Nearshoring & Datenschutz – Darauf müssen Sie beim Vertrag mit Nearshore Partnern achten!
In unserem ersten Blogbeitrag zum Thema Nearshoring haben wir uns die Grundlagen angeguckt und festgestellt, dass Nearshoring immer beliebter wird. In diesem Beitrag möchte ich nun einen Blick darauf werfen, worauf Sie beim Datenschutz innerhalb und außerhalb der EU achten müssen.
Datenschutzgrundverordnung
Die neue Datenschutzgrundverordnung (DSGVO) ist eine Verordnung der EU, europaweit die Verarbeitung personenbezogener Daten regelt. Dadurch soll der Schutz der personenbezogener Daten innerhalb der EU sichergestellt werden – gleichzeitig wird der freie Datenverkehr innerhalb des europäischen Binnenmarktes gewährleistet. Durch die neue Verordnung müssen sich Unternehmen, die externen Zugriff auf personenbezogene Daten (Endkunden, Mitarbeitern oder sonstigen Personen) ermöglichen, mehr mit dem Schutz dieser Daten auseinandersetzen. Die DSGVO ist seit dem 25. Mai 2018 aktiv. In Deutschland wird der Datenschutz durch das Bundesdatenschutzgesetz (BSDG) geregelt.
Verträge mit Nearshore-Partnern in der EU
Wenn ein Unternehmen mit Sitz in der EU einen Dienstleister personenbezogene Daten speichern, nutzen oder verarbeiten lässt, muss das Unternehmen ein „angemessenes Datenschutzniveau“ beim Dienstleister sicherstellen.
Generell gelten Länder der EU als sichere Länder im Sinne des Datenschutzes, da eine einheitliche Gesetzgebung vorliegt. In diesen Ländern spricht man von einem „angemessenen Datenschutzniveau“. Der Gesetzgeber legt nur die Mindestanforderungen zwischen Unternehmen und Dienstleiter im Bezug auf die Auftragsdatenverarbeitung fest. Die Mindestanforderungen für Dienstleister innerhalb der EU werden in Deutschland im §11 BDSG definiert.
Die Auftragsdatenverarbeitung beschreibt die weisungsgebundene Datenverarbeitung von Externen, wobei die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber bleibt. Deswegen liegt eine umfassende Dokumentations- und Prüfpflicht vor, auch nach dem Vertragsschluss. Wenn dieses Niveau nicht sichergestellt werden kann, drohen Bußgelder und Maßnahmen der Aufsichtsbehörde.
Verträge mit Nearshore-Partnern außerhalb der EU
Für Dienstleister außerhalb der EU gelten strengere Regeln. Vor allem für das Outsourcing im IT-Bereich sind viele Nearshore-Partner nicht in der EU (z. B. Ukraine, Armenien oder Serbien). Um ein „angemessenes Datenschutzniveau“ mit Dienstleistern außerhalb der EU sicherzustellen, muss ein Vertrag mit den „Standartklauseln für Auftragsdatenverarbeitungen“ der EU-Kommission zwischen dem Unternehmen und dem Dienstleister abgeschlossen werden.
Ausnahme
Wird ein Zugriff auf personenbezogene Daten definitiv ausgeschlossen, so besteht keine Notwendigkeit, die beschriebenen Maßnahmen umzusetzen. Dies kann der Fall sein, wenn z. B. nur in der Entwicklungs- oder Produktionsumgebung ohne Daten gearbeitet wird oder spezielle Testumgebungen mit Testdaten verwendet werden. Man sollte aber eine gesetzeskonforme Datenverarbeitung in Betracht ziehen, falls ein späteres Projekt mit personenbezogenen Daten entsteht.
Unterauftragsnehmer außerhalb der EU
Möchte der Dienstleister Unterauftragsnehmer beauftragen, kann er das laut Klausel 11 bei den Standardvertragsklauseln der EU machen. Dafür müssen zwei Bedingungen erfüllt werden:
- Einwilligung: Der Auftraggeber muss vorher schriftlich die Beauftragung der Unterauftragsnehmer einwilligen. Dies kann individuell oder in Form einer Generaleinwilligung geschehen.
- Weiterreichen der Vertragsregelung: Die Bedingungen zur Auftragsdatenverarbeitung müssen vom Dienstleister an den Unterauftragsnehmer weitergereicht werden. Dafür schließen Dienstleister und Unterauftragsnehmer einen Vertrag, der ihn zu den gleichen Bedingungen verpflichtet, die auch der Dienstleister durch die Standardvertragsklauseln hat.
Noch Fragen?
Falls Sie eine Individuelle Beratung für die Zusammenarbeit mit Nearshoring-Partnern benötigen, können Sie sich gerne bei mindsquare weiter informieren und dort Kontakt aufnehmen (mindsquare.de/mms/).