Outsourcing in Nicht-EU-Länder

Nearshoring von Software-Entwicklung? Datenschutz beachten!

Außerhalb Europas

Für Dienstleister außerhalb der EU, speziell also auch in den für das Outsourcing von Softwareentwicklung relevanten Nearshore-Regionen, gilt ein "angemessenes Datenschutzniveau" nur dann, wenn zwischen Unternehmen und Dienstleister ein Vertrag mit den "Standardklauseln für Auftragsdatenverarbeitung" der EU-Kommission abgeschlossen wird.

In Ländern wie Armenien boomt derzeit nicht nur die IT: Auch hier werden häufig Software-Entwickler eingekauft.
In Ländern wie Armenien boomt derzeit nicht nur die IT: Auch hier werden häufig Software-Entwickler eingekauft.
Foto: Sven Krahn, Singlepoint GmbH

Ist ein Zugriff auf personenbezogene Daten (also Daten von Kunden, Mitarbeitern oder Dritten) durch den Dienstleister definitiv ausgeschlossen (indem beispielsweise Entwicklungs- und Produktionsumgebungen technisch getrennt, in der Testumgebung nur extra angelegte Testdaten verwendet oder im Monitoring lediglich Daten wie Verfügbarkeit, Latenzen, Speicherauslastung etc. überwacht werden), so besteht keine Auftragsdatenverarbeitung und damit im Prinzip keine Notwendigkeit für die beschriebenen Maßnahmen.

Dennoch kann deren Berücksichtigung bei der Vertragsgestaltung zwischen Unternehmen und Dienstleister auch in diesen Fällen sinnvoll sein - um für ein späteres Setup vertraglich bereits vorbereitet zu sein und um den Dienstleister zu sensibilisieren. Zudem müssen der zu Grunde liegende Dienstleistungsvertrag sowie die Vereinbarung zur Auftragsdatenverarbeitung entsprechend abgestimmt werden, damit sich keine Widersprüche ergeben.

Verantwortlich für die Einhaltung der Vorschriften ist in jedem Fall der Auftraggeber. Dem Auftraggeber obliegt eine umfassende Prüf- und Dokumentationspflicht, sowohl vor als auch nach Vertragsabschluss.

Auftragsdatenverarbeitung

Für Dienstleister innerhalb der EU legt §11 BDSG die Mindestanforderungen an die vertragliche Gestaltung der Auftragsdatenverarbeitung fest. Unter Auftragsdatenverarbeitung versteht man die weisungsgebundene Datenverarbeitung durch Externe, bei der die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt. Auftragsdatenverarbeitung liegt auch dann vor, wenn ein Unternehmen beispielsweise ein externes Rechenzentrum nutzt oder externe Programmierer Zugriff auf die Daten des Unternehmens haben oder ein solcher Zugriff zumindest nicht ausgeschlossen werden kann.

Die folgende (nicht abschließende) Aufzählung stellt Beispiele für Auftragsdatenverarbeitung dar, wie sie im Rahmen von Softwareentwicklung auftreten können:

  • Wenn eine erstellte Applikation/Software durch den Dienstleister realitätsnah getestet wird und sich auf der Test- oder Produktionsumgebung "echte" Kundendaten befinden.

  • Wenn die Entwickler oder Systemadministratoren des Dienstleisters Zugriff auf Datenbanken haben, in denen personenbezogene Daten gespeichert sind, auf die direkt zugegriffen werden kann.

  • Wenn Anforderungsbeschreibungen oder Dokumentationen Datensätze oder Screenshots, die personenbezogene Daten zeigen, beigefügt werden.

  • Wenn im Rahmen des IT-Betriebes, des Monitorings oder des Supports Zugriff auf personenbezogene Daten besteht.

  • Wenn der Dienstleister Administrations- und Supportaufgaben übernimmt und bspw. für bestimmte Tools Mitarbeiter-Zugänge (Logins) verwaltet.

  • Wenn der Dienstleister über Remote-Login Zugriff auf personenbezogene Daten erhält.