hierbei können die Ergebnisse im Sinne eines Benchmarks in die Entscheidungsfindung einfließen.

    Beauftragung des Auftragnehmers

    Der Dienstleister ist auf die Einhaltung der Sicherheitsanforderungen und/oder Datenschutzvorschriften zu verpflichten. Hierzu sollten Musterverträge vorhanden sein (Beispiele innerhalb unseres Online-Formular-Centers; geschützter Bereich]. Dies gilt für jegliche Arten von Dienstleistungen, bei denen vertrauliche Informationen oder personenbezogene Daten zur Kenntnis genommen werden können (unerheblich, ob Daten übermittelt, per Remote-Zugriff eingesehen oder im Rahmen des Leasings oder der Datenvernichtung zumindest theoretisch zur Kenntnis gelangen können). Verträge sind grundsätzlich vom Justiziariat, den Informationssicherheits- und/oder Datenschutzbeauftragten zu prüfen.

    Hierbei sollten Sie auch beachten, dass bei der Beauftragung von Dienstleistern außerhalb der EU grundsätzlich auch zusätzliche Garantien im Datenschutz einzuhalten sind.

    Regelmäßige Maßnahmen

    Der Auftragnehmer ist vor Beginn der Datenverarbeitung und sodann auch regelmäßig zu kontrollieren. Die Form, Intensität und Häufigkeit der Prüfung ist von der o. g. Kritikalität abhängig. Hierbei eignen sich in der Regel Mischformen aus Selbstauskunftsbogen und Vor-Ort-/Remote-Audits.

    Sie sind selbst als Dienstleister tätig?

    Dann sollten Sie auf o. g. Vorgehensweisen Ihrer (potentiellen) Kunden vorbereitet sein.

    Weiterführende Informationen:

    • Kostenfreie web.eCollege-Seminare zum Outsourcing, zum Drittlandtransfer und den Standarddatenschutzklauseln (Sie haben die Webinare verpasst? Dann können Sie Zugang zu den Unterlagen und z. T. zu Aufzeichnungen erhalten.)
    • Fortbildungen; eignen Sie sich Fachwissen an
    • UIMCert: Lieferantenbewertung [externer Link]